Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird die benutzerdefinierte Berichterstellungsfunktion Microsoft Purview Information Protection Scanner (Vorschau) beschrieben. Die benutzerdefinierte Berichterstellung bietet Scanneradministratoren die Daten, die sie in der Scannerclusterdatenbank benötigen, um ihre eigenen Berichte anhand von Scanergebnissen zu erstellen– einschließlich Bezeichnungen, Schutzstatus und übereinstimmenden vertraulichen Informationstypen (SITs).
Die benutzerdefinierte Berichterstellung ist mit Microsoft Purview Information Protection Client- und Scannerversion 3.2.89.0 oder höher verfügbar. Die benutzerdefinierte Berichterstellung wird von einem Administrator über die Scannerfunktionssteuerung aktiviert.
Möglichkeiten der benutzerdefinierten Berichterstellung
Heute erstellt der Scanner CSV- und TXT-Berichte pro Scan und speichert einen begrenzten Satz operativer Daten in der Clusterdatenbank. Um ein vollständiges Bild des Dateizustands zu erstellen – was sich geändert hat, was beschriftet ist, was geschützt ist und welche Arten vertraulicher Daten wo vorhanden sind – müssen Administratoren mehrere CSV-Exporte über Überprüfungszyklen hinweg kombinieren und in ein separates Berichterstellungstool laden.
Die benutzerdefinierte Berichterstellung verschiebt diese Daten in die Scannerclusterdatenbank, sodass Administratoren folgende Möglichkeiten haben:
- Fragen Sie die aktuelle und vorherige Bezeichnung, den Schutzstatus und die SIT-Anzahl für jede gescannte Datei in einem Repository ab.
- Berechnen sie Deltas zwischen Scans (z. B. die Änderung der Anzahl übereinstimmener SITs pro Datei).
- Sehen Sie sich an, welche vertraulichen Informationstypen für welche Dateien abgeglichen wurden und wie viele Übereinstimmungen pro Typ enthalten sind.
- Verbinden Sie die Scannerclusterdatenbank mit einem Berichterstellungstool ihrer Wahl (z. B. Power BI, einem Enterprise Reporting Warehouse oder einem SQL-basierten Dashboarding-Tool), ohne zuerst CSV-Exporte zusammenfügen zu müssen.
Der Scanner bleibt die Quelle der Wahrheit. Die benutzerdefinierte Berichterstellung schreibt die zusätzlichen Berichtsdaten im nächsten Scanzyklus, nachdem das Feature aktiviert wurde, in dieselbe freigegebene Scannerclusterdatenbank.
Datenbankschema
Die für die benutzerdefinierte Berichterstellung erforderlichen Berichtstabellen und -spalten wurden dem Datenbankschema des Scannerclusters in Clientversion 3.2.57.0 zuerst hinzugefügt. Bis die benutzerdefinierte Berichterstellung aktiviert ist, sind die neuen Spalten und Tabellen vorhanden, werden aber nicht aufgefüllt. Vorhandene Scannerfunktionen bleiben unverändert.
Hinweis
Sie müssen die Clientversion 3.2.57.0 nicht zuerst installieren. Unabhängig davon, ob Sie den Scanner neu installieren oder von einer früheren Version aktualisieren, stellt der Scanner bei der Installation oder beim Upgrade das vollständige Datenbankschema (einschließlich der benutzerdefinierten Berichtstabellen und -spalten) bereit.
Wenn die benutzerdefinierte Berichterstellung mithilfe des Scanner-Featuresteuerelements aktiviert ist, beginnt der Scanner mit dem Auffüllen der folgenden Daten im nächsten Scanzyklus.
Ergänzungen zu dbo.ScannerFiles
dbo.ScannerFiles enthält weiterhin eine Zeile pro gescannter Datei. Die benutzerdefinierte Berichterstellung füllt die folgenden zusätzlichen Spalten auf, um den Dateizustand und das Delta zwischen dem aktuellen und dem vorherigen Scan zu erfassen:
| Spalte | Typ | Beschreibung |
|---|---|---|
LabelName |
NVARCHAR(MAX)Nullable |
Aktueller Bezeichnungsname, der auf die Datei angewendet wird.
NULL , wenn keine Bezeichnung vorhanden ist. |
PrevLabelId |
NVARCHAR(MAX)Nullable |
Bezeichnungs-ID, die bei der vorherigen Überprüfung angewendet wurde und als Zeichenfolge gespeichert wurde.
NULL , wenn zuvor keine Bezeichnung verwendet wurde. |
PrevLabelName |
NVARCHAR(MAX)Nullable |
Bezeichnungsname, der bei der vorherigen Überprüfung angewendet wurde.
NULL , wenn zuvor keine Bezeichnung verwendet wurde. |
ProtectionState |
NVARCHAR(MAX)Nullable |
Aktueller Schutzstatus für die Datei am Ende der Überprüfung. |
PrevProtectionState |
NVARCHAR(MAX)Nullable |
Der Schutzstatus wurde bei der vorherigen Überprüfung aufgezeichnet. |
ClassificationCount |
INTStandard 0 |
Anzahl der Übereinstimmungen des Typs vertraulicher Informationen in der Datei bei der aktuellen Überprüfung. |
LatestScanSessionId |
UNIQUEIDENTIFIERNullable |
Identifiziert die letzte Überprüfungssitzung, die die Datei berührt hat. Wird verwendet, um Deltas über Scanzyklen hinweg zu berechnen. |
FileStatus |
NVARCHAR(MAX)Nullable |
Endgültige Löschung der Datei im Überprüfungszyklus (z. B. die von festgelegte ProcessJobstatus erforderlich-begründung oder Failed für Dateien, die nicht verarbeitet werden konnten). |
Neue Tabelle: dbo.MatchedClassificationAction
dbo.MatchedClassificationAction ist eine neue Tabelle, in der die übereinstimmend vertraulichen Informationstypen pro Datei und Überprüfung gespeichert werden. Jede Zeile stellt eine übereinstimmende SIT für eine einzelne Datei in einer einzelnen Überprüfungssitzung dar.
| Spalte | Typ | Beschreibung |
|---|---|---|
Id |
BIGINT IDENTITY (Primärschlüssel) |
Ersatzschlüssel für die Zeile. |
FilePath |
NVARCHAR(MAX)Nullable |
Vollständiger Pfad der Datei, für die die SIT abgeglichen wurde. |
FileHashPath |
BINARY(64)Nullable |
Hash des Dateipfads. Wird mit dbo.ScannerFiles.HashPath verknüpft und wird für die Joinleistung indiziert. |
ScanSessionId |
UNIQUEIDENTIFIERNullable |
Gibt die Überprüfungssitzung an, in der die SIT abgeglichen wurde. Wird mit dbo.ScannerFiles.ScanSessionId verknüpft und wird indiziert. |
MatchedInformationTypeName |
NVARCHAR(MAX)Nullable |
Anzeigename des übereinstimmend vertraulichen Informationstyps (z. B U.S. social security number (SSN). ). |
MatchedInformationTypeId |
UNIQUEIDENTIFIERNullable |
GUID der übereinstimmenden SIT. Dieselbe GUID wird in den lokalen Microsoft Purview Information Protection-Protokollen für Workload=OnPremisesFileShareScannerverwendet. |
MatchedInformationTypeCount |
INTStandard 0 |
Anzahl der Übereinstimmungen für diese SIT in der Datei. |
ConfidenceScore |
INTStandard 0 |
Konfidenzbewertung der Übereinstimmung. |
dbo.ScanSummary (Gesamtsummen pro Scan) ist unverändert.
Beispielfragen, die die benutzerdefinierte Berichterstellung beantworten kann
Sobald die Benutzerdefinierte Berichterstellung die Datenbank auffüllt, können Administratoren Abfragen wie die folgenden ausführen:
- Welche Repositorys haben die höchste Konzentration an übereinstimmenden SITs, und wie hat sich diese Konzentration seit dem letzten Scan verändert?
- Welche Dateien wurden während des letzten Scanzyklus beschriftet oder umbeschriftet, und was war die vorherige Bezeichnung?
- Welche Dateien sind immer noch nicht bezeichnet, enthalten aber Übereinstimmungen für einen oder mehrere vertrauliche Informationstypen?
- Welche Typen vertraulicher Informationen sind in einem bestimmten Repository am häufigsten verbreitet, und mit welchem Vertrauen?
- Welche Dateien sind seit der letzten Überprüfung von ungeschützten zu geschützten Dateien (oder umgekehrt) gewechselt?
Benutzerdefinierte Berichterstellung aktivieren
Die benutzerdefinierte Berichterstellung wird über die vom Administrator kontrollierte Featurekonfiguration aktiviert. Führen Sie auf einem beliebigen Knoten im Scannercluster Folgendes aus:
Set-ScannerConfiguration -FeatureSettings @{CustomReporting="On"}
Um die benutzerdefinierte Berichterstellung zur Installationszeit auf einem neuen Scannerknoten zu aktivieren, verwenden Sie den -FeatureSettings Parameter mit Install-Scanner:
Install-Scanner -SqlServerInstance SQLSERVER1 -Cluster Europe -FeatureSettings @{CustomReporting="On"}
Um den aktuellen Zustand zu bestätigen, führen Sie Folgendes aus:
Get-ScannerConfiguration
Die Änderung wird im nächsten Scanzyklus auf jedem Knoten im Cluster wirksam. Es ist kein Dienstneustart erforderlich.
Führen Sie Folgendes aus, um das Auffüllen der Spalten und der Tabelle für benutzerdefinierte Berichte zu beenden:
Set-ScannerConfiguration -FeatureSettings @{CustomReporting="Off"}
Durch das Deaktivieren der benutzerdefinierten Berichterstellung werden neue Schreibvorgänge beendet. Daten, die bereits in die Berichtsspalten und -tabellen geschrieben wurden, werden nicht gelöscht, sodass das Feature später ohne Datenverlust wieder aktiviert werden kann.
Planen der Scannerclusterdatenbank für die Berichterstellung
Wenn Sie die benutzerdefinierte Berichterstellung aktivieren, speichert die Scannerclusterdatenbank deutlich mehr Daten pro Scanzyklus– zusätzliche Spalten pro Datei in dbo.ScannerFilesplus eine Zeile pro übereinstimmender SIT pro Datei und Scan in dbo.MatchedClassificationAction. Das Erstellen von Berichten für die Scannerclusterdatenbank fügt auch eine Leseworkload hinzu, die zusammen mit den operativen Lese- und Schreibvorgängen des Scanners ausgeführt wird.
Bevor Sie die benutzerdefinierte Berichterstellung in der Produktion aktivieren, sollten Sie Folgendes in Betracht ziehen:
- Clustergröße und Scanvolume. Schätzen Sie die Anzahl der pro Zyklus gescannten Dateien, die typische Anzahl von SIT-Übereinstimmungen pro Datei und die Häufigkeit der Überprüfung. Verwenden Sie diese Zahlen, um die Größe der Datenbank zu vergrößern.
- Auswirkungen auf den Betrieb. Das Melden von Abfragen für dieselbe Datenbank, in die der Scanner schreibt, kann während eines Überprüfungszyklus mit dem Scanner um Ressourcen konkurrieren.
- Die eigentlich gewünschte Berichtsworkload. Interaktive Dashboards, geplante Extrakte und Ad-hoc-Abfragen haben jeweils sehr unterschiedliche Auswirkungen.
Für die meisten Produktionsbereitstellungen empfiehlt es sich, die Scannerclusterdatenbank auf SQL Server Enterprise zu hosten, damit Sie ein schreibgeschütztes Replikat für die Berichterstellung bereitstellen können. Mit einer SQL Server Always On Verfügbarkeitsgruppe können Sie Berichtsdatenverkehr an ein lesbares sekundäres Replikat weiterleiten, sodass Berichtsabfragen nicht mit der betriebsbezogenen Workload des Scanners auf dem primären Replikat konkurrieren.
Durch diese Trennung können Berichterstellungstools (z. B. Power BI) eine Verbindung mit dem schreibgeschützten Replikat herstellen und in ihrem eigenen Rhythmus aktualisiert werden, ohne dass sich dies auf den Scandurchsatz auf dem primären Replikat auswirkt.
Hinweis
Der Scanner selbst liest immer aus der primären Datenbank und schreibt in diese. Nur Ihre workload für die benutzerdefinierte Berichterstellung sollte auf ein schreibgeschütztes Replikat verweisen.
Einschränkungen während der Vorschauphase
- In dieser Vorschau ist keine integrierte Dashboard mit benutzerdefinierter Berichterstellung bereitgestellt. Kunden erstellen ihre eigenen Berichte für die Scannerclusterdatenbank.
- Einstellungen, die von der vom Administrator gesteuerten Featurekonfiguration konfiguriert werden, werden nicht mit dem Microsoft Purview-Portal synchronisiert. Nicht jede Scannerfunktion kann über das Portal konfiguriert werden. Bei Features, die im Portal verfügbar sind und dort konfiguriert wurden, hat die im Portal konfigurierte Einstellung Vorrang und verhindert Updates von PowerShell.