Share via

Problembehandlung bei der Bereitstellung der Microsoft Sentinel-Lösung für SAP®-Anwendungen

  • Artikel

Nützliche Docker-Befehle

Bei der Problembehandlung des Microsoft Sentinel für SAP-Datenconnectors können die folgenden Befehle nützlich sein:

Funktion Befehl
Beenden des Docker-Containers docker stop sapcon-[SID]
Starten des Docker-Containers docker start sapcon-[SID]
Anzeigen von Docker-Systemprotokollen docker logs -f sapcon-[SID]
Aufrufen des Docker-Containers docker exec -it sapcon-[SID] bash

Weitere Informationen finden Sie in der Dokumentation zur Docker CLI.

Überprüfen von Systemprotokollen

Es wird dringend empfohlen, die Systemprotokolle nach dem Installieren oder Zurücksetzen des Datenconnectors zu überprüfen.

Führen Sie Folgendes aus:

docker logs -f sapcon-[SID]

So aktivieren Sie die Debugmodusausgabe

Aktivieren der Debugmodusausgabe:

  1. Bearbeiten Sie auf Ihrer VM die Datei /opt/sapcon/[SID]/systemconfig.ini.

  2. Definieren Sie den Abschnitt Allgemein, wenn er zuvor noch nicht definiert wurde. Definieren Sie logging_debug = True in diesem Abschnitt.

    Beispiel:

    [General]
logging_debug = True

  3. Speichern Sie die Datei .

Die Änderung wird zwei Minuten nach dem Speichern der Datei wirksam. Sie brauchen den Docker-Container nicht neu zu starten.

Aktivieren der Debugmodusausgabe:

  1. Bearbeiten Sie auf Ihrer VM die Datei /opt/sapcon/[SID]/systemconfig.ini.

  2. Definieren Sie logging_debug = False im Abschnitt Allgemein.

    Beispiel:

    [General]
logging_debug = False

  3. Speichern Sie die Datei .

Die Änderung wird zwei Minuten nach dem Speichern der Datei wirksam. Sie brauchen den Docker-Container nicht neu zu starten.

Anzeigen aller Containerausführungsprotokolle

Connectorausführungsprotokolle für die Bereitstellung des Datenconnectors für Ihre Microsoft Sentinel-Lösung für SAP®-Anwendungen werden auf Ihrer VM unter /opt/sapcon/[SID]/log/ gespeichert. Der Protokolldateiname lautet OmniLog.log. Es wird ein Verlauf der Protokolldateien mit der Endung .[Zahl] gespeichert, z. B. OmniLog.log.1, OmniLog.log.2 usw.

Überprüfen und Aktualisieren der Konfiguration des Microsoft Sentinel für SAP-Datenconnectors

Wenn Sie die Konfigurationsdatei des Microsoft Sentinel für SAP-Datenconnectors überprüfen und manuelle Aktualisierungen vornehmen möchten, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie auf Ihrem virtuellen Computer die Konfigurationsdatei:

    • sapcon/[SID]/systemconfig.json für Agentversionen, die am oder nach dem 22. Juni 2023 veröffentlicht wurden.
    • sapcon/[SID]/systemconfig.ini für Agentversionen, die vor dem 22. Juni 2023 veröffentlicht wurden.

  2. Aktualisieren Sie die Konfiguration bei Bedarf und speichern Sie die Datei.

Die Änderung wird zwei Minuten nach dem Speichern der Datei wirksam. Sie brauchen den Docker-Container nicht neu zu starten.

Zurückstellen des Microsoft Sentinel für SAP-Datenconnectors

Mit den folgenden Schritten werden der Connector zurückgesetzt und die SAP-Protokolle der letzten 30 Minuten erneut erfasst.

  1. Beenden Sie den Connector. Führen Sie Folgendes aus:

    docker stop sapcon-[SID]

  2. Löschen Sie die Datei metadata.db aus dem Verzeichnis /opt/sapcon/[SID]. Führen Sie Folgendes aus:

    cd /opt/sapcon/<SID>
rm metadata.db

    Hinweis

    Die Datei metadata.db enthält den letzten Zeitstempel jedes Protokolls und verhindert Duplizierung.

  3. Starten Sie den Connector neu. Führen Sie Folgendes aus:

    docker start sapcon-[SID]

Überprüfen Sie die Systemprotokolle, wenn Sie fertig sind.

IP-Adress- oder Transaktionscodefelder fehlen im SAP-Überwachungsprotokoll

Diese Lösung ermöglicht es SAP-Systemen mit Versionen für SAP BASIS 7.5 SP12 und höher, zusätzliche Felder in den Tabellen ABAPAuditLog_CL und SAPAuditLog abzubilden.

Wenn Sie höhere SAP BASIS-Versionen als 7.5 SP12 verwenden und IP-Adress- oder Transaktionscodefelder im SAP-Überwachungsprotokoll fehlen, überprüfen Sie, ob das SAP-System, aus dem Sie die Daten extrahieren, die relevanten Änderungsanforderungen (Transporte) enthält. Weitere Informationen finden Sie im Abschnitt Abrufen zusätzlicher Informationen aus SAP in den Voraussetzungen.

Im SAP-Tabellendatenprotokoll werden keine Daten angezeigt.

Diese Lösung ermöglicht es SAP-Systemen mit Versionen für SAP BASIS 7.5 SP12 und höher, Änderungen des Tabellendatenprotokolls in der Tabelle ABAPTableDataLog_CL widerzuspiegeln.

Wenn in der Tabelle ABAPTableDataLog_CL keine Daten angezeigt werden, überprüfen Sie, ob das SAP-System, aus dem Sie die Daten extrahieren, die relevanten Änderungsanforderungen (Transporte) enthält. Weitere Informationen finden Sie im Abschnitt Abrufen zusätzlicher Informationen aus SAP in den Voraussetzungen.

Häufige Probleme

Nachdem Sie sowohl den Microsoft Sentinel für SAP-Datenconnector als auch Sicherheitsinhalte bereitgestellt haben, können die folgenden Fehler oder Probleme auftreten:

Beschädigte oder fehlende SAP SDK-Datei

Dieser Fehler liegt möglicherweise vor, wenn der Connector nicht mit PyRfc gestartet werden kann oder ZIP-bezogene Fehlermeldungen angezeigt werden.

  1. Installieren Sie das SAP SDK neu.
  2. Vergewissern Sie sich, dass Sie die richtige 64-Bit-Version von Linux haben. Zum jetzigen Zeitpunkt lautet der Dateiname des Release nwrfc750P_8-70002752.zip.

Wenn Sie den Datenconnector manuell installiert haben, stellen Sie sicher, dass Sie die SDK-Datei in den Docker-Container kopiert haben.

Führen Sie Folgendes aus:

Docker cp SDK by running docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

ABAP-Laufzeitfehler werden in großem System gemeldet

Wenn ABAP Laufzeitfehler in großen Systemen gemeldet werden, versuchen Sie, eine kleinere Blockgröße festzulegen:

  1. Bearbeiten Sie die Datei /opt/sapcon/[SID]/systemconfig.ini, und definieren Sie timechunk = 5 im Abschnitt Connectorkonfiguration.

    Beispiel:

    [Connector Configuration]
timechunk = 5

  2. Speichern Sie die Datei.

Die Änderung wird zwei Minuten nach dem Speichern der Datei wirksam. Sie brauchen den Docker-Container nicht neu zu starten.

Hinweis

Die Größe von timechunk wird in Minuten angegeben.

Leeres oder nicht abgerufenes Überwachungsprotokoll ohne spezielle Fehlermeldungen

  1. Prüfen Sie, ob die Überwachungsprotokollierung in SAP aktiviert ist.
  2. Überprüfen Sie die Transaktionen SM19 oder RSAU_CONFIG.
  3. Aktivieren Sie nach Bedarf alle Ereignisse.
  4. Überprüfen Sie, ob Nachrichten in SAP SM20 oder RSAU_READ_LOG eingehen und vorhanden sind, ohne dass im Connectorprotokoll spezielle Fehler angezeigt werden.

Falsche ID oder falscher Schlüssel für den Microsoft Sentinel-Arbeitsbereich

Wenn Sie feststellen, dass Sie eine falsche Arbeitsbereichs-ID oder einen falschen Schlüssel in Ihr Bereitstellungsskript eingegeben haben, aktualisieren Sie die in Azure Key Vault gespeicherten Anmeldeinformationen.

Starten Sie den Container neu, nachdem Sie Ihre Anmeldeinformationen in Azure KeyVault überprüft haben:

docker restart sapcon-[SID]

Falsche SAP ABAP-Benutzeranmeldeinformationen in einer festen Konfiguration

Eine feste Konfiguration liegt vor, wenn das Kennwort direkt in der Konfigurationsdatei systemconfig.ini gespeichert wird.

Wenn Ihre Anmeldeinformationen dort falsch sind, überprüfen Sie Ihre Anmeldeinformationen.

Verwenden Sie die base64-Verschlüsselung, um Benutzer und Kennwort zu verschlüsseln. Sie können Tools für die Onlineverschlüsselung verwenden, um Ihre Anmeldeinformationen zu verschlüsseln, beispielsweise https://www.base64encode.org/.

Falsche SAP ABAP-Benutzeranmeldeinformationen in Schlüsseltresor

Überprüfen Sie Ihre Anmeldeinformationen, und korrigieren Sie sie ggf., indem Sie in Azure Key Vault die richtigen Werte für ABAPUSER und ABAPPASS anwenden.

Starten Sie den Container anschließend neu:

docker restart sapcon-[SID]

Fehlende Berechtigungen für ABAP (SAP-Benutzer)

Wenn sie eine Fehlermeldung wie die folgende erhalten: ... Fehlende Backend-RFC-Autorisierung..., wurden Ihre SAP-Autorisierungen und Ihre SAP-Rolle nicht ordnungsgemäß zugeordnet.

  1. Stellen Sie sicher, dass die Rolle MSFTSEN/SENTINEL_CONNECTOR im Rahmen eines Change Request-Transports importiert und dem Connectorbenutzer zugeordnet wurde.

  2. Führen Sie den Prozess für Rollengenerierung und Benutzervergleich mithilfe der SAP-Transaktion PFCG aus.

Fehlende Daten in Ihrer Arbeitsmappe oder Ihren Warnungen

Wenn Sie feststellen, dass in Ihren Microsoft Sentinel-Arbeitsmappen oder -Warnungen Daten fehlen, stellen Sie sicher, dass die Auditlog-Richtlinie auf SAP-Seite ordnungsgemäß aktiviert ist und die Protokolldatei keine Fehler enthält.

Verwenden Sie die Transaktion RSAU_CONFIG_LOG für diesen Schritt.

Fehlender SAP Change Request

Wenn Fehler angezeigt werden, dass ein erforderlicher SAP Change Request fehlt, stellen Sie sicher, dass Sie den richtigen SAP Change Request für Ihr System importiert haben.

Weitere Informationen finden Sie unter Schritte zur Überprüfung der ValidateSAP-Umgebung.

Keine Datensätze / verspätete Datensätze

Der Agent verwendet Zeitzoneninformationen, um korrekt zu funktionieren. Wenn Sie feststellen, dass es keine Datensätze in den SAP-Überwachungs- und Änderungsprotokollen gibt oder wenn Datensätze ständig ein paar Stunden alt sind, überprüfen Sie, ob der SAP-Bericht „TZCUSTHELP“ irgendwelche Fehler anzeigt. Weitere Informationen finden Sie im SAP-Hinweis 481835. Darüber hinaus können Probleme mit der Uhr auf der VM auftreten, auf der der Anwendungs-Agent für die Microsoft Sentinel-Lösung für SAP® gehostet wird. Jede Abweichung der Uhr der VM von der UTC wirkt sich auf die Datensammlung aus. Wichtiger ist, dass die Uhr der SAP-VM und die VM-Uhr des Sentinel-Agents übereinstimmen.

Probleme mit der Netzwerkkonnektivität

Wenn Probleme mit der Netzwerkkonnektivität mit der SAP-Umgebung oder Microsoft Sentinel auftreten, überprüfen Sie Ihre Netzwerkkonnektivität, um sicherzustellen, dass der Datenfluss den Erwartungen entspricht.

Häufige Probleme sind beispielweise:

  • Firewalls zwischen dem Docker-Container und den SAP-Hosts blockieren möglicherweise den Datenverkehr. Der SAP-Host empfängt Kommunikationen über die folgenden TCP-Ports, die offen sein müssen: 32xx, 5xx13 und 33xx. xx steht hierbei für die SAP-Instanznummer.

  • Für die ausgehende Kommunikation Ihres SAP-Hosts mit Microsoft Container Registry oder Azure ist eine Proxykonfiguration erforderlich. Dies wirkt sich in der Regel auf die Installation aus und führt dazu, dass Sie die Umgebungsvariablen HTTP_PROXY und HTTPS_PROXY konfigurieren müssen. Sie können Umgebungsvariablen auch bei der Erstellung des Docker-Containers in selbigem erfassen, indem Sie dem Docker-Befehl create / run das Flag -e hinzufügen.

Sonstige unerwartete Fehler

Wenn unerwartete Probleme auftreten, die in diesem Artikel nicht aufgeführt sind, versuchen Sie Folgendes:

Tipp

Das Zurücksetzen Ihres Connectors und Sicherstellen, dass Sie über die neuesten Upgrades verfügen, wird auch nach größeren Konfigurationsänderungen empfohlen.

Fehler beim Abrufen eines Überwachungsprotokolls mit Warnungen

Wenn Sie versuchen, ein Überwachungsprotokoll ohne den erforderlichen Change Request oder mit einer älteren/nicht gepatchten Version abzurufen, und der Prozess mit Warnungen fehlschlägt, überprüfen Sie, ob das SAP-Überwachungsprotokoll mithilfe einer der folgenden Methoden abgerufen werden kann:

  • Verwenden eines Kompatibilitätsmodus namens XAL in älteren Versionen
  • Verwenden einer Version, die nicht kürzlich gepatcht wurde
  • Ohne Installation des erforderlichen Change Requests

Eigentlich sollte Ihr System bei Bedarf automatisch in den Kompatibilitätsmodus wechseln, aber u. U. müssen Sie die Umstellung manuell vornehmen. So stellen Sie manuell auf den Kompatibilitätsmodus um

  1. Bearbeiten Sie die Datei /opt/sapcon/[SID]/systemconfig.ini.

  2. Definieren Sie im Abschnitt Connectorkonfiguration Folgendes: auditlogforcexal = True

    Beispiel:

    [Connector Configuration]
auditlogforcexal = True

  3. Speichern Sie die Datei.

Die Änderung wird zwei Minuten nach dem Speichern der Datei wirksam. Sie brauchen den Docker-Container nicht neu zu starten.

SAPCONTROL- oder JAVA-Subsysteme können keine Verbindung herstellen

Prüfen Sie, ob der Betriebssystembenutzer gültig ist und auf dem SAP-Zielsystem den folgenden Befehl ausführen kann:

sapcontrol -nr <SID> -function GetSystemInstanceList

Wenn Ihr SAPCONTROL- oder JAVA-Subsystem mit einer zeitzonenbezogenen Fehlermeldung ausfällt, z. B.: Überprüfen Sie die Konfiguration und den Netzwerkzugriff auf den SAP-Server – „Etc/NZST“ , stellen Sie sicher, dass Sie Standardcodes für Zeitzonen verwenden.

Verwenden Sie beispielsweise javatz = GMT+12 oder abaptz = GMT-3**.

Change Request-Transporte können nicht in SAP importiert werden

Falls Sie die erforderlichen Change Requests für SAP-Protokolle nicht importieren können und eine Fehlermeldung zu einer ungültigen Komponentenversion erhalten, fügen ignore invalid component version Sie hinzu, wenn Sie den Change Request importieren.

Überwachungsprotokolldaten werden nach dem ersten Laden nicht erfasst

Wenn die SAP-Überwachungsprotokolldaten aus den RSAU_READ_LOAD- oder SM200-Transaktionen nach dem ersten Ladevorgang nicht in Microsoft Sentinel erfasst werden, liegt möglicherweise eine Fehlkonfiguration des SAP-Systems und des Betriebssystems des SAP-Hosts vor.

  • Die ersten Ladevorgänge werden nach einer Neuinstallation des Microsoft Sentinel für SAP-Datenconnectors oder nach dem Löschen der Datei metadata.db ausgeführt.
  • Eine falsche Konfiguration kann beispielsweise vorliegen, wenn die Zeitzone für Ihr SAP-System in der Transaktion STZAC auf CET festgelegt ist, aber die Zeitzone für das SAP-Hostbetriebssystem UTC lautet.

Führen Sie den Bericht RSDBTIME in der Transaktion SE38 aus, um nach Fehlkonfigurationen zu suchen. Wenn Sie einen Konflikt zwischen dem SAP-System und dem SAP-Hostbetriebssystem feststellen, gehen Sie folgendermaßen vor:

  1. Beenden Sie den Docker-Container. Ausführen

    docker stop sapcon-[SID]

  2. Löschen Sie die Datei metadata.db aus dem Verzeichnis /opt/sapcon/[SID]. Führen Sie Folgendes aus:

    rm /opt/sapcon/[SID]/metadata.db

  3. Aktualisieren Sie das SAP-System und das SAP-Hostbetriebssystem so, dass ihre Einstellungen (z. B. die Zeitzone) übereinstimmen. Weitere Informationen finden Sie im SAP Community Wiki.

  4. Starten Sie den Container neu. Führen Sie Folgendes aus:

    docker start sapcon-[SID]

IP-Adress- oder Transaktionscodefelder fehlen im SAP-Überwachungsprotokoll

Mit dieser Lösung können SAP-Systeme mit Versionen für SAP BASIS 7.5 SP12 und höher zusätzliche Felder in den Tabellen ABAPAuditLog_CL und SAPAuditLog abbilden. Wenn Sie höhere SAP BASIS-Versionen als 7.5 SP12 verwenden und IP-Adress- oder Transaktionscodefelder im SAP-Überwachungsprotokoll fehlen, überprüfen Sie, ob das SAP-System, aus dem Sie die Daten extrahieren, die relevanten Änderungsanforderungen (Transporte) enthält. Weitere Informationen finden Sie unter Abrufen zusätzlicher Informationen von SAP (optional).

Im SAP-Tabellendatenprotokoll werden keine Daten angezeigt.

Diese Lösung ermöglicht es SAP-Systemen mit Versionen für SAP BASIS 7.5 SP12 und höher, Änderungen des Tabellendatenprotokolls in der ABAPTableDataLog_CL-Tabelle widerzuspiegeln. Wenn in ABAPTableDataLog_CL keine Daten angezeigt werden, überprüfen Sie, ob das SAP-System, aus dem Sie die Daten extrahieren, die relevanten Änderungsanforderungen (Transporte) enthält. Weitere Informationen finden Sie unter Abrufen zusätzlicher Informationen von SAP (optional).

Nächste Schritte

Erfahren Sie mehr über die Microsoft Sentinel-Lösung für SAP®-Anwendungen:

Referenzdateien:

Weitere Informationen finden Sie unter Microsoft Sentinel-Lösungen.