Problembehandlung bei der Bereitstellung der Microsoft Sentinel-Lösung für SAP®-Anwendungen
Nützliche Docker-Befehle
Bei der Problembehandlung des Microsoft Sentinel für SAP-Datenconnectors können die folgenden Befehle nützlich sein:
Funktion | Befehl |
---|---|
Beenden des Docker-Containers | docker stop sapcon-[SID] |
Starten des Docker-Containers | docker start sapcon-[SID] |
Anzeigen von Docker-Systemprotokollen | docker logs -f sapcon-[SID] |
Aufrufen des Docker-Containers | docker exec -it sapcon-[SID] bash |
Weitere Informationen finden Sie in der Dokumentation zur Docker CLI.
Überprüfen von Systemprotokollen
Es wird dringend empfohlen, die Systemprotokolle nach dem Installieren oder Zurücksetzen des Datenconnectors zu überprüfen.
Führen Sie Folgendes aus:
docker logs -f sapcon-[SID]
So aktivieren Sie die Debugmodusausgabe
Aktivieren der Debugmodusausgabe:
Bearbeiten Sie auf Ihrer VM die Datei /opt/sapcon/[SID]/systemconfig.ini.
Definieren Sie den Abschnitt Allgemein, wenn er zuvor noch nicht definiert wurde. Definieren Sie
logging_debug = True
in diesem Abschnitt.Beispiel:
[General] logging_debug = True
Speichern Sie die Datei .
Die Änderung wird zwei Minuten nach dem Speichern der Datei wirksam. Sie brauchen den Docker-Container nicht neu zu starten.
Aktivieren der Debugmodusausgabe:
Bearbeiten Sie auf Ihrer VM die Datei /opt/sapcon/[SID]/systemconfig.ini.
Definieren Sie
logging_debug = False
im Abschnitt Allgemein.Beispiel:
[General] logging_debug = False
Speichern Sie die Datei .
Die Änderung wird zwei Minuten nach dem Speichern der Datei wirksam. Sie brauchen den Docker-Container nicht neu zu starten.
Anzeigen aller Containerausführungsprotokolle
Connectorausführungsprotokolle für die Bereitstellung des Datenconnectors für Ihre Microsoft Sentinel-Lösung für SAP®-Anwendungen werden auf Ihrer VM unter /opt/sapcon/[SID]/log/ gespeichert. Der Protokolldateiname lautet OmniLog.log. Es wird ein Verlauf der Protokolldateien mit der Endung .[Zahl] gespeichert, z. B. OmniLog.log.1, OmniLog.log.2 usw.
Überprüfen und Aktualisieren der Konfiguration des Microsoft Sentinel für SAP-Datenconnectors
Wenn Sie die Konfigurationsdatei des Microsoft Sentinel für SAP-Datenconnectors überprüfen und manuelle Aktualisierungen vornehmen möchten, führen Sie die folgenden Schritte aus:
Öffnen Sie auf Ihrem virtuellen Computer die Konfigurationsdatei:
- sapcon/[SID]/systemconfig.json für Agentversionen, die am oder nach dem 22. Juni 2023 veröffentlicht wurden.
- sapcon/[SID]/systemconfig.ini für Agentversionen, die vor dem 22. Juni 2023 veröffentlicht wurden.
Aktualisieren Sie die Konfiguration bei Bedarf und speichern Sie die Datei.
Die Änderung wird zwei Minuten nach dem Speichern der Datei wirksam. Sie brauchen den Docker-Container nicht neu zu starten.
Zurückstellen des Microsoft Sentinel für SAP-Datenconnectors
Mit den folgenden Schritten werden der Connector zurückgesetzt und die SAP-Protokolle der letzten 30 Minuten erneut erfasst.
Beenden Sie den Connector. Führen Sie Folgendes aus:
docker stop sapcon-[SID]
Löschen Sie die Datei metadata.db aus dem Verzeichnis /opt/sapcon/[SID]. Führen Sie Folgendes aus:
cd /opt/sapcon/<SID> rm metadata.db
Hinweis
Die Datei metadata.db enthält den letzten Zeitstempel jedes Protokolls und verhindert Duplizierung.
Starten Sie den Connector neu. Führen Sie Folgendes aus:
docker start sapcon-[SID]
Überprüfen Sie die Systemprotokolle, wenn Sie fertig sind.
IP-Adress- oder Transaktionscodefelder fehlen im SAP-Überwachungsprotokoll
Diese Lösung ermöglicht es SAP-Systemen mit Versionen für SAP BASIS 7.5 SP12 und höher, zusätzliche Felder in den Tabellen ABAPAuditLog_CL
und SAPAuditLog
abzubilden.
Wenn Sie höhere SAP BASIS-Versionen als 7.5 SP12 verwenden und IP-Adress- oder Transaktionscodefelder im SAP-Überwachungsprotokoll fehlen, überprüfen Sie, ob das SAP-System, aus dem Sie die Daten extrahieren, die relevanten Änderungsanforderungen (Transporte) enthält. Weitere Informationen finden Sie im Abschnitt Abrufen zusätzlicher Informationen aus SAP in den Voraussetzungen.
Im SAP-Tabellendatenprotokoll werden keine Daten angezeigt.
Diese Lösung ermöglicht es SAP-Systemen mit Versionen für SAP BASIS 7.5 SP12 und höher, Änderungen des Tabellendatenprotokolls in der Tabelle ABAPTableDataLog_CL
widerzuspiegeln.
Wenn in der Tabelle ABAPTableDataLog_CL
keine Daten angezeigt werden, überprüfen Sie, ob das SAP-System, aus dem Sie die Daten extrahieren, die relevanten Änderungsanforderungen (Transporte) enthält. Weitere Informationen finden Sie im Abschnitt Abrufen zusätzlicher Informationen aus SAP in den Voraussetzungen.
Häufige Probleme
Nachdem Sie sowohl den Microsoft Sentinel für SAP-Datenconnector als auch Sicherheitsinhalte bereitgestellt haben, können die folgenden Fehler oder Probleme auftreten:
Beschädigte oder fehlende SAP SDK-Datei
Dieser Fehler liegt möglicherweise vor, wenn der Connector nicht mit PyRfc gestartet werden kann oder ZIP-bezogene Fehlermeldungen angezeigt werden.
- Installieren Sie das SAP SDK neu.
- Vergewissern Sie sich, dass Sie die richtige 64-Bit-Version von Linux haben. Zum jetzigen Zeitpunkt lautet der Dateiname des Release nwrfc750P_8-70002752.zip.
Wenn Sie den Datenconnector manuell installiert haben, stellen Sie sicher, dass Sie die SDK-Datei in den Docker-Container kopiert haben.
Führen Sie Folgendes aus:
Docker cp SDK by running docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/
ABAP-Laufzeitfehler werden in großem System gemeldet
Wenn ABAP Laufzeitfehler in großen Systemen gemeldet werden, versuchen Sie, eine kleinere Blockgröße festzulegen:
Bearbeiten Sie die Datei /opt/sapcon/[SID]/systemconfig.ini, und definieren Sie
timechunk = 5
im Abschnitt Connectorkonfiguration.Beispiel:
[Connector Configuration] timechunk = 5
Speichern Sie die Datei.
Die Änderung wird zwei Minuten nach dem Speichern der Datei wirksam. Sie brauchen den Docker-Container nicht neu zu starten.
Hinweis
Die Größe von timechunk wird in Minuten angegeben.
Leeres oder nicht abgerufenes Überwachungsprotokoll ohne spezielle Fehlermeldungen
- Prüfen Sie, ob die Überwachungsprotokollierung in SAP aktiviert ist.
- Überprüfen Sie die Transaktionen SM19 oder RSAU_CONFIG.
- Aktivieren Sie nach Bedarf alle Ereignisse.
- Überprüfen Sie, ob Nachrichten in SAP SM20 oder RSAU_READ_LOG eingehen und vorhanden sind, ohne dass im Connectorprotokoll spezielle Fehler angezeigt werden.
Falsche ID oder falscher Schlüssel für den Microsoft Sentinel-Arbeitsbereich
Wenn Sie feststellen, dass Sie eine falsche Arbeitsbereichs-ID oder einen falschen Schlüssel in Ihr Bereitstellungsskript eingegeben haben, aktualisieren Sie die in Azure Key Vault gespeicherten Anmeldeinformationen.
Starten Sie den Container neu, nachdem Sie Ihre Anmeldeinformationen in Azure KeyVault überprüft haben:
docker restart sapcon-[SID]
Falsche SAP ABAP-Benutzeranmeldeinformationen in einer festen Konfiguration
Eine feste Konfiguration liegt vor, wenn das Kennwort direkt in der Konfigurationsdatei systemconfig.ini gespeichert wird.
Wenn Ihre Anmeldeinformationen dort falsch sind, überprüfen Sie Ihre Anmeldeinformationen.
Verwenden Sie die base64-Verschlüsselung, um Benutzer und Kennwort zu verschlüsseln. Sie können Tools für die Onlineverschlüsselung verwenden, um Ihre Anmeldeinformationen zu verschlüsseln, beispielsweise https://www.base64encode.org/.
Falsche SAP ABAP-Benutzeranmeldeinformationen in Schlüsseltresor
Überprüfen Sie Ihre Anmeldeinformationen, und korrigieren Sie sie ggf., indem Sie in Azure Key Vault die richtigen Werte für ABAPUSER und ABAPPASS anwenden.
Starten Sie den Container anschließend neu:
docker restart sapcon-[SID]
Fehlende Berechtigungen für ABAP (SAP-Benutzer)
Wenn sie eine Fehlermeldung wie die folgende erhalten: ... Fehlende Backend-RFC-Autorisierung..., wurden Ihre SAP-Autorisierungen und Ihre SAP-Rolle nicht ordnungsgemäß zugeordnet.
Stellen Sie sicher, dass die Rolle MSFTSEN/SENTINEL_CONNECTOR im Rahmen eines Change Request-Transports importiert und dem Connectorbenutzer zugeordnet wurde.
Führen Sie den Prozess für Rollengenerierung und Benutzervergleich mithilfe der SAP-Transaktion PFCG aus.
Fehlende Daten in Ihrer Arbeitsmappe oder Ihren Warnungen
Wenn Sie feststellen, dass in Ihren Microsoft Sentinel-Arbeitsmappen oder -Warnungen Daten fehlen, stellen Sie sicher, dass die Auditlog-Richtlinie auf SAP-Seite ordnungsgemäß aktiviert ist und die Protokolldatei keine Fehler enthält.
Verwenden Sie die Transaktion RSAU_CONFIG_LOG für diesen Schritt.
Fehlender SAP Change Request
Wenn Fehler angezeigt werden, dass ein erforderlicher SAP Change Request fehlt, stellen Sie sicher, dass Sie den richtigen SAP Change Request für Ihr System importiert haben.
Weitere Informationen finden Sie unter Schritte zur Überprüfung der ValidateSAP-Umgebung.
Keine Datensätze / verspätete Datensätze
Der Agent verwendet Zeitzoneninformationen, um korrekt zu funktionieren. Wenn Sie feststellen, dass es keine Datensätze in den SAP-Überwachungs- und Änderungsprotokollen gibt oder wenn Datensätze ständig ein paar Stunden alt sind, überprüfen Sie, ob der SAP-Bericht „TZCUSTHELP“ irgendwelche Fehler anzeigt. Weitere Informationen finden Sie im SAP-Hinweis 481835. Darüber hinaus können Probleme mit der Uhr auf der VM auftreten, auf der der Anwendungs-Agent für die Microsoft Sentinel-Lösung für SAP® gehostet wird. Jede Abweichung der Uhr der VM von der UTC wirkt sich auf die Datensammlung aus. Wichtiger ist, dass die Uhr der SAP-VM und die VM-Uhr des Sentinel-Agents übereinstimmen.
Probleme mit der Netzwerkkonnektivität
Wenn Probleme mit der Netzwerkkonnektivität mit der SAP-Umgebung oder Microsoft Sentinel auftreten, überprüfen Sie Ihre Netzwerkkonnektivität, um sicherzustellen, dass der Datenfluss den Erwartungen entspricht.
Häufige Probleme sind beispielweise:
Firewalls zwischen dem Docker-Container und den SAP-Hosts blockieren möglicherweise den Datenverkehr. Der SAP-Host empfängt Kommunikationen über die folgenden TCP-Ports, die offen sein müssen: 32xx, 5xx13 und 33xx. xx steht hierbei für die SAP-Instanznummer.
Für die ausgehende Kommunikation Ihres SAP-Hosts mit Microsoft Container Registry oder Azure ist eine Proxykonfiguration erforderlich. Dies wirkt sich in der Regel auf die Installation aus und führt dazu, dass Sie die Umgebungsvariablen
HTTP_PROXY
undHTTPS_PROXY
konfigurieren müssen. Sie können Umgebungsvariablen auch bei der Erstellung des Docker-Containers in selbigem erfassen, indem Sie dem Docker-Befehlcreate
/run
das Flag-e
hinzufügen.
Sonstige unerwartete Fehler
Wenn unerwartete Probleme auftreten, die in diesem Artikel nicht aufgeführt sind, versuchen Sie Folgendes:
- Zurücksetzen des Connectors und erneutes Laden der Protokolle
- Upgraden Sie den Connector auf die aktuelle Version.
Tipp
Das Zurücksetzen Ihres Connectors und Sicherstellen, dass Sie über die neuesten Upgrades verfügen, wird auch nach größeren Konfigurationsänderungen empfohlen.
Fehler beim Abrufen eines Überwachungsprotokolls mit Warnungen
Wenn Sie versuchen, ein Überwachungsprotokoll ohne den erforderlichen Change Request oder mit einer älteren/nicht gepatchten Version abzurufen, und der Prozess mit Warnungen fehlschlägt, überprüfen Sie, ob das SAP-Überwachungsprotokoll mithilfe einer der folgenden Methoden abgerufen werden kann:
- Verwenden eines Kompatibilitätsmodus namens XAL in älteren Versionen
- Verwenden einer Version, die nicht kürzlich gepatcht wurde
- Ohne Installation des erforderlichen Change Requests
Eigentlich sollte Ihr System bei Bedarf automatisch in den Kompatibilitätsmodus wechseln, aber u. U. müssen Sie die Umstellung manuell vornehmen. So stellen Sie manuell auf den Kompatibilitätsmodus um
Bearbeiten Sie die Datei /opt/sapcon/[SID]/systemconfig.ini.
Definieren Sie im Abschnitt Connectorkonfiguration Folgendes:
auditlogforcexal = True
Beispiel:
[Connector Configuration] auditlogforcexal = True
Speichern Sie die Datei.
Die Änderung wird zwei Minuten nach dem Speichern der Datei wirksam. Sie brauchen den Docker-Container nicht neu zu starten.
SAPCONTROL- oder JAVA-Subsysteme können keine Verbindung herstellen
Prüfen Sie, ob der Betriebssystembenutzer gültig ist und auf dem SAP-Zielsystem den folgenden Befehl ausführen kann:
sapcontrol -nr <SID> -function GetSystemInstanceList
Fehler beim SAPCONTROL- oder JAVA-Subsystem mit zeitzonenbezogener Fehlermeldung
Wenn Ihr SAPCONTROL- oder JAVA-Subsystem mit einer zeitzonenbezogenen Fehlermeldung ausfällt, z. B.: Überprüfen Sie die Konfiguration und den Netzwerkzugriff auf den SAP-Server – „Etc/NZST“ , stellen Sie sicher, dass Sie Standardcodes für Zeitzonen verwenden.
Verwenden Sie beispielsweise javatz = GMT+12
oder abaptz = GMT-3**
.
Change Request-Transporte können nicht in SAP importiert werden
Falls Sie die erforderlichen Change Requests für SAP-Protokolle nicht importieren können und eine Fehlermeldung zu einer ungültigen Komponentenversion erhalten, fügen ignore invalid component version
Sie hinzu, wenn Sie den Change Request importieren.
Überwachungsprotokolldaten werden nach dem ersten Laden nicht erfasst
Wenn die SAP-Überwachungsprotokolldaten aus den RSAU_READ_LOAD- oder SM200-Transaktionen nach dem ersten Ladevorgang nicht in Microsoft Sentinel erfasst werden, liegt möglicherweise eine Fehlkonfiguration des SAP-Systems und des Betriebssystems des SAP-Hosts vor.
- Die ersten Ladevorgänge werden nach einer Neuinstallation des Microsoft Sentinel für SAP-Datenconnectors oder nach dem Löschen der Datei metadata.db ausgeführt.
- Eine falsche Konfiguration kann beispielsweise vorliegen, wenn die Zeitzone für Ihr SAP-System in der Transaktion STZAC auf CET festgelegt ist, aber die Zeitzone für das SAP-Hostbetriebssystem UTC lautet.
Führen Sie den Bericht RSDBTIME in der Transaktion SE38 aus, um nach Fehlkonfigurationen zu suchen. Wenn Sie einen Konflikt zwischen dem SAP-System und dem SAP-Hostbetriebssystem feststellen, gehen Sie folgendermaßen vor:
Beenden Sie den Docker-Container. Ausführen
docker stop sapcon-[SID]
Löschen Sie die Datei metadata.db aus dem Verzeichnis /opt/sapcon/[SID]. Führen Sie Folgendes aus:
rm /opt/sapcon/[SID]/metadata.db
Aktualisieren Sie das SAP-System und das SAP-Hostbetriebssystem so, dass ihre Einstellungen (z. B. die Zeitzone) übereinstimmen. Weitere Informationen finden Sie im SAP Community Wiki.
Starten Sie den Container neu. Führen Sie Folgendes aus:
docker start sapcon-[SID]
IP-Adress- oder Transaktionscodefelder fehlen im SAP-Überwachungsprotokoll
Mit dieser Lösung können SAP-Systeme mit Versionen für SAP BASIS 7.5 SP12 und höher zusätzliche Felder in den Tabellen ABAPAuditLog_CL und SAPAuditLog abbilden. Wenn Sie höhere SAP BASIS-Versionen als 7.5 SP12 verwenden und IP-Adress- oder Transaktionscodefelder im SAP-Überwachungsprotokoll fehlen, überprüfen Sie, ob das SAP-System, aus dem Sie die Daten extrahieren, die relevanten Änderungsanforderungen (Transporte) enthält. Weitere Informationen finden Sie unter Abrufen zusätzlicher Informationen von SAP (optional).
Im SAP-Tabellendatenprotokoll werden keine Daten angezeigt.
Diese Lösung ermöglicht es SAP-Systemen mit Versionen für SAP BASIS 7.5 SP12 und höher, Änderungen des Tabellendatenprotokolls in der ABAPTableDataLog_CL-Tabelle widerzuspiegeln. Wenn in ABAPTableDataLog_CL keine Daten angezeigt werden, überprüfen Sie, ob das SAP-System, aus dem Sie die Daten extrahieren, die relevanten Änderungsanforderungen (Transporte) enthält. Weitere Informationen finden Sie unter Abrufen zusätzlicher Informationen von SAP (optional).
Nächste Schritte
Erfahren Sie mehr über die Microsoft Sentinel-Lösung für SAP®-Anwendungen:
- Microsoft Sentinel-Lösung für SAP®-Anwendungen bereitstellen
- Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP®-Anwendungen
- Bereitstellen von SAP-Änderungsanforderungen (CRs) und Konfigurieren der Autorisierung
- Bereitstellen des Lösungsinhalts über den Inhaltshub
- Bereitstellen und Konfigurieren des Containers für den SAP-Datenconnector-Agent
- Bereitstellen des Microsoft Sentinel-Datenconnectors für SAP mit SNC
- Aktivieren und Konfigurieren von SAP-Überwachung
- Erfassen von SAP HANA-Überwachungsprotokollen
Referenzdateien:
- Lösungsdatenreferenz für die Microsoft Sentinel-Lösung für SAP®-Anwendungen
- Lösung „Microsoft Sentinel-Lösung für SAP®-Anwendungen“: Referenz zu sicherheitsbezogenen Inhalten
- Kickstart-Skriptreferenz
- Referenz zum Updateskript
- Referenz zur Datei „Systemconfig.ini“
Weitere Informationen finden Sie unter Microsoft Sentinel-Lösungen.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter:Einreichen und Feedback anzeigen für