Referenční informace k protokolům a tabulce pro řešení Microsoft Sentinel pro aplikace SAP
Tento článek popisuje protokoly a tabulky, které jsou k dispozici jako součást řešení Microsoft Sentinel pro aplikace SAP a jeho datový konektor.
Některé protokoly, které jsou uvedené v tomto článku, se ve výchozím nastavení do Microsoft Sentinelu neodesílají, ale podle potřeby je můžete přidat ručně. Další informace najdete v tématu Definování protokolů SAP odesílaných do Microsoft Sentinelu.
Obsah v tomto článku je určený pro týmy SAP BASIS .
Důležité
Některé komponenty řešení Microsoft Sentinel Threat Monitoring for SAP jsou aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Použití funkcí v dotazech místo podkladových protokolů nebo tabulek
Důrazně doporučujeme používat dostupné funkce jako předměty jejich analýzy, kdykoli je to možné, místo podkladových protokolů nebo tabulek.
Funkce poskytované s řešením Microsoft Sentinel pro aplikace SAP slouží jako hlavní uživatelské rozhraní pro data. Tvoří základ pro všechna předdefinovaná analytická pravidla a sešity, které máte k dispozici. Použití funkcí umožňuje provádět změny datové infrastruktury pod funkcemi, aniž by došlo k narušení uživatelem vytvořeného obsahu.
Další informace najdete v tématu Řešení Microsoft Sentinel pro aplikace SAP – odkazy na funkce a funkce v dotazech na protokoly služby Azure Monitor.
Pokrytí protokolů
Řešení Microsoft Sentinel pro aplikace SAP shromažďuje protokoly z aplikačních, operačních systémů a datových vrstev a poskytuje komplexní ochranu systému SAP:
Aplikační vrstva: Microsoft Sentinel monitoruje aktivity v rámci vrstvy ABAP, což je primární aplikační vrstva v systémech SAP, která zodpovídá za provádění obchodní logiky a zpracování transakcí. Microsoft Sentinel například shromažďuje protokoly, které zahrnují akce uživatelů, jako jsou přihlášení, změny hesla a přístup k sestavám nebo souborům.
Kromě monitorování zabezpečení je možné protokoly shromážděné na aplikační vrstvě použít také pro účely dodržování předpisů a auditování.
Vrstva operačního systému: Microsoft Sentinel shromažďuje protokoly z operačního systému, aby poskytoval přehled o aktivitách na úrovni operačního systému, například ze serveru ABAP a virtuálních počítačů, na kterých běží aplikace SAP.
Využijte řešení Microsoft Sentinel pro aplikace SAP společně s obsahem zabezpečení a datovými konektory pro ostatní služby pro komplexní a centrální monitorování, korelaci informací ve všech vašich systémech a vylepšení celkového stavu zabezpečení.
Vrstva databáze: Ingestování protokolů databáze do Služby Microsoft Sentinel za účelem monitorování databázových aktivit, jako jsou aktivity správy databází a změny tabulkových dat. Řešení Microsoft Sentinel pro aplikace SAP je nezávislé na databázích.
Všechny protokoly shromážděné agentem datového konektoru se nejprve ukládají na počítači agenta kolektoru dat ve /opt/sapcon/<sid>/log složce v instanci kontejneru. Protokoly se pak předávají do pracovního prostoru služby Log Analytics, kde je můžete zobrazit, auditovat a dotazovat z Microsoft Sentinelu.
Protokoly auditu se shromažďují a ingestují každou minutu, zatímco jiné protokoly se můžou ingestovat méně často. Microsoft Sentinel také monitoruje prezenčních signálů agenta datového konektoru, aby se zajistilo, že se protokoly shromažďují a odesílají do pracovního prostoru služby Log Analytics.
Referenční informace k protokolům
Následující části popisují protokoly SAP dostupné z řešení Microsoft Sentinel pro datový konektor aplikací SAP, včetně názvů tabulek v Microsoft Sentinelu, účelů protokolů a podrobných schémat protokolů.
Popisy polí schématu jsou založené na popisech polí v příslušné dokumentaci SAP.
- Protokol aplikace ABAP
- Protokol změn dokumentů ABAP
- Protokol ABAP CR
- Protokol dat tabulek ABAP (PREVIEW)
- Protokol brány ABAP (PREVIEW)
- Protokol ICM ABAP (PREVIEW)
- Protokol úloh ABAP
- Protokol auditu zabezpečení ABAP
- Protokol fondu ABAP
- Výstupní protokol fondu APAB
- ABAP SysLog
- Protokol pracovního postupu ABAP
- Protokol pracovníchprocesů ABAP
- Záznam auditu databáze HANA
- Soubory JAVA
- Protokol prezenčního signálu SAP
Protokol aplikace ABAP
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPAppLog
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Zaznamenává průběh provádění aplikace, abyste ho mohli později podle potřeby rekonstruovat.
K dispozici pomocí RFC na základě standardní tabulky SAP a standardních služeb rozhraní XBP. Tento protokol se vygeneruje na klienta.
schéma protokolu ABAPAppLog_CL
| Pole | Popis |
|---|---|
| AppLogDateTime | Datum a čas protokolu aplikace |
| CallbackProgram | Program zpětného volání |
| CallbackRoutine | Rutina zpětného volání |
| CallbackType | Typ zpětného volání |
| ID klienta | ID klienta ABAP (MANDT) |
| ContextDDIC | Kontextová struktura DDIC |
| ExternalID | ID externího protokolu |
| Hostitelský počítač | Hostitelský počítač |
| Instance | Instance ABAP v následující syntaxi: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | Sériové zprávy protokolu aplikace |
| LevelofDetail | Úroveň podrobností |
| LogHandle | Popisovač protokolu aplikace |
| LogNumber | Číslo protokolu |
| MessageClass | Třída zprávy |
| MessageNumber | Číslo zprávy |
| Text zprávy | Text zprávy |
| MessageType | Typ zprávy |
| Object | Objekt protokolu aplikace |
| OperationMode | Režim operace |
| ProblemClass | Třída problému |
| Název programu | Název programu |
| SortCriterion | Kritérium řazení |
| Standardní text | Standardní text |
| Podobjekt | Dílčí objekt protokolu aplikace |
| ID systému | ID systému |
| Číslo systému | Číslo systému |
| TransactionCode | Kód transakce |
| Uživatelská | Uživatelská |
| UserChange | Změna uživatele |
Protokol změn dokumentů ABAP
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPChangeDocsLog
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Záznamy:
Sap NetWeaver Application Server (AS) ABAP log změny objektů obchodních dat v dokumentech změn
Jiné entity v systému SAP, jako jsou uživatelská data, role, adresy.
K dispozici pomocí RFC na základě standardních tabulek SAP. Tento protokol se vygeneruje na klienta.
schéma protokolu ABAPChangeDocsLog_CL
| Pole | Popis |
|---|---|
| ActualChangeNum | Skutečné číslo změny |
| ChangedTableKey | Změna klíče tabulky |
| ChangeNumber | Změnit číslo |
| ID klienta | ID klienta ABAP (MANDT) |
| CreatedfromPlannedChange | Vytvořeno z plánované změny v následující syntaxi: (‘X’ , ‘ ‘) |
| CurrencyKeyNew | Klíč měny: nová hodnota |
| CurrencyKeyOld | Klíč měny: stará hodnota |
| FieldName | Název pole |
| FlagText | Text příznaku |
| Hostitelský počítač | Hostitelský počítač |
| Instance | Instance ABAP v následující syntaxi: <HOST>_<SYSID>_<SYSNR> |
| Jazyk | Jazyk |
| ObjectClass | Třída objektu, například BELEG, BPAR, PFCGIDENTITY |
| ObjectID | ID objektu |
| PlannedChangeNum | Plánované číslo změny |
| ID systému | ID systému |
| Číslo systému | Číslo systému |
| TableName | Název tabulky |
| TransactionCode | Kód transakce |
| TypeofChange_Header | Typ změny záhlaví, včetně: U = Změnit; I = Vložit; E = Odstranit jeden dokument; D = Odstranit; J = Vložit jeden dokumentu |
| TypeofChange_Item | Typ změny položky, včetně: U = Změnit; I = Vložit; E = Odstranit jeden dokument; D = Odstranit; J = Vložit jeden dokumentu |
| UOMNew | Měrná jednotka: nová hodnota |
| UOMOld | Měrná jednotka: stará hodnota |
| Uživatelská | Uživatelská |
| ValueNew | Obsah pole: nová hodnota |
| ValueOld | Obsah pole: stará hodnota |
| Verze | Verze |
Protokol ABAP CR
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPCRLog
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Zahrnuje protokoly CTS (Change &Transport System), včetně objektů adresáře a přizpůsobení, kde byly provedeny změny.
K dispozici pomocí RFC na základě standardních tabulek a standardních služeb SAP. Tento protokol se generuje s daty napříč všemi klienty.
Poznámka:
Kromě protokolování aplikace, změn dokumentů a záznamu tabulek jsou všechny změny provedené v produkčním systému pomocí systému změn a přenosu dokumentovány v protokolech CTS a TMS.
schéma protokolu ABAPCRLog_CL
| Pole | popis |
|---|---|
| Kategorie | Kategorie (Workbench, Přizpůsobení) |
| ID klienta | ID klienta ABAP (MANDT) |
| Popis | Popis |
| Host | Hostitelský počítač |
| Instance | Instance ABAP v následující syntaxi: <HOST>_<SYSID>_<SYSNR> |
| ObjectName | Object name |
| ObjectType | Object type |
| Vlastník | Vlastník |
| Žádost | Změnit požadavek |
| Stav | Stav |
| ID systému | ID systému |
| Číslo systému | Číslo systému |
| TableKey | Klíč tabulky |
| TableName | Název tabulky |
| ViewName | Název zobrazení |
Protokol dat tabulek ABAP (PREVIEW)
Pokud chcete, aby se tento protokol odesílal do Microsoft Sentinelu, musíte ho přidat ručně do souboru systemconfig.json. Tento protokol se nepodporuje při použití doporučeného postupu instalace agenta datového konektoru z portálu.
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPTableDataLog
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Poskytuje protokolování pro tabulky, které jsou kritické nebo náchylné k auditům.
K dispozici pomocí RFC s vlastní službou. Tento protokol se generuje s daty napříč všemi klienty.
schéma protokolu ABAPTableDataLog_CL
| Pole | Popis |
|---|---|
| DBLogID | ID protokolu databáze |
| Hostitelský počítač | Hostitelský počítač |
| Instance | Instance ABAP v následující syntaxi: <HOST>_<SYSID>_<SYSNR> |
| Jazyk | Jazyk |
| LogKey | Klíč protokolu |
| NewValue | Nová hodnota pole |
| OldValue | Stará hodnota pole |
| OperationTypeSQL | Typ operace, Insert, Update, Delete |
| Program | Název programu |
| ID systému | ID systému |
| Číslo systému | Číslo systému |
| TableField | Pole tabulky |
| TableName | Název tabulky |
| TransactionCode | Kód transakce |
| UserName | Uživatelská |
| VersionNumber | Číslo verze |
Protokol brány ABAP (PREVIEW)
Pokud chcete, aby se tento protokol odesílal do Microsoft Sentinelu, musíte ho přidat ručně do souboru systemconfig.json. Tento protokol se nepodporuje při použití doporučeného postupu instalace agenta datového konektoru z portálu.
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPOS_GW
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Monitoruje aktivity brány. K dispozici ve webové službě SAP Control. Tento protokol se generuje s daty napříč všemi klienty.
schéma protokolu ABAPOS_GW_CL
| Pole | Popis |
|---|---|
| Host | Hostitelský počítač |
| Instance | Instance ABAP v následující syntaxi: <HOST>_<SYSID>_<SYSNR> |
| Text zprávy | Text zprávy |
| Závažnost | Závažnost zprávy: Debug, Info, WarningError |
| ID systému | ID systému |
| Číslo systému | Číslo systému |
Protokol ICM ABAP (PREVIEW)
Pokud chcete, aby se tento protokol odesílal do Microsoft Sentinelu, musíte ho přidat ručně do souboru systemconfig.json. Tento protokol se nepodporuje při použití doporučeného postupu instalace agenta datového konektoru z portálu.
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPOS_ICM
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Zaznamenává příchozí a odchozí požadavky a kompiluje statistiky požadavků HTTP.
K dispozici ve webové službě SAP Control. Tento protokol se generuje s daty napříč všemi klienty.
schéma protokolu ABAPOS_ICM_CL
| Pole | Popis |
|---|---|
| Host | Hostitelský počítač |
| Instance | Instance ABAP v následující syntaxi: <HOST>_<SYSID>_<SYSNR> |
| Text zprávy | Text zprávy |
| Závažnost | Závažnost zprávy, včetně: Debug, Info, WarningError |
| ID systému | ID systému |
| Číslo systému | Číslo systému |
Protokol úloh ABAP
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPJobLog
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Kombinuje všechny protokoly úloh zpracování na pozadí (SM37).
K dispozici pomocí RFC na základě standardní tabulky SAP a standardních služeb rozhraní XBP. Tento protokol se generuje s daty napříč všemi klienty.
schéma protokolu ABAPJobLog_CL
| Pole | Popis |
|---|---|
| ABAPProgram | Program ABAP |
| BgdEventParameters | Parametry události na pozadí |
| BgdProcessingEvent | Událost zpracování na pozadí |
| ID klienta | ID klienta ABAP (MANDT) |
| DynproNumber | Číslo Dynpro |
| GuiStatus | Stav grafického uživatelského rozhraní |
| Hostitelský počítač | Hostitelský počítač |
| Instance | Instance ABAP (HOST_SYSID_SYSNR) v následující syntaxi: <HOST>_<SYSID>_<SYSNR> |
| JobClassification | Klasifikace úloh |
| JobCount | Počet úloh |
| JobGroup | Skupina úloh |
| Název úlohy | Název úlohy |
| JobPriority | Priorita úloh |
| MessageClass | Třída zprávy |
| MessageNumber | Číslo zprávy |
| Text zprávy | Text zprávy |
| MessageType | Typ zprávy |
| ReleaseUser | Uživatel verze úlohy |
| SchedulingDateTime | Plánování data a času |
| StartDateTime | Počáteční datum a čas |
| ID systému | ID systému |
| Číslo systému | Číslo systému |
| Cílový server | Cílový server |
| Uživatelská | Uživatelská |
| UserReleaseInstance | Instance ABAP – verze uživatele |
| WorkProcessID | ID pracovního procesu |
| WorkProcessNumber | Číslo pracovního procesu |
Protokol auditu zabezpečení ABAP
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPAuditLog
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Zaznamenává následující data:
- Změny související se zabezpečením v systémovém prostředí SAP, například změny hlavních záznamů uživatelů
- Informace, které poskytují vyšší úroveň dat, jako jsou úspěšné a neúspěšné pokusy o přihlášení
- Informace, které umožňují obnovení řady událostí, jako jsou úspěšné nebo neúspěšné spuštění transakce
K dispozici pomocí rozhraní RFC XAL/SAL. Sal je k dispozici od verze Basis 7.50. Tento protokol se generuje s daty napříč všemi klienty.
schéma protokolu ABAPAuditLog_CL
| Pole | Popis |
|---|---|
| ABAPProgramName | Název programu, pouze SAL |
| Výstrahy bez ohledu na to | Závažnost výstrahy |
| AlertSeverityText | Text závažnosti výstrahy, pouze SAL |
| AlertValue | Hodnota upozornění |
| AuditClassID | Auditování ID třídy, pouze SAL |
| ID klienta | ID klienta ABAP (MANDT) |
| Počítač | Uživatelský počítač, pouze SAL |
| E-mail uživatele | |
| Hostitelský počítač | Hostitelský počítač |
| Instance | Instance ABAP v následující syntaxi: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | Třída zprávy |
| MessageContainerID | ID kontejneru zpráv, pouze XAL |
| MESSAGEID | ID zprávy, například ‘AU1’,’AU2’… |
| Text zprávy | Text zprávy |
| MonitoringObjectName | Název objektu monitorování MTE, pouze XAL |
| MonitorShortName | Krátký název nástroje MTE Monitor, pouze XAL |
| SAPProcesType | Systémový protokol: Typ procesu SAP, pouze SAL |
| B* – Zpracování na pozadí | |
| D* – Zpracování dialogů | |
| U* – Aktualizace úkolů | |
| SAPWPName | Systémový protokol: Číslo pracovního procesu, pouze SAL |
| ID systému | ID systému |
| Číslo systému | Číslo systému |
| TerminalIPv6 | IP adresa uživatelského počítače, pouze SAL |
| TransactionCode | Kód transakce, pouze SAL |
| Uživatelská | Uživatelská |
| Proměnná 1 | Proměnná zprávy 1 |
| Proměnná 2 | Proměnná zprávy 2 |
| Proměnná 3 | Proměnná zprávy 3 |
| Proměnná 4 | Proměnná zprávy 4 |
Protokol fondu ABAP
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPSpoolLog
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Slouží jako hlavní protokol pro tisk SAP s historií žádostí o zařazování. (SP01).
K dispozici pomocí RFC na základě standardní tabulky SAP. Tento protokol se generuje s daty napříč všemi klienty.
schéma protokolu ABAPSpoolLog_CL
| Pole | Popis |
|---|---|
| ArchiveStatus | Stav archivu |
| ArchiveType | Typ archivu |
| ArchivaceDevice | Archivace zařízení |
| Automatické restartování | Automatické přesměrování |
| ID klienta | ID klienta ABAP (MANDT) |
| CountryKey | Klíč země |
| DeleteSpoolRequestAuto | Automatické odstranění žádosti o zařazování |
| DelFlag | Příznak odstranění |
| Oddělení | Oddělení |
| DocumentType | Typ dokumentu |
| ExternalMode | Externí režim |
| FormatType | Typ formátu |
| Hostitelský počítač | Hostitelský počítač |
| Instance | Instance ABAP v následující syntaxi: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | Počet kopií |
| OutputDevice | Výstupní zařízení |
| PrinterLongName | Dlouhý název tiskárny |
| PrintImmediately | Tisk okamžitě |
| PrintOSCoverPage | Tisk stránky OSCover |
| PrintSAPCoverPage | Tisk stránky SAPCover |
| Priorita | Priorita |
| RecipientofSpoolRequest | Příjemce žádosti o zařazování |
| SpoolErrorStatus | Stav chyby fondu |
| SpoolRequestCompleted | Žádost o fond byla dokončena. |
| SpoolRequestisALogForAnotherRequest | Žádost o fond je protokol pro jiný požadavek. |
| SpoolRequestName | Název žádosti o fond |
| SpoolRequestNumber | Číslo žádosti o fond |
| SpoolRequestSuffix1 | Přípona žádosti o fond 1 |
| SpoolRequestSuffix2 | Přípona žádosti o fond 2 |
| SpoolRequestTitle | Název žádosti o fond |
| ID systému | ID systému |
| Číslo systému | Číslo systému |
| TelecommunicationsPartner | Telekomunikační partner |
| TelecommunicationsPartnerE | Telekomunikační partner E |
| TemSeGeneralcounter | Čítač Temse |
| TemseNumAddProtectionRule | Přidání pravidla ochrany číslo Temse |
| TemseNumChangeProtectionRule | Pravidlo ochrany čísel Temse |
| TemseNumDeleteProtectionRule | Pravidlo ochrany odstranění čísla Temse |
| TemSeObjectName | Název objektu Temse |
| TemSeObjectPart | TemSe – část objektu |
| TemseReadProtectionRule | Pravidlo ochrany čtení Temse |
| Uživatelská | Uživatelská |
| ValueAuthCheck | Kontrola ověřování hodnot |
Výstupní protokol fondu APAB
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPSpoolOutputLog
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Slouží jako hlavní protokol pro tisk SAP s historií žádostí o výstup zařazování. (SP02).
K dispozici pomocí RFC s vlastní službou založenou na standardních tabulkách. Tento protokol se generuje s daty napříč všemi klienty.
schéma protokolu ABAPSpoolOutputLog_CL
| Pole | Popis |
|---|---|
| AppServer | Aplikační server |
| ID klienta | ID klienta ABAP (MANDT) |
| Komentář | Komentář |
| CopyCount | Počet kopírování |
| CopyCounter | Kopírovat čítač |
| Oddělení | Oddělení |
| ErrorSpoolRequestNumber | Číslo žádosti o chybu |
| FormatType | Typ formátu |
| Hostitelský počítač | Hostitelský počítač |
| Název hostitele | Název hostitele |
| ID zařazování hostitelů | ID zařazování hostitelů |
| Instance | Instance ABAP |
| LastPage | Poslední stránka |
| NumofCopies | Počet kopií |
| OutputDevice | Výstupní zařízení |
| OutputRequestNumber | Číslo výstupního požadavku |
| OutputRequestStatus | Stav výstupní žádosti |
| PhysicalFormatType | Typ fyzického formátu |
| PrinterLongName | Dlouhý název tiskárny |
| PrintRequestSize | Velikost žádosti o tisk |
| Priorita | Priorita |
| ReasonforOutputRequest | Důvod žádosti o výstup |
| RecipientofSpoolRequest | Příjemce žádosti o zařazování |
| SpoolNumberofOutputReqProcessed | Počet výstupních požadavků – zpracované |
| SpoolNumberofOutputReqWithErrors | Počet výstupních požadavků – s chybami |
| SpoolNumberofOutputReqWithProblems | Počet výstupních požadavků – s problémy |
| SpoolRequestNumber | Číslo žádosti o fond |
| StartPage | Úvodní stránka |
| ID systému | ID systému |
| Číslo systému | Číslo systému |
| TelecommunicationsPartner | Telekomunikační partner |
| TemSeGeneralcounter | Čítač Temse |
| Nadpis | Nadpis |
| Uživatelská | Uživatelská |
ABAP Syslog
Pokud chcete, aby se tento protokol odesílal do Microsoft Sentinelu, musíte ho přidat ručně do souboru systemconfig.json. Tento protokol se nepodporuje při použití doporučeného postupu instalace agenta datového konektoru z portálu.
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPOS_Syslog
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Zaznamenává všechny systémové chyby, upozornění, zámky uživatelů, kvůli neúspěšným pokusům o přihlášení od známých uživatelů a zpracování zpráv.
K dispozici ve webové službě SAP Control. Tento protokol se generuje s daty napříč všemi klienty.
schéma protokolu ABAPOS_Syslog_CL
| Pole | Popis |
|---|---|
| ID klienta | ID klienta ABAP (MANDT) |
| Hostitelský počítač | Hostitelský počítač |
| Instance | Instance ABAP v následující syntaxi: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | Číslo zprávy |
| Text zprávy | Text zprávy |
| Závažnost | Závažnost zprávy, jedna z následujících hodnot: Debug, Info, Warning, Error |
| ID systému | ID systému |
| Číslo systému | Číslo systému |
| TransacationCode | Kód transakce |
| Typ | Typ procesu SAP |
| Uživatelská | Uživatelská |
Protokol pracovního postupu ABAP
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPWorkflowLog
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Pracovní postup SAP Business (WebFlow Engine) umožňuje definovat obchodní procesy, které ještě nejsou mapovány v systému SAP.
Nemapované obchodní procesy můžou být například jednoduché postupy vydávání nebo schvalování nebo složitější obchodní procesy, jako je vytvoření základního materiálu a následná koordinace přidružených oddělení.
K dispozici pomocí RFC na základě standardních tabulek SAP. Tento protokol se vygeneruje na klienta.
schéma protokolu ABAPWorkflowLog_CL
| Pole | Popis |
|---|---|
| ActualAgent | Skutečný agent |
| Adresa | Adresa |
| ApplicationArea | Oblast aplikace |
| CallbackFunction | Funkce zpětného volání |
| ID klienta | ID klienta ABAP (MANDT) |
| CreationDateTime | Datum vytvoření |
| Tvůrce | Tvůrce |
| CreatorAddress | Adresa autora |
| ErrorType | Typ chyby |
| ExceptionforMethod | Výjimka pro metodu |
| Hostitelský počítač | Hostitelský počítač |
| Instance | Instance ABAP (HOST_SYSID_SYSNR) v následující syntaxi: <HOST>_<SYSID>_<SYSNR> |
| Jazyk | Jazyk |
| LogCounter | Čítač protokolů |
| MessageNumber | Číslo zprávy |
| MessageType | Typ zprávy |
| MethodUser | Uživatel metody |
| Priorita | Priorita |
| SimpleContainer | Jednoduchý kontejner, zabalený jako seznam entit klíč-hodnota pro pracovní položku |
| Stav | Stav |
| SuperWI | Super WI |
| ID systému | ID systému |
| Číslo systému | Číslo systému |
| ID úkolu | ID úlohy |
| TasksClassification | Klasifikace úkolů |
| Text úkolu | Text úkolu |
| TopTaskID | ID hlavního úkolu |
| UserCreated | Uživatel vytvořil |
| WIText | Text pracovní položky |
| TYP WI | Typ pracovní položky |
| WorkflowAction | Akce pracovního postupu |
| WorkItemID | ID pracovní položky |
Protokol pracovníchprocesů ABAP
Pokud chcete, aby se tento protokol odesílal do Microsoft Sentinelu, musíte ho přidat ručně do souboru systemconfig.json. Tento protokol se nepodporuje při použití doporučeného postupu instalace agenta datového konektoru z portálu.
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPOS_WP
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Kombinuje všechny protokoly pracovních procesů. (výchozí:
dev_*).K dispozici ve webové službě SAP Control. Tento protokol se generuje s daty napříč všemi klienty.
schéma protokolu ABAPOS_WP_CL
| Pole | Popis |
|---|---|
| Host | Hostitelský počítač |
| Instance | Instance ABAP v následující syntaxi: <HOST>_<SYSID>_<SYSNR> |
| Text zprávy | Text zprávy |
| Závažnost | Závažnost zprávy: Debug, Info, WarningError |
| ID systému | ID systému |
| Číslo systému | Číslo systému |
| WPNumber | Číslo pracovního procesu |
Záznam auditu databáze HANA
Shromažďování protokolu auditování databáze HANA je příkladem toho, jak Microsoft Sentinel shromažďuje aktivity databázové vrstvy. Pokud chcete, aby se tento protokol odesílal do Služby Microsoft Sentinel, musíte nasadit agenta služby Azure Monitor, abyste mohli shromažďovat data Syslogu z počítače se spuštěnou databází HANA.
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPSyslog
Související dokumentace k SAP: General | Audit Trail
Účel protokolu: Zaznamenává akce uživatelů nebo pokusy o akce v databázi SAP HANA. Umožňuje například protokolovat a monitorovat přístup pro čtení k citlivým datům.
K dispozici agentem Microsoft Sentinel Pro Linux pro Syslog. Tento protokol se generuje s daty napříč všemi klienty.
Schéma protokolu Syslog
| Pole | Popis |
|---|---|
| Počítač | Název hostitele |
| HostIP | IP adresa hostitele |
| Název hostitele | Název hostitele |
| ProcessID | Process ID |
| ProcessName | Název procesu: HDB* |
| SeverityLevel | Výstrahy |
| SourceSystem | Operační systém zdrojového systému, Linux |
| SyslogMessage | Message, unparsed audit trail message |
Soubory JAVA
Pokud chcete, aby se tento protokol odesílal do Microsoft Sentinelu, musíte ho přidat ručně do souboru systemconfig.json. Tento protokol se nepodporuje při použití doporučeného postupu instalace agenta datového konektoru z portálu.
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPJAVAFilesLogs
Související dokumentace k SAP: Obecný | protokol auditu zabezpečení Javy
Účel protokolu: Kombinuje všechny protokoly založené na souborech Java, včetně protokolů auditu zabezpečení a systému (clusteru a serveru), výkonu a protokolů brány. Zahrnuje také trasování pro vývojáře a výchozí protokoly trasování.
K dispozici ve webové službě SAP Control. Tento protokol se generuje s daty napříč všemi klienty.
Schéma protokolu JavaFilesLogsCL
| Pole | Popis |
|---|---|
| Aplikace | Aplikace v Javě |
| ID klienta | Client ID |
| CSNComponent | Komponenta CSN, například BC-XI-IBD |
| DcComponent | Komponenta DC, například com.sap.xi.util.misc |
| DSRCounter | Čítač DSR |
| DSRRootContentID | IDENTIFIKÁTOR GUID kontextu DSR |
| DSRTransaction | IDENTIFIKÁTOR GUID transakce DSR |
| Hostitelský počítač | Hostitelský počítač |
| Instance | Instance Java v následující syntaxi: <HOST>_<SYSID>_<SYSNR> |
| Umístění | Třída Java |
| LogName | Java logName, například: Available, defaulttrace, dev*, securityatd. |
| Text zprávy | Text zprávy |
| MNo | Číslo zprávy |
| Pid | Process ID |
| Program | Název programu |
| Relace | Relace |
| Závažnost | Závažnost zprávy, včetně: Debug,Info,WarningError |
| Řešení | Řešení |
| ID systému | ID systému |
| Číslo systému | Číslo systému |
| ThreadName | Název vlákna |
| Hozený | Vyvolaná výjimka |
| Časové pásmo | Časové pásmo |
| Uživatelská | Uživatelská |
Protokol prezenčního signálu SAP
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPConnectorHealth
Účel protokolu: Poskytuje prezenční signál a další informace o stavu připojení mezi agenty a různými systémy SAP.
Automaticky se vytvoří pro všechny agenty Microsoft Sentinelu pro datový konektor SAP.
schéma protokolu SAP_HeartBeat_CL
| Pole | Popis |
|---|---|
| TimeGenerated | Čas události publikování protokolu |
| agent_id_s | ID agenta v konfiguraci agenta (automaticky vygenerováno) |
| agent_ver_s | Verze agenta |
| host_s | Název hostitele agenta |
| system_id_s | Netweaver ABAP System ID / Netweaver SAPControl Host (Preview) / Hostitel SapControl v Javě (Preview) |
| push_timestamp_d | Časové razítko extrakce podle časového pásma agenta |
| agent_timezone_s | Časové pásmo agenta |
Referenční informace o tabulkách načtených přímo ze systémů SAP
Tato část obsahuje seznam datových tabulek, které se načítají přímo ze systému SAP a ingestují se do Služby Microsoft Sentinel přesně tak, jak jsou.
Data načtená z těchto tabulek poskytují jasné zobrazení struktury autorizace, členství ve skupinách a profilů uživatelů. Umožňuje také sledovat proces udělení autorizace a odvolávání a identifikovat a řídit rizika spojená s těmito procesy.
Následující tabulky jsou potřeba k povolení funkcí, které identifikují privilegované uživatele, mapují uživatele na role, skupiny a autorizace.
Nejlepších výsledků dosáhnete, když v následujících tabulkách použijete název ve sloupci Název funkce Microsoft Sentinelu:
| Název tabulky | Popis tabulky | Název funkce Microsoft Sentinelu |
|---|---|---|
| USR01 | Hlavní záznam uživatele (data modulu runtime) | SAP_USR01 |
| USR02 | Přihlašovací data (použití na straně jádra) | SAP_USR02 |
| UST04 | Předlohy uživatelů Mapuje uživatele na profily |
SAP_UST04 |
| AGR_USERS | Přiřazení rolí uživatelům | SAP_AGR_USERS |
| AGR_1251 | Autorizační data pro skupinu aktivit | SAP_AGR_1251 |
| USGRP_USER | Přiřazení uživatelů ke skupinám uživatelů | SAP_USGRP_USER |
| USR21 | Přiřazení uživatelského jména nebo klíče adresy | SAP_USR21 |
| ADR6 | E-mailové adresy (služby obchodních adres) | SAP_ADR6 |
| USRSTAMP | Časové razítko pro všechny změny uživatele | SAP_USRSTAMP |
| ADCP | Přiřazení osoby nebo adresy (obchodní adresní služby) | SAP_ADCP |
| USR05 | ID hlavního parametru uživatele | SAP_USR05 |
| AGR_PROF | Název profilu pro roli | SAP_AGR_PROF |
| AGR_FLAGS | Atributy role | SAP_AGR_FLAGS |
| DEVACCESS | Tabulka pro uživatele vývoje | SAP_DEVACCESS |
| AGR_DEFINE | Definice role | SAP_AGR_DEFINE |
| AGR_AGRS | Role ve složených rolích | SAP_AGR_AGRS |
| PAHI | Historie parametrů systému, databáze a SAP | SAP_PAHI |
| SNCSYSACL (PREVIEW) | Seznam řízení přístupu SNC (ACL): Systémy | SAP_SNCSYSACL |
| USRACL (PREVIEW) | Seznam řízení přístupu SNC (ACL): Uživatel | SAP_USRACL |
Související obsah
Další informace naleznete v tématu: