Referenz zur Datei „Systemconfig.ini“
Die Datei systemconfig.ini wird verwendet, um das Verhalten des Datensammlers zu konfigurieren. Die Konfigurationsoptionen sind in mehrere Abschnitte gruppiert. In diesem Artikel sind die verfügbaren Optionen zusammen mit einer Erläuterung aufgeführt.
Wichtig
Die Microsoft Sentinel-Lösung für SAP-Anwendungen® verwendet die neue Datei "systemconfig.json" für Agentversionen, die am oder nach dem 22. Juni 2023 veröffentlicht wurden. Bei früheren Agentversionen müssen Sie weiterhin die Datei systemconfig.ini verwenden.
Wenn Sie die Agentversion aktualisieren, wird die Konfigurationsdatei automatisch migriert.
Abschnitte der Systemconfig-Konfigurationsdatei
Name des Abschnitts | BESCHREIBUNG |
---|---|
Geheimnisquelle | In diesem Abschnitt wird definiert, wo Anmeldeinformationen gespeichert werden. |
Zentrale ABAP-Instanz | In diesem Abschnitt werden allgemeine Optionen der SAP-Instanz definiert, mit der eine Verbindung hergestellt werden soll. |
Azure Credentials | In diesem Abschnitt werden Anmeldeinformationen zum Herstellen einer Verbindung mit Azure Log Analytics definiert. |
ABAP für die Dateiextraktion | In diesem Abschnitt werden Protokolle und Anmeldeinformationen definiert, die über die SAPControl-Schnittstelle vom ABAP-Server extrahiert werden. |
JAVA für die Dateiextraktion | In diesem Abschnitt werden Protokolle und Anmeldeinformationen definiert, die über die SAPControl-Schnittstelle vom JAVA-Server extrahiert werden. |
Protokollaktivierungsstatus | In diesem Abschnitt wird definiert, welche Protokolle aus ABAP extrahiert werden. |
Connector-Konfiguration | In diesem Abschnitt werden verschiedene Connector-Optionen definiert. |
ABAP-Tabellenauswahl | In diesem Abschnitt wird definiert, welche Benutzermasterdatenprotokolle aus dem ABAP-System extrahiert werden. |
Abschnitt „Geheimnisquelle“
secrets=AZURE_KEY_VAULT|DOCKER_FIXED
# Storage location of SAP credentials and Log Analytics workspace ID and key
# AZURE_KEY_VAULT - store in an Azure Key Vault. Requires keyvault option and intprefix option
# DOCKER_FIXED - store in systemconfig.ini file. Requires user, passwd, loganalyticswsid and publickey options
keyvault=<vaultname>
# Azure Keyvault name, in case secrets = AZURE_KEY_VAULT
intprefix=<prefix>
# intprefix - Prefix for variables created in Azure Key Vault
Abschnitt „Zentrale ABAP-Instanz“
[ABAP Central Instance]
auth_type=PLAIN_USER_AND_PASSWORD|SNC_WITH_X509
# Authentication type - username/password authentication, or X.509 authentication
ashost=<hostname>
# FQDN, hostname, or IP address of the ABAP server
mshost=<hostname>
# FQDN, hostname, or IP address of the Message server
msserv=<portnumber>
# Port number, or service name (from /etc/services) of the message server
group=<logon group>
# Logon group of the message server
sysnr=<Instance number>
# Instance number of the ABAP server
sysid=<SID>
# System ID of the ABAP server
client=<Client Number>
# Client number of the ABAP server
user=<username>
# Username to use to connect to ABAP server. Used only when secrets setting in Secrets Source section is set to DOCKER_FIXED
passwd=<password>
# Password to use to connect to ABAP server. Used only when secrets setting in Secrets Source section is set to DOCKER_FIXED
snc_lib=<path to libsapcrypto>
# Full path, to the libsapcrypto.so
# Used when SNC is in use
# !!! Note: the path must be valid within the container!!!
snc_partnername=<distinguished name of the server certificate>
# p: -prefixed valid SAP server SNC name, which is equal to Distinguished Name(DN) of SAP server PSE
# Used when SNC is in use
snc_qop=<SNC protection level>
# More information available at https://docs.oracle.com/cd/E19509-01/820-5064/ggrpj/index.html
# Used when SNC is in use
snc_myname=<distinguished name of the client certificate>
# p: -prefixed valid client SNC name, which is equal to Distinguished Name(DN) of client PSE
# Used when SNC is in use
x509cert=<server certificate>
# Base64 encoded server certificate value in a single line (with leading ----BEGIN-CERTIFICATE--- and trailing ----END-CERTIFICATE---- removed)
Abschnitt „Azure-Anmeldeinformationen“
[Azure Credentials]
loganalyticswsid=<workspace ID>
# Log Analytics workspace ID. Used only when secrets setting in Secrets Source section is set to DOCKER_FIXED
publickey=<publickey>
# Log Analytics workspace primary or secondary key. Used only when secrets setting in Secrets Source section is set to DOCKER_FIXED
Abschnitt „ABAP für die Dateiextraktion“
[File Extraction ABAP]
osuser = <SAPControl username>
# Username to use to authenticate to SAPControl
ospasswd = <SAPControl password>
# Password to use to authenticate to SAPControl
appserver = <server>
#SAPControl server hostname/fqdn/IP address
instance = <instance>
#SAPControl instance name
abapseverity = <severity>
# 0 = All logs ; 1 = Warning ; 2 = Error
abaptz = <timezone>
# GMT FORMAT
# example - For OS Timezone = NZST (New Zealand Standard Time) use abaptz = GMT+12
Abschnitt „JAVA für die Dateiextraktion“
[File Extraction JAVA]
javaosuser = <username>
# Username to use to authenticate to JAVA server
javaospasswd = <password>
# Password to use to authenticate to JAVA server
javaappserver = <server>
#JAVA server hostname/fqdn/IP address
javainstance = <instance number>
#JAVA instance number
javaseverity = <severity>
# 0 = All logs ; 1 = Warning ; 2 = Error
javatz = <timezone>
# GMT FORMAT
# example - For OS Timezone = NZST (New Zealand Standard Time) use abaptz = GMT+12
Abschnitt „Protokollaktivierungsstatus“
[Logs Activation Status]
# The following logs are retrieved using RFC interface
# Specify True or False to configure whether log should be collected using the mentioned interface
ABAPAuditLog = <True/False>
ABAPJobLog = <True/False>
ABAPSpoolLog = <True/False>
ABAPSpoolOutputLog = <True/False>
ABAPChangeDocsLog = <True/False>
ABAPAppLog = <True/False>
ABAPWorkflowLog = <True/False>
ABAPCRLog = <True/False>
ABAPTableDataLog = <True/False>
# The following logs are retrieved using SAP Control interface and OS Login
ABAPFilesLogs = <True/False>
SysLog = <True/False>
ICM = <True/False>
WP = <True/False>
GW = <True/False>
# The following logs are retrieved using SAP Control interface and OS Login
JAVAFilesLogs = <True/False>
Abschnitt „Connector-Konfiguration“
extractuseremail = <True/False>
apiretry = <True/False>
auditlogforcexal = <True/False>
auditlogforcelegacyfiles = <True/False>
azure_resource_id = <Azure _ResourceId>
# Used to force a specific resource group for the SAP tables in Log Analytics, useful for applying RBAC on SAP data
# example - /subscriptions/1234568-qwer-qwer-qwer-123456789/resourcegroups/RESOURCE_GROUP_NAME/providers/microsoft.compute/virtualmachines/VIRTUAL_MACHINE_NAME
# for more information - https://learn.microsoft.com/azure/azure-monitor/logs/log-standard-columns#_resourceid.
timechunk = <value>
# Default timechunk value is 60 (minutes). For certain tables, the data connector retrieves data from the ABAP server using timechunks (collecting all events that occurred within a certain timestamp). On busy systems this may result in large datasets, so to reduce memory and CPU utilization footprint, consider configuring to a smaller value.
Abschnitt „ABAP-Tabellenauswahl“
[ABAP Table Selector]
# Specify True or False to configure whether table should be collected from the SAP system
AGR_TCODES_FULL = <True/False>
USR01_FULL = <True/False>
USR02_FULL = <True/False>
USR02_INCREMENTAL = <True/False>
AGR_1251_FULL = <True/False>
AGR_USERS_FULL = <True/False>
AGR_USERS_INCREMENTAL = <True/False>
AGR_PROF_FULL = <True/False>
UST04_FULL = <True/False>
USR21_FULL = <True/False>
ADR6_FULL = <True/False>
ADCP_FULL = <True/False>
USR05_FULL = <True/False>
USGRP_USER_FULL = <True/False>
USER_ADDR_FULL = <True/False>
DEVACCESS_FULL = <True/False>
AGR_DEFINE_FULL = <True/False>
AGR_DEFINE_INCREMENTAL = <True/False>
PAHI_FULL = <True/False>
AGR_AGRS_FULL = <True/False>
USRSTAMP_FULL = <True/False>
USRSTAMP_INCREMENTAL = <True/False>
SNCSYSACL_FULL = <True/False> (Preview)
USRACL_FULL = <True/False> (Preview)
Nächste Schritte
Erfahren Sie mehr über die Microsoft Sentinel-Lösung für SAP®-Anwendungen:
- Microsoft Sentinel-Lösung für SAP®-Anwendungen bereitstellen
- Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP®-Anwendungen
- Bereitstellen von SAP-Änderungsanforderungen (CRs) und Konfigurieren der Autorisierung
- Bereitstellen des Lösungsinhalts über den Inhaltshub
- Bereitstellen und Konfigurieren des Containers für den SAP-Datenconnector-Agent
- Bereitstellen des Microsoft Sentinel-Datenconnectors für SAP mit SNC
- Überwachen der Integrität Ihres SAP-Systems
- Aktivieren und Konfigurieren von SAP-Überwachung
- Erfassen von SAP HANA-Überwachungsprotokollen
Problembehandlung:
Referenzdateien:
- Datenreferenz für die Microsoft Sentinel-Lösung für SAP®-Anwendungen
- Microsoft Sentinel-Lösung für SAP®-Anwendungen: Referenz zu sicherheitsbezogenen Inhalten
- Referenz zum Kickstartskript
- Referenz zum Updateskript
Weitere Informationen finden Sie unter Microsoft Sentinel-Lösungen.