Поделиться через


Краткое руководство: Анализ входов в систему с помощью журнала аутентификаций Microsoft Entra

Используя сведения в журнале входа Microsoft Entra, вы можете выяснить, что произошло при неудачной попытке входа пользователя. В этом кратком руководстве показано, как определить неудавшуюся попытку входа с помощью журнала входов.

Необходимые условия

Чтобы завершить сценарий в этом кратком ознакомлении, вам потребуется:

  • Клиент Microsoft Entra с лицензией Premium P1
  • Пользователь с ролью читателя отчетов , читателя безопасности или администратора безопасности для клиента.
  • Тестовая учетная запись с именем Isabella Simonsen. Если вы не знаете, как создать тестовую учетную запись, см. Добавление пользователей, основанных на облаке.

Выполните неудачную попытку входа

Цель этого шага — создать запись неудачного входа в журнал входа Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra под учетной записью Isabella Simonsen с неверным паролем.

  2. Подождите 5 минут, чтобы убедиться, что событие можно найти в журнале входа.

Найдите неудачную попытку входа

В этом разделе приведены шаги по анализу неудачного входа. Отфильтруйте журнал входа, чтобы удалить все записи, которые не относятся к анализу. Например, задайте фильтр для отображения только записей определенного пользователя. Затем можно просмотреть сведения об ошибке. Сведения о журнале содержат полезные сведения. Вы также можете найти ошибку с помощью средства поиска ошибок входа . Это средство может предоставить сведения для устранения ошибки входа.

  1. Войдите в Центр администрирования Microsoft Entra как минимум с правами Просмотрщика отчетов.

  2. Перейдите к мониторингу удостоверений>и работоспособности &, а также к журналам входа>.

  3. Настройте фильтр, чтобы просмотреть только записи для Isabella Simonsen:

    1. Откройте фильтры, выберите Пользователь, а затем выберите Применить.

      Добавление фильтра пользователей

    2. В текстовом поле User введите Isabella Simonsen, а затем выберите Применить.

  4. Выберите неудачную попытку входа и просмотрите сведения.

  5. Скопируйте код ошибки входа .

    код ошибки входа

  6. Вставьте код ошибки в текстовое поле средства поиска ошибок входа , а затем выберите Отправить.

Просмотрите результат инструмента и определите, предоставляет ли он дополнительные сведения.

Дополнительные тесты

Теперь, когда вы знаете, как найти запись в журнале входа по имени, необходимо также попытаться найти запись с помощью следующих фильтров:

  • дата — попробуйте найти Isabella с использованием начала и окончания.

    фильтр даты

  • Статус — попробуйте найти Изабеллу с помощью Статус: Неудача.

    сбой состояния

Очистка ресурсов

Если он больше не нужен, удалите тестового пользователя. Если вы не знаете, как удалить пользователя Microsoft Entra, смотрите Удаление пользователей из Microsoft Entra ID.

Следующий шаг