Protokoll- und Tabellenreferenz für die Microsoft Sentinel-Lösung für SAP-Anwendungen
In diesem Artikel werden die Protokolle und Tabellen beschrieben, die als Teil der Microsoft Sentinel-Lösung für SAP-Anwendungen und deren Datenconnector verfügbar sind.
Einige Protokolle, die in diesem Artikel erwähnt wurden, werden standardmäßig nicht an Microsoft Sentinel gesendet, aber Sie können sie bei Bedarf manuell hinzufügen. Weitere Informationen finden Sie unter Definieren der SAP-Protokolle, die an Microsoft Sentinel gesendet werden
Die Inhalte in diesem Artikel sind insbesondere für Ihr SAP BASIS-Team vorgesehen.
Wichtig
Einige Komponenten der Microsoft Sentinel-Lösung Threat Monitoring für SAP befinden sich derzeit in der Vorschauphase. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Verwenden von Funktionen in Ihren Abfragen anstelle von zugrunde liegenden Protokollen oder Tabellen
Es wird dringend empfohlen , die verfügbaren Funktionen nach Möglichkeit als Themen ihrer Analyse anstelle der zugrunde liegenden Protokolle oder Tabellen zu verwenden.
Funktionen , die mit der Microsoft Sentinel-Lösung für SAP-Anwendungen bereitgestellt werden, sollen als Prinzipal-Benutzeroberfläche für die Daten dienen. Sie bilden die Grundlage für alle integrierten Analyseregeln und Arbeitsmappen, die Ihnen standardmäßig zur Verfügung stehen. Durch die Verwendung von Funktionen können Änderungen an der Dateninfrastruktur unterhalb der Funktionen vorgenommen werden, ohne dass vom Benutzer erstellte Inhalte abgebrochen werden.
Weitere Informationen finden Sie in der Microsoft Sentinel-Lösung für SAP-Anwendungen – Funktionsreferenz und Funktionen in Azure Monitor-Protokollabfragen.
Protokollabdeckung
Die Microsoft Sentinel-Lösung für SAP-Anwendungen sammelt Protokolle aus der Anwendung, dem Betriebssystem und den Datenebenen, die einen umfassenden Schutz für Ihr SAP-System bieten:
Anwendungsschicht: Microsoft Sentinel überwacht Aktivitäten innerhalb der LAYERS-Ebene, die die primäre Anwendungsschicht in SAP-Systemen ist, die für die Ausführung von Geschäftslogik und Verarbeitungstransaktionen verantwortlich ist. Beispielsweise sammelt Microsoft Sentinel Protokolle, die Benutzeraktionen wie Anmeldungen, Kennwortänderungen und Zugriff auf Berichte oder Dateien enthalten.
Zusätzlich zur Sicherheitsüberwachung können protokolle, die auf der Anwendungsebene gesammelt werden, auch für Compliance- und Überwachungszwecke verwendet werden.
Betriebssystemebene: Microsoft Sentinel sammelt Protokolle vom Betriebssystem, um Einblicke in Aktivitäten auf Betriebssystemebene, z. B. vom LOGS-Server und den virtuellen Computern, auf denen die SAP-Anwendungen ausgeführt werden, bereitzustellen.
Verwenden Sie die Microsoft Sentinel-Lösung für SAP-Anwendungen zusammen mit Sicherheitsinhalten und Datenkonnektoren für Ihre anderen Dienste für umfassende und zentrale Überwachung, Korrelieren von Informationen über alle Ihre Systeme hinweg und verbessern Sie Ihren gesamtsicherheitsstatus.
Datenbankebene: Erfassung von Datenbankprotokollen in Microsoft Sentinel zum Überwachen von Datenbankaktivitäten, z. B. Datenbankverwaltungsaktivitäten und Änderungen an Tabellendaten. Die Microsoft Sentinel-Lösung für SAP-Anwendungen ist datenbankunabhängig.
Alle vom Datenkonnektor-Agent gesammelten Protokolle werden zuerst auf dem Datensammler-Agent-Computer im /opt/sapcon/<sid>/log Ordner in der Containerinstanz gespeichert. Die Protokolle werden dann an Ihren Log Analytics-Arbeitsbereich weitergeleitet, in dem Sie sie von Microsoft Sentinel anzeigen, überwachen und abfragen können.
Überwachungsprotokolle werden jede Minute erfasst und aufgenommen, während andere Protokolle weniger häufig aufgenommen werden. Microsoft Sentinel überwacht außerdem den Takt des Datenkonnektor-Agents, um sicherzustellen, dass Protokolle gesammelt und an den Log Analytics-Arbeitsbereich gesendet werden.
Protokollverweis
In den folgenden Abschnitten werden die SAP-Protokolle beschrieben, die über die Microsoft Sentinel-Lösung für SAP-Anwendungsdatenkonnektor verfügbar sind, einschließlich der Tabellennamen in Microsoft Sentinel, den Protokollzwecken und detaillierten Protokollschemas.
Die Beschreibungen der Schemafelder basieren auf den Feldbeschreibungen in der entsprechenden SAP-Dokumentation.
- ABAP-Anwendungsprotokoll
- Protokoll für ABAP-Änderungsdokumente
- ABAP CR-Protokoll
- ABAP DB-Tabellendatenprotokoll (VORSCHAU)
- ABAP-Gatewayprotokoll (VORSCHAU)
- ABAP-ICM-Protokoll (VORSCHAU)
- ABAP-Auftragsprotokoll
- ABAP-Sicherheitsüberwachungsprotokoll
- ABAP-Spoolprotokoll
- APAB-Spoolausgabeprotokoll
- ABAP SysLog
- ABAP-Workflowprotokoll
- ABAP WorkProcess-Protokoll
- HANA DB-Überwachungsprotokoll
- JAVA-Dateien
- SAP-Heartbeatprotokoll
ABAP-Anwendungsprotokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPAppLog
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Aufzeichnung des Status einer Anwendungsausführung, sodass Sie sie später bei Bedarf rekonstruieren können.
Verfügbar über RFC, basierend auf SAP-Standardtabellen und den Standarddiensten der XBP-Schnittstelle. Dieses Protokoll wird clientbezogen generiert.
Schema des Protokolls ABAPAppLog_CL
| Feld | BESCHREIBUNG |
|---|---|
| AppLogDateTime | Datum/Uhrzeit des Anwendungsprotokolls |
| CallbackProgram | Rückrufprogramm |
| CallbackRoutine | Rückrufroutine |
| CallbackType | Rückruftyp |
| ClientID | ABAP-Client-ID (MANDT) |
| ContextDDIC | DDIC-Struktur des Kontexts |
| ExternalID | Externe Protokoll-ID |
| Host | Host |
| Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | Serielle Anwendungsprotokollmeldung |
| LevelofDetail | Detailgrad |
| LogHandle | Handle für Anwendungsprotokoll |
| LogNumber | Protokollnummer |
| MessageClass | Message-Klasse |
| MessageNumber | Meldungsnummer |
| MessageText | Meldungstext |
| MessageType | Nachrichtentyp |
| Object | Anwendungsprotokollobjekt |
| OperationMode | Betriebsmodus |
| ProblemClass | Problemklasse |
| ProgramName | Programmname |
| SortCriterion | Sortierkriterium |
| StandardText | Standardtext |
| SubObject | Unterobjekt des Anwendungsprotokolls |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TransactionCode | Transaktionscode |
| Benutzer | Benutzer |
| UserChange | Benutzeränderung |
Protokoll für ABAP-Änderungsdokumente
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPChangeDocsLog
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Aufzeichnung folgender Elemente:
SAP NetWeaver Application Server (AS) ABAP-Protokolländerungen an Geschäftsdatenobjekten in Änderungsdokumenten
Andere Entitäten im SAP-System, z. B. Benutzerdaten, Rollen, Adressen
Verfügbar über RFC, basierend auf SAP-Standardtabellen. Dieses Protokoll wird clientbezogen generiert.
Schema des Protokolls ABAPChangeDocsLog_CL
| Feld | BESCHREIBUNG |
|---|---|
| ActualChangeNum | Tatsächliche Änderungsnummer |
| ChangedTableKey | Geänderter Tabellenschlüssel |
| ChangeNumber | Änderungsnummer |
| ClientID | ABAP-Client-ID (MANDT) |
| CreatedfromPlannedChange | Erstellt anhand geplanter Änderung in der folgenden Syntax: (‘X’ , ‘ ‘) |
| CurrencyKeyNew | Währungsschlüssel: neuer Wert |
| CurrencyKeyOld | Währungsschlüssel: alter Wert |
| FieldName | Feldname |
| FlagText | Flagtext |
| Host | Host |
| Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| Sprache | Sprache |
| ObjectClass | Objektklasse, z. B. BELEG, BPAR, PFCG, IDENTITY |
| ObjectID | Objekt-ID |
| PlannedChangeNum | Geplante Änderungsnummer |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TableName | Tabellenname |
| TransactionCode | Transaktionscode |
| TypeofChange_Header | Änderungstyp des Headers, einschließlich: U = Ändern; I = Einfügen; E = Einzelnes Dokument löschen; D = Löschen; J = Einzelnes Dokument einfügen |
| TypeofChange_Item | Änderungstyp des Elements, einschließlich: U = Ändern; I = Einfügen; E = Einzelnes Dokument löschen; D = Löschen; J = Einzelnes Dokument einfügen |
| UOMNew | Maßeinheit: neuer Wert |
| UOMOld | Maßeinheit: alter Wert |
| Benutzer | Benutzer |
| ValueNew | Feldinhalt: neuer Wert |
| ValueOld | Feldinhalt: alter Wert |
| Version | Version |
ABAP CR-Protokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPCRLog
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: enthält die CTS-Protokolle (Change & Transport System), einschließlich der Verzeichnisobjekte und Anpassungen, an denen Änderungen erfolgt sind.
Verfügbar über RFC, basierend auf Standardtabellen und SAP-Standarddiensten. Dieses Protokoll wird mit Daten aller Clients generiert.
Hinweis
Neben der Anwendungsprotokollierung, Änderungsdokumenten und Tabellenaufzeichnung werden alle Änderungen, die Sie mit dem Change & Transport System an Ihrem Produktivsystem vornehmen, in den CTS- und TMS-Protokollen dokumentiert.
Schema des Protokolls ABAPCRLog_CL
| Feld | Beschreibung |
|---|---|
| Category | Kategorie (Workbench, Anpassung) |
| ClientID | ABAP-Client-ID (MANDT) |
| BESCHREIBUNG | BESCHREIBUNG |
| Host | Host |
| Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| ObjectName | Objektname |
| ObjektType | Objekttyp |
| Besitzer | Besitzer |
| Anforderung | Änderungsanforderung |
| Status | Status |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TableKey | Tabellenschlüssel |
| TableName | Tabellenname |
| Ansichtsname | Name der Ansicht |
ABAP DB-Tabellendatenprotokoll (VORSCHAU)
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es manuell zur systemconfig.json Datei hinzufügen. Dieses Protokoll wird bei Verwendung des empfohlenen Verfahrens zum Installieren des Datenkonnektor-Agents aus dem Portal nicht unterstützt.
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPTableDataLog
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Bereitstellung einer Protokollierung für die Tabellen, die kritisch oder anfällig für Überwachungen sind.
Verfügbar unter Verwendung von RFC mit einem benutzerdefinierten Dienst. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPTableDataLog_CL
| Feld | BESCHREIBUNG |
|---|---|
| DBLogID | DB-Protokoll-ID |
| Host | Host |
| Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| Sprache | Sprache |
| LogKey | Protokollschlüssel |
| NewValue | Neuer Wert des Felds |
| OldValue | Alter Wert des Felds |
| OperationTypeSQL | Vorgangstyp: Insert, Update, Delete |
| Programm | Programmname |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TableField | Tabellenfeld |
| TableName | Tabellenname |
| TransactionCode | Transaktionscode |
| UserName | Benutzer |
| VersionNumber | Versionsnummer |
ABAP-Gatewayprotokoll (VORSCHAU)
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es manuell zur systemconfig.json Datei hinzufügen. Dieses Protokoll wird bei Verwendung des empfohlenen Verfahrens zum Installieren des Datenkonnektor-Agents aus dem Portal nicht unterstützt.
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPOS_GW
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Überwachung von Gatewayaktivitäten. Verfügbar vom SAP Control-Webdienst. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPOS_GW_CL
| Feld | BESCHREIBUNG |
|---|---|
| Host | Host |
| Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Meldungstext |
| severity | Schweregrad der Meldung: Debug, Info, Warning, Error |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
ABAP-ICM-Protokoll (VORSCHAU)
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es manuell zur systemconfig.json Datei hinzufügen. Dieses Protokoll wird bei Verwendung des empfohlenen Verfahrens zum Installieren des Datenkonnektor-Agents aus dem Portal nicht unterstützt.
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPOS_ICM
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Aufzeichnung ein- und ausgehender Anforderungen und Erstellung von Statistiken zu HTTP-Anforderungen.
Verfügbar vom SAP Control-Webdienst. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPOS_ICM_CL
| Feld | BESCHREIBUNG |
|---|---|
| Host | Host |
| Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Meldungstext |
| severity | Schweregrad der Meldung einschließlich: Debug, Info, Warning, Error |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
ABAP-Auftragsprotokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPJobLog
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Kombination aller Protokolle von Aufträgen für die Verarbeitung im Hintergrund (SM37).
Verfügbar über RFC, basierend auf SAP-Standardtabellen und den Standarddiensten der XBP-Schnittstellen. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPJobLog_CL
| Feld | BESCHREIBUNG |
|---|---|
| ABAPProgram | ABAP-Programm |
| BgdEventParameters | Hintergrundereignisparameter |
| BgdProcessingEvent | Hintergrundverarbeitungsereignis |
| ClientID | ABAP-Client-ID (MANDT) |
| DynproNumber | Dynpro-Nummer |
| GUIStatus | GUI-Status |
| Host | Host |
| Instanz | ABAP-Instanz (HOST_SYSID_SYSNR) in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| JobClassification | Auftragsklassifizierung |
| JobCount | Auftragsanzahl |
| JobGroup | Auftragsgruppe |
| JobName | Auftragsname |
| JobPriority | Auftragspriorität |
| MessageClass | Message-Klasse |
| MessageNumber | Meldungsnummer |
| MessageText | Meldungstext |
| MessageType | Nachrichtentyp |
| ReleaseUser | Auftragsfreigabebenutzer |
| SchedulingDateTime | Zeitplanung für Datum und Uhrzeit |
| StartDateTime | Startdatum und -uhrzeit |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TargetServer | Zielserver |
| Benutzer | Benutzer |
| UserReleaseInstance | ABAP-Instanz – Benutzerfreigabe |
| WorkProcessID | Arbeitsprozess-ID |
| WorkProcessNumber | Arbeitsprozessnummer |
ABAP-Sicherheitsüberwachungsprotokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPAuditLog
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Aufzeichnung der folgenden Daten:
- Sicherheitsbezogene Änderungen an der SAP-Systemumgebung, z. B. Änderungen an Hauptbenutzerdatensätzen
- Informationen, die eine höhere Datenebene bieten, z. B. erfolgreiche und nicht erfolgreiche Anmeldeversuche
- Informationen, die die Wiederherstellung einer Reihe von Ereignissen ermöglichen, z. B. erfolgreiche oder nicht erfolgreiche Transaktionsstarts
Verfügbar über XAL-/SAL-Schnittstellen von RFC. SAL ist ab Version Basis 7.50 verfügbar. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPAuditLog_CL
| Feld | BESCHREIBUNG |
|---|---|
| ABAPProgramName | Programmname, nur SAL |
| AlertSeverity | Schweregrad der Warnung |
| AlertSeverityText | Text mit Warnungsschweregrad, nur SAL |
| AlertValue | Warnungswert |
| AuditClassID | Überwachungsklassen-ID, nur SAL |
| ClientID | ABAP-Client-ID (MANDT) |
| Computer | Benutzercomputer, nur SAL |
| User email | |
| Host | Host |
| Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | Message-Klasse |
| MessageContainerID | Nachrichtencontainer-ID, nur XAL |
| Meldungs-ID | Meldungs-ID, z. B. ‘AU1’,’AU2’… |
| MessageText | Meldungstext |
| MonitoringObjectName | Objektname des MTE-Monitors, nur XAL |
| MonitorShortName | Kurzname des MTE-Monitors, nur XAL |
| SAPProcesType | Systemprotokoll: SAP-Prozesstyp, nur SAL |
| B* – Hintergrundverarbeitung | |
| D* – Dialogverarbeitung | |
| U* – Aktualisierungsaufgaben | |
| SAPWPName | Systemprotokoll: Arbeitsprozessnummer, nur SAL |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TerminalIPv6 | IP-Adresse des Benutzercomputers, nur SAL |
| TransactionCode | Transaktionscode, nur SAL |
| Benutzer | Benutzer |
| Variable1 | Meldungsvariable 1 |
| Variable2 | Meldungsvariable 2 |
| Variable3 | Meldungsvariable 3 |
| Variable4 | Meldungsvariable 4 |
ABAP-Spoolprotokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPSpoolLog
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Dient als Hauptprotokoll für den SAP-Druck mit dem Verlauf von Spoolanforderungen. (SP01).
Verfügbar über RFC, basierend auf der SAP-Standardtabelle. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPSpoolLog_CL
| Feld | BESCHREIBUNG |
|---|---|
| ArchiveStatus | Archivstatus |
| ArchiveType | Archivtyp |
| ArchivingDevice | Archivierungsgerät |
| AutoRereoute | Automatisches Umleiten |
| ClientID | ABAP-Client-ID (MANDT) |
| CountryKey | Länderschlüssel |
| DeleteSpoolRequestAuto | Automatisches Löschen der Spoolanforderung |
| DelFlag | Löschflag |
| Department | Department |
| DocumentType | Dokumenttyp |
| ExternalMode | Externer Modus |
| FormatType | Formattyp |
| Host | Host |
| Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | Anzahl |
| OutputDevice | Ausgabegerät |
| PrinterLongName | Langname des Druckers |
| PrintImmediately | Sofort drucken |
| PrintOSCoverPage | OSCover-Seite drucken |
| PrintOSCoverPage | SAPCover-Seite drucken |
| Priority | Priority |
| RecipientofSpoolRequest | Empfänger der Spoolanforderung |
| SpoolErrorStatus | Spoolfehlerstatus |
| SpoolRequestCompleted | Spoolanforderung abgeschlossen |
| SpoolRequestisALogForAnotherRequest | Spoolanforderung ist ein Protokoll für eine andere Anforderung |
| SpoolRequestName | Name der Spoolanforderung |
| SpoolRequestNumber | Nummer der Spoolanforderung |
| SpoolRequestSuffix1 | Spoolanforderungssuffix 1 |
| SpoolRequestSuffix2 | Spoolanforderungssuffix 2 |
| SpoolRequestTitle | Titel der Spoolanforderung |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TelecommunicationsPartner | Telekommunikationspartner |
| TelecommunicationsPartnerE | Telekommunikationspartner E |
| TemSeGeneralcounter | TemSe-Zähler |
| TemseNumAddProtectionRule | TemSe-Nummer: Schutzregel hinzufügen |
| TemseNumChangeProtectionRule | TemSe-Nummer: Schutzregel ändern |
| TemseNumDeleteProtectionRule | TemSe-Nummer: Schutzregel löschen |
| TemSeObjectName | TemSe-Objektname |
| TemSeObjectPart | TemSe-Objektteil |
| TemseReadProtectionRule | TemSe-Leseschutzregel |
| Benutzer | Benutzer |
| ValueAuthCheck | Überprüfung der Wertauthentifizierung |
APAB-Spoolausgabeprotokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPSpoolOutputLog
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Hauptprotokoll für SAP-Druck mit Verlauf der Spoolausgabeanforderungen. (SP02).
Verfügbar unter Verwendung von RFC mit einem benutzerdefinierten Dienst, der auf Standardtabellen basiert. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPSpoolOutputLog_CL
| Feld | BESCHREIBUNG |
|---|---|
| AppServer | Anwendungsserver |
| ClientID | ABAP-Client-ID (MANDT) |
| Kommentar | Kommentar |
| CopyCount | Anzahl der Exemplare |
| CopyCounter | Zähler für Exemplare |
| Department | Department |
| ErrorSpoolRequestNumber | Nummer der fehlerhaften Anforderung |
| FormatType | Formattyp |
| Host | Host |
| HostName | Hostname |
| HostSpoolerID | Hostspooler-ID |
| Instanz | ABAP-Instanz |
| LastPage | Letzte Seite |
| NumofCopies | Anzahl |
| OutputDevice | Ausgabegerät |
| OutputRequestNumber | Ausgabeanforderungsnummer |
| OutputRequestStatus | Ausgabeanforderungsstatus |
| PhysicalFormatType | Physischer Formattyp |
| PrinterLongName | Langname des Druckers |
| PrintRequestSize | Druckanforderungsgröße |
| Priority | Priority |
| ReasonforOutputRequest | Grund für Ausgabeanforderung |
| RecipientofSpoolRequest | Empfänger der Spoolanforderung |
| SpoolNumberofOutputReqProcessed | Anzahl der Ausgabeanforderungen – verarbeitet |
| SpoolNumberofOutputReqWithErrors | Anzahl der Ausgabeanforderungen – mit Fehlern |
| SpoolNumberofOutputReqWithProblems | Anzahl der Ausgabeanforderungen – mit Problemen |
| SpoolRequestNumber | Nummer der Spoolanforderung |
| StartPage | Startseite |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TelecommunicationsPartner | Telekommunikationspartner |
| TemSeGeneralcounter | TemSe-Zähler |
| Titel | Titel |
| Benutzer | Benutzer |
ABAP Syslog
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es manuell zur systemconfig.json Datei hinzufügen. Dieses Protokoll wird bei Verwendung des empfohlenen Verfahrens zum Installieren des Datenkonnektor-Agents aus dem Portal nicht unterstützt.
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPOS_Syslog
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Aufzeichnung aller ABAP-Systemfehler von SAP NetWeaver Application Server (SAP NetWeaver AS), Warnungen, Benutzersperren aufgrund fehlgeschlagener Anmeldeversuche bekannter Benutzer und Prozessmeldungen.
Verfügbar vom SAP Control-Webdienst. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPOS_Syslog_CL
| Feld | BESCHREIBUNG |
|---|---|
| ClientID | ABAP-Client-ID (MANDT) |
| Host | Host |
| Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | Meldungsnummer |
| MessageText | Meldungstext |
| severity | Meldungsschweregrad, einer der folgenden Werte: Debug, Info, Warning, Error |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TransacationCode | Transaktionscode |
| Typ | SAP-Prozesstyp |
| Benutzer | Benutzer |
ABAP-Workflowprotokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPWorkflowLog
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Mit dem SAP Business Workflow (WebFlow-Engine) können Sie Geschäftsprozesse definieren, die noch nicht im SAP-System abgebildet sind.
Beispielsweise können nicht zugeordnete Geschäftsprozesse einfache Freigabe- oder Genehmigungsverfahren oder komplexere Geschäftsprozesse wie das Erstellen von Basismaterial sein und dann die zugehörigen Abteilungen koordinieren.
Verfügbar über RFC, basierend auf SAP-Standardtabellen. Dieses Protokoll wird clientbezogen generiert.
Schema des Protokolls ABAPWorkflowLog_CL
| Feld | BESCHREIBUNG |
|---|---|
| ActualAgent | Tatsächlicher Agent |
| Adresse | Adresse |
| ApplicationArea | Anwendungsbereich |
| CallbackFunction | Rückruffunktion |
| ClientID | ABAP-Client-ID (MANDT) |
| CreationDateTime | Erstellungsdatum/-uhrzeit |
| Creator | Creator |
| CreatorAddress | Adresse des Erstellers |
| ErrorType | Fehlertyp |
| ExceptionforMethod | Ausnahme für Methode |
| Host | Host |
| Instanz | ABAP-Instanz (HOST_SYSID_SYSNR) in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| Sprache | Sprache |
| LogCounter | Protokollzähler |
| MessageNumber | Meldungsnummer |
| MessageType | Nachrichtentyp |
| MethodUser | Methodenbenutzer |
| Priority | Priority |
| SimpleContainer | Einfacher Container, verpackt als Liste der Schlüsselwertentitäten für die Arbeitsaufgabe |
| Status | Status |
| SuperWI | Superarbeitselement |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TaskID | Aufgaben-ID |
| TasksClassification | Aufgabenklassifizierungen |
| TaskText | Aufgabentext |
| TopTaskID | ID der wichtigsten Aufgabe |
| UserCreated | Vom Benutzer erstellt |
| WIText | Arbeitselementtext |
| WIType | Arbeitsaufgabentyp |
| WorkflowAction | Workflow-Aktion |
| WorkItemID | ID des Arbeitselements |
ABAP WorkProcess-Protokoll
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es manuell zur systemconfig.json Datei hinzufügen. Dieses Protokoll wird bei Verwendung des empfohlenen Verfahrens zum Installieren des Datenkonnektor-Agents aus dem Portal nicht unterstützt.
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPOS_WP
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Kombination aller Arbeitsprozessprotokolle. (Standard:
dev_*).Verfügbar vom SAP Control-Webdienst. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPOS_WP_CL
| Feld | BESCHREIBUNG |
|---|---|
| Host | Host |
| Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Meldungstext |
| severity | Schweregrad der Meldung: Debug, Info, Warning, Error |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| WPNumber | Arbeitsprozessnummer |
HANA DB-Überwachungsprotokoll
Das Sammeln des HANA DB Audit Trail-Protokolls ist ein Beispiel für die Erfassung von Datenbankebenenaktivitäten durch Microsoft Sentinel. Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie Azure Monitor Agent bereitstellen, um Syslog-Daten vom Computer zu sammeln, auf dem HANA DB ausgeführt wird.
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPSyslog
Zugehörige SAP-Dokumentation: Allgemein | Überwachungsprotokoll
Protokollzweck Aufzeichnung von Benutzer- oder versuchten Aktionen in der SAP HANA-Datenbank. Ermöglicht Ihnen beispielsweise, den Lesezugriff auf vertrauliche Daten zu protokollieren und zu überwachen.
Verfügbar vom Microsoft Sentinel Linux-Agent für Syslog. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls Syslog
| Feld | BESCHREIBUNG |
|---|---|
| Computer | Hostname |
| HostIP | Host-IP |
| HostName | Hostname |
| ProcessID | Prozess-ID |
| ProcessName | Prozessname: HDB* |
| SeverityLevel | Warnung |
| SourceSystem | Betriebssystem des Quellsystems: Linux |
| SyslogMessage | Meldung, eine nicht analysierte Überwachungsprotokollmeldung |
JAVA-Dateien
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es manuell zur systemconfig.json Datei hinzufügen. Dieses Protokoll wird bei Verwendung des empfohlenen Verfahrens zum Installieren des Datenkonnektor-Agents aus dem Portal nicht unterstützt.
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPJAVAFilesLogs
Zugehörige SAP-Dokumentation: Allgemein | Java-Sicherheitsüberwachungsprotokoll
Protokollzweck: Kombination aller auf Java-Dateien basierenden Protokolle, einschließlich des Sicherheitsüberwachungsprotokolls und der System- (Cluster- und Serverprozess), Leistungs- und Gatewayprotokolle. Enthält auch Entwicklerablaufverfolgungs- und Standardablaufverfolgungs-Protokolle.
Verfügbar vom SAP Control-Webdienst. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls JavaFilesLogsCL
| Feld | Beschreibung |
|---|---|
| Anwendung | Java-Anwendung |
| ClientID | Client-ID |
| CSNComponent | CSN-Komponente, z. B. BC-XI-IBD |
| DCComponent | DC-Komponente, z. B. com.sap.xi.util.misc |
| DSRCounter | DSR-Zähler |
| DSRRootContentID | DSR-Kontext-GUID |
| DSRTransaction | DSR-Transaktions-GUID |
| Host | Host |
| Instanz | Java-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| Standort | Java-Klasse |
| LogName | Java-Protokollname, z. B.: Available, defaulttrace, dev*, security usw. |
| MessageText | Meldungstext |
| MNo | Meldungsnummer |
| Pid | Prozess-ID |
| Programm | Programmname |
| Sitzung | Sitzung |
| severity | Schweregrad der Meldung einschließlich: Debug, Info, Warning, Error |
| Lösung | Lösung |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| ThreadName | Threadname |
| Thrown | Ausgelöste Ausnahme |
| TimeZone | Zeitzone |
| Benutzer | Benutzer |
SAP-Heartbeatprotokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPConnectorHealth
Protokollzweck: Stellt Heartbeat- und andere Integritätsinformationen zur Konnektivität zwischen den Agents und den verschiedenen SAP-Systemen zur Verfügung.
Wird automatisch für alle Agents von Microsoft Sentinel für den SAP-Connector erstellt.
SAP_HeartBeat_CL-Protokollschema
| Feld | BESCHREIBUNG |
|---|---|
| TimeGenerated | Zeitpunkt des Protokollierungsereignisses |
| agent_id_s | Agent-ID in der Agent-Konfiguration (automatisch generiert) |
| agent_ver_s | Agent-Version |
| host_s | Hostname des Agents |
| system_id_s | NetWeaver ABAP-System-ID/ NetWeaver SAPControl-Host (Vorschau)/ Java SAPControl-Host (Vorschau) |
| push_timestamp_d | Zeitstempel der Extraktion gemäß der Zeitzone des Agents |
| agent_timezone_s | Zeitzone des Agents |
Referenz von Tabellen, die direkt aus SAP-Systemen abgerufen wurden
In diesem Abschnitt werden die Datentabellen aufgeführt, die direkt aus dem SAP-System abgerufen und unverändert in Microsoft Sentinel erfasst werden.
Die aus diesen Tabellen abgerufenen Daten bietet eine Übersicht über die Autorisierungsstruktur, Gruppenmitgliedschaft und Benutzerprofile. Außerdem können Sie Autorisierungsgenehmigungen und -widerrufe nachverfolgen sowie die Risiken bestimmen, die mit diesen Prozessen zusammenhängen.
Die unten aufgeführten Tabellen sind erforderlich, um Funktionen zu aktivieren, die privilegierte Benutzer identifizieren sowie Benutzer zu Rollen, Gruppen und Autorisierungen zuordnen.
Optimale Ergebnisse finden Sie in den folgenden Tabellen unter Verwendung des Namens in der Spalte " Microsoft Sentinel-Funktionsname " in der folgenden Tabelle:
| Tabellenname | Tabellenbeschreibung | Microsoft Sentinel-Funktionsname |
|---|---|---|
| USR01 | Benutzermasterdatensatz (Laufzeitdaten) | SAP_USR01 |
| USR02 | Anmeldedaten (kernelseitige Verwendung) | SAP_USR02 |
| UST04 | Benutzermaster Zuordnen von Benutzern zu Profilen |
SAP_UST04 |
| AGR_USERS | Zuweisen von Rollen zu Benutzern | SAP_AGR_USERS |
| AGR_1251 | Autorisierungsdaten für die Aktivitätsgruppe | SAP_AGR_1251 |
| USGRP_USER | Zuweisen von Benutzern zu Benutzergruppen | SAP_USGRP_USER |
| USR21 | Benutzername/Adresstastenzuweisung | SAP_USR21 |
| ADR6 | E-Mail-Adressen (Geschäftsadressendienste) | SAP_ADR6 |
| USRSTAMP | Zeitstempel für alle Änderungen am Benutzer | SAP_USRSTAMP |
| ADCP | Person/ Adresszuweisung (Geschäftsadressendienste) | SAP_ADCP |
| USR05 | Parameter-ID des Benutzermasters | SAP_USR05 |
| AGR_PROF | Profilname der Rolle | SAP_AGR_PROF |
| AGR_FLAGS | Rollenattribute | SAP_AGR_FLAGS |
| DEVACCESS | Tabelle für den Entwicklungsbenutzer | SAP_DEVACCESS |
| AGR_DEFINE | Rollendefinition | SAP_AGR_DEFINE |
| AGR_AGRS | Rollen in zusammengesetzten Rollen | SAP_AGR_AGRS |
| PAHI | Verlauf der System-, Datenbank- und SAP-Parameter | SAP_PAHI |
| SNCSYSACL (VORSCHAU) | SNC Access Control List (ACL): Systeme | SAP_SNCSYSACL |
| USRACL (VORSCHAU) | SNC Access Control List (ACL): Benutzer | SAP_USRACL |
Zugehöriger Inhalt
Weitere Informationen finden Sie unter: