Freigeben über


Protokoll- und Tabellenreferenz für die Microsoft Sentinel-Lösung für SAP-Anwendungen

In diesem Artikel werden die Protokolle und Tabellen beschrieben, die als Teil der Microsoft Sentinel-Lösung für SAP-Anwendungen und deren Datenconnector verfügbar sind.

Einige Protokolle, die in diesem Artikel erwähnt wurden, werden standardmäßig nicht an Microsoft Sentinel gesendet, aber Sie können sie bei Bedarf manuell hinzufügen. Weitere Informationen finden Sie unter Definieren der SAP-Protokolle, die an Microsoft Sentinel gesendet werden

Die Inhalte in diesem Artikel sind insbesondere für Ihr SAP BASIS-Team vorgesehen.

Wichtig

Einige Komponenten der Microsoft Sentinel-Lösung Threat Monitoring für SAP befinden sich derzeit in der Vorschauphase. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Verwenden von Funktionen in Ihren Abfragen anstelle von zugrunde liegenden Protokollen oder Tabellen

Es wird dringend empfohlen , die verfügbaren Funktionen nach Möglichkeit als Themen ihrer Analyse anstelle der zugrunde liegenden Protokolle oder Tabellen zu verwenden.

Funktionen , die mit der Microsoft Sentinel-Lösung für SAP-Anwendungen bereitgestellt werden, sollen als Prinzipal-Benutzeroberfläche für die Daten dienen. Sie bilden die Grundlage für alle integrierten Analyseregeln und Arbeitsmappen, die Ihnen standardmäßig zur Verfügung stehen. Durch die Verwendung von Funktionen können Änderungen an der Dateninfrastruktur unterhalb der Funktionen vorgenommen werden, ohne dass vom Benutzer erstellte Inhalte abgebrochen werden.

Weitere Informationen finden Sie in der Microsoft Sentinel-Lösung für SAP-Anwendungen – Funktionsreferenz und Funktionen in Azure Monitor-Protokollabfragen.

Protokollabdeckung

Die Microsoft Sentinel-Lösung für SAP-Anwendungen sammelt Protokolle aus der Anwendung, dem Betriebssystem und den Datenebenen, die einen umfassenden Schutz für Ihr SAP-System bieten:

  • Anwendungsschicht: Microsoft Sentinel überwacht Aktivitäten innerhalb der LAYERS-Ebene, die die primäre Anwendungsschicht in SAP-Systemen ist, die für die Ausführung von Geschäftslogik und Verarbeitungstransaktionen verantwortlich ist. Beispielsweise sammelt Microsoft Sentinel Protokolle, die Benutzeraktionen wie Anmeldungen, Kennwortänderungen und Zugriff auf Berichte oder Dateien enthalten.

    Zusätzlich zur Sicherheitsüberwachung können protokolle, die auf der Anwendungsebene gesammelt werden, auch für Compliance- und Überwachungszwecke verwendet werden.

  • Betriebssystemebene: Microsoft Sentinel sammelt Protokolle vom Betriebssystem, um Einblicke in Aktivitäten auf Betriebssystemebene, z. B. vom LOGS-Server und den virtuellen Computern, auf denen die SAP-Anwendungen ausgeführt werden, bereitzustellen.

    Verwenden Sie die Microsoft Sentinel-Lösung für SAP-Anwendungen zusammen mit Sicherheitsinhalten und Datenkonnektoren für Ihre anderen Dienste für umfassende und zentrale Überwachung, Korrelieren von Informationen über alle Ihre Systeme hinweg und verbessern Sie Ihren gesamtsicherheitsstatus.

  • Datenbankebene: Erfassung von Datenbankprotokollen in Microsoft Sentinel zum Überwachen von Datenbankaktivitäten, z. B. Datenbankverwaltungsaktivitäten und Änderungen an Tabellendaten. Die Microsoft Sentinel-Lösung für SAP-Anwendungen ist datenbankunabhängig.

Alle vom Datenkonnektor-Agent gesammelten Protokolle werden zuerst auf dem Datensammler-Agent-Computer im /opt/sapcon/<sid>/log Ordner in der Containerinstanz gespeichert. Die Protokolle werden dann an Ihren Log Analytics-Arbeitsbereich weitergeleitet, in dem Sie sie von Microsoft Sentinel anzeigen, überwachen und abfragen können.

Überwachungsprotokolle werden jede Minute erfasst und aufgenommen, während andere Protokolle weniger häufig aufgenommen werden. Microsoft Sentinel überwacht außerdem den Takt des Datenkonnektor-Agents, um sicherzustellen, dass Protokolle gesammelt und an den Log Analytics-Arbeitsbereich gesendet werden.

Protokollverweis

In den folgenden Abschnitten werden die SAP-Protokolle beschrieben, die über die Microsoft Sentinel-Lösung für SAP-Anwendungsdatenkonnektor verfügbar sind, einschließlich der Tabellennamen in Microsoft Sentinel, den Protokollzwecken und detaillierten Protokollschemas.

Die Beschreibungen der Schemafelder basieren auf den Feldbeschreibungen in der entsprechenden SAP-Dokumentation.

ABAP-Anwendungsprotokoll

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPAppLog

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Aufzeichnung des Status einer Anwendungsausführung, sodass Sie sie später bei Bedarf rekonstruieren können.

    Verfügbar über RFC, basierend auf SAP-Standardtabellen und den Standarddiensten der XBP-Schnittstelle. Dieses Protokoll wird clientbezogen generiert.

Schema des Protokolls ABAPAppLog_CL

Feld BESCHREIBUNG
AppLogDateTime Datum/Uhrzeit des Anwendungsprotokolls
CallbackProgram Rückrufprogramm
CallbackRoutine Rückrufroutine
CallbackType Rückruftyp
ClientID ABAP-Client-ID (MANDT)
ContextDDIC DDIC-Struktur des Kontexts
ExternalID Externe Protokoll-ID
Host Host
Instanz ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
InternalMessageSerial Serielle Anwendungsprotokollmeldung
LevelofDetail Detailgrad
LogHandle Handle für Anwendungsprotokoll
LogNumber Protokollnummer
MessageClass Message-Klasse
MessageNumber Meldungsnummer
MessageText Meldungstext
MessageType Nachrichtentyp
Object Anwendungsprotokollobjekt
OperationMode Betriebsmodus
ProblemClass Problemklasse
ProgramName Programmname
SortCriterion Sortierkriterium
StandardText Standardtext
SubObject Unterobjekt des Anwendungsprotokolls
SystemID System-ID
SystemNumber Systemnummer
TransactionCode Transaktionscode
Benutzer Benutzer
UserChange Benutzeränderung

Protokoll für ABAP-Änderungsdokumente

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPChangeDocsLog

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Aufzeichnung folgender Elemente:

    • SAP NetWeaver Application Server (AS) ABAP-Protokolländerungen an Geschäftsdatenobjekten in Änderungsdokumenten

    • Andere Entitäten im SAP-System, z. B. Benutzerdaten, Rollen, Adressen

    Verfügbar über RFC, basierend auf SAP-Standardtabellen. Dieses Protokoll wird clientbezogen generiert.

Schema des Protokolls ABAPChangeDocsLog_CL

Feld BESCHREIBUNG
ActualChangeNum Tatsächliche Änderungsnummer
ChangedTableKey Geänderter Tabellenschlüssel
ChangeNumber Änderungsnummer
ClientID ABAP-Client-ID (MANDT)
CreatedfromPlannedChange Erstellt anhand geplanter Änderung in der folgenden Syntax: (‘X’ , ‘ ‘)
CurrencyKeyNew Währungsschlüssel: neuer Wert
CurrencyKeyOld Währungsschlüssel: alter Wert
FieldName Feldname
FlagText Flagtext
Host Host
Instanz ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
Sprache Sprache
ObjectClass Objektklasse, z. B. BELEG, BPAR, PFCG, IDENTITY
ObjectID Objekt-ID
PlannedChangeNum Geplante Änderungsnummer
SystemID System-ID
SystemNumber Systemnummer
TableName Tabellenname
TransactionCode Transaktionscode
TypeofChange_Header Änderungstyp des Headers, einschließlich:
U = Ändern; I = Einfügen; E = Einzelnes Dokument löschen; D = Löschen; J = Einzelnes Dokument einfügen
TypeofChange_Item Änderungstyp des Elements, einschließlich:
U = Ändern; I = Einfügen; E = Einzelnes Dokument löschen; D = Löschen; J = Einzelnes Dokument einfügen
UOMNew Maßeinheit: neuer Wert
UOMOld Maßeinheit: alter Wert
Benutzer Benutzer
ValueNew Feldinhalt: neuer Wert
ValueOld Feldinhalt: alter Wert
Version Version

ABAP CR-Protokoll

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPCRLog

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: enthält die CTS-Protokolle (Change & Transport System), einschließlich der Verzeichnisobjekte und Anpassungen, an denen Änderungen erfolgt sind.

    Verfügbar über RFC, basierend auf Standardtabellen und SAP-Standarddiensten. Dieses Protokoll wird mit Daten aller Clients generiert.

Hinweis

Neben der Anwendungsprotokollierung, Änderungsdokumenten und Tabellenaufzeichnung werden alle Änderungen, die Sie mit dem Change & Transport System an Ihrem Produktivsystem vornehmen, in den CTS- und TMS-Protokollen dokumentiert.

Schema des Protokolls ABAPCRLog_CL

Feld Beschreibung
Category Kategorie (Workbench, Anpassung)
ClientID ABAP-Client-ID (MANDT)
BESCHREIBUNG BESCHREIBUNG
Host Host
Instanz ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
ObjectName Objektname
ObjektType Objekttyp
Besitzer Besitzer
Anforderung Änderungsanforderung
Status Status
SystemID System-ID
SystemNumber Systemnummer
TableKey Tabellenschlüssel
TableName Tabellenname
Ansichtsname Name der Ansicht

ABAP DB-Tabellendatenprotokoll (VORSCHAU)

Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es manuell zur systemconfig.json Datei hinzufügen. Dieses Protokoll wird bei Verwendung des empfohlenen Verfahrens zum Installieren des Datenkonnektor-Agents aus dem Portal nicht unterstützt.

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPTableDataLog

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Bereitstellung einer Protokollierung für die Tabellen, die kritisch oder anfällig für Überwachungen sind.

    Verfügbar unter Verwendung von RFC mit einem benutzerdefinierten Dienst. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls ABAPTableDataLog_CL

Feld BESCHREIBUNG
DBLogID DB-Protokoll-ID
Host Host
Instanz ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
Sprache Sprache
LogKey Protokollschlüssel
NewValue Neuer Wert des Felds
OldValue Alter Wert des Felds
OperationTypeSQL Vorgangstyp: Insert, Update, Delete
Programm Programmname
SystemID System-ID
SystemNumber Systemnummer
TableField Tabellenfeld
TableName Tabellenname
TransactionCode Transaktionscode
UserName Benutzer
VersionNumber Versionsnummer

ABAP-Gatewayprotokoll (VORSCHAU)

Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es manuell zur systemconfig.json Datei hinzufügen. Dieses Protokoll wird bei Verwendung des empfohlenen Verfahrens zum Installieren des Datenkonnektor-Agents aus dem Portal nicht unterstützt.

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPOS_GW

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Überwachung von Gatewayaktivitäten. Verfügbar vom SAP Control-Webdienst. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls ABAPOS_GW_CL

Feld BESCHREIBUNG
Host Host
Instanz ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
MessageText Meldungstext
severity Schweregrad der Meldung: Debug, Info, Warning, Error
SystemID System-ID
SystemNumber Systemnummer

ABAP-ICM-Protokoll (VORSCHAU)

Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es manuell zur systemconfig.json Datei hinzufügen. Dieses Protokoll wird bei Verwendung des empfohlenen Verfahrens zum Installieren des Datenkonnektor-Agents aus dem Portal nicht unterstützt.

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPOS_ICM

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Aufzeichnung ein- und ausgehender Anforderungen und Erstellung von Statistiken zu HTTP-Anforderungen.

    Verfügbar vom SAP Control-Webdienst. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls ABAPOS_ICM_CL

Feld BESCHREIBUNG
Host Host
Instanz ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
MessageText Meldungstext
severity Schweregrad der Meldung einschließlich: Debug, Info, Warning, Error
SystemID System-ID
SystemNumber Systemnummer

ABAP-Auftragsprotokoll

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPJobLog

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Kombination aller Protokolle von Aufträgen für die Verarbeitung im Hintergrund (SM37).

    Verfügbar über RFC, basierend auf SAP-Standardtabellen und den Standarddiensten der XBP-Schnittstellen. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls ABAPJobLog_CL

Feld BESCHREIBUNG
ABAPProgram ABAP-Programm
BgdEventParameters Hintergrundereignisparameter
BgdProcessingEvent Hintergrundverarbeitungsereignis
ClientID ABAP-Client-ID (MANDT)
DynproNumber Dynpro-Nummer
GUIStatus GUI-Status
Host Host
Instanz ABAP-Instanz (HOST_SYSID_SYSNR) in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
JobClassification Auftragsklassifizierung
JobCount Auftragsanzahl
JobGroup Auftragsgruppe
JobName Auftragsname
JobPriority Auftragspriorität
MessageClass Message-Klasse
MessageNumber Meldungsnummer
MessageText Meldungstext
MessageType Nachrichtentyp
ReleaseUser Auftragsfreigabebenutzer
SchedulingDateTime Zeitplanung für Datum und Uhrzeit
StartDateTime Startdatum und -uhrzeit
SystemID System-ID
SystemNumber Systemnummer
TargetServer Zielserver
Benutzer Benutzer
UserReleaseInstance ABAP-Instanz – Benutzerfreigabe
WorkProcessID Arbeitsprozess-ID
WorkProcessNumber Arbeitsprozessnummer

ABAP-Sicherheitsüberwachungsprotokoll

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPAuditLog

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Aufzeichnung der folgenden Daten:

    • Sicherheitsbezogene Änderungen an der SAP-Systemumgebung, z. B. Änderungen an Hauptbenutzerdatensätzen
    • Informationen, die eine höhere Datenebene bieten, z. B. erfolgreiche und nicht erfolgreiche Anmeldeversuche
    • Informationen, die die Wiederherstellung einer Reihe von Ereignissen ermöglichen, z. B. erfolgreiche oder nicht erfolgreiche Transaktionsstarts

    Verfügbar über XAL-/SAL-Schnittstellen von RFC. SAL ist ab Version Basis 7.50 verfügbar. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls ABAPAuditLog_CL

Feld BESCHREIBUNG
ABAPProgramName Programmname, nur SAL
AlertSeverity Schweregrad der Warnung
AlertSeverityText Text mit Warnungsschweregrad, nur SAL
AlertValue Warnungswert
AuditClassID Überwachungsklassen-ID, nur SAL
ClientID ABAP-Client-ID (MANDT)
Computer Benutzercomputer, nur SAL
E-Mail User email
Host Host
Instanz ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
MessageClass Message-Klasse
MessageContainerID Nachrichtencontainer-ID, nur XAL
Meldungs-ID Meldungs-ID, z. B. ‘AU1’,’AU2’…
MessageText Meldungstext
MonitoringObjectName Objektname des MTE-Monitors, nur XAL
MonitorShortName Kurzname des MTE-Monitors, nur XAL
SAPProcesType Systemprotokoll: SAP-Prozesstyp, nur SAL
B* – Hintergrundverarbeitung
D* – Dialogverarbeitung
U* – Aktualisierungsaufgaben
SAPWPName Systemprotokoll: Arbeitsprozessnummer, nur SAL
SystemID System-ID
SystemNumber Systemnummer
TerminalIPv6 IP-Adresse des Benutzercomputers, nur SAL
TransactionCode Transaktionscode, nur SAL
Benutzer Benutzer
Variable1 Meldungsvariable 1
Variable2 Meldungsvariable 2
Variable3 Meldungsvariable 3
Variable4 Meldungsvariable 4

ABAP-Spoolprotokoll

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPSpoolLog

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Dient als Hauptprotokoll für den SAP-Druck mit dem Verlauf von Spoolanforderungen. (SP01).

    Verfügbar über RFC, basierend auf der SAP-Standardtabelle. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls ABAPSpoolLog_CL

Feld BESCHREIBUNG
ArchiveStatus Archivstatus
ArchiveType Archivtyp
ArchivingDevice Archivierungsgerät
AutoRereoute Automatisches Umleiten
ClientID ABAP-Client-ID (MANDT)
CountryKey Länderschlüssel
DeleteSpoolRequestAuto Automatisches Löschen der Spoolanforderung
DelFlag Löschflag
Department Department
DocumentType Dokumenttyp
ExternalMode Externer Modus
FormatType Formattyp
Host Host
Instanz ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
NumofCopies Anzahl
OutputDevice Ausgabegerät
PrinterLongName Langname des Druckers
PrintImmediately Sofort drucken
PrintOSCoverPage OSCover-Seite drucken
PrintOSCoverPage SAPCover-Seite drucken
Priority Priority
RecipientofSpoolRequest Empfänger der Spoolanforderung
SpoolErrorStatus Spoolfehlerstatus
SpoolRequestCompleted Spoolanforderung abgeschlossen
SpoolRequestisALogForAnotherRequest Spoolanforderung ist ein Protokoll für eine andere Anforderung
SpoolRequestName Name der Spoolanforderung
SpoolRequestNumber Nummer der Spoolanforderung
SpoolRequestSuffix1 Spoolanforderungssuffix 1
SpoolRequestSuffix2 Spoolanforderungssuffix 2
SpoolRequestTitle Titel der Spoolanforderung
SystemID System-ID
SystemNumber Systemnummer
TelecommunicationsPartner Telekommunikationspartner
TelecommunicationsPartnerE Telekommunikationspartner E
TemSeGeneralcounter TemSe-Zähler
TemseNumAddProtectionRule TemSe-Nummer: Schutzregel hinzufügen
TemseNumChangeProtectionRule TemSe-Nummer: Schutzregel ändern
TemseNumDeleteProtectionRule TemSe-Nummer: Schutzregel löschen
TemSeObjectName TemSe-Objektname
TemSeObjectPart TemSe-Objektteil
TemseReadProtectionRule TemSe-Leseschutzregel
Benutzer Benutzer
ValueAuthCheck Überprüfung der Wertauthentifizierung

APAB-Spoolausgabeprotokoll

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPSpoolOutputLog

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Hauptprotokoll für SAP-Druck mit Verlauf der Spoolausgabeanforderungen. (SP02).

    Verfügbar unter Verwendung von RFC mit einem benutzerdefinierten Dienst, der auf Standardtabellen basiert. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls ABAPSpoolOutputLog_CL

Feld BESCHREIBUNG
AppServer Anwendungsserver
ClientID ABAP-Client-ID (MANDT)
Kommentar Kommentar
CopyCount Anzahl der Exemplare
CopyCounter Zähler für Exemplare
Department Department
ErrorSpoolRequestNumber Nummer der fehlerhaften Anforderung
FormatType Formattyp
Host Host
HostName Hostname
HostSpoolerID Hostspooler-ID
Instanz ABAP-Instanz
LastPage Letzte Seite
NumofCopies Anzahl
OutputDevice Ausgabegerät
OutputRequestNumber Ausgabeanforderungsnummer
OutputRequestStatus Ausgabeanforderungsstatus
PhysicalFormatType Physischer Formattyp
PrinterLongName Langname des Druckers
PrintRequestSize Druckanforderungsgröße
Priority Priority
ReasonforOutputRequest Grund für Ausgabeanforderung
RecipientofSpoolRequest Empfänger der Spoolanforderung
SpoolNumberofOutputReqProcessed Anzahl der Ausgabeanforderungen – verarbeitet
SpoolNumberofOutputReqWithErrors Anzahl der Ausgabeanforderungen – mit Fehlern
SpoolNumberofOutputReqWithProblems Anzahl der Ausgabeanforderungen – mit Problemen
SpoolRequestNumber Nummer der Spoolanforderung
StartPage Startseite
SystemID System-ID
SystemNumber Systemnummer
TelecommunicationsPartner Telekommunikationspartner
TemSeGeneralcounter TemSe-Zähler
Titel Titel
Benutzer Benutzer

ABAP Syslog

Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es manuell zur systemconfig.json Datei hinzufügen. Dieses Protokoll wird bei Verwendung des empfohlenen Verfahrens zum Installieren des Datenkonnektor-Agents aus dem Portal nicht unterstützt.

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPOS_Syslog

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Aufzeichnung aller ABAP-Systemfehler von SAP NetWeaver Application Server (SAP NetWeaver AS), Warnungen, Benutzersperren aufgrund fehlgeschlagener Anmeldeversuche bekannter Benutzer und Prozessmeldungen.

    Verfügbar vom SAP Control-Webdienst. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls ABAPOS_Syslog_CL

Feld BESCHREIBUNG
ClientID ABAP-Client-ID (MANDT)
Host Host
Instanz ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
MessageNumber Meldungsnummer
MessageText Meldungstext
severity Meldungsschweregrad, einer der folgenden Werte: Debug, Info, Warning, Error
SystemID System-ID
SystemNumber Systemnummer
TransacationCode Transaktionscode
Typ SAP-Prozesstyp
Benutzer Benutzer

ABAP-Workflowprotokoll

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPWorkflowLog

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Mit dem SAP Business Workflow (WebFlow-Engine) können Sie Geschäftsprozesse definieren, die noch nicht im SAP-System abgebildet sind.

    Beispielsweise können nicht zugeordnete Geschäftsprozesse einfache Freigabe- oder Genehmigungsverfahren oder komplexere Geschäftsprozesse wie das Erstellen von Basismaterial sein und dann die zugehörigen Abteilungen koordinieren.

    Verfügbar über RFC, basierend auf SAP-Standardtabellen. Dieses Protokoll wird clientbezogen generiert.

Schema des Protokolls ABAPWorkflowLog_CL

Feld BESCHREIBUNG
ActualAgent Tatsächlicher Agent
Adresse Adresse
ApplicationArea Anwendungsbereich
CallbackFunction Rückruffunktion
ClientID ABAP-Client-ID (MANDT)
CreationDateTime Erstellungsdatum/-uhrzeit
Creator Creator
CreatorAddress Adresse des Erstellers
ErrorType Fehlertyp
ExceptionforMethod Ausnahme für Methode
Host Host
Instanz ABAP-Instanz (HOST_SYSID_SYSNR) in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
Sprache Sprache
LogCounter Protokollzähler
MessageNumber Meldungsnummer
MessageType Nachrichtentyp
MethodUser Methodenbenutzer
Priority Priority
SimpleContainer Einfacher Container, verpackt als Liste der Schlüsselwertentitäten für die Arbeitsaufgabe
Status Status
SuperWI Superarbeitselement
SystemID System-ID
SystemNumber Systemnummer
TaskID Aufgaben-ID
TasksClassification Aufgabenklassifizierungen
TaskText Aufgabentext
TopTaskID ID der wichtigsten Aufgabe
UserCreated Vom Benutzer erstellt
WIText Arbeitselementtext
WIType Arbeitsaufgabentyp
WorkflowAction Workflow-Aktion
WorkItemID ID des Arbeitselements

ABAP WorkProcess-Protokoll

Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es manuell zur systemconfig.json Datei hinzufügen. Dieses Protokoll wird bei Verwendung des empfohlenen Verfahrens zum Installieren des Datenkonnektor-Agents aus dem Portal nicht unterstützt.

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPOS_WP

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Kombination aller Arbeitsprozessprotokolle. (Standard: dev_*).

    Verfügbar vom SAP Control-Webdienst. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls ABAPOS_WP_CL

Feld BESCHREIBUNG
Host Host
Instanz ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
MessageText Meldungstext
severity Schweregrad der Meldung: Debug, Info, Warning, Error
SystemID System-ID
SystemNumber Systemnummer
WPNumber Arbeitsprozessnummer

HANA DB-Überwachungsprotokoll

Das Sammeln des HANA DB Audit Trail-Protokolls ist ein Beispiel für die Erfassung von Datenbankebenenaktivitäten durch Microsoft Sentinel. Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie Azure Monitor Agent bereitstellen, um Syslog-Daten vom Computer zu sammeln, auf dem HANA DB ausgeführt wird.

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPSyslog

  • Zugehörige SAP-Dokumentation: Allgemein | Überwachungsprotokoll

  • Protokollzweck Aufzeichnung von Benutzer- oder versuchten Aktionen in der SAP HANA-Datenbank. Ermöglicht Ihnen beispielsweise, den Lesezugriff auf vertrauliche Daten zu protokollieren und zu überwachen.

    Verfügbar vom Microsoft Sentinel Linux-Agent für Syslog. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls Syslog

Feld BESCHREIBUNG
Computer Hostname
HostIP Host-IP
HostName Hostname
ProcessID Prozess-ID
ProcessName Prozessname: HDB*
SeverityLevel Warnung
SourceSystem Betriebssystem des Quellsystems: Linux
SyslogMessage Meldung, eine nicht analysierte Überwachungsprotokollmeldung

JAVA-Dateien

Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es manuell zur systemconfig.json Datei hinzufügen. Dieses Protokoll wird bei Verwendung des empfohlenen Verfahrens zum Installieren des Datenkonnektor-Agents aus dem Portal nicht unterstützt.

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPJAVAFilesLogs

  • Zugehörige SAP-Dokumentation: Allgemein | Java-Sicherheitsüberwachungsprotokoll

  • Protokollzweck: Kombination aller auf Java-Dateien basierenden Protokolle, einschließlich des Sicherheitsüberwachungsprotokolls und der System- (Cluster- und Serverprozess), Leistungs- und Gatewayprotokolle. Enthält auch Entwicklerablaufverfolgungs- und Standardablaufverfolgungs-Protokolle.

    Verfügbar vom SAP Control-Webdienst. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls JavaFilesLogsCL

Feld Beschreibung
Anwendung Java-Anwendung
ClientID Client-ID
CSNComponent CSN-Komponente, z. B. BC-XI-IBD
DCComponent DC-Komponente, z. B. com.sap.xi.util.misc
DSRCounter DSR-Zähler
DSRRootContentID DSR-Kontext-GUID
DSRTransaction DSR-Transaktions-GUID
Host Host
Instanz Java-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
Standort Java-Klasse
LogName Java-Protokollname, z. B.: Available, defaulttrace, dev*, security usw.
MessageText Meldungstext
MNo Meldungsnummer
Pid Prozess-ID
Programm Programmname
Sitzung Sitzung
severity Schweregrad der Meldung einschließlich: Debug, Info, Warning, Error
Lösung Lösung
SystemID System-ID
SystemNumber Systemnummer
ThreadName Threadname
Thrown Ausgelöste Ausnahme
TimeZone Zeitzone
Benutzer Benutzer

SAP-Heartbeatprotokoll

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPConnectorHealth

  • Protokollzweck: Stellt Heartbeat- und andere Integritätsinformationen zur Konnektivität zwischen den Agents und den verschiedenen SAP-Systemen zur Verfügung.

    Wird automatisch für alle Agents von Microsoft Sentinel für den SAP-Connector erstellt.

SAP_HeartBeat_CL-Protokollschema

Feld BESCHREIBUNG
TimeGenerated Zeitpunkt des Protokollierungsereignisses
agent_id_s Agent-ID in der Agent-Konfiguration (automatisch generiert)
agent_ver_s Agent-Version
host_s Hostname des Agents
system_id_s NetWeaver ABAP-System-ID/
NetWeaver SAPControl-Host (Vorschau)/
Java SAPControl-Host (Vorschau)
push_timestamp_d Zeitstempel der Extraktion gemäß der Zeitzone des Agents
agent_timezone_s Zeitzone des Agents

Referenz von Tabellen, die direkt aus SAP-Systemen abgerufen wurden

In diesem Abschnitt werden die Datentabellen aufgeführt, die direkt aus dem SAP-System abgerufen und unverändert in Microsoft Sentinel erfasst werden.

Die aus diesen Tabellen abgerufenen Daten bietet eine Übersicht über die Autorisierungsstruktur, Gruppenmitgliedschaft und Benutzerprofile. Außerdem können Sie Autorisierungsgenehmigungen und -widerrufe nachverfolgen sowie die Risiken bestimmen, die mit diesen Prozessen zusammenhängen.

Die unten aufgeführten Tabellen sind erforderlich, um Funktionen zu aktivieren, die privilegierte Benutzer identifizieren sowie Benutzer zu Rollen, Gruppen und Autorisierungen zuordnen.

Optimale Ergebnisse finden Sie in den folgenden Tabellen unter Verwendung des Namens in der Spalte " Microsoft Sentinel-Funktionsname " in der folgenden Tabelle:

Tabellenname Tabellenbeschreibung Microsoft Sentinel-Funktionsname
USR01 Benutzermasterdatensatz (Laufzeitdaten) SAP_USR01
USR02 Anmeldedaten (kernelseitige Verwendung) SAP_USR02
UST04 Benutzermaster
Zuordnen von Benutzern zu Profilen
SAP_UST04
AGR_USERS Zuweisen von Rollen zu Benutzern SAP_AGR_USERS
AGR_1251 Autorisierungsdaten für die Aktivitätsgruppe SAP_AGR_1251
USGRP_USER Zuweisen von Benutzern zu Benutzergruppen SAP_USGRP_USER
USR21 Benutzername/Adresstastenzuweisung SAP_USR21
ADR6 E-Mail-Adressen (Geschäftsadressendienste) SAP_ADR6
USRSTAMP Zeitstempel für alle Änderungen am Benutzer SAP_USRSTAMP
ADCP Person/ Adresszuweisung (Geschäftsadressendienste) SAP_ADCP
USR05 Parameter-ID des Benutzermasters SAP_USR05
AGR_PROF Profilname der Rolle SAP_AGR_PROF
AGR_FLAGS Rollenattribute SAP_AGR_FLAGS
DEVACCESS Tabelle für den Entwicklungsbenutzer SAP_DEVACCESS
AGR_DEFINE Rollendefinition SAP_AGR_DEFINE
AGR_AGRS Rollen in zusammengesetzten Rollen SAP_AGR_AGRS
PAHI Verlauf der System-, Datenbank- und SAP-Parameter SAP_PAHI
SNCSYSACL (VORSCHAU) SNC Access Control List (ACL): Systeme SAP_SNCSYSACL
USRACL (VORSCHAU) SNC Access Control List (ACL): Benutzer SAP_USRACL

Weitere Informationen finden Sie unter: