Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen los registros y tablas disponibles como parte de la solución de Microsoft Sentinel para las aplicaciones de SAP y su conector de datos.
Algunos registros, que se indican en este artículo, no se envían a Microsoft Sentinel de forma predeterminada, pero puede agregarlos manualmente según sea necesario. Para obtener más información, consulte Definición de los registros de SAP que se envían a Microsoft Sentinel
El contenido de este artículo está destinado a los equipos de SAP BASIS .
Importante
Las características anotadas están actualmente en versión preliminar. Los términos complementarios de Azure Preview incluyen términos legales adicionales que se aplican a Azure características que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.
Uso de funciones en las consultas en lugar de registros o tablas subyacentes
Se recomienda encarecidamente usar las funciones disponibles como sujetos de su análisis siempre que sea posible, en lugar de los registros o tablas subyacentes.
Las funciones proporcionadas con la solución Microsoft Sentinel para aplicaciones SAP están diseñadas para servir como interfaz de usuario principal para los datos. Constituyen la base de todas las reglas y libros de análisis integrados disponibles de forma inmediata. El uso de funciones permite realizar cambios en la infraestructura de datos debajo de las funciones, sin interrumpir el contenido creado por el usuario.
Para obtener más información, consulte Microsoft Sentinel solución para aplicaciones SAP: referencia de funciones y Funciones en Azure Supervisión de consultas de registro.
Cobertura de registro
La solución Microsoft Sentinel para aplicaciones SAP recopila registros de las capas de aplicación, sistema operativo y datos, lo que proporciona una protección completa para el sistema SAP:
Capa de aplicación: Microsoft Sentinel supervisa las actividades dentro de la capa de ABAP, que es la capa de aplicación principal de los sistemas SAP, responsable de ejecutar la lógica de negocios y procesar transacciones. Por ejemplo, Microsoft Sentinel recopila registros que incluyen acciones de usuario, como inicios de sesión, cambios de contraseña y acceso a informes o archivos.
Además de la supervisión de seguridad, los registros recopilados en la capa de aplicación también se pueden usar con fines de cumplimiento y auditoría.
Capa del sistema operativo: Microsoft Sentinel recopila registros del sistema operativo para proporcionar información sobre las actividades de nivel de sistema operativo, como desde el servidor ABAP y las máquinas virtuales en las que se ejecutan las aplicaciones de SAP.
Use la solución Microsoft Sentinel para las aplicaciones de SAP junto con el contenido de seguridad y los conectores de datos para los demás servicios para una supervisión completa y centralizada, correlacionando la información en todos los sistemas y mejorando la posición de seguridad general.
Capa de base de datos: ingiera registros de base de datos en Microsoft Sentinel para supervisar las actividades de la base de datos, como las actividades de administración de bases de datos y los cambios en los datos de la tabla. La solución Microsoft Sentinel para aplicaciones SAP es independiente de la base de datos.
Todos los registros recopilados por el agente del conector de datos se almacenan primero en la máquina del agente del recopilador de datos, en la /opt/sapcon/<sid>/log carpeta de la instancia de contenedor. A continuación, los registros se reenvía al área de trabajo de Log Analytics, donde puede verlos, auditarlos y consultarlos desde Microsoft Sentinel.
Los registros de auditoría se recopilan e ingieren cada minuto, mientras que otros registros se pueden ingerir con menos frecuencia. Microsoft Sentinel también supervisa el latido del agente del conector de datos para asegurarse de que los registros se recopilan y envían al área de trabajo de Log Analytics.
Registros recopilados por el conector de datos sin agente
El conector de datos sin agente recopila las siguientes tablas integradas de Log Analytics:
Referencia de registro para el agente del conector de datos
En las secciones siguientes se describen los registros de SAP disponibles en la solución de Microsoft Sentinel para el conector de datos de aplicaciones de SAP, incluidos los nombres de tabla de Microsoft Sentinel, los fines de registro y los esquemas de registro detallados.
Las descripciones de campos de esquema se basan en las descripciones de campo de la documentación de SAP pertinente.
- Registro de aplicación de ABAP
- Registro de documentos de cambios de ABAP
- Registro de CR de ABAP
- Registro de datos de tabla de base de datos de ABAP (VERSIÓN PRELIMINAR)
- Registro de puerta de enlace de ABAP (VERSIÓN PRELIMINAR)
- Registro de ABAP ICM (VERSIÓN PRELIMINAR)
- Registro de trabajos de ABAP
- Registro de auditoría de seguridad de ABAP
- Registro de Spool de ABAP
- Registro de salida de Spool de APAB
- ABAP SysLog
- Registro de flujo de trabajo de ABAP
- Registro workprocess de ABAP
- Seguimiento de auditoría de la base de datos de HANA
- Archivos JAVA
- Registro de latidos de SAP
Registro de aplicación de ABAP
Microsoft Sentinel función para consultar este registro: SAPAppLog
Documentación relacionada de SAP: Portal de ayuda de SAP
Propósito del registro: registra el progreso de la ejecución de una aplicación para que pueda reconstruirla más adelante según sea necesario.
Disponible mediante RFC basado en la tabla sap estándar y los servicios estándar de la interfaz XBP. Este registro se genera por cliente.
Este registro solo se ingiere con el agente del conector de datos.
esquema de registro de ABAPAppLog_CL
| Campo | Description |
|---|---|
| AppLogDateTime | Fecha y hora del registro de la aplicación |
| CallbackProgram | Programa de devolución de llamada |
| CallbackRoutine | Rutina de devolución de llamada |
| CallbackType | Tipo de devolución de llamada |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| ContextDDIC | Estructura de DDIC de contexto |
| ExternalID | Identificador de registro externo |
| Host | Host |
| Instancia | Instancia de ABAP, en la sintaxis siguiente: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | Serie del mensaje de registro de aplicación |
| LevelofDetail | Nivel de detalle |
| LogHandle | Identificador del registro de aplicaciones |
| LogNumber | Número de registro |
| MessageClass | Clase de mensaje |
| MessageNumber | Número de mensaje |
| MessageText | Texto del mensaje |
| MessageType | Tipo de mensaje |
| Objeto | Objeto de registro de aplicación |
| OperationMode | Modo de operación |
| ProblemClass | Clase de problema |
| ProgramName | Nombre del programa |
| SortCriterion | Criterio de ordenación |
| StandardText | Standard texto |
| SubObject | Subobjeto de registro de aplicación |
| SystemID | Id. del sistema |
| SystemNumber | Número del sistema |
| TransactionCode | Código de transacción |
| Usuario | Usuario |
| UserChange | Cambio de usuario |
Registro de documentos de cambios de ABAP
Microsoft Sentinel función para consultar este registro: SAPChangeDocsLog
Documentación relacionada de SAP: Portal de ayuda de SAP
Propósito del registro: Registros:
Cambios en el registro de ABAP de SAP NetWeaver Application Server (AS) en objetos de datos empresariales en documentos de cambio.
Otras entidades del sistema SAP, como datos de usuario, roles y direcciones.
Disponible mediante RFC basado en tablas sap estándar. Este registro se genera por cliente.
esquema de registro de ABAPChangeDocsLog_CL
| Campo | Description |
|---|---|
| ActualChangeNum | Número de cambio real |
| ChangedTableKey | Clave de tabla modificada |
| ChangeNumber | Cambiar número |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| CreatedfromPlannedChange | Creado a partir del cambio planeado, en la sintaxis siguiente: (‘X’ , ‘ ‘) |
| CurrencyKeyNew | Clave de moneda: nuevo valor |
| CurrencyKeyOld | Clave de moneda: valor antiguo |
| FieldName | Nombre del campo |
| FlagText | Texto de marca |
| Host | Host |
| Instancia | Instancia de ABAP, en la sintaxis siguiente: <HOST>_<SYSID>_<SYSNR> |
| Idioma | Idioma |
| ObjectClass | Clase de objeto, como BELEG, BPAR, , PFCGIDENTITY |
| ObjectID | Id. de objeto |
| PlannedChangeNum | Número de cambio planeado |
| SystemID | Id. del sistema |
| SystemNumber | Número del sistema |
| TableName | Nombre de tabla |
| TransactionCode | Código de transacción |
| TypeofChange_Header | Tipo de encabezado de cambio, incluido: U = Cambiar; I = Insertar; E = Eliminar un solo docu; D = Eliminar; J = Insertar un solo docu |
| TypeofChange_Item | Tipo de elemento de cambio, incluido: U = Cambiar; I = Insertar; E = Eliminar un solo docu; D = Eliminar; J = Insertar un solo docu |
| UOMNew | Unidad de medida: nuevo valor |
| UOMOld | Unidad de medida: valor antiguo |
| Usuario | Usuario |
| ValueNew | Contenido del campo: nuevo valor |
| ValueOld | Contenido del campo: valor antiguo |
| Versión | Versión |
Registro de CR de ABAP
Microsoft Sentinel función para consultar este registro: SAPCRLog
Documentación relacionada de SAP: Portal de ayuda de SAP
Propósito del registro: incluye los registros del sistema de transporte de & de cambios (CTS), incluidos los objetos de directorio y las personalizaciones donde se realizaron los cambios.
Disponible mediante RFC basado en tablas estándar y servicios sap estándar. Este registro se genera con datos en todos los clientes.
Nota:
Además del registro de aplicaciones, los documentos de cambio y la grabación de tablas, todos los cambios que realice en el sistema de producción mediante change & transport system se documentan en los registros CTS y TMS.
esquema de registro de ABAPCRLog_CL
| Campo | Description |
|---|---|
| Categoría | Categoría (Workbench, Customizing) |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| Descripción | Descripción |
| Host | Host |
| Instancia | Instancia de ABAP, en la sintaxis siguiente: <HOST>_<SYSID>_<SYSNR> |
| ObjectName | Nombre del objeto |
| ObjectType | Tipo de objeto |
| Owner | Owner |
| Solicitud | Solicitud de cambio |
| Estado | Estado |
| SystemID | Id. del sistema |
| SystemNumber | Número del sistema |
| TableKey | Clave de tabla |
| TableName | Nombre de tabla |
| ViewName | Nombre de vista |
Registro de datos de tabla de base de datos de ABAP (VERSIÓN PRELIMINAR)
Para que este registro se envíe a Microsoft Sentinel, debe agregarlo manualmente al archivo systemconfig.json. Este registro no se admite cuando se usa el procedimiento recomendado para instalar el agente del conector de datos desde el portal.
Microsoft Sentinel función para consultar este registro: SAPTableDataLog
Documentación relacionada de SAP: Portal de ayuda de SAP
Propósito del registro: proporciona el registro de las tablas críticas o susceptibles a auditorías.
Disponible mediante RFC con un servicio personalizado. Este registro se genera con datos en todos los clientes.
esquema de registro de ABAPTableDataLog_CL
| Campo | Description |
|---|---|
| DBLogID | Id. de registro de base de datos |
| Host | Host |
| Instancia | Instancia de ABAP, en la sintaxis siguiente: <HOST>_<SYSID>_<SYSNR> |
| Idioma | Idioma |
| LogKey | Clave de registro |
| NewValue | Campo nuevo valor |
| OldValue | Valor antiguo del campo |
| OperationTypeSQL | Tipo de operación, Insert, , UpdateDelete |
| Programa | Nombre del programa |
| SystemID | Id. del sistema |
| SystemNumber | Número del sistema |
| TableField | Campo Tabla |
| TableName | Nombre de tabla |
| TransactionCode | Código de transacción |
| UserName | Usuario |
| VersionNumber | Número de versión |
Registro de puerta de enlace de ABAP (VERSIÓN PRELIMINAR)
Para que este registro se envíe a Microsoft Sentinel, debe agregarlo manualmente al archivo systemconfig.json. Este registro no se admite cuando se usa el procedimiento recomendado para instalar el agente del conector de datos desde el portal.
función Microsoft Sentinel para consultar este registro: SAPOS_GW
Documentación relacionada de SAP: Portal de ayuda de SAP
Propósito del registro: supervisa las actividades de puerta de enlace. Disponible por el servicio web de control de SAP. Este registro se genera con datos en todos los clientes.
esquema de registro de ABAPOS_GW_CL
| Campo | Description |
|---|---|
| Host | Host |
| Instancia | Instancia de ABAP, en la sintaxis siguiente: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Texto del mensaje |
| Severity | Gravedad del mensaje: Debug, Info, Warning, , Error |
| SystemID | Id. del sistema |
| SystemNumber | Número del sistema |
Registro de ABAP ICM (VERSIÓN PRELIMINAR)
Para que este registro se envíe a Microsoft Sentinel, debe agregarlo manualmente al archivo systemconfig.json. Este registro no se admite cuando se usa el procedimiento recomendado para instalar el agente del conector de datos desde el portal.
Microsoft Sentinel función para consultar este registro: SAPOS_ICM
Documentación relacionada de SAP: Portal de ayuda de SAP
Propósito del registro: registra las solicitudes entrantes y salientes y compila las estadísticas de las solicitudes HTTP.
Disponible por el servicio web de control de SAP. Este registro se genera con datos en todos los clientes.
esquema de registro de ABAPOS_ICM_CL
| Campo | Description |
|---|---|
| Host | Host |
| Instancia | Instancia de ABAP, en la sintaxis siguiente: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Texto del mensaje |
| Severity | Gravedad del mensaje, incluidos : Debug, Info, , WarningError |
| SystemID | Id. del sistema |
| SystemNumber | Número del sistema |
Registro de trabajos de ABAP
Microsoft Sentinel función para consultar este registro: SAPJobLog
Documentación relacionada de SAP: Portal de ayuda de SAP
Propósito del registro: combina todos los registros de trabajos de procesamiento en segundo plano (SM37).
Disponible mediante RFC basado en la tabla sap estándar y los servicios estándar de las interfaces XBP. Este registro se genera con datos en todos los clientes.
esquema de registro de ABAPJobLog_CL
| Campo | Description |
|---|---|
| ABAPProgram | Programa ABAP |
| BgdEventParameters | Parámetros de eventos en segundo plano |
| BgdProcessingEvent | Evento de procesamiento en segundo plano |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| DynproNumber | Número de Dynpro |
| GUIStatus | Estado de la GUI |
| Host | Host |
| Instancia | Instancia de ABAP (HOST_SYSID_SYSNR), en la sintaxis siguiente: <HOST>_<SYSID>_<SYSNR> |
| JobClassification | Clasificación de trabajos |
| JobCount | Recuento de trabajos |
| JobGroup | Grupo de trabajos |
| JobName | Nombre de trabajo |
| JobPriority | Prioridad del trabajo |
| MessageClass | Clase de mensaje |
| MessageNumber | Número de mensaje |
| MessageText | Texto del mensaje |
| MessageType | Tipo de mensaje |
| ReleaseUser | Usuario de la versión de trabajo |
| SchedulingDateTime | Fecha y hora de programación |
| StartDateTime | Hora de la fecha de inicio |
| SystemID | Id. del sistema |
| SystemNumber | Número del sistema |
| TargetServer | Servidor de destino |
| Usuario | Usuario |
| UserReleaseInstance | Instancia de ABAP: versión de usuario |
| WorkProcessID | Identificador de proceso de trabajo |
| WorkProcessNumber | Número de proceso de trabajo |
Registro de auditoría de seguridad de ABAP
Microsoft Sentinel función para consultar este registro: SAPAuditLog
Documentación relacionada de SAP: Portal de ayuda de SAP
Propósito del registro: registra los siguientes datos:
- Cambios relacionados con la seguridad en el entorno del sistema SAP, como cambios en los registros de usuario principales
- Información que proporciona un mayor nivel de datos, como intentos de inicio de sesión correctos e incorrectos
- Información que permite la reconstrucción de una serie de eventos, como inicios de transacciones correctas o incorrectas
Disponible mediante interfaces XAL/SAL de RFC. SAL está disponible a partir de la versión Basis 7.50. Este registro se genera con datos en todos los clientes.
esquema de registro de ABAPAuditLog_CL
| Campo | Description |
|---|---|
| ABAPProgramName | Nombre del programa, solo SAL |
| AlertSeverity | Gravedad de la alerta |
| AlertSeverityText | Texto de gravedad de alerta, solo SAL |
| AlertValue | Valor de alerta |
| AuditClassID | Id. de clase de auditoría, solo SAL |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| Equipo | Máquina de usuario, solo SAL |
| Correo electrónico | Correo electrónico del usuario |
| Host | Host |
| Instancia | Instancia de ABAP, en la sintaxis siguiente: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | Clase de mensaje |
| MessageContainerID | Identificador de contenedor de mensajes, solo XAL |
| MessageID | Identificador de mensaje, como ‘AU1’,’AU2’… |
| MessageText | Texto del mensaje |
| MonitoringObjectName | Nombre de objeto de MTE Monitor, solo XAL |
| MonitorShortName | Nombre corto de MTE Monitor, solo XAL |
| SAPProcessType | Registro del sistema: tipo de proceso de SAP, solo SAL |
| B* - Procesamiento en segundo plano | |
| D* - Procesamiento de cuadros de diálogo | |
| U* - Actualizar tareas | |
| SAPWPName | Registro del sistema: número de proceso de trabajo, solo SAL |
| SystemID | Id. del sistema |
| SystemNumber | Número del sistema |
| TerminalIPv6 | Ip del equipo de usuario, solo SAL |
| TransactionCode | Código de transacción, solo SAL |
| Usuario | Usuario |
| Variable1 | Variable de mensaje 1 |
| Variable2 | Variable de mensaje 2 |
| Variable3 | Variable de mensaje 3 |
| Variable4 | Variable de mensaje 4 |
Registro de Spool de ABAP
Microsoft Sentinel función para consultar este registro: SAPSpoolLog
Documentación relacionada de SAP: Portal de ayuda de SAP
Propósito del registro: actúa como el registro principal para la impresión de SAP con el historial de solicitudes de cola. (SP01).
Disponible mediante RFC basado en la tabla SAP estándar. Este registro se genera con datos en todos los clientes.
esquema de registro de ABAPSpoolLog_CL
| Campo | Description |
|---|---|
| ArchiveStatus | estado de Archivo |
| ArchiveType | Archivo tipo |
| ArchivadoDispositivo | Dispositivo de archivado |
| Autorrereoute | Reenrute automático |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| CountryKey | Clave de país o región |
| DeleteSpoolRequestAuto | Eliminación automática de la solicitud de cola |
| DelFlag | Marca de eliminación |
| Departamento | Departamento |
| DocumentType | Tipo de documento |
| ExternalMode | Modo externo |
| FormatType | Tipo de formato |
| Host | Host |
| Instancia | Instancia de ABAP, en la sintaxis siguiente: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | Número de copias |
| OutputDevice | Dispositivo de salida |
| PrinterLongName | Nombre largo de la impresora |
| PrintImmediately | Imprimir inmediatamente |
| PrintOSCoverPage | Imprimir página de OSCover |
| PrintSAPCoverPage | Página Imprimir SAPCover |
| Prioridad | Prioridad |
| RecipientofSpoolRequest | Destinatario de la solicitud de cola |
| SpoolErrorStatus | Estado de error del grupo de trabajos |
| SpoolRequestCompleted | Solicitud de Spool completada |
| SpoolRequestisALogForAnotherRequest | La solicitud Spool es un registro para otra solicitud. |
| SpoolRequestName | Nombre de solicitud de Spool |
| SpoolRequestNumber | Número de solicitud de Spool |
| SpoolRequestSuffix1 | Sufijo de solicitud Spool1 |
| SpoolRequestSuffix2 | Sufijo de solicitud Spool2 |
| SpoolRequestTitle | Título de la solicitud de Spool |
| SystemID | Id. del sistema |
| SystemNumber | Número del sistema |
| TelecomunicacionesPartner | Asociado de telecomunicaciones |
| TelecomunicacionesPartnerE | Socio de telecomunicaciones E |
| TemSeGeneralcounter | Contador de Temse |
| TemseNumAddProtectionRule | Número de temse agregar regla de protección |
| TemseNumChangeProtectionRule | Regla de protección de cambio de número de Temse |
| TemseNumDeleteProtectionRule | Regla de protección de eliminación de números de Temse |
| TemSeObjectName | Nombre del objeto Temse |
| TemSeObjectPart | Elemento de objeto TemSe |
| TemseReadProtectionRule | Regla de protección de lectura de Temse |
| Usuario | Usuario |
| ValueAuthCheck | Comprobación de autenticación de valor |
Registro de salida de Spool de APAB
Microsoft Sentinel función para consultar este registro: SAPSpoolOutputLog
Documentación relacionada de SAP: Portal de ayuda de SAP
Propósito del registro: actúa como el registro principal para la impresión de SAP con el historial de solicitudes de salida de cola. (SP02).
Disponible mediante RFC con un servicio personalizado basado en tablas estándar. Este registro se genera con datos en todos los clientes.
esquema de registro de ABAPSpoolOutputLog_CL
| Campo | Description |
|---|---|
| AppServer | Servidor de aplicaciones |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| Comentario | Comentario |
| CopyCount | Recuento de copias |
| CopyCounter | Contador de copia |
| Departamento | Departamento |
| ErrorSpoolRequestNumber | Número de solicitud de error |
| FormatType | Tipo de formato |
| Host | Host |
| HostName | Nombre de host |
| HostSpoolerID | Identificador de cola de host |
| Instancia | Instancia de ABAP |
| LastPage | Última página |
| NumofCopies | Número de copias |
| OutputDevice | Dispositivo de salida |
| OutputRequestNumber | Número de solicitud de salida |
| OutputRequestStatus | Estado de la solicitud de salida |
| PhysicalFormatType | Tipo de formato físico |
| PrinterLongName | Nombre largo de la impresora |
| PrintRequestSize | Tamaño de solicitud de impresión |
| Prioridad | Prioridad |
| ReasonforOutputRequest | Motivo de la solicitud de salida |
| RecipientofSpoolRequest | Destinatario de la solicitud de cola |
| SpoolNumberofOutputReqProcessed | Número de solicitudes de salida: procesadas |
| SpoolNumberofOutputReqWithErrors | Número de solicitudes de salida: con errores |
| SpoolNumberofOutputReqWithProblems | Número de solicitudes de salida: con problemas |
| SpoolRequestNumber | Número de solicitud de Spool |
| StartPage | Página de inicio |
| SystemID | Id. del sistema |
| SystemNumber | Número del sistema |
| TelecomunicacionesPartner | Asociado de telecomunicaciones |
| TemSeGeneralcounter | Contador de Temse |
| Título | Título |
| Usuario | Usuario |
ABAP Syslog
Para que este registro se envíe a Microsoft Sentinel, debe agregarlo manualmente al archivo systemconfig.json. Este registro no se admite cuando se usa el procedimiento recomendado para instalar el agente del conector de datos desde el portal.
función Microsoft Sentinel para consultar este registro: SAPOS_Syslog
Documentación relacionada de SAP: Portal de ayuda de SAP
Propósito de registro: registra todos los errores del sistema ABAP de SAP NetWeaver Application Server (SAP NetWeaver AS), advertencias, bloqueos de usuario debido a intentos de inicio de sesión erróneos de usuarios conocidos y mensajes de proceso.
Disponible por el servicio web de control de SAP. Este registro se genera con datos en todos los clientes.
esquema de registro de ABAPOS_Syslog_CL
| Campo | Description |
|---|---|
| ClientID | Identificador de cliente de ABAP (MANDT) |
| Host | Host |
| Instancia | Instancia de ABAP, en la sintaxis siguiente: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | Número de mensaje |
| MessageText | Texto del mensaje |
| Severity | Gravedad del mensaje, uno de los siguientes valores: Debug, Info, Warning, Error |
| SystemID | Id. del sistema |
| SystemNumber | Número del sistema |
| TransacationCode | Código de transacción |
| Tipo | Tipo de proceso de SAP |
| Usuario | Usuario |
Registro de flujo de trabajo de ABAP
Microsoft Sentinel función para consultar este registro: SAPWorkflowLog
Documentación relacionada de SAP: Portal de ayuda de SAP
Propósito del registro: sap business workflow (motor de WebFlow) permite definir procesos empresariales que aún no están asignados en el sistema SAP.
Por ejemplo, los procesos empresariales no asignados pueden ser procedimientos simples de liberación o aprobación, o procesos empresariales más complejos, como la creación de material base y la coordinación de los departamentos asociados.
Disponible mediante RFC basado en tablas sap estándar. Este registro se genera por cliente.
esquema de registro de ABAPWorkflowLog_CL
| Campo | Description |
|---|---|
| ActualAgent | Agente real |
| Dirección | Dirección |
| ApplicationArea | Área de aplicación |
| CallbackFunction | Función de devolución de llamada |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| CreationDateTime | Fecha de creación |
| Creator | Creator |
| CreatorAddress | Dirección del creador |
| ErrorType | Tipo de error |
| ExceptionforMethod | Excepción para el método |
| Host | Host |
| Instancia | Instancia de ABAP (HOST_SYSID_SYSNR), en la sintaxis siguiente: <HOST>_<SYSID>_<SYSNR> |
| Idioma | Idioma |
| LogCounter | Contador de registro |
| MessageNumber | Número de mensaje |
| MessageType | Tipo de mensaje |
| MethodUser | Usuario del método |
| Prioridad | Prioridad |
| SimpleContainer | Contenedor simple, empaquetado como una lista de entidades clave-valor para el elemento de trabajo |
| Estado | Estado |
| SuperWI | Super WI |
| SystemID | Id. del sistema |
| SystemNumber | Número del sistema |
| TaskID | Id. de la tarea |
| TasksClassification | Clasificaciones de tareas |
| TaskText | Texto de la tarea |
| TopTaskID | Identificador de tarea superior |
| UserCreated | Usuario creado |
| WIText | Texto del elemento de trabajo |
| WIType | Tipo de elemento de trabajo |
| WorkflowAction | Acción de flujo de trabajo |
| WorkItemID | Identificador de elemento de trabajo |
Registro workprocess de ABAP
Para que este registro se envíe a Microsoft Sentinel, debe agregarlo manualmente al archivo systemconfig.json. Este registro no se admite cuando se usa el procedimiento recomendado para instalar el agente del conector de datos desde el portal.
Microsoft Sentinel función para consultar este registro: SAPOS_WP
Documentación relacionada de SAP: Portal de ayuda de SAP
Propósito del registro: combina todos los registros de procesos de trabajo. (valor predeterminado:
dev_*).Disponible por el servicio web de control de SAP. Este registro se genera con datos en todos los clientes.
esquema de registro de ABAPOS_WP_CL
| Campo | Description |
|---|---|
| Host | Host |
| Instancia | Instancia de ABAP, en la sintaxis siguiente: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Texto del mensaje |
| Severity | Gravedad del mensaje: Debug, Info, Warning, , Error |
| SystemID | Id. del sistema |
| SystemNumber | Número del sistema |
| WPNumber | Número de proceso de trabajo |
Seguimiento de auditoría de la base de datos de HANA
La recopilación del registro de seguimiento de auditoría de base de datos de HANA es un ejemplo de cómo Microsoft Sentinel recopila las actividades de la capa de base de datos. Para que este registro se envíe a Microsoft Sentinel, debe implementar Azure Agente de Supervisión para recopilar datos de Syslog de la máquina que ejecuta HANA DB.
Microsoft Sentinel función para consultar este registro: SAPSyslog
Documentación de SAP relacionada: Seguimiento deauditoría general |
Propósito del registro: registra las acciones del usuario o las acciones que se han intentado en la base de datos de SAP HANA. Por ejemplo, permite registrar y supervisar el acceso de lectura a datos confidenciales.
Disponible por el agente de Microsoft Sentinel Linux para Syslog. Este registro se genera con datos en todos los clientes.
Esquema de registro de Syslog
| Campo | Description |
|---|---|
| Equipo | Nombre de host |
| HostIP | Host IP |
| HostName | Nombre de host |
| ProcessID | Identificador de proceso |
| ProcessName | Nombre del proceso: HDB* |
| SeverityLevel | Alerta |
| SourceSystem | Sistema operativo de origen, Linux |
| SyslogMessage | Mensaje, un mensaje de seguimiento de auditoría sin análisis |
Archivos JAVA
Para que este registro se envíe a Microsoft Sentinel, debe agregarlo manualmente al archivo systemconfig.json. Este registro no se admite cuando se usa el procedimiento recomendado para instalar el agente del conector de datos desde el portal.
Microsoft Sentinel función para consultar este registro: SAPJAVAFilesLogs
Documentación de SAP relacionada: Registro general | de auditoría de seguridad de Java
Propósito del registro: combina todos los registros basados en archivos de Java, incluidos el registro de auditoría de seguridad y el sistema (proceso de clúster y servidor), rendimiento y registros de puerta de enlace. También incluye seguimientos de desarrollador y registros de seguimiento predeterminados.
Disponible por el servicio web de control de SAP. Este registro se genera con datos en todos los clientes.
Esquema de registro de JavaFilesLogsCL
| Campo | Description |
|---|---|
| Aplicación | Aplicación Java |
| ClientID | Id. de cliente |
| CSNComponent | Componente CSN, como BC-XI-IBD |
| DCComponent | Componente de controlador de dominio, como com.sap.xi.util.misc |
| DSRCounter | Contador DSR |
| DSRRootContentID | GUID de contexto de DSR |
| DSRTransaction | GUID de transacción de DSR |
| Host | Host |
| Instancia | Instancia de Java, en la sintaxis siguiente: <HOST>_<SYSID>_<SYSNR> |
| Ubicación | Clase Java |
| LogName | LogName de Java, como : Available, defaulttrace, dev*, , securityetc. |
| MessageText | Texto del mensaje |
| MNo | Número de mensaje |
| Pid | Identificador de proceso |
| Programa | Nombre del programa |
| Sesión | Sesión |
| Severity | Gravedad del mensaje, incluidos: Debug, ,InfoWarningError |
| Solución | Solución |
| SystemID | Id. del sistema |
| SystemNumber | Número del sistema |
| ThreadName | Nombre del subproceso |
| Se ha producido | Excepción iniciada |
| TimeZone | Zona horaria |
| Usuario | Usuario |
Registro de latidos de SAP
Microsoft Sentinel función para consultar este registro: SAPConnectorHealth
Propósito del registro: proporciona latidos y otra información de estado sobre la conectividad entre los agentes y los distintos sistemas SAP.
Se crea automáticamente para los agentes de la Microsoft Sentinel para el conector de datos de SAP.
esquema de registro de SAP_HeartBeat_CL
| Campo | Description |
|---|---|
| TimeGenerated | Hora del evento de publicación del registro |
| agent_id_s | Id. de agente en la configuración del agente (generado automáticamente) |
| agent_ver_s | Versión del agente |
| host_s | Nombre de host del agente |
| system_id_s | Netweaver ABAP System ID / Host SAPControl de Netweaver (versión preliminar) / Host SAPControl de Java (versión preliminar) |
| push_timestamp_d | Marca de tiempo de la extracción, según la zona horaria del agente |
| agent_timezone_s | Zona horaria del agente |
Referencia de tablas recuperadas directamente de sistemas SAP
En esta sección se enumeran las tablas de datos que se recuperan directamente del sistema SAP y se ingieren en Microsoft Sentinel exactamente como están.
Los datos recuperados de estas tablas proporcionan una vista clara de la estructura de autorización, la pertenencia a grupos y los perfiles de usuario. También le permite realizar un seguimiento del proceso de concesiones y revocaciones de autorización, e identificar y controlar los riesgos asociados a esos procesos.
Las tablas que se enumeran a continuación son necesarias para habilitar funciones que identifiquen usuarios con privilegios, asignen usuarios a roles, grupos y autorizaciones.
Para obtener los mejores resultados, consulte estas tablas con el nombre de la columna Microsoft Sentinel nombre de función de la tabla siguiente:
| Nombre de tabla | Descripción de tabla | Microsoft Sentinel nombre de función |
|---|---|---|
| USR01 | Registro maestro de usuario (datos en tiempo de ejecución) | SAP_USR01 |
| USR02 | Datos de inicio de sesión (uso del lado kernel) | SAP_USR02 |
| UST04 | Maestros de usuario Asigna usuarios a perfiles |
SAP_UST04 |
| AGR_USERS | Asignación de roles a usuarios | SAP_AGR_USERS |
| AGR_1251 | Datos de autorización para el grupo de actividad | SAP_AGR_1251 |
| USGRP_USER | Asignación de usuarios a grupos de usuarios | SAP_USGRP_USER |
| USR21 | Asignación de clave de dirección o nombre de usuario | SAP_USR21 |
| ADR6 | direcciones Email (servicios de direcciones de negocio) | SAP_ADR6 |
| USRSTAMP | Marca de tiempo para todos los cambios en el usuario | SAP_USRSTAMP |
| ADCP | Asignación de persona o dirección (servicios de direcciones de negocio) | SAP_ADCP |
| USR05 | Id. de parámetro maestro de usuario | SAP_USR05 |
| AGR_PROF | Nombre del perfil para el rol | SAP_AGR_PROF |
| AGR_FLAGS | Atributos de rol | SAP_AGR_FLAGS |
| DEVACCESS | Tabla para el usuario de desarrollo | SAP_DEVACCESS |
| AGR_DEFINE | Definición del rol | SAP_AGR_DEFINE |
| AGR_AGRS | Roles en roles compuestos | SAP_AGR_AGRS |
| PAHI | Historial de los parámetros del sistema, la base de datos y SAP | SAP_PAHI |
| SNCSYSACL (VERSIÓN PRELIMINAR) | Lista de Access Control de SNC (ACL): Sistemas | SAP_SNCSYSACL |
| USRACL (VERSIÓN PRELIMINAR) | Lista de Access Control (ACL) de SNC: usuario | SAP_USRACL |
Contenido relacionado
Para más información, vea: