Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Protokolle und Tabellen beschrieben, die als Teil der Microsoft Sentinel-Lösung für SAP-Anwendungen und den zugehörigen Datenconnector verfügbar sind.
Einige Protokolle, die in diesem Artikel erwähnt werden, werden standardmäßig nicht an Microsoft Sentinel gesendet, aber Sie können sie bei Bedarf manuell hinzufügen. Weitere Informationen finden Sie unter Definieren der SAP-Protokolle, die an Microsoft Sentinel
Die Inhalte in diesem Artikel sind für Ihre SAP BASIS-Teams bestimmt.
Wichtig
Die erwähnten Features befinden sich derzeit in der VORSCHAU. Die zusätzlichen Azure-Vorschaubedingungen enthalten zusätzliche rechtliche Bestimmungen, die für Azure Features gelten, die sich in der Betaversion, Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.
Verwenden von Funktionen in Ihren Abfragen anstelle von zugrunde liegenden Protokollen oder Tabellen
Es wird dringend empfohlen , dass Sie anstelle der zugrunde liegenden Protokolle oder Tabellen nach Möglichkeit verfügbare Funktionen als Gegenstand ihrer Analyse verwenden.
Funktionen, die mit der Microsoft Sentinel Lösung für SAP-Anwendungen bereitgestellt werden, dienen als Hauptbenutzerschnittstelle für die Daten. Sie bilden die Grundlage für alle integrierten Analyseregeln und Arbeitsmappen, die Ihnen sofort zur Verfügung stehen. Mithilfe von Funktionen können Änderungen an der Dateninfrastruktur unter den Funktionen vorgenommen werden, ohne benutzerseitig erstellte Inhalte zu unterbrechen.
Weitere Informationen finden Sie unter Microsoft Sentinel Lösung für SAP-Anwendungen – Funktionsreferenz und Funktionen in Azure Monitor-Protokollabfragen.
Protokollabdeckung
Die Microsoft Sentinel-Lösung für SAP-Anwendungen sammelt Protokolle von den Anwendungs-, Betriebssystem- und Datenebenen und bietet umfassenden Schutz für Ihr SAP-System:
Anwendungsschicht: Microsoft Sentinel überwacht Aktivitäten innerhalb der ABAP-Ebene, der primären Anwendungsschicht in SAP-Systemen, die für die Ausführung von Geschäftslogik und die Verarbeitung von Transaktionen verantwortlich ist. Beispielsweise sammelt Microsoft Sentinel Protokolle, die Benutzeraktionen wie Anmeldungen, Kennwortänderungen und Zugriff auf Berichte oder Dateien enthalten.
Neben der Sicherheitsüberwachung können protokolle, die auf der Anwendungsebene gesammelt werden, auch für Compliance- und Überwachungszwecke verwendet werden.
Betriebssystemebene: Microsoft Sentinel erfasst Protokolle vom Betriebssystem, um Einblicke in Aktivitäten auf Betriebssystemebene zu erhalten, z. B. vom ABAP-Server und den virtuellen Computern, auf denen die SAP-Anwendungen ausgeführt werden.
Verwenden Sie die Microsoft Sentinel-Lösung für SAP-Anwendungen zusammen mit Sicherheitsinhalten und Datenconnectors für Ihre anderen Dienste für eine umfassende und zentrale Überwachung, die Korrelation von Informationen über alle Ihre Systeme hinweg und die Verbesserung Ihres allgemeinen Sicherheitsstatus.
Datenbankebene: Erfassen Sie Datenbankprotokolle in Microsoft Sentinel, um Datenbankaktivitäten wie Datenbankverwaltungsaktivitäten und Änderungen an Tabellendaten zu überwachen. Die Microsoft Sentinel Lösung für SAP-Anwendungen ist datenbankunabhängig.
Alle vom Datenconnector-Agent gesammelten Protokolle werden zuerst auf dem Computer des Datensammler-Agents im /opt/sapcon/<sid>/log Ordner im Container instance gespeichert. Die Protokolle werden dann an Ihren Log Analytics-Arbeitsbereich weitergeleitet, wo Sie sie von Microsoft Sentinel aus anzeigen, überwachen und abfragen können.
Überwachungsprotokolle werden jede Minute gesammelt und erfasst, während andere Protokolle möglicherweise seltener erfasst werden. Microsoft Sentinel überwacht auch den Takt des Datenconnector-Agents, um sicherzustellen, dass Protokolle gesammelt und an den Log Analytics-Arbeitsbereich gesendet werden.
Vom Datenconnector ohne Agent gesammelte Protokolle
Die folgenden integrierten Log Analytics-Tabellen werden vom Datenconnector ohne Agent gesammelt:
Protokollreferenz für den Datenconnector-Agent
In den folgenden Abschnitten werden die SAP-Protokolle beschrieben, die von der Microsoft Sentinel-Lösung für den Datenconnector für SAP-Anwendungen verfügbar sind, einschließlich der Tabellennamen in Microsoft Sentinel, die Protokollzwecke und detaillierte Protokollschemas.
Schemafeldbeschreibungen basieren auf den Feldbeschreibungen in der entsprechenden SAP-Dokumentation.
- ABAP-Anwendungsprotokoll
- Protokoll für ABAP-Änderungsdokumente
- ABAP CR-Protokoll
- ABAP DB-Tabellendatenprotokoll (VORSCHAU)
- ABAP-Gatewayprotokoll (VORSCHAU)
- ABAP ICM-Protokoll (VORSCHAU)
- ABAP-Auftragsprotokoll
- ABAP-Sicherheitsüberwachungsprotokoll
- ABAP-Spoolprotokoll
- APAB Spool Ausgabeprotokoll
- ABAP SysLog
- ABAP-Workflowprotokoll
- ABAP-Arbeitsprozessprotokoll
- HANA DB-Überwachungspfad
- JAVA-Dateien
- SAP Heartbeat-Protokoll
ABAP-Anwendungsprotokoll
Microsoft Sentinel Funktion zum Abfragen dieses Protokolls: SAPAppLog
Zugehörige SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Zeichnet den Fortschritt der Ausführung einer Anwendung auf, damit Sie sie später bei Bedarf rekonstruieren können.
Verfügbar mithilfe von RFC basierend auf der SAP-Standardtabelle und Standarddiensten der XBP-Schnittstelle. Dieses Protokoll wird pro Client generiert.
Dieses Protokoll wird nur mit dem Datenconnector-Agent erfasst.
protokollschema ABAPAppLog_CL
| Feld | Beschreibung |
|---|---|
| AppLogDateTime | Datum und Uhrzeit des Anwendungsprotokolls |
| CallbackProgram | Rückrufprogramm |
| CallbackRoutine | Rückrufroutine |
| CallbackType | Rückruftyp |
| Clientid | ABAP-Client-ID (MANDT) |
| ContextDDIC | Kontext-DDIC-Struktur |
| ExternalID | Externe Protokoll-ID |
| Host | Host |
| Instance | ABAP instance in der folgenden Syntax:<HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | Anwendungsprotokollmeldung seriell |
| LevelofDetail | Detailebene |
| LogHandle | Anwendungsprotokollhandle |
| LogNumber | Protokollnummer |
| MessageClass | Nachrichtenklasse |
| MessageNumber | Nachrichtennummer |
| MessageText | Nachrichtentext |
| MessageType | Nachrichtentyp |
| Objekt | Anwendungsprotokollobjekt |
| OperationMode | Betriebsmodus |
| ProblemClass | Problemklasse |
| ProgramName | Programmname |
| SortCriterion | Sortierkriterium |
| StandardText | text Standard |
| Unterobjekt | Unterobjekt des Anwendungsprotokolls |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TransactionCode | Transaktionscode |
| Benutzer | Benutzer |
| UserChange | Benutzeränderung |
Protokoll für ABAP-Änderungsdokumente
Microsoft Sentinel Funktion zum Abfragen dieses Protokolls: SAPChangeDocsLog
Zugehörige SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Datensätze:
SAP NetWeaver Application Server (AS) ABAP-Protokolländerungen an Geschäftsdatenobjekten in Änderungsdokumenten.
Andere Entitäten im SAP-System, z. B. Benutzerdaten, Rollen, Adressen.
Verfügbar mithilfe von RFC basierend auf SAP-Standardtabellen. Dieses Protokoll wird pro Client generiert.
ABAPChangeDocsLog_CL Protokollschema
| Feld | Beschreibung |
|---|---|
| ActualChangeNum | Tatsächliche Änderungsnummer |
| ChangedTableKey | Geänderter Tabellenschlüssel |
| ChangeNumber | Nummer ändern |
| Clientid | ABAP-Client-ID (MANDT) |
| CreatedfromPlannedChange | Erstellt aus geplanten Änderungen in der folgenden Syntax: (‘X’ , ‘ ‘) |
| CurrencyKeyNew | Währungsschlüssel: neuer Wert |
| CurrencyKeyOld | Währungsschlüssel: alter Wert |
| FieldName | Feldname |
| FlagText | Kennzeichnen von Text |
| Host | Host |
| Instance | ABAP instance in der folgenden Syntax:<HOST>_<SYSID>_<SYSNR> |
| Sprache | Sprache |
| Objectclass | Objektklasse, z BELEG. B. , BPAR, PFCG, IDENTITY |
| ObjectID | Objekt-ID |
| PlannedChangeNum | Geplante Änderungsnummer |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TableName | Tabellenname |
| TransactionCode | Transaktionscode |
| TypeofChange_Header | Headertyp der Änderung, einschließlich: U = Änderung; I = Einfügen; E = Einzelne Doku löschen; D = Löschen; J = Einzelne Doku einfügen |
| TypeofChange_Item | Elementtyp der Änderung, einschließlich: U = Änderung; I = Einfügen; E = Einzelne Doku löschen; D = Löschen; J = Einzelne Doku einfügen |
| UOMNew | Maßeinheit: neuer Wert |
| UOMOld | Maßeinheit: alter Wert |
| Benutzer | Benutzer |
| ValueNew | Feldinhalt: neuer Wert |
| ValueOld | Feldinhalt: alter Wert |
| Version | Version |
ABAP CR-Protokoll
Microsoft Sentinel Funktion zum Abfragen dieses Protokolls: SAPCRLog
Zugehörige SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Enthält die CTS-Protokolle (Change & Transport System), einschließlich der Verzeichnisobjekte und Anpassungen, in denen Änderungen vorgenommen wurden.
Verfügbar mithilfe von RFC basierend auf Standardtabellen und SAP-Standarddiensten. Dieses Protokoll wird mit Daten für alle Clients generiert.
Hinweis
Zusätzlich zur Anwendungsprotokollierung, Änderungsdokumenten und Tabellenaufzeichnung sind alle Änderungen, die Sie an Ihrem Produktionssystem mit change & Transport System vornehmen, in den CTS- und TMS-Protokollen dokumentiert.
ABAPCRLog_CL Protokollschema
| Feld | Beschreibung |
|---|---|
| Kategorie | Kategorie (Workbench, Customizing) |
| Clientid | ABAP-Client-ID (MANDT) |
| Beschreibung | Beschreibung |
| Host | Host |
| Instance | ABAP instance in der folgenden Syntax:<HOST>_<SYSID>_<SYSNR> |
| ObjectName | Objektname |
| ObjectType | Objekttyp |
| Besitzer | Besitzer |
| Anforderung | Änderungsanforderung |
| Status | Status |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TableKey | Tabellenschlüssel |
| TableName | Tabellenname |
| ViewName | Sichtname |
ABAP DB-Tabellendatenprotokoll (VORSCHAU)
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es der systemconfig.json-Datei manuell hinzufügen. Dieses Protokoll wird nicht unterstützt, wenn das empfohlene Verfahren zum Installieren des Datenconnector-Agents über das Portal verwendet wird.
Microsoft Sentinel Funktion zum Abfragen dieses Protokolls: SAPTableDataLog
Zugehörige SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Stellt die Protokollierung für die Tabellen bereit, die kritisch oder anfällig für Überwachungen sind.
Verfügbar mithilfe von RFC mit einem benutzerdefinierten Dienst. Dieses Protokoll wird mit Daten für alle Clients generiert.
ABAPTableDataLog_CL Protokollschema
| Feld | Beschreibung |
|---|---|
| DBLogID | DB-Protokoll-ID |
| Host | Host |
| Instance | ABAP instance in der folgenden Syntax:<HOST>_<SYSID>_<SYSNR> |
| Sprache | Sprache |
| LogKey | Protokollschlüssel |
| NewValue | Feld neuer Wert |
| OldValue | Feld alter Wert |
| OperationTypeSQL | Vorgangstyp, Insert, Update, Delete |
| Programm | Programmname |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TableField | Tabellenfeld |
| TableName | Tabellenname |
| TransactionCode | Transaktionscode |
| UserName | Benutzer |
| Versionnumber | Versionsnummer |
ABAP-Gatewayprotokoll (VORSCHAU)
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es der systemconfig.json-Datei manuell hinzufügen. Dieses Protokoll wird nicht unterstützt, wenn das empfohlene Verfahren zum Installieren des Datenconnector-Agents über das Portal verwendet wird.
Microsoft Sentinel Funktion zum Abfragen dieses Protokolls: SAPOS_GW
Zugehörige SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Überwacht Gatewayaktivitäten. Verfügbar über den SAP Control-Webdienst. Dieses Protokoll wird mit Daten für alle Clients generiert.
ABAPOS_GW_CL Protokollschema
| Feld | Beschreibung |
|---|---|
| Host | Host |
| Instance | ABAP instance in der folgenden Syntax:<HOST>_<SYSID>_<SYSNR> |
| MessageText | Nachrichtentext |
| Severity | Nachrichtenschweregrad: Debug, Info, Warning, , Error |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
ABAP ICM-Protokoll (VORSCHAU)
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es der systemconfig.json-Datei manuell hinzufügen. Dieses Protokoll wird nicht unterstützt, wenn das empfohlene Verfahren zum Installieren des Datenconnector-Agents über das Portal verwendet wird.
Microsoft Sentinel Funktion zum Abfragen dieses Protokolls: SAPOS_ICM
Zugehörige SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Zeichnet ein- und ausgehende Anforderungen auf und kompiliert Statistiken der HTTP-Anforderungen.
Verfügbar über den SAP Control-Webdienst. Dieses Protokoll wird mit Daten für alle Clients generiert.
protokollschema ABAPOS_ICM_CL
| Feld | Beschreibung |
|---|---|
| Host | Host |
| Instance | ABAP instance in der folgenden Syntax:<HOST>_<SYSID>_<SYSNR> |
| MessageText | Nachrichtentext |
| Severity | Nachrichtenschweregrad, einschließlich: Debug, Info, Warning, , Error |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
ABAP-Auftragsprotokoll
Microsoft Sentinel Funktion zum Abfragen dieses Protokolls: SAPJobLog
Zugehörige SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Kombiniert alle Hintergrundverarbeitungsauftragsprotokolle (SM37).
Verfügbar mithilfe von RFC basierend auf sap-Standardtabellen und Standarddiensten von XBP-Schnittstellen. Dieses Protokoll wird mit Daten für alle Clients generiert.
protokollschema ABAPJobLog_CL
| Feld | Beschreibung |
|---|---|
| ABAPProgram | ABAP-Programm |
| BgdEventParameters | Hintergrundereignisparameter |
| BgdProcessingEvent | Hintergrundverarbeitungsereignis |
| Clientid | ABAP-Client-ID (MANDT) |
| DynproNumber | Dynpro-Nummer |
| GUIStatus | GUI-status |
| Host | Host |
| Instance | ABAP instance (HOST_SYSID_SYSNR) in der folgenden Syntax:<HOST>_<SYSID>_<SYSNR> |
| JobClassification | Auftragsklassifizierung |
| JobCount | Auftragsanzahl |
| JobGroup | Auftragsgruppe |
| Auftragsname | Auftragsname |
| JobPriority | Auftragspriorität |
| MessageClass | Nachrichtenklasse |
| MessageNumber | Nachrichtennummer |
| MessageText | Nachrichtentext |
| MessageType | Nachrichtentyp |
| ReleaseUser | Auftragsfreigabebenutzer |
| SchedulingDateTime | Planen der Datums-Uhrzeit |
| StartDateTime | Startdatum Uhrzeit |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TargetServer | Zielserver |
| Benutzer | Benutzer |
| UserReleaseInstance | ABAP instance – Benutzerrelease |
| WorkProcessID | Arbeitsprozess-ID |
| WorkProcessNumber | Arbeitsprozessnummer |
ABAP-Sicherheitsüberwachungsprotokoll
Microsoft Sentinel Funktion zum Abfragen dieses Protokolls: SAPAuditLog
Zugehörige SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Zeichnet die folgenden Daten auf:
- Sicherheitsbezogene Änderungen an der SAP-Systemumgebung, z. B. Änderungen an den Hauptbenutzerdatensätzen
- Informationen, die eine höhere Datenebene bieten, z. B. erfolgreiche und nicht erfolgreiche Anmeldeversuche
- Informationen, die die Rekonstruktion einer Reihe von Ereignissen ermöglichen, z. B. erfolgreiche oder nicht erfolgreiche Transaktionsstarts
Verfügbar über RFC XAL/SAL-Schnittstellen. SAL ist ab Version 7.50 verfügbar. Dieses Protokoll wird mit Daten für alle Clients generiert.
protokollschema ABAPAuditLog_CL
| Feld | Beschreibung |
|---|---|
| ABAPProgramName | Programmname, nur SAL |
| AlertSeverity | Warnungsschweregrad |
| AlertSeverityText | Warnungsschweregradtext, nur SAL |
| AlertValue | Warnungswert |
| AuditClassID | Überwachungsklassen-ID, nur SAL |
| Clientid | ABAP-Client-ID (MANDT) |
| Computer | Benutzercomputer, nur SAL |
| Benutzer-E-Mail | |
| Host | Host |
| Instance | ABAP instance in der folgenden Syntax:<HOST>_<SYSID>_<SYSNR> |
| MessageClass | Nachrichtenklasse |
| MessageContainerID | Nachrichtencontainer-ID, nur XAL |
| MessageID | Nachrichten-ID, z. B. ‘AU1’,’AU2’… |
| MessageText | Nachrichtentext |
| MonitoringObjectName | MTE Monitor-Objektname, nur XAL |
| MonitorShortName | MTE Monitor Kurzname, nur XAL |
| SAPProcessType | Systemprotokoll: SAP-Prozesstyp, nur SAL |
| B* – Hintergrundverarbeitung | |
| D* – Dialogverarbeitung | |
| U* – Aufgaben aktualisieren | |
| SAPWPName | Systemprotokoll: Arbeitsprozessnummer, nur SAL |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TerminalIPv6 | Ip-Adresse des Benutzercomputers, nur SAL |
| TransactionCode | Transaktionscode, nur SAL |
| Benutzer | Benutzer |
| Variable1 | Nachrichtenvariable 1 |
| Variable2 | Nachrichtenvariable 2 |
| Variable3 | Nachrichtenvariable 3 |
| Variable4 | Nachrichtenvariable 4 |
ABAP-Spoolprotokoll
Microsoft Sentinel Funktion zum Abfragen dieses Protokolls: SAPSpoolLog
Zugehörige SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Dient als Hauptprotokoll für sap-Druckvorgänge mit dem Verlauf von Spoolanforderungen. (SP01).
Verfügbar mithilfe von RFC basierend auf der SAP-Standardtabelle. Dieses Protokoll wird mit Daten für alle Clients generiert.
ABAPSpoolLog_CL Protokollschema
| Feld | Beschreibung |
|---|---|
| ArchiveStatus | Archivstatus |
| ArchiveType | Archiv Typ |
| ArchivingDevice | Archivierungsgerät |
| AutoRereoute | Automatische Umleitung |
| Clientid | ABAP-Client-ID (MANDT) |
| CountryKey | Schlüssel für Land/Region |
| DeleteSpoolRequestAuto | Automatisches Löschen der Spoolanforderung |
| DelFlag | Löschflag |
| Department | Department |
| Documenttype | Dokumenttyp |
| ExternalMode | Externer Modus |
| Formattype | Formattyp |
| Host | Host |
| Instance | ABAP instance in der folgenden Syntax:<HOST>_<SYSID>_<SYSNR> |
| NumofCopies | Anzahl der Kopien |
| OutputDevice | Ausgabegerät |
| PrinterLongName | Langer Druckername |
| DruckenImmediately | Sofort drucken |
| PrintOSCoverPage | Seite "OSCover drucken" |
| PrintSAPCoverPage | Seite "SAPCover drucken" |
| Priorität | Priorität |
| RecipientofSpoolRequest | Empfänger der Spoolanforderung |
| SpoolErrorStatus | Spoolfehler status |
| SpoolRequestCompleted | Spoolanforderung abgeschlossen |
| SpoolRequestisALogForAnotherRequest | Spoolanforderung ist ein Protokoll für eine andere Anforderung. |
| SpoolRequestName | Name der Spoolanforderung |
| SpoolRequestNumber | Spoolanforderungsnummer |
| SpoolRequestSuffix1 | Spoolanforderungssuffix1 |
| SpoolRequestSuffix2 | Spoolanforderungssuffix2 |
| SpoolRequestTitle | Titel der Spoolanforderung |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TelekommunikationSpartner | Telekommunikationspartner |
| TelecommunicationsPartnerE | Telekommunikationspartner E |
| TemSeGeneralcounter | Temse-Zähler |
| TemseNumAddProtectionRule | Schutzregel zum Hinzufügen von Temse-Nummern |
| TemseNumChangeProtectionRule | Temse-Nummernänderungsschutzregel |
| TemseNumDeleteProtectionRule | Schutzregel zum Löschen von Temsenummern |
| TemSeObjectName | Name des Temse-Objekts |
| TemSeObjectPart | TemSe-Objektteil |
| TemseReadProtectionRule | Temse-Leseschutzregel |
| Benutzer | Benutzer |
| ValueAuthCheck | Wertauthentifizierungsprüfung |
APAB Spool Ausgabeprotokoll
Microsoft Sentinel Funktion zum Abfragen dieses Protokolls: SAPSpoolOutputLog
Zugehörige SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Dient als Hauptprotokoll für SAP Printing mit dem Verlauf der Spoolausgabeanforderungen. (SP02).
Verfügbar mithilfe von RFC mit einem benutzerdefinierten Dienst, der auf Standardtabellen basiert. Dieses Protokoll wird mit Daten für alle Clients generiert.
ABAPSpoolOutputLog_CL Protokollschema
| Feld | Beschreibung |
|---|---|
| Appserver | Anwendungsserver |
| Clientid | ABAP-Client-ID (MANDT) |
| Kommentar | Kommentar |
| CopyCount | Anzahl der Kopien |
| CopyCounter | Kopierindikator |
| Department | Department |
| ErrorSpoolRequestNumber | Fehleranforderungsnummer |
| Formattype | Formattyp |
| Host | Host |
| HostName | Hostname |
| HostSpoolerID | Hostspooler-ID |
| Instance | ABAP-instance |
| LastPage | Letzte Seite |
| NumofCopies | Anzahl der Kopien |
| OutputDevice | Ausgabegerät |
| OutputRequestNumber | Ausgabeanforderungsnummer |
| OutputRequestStatus | Ausgabeanforderungs-status |
| PhysicalFormatType | Physischer Formattyp |
| PrinterLongName | Langer Druckername |
| PrintRequestSize | Druckanforderungsgröße |
| Priorität | Priorität |
| ReasonforOutputRequest | Grund für die Ausgabeanforderung |
| RecipientofSpoolRequest | Empfänger der Spoolanforderung |
| SpoolNumberofOutputReqProcessed | Anzahl von Ausgabeanforderungen – verarbeitet |
| SpoolNumberofOutputReqWithErrors | Anzahl der Ausgabeanforderungen – mit Fehlern |
| SpoolNumberofOutputReqWithProblems | Anzahl der Ausgabeanforderungen – mit Problemen |
| SpoolRequestNumber | Spoolanforderungsnummer |
| StartPage | Startseite |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TelekommunikationSpartner | Telekommunikationspartner |
| TemSeGeneralcounter | Temse-Zähler |
| Position | Titel |
| Benutzer | Benutzer |
ABAP Syslog
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es der systemconfig.json-Datei manuell hinzufügen. Dieses Protokoll wird nicht unterstützt, wenn das empfohlene Verfahren zum Installieren des Datenconnector-Agents über das Portal verwendet wird.
Microsoft Sentinel Funktion zum Abfragen dieses Protokolls: SAPOS_Syslog
Zugehörige SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Zeichnet alle SAP NetWeaver Application Server (SAP NetWeaver AS) ABAP-Systemfehler, Warnungen, Benutzersperren aufgrund fehlgeschlagener Anmeldeversuche von bekannten Benutzern und Verarbeiten von Nachrichten auf.
Verfügbar über den SAP Control-Webdienst. Dieses Protokoll wird mit Daten für alle Clients generiert.
protokollschema ABAPOS_Syslog_CL
| Feld | Beschreibung |
|---|---|
| Clientid | ABAP-Client-ID (MANDT) |
| Host | Host |
| Instance | ABAP instance in der folgenden Syntax:<HOST>_<SYSID>_<SYSNR> |
| MessageNumber | Nachrichtennummer |
| MessageText | Nachrichtentext |
| Severity | Nachrichtenschweregrad, einer der folgenden Werte: Debug, Info, Warning, , Error |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TransacationCode | Transaktionscode |
| Typ | SAP-Prozesstyp |
| Benutzer | Benutzer |
ABAP-Workflowprotokoll
Microsoft Sentinel Funktion zum Abfragen dieses Protokolls: SAPWorkflowLog
Zugehörige SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Mit dem SAP-Geschäftsworkflow (WebFlow-Engine) können Sie Geschäftsprozesse definieren, die noch nicht im SAP-System zugeordnet sind.
Nicht zugeordnete Geschäftsprozesse können beispielsweise einfache Freigabe- oder Genehmigungsverfahren oder komplexere Geschäftsprozesse sein, z. B. das Erstellen von Basismaterial und die anschließende Koordination der zugehörigen Abteilungen.
Verfügbar mithilfe von RFC basierend auf SAP-Standardtabellen. Dieses Protokoll wird pro Client generiert.
ABAPWorkflowLog_CL Protokollschema
| Feld | Beschreibung |
|---|---|
| ActualAgent | Tatsächlicher Agent |
| Adresse | Adresse |
| ApplicationArea | Anwendungsbereich |
| CallbackFunction | Rückruffunktion |
| Clientid | ABAP-Client-ID (MANDT) |
| CreationDateTime | Erstellungsdatum Uhrzeit |
| Creator | Creator |
| CreatorAddress | Erstelleradresse |
| ErrorType | Fehlertyp |
| ExceptionforMethod | Ausnahme für Methode |
| Host | Host |
| Instance | ABAP instance (HOST_SYSID_SYSNR) in der folgenden Syntax:<HOST>_<SYSID>_<SYSNR> |
| Sprache | Sprache |
| LogCounter | Protokollzähler |
| MessageNumber | Nachrichtennummer |
| MessageType | Nachrichtentyp |
| MethodUser | Methodenbenutzer |
| Priorität | Priorität |
| SimpleContainer | Einfacher Container, gepackt als Liste von Schlüssel-Wert-Entitäten für das Arbeitselement |
| Status | Status |
| SuperWI | Super WI |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TaskID | Vorgangsnummer |
| TasksClassification | Aufgabenklassifizierungen |
| TaskText | Aufgabentext |
| TopTaskID | Id der obersten Aufgabe |
| UserCreated | Benutzer erstellt |
| WIText | Arbeitselementtext |
| WIType | Arbeitselementtyp |
| WorkflowAction | Workflowaktion |
| WorkItemID | Arbeitselement-ID |
ABAP-Arbeitsprozessprotokoll
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es der systemconfig.json-Datei manuell hinzufügen. Dieses Protokoll wird nicht unterstützt, wenn das empfohlene Verfahren zum Installieren des Datenconnector-Agents über das Portal verwendet wird.
Microsoft Sentinel Funktion zum Abfragen dieses Protokolls: SAPOS_WP
Zugehörige SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Kombiniert alle Arbeitsprozessprotokolle. (Standard:
dev_*).Verfügbar über den SAP Control-Webdienst. Dieses Protokoll wird mit Daten für alle Clients generiert.
ABAPOS_WP_CL Protokollschema
| Feld | Beschreibung |
|---|---|
| Host | Host |
| Instance | ABAP instance in der folgenden Syntax:<HOST>_<SYSID>_<SYSNR> |
| MessageText | Nachrichtentext |
| Severity | Nachrichtenschweregrad: Debug, Info, Warning, , Error |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| WPNumber | Arbeitsprozessnummer |
HANA DB-Überwachungspfad
Das Sammeln des HANA DB-Überwachungsprotokolls ist ein Beispiel dafür, wie Microsoft Sentinel Aktivitäten auf Datenbankebene sammelt. Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie Azure Monitor-Agent bereitstellen, um Syslog-Daten von dem Computer zu sammeln, auf dem HANA DB ausgeführt wird.
Microsoft Sentinel Funktion zum Abfragen dieses Protokolls: SAPSyslog
Zugehörige SAP-Dokumentation: Allgemeiner | Überwachungspfad
Protokollzweck: Zeichnet Benutzeraktionen oder versuchte Aktionen in der SAP HANA-Datenbank auf. Ermöglicht beispielsweise das Protokollieren und Überwachen des Lesezugriffs auf vertrauliche Daten.
Verfügbar vom Microsoft Sentinel Linux-Agent für Syslog. Dieses Protokoll wird mit Daten für alle Clients generiert.
Syslog-Protokollschema
| Feld | Beschreibung |
|---|---|
| Computer | Hostname |
| HostIP | Host-IP |
| HostName | Hostname |
| ProcessID | Prozess-ID |
| ProcessName | Prozessname: HDB* |
| SeverityLevel | Warnung |
| SourceSystem | Quellsystembetriebssystem, Linux |
| SyslogMessage | Nachricht, eine nicht analysierte Überwachungspfadnachricht |
JAVA-Dateien
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es der systemconfig.json-Datei manuell hinzufügen. Dieses Protokoll wird nicht unterstützt, wenn das empfohlene Verfahren zum Installieren des Datenconnector-Agents über das Portal verwendet wird.
Microsoft Sentinel Funktion zum Abfragen dieses Protokolls: SAPJAVAFilesLogs
Zugehörige SAP-Dokumentation: Allgemeines | Java-Sicherheitsüberwachungsprotokoll
Protokollzweck: Kombiniert alle Auf Java-Dateien basierenden Protokolle, einschließlich des Sicherheitsüberwachungsprotokolls, des Systemprotokolls (Cluster- und Serverprozess), der Leistung und der Gatewayprotokolle. Enthält auch Entwicklerablaufverfolgungen und Standardablaufverfolgungsprotokolle.
Verfügbar über den SAP Control-Webdienst. Dieses Protokoll wird mit Daten für alle Clients generiert.
JavaFilesLogsCL-Protokollschema
| Feld | Beschreibung |
|---|---|
| Application | Java-Anwendung |
| Clientid | Client-ID |
| CSNComponent | CSN-Komponente, z. B. BC-XI-IBD |
| DCComponent | DC-Komponente, z. B. com.sap.xi.util.misc |
| DSRCounter | DsR-Zähler |
| DSRRootContentID | DSR-Kontext-GUID |
| DSRTransaction | DSR-Transaktions-GUID |
| Host | Host |
| Instance | Java instance in der folgenden Syntax:<HOST>_<SYSID>_<SYSNR> |
| Location | Java-Klasse |
| Logname | Java logName, z. B.: Available, defaulttrace, dev*, securityusw. |
| MessageText | Nachrichtentext |
| Mno | Nachrichtennummer |
| Pid | Prozess-ID |
| Programm | Programmname |
| Session | Session |
| Severity | Nachrichtenschweregrad, einschließlich: Debug,Info,Warning,Error |
| Lösung | Lösung |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| ThreadName | Threadname |
| Ausgelöst | Ausnahme ausgelöst |
| TimeZone | Zeitzone |
| Benutzer | Benutzer |
SAP Heartbeat-Protokoll
Microsoft Sentinel Funktion zum Abfragen dieses Protokolls: SAPConnectorHealth
Protokollzweck: Stellt Heartbeat- und andere Integritätsinformationen zur Konnektivität zwischen den Agents und den verschiedenen SAP-Systemen bereit.
Wird automatisch für alle Agents des Microsoft Sentinel für SAP-Datenconnectors erstellt.
protokollschema SAP_HeartBeat_CL
| Feld | Beschreibung |
|---|---|
| TimeGenerated | Zeitpunkt des Protokollbuchungsereignisses |
| agent_id_s | Agent-ID in der Konfiguration des Agents (automatisch generiert) |
| agent_ver_s | Agent-Version |
| host_s | Der Hostname des Agents |
| system_id_s | NetWeaver ABAP-System-ID / NetWeaver SAPControl Host (Vorschau) / Java SAPControl-Host (Vorschau) |
| push_timestamp_d | Zeitstempel der Extraktion, entsprechend der Zeitzone des Agents |
| agent_timezone_s | Zeitzone des Agents |
Referenz von Tabellen, die direkt aus SAP-Systemen abgerufen werden
In diesem Abschnitt werden die Datentabellen aufgelistet, die direkt aus dem SAP-System abgerufen und in Microsoft Sentinel genau wie sie erfasst werden.
Die aus diesen Tabellen abgerufenen Daten bieten eine klare Übersicht über die Autorisierungsstruktur, die Gruppenmitgliedschaft und die Benutzerprofile. Außerdem können Sie den Prozess der Autorisierungserteilungen und -widerrufen nachverfolgen sowie die risiken identifizieren und steuern, die mit diesen Prozessen verbunden sind.
Die unten aufgeführten Tabellen sind erforderlich, um Funktionen zu aktivieren, die privilegierte Benutzer identifizieren und Benutzer Rollen, Gruppen und Autorisierungen zuordnen.
Optimale Ergebnisse finden Sie in diesen Tabellen, indem Sie den Namen in der Spalte Microsoft Sentinel Funktionsname in der folgenden Tabelle verwenden:
| Tabellenname | Tabellenbeschreibung | Microsoft Sentinel Funktionsname |
|---|---|---|
| USR01 | Benutzerdatensatz master (Laufzeitdaten) | SAP_USR01 |
| USR02 | Anmeldedaten (kernelseitige Verwendung) | SAP_USR02 |
| UST04 | Benutzermaster Ordnet Benutzer Profilen zu |
SAP_UST04 |
| AGR_USERS | Zuweisung von Rollen zu Benutzern | SAP_AGR_USERS |
| AGR_1251 | Autorisierungsdaten für die Aktivitätsgruppe | SAP_AGR_1251 |
| USGRP_USER | Zuweisung von Benutzern zu Benutzergruppen | SAP_USGRP_USER |
| USR21 | Benutzernamen-/Adressschlüsselzuweisung | SAP_USR21 |
| ADR6 | Email Adressen (Geschäftsadressendienste) | SAP_ADR6 |
| USRSTAMP | Zeitstempel für alle Änderungen am Benutzer | SAP_USRSTAMP |
| ADCP | Personen-/Adresszuweisung (Geschäftsadressendienste) | SAP_ADCP |
| USR05 | Parameter-ID des Benutzers master | SAP_USR05 |
| AGR_PROF | Profilname für rolle | SAP_AGR_PROF |
| AGR_FLAGS | Rollenattribute | SAP_AGR_FLAGS |
| DEVACCESS | Tabelle für Entwicklungsbenutzer | SAP_DEVACCESS |
| AGR_DEFINE | Regeldefinition | SAP_AGR_DEFINE |
| AGR_AGRS | Rollen in zusammengesetzten Rollen | SAP_AGR_AGRS |
| PAHI | Verlauf der System-, Datenbank- und SAP-Parameter | SAP_PAHI |
| SNCSYSACL (VORSCHAU) | SNC Access Control List (ACL): Systeme | SAP_SNCSYSACL |
| USRACL (VORSCHAU) | SNC Access Control List (ACL): Benutzer | SAP_USRACL |
Verwandte Inhalte
Weitere Informationen finden Sie unter: