استكشاف أخطاء حل Microsoft Sentinel الخاص بك وإصلاحها لنشر تطبيقات SAP®

أوامر Docker مفيدة

عند استكشاف أخطاء موصل بيانات Microsoft Sentinel لـ SAP وإصلاحها، قد تجد الأوامر التالية مفيدة:

الدالة	الأمر
إيقاف حاوية Docker	docker stop sapcon-[SID]
بدء حاوية Docker	docker start sapcon-[SID]
عرض سجلات نظام Docker	docker logs -f sapcon-[SID]
دخول حاوية Docker	docker exec -it sapcon-[SID] bash

لمزيد من المعلومات، راجع وثائق Docker CLI.

مراجعة سجلات النظام

نوصي بشدة بمراجعة سجلات النظام بعد تثبيت موصل البيانات أو إعادة تعيينه.

تشغيل:

docker logs -f sapcon-[SID]

لتمكين/ تعطيل وضع تتبع أخطاء الطباعة

لتمكين/ تعطيل وضع تتبع أخطاء الطباعة:

1. على الجهاز الظاهري، قم بتحرير الملف /opt/sapcon/[SID]/systemconfig.ini .

2. حدّد القسم "General" إذا لم يتم تعريفه مسبقًا. في هذا القسم، حدّد logging_debug = True.

   على سبيل المثال:

   [General]
   logging_debug = True
   

3. حفظ الملف.

يسري التغيير بعد دقيقتين من حفظ الملف. لا تحتاج إلى إعادة تشغيل حاوية Docker.

تعطيل وضع تتبع أخطاء الطباعة:

1. على الجهاز الظاهري، قم بتحرير الملف /opt/sapcon/[SID]/systemconfig.ini .

2. في القسم "General"، حدّد logging_debug = False.

   على سبيل المثال:

   [General]
   logging_debug = False
   

3. حفظ الملف.

يسري التغيير بعد دقيقتين من حفظ الملف. لا تحتاج إلى إعادة تشغيل حاوية Docker.

عرض جميع سجلات تنفيذ الحاوية

الاتصال أو يتم تخزين سجلات التنفيذ لحل Microsoft Sentinel لنشر موصل بيانات تطبيقات SAP® على جهازك الظاهري في /opt/sapcon/[SID]/log/. اسم ملف السجل OmniLog.log. يتم الاحتفاظ بمحفوظات ملفات السجل، لاحقة ب .[ number] مثل OmniLog.log.1 أو OmniLog.log.2 وما إلى ذلك

مراجعة توين موصل بيانات Microsoft Sentinel لـ SAP وتحديثه

إذا أردت التحقق من ملف تكوين موصل بيانات Microsoft Sentinel لـ SAP وإجراء تحديثات يدوية، نفّذ الخطوات التالية:

1. على الجهاز الظاهري، افتح ملف التكوين:

   • sapcon/[SID]/systemconfig.json لإصدارات العامل التي تم إصدارها في 22 يونيو 2023 أو بعده.
   • sapcon/[SID]/systemconfig.ini لإصدارات العامل التي تم إصدارها قبل 22 يونيو 2023.

2. قم بتحديث التكوين إذا لزم الأمر، واحفظ الملف.

يسري التغيير بعد دقيقتين من حفظ الملف. لا تحتاج إلى إعادة تشغيل حاوية Docker.

إعادة تعيين موصل بيانات Microsoft Sentinel لـ SAP

تساعد الخطوات التالية على إعادة تعيين الموصل وإعادة إدخال سجلات SAP من مخزون آخر 30 دقيقة.

1. أوقف الموصل. تشغيل:

   docker stop sapcon-[SID]
   

2. احذف ملف metadata.db من الدليل /opt/sapcon/[SID]. تشغيل:

   cd /opt/sapcon/<SID>
   rm metadata.db
   

   إشعار

   يحتوي ملف metadata.db على الطابع الزمني الأخير لكل سجل من السجلات، ويعمل على منع التكرار.

3. ابدأ تشغيل الموصل مرة أخرى. تشغيل:

   docker start sapcon-[SID]
   

تأكد من مراجعة سجلات النظام عند الانتهاء.

حقول عنوان IP أو رمز المعاملة مفقودة في سجل تدقيق SAP

يسمح هذا الحل لأنظمة SAP ذات الإصدارات ل SAP BASIS 7.5 SP12 وما فوق بعكس حقول إضافية في ABAPAuditLog_CL الجدولين و SAPAuditLog .

إذا كنت تستخدم إصدارات SAP BASIS أعلى من 7.5 SP12 وحقول عنوان IP أو رمز المعاملة المفقودة في سجل تدقيق SAP، فتحقق من أن نظام SAP الذي تستخرج منه البيانات يحتوي على طلبات التغيير ذات الصلة (النقل). لمعرفة المزيد، راجع قسم استرداد معلومات إضافية من SAP في المتطلبات الأساسية.

لا تظهر أي بيانات في سجل بيانات جدول SAP

يسمح هذا الحل لأنظمة SAP ذات الإصدارات ل SAP BASIS 7.5 SP12 والإصدارات الأحدث بعكس تغييرات سجل بيانات الجدول في ABAPTableDataLog_CL الجدول.

إذا لم تظهر أي بيانات في ABAPTableDataLog_CL الجدول، فتحقق من أن نظام SAP الذي تستخرج منه البيانات يحتوي على طلبات التغيير ذات الصلة (عمليات النقل). لمعرفة المزيد، راجع قسم استرداد معلومات إضافية من SAP في المتطلبات الأساسية.

المشكلات الشائعة

بعد توزيع كل من موصل بيانات Microsoft Sentinel لـ SAP ومحتوى الأمان، قد تواجه الأخطاء أو المشكلات التالية:

ملف SAP SDK تالف أو مفقود

قد يحدث هذا الخطأ عندما يفشل الموصل في التمهيد باستخدام PyRfc، أو تظهر رسائل الخطأ المتعلقة بالرمز البريدي.

1. أعد تثبيت SAP SDK.
2. تحقق من أنك إصدار Linux 64 بت الصحيح. اعتبارًا من التاريخ الحالي، يكون اسم ملف الإصدار هو: nwrfc750P_8-70002752.zip.

إذا قمت بتثبيت موصل البيانات يدويًا، فتأكد من نسخ ملف SDK إلى حاوية Docker.

تشغيل:

Docker cp SDK by running docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

تظهر أخطاء وقت تشغيل ABAP على نظام كبير

إذا ظهرت أخطاء وقت تشغيل ABAP على أنظمة كبيرة، فحاول تعيين حجم مجموعة أصغر:

1. قم بتحرير ملف /opt/sapcon/[SID]/systemconfig.ini وفي قسم الاتصال or Configuration حدد timechunk = 5.

   على سبيل المثال:

   [Connector Configuration]
   timechunk = 5
   

2. احفظ الملف.

يسري التغيير بعد دقيقتين من حفظ الملف. لا تحتاج إلى إعادة تشغيل حاوية Docker.

إشعار

يتم تعريف حجم timechunk بالدقائق.

تم استرداد سجل تدقيق فارغ أو لم يتم استرداده، مع عدم وجود رسائل خطأ خاصة

1. تحقق من تمكين تسجيل التدقيق في SAP.
2. تحقق من المعاملات SM19 أو RSAU_CONFIG.
3. تمكين أي أحداث حسب الحاجة.
4. تحقق مما إذا كانت الرسائل تصل وتوجد في SAP SM20 أو RSAU_READ_LOG، دون أي أخطاء خاصة تظهر في سجل الموصل.

معرف أو مفتاح مساحة عمل Microsoft Azure Sentinel غير صحيح

إذا كنت تدرك أنك أدخلت معرف مساحة عمل أو مفتاحا غير صحيح في البرنامج النصي للتوزيع، فقم بتحديث بيانات الاعتماد المخزنة في مخزن مفاتيح Azure.

بعد التحقق من بيانات الاعتماد الخاصة بك في Azure KeyVault، أعد تشغيل الحاوية:

docker restart sapcon-[SID]

بيانات اعتماد مستخدم SAP ABAP غير صحيحة في تكوين ثابت

التكوين الثابت هو عند تخزين كلمة المرور مباشرة في ملف تكوين systemconfig.ini.

إذا كانت بيانات الاعتماد الخاصة بك هناك غير صحيحة، فتحقق من بيانات الاعتماد الخاصة بك.

استخدم تشفير base64 لتشفير المستخدم وكلمة المرور. يمكنك استخدام أدوات التشفير عبر الإنترنت لتشفير بيانات الاعتماد الخاصة بك، مثل https://www.base64encode.org/.

بيانات اعتماد مستخدم SAP ABAP غير صحيحة في مخزن المفاتيح

تحقق من بيانات الاعتماد الخاصة بك وأصلحها حسب الحاجة، وتطبيق القيم الصحيحة على قيم ABAPUSER وABAPPASS في Azure Key Vault.

ثم أعد تشغيل الحاوية:

docker restart sapcon-[SID]

أذونات ABAP مفقودة (مستخدم SAP)

إذا تلقيت رسالة خطأ مشابهة لما يلي: ..Missing Backend RFC Authorization..، فقد تعذر تطبيق تخويلات SAP والدور الخاص بك بشكل صحيح.

1. تأكد من استيراد دور MSFTSEN/SENTINEL_CONNECTOR كجزء من نقل طلب التغيير وتطبيقه على مستخدم الموصل.

2. قم بتشغيل عملية إنشاء الأدوار ومقارنة المستخدمين باستخدام معاملة SAP PFCG.

البيانات المفقودة في المصنفات أو التنبيهات

إذا وجدت أنك تفتقد البيانات في مصنفات أو تنبيهات Microsoft Azure Sentinel، فتأكد من تمكين نهج Auditlog بشكل صحيح على جانب SAP، دون أي أخطاء في ملف السجل.

استخدم المعاملة RSAU_CONFIG_LOG لهذه الخطوة.

طلب تغيير SAP مفقود

إذا رأيت أخطاء في فقدان طلب تغيير SAPمطلوب، فتأكد من استيراد طلب تغيير SAP الصحيح للنظام.

لمزيد من المعلومات، راجع خطوات التحقق من صحة بيئةSAP.

لا توجد سجلات / سجلات متأخرة

يعتمد العامل على معلومات المنطقة الزمنية لتكون صحيحة. إذا رأيت أنه لا توجد سجلات في سجلات تدقيق SAP وتغييرها، أو إذا كانت السجلات متخلفة بضع ساعات باستمرار، فتحقق مما إذا كان تقرير SAP TZCUSTHELP يقدم أي أخطاء. اتبع 481835 ملاحظة SAP لمزيد من التفاصيل. بالإضافة إلى ذلك، يمكن أن تكون هناك مشكلات في الساعة على الجهاز الظاهري حيث يتم استضافة حل Microsoft Sentinel لعامل تطبيقات SAP®. سيؤثر أي انحراف في ساعة الجهاز الظاهري عن التوقيت العالمي المتفق عليه على جمع البيانات. والأهم من ذلك، يجب أن تتطابق ساعة SAP VM وساعة الجهاز الظاهري لعامل Sentinel.

مشاكل الاتصال بالشبكة

إذا كنت تواجه مشكلات في اتصال الشبكة ببيئة SAP أو بـ Microsoft Azure Sentinel، فتحقق من اتصال الشبكة للتأكد من تدفق البيانات كما هو متوقع.

تتضمن المشكلات الشائعة:

• قد تمنع جدران الحماية بين حاوية docker ومضيفي SAP نسبة استخدام الشبكة. يتلقى مضيف SAP الاتصال عبر منافذ TCP التالية، والتي يجب أن تكون مفتوحة: 32xx و5xx13 و33xx، حيث xx هو رقم مثيل SAP.

• يتطلب الاتصال الصادر من مضيف SAP الخاص بك إلى Microsoft Container Registry أو Azure تكوين الوكيل. يؤثر هذا عادة على التثبيت ويتطلب منك تكوين المتغيرين البيئيين HTTP_PROXY وHTTPS_PROXY. يمكنك أيضًا استيعاب متغيرات البيئة في حاوية docker عند إنشاء الحاوية، عن طريق إضافة -e العلامة إلى أمر docker create / run.

مشكلات أخرى غير متوقعة

إذا كانت لديك مشكلات غير متوقعة غير مدرجة في هذه المقالة، فجرب الخطوات التالية:

• إعادة تعيين الموصل وإعادة تحميل سجلاتك
• ترقية الموصل إلى أحدث إصدار.

تلميح

يوصى أيضًا بإعادة تعيين الموصل والتأكد من حصولك على أحدث الترقيات بعد أي تغييرات تكوين رئيسية.

فشل استرداد سجل التدقيق مع ظهور تحذيرات

إذا حاولت استرداد سجل تدقيق، بدون نشر طلب التغيير المطلوب أو على إصدار أقدم / غير مصحح، وفشلت العملية مع وجود تحذيرات، تحقق من إمكانية استرداد سجل تدقيق SAP باستخدام إحدى الطرق التالية:

• استخدام وضع توافق يسمى XAL على الإصدارات القديمة
• باستخدام إصدار لم يتم تصحيحه مؤخرًا
• بدون تثبيت طلب التغيير المطلوب

بينما يجب أن يتحول نظامك تلقائيًا إلى وضع التوافق إذا لزم الأمر، فقد تحتاج إلى تبديله يدويًا. للتبديل إلى وضع التوافق يدويًا:

1. تحرير ملف /opt/sapcon/[SID]/systemconfig.ini

2. في قسم "Connector Configuration" حدّد التعريف: auditlogforcexal = True

   على سبيل المثال:

   [Connector Configuration]
   auditlogforcexal = True
   

3. احفظ الملف.

يسري التغيير بعد دقيقتين من حفظ الملف. لا تحتاج إلى إعادة تشغيل حاوية Docker.

أنظمة SAPCONTROL أو JAVA الفرعية غير قادرة على الاتصال

تحقق من أن مستخدم نظام التشغيل صالح ويمكنه تشغيل الأمر التالي على نظام SAP الهدف:

sapcontrol -nr <SID> -function GetSystemInstanceList

فشل النظام الفرعي SAPCONTROL أو JAVA مع ظهور رسالة خطأ متعلقة بالمنطقة الزمنية

إذا فشل نظام SAPCONTROL أو JAVA الفرعي الخاص بك مع ظهور رسالة خطأ متعلقة بالمنطقة الزمنية، مثل: يرجى التحقق من التكوين والوصول إلى الشبكة لخادم SAP - 'Etc/NZST'، فتأكد من أنك تستخدم رموز المنطقة الزمنية القياسية.

على سبيل المثال، استخدم javatz = GMT+12 أو abaptz = GMT-3** .

تعذر استيراد عمليات نقل طلب التغيير إلى SAP

إذا لم تتمكن من استيراد طلبات تغيير سجل SAP المطلوبة وتلقى خطأ حول إصدار مكون غير صالح، فأضف ignore invalid component version عند استيراد طلب التغيير.

لم يتم استيعاب بيانات سجل التدقيق بعد التحميل الأولي

إذا لم يتم استيعاب بيانات سجل تدقيق SAP، المرئية في عمليات "RSAU_READ_LOAD" أو "SM200"، في Microsoft Sentinel بعد التحميل الأولي، فقد يكون لديك تكوين خاطئ لنظام SAP ونظام التشغيل المضيف SAP.

• يُجرى استيعاب الأحمال الأولية بعد تثبيت جديد لموصل بيانات Microsoft Sentinel لـ SAP أو بعد حذف ملف metadata.db.
• قد يكون نموذج التكوين الخاطئ عند تعيين المنطقة الزمنية لنظام SAP إلى CET في معاملة STZAC، ولكن يتم تعيين المنطقة الزمنية لنظام تشغيل مضيف SAP إلى UTC.

للتحقق من وجود تكوينات خاطئة، قم بتشغيل تقرير RSDBTIME في المعاملة SE38. إذا وجدت عدم تطابق بين نظام SAP ونظام تشغيل مضيف SAP:

1. أوقف حاوية Docker. تشغيل

   docker stop sapcon-[SID]
   

2. احذف ملف metadata.db من الدليل /opt/sapcon/[SID]. تشغيل:

   rm /opt/sapcon/[SID]/metadata.db
   

3. تحديث نظام SAP ونظام التشغيل المضيف SAP أن يكون لديك إعدادات مطابقة، مثل نفس المنطقة الزمنية. لمزيد من المعلومات، راجع SAP Community Wiki.

4. بدء تشغيل الحاوية مرة أخرى. تشغيل:

   docker start sapcon-[SID]
   

حقول عنوان IP أو رمز المعاملة مفقودة في سجل تدقيق SAP

يسمح هذا الحل لأنظمة SAP ذات الإصدارات ل SAP BASIS 7.5 SP12 وما فوق بعكس حقول إضافية في جداول ABAPAuditLog_CL وSAPAuditLog. إذا كنت تستخدم إصدارات SAP BASIS أعلى من 7.5 SP12 وحقول عنوان IP أو رمز المعاملة المفقودة في سجل تدقيق SAP، فتحقق من أن نظام SAP الذي تقوم باستخراج البيانات منه يحتوي على طلبات التغيير ذات الصلة (عمليات النقل). راجع استرداد معلومات إضافية من SAP (اختياري) لمزيد من التفاصيل.

لا تظهر أي بيانات في سجل بيانات جدول SAP

يسمح هذا الحل لأنظمة SAP مع إصدارات SAP BASIS 7.5 SP12 والإصدارات الأحدث بعكس تغييرات سجل بيانات الجدول في جدول ABAPTableDataLog_CL. إذا لم تظهر أي بيانات في ABAPTableDataLog_CL، فتحقق من أن نظام SAP الذي تقوم باستخراج البيانات منه يحتوي على طلبات التغيير ذات الصلة (عمليات النقل). راجع استرداد معلومات إضافية من SAP (اختياري) لمزيد من التفاصيل.

الخطوات التالية

تعرف على المزيد حول حل Microsoft Sentinel لتطبيقات SAP®:

• نشر حل Microsoft Sentinel لتطبيقات SAP®
• المتطلبات الأساسية لنشر حل Microsoft Sentinel لتطبيقات SAP®
• توزيع طلبات تغيير SAP (CRs) وتكوين التخويل
• نشر محتوى الحل من مركز المحتوى
• توزيع حاوية عامل موصل بيانات SAP وتكوينها
• توزيع موصل بيانات Microsoft Sentinel لـ SAP باستخدام SNC
• تمكين وتكوين تدقيق SAP
• جمع سجلات تدقيق SAP HANA

الملفات المرجعية:

• حل Microsoft Sentinel لمرجع بيانات حل تطبيقات SAP®
• حل Microsoft Sentinel لحل تطبيقات SAP®: مرجع محتوى الأمان
• مرجع البرنامج النصي لبدء التشغيل
• تحديث مرجع البرنامج النصي
• مرجع ملف Systemconfig.ini

لمزيد من المعلومات، راجع حلول Microsoft Sentinel.