Řešení potíží s řešením Microsoft Sentinel pro nasazení aplikací SAP®

Užitečné příkazy Dockeru

Při řešení potíží s datovým konektorem Microsoft Sentinel pro SAP můžete najít následující příkazy:

Function	Příkaz
Zastavení kontejneru Dockeru	docker stop sapcon-[SID]
Spuštění kontejneru Dockeru	docker start sapcon-[SID]
Zobrazení systémových protokolů Dockeru	docker logs -f sapcon-[SID]
Zadejte kontejner Dockeru.	docker exec -it sapcon-[SID] bash

Další informace najdete v dokumentaci k rozhraní příkazového řádku Dockeru.

Kontrola systémových protokolů

Důrazně doporučujeme po instalaci nebo resetování datového konektoru zkontrolovat systémové protokoly.

Run (Spuštění):

docker logs -f sapcon-[SID]

Povolení nebo zakázání tisku v režimu ladění

Povolit tisk v režimu ladění:

1. Na virtuálním počítači upravte soubor /opt/sapcon/[SID]/systemconfig.ini .

2. Definujte oddíl Obecné, pokud nebyl dříve definován. V této části definujte logging_debug = True.

   Příklad:

   [General]
   logging_debug = True
   

3. Uložte soubor.

Změna se projeví dvě minuty po uložení souboru. Kontejner Dockeru nemusíte restartovat.

Zakázat tisk v režimu ladění:

1. Na virtuálním počítači upravte soubor /opt/sapcon/[SID]/systemconfig.ini .

2. V části Obecné definujte logging_debug = False.

   Příklad:

   [General]
   logging_debug = False
   

3. Uložte soubor.

Změna se projeví dvě minuty po uložení souboru. Kontejner Dockeru nemusíte restartovat.

Zobrazení všech protokolů spuštění kontejneru

Připojení, že protokoly spouštění pro vaše řešení Microsoft Sentinel pro nasazení datového konektoru aplikací SAP® se ukládají na virtuální počítač v umístění /opt/sapcon/[SID]/log/. Název souboru protokolu je OmniLog.log. Historie souborů protokolu se uchovává s příponou .[ number] například OmniLog.log.1, OmniLog.log.2 atd.

Kontrola a aktualizace konfigurace datového konektoru SAP pro Microsoft Sentinel

Pokud chcete zkontrolovat konfigurační soubor datového konektoru SAP pro Microsoft Sentinel a provést ruční aktualizace, proveďte následující kroky:

1. Na virtuálním počítači otevřete konfigurační soubor:

   • sapcon/[SID]/systemconfig.json pro verze agenta vydané 22. června 2023 nebo po 22. červnu 2023.
   • sapcon/[SID]/systemconfig.ini pro verze agenta vydané před 22. června 2023.

2. V případě potřeby aktualizujte konfiguraci a uložte soubor.

Změna se projeví dvě minuty po uložení souboru. Kontejner Dockeru nemusíte restartovat.

Resetování datového konektoru Microsoft Sentinelu pro SAP

Následující kroky resetují konektor a obnovují protokoly SAP z posledních 30 minut.

1. Zastavte konektor. Run (Spuštění):

   docker stop sapcon-[SID]
   

2. Odstraňte soubor metadata.db z adresáře /opt/sapcon/[SID]. Run (Spuštění):

   cd /opt/sapcon/<SID>
   rm metadata.db
   

   Poznámka:

   Soubor metadata.db obsahuje poslední časové razítko pro každý protokol a funguje tak, aby se zabránilo duplikaci.

3. Znovu spusťte konektor. Run (Spuštění):

   docker start sapcon-[SID]
   

Po dokončení zkontrolujte systémové protokoly .

Chybějící pole IP adresy nebo kódu transakce v protokolu auditu SAP

Toto řešení umožňuje systémům SAP s verzemi pro SAP BASIS 7.5 SP12 a vyšší odrážet další pole v tabulkách ABAPAuditLog_CL a SAPAuditLog tabulkách.

Pokud používáte verze SAP BASIS vyšší než 7.5 SP12 a v protokolu auditu SAP chybí pole s IP adresou nebo kódem transakce, ověřte, že systém SAP, ze kterého extrahujete data, obsahuje příslušné žádosti o změnu (přenosy). Další informace najdete v části Načíst další informace z části SAP v požadavcích.

V protokolu dat tabulky SAP se nezobrazují žádná data

Toto řešení umožňuje systémům SAP s verzemi pro SAP BASIS 7.5 SP12 a novější odrážet změny protokolu tabulek v ABAPTableDataLog_CL tabulce.

Pokud se v ABAPTableDataLog_CL tabulce nezobrazují žádná data, ověřte, že systém SAP, ze kterého data extrahujete, obsahuje příslušné žádosti o změnu (přenosy). Další informace najdete v části Načíst další informace z části SAP v požadavcích.

Běžné problémy

Po nasazení microsoft Sentinelu pro datový konektor SAP i obsahu zabezpečení může docházet k následujícím chybám nebo problémům:

Poškozený nebo chybějící soubor SADY SAP SDK

K této chybě může dojít, když se konektoru nepodaří spustit s PyRfc nebo se zobrazí chybové zprávy související se zipem.

1. Přeinstalujte sadu SAP SDK.
2. Ověřte, že jste správnou 64bitovou verzí Linuxu. Od aktuálního data je název souboru vydané verze: nwrfc750P_8-70002752.zip.

Pokud byste datový konektor nainstalovali ručně, ujistěte se, že jste zkopírovali soubor SADY SDK do kontejneru Dockeru.

Run (Spuštění):

Docker cp SDK by running docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

jazyk ABAP chyby modulu runtime se zobrazují ve velkém systému

Pokud se ve velkých systémech zobrazí chyby modulu runtime jazyk ABAP, zkuste nastavit menší velikost bloku dat:

1. Upravte soubor /opt/sapcon/[SID]/systemconfig.ini a v oddílu konfigurace Připojení oru definujte timechunk = 5.

   Příklad:

   [Connector Configuration]
   timechunk = 5
   

2. uložte soubor.

Změna se projeví dvě minuty po uložení souboru. Kontejner Dockeru nemusíte restartovat.

Poznámka:

Velikost časového intervalu je definována v minutách.

Prázdné nebo žádné načtené protokoly auditu bez speciálních chybových zpráv

1. Zkontrolujte, jestli je v SAP povolené protokolování auditu.
2. Ověřte transakce SM19 nebo RSAU_CONFIG.
3. Podle potřeby povolte všechny události.
4. Ověřte, jestli zprávy přicházejí a existují v SAP SM20 nebo RSAU_READ_LOG, bez jakýchkoli zvláštních chyb zobrazených v protokolu konektoru.

Nesprávné ID nebo klíč pracovního prostoru služby Microsoft Sentinel

Pokud zjistíte, že jste do skriptu nasazení zadali nesprávné ID nebo klíč pracovního prostoru, aktualizujte přihlašovací údaje uložené ve službě Azure Key Vault.

Po ověření přihlašovacích údajů v Azure KeyVault restartujte kontejner:

docker restart sapcon-[SID]

Nesprávné přihlašovací údaje uživatele SAP jazyk ABAP v pevné konfiguraci

Pevná konfigurace spočívá v tom, že heslo je uložené přímo v konfiguračním souboru systemconfig.ini .

Pokud jsou vaše přihlašovací údaje nesprávné, ověřte své přihlašovací údaje.

Šifrování base64 slouží k šifrování uživatele a hesla. K šifrování přihlašovacích údajů můžete použít nástroje pro online šifrování, například https://www.base64encode.org/.

Nesprávné přihlašovací údaje uživatele SAP jazyk ABAP v trezoru klíčů

Zkontrolujte přihlašovací údaje a podle potřeby je opravte a použijte správné hodnoty na hodnoty jazyk ABAP USER a jazyk ABAP PASS ve službě Azure Key Vault.

Pak restartujte kontejner:

docker restart sapcon-[SID]

Chybějící oprávnění jazyk ABAP (uživatel SAP)

Pokud se zobrazí chybová zpráva podobná této: .. Chybí back-end RFC Authorization.., vaše autorizace a role SAP se nepoužádaly správně.

1. Ujistěte se, že se role MSFTSEN/SENTINEL_CONNECTOR importovala jako součást přenosu žádosti o změnu a použila se pro uživatele konektoru.

2. Spusťte proces generování rolí a porovnání uživatelů pomocí transakce SAP PFCG.

Chybějící data v sešitech nebo upozorněních

Pokud zjistíte, že v sešitech nebo upozorněních Microsoft Sentinelu chybí data, ujistěte se, že je na straně SAP správně povolená zásada Auditlogu bez chyb v souboru protokolu.

Pro tento krok použijte RSAU_CONFIG_LOG transakci.

Chybějící žádost o změnu SAP

Pokud se zobrazí chyby, že chybí požadovaná žádost o změnu SAP, ujistěte se, že jste naimportovali správnou žádost o změnu SAP pro váš systém.

Další informace najdete v tématu Postup ověření prostředí ValidateSAP.

Žádné záznamy / zpožděné záznamy

Agent spoléhá na správné informace o časovém pásmu. Pokud zjistíte, že v protokolech auditu a změn SAP nejsou žádné záznamy nebo pokud jsou záznamy neustále za sebou, zkontrolujte, jestli sestava SAP TZCUSTHELP neobsahuje nějaké chyby. Další podrobnosti najdete v poznámkách SAP 481835. Kromě toho můžou na virtuálním počítači nacházet problémy s hodinami, kde je hostované řešení Microsoft Sentinel pro agenta aplikací SAP®. Jakákoli odchylka hodin virtuálního počítače od času UTC ovlivní shromažďování dat. Důležitější je, že hodiny virtuálního počítače SAP a hodiny virtuálního počítače agenta Sentinelu by se měly shodovat.

Problémy se síťovým připojením

Pokud máte problémy se síťovým připojením k prostředí SAP nebo Microsoft Sentinelu, zkontrolujte síťové připojení a ujistěte se, že data proudí podle očekávání.

Časté problémy zahrnují:

• Brány firewall mezi kontejnerem Dockeru a hostiteli SAP můžou blokovat provoz. Hostitel SAP přijímá komunikaci přes následující porty TCP, které musí být otevřené: 32xx, 5xx13 a 33xx, kde xx je číslo instance SAP.

• Odchozí komunikace z hostitele SAP do služby Microsoft Container Registry nebo Azure vyžaduje konfiguraci proxy serveru. To obvykle ovlivňuje instalaci a vyžaduje, abyste nakonfigurovali HTTP_PROXY proměnné prostředí a HTTPS_PROXY prostředí. Proměnné prostředí můžete také ingestovat do kontejneru Dockeru při vytváření kontejneru přidáním -e příznaku do příkazu dockeru / createrun.

Další neočekávané problémy

Pokud v tomto článku nejsou uvedené neočekávané problémy, vyzkoušejte následující kroky:

• Resetování konektoru a opětovné načtení protokolů
• Upgradujte konektor na nejnovější verzi.

Tip

Resetování konektoru a zajištění, že máte nejnovější upgrady, se také doporučuje po jakýchkoli zásadních změnách konfigurace.

Načtení protokolu auditu selže s upozorněními

Pokud se pokusíte načíst protokol auditu bez požadované žádosti o změnu nasazené nebo ve starší nebo nepatchované verzi a proces selže s upozorněními, ověřte, že se protokol SAP Auditlog dá načíst pomocí jedné z následujících metod:

• Použití režimu kompatibility nazvaného XAL ve starších verzích
• Použití nedávno opravené verze
• Bez nainstalované požadované žádosti o změnu

I když by měl systém v případě potřeby automaticky přepnout do režimu kompatibility, možná ho budete muset přepnout ručně. Ruční přepnutí do režimu kompatibility:

1. Úprava souboru /opt/sapcon/[SID]/systemconfig.ini

2. V části konfigurace Připojení oru definovatefine:auditlogforcexal = True

   Příklad:

   [Connector Configuration]
   auditlogforcexal = True
   

3. uložte soubor.

Změna se projeví dvě minuty po uložení souboru. Kontejner Dockeru nemusíte restartovat.

Subsystémy SAPCONTROL nebo JAVA se nemůžou připojit

Zkontrolujte, jestli je uživatel operačního systému platný a může v cílovém systému SAP spustit následující příkaz:

sapcontrol -nr <SID> -function GetSystemInstanceList

Selhání subsystému SAPCONTROL nebo JAVA s chybovou zprávou související s časovým pásmem

Pokud váš subsystém SAPCONTROL nebo JAVA selže s chybovou zprávou související s časovým pásmem, například: Zkontrolujte konfiguraci a síťový přístup k serveru SAP – Etc/NZST, ujistěte se, že používáte standardní kódy časového pásma.

Můžete například použít javatz = GMT+12 nebo abaptz = GMT-3**.

Nejde importovat přenosy žádostí o změnu do SAP

Pokud nemůžete importovat požadované žádosti o změnu protokolu SAP a zobrazuje se chyba týkající se neplatné verze komponenty, přidejte ignore invalid component version ji při importu žádosti o změnu.

Data protokolu auditu, která se neingestují po počátečním načtení

Pokud se data protokolu auditu SAP, která jsou viditelná v transakcích RSAU_READ_LOAD nebo SM200 , neingestují do Microsoft Sentinelu po počátečním zatížení, pravděpodobně máte chybnou konfiguraci systému SAP a hostitelského operačního systému SAP.

• Počáteční načtení se ingestuje po nové instalaci Microsoft Sentinelu pro datový konektor SAP nebo po odstranění souboru metadata.db .
• Ukázková chybná konfigurace může být, když je vaše systémové časové pásmo SAP nastavené na CET v transakci STZAC , ale časové pásmo hostitelského operačního systému SAP je nastavené na UTC.

Pokud chcete zkontrolovat chybné konfigurace, spusťte sestavu RSDBTIME v transakci SE38. Pokud zjistíte neshodu mezi systémem SAP a hostitelským operačním systémem SAP:

1. Zastavte kontejner Dockeru. Spustit

   docker stop sapcon-[SID]
   

2. Odstraňte soubor metadata.db z adresáře /opt/sapcon/[SID]. Run (Spuštění):

   rm /opt/sapcon/[SID]/metadata.db
   

3. Aktualizujte systém SAP a hostitelský operační systém SAP tak, aby měly odpovídající nastavení, jako je stejné časové pásmo. Další informace najdete na wikiwebu komunity SAP.

4. Znovu spusťte kontejner. Run (Spuštění):

   docker start sapcon-[SID]
   

Chybějící pole IP adresy nebo kódu transakce v protokolu auditu SAP

Toto řešení umožňuje systémům SAP s verzemi pro SAP BASIS 7.5 SP12 a vyšší odrážet další pole v tabulkách jazyk ABAP AuditLog_CL a SAPAuditLog. Pokud používáte verze SAP BASIS vyšší než 7.5 SP12 a v protokolu auditu SAP chybí pole s IP adresou nebo kódem transakce, ověřte, že systém SAP, ze kterého extrahujete data, obsahuje příslušné žádosti o změnu (přenosy). Další podrobnosti najdete v tématu Načtení dalších informací ze systému SAP (volitelné).

V protokolu dat tabulky SAP se nezobrazují žádná data

Toto řešení umožňuje systémům SAP s verzemi pro SAP BASIS 7.5 SP12 a vyšší, aby odrážely změny protokolu tabulek v tabulce jazyk ABAP TableDataLog_CL. Pokud se v jazyk ABAP TableDataLog_CL nezobrazují žádná data, ověřte, že systém SAP, ze kterého data extrahujete, obsahuje příslušné žádosti o změnu (přenosy). Další podrobnosti najdete v tématu Načtení dalších informací ze systému SAP (volitelné).

Další kroky

Další informace o řešení Microsoft Sentinel pro aplikace SAP®:

• Nasazení řešení Microsoft Sentinel pro aplikace SAP®
• Požadavky pro nasazení řešení Microsoft Sentinel pro aplikace SAP®
• Nasazení žádostí o změnu SAP (CRS) a konfigurace autorizace
• Nasazení obsahu řešení z centra obsahu
• Nasazení a konfigurace kontejneru hostujícího agenta datového konektoru SAP
• Nasazení datového konektoru Microsoft Sentinel pro SAP pomocí SNC
• Povolení a konfigurace auditování SAP
• Shromažďování protokolů auditu SAP HANA

Referenční soubory:

• Referenční informace k datům řešení microsoft Sentinel pro aplikace SAP®
• Řešení Microsoft Sentinel pro řešení aplikací SAP®: Referenční informace k obsahu zabezpečení
• Úvodní referenční informace ke skriptu
• Referenční informace k aktualizačnímu skriptu
• Referenční informace k souboru Systemconfig.ini

Další informace najdete v tématu Řešení Microsoft Sentinel.