Řešení potíží s řešením Microsoft Sentinel pro nasazení aplikací SAP

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Tento článek obsahuje kroky pro řešení potíží, které vám pomůžou zajistit přesný a včasný příjem a monitorování dat pro vaše prostředí SAP pomocí služby Microsoft Sentinel.

V tomto článku se podíváme na soubor systemconfig.json , který se používá pro verze agentů vydané 22. června 2023 nebo po 22. červnu 2023. Pokud používáte starší verzi agenta, přečtěte si místo toho soubor systemconfig.ini .

Užitečné příkazy Dockeru

Při řešení potíží s datovým konektorem Microsoft Sentinel pro SAP můžou být užitečné následující příkazy:

Function	Příkaz
Zastavení kontejneru Dockeru	docker stop sapcon-[SID]
Spuštění kontejneru Dockeru	docker start sapcon-[SID]
Zobrazení systémových protokolů Dockeru	docker logs -f sapcon-[SID]
Zadejte kontejner Dockeru.	docker exec -it sapcon-[SID] bash

Další informace najdete v dokumentaci k rozhraní příkazového řádku Dockeru.

Kontrola systémových protokolů

Důrazně doporučujeme po instalaci nebo resetování datového konektoru zkontrolovat systémové protokoly.

Run (Spuštění):

docker logs -f sapcon-[SID]

Povolení nebo zakázání tisku v režimu ladění

1. Na virtuálním počítači kontejneru agenta kolektoru dat upravte soubor /opt/sapcon/[SID]/systemconfig.json .

2. Definujte oddíl Obecné, pokud nebyl dříve definován. V této části definujte logging_debug = True , jestli chcete povolit tisk v režimu ladění nebo logging_debug = False zakázat.

   Příklad:

   [General]
   logging_debug = True
   

3. Uložte soubor.

Změna se projeví přibližně dvě minuty po uložení souboru. Kontejner Dockeru nemusíte restartovat.

Zobrazení všech protokolů spuštění kontejneru

Protokoly spouštění konektorů pro řešení Microsoft Sentinel pro nasazení datového konektoru aplikací SAP se ukládají na virtuálním počítači v /opt/sapcon/[SID]/log/. Název souboru protokolu je OmniLog.log. Historie souborů protokolu se uchovává s příponou .[ number] například OmniLog.log.1, OmniLog.log.2 atd.

Kontrola a aktualizace konfiguračního souboru konektoru agenta SAP pro Microsoft Sentinel

Pokud jste agenta nasadili přes portál, můžete i nadále spravovat a měnit nastavení konfigurace prostřednictvím portálu.

Pokud jste nasadili přes příkazový řádek nebo chcete provést ruční aktualizace přímo do konfiguračního souboru, proveďte následující kroky:

1. Na virtuálním počítači otevřete konfigurační soubor: sapcon/[SID]/systemconfig.json

2. V případě potřeby aktualizujte konfiguraci a uložte soubor. Další informace najdete v řešení Microsoft Sentinel pro referenční informace k souborům aplikací systemconfig.json SAP.

Změna se projeví přibližně dvě minuty po uložení souboru. Kontejner Dockeru nemusíte restartovat.

Resetování datového konektoru Microsoft Sentinelu pro SAP

Následující kroky resetují konektor a obnovují protokoly SAP z posledních 30 minut.

1. Zastavte konektor. Run (Spuštění):

   docker stop sapcon-[SID]
   

2. Odstraňte soubor metadata.db z adresáře /opt/sapcon/[SID]. Run (Spuštění):

   cd /opt/sapcon/<SID>
   rm metadata.db
   

   Poznámka:

   Soubor metadata.db obsahuje poslední časové razítko pro každý protokol a funguje tak, aby se zabránilo duplikaci.

3. Znovu spusťte konektor. Run (Spuštění):

   docker start sapcon-[SID]
   

Po dokončení zkontrolujte systémové protokoly .

Běžné problémy

Po nasazení microsoft Sentinelu pro datový konektor SAP i obsahu zabezpečení může docházet k následujícím chybám nebo problémům:

Poškozený nebo chybějící soubor SADY SAP SDK

K této chybě může dojít v případě, že se konektoru nepodaří spustit s PyRfc nebo se zobrazí chybové zprávy související se zipem.

1. Přeinstalujte sadu SAP SDK.
2. Ověřte, že používáte správnou 64bitovou verzi Linuxu, například nwrfc750P_8-70002752.zip.

Pokud byste datový konektor nainstalovali ručně, ujistěte se, že jste zkopírovali soubor SADY SDK do kontejneru Dockeru.

Run (Spuštění):

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

Chyby modulu runtime ABAP se zobrazují ve velkém systému

Pokud se ve velkých systémech zobrazí chyby modulu runtime ABAP, zkuste nastavit menší velikost bloku dat:

1. Upravte soubor /opt/sapcon/[SID]/systemconfig.json a v části Konfigurace konektoru definujte timechunk = 5.

   Příklad:

   [Connector Configuration]
   timechunk = 5
   

2. Uložte soubor.

Změna se projeví přibližně dvě minuty po uložení souboru. Kontejner Dockeru nemusíte restartovat.

Poznámka:

Velikost časového intervalu je definována v minutách.

Prázdné nebo žádné načtené protokoly auditu bez speciálních chybových zpráv

1. Zkontrolujte, jestli je v SAP povolené protokolování auditu.
2. Ověřte transakce SM19 nebo RSAU_CONFIG.
3. Podle potřeby povolte všechny události.
4. Ověřte, jestli zprávy přicházejí a existují v SAP SM20 nebo RSAU_READ_LOG, bez jakýchkoli zvláštních chyb zobrazených v protokolu konektoru.

Nesprávné ID pracovního prostoru nebo klíč v trezoru klíčů

Pokud zjistíte, že jste do skriptu nasazení zadali nesprávné ID nebo klíč pracovního prostoru, aktualizujte přihlašovací údaje uložené ve službě Azure Key Vault.

Po ověření přihlašovacích údajů v Azure KeyVault restartujte kontejner:

docker restart sapcon-[SID]

Nesprávné přihlašovací údaje uživatele SAP ABAP v trezoru klíčů

Zkontrolujte přihlašovací údaje a podle potřeby je opravte a použijte správné hodnoty na hodnoty ABAPUSER a ABAPPASS ve službě Azure Key Vault.

Pak restartujte kontejner:

docker restart sapcon-[SID]

Nesprávné přihlašovací údaje uživatele SAP ABAP v pevné konfiguraci

Pevná konfigurace spočívá v tom, že heslo je uložené přímo v konfiguračním souboru systemconfig.json .

Pokud jsou vaše přihlašovací údaje nesprávné, ověřte své přihlašovací údaje.

Šifrování base64 slouží k šifrování uživatele a hesla. K šifrování přihlašovacích údajů můžete použít nástroje pro online šifrování, například https://www.base64encode.org/.

Chybějící oprávnění ABAP (uživatel SAP)

Pokud se zobrazí chybová zpráva podobná této: .. Chybí back-end RFC Authorization.., vaše autorizace a role SAP se nepoužádaly správně.

1. Ujistěte se, že se role MSFTSEN/SENTINEL_CONNECTOR importovala jako součást přenosu žádosti o změnu a použila se pro uživatele konektoru.

2. Spusťte proces generování rolí a porovnání uživatelů pomocí transakce SAP PFCG.

Chybějící data v sešitech nebo upozorněních

Pokud zjistíte, že v sešitech nebo upozorněních Microsoft Sentinelu chybí data, ujistěte se, že jsou na straně SAP správně povolené zásady Auditlogu bez chyb v souboru protokolu kontejneru.

Pro tento krok použijte RSAU_CONFIG_LOG transakci.

Další informace najdete v dokumentaci k SAP a shromažďování protokolů auditu SAP HANA v Microsoft Sentinelu.

Chybějící pole IP adresy nebo kódu transakce v protokolu auditu SAP

V systémech SAP s verzemi pro SAP BASIS 7.5 SP12 a vyšší může Microsoft Sentinel odrážet další pole v tabulkách ABAPAuditLog_CL a SAPAuditLog tabulkách.

Pokud používáte verze SAP BASIS vyšší než 7.5 SP12 a v protokolu auditu SAP chybí pole IP adresy nebo kódu transakce, ověřte, že systém SAP, ze kterého extrahujete data, obsahuje příslušné žádosti o změnu (přenosy). Další informace najdete v tématu Konfigurace podpory pro dodatečné načítání dat (doporučeno).

Chybějící žádost o změnu SAP

Pokud se zobrazí chyby, že chybí požadovaná žádost o změnu SAP, ujistěte se, že jste naimportovali správnou žádost o změnu SAP pro váš systém. Další informace najdete v tématu Požadavky na SAP a konfigurace systému SAP pro řešení Microsoft Sentinel.

V protokolu dat tabulky SAP se nezobrazují žádná data

V systémech SAP s verzemi pro SAP BASIS 7.5 SP12 a vyšší může Microsoft Sentinel odrážet změny protokolu tabulkových dat v ABAPTableDataLog_CL tabulce.

Pokud se v ABAPTableDataLog_CL tabulce nezobrazují žádná data, ověřte, že systém SAP, ze kterého data extrahujete, obsahuje příslušné žádosti o změnu (přenosy). Další informace najdete v tématu Konfigurace podpory pro dodatečné načítání dat (doporučeno).

Žádné záznamy / zpožděné záznamy

Agent kolektoru dat spoléhá na správné informace o časovém pásmu. Pokud zjistíte, že v protokolech auditu a změn SAP nejsou žádné záznamy nebo jestli jsou záznamy neustále za sebou, zkontrolujte, jestli sestava SAP TZCUSTHELP neobsahuje nějaké chyby. Další informace najdete v 481835 poznámky SAP.

Mohou se také vyskytovat problémy s hodinami na virtuálním počítači, kde je hostovaný kontejner agenta kolektoru dat, a případné odchylky od hodin na virtuálním počítači od UTC ovlivňují shromažďování dat. Ještě důležitější je, že hodiny na systémových počítačích SAP i na počítačích agentů kolektoru dat se musí shodovat.

Problémy se síťovým připojením

Pokud máte problémy se síťovým připojením k prostředí SAP nebo Microsoft Sentinelu, zkontrolujte síťové připojení a ujistěte se, že data proudí podle očekávání.

Časté problémy zahrnují:

• Brány firewall mezi kontejnerem Dockeru a hostiteli SAP můžou blokovat provoz. Hostitel SAP přijímá komunikaci přes následující porty TCP, které musí být otevřené: 32xx, 5xx13 a 33xx, kde xx je číslo instance SAP.

• Odchozí komunikace z hostitele agenta SAP do služby Microsoft Container Registry nebo Azure vyžaduje konfiguraci proxy serveru. To obvykle ovlivňuje instalaci a vyžaduje, abyste nakonfigurovali HTTP_PROXY proměnné prostředí a HTTPS_PROXY prostředí. Proměnné prostředí můžete také ingestovat do kontejneru Dockeru při vytváření kontejneru přidáním -e příznaku do příkazu dockeru / createrun.

Načtení protokolu auditu selže s upozorněními

Pokud se pokusíte načíst protokol auditu bez požadovaných konfigurací a proces selže s upozorněními, pomocí jedné z následujících metod ověřte, že se protokol AUDITU SAP dá načíst:

• Použití režimu kompatibility nazvaného XAL ve starších verzích
• Použití nedávno opravené verze
• Bez jakýchkoli změn provedených pro připojení k agentu datového konektoru Microsoft Sentinelu. Další informace najdete v tématu Konfigurace systému SAP pro řešení Microsoft Sentinel.

I když by měl systém v případě potřeby automaticky přepnout do režimu kompatibility, možná ho budete muset přepnout ručně. Ruční přepnutí do režimu kompatibility:

1. Upravte soubor /opt/sapcon/[SID]/systemconfig.json.

2. V části Konfigurace konektoru definujete definici:auditlogforcexal = True

   Příklad:

   [Connector Configuration]
   auditlogforcexal = True
   

3. Uložte soubor.

Změna se projeví přibližně dvě minuty po uložení souboru. Kontejner Dockeru nemusíte restartovat.

Subsystémy SAPCONTROL nebo JAVA se nemůžou připojit

Zkontrolujte, jestli je uživatel operačního systému platný a může v cílovém systému SAP spustit následující příkaz:

sapcontrol -nr <SID> -function GetSystemInstanceList

Selhání subsystému SAPCONTROL nebo JAVA s chybovou zprávou související s časovým pásmem

Pokud váš subsystém SAPCONTROL nebo JAVA selže s chybovou zprávou související s časovým pásmem, například: Zkontrolujte konfiguraci a síťový přístup k serveru SAP – Etc/NZST, ujistěte se, že používáte standardní kódy časového pásma.

Můžete například použít javatz = GMT+12 nebo abaptz = GMT-3**.

Data protokolu auditu, která se neingestují po počátečním načtení

Pokud se data protokolu auditu SAP, která jsou viditelná v transakcích RSAU_READ_LOAD nebo SM200 , neingestují do Microsoft Sentinelu po počátečním zatížení, pravděpodobně máte chybnou konfiguraci systému SAP a hostitelského operačního systému SAP.

• Počáteční načtení se ingestuje po nové instalaci Microsoft Sentinelu pro datový konektor SAP nebo po odstranění souboru metadata.db .
• Ukázková chybná konfigurace může být, když je vaše systémové časové pásmo SAP nastavené na CET v transakci STZAC , ale časové pásmo hostitelského operačního systému SAP je nastavené na UTC.

Pokud chcete zkontrolovat chybné konfigurace, spusťte sestavu RSDBTIME v transakci SE38. Pokud zjistíte neshodu mezi systémem SAP a hostitelským operačním systémem SAP:

1. Zastavte kontejner Dockeru. Spustit

   docker stop sapcon-[SID]
   

2. Odstraňte soubor metadata.db z adresáře /opt/sapcon/[SID]. Run (Spuštění):

   rm /opt/sapcon/[SID]/metadata.db
   

3. Aktualizujte systém SAP a hostitelský operační systém SAP tak, aby měly odpovídající nastavení, například stejné časové pásmo. Další informace najdete na wikiwebu komunity SAP.

4. Znovu spusťte kontejner. Run (Spuštění):

   docker start sapcon-[SID]
   

Další neočekávané problémy

Pokud v tomto článku nejsou uvedené neočekávané problémy, vyzkoušejte následující kroky:

• Resetování konektoru a opětovné načtení protokolů
• Upgradujte konektor na nejnovější verzi.

Tip

Resetování konektoru a zajištění, že máte nejnovější upgrady, se také doporučuje po jakýchkoli zásadních změnách konfigurace.

Související obsah

Další informace o řešení Microsoft Sentinel pro aplikace SAP:

• Nasazení řešení Microsoft Sentinel pro aplikace SAP
• Požadavky pro nasazení řešení Microsoft Sentinel pro aplikace SAP
• Konfigurace systému SAP pro řešení Microsoft Sentinel
• Nasazení obsahu řešení z centra obsahu
• Připojení systému SAP nasazením kontejneru agenta datového konektoru
• Shromažďování protokolů auditu SAP HANA

Referenční soubory:

• Referenční informace k datům řešení microsoft Sentinel pro aplikace SAP
• Řešení Microsoft Sentinel pro řešení aplikací SAP: Referenční informace k obsahu zabezpečení
• Úvodní referenční informace ke skriptu
• Referenční informace k aktualizačnímu skriptu
• Referenční informace k řešení Microsoft Sentinel pro soubory aplikací systemconfig.json SAP

Další informace najdete v tématu Řešení Microsoft Sentinel.