快速入门:使用 Microsoft Entra 登录日志分析登录
使用 Microsoft Entra 登录日志中的信息,可以了解用户登录失败时所发生的情况。 本快速入门介绍如何使用登录日志找出失败的登录。
先决条件
若要完成本快速入门中的方案,你需要:
- 使用 Premium P1 许可证的 Microsoft Entra 租户
- 具有该租户报表读者、安全读者或安全管理员角色的用户。
- 名为 Isabella Simonsen 的测试帐户:如果不知道如何创建测试帐户,请参阅添加基于云的用户。
执行一次失败的登录
此步骤的目的是在 Microsoft Entra 登录日志中创建一条登录失败记录。
以 Isabella Simonsen 的身份使用错误的密码登录到 Microsoft Entra 管理中心。
等待 5 分钟,以确保可以在登录日志中找到该事件。
查找失败的登录
本部分提供分析失败登录的步骤。 筛选登录日志,以删除与分析不相关的所有记录。 例如,设置一个筛选器以便仅显示特定用户的记录。 然后,可以查看错误详细信息。 日志详细信息提供了有用的信息。 还可以使用登录错误查找工具来查找错误。 此工具可能会提供有关排查登录错误的信息。
提示
本文中的步骤可能因开始使用的门户而略有不同。
至少以报告读取者身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“监视和运行状况”>“登录日志”。
调整筛选器以仅查看 Isabella Simonsen 的记录:
打开“添加筛选器”,选择“用户”,然后选择“应用”。
在“用户”文本框中键入 Isabella Simonsen,然后选择“应用”。
选择失败的登录尝试并查看详细信息。
复制“登录错误代码”。
将错误代码粘贴到登录错误查找工具的文本框中,然后选择“提交”。
检查该工具的结果,确定它是否提供了其他信息。
更多测试
现在你已知道如何在登录日志中按名称查找条目,接下来请尝试使用以下筛选器查找记录:
日期 - 尝试使用开始日期和结束日期查找 Isabella 。
状态 - 尝试使用“状态: 失败”查找 Isabella 。
清理资源
不再需要测试用户时,请将其删除。 如果不知道如何删除 Microsoft Entra 用户,请参阅删除 Microsoft Entra ID 中的用户。