Краткое руководство: Анализ входов в систему с помощью журнала аутентификаций Microsoft Entra

Используя сведения в журнале входа Microsoft Entra, вы можете выяснить, что произошло при неудачной попытке входа пользователя. В этом кратком руководстве показано, как определить неудавшуюся попытку входа с помощью журнала входов.

Необходимые условия

Чтобы завершить сценарий в этом кратком ознакомлении, вам потребуется:

• Подписка Azure. Если ее нет, создайте бесплатную учетную запись.
• Клиент Microsoft Entra с лицензией Premium P1.
• Пользователь с ролью читателя отчетов , читателя безопасности или администратора безопасности для клиента.
• Тестовая учетная запись с именем Isabella Simonsen. Если вы не знаете, как создать тестовую учетную запись, см. Добавление пользователей, основанных на облаке.

Выполните неудачную попытку входа

Цель этого шага — создать запись неудачного входа в журнал входа Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra под учетной записью Isabella Simonsen с неверным паролем.

2. Подождите 5 минут, чтобы убедиться, что событие можно найти в журнале входа.

Найдите неудачную попытку входа

В этом разделе приведены шаги по анализу неудачного входа. Отфильтруйте журнал входа, чтобы удалить все записи, которые не относятся к анализу. Например, задайте фильтр для отображения только записей определенного пользователя. Затем можно просмотреть сведения об ошибке. Сведения о журнале содержат полезные сведения. Вы также можете найти ошибку с помощью средства поиска ошибок входа . Это средство может предоставить сведения для устранения ошибки входа.

1. Войдите в Центр администрирования Microsoft Entra как минимум с правами Просмотрщика отчетов.

2. Перейдите к Идентификация>Мониторинг и состояние>Журналы входа.

3. Настройте фильтр, чтобы просмотреть только записи для Isabella Simonsen:

   1. Откройте Добавить фильтры, выберите Пользователь, а затем выберите Применить.

      

   2. В текстовом поле User введите Isabella Simonsen, а затем выберите Применить.

4. Выберите неудачную попытку входа и просмотрите сведения.

5. Скопируйте код ошибки входа .

   

6. Вставьте код ошибки в текстовое поле средства поиска ошибок входа , а затем выберите Отправить.

Просмотрите результат инструмента и определите, предоставляет ли он дополнительные сведения.

Дополнительные тесты

Теперь, когда вы знаете, как найти запись в журнале входа по имени, необходимо также попытаться найти запись с помощью следующих фильтров:

• Дата — попробуйте найти Изабеллу, используя Start и End.

  

• Статус — попробуйте найти Изабеллу с помощью Статус: Неудача.

  

Очистка ресурсов

Если он больше не нужен, удалите тестового пользователя. Если вы не знаете, как удалить пользователя Microsoft Entra, смотрите Удаление пользователей из Microsoft Entra ID.

Связанный контент

• Узнайте, как пользоваться диагностикой входа в систему