Краткое руководство: Анализ входов в систему с помощью журнала аутентификаций Microsoft Entra
Используя сведения в журнале входа Microsoft Entra, вы можете выяснить, что произошло при неудачной попытке входа пользователя. В этом кратком руководстве показано, как определить неудавшуюся попытку входа с помощью журнала входов.
Необходимые условия
Чтобы завершить сценарий в этом кратком ознакомлении, вам потребуется:
- Клиент Microsoft Entra с лицензией Premium P1
- Пользователь с ролью читателя отчетов , читателя безопасности или администратора безопасности для клиента.
- Тестовая учетная запись с именем Isabella Simonsen. Если вы не знаете, как создать тестовую учетную запись, см. Добавление пользователей, основанных на облаке.
Выполните неудачную попытку входа
Цель этого шага — создать запись неудачного входа в журнал входа Microsoft Entra.
Войдите в Центр администрирования Microsoft Entra под учетной записью Isabella Simonsen с неверным паролем.
Подождите 5 минут, чтобы убедиться, что событие можно найти в журнале входа.
Найдите неудачную попытку входа
В этом разделе приведены шаги по анализу неудачного входа. Отфильтруйте журнал входа, чтобы удалить все записи, которые не относятся к анализу. Например, задайте фильтр для отображения только записей определенного пользователя. Затем можно просмотреть сведения об ошибке. Сведения о журнале содержат полезные сведения. Вы также можете найти ошибку с помощью средства поиска ошибок входа . Это средство может предоставить сведения для устранения ошибки входа.
Войдите в Центр администрирования Microsoft Entra как минимум с правами Просмотрщика отчетов.
Перейдите к мониторингу удостоверений>и работоспособности &, а также к журналам входа>.
Настройте фильтр, чтобы просмотреть только записи для Isabella Simonsen:
Откройте фильтры, выберите Пользователь, а затем выберите Применить.
В текстовом поле User введите Isabella Simonsen, а затем выберите Применить.
Выберите неудачную попытку входа и просмотрите сведения.
Скопируйте код ошибки входа .
Вставьте код ошибки в текстовое поле средства поиска ошибок входа , а затем выберите Отправить.
Просмотрите результат инструмента и определите, предоставляет ли он дополнительные сведения.
Дополнительные тесты
Теперь, когда вы знаете, как найти запись в журнале входа по имени, необходимо также попытаться найти запись с помощью следующих фильтров:
дата — попробуйте найти Isabella с использованием начала и окончания.
Статус — попробуйте найти Изабеллу с помощью Статус: Неудача.
Очистка ресурсов
Если он больше не нужен, удалите тестового пользователя. Если вы не знаете, как удалить пользователя Microsoft Entra, смотрите Удаление пользователей из Microsoft Entra ID.