Memantau dan meninjau log untuk lingkungan Perlindungan Kata Sandi Microsoft Entra lokal
Setelah penyebaran Perlindungan Kata Sandi Microsoft Entra, pemantauan dan pelaporan adalah tugas penting. Artikel ini menjelaskan secara rinci untuk membantu Anda memahami berbagai teknik pemantauan, termasuk di mana setiap informasi log layanan dan cara melaporkan penggunaan Perlindungan Kata Sandi Microsoft Entra.
Pemantauan dan pelaporan dilakukan baik dengan pesan log peristiwa maupun dengan menjalankan PowerShell cmdlet. Agen DC dan layanan proksi mencatat pesan log peristiwa. Semua PowerShell cmdlet yang dijelaskan di bawah hanya tersedia di server proksi (lihat modul AzureADPasswordProtection PowerShell). Perangkat lunak agen DC tidak menginstal modul PowerShell.
Logging peristiwa agen DC
Di setiap pengendali domain, perangkat lunak layanan agen DC menulis hasil setiap operasi validasi kata sandi individu (dan status lainnya) pada log peristiwa lokal:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Log Admin agen DC merupakan sumber informasi utama tentang cara perangkat lunak berperilaku.
Perhatikan bahwa log Pelacakan nonaktif secara default.
Peristiwa yang dicatat dengan berbagai komponen agen DC tercakup dalam rentang berikut:
| Komponen | Rentang ID peristiwa |
|---|---|
| Filter kata sandi Agen DC dll | 10000-19999 |
| Proses hosting layanan agen DC | 20000-29999 |
| Logika validasi kebijakan layanan agen DC | 30000-39999 |
Log peristiwa Admin agen DC
Peristiwa hasil validasi kata sandi
Di setiap pengendali domain, perangkat lunak layanan agen DC menulis hasil setiap validasi kata sandi individu pada log peristiwa admin agen DC.
Untuk operasi validasi kata sandi yang berhasil, secara umum terdapat satu peristiwa yang dicatat dari filter kata sandi agen DC dll. Untuk operasi validasi kata sandi yang gagal, secara umum terdapat dua peristiwa yang dicatat, satu dari layanan agen DC, dan satu dari filter kata sandi Agen DC dll.
Peristiwa diskret untuk menangkap situasi ini dicatat, berdasarkan faktor-faktor berikut:
- Apakah kata sandi yang diberikan sedang disetel atau diubah.
- Apakah validasi atau kata sandi yang diberikan lulus atau gagal.
- Apakah validasi gagal karena kebijakan global Microsoft, kebijakan organisasi, atau kombinasinya.
- Apakah mode hanya audit saat ini aktif atau nonaktif untuk kebijakan kata sandi saat ini.
Peristiwa terkait validasi kata sandi utama adalah sebagai berikut:
| Aktivitas | Perubahan kata sandi | Set kata sandi |
|---|---|---|
| Lulus | 10014 | 10015 |
| Gagal (karena kebijakan kata sandi pelanggan) | 10016, 30002 | 10017, 30003 |
| Gagal (karena kebijakan kata sandi Microsoft) | 10016, 30004 | 10017, 30005 |
| Gagal (karena gabungan kebijakan kata sandi Microsoft dan pelanggan) | 10016, 30026 | 10017, 30027 |
| Gagal (karena nama pengguna) | 10016, 30021 | 10017, 30022 |
| Lulus hanya audit (akan gagal dengan kebijakan kata sandi pelanggan) | 10024, 30008 | 10025, 30007 |
| Lulus hanya audit (akan gagal dengan kebijakan kata sandi Microsoft) | 10024, 30010 | 10025, 30009 |
| Lulus hanya audit (akan gagal dengan gabungan kebijakan kata sandi Microsoft dan pelanggan) | 10024, 30028 | 10025, 30029 |
| Lulus hanya audit (akan gagal karena nama pengguna) | 10016, 30024 | 10017, 30023 |
Kasus dalam tabel di atas yang merujuk pada “gabungan kebijakan” merujuk pada situasi di mana kata sandi pengguna yang ditemukan berisi setidaknya satu token dari daftar kata sandi terlarang Microsoft dan daftar kata sandi terlarang pelanggan.
Kasus dalam tabel di atas yang merujuk pada “nama pengguna” merujuk pada situasi di mana kata sandi pengguna yang ditemukan berisi nama akun pengguna dan/atau salah satu dari nama pengguna yang mudah diingat. Skenario mana pun akan menyebabkan kata sandi pengguna ditolak ketika kebijakan diatur ke Terapkan, atau lulus jika kebijakan berada dalam mode Audit.
Ketika sepasang peristiwa dicatat bersamaan, kedua peristiwa secara eksplisit berkaitan karena memiliki CorrelationId yang sama.
Pelaporan ringkasan validasi kata sandi melalui PowerShell
Cmdlet Get-AzureADPasswordProtectionSummaryReport dapat digunakan untuk menghasilkan tampilan ringkasan aktivitas validasi kata sandi. Contoh output cmdlet ini adalah sebagai berikut:
Get-AzureADPasswordProtectionSummaryReport -DomainController bplrootdc2
DomainController : bplrootdc2
PasswordChangesValidated : 6677
PasswordSetsValidated : 9
PasswordChangesRejected : 10868
PasswordSetsRejected : 34
PasswordChangeAuditOnlyFailures : 213
PasswordSetAuditOnlyFailures : 3
PasswordChangeErrors : 0
PasswordSetErrors : 1
Cakupan pelaporan cmdlet dapat dipengaruhi menggunakan salah satu dari parameter –Forest, -Domain, atau –DomainController. Tidak menentukan parameter menyiratkan –Forest.
Catatan
Jika Anda hanya menginstal agen DC di satu DC, Get-AzureADPasswordProtectionSummaryReport hanya akan membaca kejadian dari DC tersebut. Untuk mendapatkan kejadian dari beberapa DC, Anda harus menginstal agen DC di setiap DC.
Cmdlet Get-AzureADPasswordProtectionSummaryReport bekerja dengan mengkueri log peristiwa admin agen DC, kemudian menghitung jumlah total peristiwa yang sesuai dengan setiap kategori hasil yang ditampilkan. Tabel berikut berisi pemetaan antara setiap hasil dan ID peristiwanya yang sesuai:
| Properti Get-AzureADPasswordProtectionSummaryReport | ID peristiwa yang sesuai |
|---|---|
| PasswordChangesValidated | 10014 |
| PasswordSetsValidated | 10015 |
| PasswordChangesRejected | 10016 |
| PasswordSetsRejected | 10017 |
| PasswordChangeAuditOnlyFailures | 10024 |
| PasswordSetAuditOnlyFailures | 10025 |
| PasswordChangeErrors | 10012 |
| PasswordSetErrors | 10013 |
Perhatikan bahwa cmdlet Get-AzureADPasswordProtectionSummaryReport dikirim dalam bentuk skrip PowerShell dan jika diperlukan dapat dirujuk secara langsung di lokasi berikut:
%ProgramFiles%\WindowsPowerShell\Modules\AzureADPasswordProtection\Get-AzureADPasswordProtectionSummaryReport.ps1
Catatan
Cmdlet ini bekerja dengan membuka sesi PowerShell ke setiap pengendali domain. Agar berhasil, dukungan sesi jarak jauh PowerShell harus diaktifkan di setiap pengendali domain, dan klien harus memiliki hak istimewa yang memadai. Untuk informasi selengkapnya tentang persyaratan sesi jarak jauh PowerShell, jalankan 'Get-Help about_Remote_Troubleshooting' di jendela PowerShell.
Catatan
Cmdlet ini bekerja dengan mengkueri secara jarak jauh setiap log peristiwa Admin layanan agen. Jika log peristiwa berisi sejumlah besar peristiwa, cmdlet dapat memerlukan waktu yang lama untuk diselesaikan. Selain itu, kueri jaringan massal dari himpunan data besar dapat memengaruhi performa pengendali domain. Oleh karena itu, cmdlet ini harus digunakan dengan hati-hati di lingkungan produksi.
Contoh pesan log peristiwa
ID Peristiwa 10014 (Perubahan kata sandi yang berhasil)
The changed password for the specified user was validated as compliant with the current Azure password policy.
UserName: SomeUser
FullName: Some User
ID Peristiwa 10017 (Perubahan kata sandi yang gagal):
The reset password for the specified user was rejected because it did not comply with the current Azure password policy. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
ID Peristiwa 30003 (Perubahan kata sandi yang gagal):
The reset password for the specified user was rejected because it matched at least one of the tokens present in the per-tenant banned password list of the current Azure password policy.
UserName: SomeUser
FullName: Some User
ID Peristiwa 10024 (Kata sandi diterima karena kebijakan hanya dalam mode audit)
The changed password for the specified user would normally have been rejected because it did not comply with the current Azure password policy. The current Azure password policy is con-figured for audit-only mode so the password was accepted. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
ID Peristiwa 30008 (Kata sandi diterima karena kebijakan dalam mode audit saja)
The changed password for the specified user would normally have been rejected because it matches at least one of the tokens present in the per-tenant banned password list of the current Azure password policy. The current Azure password policy is configured for audit-only mode so the password was accepted.
UserName: SomeUser
FullName: Some User
ID Peristiwa 30001 (Kata sandi diterima karena tidak ada kebijakan yang tersedia)
The password for the specified user was accepted because an Azure password policy is not available yet
UserName: SomeUser
FullName: Some User
This condition may be caused by one or more of the following reasons:%n
1. The forest has not yet been registered with Azure.
Resolution steps: an administrator must register the forest using the Register-AzureADPasswordProtectionForest cmdlet.
2. An Azure AD password protection Proxy is not yet available on at least one machine in the current forest.
Resolution steps: an administrator must install and register a proxy using the Register-AzureADPasswordProtectionProxy cmdlet.
3. This DC does not have network connectivity to any Azure AD password protection Proxy instances.
Resolution steps: ensure network connectivity exists to at least one Azure AD password protection Proxy instance.
4. This DC does not have connectivity to other domain controllers in the domain.
Resolution steps: ensure network connectivity exists to the domain.
ID Peristiwa 30006 (Kebijakan baru diberlakukan)
The service is now enforcing the following Azure password policy.
Enabled: 1
AuditOnly: 1
Global policy date: 2018-05-15T00:00:00.000000000Z
Tenant policy date: 2018-06-10T20:15:24.432457600Z
Enforce tenant policy: 1
ID Peristiwa 30019 (Perlindungan Kata Sandi Microsoft Entra dinonaktifkan)
The most recently obtained Azure password policy was configured to be disabled. All passwords submitted for validation from this point on will automatically be considered compliant with no processing performed.
No further events will be logged until the policy is changed.%n
Log Operasional Agen DC
Layanan agen DC juga akan mencatat peristiwa terkait operasional pada log berikut:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
Log pelacakan Agen DC
Layanan agen DC juga dapat mencatat peristiwa pelacakan tingkat debug verbose pada log berikut:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Logging pelacakan dinonaktifkan secara default.
Peringatan
Ketika diaktifkan, log Pelacakan menerima volume tinggi peristiwa dan dapat memengaruhi performa pengendali domain. Oleh karena itu, log yang ditingkatkan ini semestinya hanya diaktifkan ketika suatu masalah memerlukan penyelidikan mendalam, kemudian hanya selama sejumlah waktu minimal.
Logging teks Agen DC
Layanan agen DC dapat dikonfigurasi untuk menulis log teks dengan mengatur nilai registri berikut:
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionDCAgent\Parameters!EnableTextLogging = 1 (REG_DWORD value)
Logging teks dinonaktifkan secara default. Menghidupkan ulang layanan agen DC diperlukan untuk perubahan pada nilai ini agar berlaku. Ketika diaktifkan, layanan agen DC akan menulis pada file log yang berlokasi di bawah:
%ProgramFiles%\Azure AD Password Protection DC Agent\Logs
Tip
Log teks menerima entri tingkat debug yang sama yang dapat dicatat pada log Pelacakan, tetapi secara umum dalam format yang lebih mudah untuk ditinjau dan dianalisis.
Peringatan
Ketika diaktifkan, log ini menerima volume tinggi peristiwa dan dapat memengaruhi performa pengendali domain. Oleh karena itu, log yang ditingkatkan ini semestinya hanya diaktifkan ketika suatu masalah memerlukan penyelidikan mendalam, kemudian hanya selama sejumlah waktu minimal.
Pemantauan performa agen DC
Perangkat lunak layanan agen DC menginstal objek penghitung kinerja bernama Perlindungan Kata Sandi Microsoft Entra. Penghitung performa berikut saat ini tersedia:
| Nama penghitung performa | Deskripsi |
|---|---|
| Kata sandi diproses | Penghitung ini menampilkan jumlah total kata sandi yang diproses (diterima atau ditolak) sejak dihidupkan ulang terakhir kali. |
| Kata sandi diterima | Penghitung ini menampilkan jumlah total kata sandi yang diterima sejak dihidupkan ulang terakhir kali. |
| Kata sandi ditolak | Penghitung ini menampilkan jumlah total kata sandi yang ditolak sejak dihidupkan ulang terakhir kali. |
| Permintaan filter kata sandi sedang berlangsung | Penghitung ini menampilkan jumlah permintaan filter kata sandi yang saat ini sedang berlangsung. |
| Puncak permintaan filter kata sandi | Penghitung ini menampilkan jumlah puncak permintaan filter kata sandi bersamaan sejak dihidupkan ulang terakhir kali. |
| Kesalahan permintaan filter kata sandi | Penghitung ini menampilkan jumlah total permintaan filter kata sandi yang gagal karena kesalahan sejak dihidupkan ulang terakhir kali. Kesalahan dapat terjadi ketika layanan agen DC Perlindungan Kata Sandi Microsoft Entra tidak berjalan. |
| Permintaan filter kata sandi/dtk | Penghitung ini menampilkan laju kata sandi yang sedang diproses. |
| Waktu pemrosesan permintaan filter kata sandi | Penghitung ini menampilkan waktu rata-rata yang diperlukan untuk memproses permintaan filter kata sandi. |
| Puncak waktu pemrosesan permintaan filter kata sandi | Penghitung ini menampilkan puncak waktu pemrosesan permintaan filter kata sandi sejak dihidupkan ulang terakhir kali. |
| Kata sandi diterima karena mode audit | Penghitung ini menampilkan jumlah total kata sandi yang biasanya akan ditolak, tetapi diterima karena kebijakan kata sandi dikonfigurasi menjadi dalam mode audit (sejak dihidupkan ulang terakhir kali). |
Penemuan Agen DC
Cmdlet Get-AzureADPasswordProtectionDCAgent dapat digunakan untuk menampilkan informasi dasar tentang berbagai agen DC yang berjalan di domain atau forest. Informasi ini diambil dari objek serviceConnectionPoint yang didaftarkan dengan layanan agen DC yang berjalan.
Contoh output cmdlet ini adalah sebagai berikut:
Get-AzureADPasswordProtectionDCAgent
ServerFQDN : bplChildDC2.bplchild.bplRootDomain.com
Domain : bplchild.bplRootDomain.com
Forest : bplRootDomain.com
PasswordPolicyDateUTC : 2/16/2018 8:35:01 AM
HeartbeatUTC : 2/16/2018 8:35:02 AM
Berbagai properti diperbarui dengan setiap layanan agen DC berdasarkan perkiraan jam. Data tetap tunduk pada latensi replikasi Active Directory.
Cakupan kueri cmdlet dapat dipengaruhi menggunakan parameter –Forest atau –Domain.
Jika nilai HeartbeatUTC kedaluarsa, ini mungkin merupakan gejala bahwa Agen DC Perlindungan Kata Sandi Microsoft Entra pada pengontrol domain tersebut tidak berjalan, atau telah dihapus instalasinya, atau komputer diturunkan dan bukan lagi pengendali domain.
Jika nilai PasswordPolicyDateUTC kedaluarsa, ini mungkin merupakan gejala bahwa Agen DC Perlindungan Kata Sandi Microsoft Entra pada komputer tersebut tidak berfungsi dengan baik.
Versi agen DC yang lebih baru tersedia
Layanan agen DC akan mencatat peristiwa peringatan 30034 pada log Operasional saat mendeteksi tersedianya versi perangkat lunak agen DC yang lebih baru, misalnya:
An update for Azure AD Password Protection DC Agent is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
Peristiwa di atas tidak menentukan versi perangkat lunak yang lebih baru. Anda harus menuju tautan dalam pesan peristiwa untuk mendapatkan informasinya.
Catatan
Terlepas dari referensi pada “autoupgrade” dalam pesan peristiwa di atas, perangkat lunak agen DC saat ini tidak mendukung fitur ini.
Logging peristiwa layanan Proksi
Layanan Proksi menampilkan set peristiwa minimal pada log peristiwa berikut:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Trace
Perhatikan bahwa log Pelacakan nonaktif secara default.
Peringatan
Ketika diaktifkan, log Pelacakan menerima volume tinggi peristiwa dan hal ini dapat memengaruhi performa host proksi. Oleh karena itu, log ini semestinya hanya diaktifkan ketika suatu masalah memerlukan penyelidikan mendalam, kemudian hanya selama sejumlah waktu minimal.
Peristiwa dicatat dengan berbagai komponen Proksi menggunakan rentang berikut:
| Komponen | Rentang ID peristiwa |
|---|---|
| Proses hosting layanan Proksi | 10000-19999 |
| Logika bisnis inti layanan Proksi | 20000-29999 |
| Cmdlet PowerShell | 30000-39999 |
Pengelogan teks layanan Proksi
Layanan Proksi dapat dikonfigurasi untuk menulis log teks dengan mengatur nilai registri berikut:
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionProxy\Parameters!EnableTextLogging = 1 (REG_DWORD value)
Logging teks dinonaktifkan secara default. Menghidupkan ulang layanan Proksi diperlukan untuk perubahan pada nilai ini agar berlaku. Ketika diaktifkan, layanan Proksi akan menulis pada file log yang berlokasi di bawah:
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
Tip
Log teks menerima entri tingkat debug yang sama yang dapat dicatat pada log Pelacakan, tetapi secara umum dalam format yang lebih mudah untuk ditinjau dan dianalisis.
Peringatan
Ketika diaktifkan, log ini menerima volume tinggi peristiwa dan dapat memengaruhi performa mesin. Oleh karena itu, log yang ditingkatkan ini semestinya hanya diaktifkan ketika suatu masalah memerlukan penyelidikan mendalam, kemudian hanya selama sejumlah waktu minimal.
Logging cmdlet PowerShell
Cmdlet PowerShell yang menghasilkan perubahan status (misalnya, Register-AzureADPasswordProtectionProxy) biasanya akan mencatat peristiwa hasil pada log Operasional.
Selain itu, sebagian besar cmdlet PowerShell Perlindungan Kata Sandi Microsoft Entra akan menulis ke log teks yang terletak di bawah:
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
Jika terjadi kesalahan cmdlet dan penyebab dan\atau solusinya tidak ditemukan dengan mudah, log teks ini juga dapat dikonsultasikan.
Penemuan Proksi
Get-AzureADPasswordProtectionProxy Cmdlet dapat digunakan untuk menampilkan informasi dasar tentang berbagai layanan Proksi Perlindungan Kata Sandi Microsoft Entra yang berjalan di domain atau forest. Informasi ini diambil dari objek serviceConnectionPoint yang didaftarkan dengan layanan Proksi yang berjalan.
Contoh output cmdlet ini adalah sebagai berikut:
Get-AzureADPasswordProtectionProxy
ServerFQDN : bplProxy.bplchild2.bplRootDomain.com
Domain : bplchild2.bplRootDomain.com
Forest : bplRootDomain.com
HeartbeatUTC : 12/25/2018 6:35:02 AM
Berbagai properti diperbarui dengan setiap layanan Proksi secara perkiraan jam. Data tetap tunduk pada latensi replikasi Active Directory.
Cakupan kueri cmdlet dapat dipengaruhi menggunakan parameter –Forest atau –Domain.
Jika nilai HeartbeatUTC kedaluarsa, ini mungkin merupakan gejala bahwa Proksi Perlindungan Kata Sandi Microsoft Entra pada komputer tersebut tidak berjalan atau telah dihapus instalasinya.
Versi agen Proksi yang lebih baru tersedia
Layanan Proksi akan mencatat peristiwa peringatan 20002 pada log Operasional saat mendeteksi tersedianya versi perangkat lunak proksi yang lebih baru, misalnya:
An update for Azure AD Password Protection Proxy is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
.
Peristiwa di atas tidak menentukan versi perangkat lunak yang lebih baru. Anda harus menuju tautan dalam pesan peristiwa untuk mendapatkan informasinya.
Peristiwa ini akan ditampilkan meskipun agen Proksi dikonfigurasi dengan pemutakhiran otomatis diaktifkan.
Langkah berikutnya
Pemecahan masalah untuk Perlindungan Kata Sandi Microsoft Entra
Untuk informasi selengkapnya tentang daftar kata sandi global dan kustom yang dilarang, lihat artikel Melarang kata sandi yang buruk
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk