Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Protokolle und Tabellen beschrieben, die als Teil der Microsoft Sentinel-Lösung für SAP-Anwendungen und deren Datenconnector verfügbar sind.
Einige Protokolle, die in diesem Artikel erwähnt wurden, werden standardmäßig nicht an Microsoft Sentinel gesendet, aber Sie können sie bei Bedarf manuell hinzufügen. Weitere Informationen finden Sie unter Definieren der SAP-Protokolle, die an Microsoft Sentinel gesendet werden
Inhalte in diesem Artikel sind für Ihre SAP BASIS-Teams vorgesehen.
Wichtig
Hervorgehobene Funktionen befinden sich derzeit in der VORSCHAU. Der agentlose Datenkonnektor befindet sich in EINGESCHRÄNKTER VORSCHAU. Die ergänzenden Bedingungen für Azure Preview enthalten zusätzliche rechtliche Bestimmungen, die für Azure-Features gelten, die sich in der Betaversion, Vorschau oder noch nicht in der allgemeinen Verfügbarkeit befinden.
Verwenden von Funktionen in Ihren Abfragen anstelle von zugrunde liegenden Protokollen oder Tabellen
Es wird dringend empfohlen , die verfügbaren Funktionen nach Möglichkeit als Themen ihrer Analyse anstelle der zugrunde liegenden Protokolle oder Tabellen zu verwenden.
Funktionen , die mit der Microsoft Sentinel-Lösung für SAP-Anwendungen bereitgestellt werden, sollen als Prinzipal-Benutzeroberfläche für die Daten dienen. Sie bilden die Grundlage für alle integrierten Analyseregeln und Arbeitsmappen, die Ihnen standardmäßig zur Verfügung stehen. Durch die Verwendung von Funktionen können Änderungen an der Dateninfrastruktur unterhalb der Funktionen vorgenommen werden, ohne dass vom Benutzer erstellte Inhalte abgebrochen werden.
Weitere Informationen finden Sie in der Microsoft Sentinel-Lösung für SAP-Anwendungen – Funktionsreferenz und Funktionen in Azure Monitor-Protokollabfragen.
Protokollabdeckung
Die Microsoft Sentinel-Lösung für SAP-Anwendungen sammelt Protokolle aus der Anwendung, dem Betriebssystem und den Datenebenen, die einen umfassenden Schutz für Ihr SAP-System bieten:
Anwendungsschicht: Microsoft Sentinel überwacht Aktivitäten innerhalb der LAYERS-Ebene, die die primäre Anwendungsschicht in SAP-Systemen ist, die für die Ausführung von Geschäftslogik und Verarbeitungstransaktionen verantwortlich ist. Beispielsweise sammelt Microsoft Sentinel Protokolle, die Benutzeraktionen wie Anmeldungen, Kennwortänderungen und Zugriff auf Berichte oder Dateien enthalten.
Zusätzlich zur Sicherheitsüberwachung können protokolle, die auf der Anwendungsebene gesammelt werden, auch für Compliance- und Überwachungszwecke verwendet werden.
Betriebssystemebene: Microsoft Sentinel sammelt Protokolle vom Betriebssystem, um Einblicke in Aktivitäten auf Betriebssystemebene, z. B. vom LOGS-Server und den virtuellen Computern, auf denen die SAP-Anwendungen ausgeführt werden, bereitzustellen.
Verwenden Sie die Microsoft Sentinel-Lösung für SAP-Anwendungen zusammen mit Sicherheitsinhalten und Datenkonnektoren für Ihre anderen Dienste für umfassende und zentrale Überwachung, Korrelieren von Informationen über alle Ihre Systeme hinweg und verbessern Sie Ihren gesamtsicherheitsstatus.
Datenbankebene: Erfassung von Datenbankprotokollen in Microsoft Sentinel zum Überwachen von Datenbankaktivitäten, z. B. Datenbankverwaltungsaktivitäten und Änderungen an Tabellendaten. Die Microsoft Sentinel-Lösung für SAP-Anwendungen ist datenbankunabhängig.
Alle vom Datenkonnektor-Agent gesammelten Protokolle werden zuerst auf dem Datensammler-Agent-Computer im /opt/sapcon/<sid>/log Ordner in der Containerinstanz gespeichert. Die Protokolle werden dann an Ihren Log Analytics-Arbeitsbereich weitergeleitet, in dem Sie sie von Microsoft Sentinel anzeigen, überwachen und abfragen können.
Überwachungsprotokolle werden jede Minute erfasst und aufgenommen, während andere Protokolle weniger häufig aufgenommen werden. Microsoft Sentinel überwacht außerdem den Takt des Datenkonnektor-Agents, um sicherzustellen, dass Protokolle gesammelt und an den Log Analytics-Arbeitsbereich gesendet werden.
Vom Agentless Data Connector gesammelte Protokolle (eingeschränkte Vorschau)
Die folgenden integrierten Log Analytics-Tabellen werden vom agentlosen Datenconnector erfasst:
Protokollverweis für den Datenconnector-Agent
In den folgenden Abschnitten werden die SAP-Protokolle beschrieben, die über die Microsoft Sentinel-Lösung für SAP-Anwendungsdatenkonnektor verfügbar sind, einschließlich der Tabellennamen in Microsoft Sentinel, den Protokollzwecken und detaillierten Protokollschemas.
Schemafeldbeschreibungen basieren auf den Feldbeschreibungen in der entsprechenden SAP-Dokumentation.
- LOGS-Anwendungsprotokoll
- Protokoll "LOGS Change Documents"
- LOGS CR-Protokoll
- LOGS DB-Tabellendatenprotokoll (VORSCHAU)
- LOGS Gateway-Protokoll (VORSCHAU)
- LOGS ICM-Protokoll (VORSCHAU)
- LOGS-Auftragsprotokoll
- LOGS-Sicherheitsüberwachungsprotokoll
- LOGS-Spoolprotokoll
- APAB-Spool-Ausgabeprotokoll
- ADMIN SysLog
- LOGS-Workflowprotokoll
- LOGS WorkProcess-Protokoll
- HANA DB Audit Trail
- JAVA-Dateien
- SAP Heartbeat-Protokoll
ABAP-Anwendungsprotokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPAppLog
Verwandte SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Zeichnet den Fortschritt einer Anwendungsausführung auf, damit Sie sie später nach Bedarf rekonstruieren können.
Verfügbar über RFC, basierend auf SAP-Standardtabellen und den Standarddiensten der XBP-Schnittstelle. Dieses Protokoll wird clientbezogen generiert.
Dieses Protokoll wird nur mit dem Datenkonnektor-Agent aufgenommen.
Schema des Protokolls ABAPAppLog_CL
| Feld | BESCHREIBUNG |
|---|---|
| AppLogDateTime | Datum/Uhrzeit des Anwendungsprotokolls |
| CallbackProgram | Rückrufprogramm |
| CallbackRoutine | Rückrufroutine |
| CallbackType | Rückruftyp |
| ClientID | ABAP-Client-ID (MANDT) |
| ContextDDIC | DDIC-Struktur des Kontexts |
| ExternalID | Externe Protokoll-ID |
| Gastgeber | Gastgeber |
| Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | Serielle Anwendungsprotokollmeldung |
| LevelofDetail | Detailgrad |
| LogHandle | Handle für Anwendungsprotokoll |
| LogNumber | Protokollnummer |
| Nachrichtenklasse | Message-Klasse |
| MessageNumber | Meldungsnummer |
| Nachrichtentext | Meldungstext |
| Nachrichtentyp | Nachrichtentyp |
| Objekt | Anwendungsprotokollobjekt |
| Betriebsmodus | Betriebsmodus |
| ProblemClass | Problemklasse |
| ProgramName | Programmname |
| SortCriterion | Sortierkriterium |
| StandardText | Standardtext |
| SubObject | Unterobjekt des Anwendungsprotokolls |
| SystemID | System-ID |
| Systemnummer | Systemnummer |
| Transaktionscode | Transaktionscode |
| Benutzer | Benutzer |
| UserChange | Benutzeränderung |
Protokoll für ABAP-Änderungsdokumente
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPChangeDocsLog
Verwandte SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Datensätze:
SAP NetWeaver Application Server (AS) ABAP-Protokolländerungen an Geschäftsdatenobjekten in Änderungsdokumenten
Andere Entitäten im SAP-System, z. B. Benutzerdaten, Rollen, Adressen
Verfügbar über RFC, basierend auf SAP-Standardtabellen. Dieses Protokoll wird clientbezogen generiert.
Schema des Protokolls ABAPChangeDocsLog_CL
| Feld | BESCHREIBUNG |
|---|---|
| ActualChangeNum | Tatsächliche Änderungsnummer |
| ChangedTableKey | Geänderter Tabellenschlüssel |
| Änderungsnummer | Änderungsnummer |
| ClientID | ABAP-Client-ID (MANDT) |
| CreatedfromPlannedChange | Erstellt anhand geplanter Änderung in der folgenden Syntax: (‘X’ , ‘ ‘) |
| CurrencyKeyNew | Währungsschlüssel: neuer Wert |
| CurrencyKeyOld | Währungsschlüssel: alter Wert |
| FeldName | Feldname |
| FlagText | Flagtext |
| Gastgeber | Gastgeber |
| Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| Sprache | Sprache |
| ObjectClass | Objektklasse, z. B. BELEG, BPAR, PFCG, IDENTITY |
| Objekt-ID | Objekt-ID |
| PlannedChangeNum | Geplante Änderungsnummer |
| SystemID | System-ID |
| Systemnummer | Systemnummer |
| Tabellenname | Tabellenname |
| Transaktionscode | Transaktionscode |
| TypeofChange_Header | Änderungstyp des Headers, einschließlich: U = Ändern; I = Einfügen; E = Einzelnes Dokument löschen; D = Löschen; J = Einzelnes Dokument einfügen |
| TypeofChange_Item | Änderungstyp des Elements, einschließlich: U = Ändern; I = Einfügen; E = Einzelnes Dokument löschen; D = Löschen; J = Einzelnes Dokument einfügen |
| UOMNeu | Maßeinheit: neuer Wert |
| UOMOld | Maßeinheit: alter Wert |
| Benutzer | Benutzer |
| ValueNew | Feldinhalt: neuer Wert |
| ValueOld | Feldinhalt: alter Wert |
| Version | Version |
ABAP CR-Protokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPCRLog
Verwandte SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Schließt die CtS-Protokolle (Change & Transport System) ein, einschließlich der Verzeichnisobjekte und Anpassungen, an denen Änderungen vorgenommen wurden.
Verfügbar über RFC, basierend auf Standardtabellen und SAP-Standarddiensten. Dieses Protokoll wird mit Daten aller Clients generiert.
Hinweis
Neben der Anwendungsprotokollierung, Änderungsdokumenten und Tabellenaufzeichnung werden alle Änderungen, die Sie mit dem Change & Transport System an Ihrem Produktivsystem vornehmen, in den CTS- und TMS-Protokollen dokumentiert.
Schema des Protokolls ABAPCRLog_CL
| Feld | BESCHREIBUNG |
|---|---|
| Kategorie | Kategorie (Workbench, Anpassung) |
| ClientID | ABAP-Client-ID (MANDT) |
| BESCHREIBUNG | BESCHREIBUNG |
| Gastgeber | Gastgeber |
| Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| Objektname | Objektname |
| ObjektType | Objekttyp |
| Besitzer | Besitzer |
| Anforderung | Änderungsanforderung |
| Der Status | Der Status |
| SystemID | System-ID |
| Systemnummer | Systemnummer |
| TableKey | Tabellenschlüssel |
| Tabellenname | Tabellenname |
| Ansichtsname | Name der Ansicht |
ABAP DB-Tabellendatenprotokoll (VORSCHAU)
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es manuell zur systemconfig.json Datei hinzufügen. Dieses Protokoll wird bei Verwendung des empfohlenen Verfahrens zum Installieren des Datenkonnektor-Agents aus dem Portal nicht unterstützt.
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPTableDataLog
Verwandte SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Stellt die Protokollierung für diese Tabellen bereit, die kritisch oder anfällig für Audits sind.
Verfügbar unter Verwendung von RFC mit einem benutzerdefinierten Dienst. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPTableDataLog_CL
| Feld | BESCHREIBUNG |
|---|---|
| DBLogID | DB-Protokoll-ID |
| Gastgeber | Gastgeber |
| Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| Sprache | Sprache |
| LogKey | Protokollschlüssel |
| Neuer Wert | Neuer Wert des Felds |
| OldValue | Alter Wert des Felds |
| OperationTypeSQL | Vorgangstyp: Insert, Update, Delete |
| Programm | Programmname |
| SystemID | System-ID |
| Systemnummer | Systemnummer |
| TableField | Tabellenfeld |
| Tabellenname | Tabellenname |
| Transaktionscode | Transaktionscode |
| Nutzername | Benutzer |
| VersionNumber | Versionsnummer |
ABAP-Gatewayprotokoll (VORSCHAU)
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es manuell zur systemconfig.json Datei hinzufügen. Dieses Protokoll wird bei Verwendung des empfohlenen Verfahrens zum Installieren des Datenkonnektor-Agents aus dem Portal nicht unterstützt.
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPOS_GW
Verwandte SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Überwacht Gatewayaktivitäten. Verfügbar vom SAP Control-Webdienst. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPOS_GW_CL
| Feld | BESCHREIBUNG |
|---|---|
| Gastgeber | Gastgeber |
| Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| Nachrichtentext | Meldungstext |
| severity | Schweregrad der Meldung: Debug, Info, Warning, Error |
| SystemID | System-ID |
| Systemnummer | Systemnummer |
ABAP-ICM-Protokoll (VORSCHAU)
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es manuell zur systemconfig.json Datei hinzufügen. Dieses Protokoll wird bei Verwendung des empfohlenen Verfahrens zum Installieren des Datenkonnektor-Agents aus dem Portal nicht unterstützt.
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPOS_ICM
Verwandte SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Zeichnet eingehende und ausgehende Anforderungen auf und kompiliert Statistiken zu den HTTP-Anforderungen.
Verfügbar vom SAP Control-Webdienst. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPOS_ICM_CL
| Feld | BESCHREIBUNG |
|---|---|
| Gastgeber | Gastgeber |
| Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| Nachrichtentext | Meldungstext |
| severity | Schweregrad der Meldung einschließlich: Debug, Info, Warning, Error |
| SystemID | System-ID |
| Systemnummer | Systemnummer |
ABAP-Auftragsprotokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPJobLog
Verwandte SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Kombiniert alle Hintergrundverarbeitungsauftragsprotokolle (SM37).
Verfügbar über RFC, basierend auf SAP-Standardtabellen und den Standarddiensten der XBP-Schnittstellen. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPJobLog_CL
| Feld | BESCHREIBUNG |
|---|---|
| DICTIONARYProgram | ABAP-Programm |
| BgdEventParameters | Hintergrundereignisparameter |
| BgdProcessingEvent | Hintergrundverarbeitungsereignis |
| ClientID | ABAP-Client-ID (MANDT) |
| DynproNumber | Dynpro-Nummer |
| GUIStatus | GUI-Status |
| Gastgeber | Gastgeber |
| Instanz | ABAP-Instanz (HOST_SYSID_SYSNR) in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| JobClassification | Auftragsklassifizierung |
| JobCount | Auftragsanzahl |
| Jobgruppe | Auftragsgruppe |
| Auftragsname | Auftragsname |
| Jobpriorität | Auftragspriorität |
| Nachrichtenklasse | Message-Klasse |
| MessageNumber | Meldungsnummer |
| Nachrichtentext | Meldungstext |
| Nachrichtentyp | Nachrichtentyp |
| ReleaseUser | Auftragsfreigabebenutzer |
| SchedulingDateTime | Zeitplanung für Datum und Uhrzeit |
| StartDatumZeit | Startdatum und -uhrzeit |
| SystemID | System-ID |
| Systemnummer | Systemnummer |
| TargetServer | Zielserver |
| Benutzer | Benutzer |
| UserReleaseInstance | ABAP-Instanz – Benutzerfreigabe |
| WorkProcessID | Arbeitsprozess-ID |
| WorkProcessNumber | Arbeitsprozessnummer |
ABAP-Sicherheitsüberwachungsprotokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPAuditLog
Verwandte SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Zeichnet die folgenden Daten auf:
- Sicherheitsbezogene Änderungen an der SAP-Systemumgebung, z. B. Änderungen an Hauptbenutzerdatensätzen
- Informationen, die eine höhere Datenebene bieten, z. B. erfolgreiche und nicht erfolgreiche Anmeldeversuche
- Informationen, die die Wiederherstellung einer Reihe von Ereignissen ermöglichen, z. B. erfolgreiche oder nicht erfolgreiche Transaktionsstarts
Verfügbar über XAL-/SAL-Schnittstellen von RFC. SAL ist ab Version Basis 7.50 verfügbar. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPAuditLog_CL
| Feld | BESCHREIBUNG |
|---|---|
| DICTIONARYProgramName | Programmname, nur SAL |
| AlarmSchweregrad | Schweregrad der Warnung |
| AlertSeverityText | Text mit Warnungsschweregrad, nur SAL |
| Alarmwert | Warnungswert |
| AuditClassID | Überwachungsklassen-ID, nur SAL |
| ClientID | ABAP-Client-ID (MANDT) |
| Rechner | Benutzercomputer, nur SAL |
| Benutzer-E-Mail | |
| Gastgeber | Gastgeber |
| Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| Nachrichtenklasse | Message-Klasse |
| MessageContainerID | Nachrichtencontainer-ID, nur XAL |
| Meldungs-ID | Meldungs-ID, z. B. ‘AU1’,’AU2’… |
| Nachrichtentext | Meldungstext |
| Überwachungsobjektname | Objektname des MTE-Monitors, nur XAL |
| MonitorShortName | Kurzname des MTE-Monitors, nur XAL |
| SAPProcessType | Systemprotokoll: SAP-Prozesstyp, nur SAL |
| B* – Hintergrundverarbeitung | |
| D* – Dialogverarbeitung | |
| U* – Aktualisierungsaufgaben | |
| SAPWPName | Systemprotokoll: Arbeitsprozessnummer, nur SAL |
| SystemID | System-ID |
| Systemnummer | Systemnummer |
| TerminalIPv6 | IP-Adresse des Benutzercomputers, nur SAL |
| Transaktionscode | Transaktionscode, nur SAL |
| Benutzer | Benutzer |
| Variable1 | Meldungsvariable 1 |
| Variable2 | Meldungsvariable 2 |
| Variable3 | Meldungsvariable 3 |
| Variable4 | Meldungsvariable 4 |
ABAP-Spoolprotokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPSpoolLog
Verwandte SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Dient als Hauptprotokoll für den SAP-Druck mit dem Verlauf von Spoolanforderungen. (SP01).
Verfügbar über RFC, basierend auf der SAP-Standardtabelle. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPSpoolLog_CL
| Feld | BESCHREIBUNG |
|---|---|
| Archiv-Status | Archivstatus |
| ArchiveType | Archivtyp |
| ArchivingDevice | Archivierungsgerät |
| AutoRereoute | Automatisches Umleiten |
| ClientID | ABAP-Client-ID (MANDT) |
| CountryKey | Schlüssel "Land/Region" |
| DeleteSpoolRequestAuto | Automatisches Löschen der Spoolanforderung |
| DelFlag | Löschflag |
| Abteilung | Abteilung |
| Dokumenttyp | Dokumenttyp |
| ExternalMode | Externer Modus |
| Formattyp | Formattyp |
| Gastgeber | Gastgeber |
| Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | Anzahl |
| OutputDevice | Ausgabegerät |
| PrinterLongName | Langname des Druckers |
| PrintImmediately | Sofort drucken |
| PrintOSCoverPage | OSCover-Seite drucken |
| PrintOSCoverPage | SAPCover-Seite drucken |
| Priorität | Priorität |
| RecipientofSpoolRequest | Empfänger der Spoolanforderung |
| SpoolErrorStatus | Spoolfehlerstatus |
| SpoolRequestCompleted | Spoolanforderung abgeschlossen |
| SpoolRequestisALogForAnotherRequest | Spoolanforderung ist ein Protokoll für eine andere Anforderung |
| SpoolRequestName | Name der Spoolanforderung |
| SpoolRequestNumber | Nummer der Spoolanforderung |
| SpoolRequestSuffix1 | Spoolanforderungssuffix 1 |
| SpoolRequestSuffix2 | Spoolanforderungssuffix 2 |
| SpoolRequestTitle | Titel der Spoolanforderung |
| SystemID | System-ID |
| Systemnummer | Systemnummer |
| TelekommunikationSpartner | Telekommunikationspartner |
| TelekommunikationSpartnerE | Telekommunikationspartner E |
| TemSeGeneralcounter | TemSe-Zähler |
| TemseNumAddProtectionRule | TemSe-Nummer: Schutzregel hinzufügen |
| TemseNumChangeProtectionRule | TemSe-Nummer: Schutzregel ändern |
| TemseNumDeleteProtectionRule | TemSe-Nummer: Schutzregel löschen |
| TemSeObjectName | TemSe-Objektname |
| TemSeObjectPart | TemSe-Objektteil |
| TemseReadProtectionRule | TemSe-Leseschutzregel |
| Benutzer | Benutzer |
| ValueAuthCheck | Überprüfung der Wertauthentifizierung |
APAB-Spoolausgabeprotokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPSpoolOutputLog
Verwandte SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Dient als Hauptprotokoll für SAP Printing mit dem Verlauf der Spoolausgabeanforderungen. (SP02).
Verfügbar unter Verwendung von RFC mit einem benutzerdefinierten Dienst, der auf Standardtabellen basiert. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPSpoolOutputLog_CL
| Feld | BESCHREIBUNG |
|---|---|
| AppServer | Anwendungsserver |
| ClientID | ABAP-Client-ID (MANDT) |
| Kommentar | Kommentar |
| CopyCount | Anzahl der Exemplare |
| CopyCounter | Zähler für Exemplare |
| Abteilung | Abteilung |
| ErrorSpoolRequestNumber | Nummer der fehlerhaften Anforderung |
| Formattyp | Formattyp |
| Gastgeber | Gastgeber |
| Rechnername | Hostname |
| HostSpoolerID | Hostspooler-ID |
| Instanz | ABAP-Instanz |
| Letzte Seite | Letzte Seite |
| NumofCopies | Anzahl |
| OutputDevice | Ausgabegerät |
| OutputRequestNumber | Ausgabeanforderungsnummer |
| OutputRequestStatus | Ausgabeanforderungsstatus |
| PhysicalFormatType | Physischer Formattyp |
| PrinterLongName | Langname des Druckers |
| PrintRequestSize | Druckanforderungsgröße |
| Priorität | Priorität |
| ReasonforOutputRequest | Grund für Ausgabeanforderung |
| RecipientofSpoolRequest | Empfänger der Spoolanforderung |
| SpoolNumberofOutputReqProcessed | Anzahl der Ausgabeanforderungen – verarbeitet |
| SpoolNumberofOutputReqWithErrors | Anzahl der Ausgabeanforderungen – mit Fehlern |
| SpoolNumberofOutputReqWithProblems | Anzahl der Ausgabeanforderungen – mit Problemen |
| SpoolRequestNumber | Nummer der Spoolanforderung |
| Startseite | Startseite |
| SystemID | System-ID |
| Systemnummer | Systemnummer |
| TelekommunikationSpartner | Telekommunikationspartner |
| TemSeGeneralcounter | TemSe-Zähler |
| Titel | Titel |
| Benutzer | Benutzer |
ADMIN Syslog
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es manuell zur systemconfig.json Datei hinzufügen. Dieses Protokoll wird bei Verwendung des empfohlenen Verfahrens zum Installieren des Datenkonnektor-Agents aus dem Portal nicht unterstützt.
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPOS_Syslog
Verwandte SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Zeichnet alle SAP NetWeaver Application Server (SAP NetWeaver AS)-Systemfehler, Warnungen, Benutzersperrungen aufgrund fehlgeschlagener Anmeldeversuche bekannter Benutzer auf und verarbeitet Nachrichten.
Verfügbar vom SAP Control-Webdienst. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPOS_Syslog_CL
| Feld | BESCHREIBUNG |
|---|---|
| ClientID | ABAP-Client-ID (MANDT) |
| Gastgeber | Gastgeber |
| Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | Meldungsnummer |
| Nachrichtentext | Meldungstext |
| severity | Meldungsschweregrad, einer der folgenden Werte: Debug, Info, Warning, Error |
| SystemID | System-ID |
| Systemnummer | Systemnummer |
| TransacationCode | Transaktionscode |
| Typ | SAP-Prozesstyp |
| Benutzer | Benutzer |
ABAP-Workflowprotokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPWorkflowLog
Verwandte SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Mit dem SAP Business Workflow (WebFlow Engine) können Sie Geschäftsprozesse definieren, die noch nicht im SAP-System zugeordnet sind.
Beispielsweise können nicht zugeordnete Geschäftsprozesse einfache Freigabe- oder Genehmigungsverfahren oder komplexere Geschäftsprozesse wie das Erstellen von Basismaterial sein und dann die zugehörigen Abteilungen koordinieren.
Verfügbar über RFC, basierend auf SAP-Standardtabellen. Dieses Protokoll wird clientbezogen generiert.
Schema des Protokolls ABAPWorkflowLog_CL
| Feld | BESCHREIBUNG |
|---|---|
| ActualAgent | Tatsächlicher Agent |
| Adresse | Adresse |
| ApplicationArea | Anwendungsbereich |
| CallbackFunction | Rückruffunktion |
| ClientID | ABAP-Client-ID (MANDT) |
| Erstellungsdatum und -zeit | Erstellungsdatum/-uhrzeit |
| Schöpfer | Schöpfer |
| CreatorAddress | Adresse des Erstellers |
| Fehlertyp | Fehlertyp |
| ExceptionforMethod | Ausnahme für Methode |
| Gastgeber | Gastgeber |
| Instanz | ABAP-Instanz (HOST_SYSID_SYSNR) in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| Sprache | Sprache |
| LogCounter | Protokollzähler |
| MessageNumber | Meldungsnummer |
| Nachrichtentyp | Nachrichtentyp |
| MethodUser | Methodenbenutzer |
| Priorität | Priorität |
| SimpleContainer | Einfacher Container, verpackt als Liste der Schlüsselwertentitäten für die Arbeitsaufgabe |
| Der Status | Der Status |
| SuperWI | Superarbeitselement |
| SystemID | System-ID |
| Systemnummer | Systemnummer |
| TaskID | Aufgaben-ID |
| TasksClassification | Aufgabenklassifizierungen |
| TaskText | Aufgabentext |
| TopTaskID | ID der wichtigsten Aufgabe |
| UserCreated | Vom Benutzer erstellt |
| WIText | Arbeitselementtext |
| WIType | Arbeitsaufgabentyp |
| WorkflowAction | Workflow-Aktion |
| WorkItemID | ID des Arbeitselements |
ABAP WorkProcess-Protokoll
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es manuell zur systemconfig.json Datei hinzufügen. Dieses Protokoll wird bei Verwendung des empfohlenen Verfahrens zum Installieren des Datenkonnektor-Agents aus dem Portal nicht unterstützt.
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPOS_WP
Verwandte SAP-Dokumentation: SAP-Hilfeportal
Protokollzweck: Kombiniert alle Arbeitsprozessprotokolle. (Standard:
dev_*).Verfügbar vom SAP Control-Webdienst. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPOS_WP_CL
| Feld | BESCHREIBUNG |
|---|---|
| Gastgeber | Gastgeber |
| Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| Nachrichtentext | Meldungstext |
| severity | Schweregrad der Meldung: Debug, Info, Warning, Error |
| SystemID | System-ID |
| Systemnummer | Systemnummer |
| WPNumber | Arbeitsprozessnummer |
HANA DB-Überwachungsprotokoll
Das Sammeln des HANA DB Audit Trail-Protokolls ist ein Beispiel für die Erfassung von Datenbankebenenaktivitäten durch Microsoft Sentinel. Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie Azure Monitor Agent bereitstellen , um Syslog-Daten vom Computer zu sammeln, auf dem HANA DB ausgeführt wird.
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPSyslog
Verwandte SAP-Dokumentation: Allgemeiner | Audit Trail
Protokollzweck: Zeichnet Benutzeraktionen auf oder versuchte Aktionen in der SAP HANA-Datenbank. Ermöglicht Ihnen beispielsweise, den Lesezugriff auf vertrauliche Daten zu protokollieren und zu überwachen.
Verfügbar vom Microsoft Sentinel Linux-Agent für Syslog. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls Syslog
| Feld | BESCHREIBUNG |
|---|---|
| Rechner | Hostname |
| HostIP | Host-IP |
| Rechnername | Hostname |
| Prozess-ID | Prozess-ID |
| ProcessName | Prozessname: HDB* |
| Schweregradstufe | Warnung |
| SourceSystem | Betriebssystem des Quellsystems: Linux |
| Syslog-Nachricht | Meldung, eine nicht analysierte Überwachungsprotokollmeldung |
JAVA-Dateien
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es manuell zur systemconfig.json Datei hinzufügen. Dieses Protokoll wird bei Verwendung des empfohlenen Verfahrens zum Installieren des Datenkonnektor-Agents aus dem Portal nicht unterstützt.
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPJAVAFilesLogs
Verwandte SAP-Dokumentation: General | Java Security Audit Log
Protokollzweck: Kombiniert alle java-dateienbasierten Protokolle, einschließlich des Sicherheitsüberwachungsprotokolls und des Systems (Cluster- und Serverprozess), Leistungs- und Gatewayprotokolle. Enthält auch Entwicklerablaufverfolgungs- und Standardablaufverfolgungs-Protokolle.
Verfügbar vom SAP Control-Webdienst. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls JavaFilesLogsCL
| Feld | BESCHREIBUNG |
|---|---|
| Anwendung | Java-Anwendung |
| ClientID | Client-ID |
| CSNComponent | CSN-Komponente, z. B. BC-XI-IBD |
| DCComponent | DC-Komponente, z. B. com.sap.xi.util.misc |
| DSRCounter | DSR-Zähler |
| DSRRootContentID | DSR-Kontext-GUID |
| DSRTransaction | DSR-Transaktions-GUID |
| Gastgeber | Gastgeber |
| Instanz | Java-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
| Standort | Java-Klasse |
| LogName | Java-Protokollname, z. B.: Available, defaulttrace, dev*, security usw. |
| Nachrichtentext | Meldungstext |
| MNo | Meldungsnummer |
| Pid | Prozess-ID |
| Programm | Programmname |
| Sitzung | Sitzung |
| severity | Schweregrad der Meldung einschließlich: Debug, Info, Warning, Error |
| Lösung | Lösung |
| SystemID | System-ID |
| Systemnummer | Systemnummer |
| Threadname | Threadname |
| Geworfen | Ausgelöste Ausnahme |
| Zeitzone | Zeitzone |
| Benutzer | Benutzer |
SAP-Heartbeatprotokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPConnectorHealth
Protokollzweck: Stellt Takt- und andere Integritätsinformationen zur Konnektivität zwischen den Agents und den verschiedenen SAP-Systemen bereit.
Wird automatisch für alle Agents von Microsoft Sentinel für den SAP-Connector erstellt.
SAP_HeartBeat_CL-Protokollschema
| Feld | BESCHREIBUNG |
|---|---|
| Zeitpunkt der Generierung | Zeitpunkt des Protokollierungsereignisses |
| agent_id_s | Agent-ID in der Agent-Konfiguration (automatisch generiert) |
| agent_ver_s | Agent-Version |
| host_s | Hostname des Agents |
| system_id_s | NetWeaver ABAP-System-ID/ NetWeaver SAPControl-Host (Vorschau)/ Java SAPControl-Host (Vorschau) |
| push_timestamp_d | Zeitstempel der Extraktion gemäß der Zeitzone des Agents |
| agent_timezone_s | Zeitzone des Agents |
Referenz von Tabellen, die direkt aus SAP-Systemen abgerufen wurden
In diesem Abschnitt werden die Datentabellen aufgeführt, die direkt aus dem SAP-System abgerufen und unverändert in Microsoft Sentinel erfasst werden.
Die aus diesen Tabellen abgerufenen Daten bietet eine Übersicht über die Autorisierungsstruktur, Gruppenmitgliedschaft und Benutzerprofile. Außerdem können Sie Autorisierungsgenehmigungen und -widerrufe nachverfolgen sowie die Risiken bestimmen, die mit diesen Prozessen zusammenhängen.
Die unten aufgeführten Tabellen sind erforderlich, um Funktionen zu aktivieren, die privilegierte Benutzer identifizieren sowie Benutzer zu Rollen, Gruppen und Autorisierungen zuordnen.
Optimale Ergebnisse finden Sie in den folgenden Tabellen unter Verwendung des Namens in der Spalte "Microsoft Sentinel-Funktionsname " in der folgenden Tabelle:
| Tabellenname | Tabellenbeschreibung | Microsoft Sentinel-Funktionsname |
|---|---|---|
| USR01 | Benutzermasterdatensatz (Laufzeitdaten) | SAP_USR01 |
| USR02 | Anmeldedaten (kernelseitige Verwendung) | SAP_USR02 |
| UST04 | Benutzermaster Zuordnen von Benutzern zu Profilen |
SAP_UST04 |
| AGR_USERS | Zuweisen von Rollen zu Benutzern | SAP_AGR_USERS |
| AGR_1251 | Autorisierungsdaten für die Aktivitätsgruppe | SAP_AGR_1251 |
| USGRP_USER | Zuweisen von Benutzern zu Benutzergruppen | SAP_USGRP_USER |
| USR21 | Benutzername/Adresstastenzuweisung | SAP_USR21 |
| ADR6 | E-Mail-Adressen (Geschäftsadressendienste) | SAP_ADR6 |
| USR-Stempel | Zeitstempel für alle Änderungen am Benutzer | SAP_USRSTAMP |
| ADCP | Person/ Adresszuweisung (Geschäftsadressendienste) | SAP_ADCP |
| USR05 | Parameter-ID des Benutzermasters | SAP_USR05 |
| AGR_PROF | Profilname der Rolle | SAP_AGR_PROF |
| AGR_FLAGS | Rollenattribute | SAP_AGR_FLAGS |
| DEVACCESS | Tabelle für den Entwicklungsbenutzer | SAP_DEVACCESS |
| AGR_DEFINE | Rollendefinition | SAP_AGR_DEFINE |
| AGR_AGRS | Rollen in zusammengesetzten Rollen | SAP_AGR_AGRS |
| PAHI | Verlauf der System-, Datenbank- und SAP-Parameter | SAP_PAHI |
| SNCSYSACL (VORSCHAU) | SNC Access Control List (ACL): Systeme | SAP_SNCSYSACL |
| USRACL (VORSCHAU) | SNC Access Control List (ACL): Benutzer | SAP_USRACL |
Zugehöriger Inhalt
Weitere Informationen finden Sie unter: