Поделиться через

Краткое руководство: Анализ входов в систему с помощью журнала аутентификаций Microsoft Entra

  • Статья

Используя сведения в журнале входа Microsoft Entra, вы можете выяснить, что произошло при неудачной попытке входа пользователя. В этом кратком руководстве показано, как определить неудавшуюся попытку входа с помощью журнала входов.

Необходимые условия

Чтобы завершить сценарий в этом кратком ознакомлении, вам потребуется:

  • Клиент Microsoft Entra с лицензией Premium P1
  • Пользователь с ролью читателя отчетов , читателя безопасности или администратора безопасности для клиента.
  • Тестовая учетная запись с именем Isabella Simonsen. Если вы не знаете, как создать тестовую учетную запись, см. Добавление пользователей, основанных на облаке.

Выполните неудачную попытку входа

Цель этого шага — создать запись неудачного входа в журнал входа Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra под учетной записью Isabella Simonsen с неверным паролем.

  2. Подождите 5 минут, чтобы убедиться, что событие можно найти в журнале входа.

Найдите неудачную попытку входа

В этом разделе приведены шаги по анализу неудачного входа. Отфильтруйте журнал входа, чтобы удалить все записи, которые не относятся к анализу. Например, задайте фильтр для отображения только записей определенного пользователя. Затем можно просмотреть сведения об ошибке. Сведения о журнале содержат полезные сведения. Вы также можете найти ошибку с помощью средства поиска ошибок входа . Это средство может предоставить сведения для устранения ошибки входа.

  1. Войдите в Центр администрирования Microsoft Entra как минимум с правами Просмотрщика отчетов.

  2. Перейдите к мониторингу удостоверений>и работоспособности &, а также к журналам входа>.

  3. Настройте фильтр, чтобы просмотреть только записи для Isabella Simonsen:

    1. Откройте фильтры, выберите Пользователь, а затем выберите Применить.

      Добавление фильтра пользователей

    2. В текстовом поле User введите Isabella Simonsen, а затем выберите Применить.

  4. Выберите неудачную попытку входа и просмотрите сведения.

  5. Скопируйте код ошибки входа .

    код ошибки входа

  6. Вставьте код ошибки в текстовое поле средства поиска ошибок входа , а затем выберите Отправить.

Просмотрите результат инструмента и определите, предоставляет ли он дополнительные сведения.

Дополнительные тесты

Теперь, когда вы знаете, как найти запись в журнале входа по имени, необходимо также попытаться найти запись с помощью следующих фильтров:

  • дата — попробуйте найти Isabella с использованием начала и окончания.

    фильтр даты

  • Статус — попробуйте найти Изабеллу с помощью Статус: Неудача.

    сбой состояния

Очистка ресурсов

Если он больше не нужен, удалите тестового пользователя. Если вы не знаете, как удалить пользователя Microsoft Entra, смотрите Удаление пользователей из Microsoft Entra ID.

Следующий шаг

Узнайте, как использовать диагностику для входа в систему