Şirket içi Microsoft Entra Parola Koruması ortamları için günlükleri izleme ve gözden geçirme
Microsoft Entra Password Protection dağıtımından sonra izleme ve raporlama temel görevlerdir. Bu makale, her hizmetin bilgileri nerede günlüğe kaydedeceği ve Microsoft Entra Parola Koruması'nın kullanımı hakkında nasıl rapor verileceği de dahil olmak üzere çeşitli izleme tekniklerini anlamanıza yardımcı olmak için ayrıntılı olarak açıklanmaktadır.
İzleme ve raporlama, olay günlüğü iletileri veya PowerShell cmdlet'leri çalıştırılarak gerçekleştirilir. DC aracısı ve ara sunucu hizmetleri hem olay günlüğü iletilerini günlüğe kaydeder. Aşağıda açıklanan tüm PowerShell cmdlet'leri yalnızca proxy sunucusunda kullanılabilir (bkz. AzureADPasswordProtection PowerShell modülü). DC aracı yazılımı bir PowerShell modülü yüklemez.
DC aracısı olay günlüğü
Her etki alanı denetleyicisinde, DC aracı hizmeti yazılımı her bir parola doğrulama işleminin (ve diğer durumun) sonuçlarını yerel bir olay günlüğüne yazar:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
DC aracısı Yönetici günlüğü, yazılımın nasıl davrandığını gösteren birincil bilgi kaynağıdır.
İzleme günlüğünün varsayılan olarak kapalı olduğunu unutmayın.
Çeşitli DC aracısı bileşenleri tarafından günlüğe kaydedilen olaylar aşağıdaki aralıklarda yer alır:
| Bileşen | Olay Kimliği aralığı |
|---|---|
| DC Aracısı parola filtresi dll'i | 10000-19999 |
| DC aracı hizmeti barındırma işlemi | 20000-29999 |
| DC aracısı hizmet ilkesi doğrulama mantığı | 30000-39999 |
DC aracısı Yönetici olay günlüğü
Parola doğrulama sonucu olayları
Her etki alanı denetleyicisinde DC aracı hizmeti yazılımı, her bir parola doğrulamasının sonuçlarını DC aracısı yönetici olay günlüğüne yazar.
Başarılı bir parola doğrulama işlemi için genellikle DC aracısı parola filtresi dll'sinden günlüğe kaydedilen bir olay vardır. Başarısız bir parola doğrulama işlemi için genellikle biri DC aracı hizmetinden, biri DC Aracısı parola filtresi dll'sinden olmak üzere iki olay günlüğe kaydedilir.
Bu durumları yakalamak için ayrık olaylar, aşağıdaki faktörlere göre günlüğe kaydedilir:
- Belirli bir parolanın ayarlanıp ayarlanmadığı veya değiştirildiği.
- Belirli bir parolanın doğrulanıp doğrulanmadığı.
- Microsoft genel ilkesi, kuruluş ilkesi veya bir birleşim nedeniyle doğrulamanın başarısız olup olmadığı.
- Geçerli parola ilkesi için yalnızca denetim modunun açık veya kapalı olup olmadığı.
Parola doğrulamasıyla ilgili önemli olaylar aşağıdaki gibidir:
| Olay | Parola değiştirme | Parola kümesi |
|---|---|---|
| Geçer | 10014 | 10015 |
| Başarısız (müşteri parola ilkesi nedeniyle) | 10016, 30002 | 10017, 30003 |
| Başarısız (Microsoft parola ilkesi nedeniyle) | 10016, 30004 | 10017, 30005 |
| Başarısız (birleşik Microsoft ve müşteri parola ilkeleri nedeniyle) | 10016, 30026 | 10017, 30027 |
| Başarısız (kullanıcı adı nedeniyle) | 10016, 30021 | 10017, 30022 |
| Yalnızca denetim geçişi (müşteri parola ilkesi başarısız olurdu) | 10024, 30008 | 10025, 30007 |
| Yalnızca denetim geçişi (Microsoft parola ilkesi başarısız olurdu) | 10024, 30010 | 10025, 30009 |
| Yalnızca denetim geçişi (birleşik Microsoft ve müşteri parola ilkeleri başarısız olurdu) | 10024, 30028 | 10025, 30029 |
| Yalnızca denetim geçişi (kullanıcı adı nedeniyle başarısız olurdu) | 10016, 30024 | 10017, 30023 |
Yukarıdaki tabloda yer alan ve "birleşik ilkelere" başvuran durumlar, bir kullanıcının parolasının hem Microsoft yasaklanmış parola listesinden hem de müşteri tarafından yasaklanan parola listesinden en az bir belirteç içerdiğinin tespit edildiği durumlara başvurur.
Yukarıdaki tabloda "kullanıcı adı"na başvuran durumlar, kullanıcının parolasının kullanıcının hesap adını ve/veya kullanıcının kolay adlarından birini içerdiği durumlara başvurur. her iki senaryo da ilke Zorla olarak ayarlandığında veya ilke Denetim modundaysa geçirildiğinde kullanıcının parolasının reddedilmesine neden olur.
Bir olay çifti birlikte günlüğe kaydedildiğinde, her iki olay da aynı CorrelationId değeriyle açıkça ilişkilendirilir.
PowerShell aracılığıyla parola doğrulama özeti raporlama
Get-AzureADPasswordProtectionSummaryReport Cmdlet, parola doğrulama etkinliğinin özet görünümünü oluşturmak için kullanılabilir. Bu cmdlet'in örnek çıktısı aşağıdaki gibidir:
Get-AzureADPasswordProtectionSummaryReport -DomainController bplrootdc2
DomainController : bplrootdc2
PasswordChangesValidated : 6677
PasswordSetsValidated : 9
PasswordChangesRejected : 10868
PasswordSetsRejected : 34
PasswordChangeAuditOnlyFailures : 213
PasswordSetAuditOnlyFailures : 3
PasswordChangeErrors : 0
PasswordSetErrors : 1
Cmdlet'in raporlamasının kapsamı –Forest, -Domain veya –DomainController parametrelerinden biri kullanılarak etkilenebilir. Parametre belirtilmemesi –Forest anlamına gelir.
Dekont
DC aracısını yalnızca bir DC'ye yüklerseniz, Get-AzureADPasswordProtectionSummaryReport yalnızca bu DC'den gelen olayları okur. Birden çok DC'den olay almak için her DC'de DC aracısının yüklü olması gerekir.
Cmdlet, Get-AzureADPasswordProtectionSummaryReport DC aracısı yönetici olay günlüğünü sorgulayarak ve sonra görüntülenen her sonuç kategorisine karşılık gelen toplam olay sayısını sayarak çalışır. Aşağıdaki tabloda her bir sonuç ile ilgili olay kimliği arasındaki eşlemeler yer alır:
| Get-AzureADPasswordProtectionSummaryReport özelliği | İlgili olay kimliği |
|---|---|
| PasswordChangesValidated | 10014 |
| PasswordSetsValidated | 10015 |
| PasswordChangesRejected | 10016 |
| PasswordSetsRejected | 10017 |
| PasswordChangeAuditOnlyFailures | 10024 |
| PasswordSetAuditOnlyFailures | 10025 |
| PasswordChangeErrors | 10012 |
| PasswordSetErrors | 10013 |
Get-AzureADPasswordProtectionSummaryReport Cmdlet'in PowerShell betik biçiminde gönderildiğini ve gerekirse doğrudan aşağıdaki konumda başvurulabileceğini unutmayın:
%ProgramFiles%\WindowsPowerShell\Modules\AzureADPasswordProtection\Get-AzureADPasswordProtectionSummaryReport.ps1
Dekont
Bu cmdlet, her etki alanı denetleyicisine bir PowerShell oturumu açarak çalışır. Başarılı olmak için, her etki alanı denetleyicisinde PowerShell uzak oturum desteğinin etkinleştirilmesi ve istemcinin yeterli ayrıcalıklara sahip olması gerekir. PowerShell uzak oturum gereksinimleri hakkında daha fazla bilgi için bir PowerShell penceresinde 'Get-Help about_Remote_Troubleshooting' komutunu çalıştırın.
Dekont
Bu cmdlet, her DC aracısı hizmetinin Yönetici olay günlüğünü uzaktan sorgulayarak çalışır. Olay günlükleri çok sayıda olay içeriyorsa, cmdlet'in tamamlanması uzun sürebilir. Ayrıca, büyük veri kümelerinin toplu ağ sorguları etki alanı denetleyicisi performansını etkileyebilir. Bu nedenle bu cmdlet üretim ortamlarında dikkatli kullanılmalıdır.
Örnek olay günlüğü iletileri
Olay Kimliği 10014 (Başarılı parola değişikliği)
The changed password for the specified user was validated as compliant with the current Azure password policy.
UserName: SomeUser
FullName: Some User
Olay Kimliği 10017 (Başarısız parola değişikliği):
The reset password for the specified user was rejected because it did not comply with the current Azure password policy. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
Olay Kimliği 30003 (Başarısız parola değişikliği):
The reset password for the specified user was rejected because it matched at least one of the tokens present in the per-tenant banned password list of the current Azure password policy.
UserName: SomeUser
FullName: Some User
Olay Kimliği 10024 (Yalnızca denetim modundaki ilke nedeniyle parola kabul edildi)
The changed password for the specified user would normally have been rejected because it did not comply with the current Azure password policy. The current Azure password policy is con-figured for audit-only mode so the password was accepted. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
Olay Kimliği 30008 (Yalnızca denetim modunda ilke nedeniyle parola kabul edildi)
The changed password for the specified user would normally have been rejected because it matches at least one of the tokens present in the per-tenant banned password list of the current Azure password policy. The current Azure password policy is configured for audit-only mode so the password was accepted.
UserName: SomeUser
FullName: Some User
Olay Kimliği 30001 (Kullanılabilir ilke olmadığından parola kabul edildi)
The password for the specified user was accepted because an Azure password policy is not available yet
UserName: SomeUser
FullName: Some User
This condition may be caused by one or more of the following reasons:%n
1. The forest has not yet been registered with Azure.
Resolution steps: an administrator must register the forest using the Register-AzureADPasswordProtectionForest cmdlet.
2. An Azure AD password protection Proxy is not yet available on at least one machine in the current forest.
Resolution steps: an administrator must install and register a proxy using the Register-AzureADPasswordProtectionProxy cmdlet.
3. This DC does not have network connectivity to any Azure AD password protection Proxy instances.
Resolution steps: ensure network connectivity exists to at least one Azure AD password protection Proxy instance.
4. This DC does not have connectivity to other domain controllers in the domain.
Resolution steps: ensure network connectivity exists to the domain.
Olay Kimliği 30006 (Yeni ilke uygulanıyor)
The service is now enforcing the following Azure password policy.
Enabled: 1
AuditOnly: 1
Global policy date: 2018-05-15T00:00:00.000000000Z
Tenant policy date: 2018-06-10T20:15:24.432457600Z
Enforce tenant policy: 1
Olay Kimliği 30019 (Microsoft Entra Parola Koruması devre dışı bırakıldı)
The most recently obtained Azure password policy was configured to be disabled. All passwords submitted for validation from this point on will automatically be considered compliant with no processing performed.
No further events will be logged until the policy is changed.%n
DC Aracısı İşlem günlüğü
DC aracı hizmeti, işletimle ilgili olayları da aşağıdaki günlüğe kaydeder:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
DC Aracısı İzleme günlüğü
DC aracısı hizmeti ayrıca ayrıntılı hata ayıklama düzeyi izleme olaylarını aşağıdaki günlüğe kaydedebilir:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
İzleme günlüğü varsayılan olarak devre dışıdır.
Uyarı
Etkinleştirildiğinde İzleme günlüğü yüksek hacimli olaylar alır ve etki alanı denetleyicisi performansını etkileyebilir. Bu nedenle, bu gelişmiş günlük yalnızca bir sorun daha derin araştırma gerektirdiğinde ve daha sonra yalnızca en az süre için etkinleştirilmelidir.
DC Aracısı metin günlüğü
DC aracısı hizmeti, aşağıdaki kayıt defteri değeri ayarlanarak metin günlüğüne yazılacak şekilde yapılandırılabilir:
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionDCAgent\Parameters!EnableTextLogging = 1 (REG_DWORD value)
Metin günlüğü varsayılan olarak devre dışıdır. Bu değerdeki değişikliklerin etkili olması için DC aracı hizmetinin yeniden başlatılması gerekir. Etkinleştirildiğinde DC aracı hizmeti şu konumda bulunan bir günlük dosyasına yazar:
%ProgramFiles%\Azure AD Password Protection DC Agent\Logs
Bahşiş
Metin günlüğü, İzleme günlüğüne kaydedilebilen aynı hata ayıklama düzeyi girdilerini alır, ancak genellikle gözden geçirilip analiz edilmesi daha kolay bir biçimdedir.
Uyarı
Etkinleştirildiğinde, bu günlük yüksek hacimli olaylar alır ve etki alanı denetleyicisi performansını etkileyebilir. Bu nedenle, bu gelişmiş günlük yalnızca bir sorun daha derin araştırma gerektirdiğinde ve daha sonra yalnızca en az süre için etkinleştirilmelidir.
DC aracı performansı izleme
DC aracı hizmeti yazılımı, Microsoft Entra Password Protection adlı bir performans sayacı nesnesi yükler. Şu anda aşağıdaki performans sayaçları kullanılabilir:
| Performans sayacı adı | Açıklama |
|---|---|
| İşlenen parolalar | Bu sayaç, son yeniden başlatmadan sonra işlenen (kabul edilen veya reddedilen) toplam parola sayısını görüntüler. |
| Parolalar kabul edildi | Bu sayaç, son yeniden başlatmadan sonra kabul edilen toplam parola sayısını görüntüler. |
| Parolalar reddedildi | Bu sayaç, son yeniden başlatmadan sonra reddedilen toplam parola sayısını görüntüler. |
| Devam eden parola filtresi istekleri | Bu sayaç, sürmekte olan parola filtresi isteklerinin sayısını görüntüler. |
| En yüksek parola filtresi istekleri | Bu sayaç, son yeniden başlatmadan bu yana eşzamanlı parola filtresi isteklerinin en yüksek sayısını görüntüler. |
| Parola filtresi isteği hataları | Bu sayaç, son yeniden başlatmadan bu yana bir hata nedeniyle başarısız olan toplam parola filtresi isteği sayısını görüntüler. Microsoft Entra Password Protection DC aracı hizmeti çalışmadığında hatalar oluşabilir. |
| Parola filtresi istekleri/sn | Bu sayaç, parolaların işlenme hızını görüntüler. |
| Parola filtresi isteği işleme süresi | Bu sayaç, parola filtresi isteğini işlemek için gereken ortalama süreyi görüntüler. |
| En yüksek parola filtresi isteği işleme süresi | Bu sayaç, son yeniden başlatmadan bu yana en yüksek parola filtresi isteği işleme süresini görüntüler. |
| Denetim modu nedeniyle kabul edilen parolalar | Bu sayaç normalde reddedilen ancak parola ilkesi denetim modunda (son yeniden başlatmadan bu yana) yapılandırıldığından kabul edilen toplam parola sayısını görüntüler. |
DC Aracısı bulma
Get-AzureADPasswordProtectionDCAgent Cmdlet, bir etki alanında veya ormanda çalışan çeşitli DC aracıları hakkında temel bilgileri görüntülemek için kullanılabilir. Bu bilgiler, çalışan DC aracı hizmetleri tarafından kaydedilen hizmet Bağlan ionPoint nesnelerinden alınır.
Bu cmdlet'in örnek çıktısı aşağıdaki gibidir:
Get-AzureADPasswordProtectionDCAgent
ServerFQDN : bplChildDC2.bplchild.bplRootDomain.com
Domain : bplchild.bplRootDomain.com
Forest : bplRootDomain.com
PasswordPolicyDateUTC : 2/16/2018 8:35:01 AM
HeartbeatUTC : 2/16/2018 8:35:02 AM
Çeşitli özellikler, her DC aracısı hizmeti tarafından yaklaşık saat temelinde güncelleştirilir. Veriler hala Active Directory çoğaltma gecikme süresine tabidir.
Cmdlet sorgusunun kapsamı –Forest veya –Domain parametreleri kullanılarak etkilenebilir.
HeartbeatUTC değeri eskiyse, bu etki alanı denetleyicisindeki Microsoft Entra Password Protection DC Aracısı'nın çalışmadığını veya kaldırıldığını ya da makinenin indirildiğini ve artık bir etki alanı denetleyicisi olmadığını gösteren bir belirti olabilir.
PasswordPolicyDateUTC değeri eskiyse, bu makinedeki Microsoft Entra Password Protection DC Aracısı'nın düzgün çalışmadığını gösteren bir belirti olabilir.
DC aracısı daha yeni bir sürüm kullanılabilir
DC aracı hizmeti, DC aracı yazılımının daha yeni bir sürümünün kullanılabilir olduğunu algılandığında İşletim günlüğünde 30034 uyarı olayını günlüğe kaydeder, örneğin:
An update for Azure AD Password Protection DC Agent is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
Yukarıdaki olay, yeni yazılımın sürümünü belirtmez. Bu bilgi için olay iletisindeki bağlantıya gitmeniz gerekir.
Dekont
Yukarıdaki olay iletisinde "otomatik yükseltme" başvurularına rağmen DC aracı yazılımı şu anda bu özelliği desteklememektedir.
Ara sunucu hizmeti olay günlüğü
Proxy hizmeti aşağıdaki olay günlüklerine en az sayıda olay yayar:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Trace
İzleme günlüğünün varsayılan olarak kapalı olduğunu unutmayın.
Uyarı
Etkinleştirildiğinde İzleme günlüğü yüksek hacimli olaylar alır ve bu durum ara sunucu konağı performansını etkileyebilir. Bu nedenle, bu günlük yalnızca bir sorun daha derin araştırma gerektirdiğinde ve daha sonra yalnızca en az süre için etkinleştirilmelidir.
Olaylar çeşitli Ara Sunucu bileşenleri tarafından aşağıdaki aralıklar kullanılarak günlüğe kaydedilir:
| Bileşen | Olay Kimliği aralığı |
|---|---|
| Ara sunucu hizmeti barındırma işlemi | 10000-19999 |
| Ara sunucu hizmeti çekirdek iş mantığı | 20000-29999 |
| PowerShell cmdlet'leri | 30000-39999 |
Ara sunucu hizmeti metin günlüğü
Proxy hizmeti, aşağıdaki kayıt defteri değeri ayarlanarak metin günlüğüne yazılacak şekilde yapılandırılabilir:
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionProxy\Parameters! EnableTextLogging = 1 (REG_DWORD değer)
Metin günlüğü varsayılan olarak devre dışıdır. Bu değerdeki değişikliklerin etkili olması için Ara Sunucu hizmetinin yeniden başlatılması gerekir. Etkinleştirildiğinde Proxy hizmeti şu konumda bulunan bir günlük dosyasına yazar:
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
Bahşiş
Metin günlüğü, İzleme günlüğüne kaydedilebilen aynı hata ayıklama düzeyi girdilerini alır, ancak genellikle gözden geçirilip analiz edilmesi daha kolay bir biçimdedir.
Uyarı
Bu günlük etkinleştirildiğinde yüksek hacimli olaylar alır ve makinenin performansını etkileyebilir. Bu nedenle, bu gelişmiş günlük yalnızca bir sorun daha derin araştırma gerektirdiğinde ve daha sonra yalnızca en az süre için etkinleştirilmelidir.
PowerShell cmdlet günlüğü
Durum değişikliğine neden olan PowerShell cmdlet'leri (örneğin, Register-AzureADPasswordProtectionProxy), normalde İşlem günlüğünde bir sonuç olayı günlüğe kaydeder.
Buna ek olarak, Microsoft Entra Password Protection PowerShell cmdlet'lerinin çoğu şu konumda bulunan bir metin günlüğüne yazar:
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
Bir cmdlet hatası oluşursa ve nedeni ve\veya çözümü görünür değilse, bu metin günlüklerine de başvurulabilir.
Ara sunucu bulma
Get-AzureADPasswordProtectionProxy Cmdlet, bir etki alanında veya ormanda çalışan çeşitli Microsoft Entra Password Protection Proxy hizmetleri hakkında temel bilgileri görüntülemek için kullanılabilir. Bu bilgiler, çalışan Ara Sunucu hizmetleri tarafından kaydedilen hizmet Bağlan ionPoint nesnelerinden alınır.
Bu cmdlet'in örnek çıktısı aşağıdaki gibidir:
Get-AzureADPasswordProtectionProxy
ServerFQDN : bplProxy.bplchild2.bplRootDomain.com
Domain : bplchild2.bplRootDomain.com
Forest : bplRootDomain.com
HeartbeatUTC : 12/25/2018 6:35:02 AM
Çeşitli özellikler her Proxy hizmeti tarafından yaklaşık saat temelinde güncelleştirilir. Veriler hala Active Directory çoğaltma gecikme süresine tabidir.
Cmdlet sorgusunun kapsamı –Forest veya –Domain parametreleri kullanılarak etkilenebilir.
HeartbeatUTC değeri eskiirse, bu makinedeki Microsoft Entra Parola Koruma Proxy'sinin çalışmadığını veya kaldırıldığını gösteren bir belirti olabilir.
Ara sunucu aracısı daha yeni bir sürüm kullanılabilir
Proxy hizmeti, proxy yazılımının daha yeni bir sürümünün kullanılabilir olduğunu algılandığında İşletimsel günlüğe bir 20002 uyarı olayı kaydeder, örneğin:
An update for Azure AD Password Protection Proxy is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
.
Yukarıdaki olay, yeni yazılımın sürümünü belirtmez. Bu bilgi için olay iletisindeki bağlantıya gitmeniz gerekir.
Ara sunucu aracısı otomatik sürüm etkinleştirilmiş olarak yapılandırılsa bile bu olay yayılacaktır.
Sonraki adımlar
Microsoft Entra Parola Koruması sorunlarını giderme
Genel ve özel yasaklanmış parola listeleri hakkında daha fazla bilgi için Hatalı parolaları yasaklama makalesine bakın