Referencia de registro y tabla para la solución Microsoft Sentinel para aplicaciones SAP
En este artículo se describen los registros y tablas disponibles como parte de la solución microsoft Sentinel para aplicaciones de SAP y su conector de datos.
Algunos registros, que se indican en este artículo, no se envían a Microsoft Sentinel de forma predeterminada, pero puede agregarlos manualmente según sea necesario. Para obtener más información, consulte Definición de los registros de SAP que se envían a Microsoft Sentinel.
El contenido de este artículo está destinado a los equipos de SAP BASIS.
Importante
Algunos componentes de la solución de supervisión de amenazas de Microsoft Sentinel para SAP están actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Uso de funciones en las consultas en lugar de registros o tablas subyacentes
Se recomienda encarecidamente usar funciones disponibles como temas de su análisis siempre que sea posible, en lugar de los registros o tablas subyacentes.
Las funciones proporcionadas con la solución Microsoft Sentinel para aplicaciones SAP están diseñadas para servir como interfaz de usuario principal para los datos. Conforman la base de todas las reglas y libros de análisis integrados disponibles de forma integrada. El uso de funciones permite realizar cambios en la infraestructura de datos debajo de las funciones, sin interrumpir el contenido creado por el usuario.
Para más información, consulte Solución de Microsoft Sentinel para aplicaciones sap: referencia de funciones y Funciones en consultas de registro de Azure Monitor.
Cobertura de registros
La solución Microsoft Sentinel para aplicaciones sap recopila registros de las capas de aplicación, sistema operativo y datos, lo que proporciona una protección completa para el sistema SAP:
Capa de aplicación: Microsoft Sentinel supervisa las actividades dentro de la capa de ABAP, que es la capa de aplicación principal de los sistemas SAP, responsable de ejecutar la lógica de negocios y procesar transacciones. Por ejemplo, Microsoft Sentinel recopila registros que incluyen acciones de usuario como inicios de sesión, cambios de contraseña y acceso a informes o archivos.
Además de la supervisión de seguridad, los registros recopilados en el nivel de aplicación también se pueden usar con fines de cumplimiento y auditoría.
Capa de sistema operativo: Microsoft Sentinel recopila registros del sistema operativo para proporcionar información sobre las actividades de nivel de sistema operativo, como desde el servidor ABAP y las máquinas virtuales en las que se ejecutan las aplicaciones de SAP.
Use la solución Microsoft Sentinel para aplicaciones SAP junto con conectores de datos y contenido de seguridad para otros servicios para una supervisión completa y central, correlacionando información en todos los sistemas y mejorando la posición general de seguridad.
Capa de base de datos: ingiere registros de base de datos en Microsoft Sentinel para supervisar las actividades de base de datos, como las actividades de administración de bases de datos y los cambios en los datos de la tabla. La solución Microsoft Sentinel para aplicaciones SAP es independiente de la base de datos.
Todos los registros recopilados por el agente del conector de datos se almacenan primero en la máquina del agente del recopilador de datos, en /opt/sapcon/<sid>/log la carpeta de la instancia del contenedor. A continuación, los registros se reenvieron al área de trabajo de Log Analytics, donde puede ver, auditar y consultarlos desde Microsoft Sentinel.
Los registros de auditoría se recopilan e ingieren cada minuto, mientras que otros registros se pueden ingerir con menos frecuencia. Microsoft Sentinel también supervisa el latido del agente del conector de datos para asegurarse de que los registros se recopilan y envían al área de trabajo de Log Analytics.
Referencia de registro
En las secciones siguientes se describen los registros de SAP disponibles en la solución microsoft Sentinel para el conector de datos de aplicaciones de SAP, incluidos los nombres de tabla de Microsoft Sentinel, los propósitos de registro y los esquemas de registro detallados.
Las descripciones de los campos de los esquemas se basan en las descripciones de los campos de la documentación de SAP pertinente.
- Registro de aplicaciones de ABAP
- Registro de documentos de cambio de ABAP
- Registro de CR de ABAP
- Registro de datos de tabla de base de datos de ABAP (VERSIÓN PRELIMINAR)
- Registro de puerta de enlace de ABAP (VERSIÓN PRELIMINAR)
- Registro de ICM de ABAP (VERSIÓN PRELIMINAR)
- Registro de trabajos de ABAP
- Registro de auditoría de seguridad de ABAP
- Registro de spool de ABAP
- Registro de salida de spool de APAB
- Syslog ABAP
- Registro de flujo de trabajo de ABAP
- Registro de proceso de trabajo de ABAP
- Registro de auditoría de base de datos de HANA
- Archivos JAVA
- Registro de latidos de SAP
Registro de aplicaciones de ABAP
Función de Microsoft Sentinel para consultar este registro: SAPAppLog
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: registra el progreso de la ejecución de una aplicación para que pueda reconstruirla más adelante si fuera necesario.
Disponible mediante RFC según la tabla SAP y los servicios estándar de la interfaz de XBP. Este registro se genera por cliente.
Esquema del registro ABAPAppLog_CL
| Campo | Descripción |
|---|---|
| AppLogDateTime | Fecha y hora del registro de aplicaciones |
| CallbackProgram | Programa de devolución de llamada |
| CallbackRoutine | Rutina de devolución de llamada |
| CallbackType | Tipo de devolución de llamada |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| ContextDDIC | Estructura de DDIC de contexto |
| ExternalID | Identificador de registro externo |
| administrador de flujos de trabajo | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | Serie de mensajes de registro de aplicaciones |
| LevelofDetail | Nivel de detalle |
| LogHandle | Manipulador de registro de aplicaciones |
| LogNumber | Número de registro |
| MessageClass | Clase Message |
| MessageNumber | Número de mensaje |
| MessageText | Texto del mensaje |
| MessageType | Tipo de mensaje |
| Object | Objeto registro de aplicaciones |
| OperationMode | Modo de operación |
| ProblemClass | Clase de problema |
| ProgramName | Nombre de programa |
| SortCriterion | Criterio de ordenación |
| StandardText | Texto estándar |
| SubObject | Objeto secundario del registro de aplicaciones |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| TransactionCode | Código de transacción |
| Usuario | Usuario |
| UserChange | Cambio de usuario |
Registro de documentos de cambio de ABAP
Función de Microsoft Sentinel para consultar este registro: SAPChangeDocsLog
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: registros:
ABAP del servidor de aplicaciones de SAP NetWeaver registra en los cambios en los objetos de datos empresariales en los documentos de los cambios.
Otras entidades del sistema SAP, como datos de usuario, roles o direcciones.
Disponible mediante RFC según las tablas SAP estándar. Este registro se genera por cliente.
Esquema de registro ABAPChangeDocsLog_CL
| Campo | Descripción |
|---|---|
| ActualChangeNum | Número de cambio real |
| ChangedTableKey | Clave de tabla cambiada |
| ChangeNumber | Número de cambio |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| CreatedfromPlannedChange | Creado a partir de un cambio planeado, con la siguiente sintaxis: (‘X’ , ‘ ‘) |
| CurrencyKeyNew | Clave de moneda: nuevo valor |
| CurrencyKeyOld | Clave de moneda: valor anterior |
| FieldName | Nombre del campo |
| FlagText | Texto de la marca |
| administrador de flujos de trabajo | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| Lenguaje | Lenguaje |
| ObjectClass | Clase de objeto, como BELEG, BPAR, PFCG, IDENTITY |
| ObjectID | Identificador de objeto |
| PlannedChangeNum | Número de cambio planeado |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| TableName | Nombre de la tabla |
| TransactionCode | Código de transacción |
| TypeofChange_Header | Tipo de encabezado del cambio, lo que incluye: U = Cambiar; I = Insertar; E = Eliminar documento individual; D = Eliminar; J = Insertar documento individual |
| TypeofChange_Item | Tipo de elemento del cambio, lo que incluye: U = Cambiar; I = Insertar; E = Eliminar documento individual; D = Eliminar; J = Insertar documento individual |
| UOMNew | Unidad de medida: nuevo valor |
| UOMOld | Unidad de medida: valor anterior |
| Usuario | Usuario |
| ValueNew | Contenido del campo: nuevo valor |
| ValueOld | Contenido del campo: valor anterior |
| Versión | Versión |
Registro de CR de ABAP
Función de Microsoft Sentinel para consultar este registro: SAPCRLog
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: incluye los registros de Change & Transport System (CTS), incluidos los objetos de directorio y las personalizaciones en que se realizaron los cambios.
Disponible mediante RFC según las tablas y los servicios SAP estándar. Este registro se genera con datos en todos los clientes.
Nota:
Además del registro de aplicaciones, los documentos de cambio y la grabación de tablas, todos los cambios que realice en el sistema de producción mediante Change & Transport System se documentan en los registros de CTS y TMS.
Esquema de registro ABAPCRLog_CL
| Campo | Descripción |
|---|---|
| Categoría | Categoría (Workbench, Personalización) |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| Descripción | Descripción |
| Host | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| ObjectName | Nombre del objeto |
| ObjectType | Tipo de objeto |
| Propietario | Propietario |
| Solicitud | Solicitud de cambio |
| Estado | Estado |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| TableKey | Clave de tabla |
| TableName | Nombre de la tabla |
| ViewName | Nombre de la vista |
Registro de datos de tabla de base de datos de ABAP (VERSIÓN PRELIMINAR)
Para que este registro se envíe a Microsoft Sentinel, debe agregarlo manualmente al archivo systemconfig.json. Este registro no se admite cuando se usa el procedimiento recomendado para instalar el agente del conector de datos desde el portal.
Función de Microsoft Sentinel para consultar este registro: SAPTableDataLog
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: proporciona registro para las tablas que son críticas o susceptibles a auditorías.
Disponible mediante RFC con un servicio personalizado. Este registro se genera con datos en todos los clientes.
Esquema de registro ABAPTableDataLog_CL
| Campo | Descripción |
|---|---|
| DBLogID | Id. de registro de base de datos |
| administrador de flujos de trabajo | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| Lenguaje | Lenguaje |
| LogKey | Clave de registro |
| NewValue | Nuevo valor del campo |
| OldValue | Valor anterior del campo |
| OperationTypeSQL | Tipo de operación, Insert, Update, Delete |
| Programa | Nombre de programa |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| TableField | Campo de tabla |
| TableName | Nombre de la tabla |
| TransactionCode | Código de transacción |
| UserName | Usuario |
| VersionNumber | Número de la versión |
Registro de puerta de enlace de ABAP (VERSIÓN PRELIMINAR)
Para que este registro se envíe a Microsoft Sentinel, debe agregarlo manualmente al archivo systemconfig.json. Este registro no se admite cuando se usa el procedimiento recomendado para instalar el agente del conector de datos desde el portal.
Función de Microsoft Sentinel para consultar este registro: SAPOS_GW
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: supervisa las actividades de la puerta de enlace. Disponible por el servicio web de control de SAP. Este registro se genera con datos en todos los clientes.
Esquema de registro ABAPOS_GW_CL
| Campo | Descripción |
|---|---|
| Host | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Texto del mensaje |
| severity | Gravedad del mensaje: Debug, Info, Warning, Error |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
Registro de ICM de ABAP (VERSIÓN PRELIMINAR)
Para que este registro se envíe a Microsoft Sentinel, debe agregarlo manualmente al archivo systemconfig.json. Este registro no se admite cuando se usa el procedimiento recomendado para instalar el agente del conector de datos desde el portal.
Función de Microsoft Sentinel para consultar este registro: SAPOS_ICM
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: registra las solicitudes entrantes y salientes, y compila las estadísticas de las solicitudes HTTP.
Disponible por el servicio web de control de SAP. Este registro se genera con datos en todos los clientes.
Esquema de registro ABAPOS_ICM_CL
| Campo | Descripción |
|---|---|
| Host | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Texto del mensaje |
| severity | Gravedad del mensaje, se incluyen: Debug, Info, Warning, Error |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
Registro de trabajos de ABAP
Función de Microsoft Sentinel para consultar este registro: SAPJobLog
Documentación de SAP relacionada: portal de ayuda de SAP
Propósito del registro: combina todos los registros de trabajos de procesamiento en segundo plano (SM37).
Disponible mediante RFC según la tabla SAP y los servicios estándar de las interfaces de XBP. Este registro se genera con datos en todos los clientes.
Esquema de registro ABAPJobLog_CL
| Campo | Descripción |
|---|---|
| ABAPProgram | Programa ABAP |
| BgdEventParameters | Parámetros de eventos en segundo plano |
| BgdProcessingEvent | Evento de procesamiento en segundo plano |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| DynproNumber | Número de Dynpro |
| GUIStatus | Estado de GUI |
| administrador de flujos de trabajo | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP(HOST_SYSID_SYSNR), con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| JobClassification | Clasificación del trabajo |
| JobCount | Recuento de trabajos |
| JobGroup | Grupo de trabajo |
| JobName | Nombre del trabajo |
| JobPriority | Prioridad del trabajo |
| MessageClass | Clase Message |
| MessageNumber | Número de mensaje |
| MessageText | Texto del mensaje |
| MessageType | Tipo de mensaje |
| ReleaseUser | Usuario de versión del trabajo |
| SchedulingDateTime | Fecha y hora de programación |
| StartDateTime | Fecha y hora de inicio |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| TargetServer | Servidor de destino |
| Usuario | Usuario |
| UserReleaseInstance | Instancia de ABAP: versión del usuario |
| WorkProcessID | Identificador de proceso de trabajo |
| WorkProcessNumber | Número de proceso de trabajo |
Registro de auditoría de seguridad de ABAP
Función de Microsoft Sentinel para consultar este registro: SAPAuditLog
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: registra los siguientes datos:
- Cambios relacionados con la seguridad en el entorno del sistema SAP, como por ejemplo, los cambios en los registros del usuario principal
- Información que proporciona un mayor nivel de datos, como los intentos de inicio de sesión correctos e infructuosos
- Información que permite la reconstrucción de una serie de eventos, como los inicios de transacciones correctos o incorrectos
Disponible mediante el uso de interfaces XAL/SAL de RFC. SAL está disponible a partir de la versión Basis 7.50. Este registro se genera con datos en todos los clientes.
Esquema de registro ABAPAuditLog_CL
| Campo | Descripción |
|---|---|
| ABAPProgramName | Nombre del programa, solo SAL |
| AlertSeverity | Gravedad de la alerta |
| AlertSeverityText | Texto de gravedad de alerta, solo SAL |
| AlertValue | Valor de alerta |
| AuditClassID | ID de clase de auditoría, solo SAL |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| Computer | Equipo de usuario, solo SAL |
| Correo electrónico | Correo electrónico del usuario |
| administrador de flujos de trabajo | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | Clase Message |
| MessageContainerID | Identificador de contenedor de mensajes, solo XAL |
| MessageID | Identificador de mensaje, como ‘AU1’,’AU2’… |
| MessageText | Texto del mensaje |
| MonitoringObjectName | Nombre de objeto MTE Monitor, solo XAL |
| MonitorShortName | Nombre corto de MTE Monitor, solo XAL |
| SAPProcesType | Registro del sistema: tipo de proceso de SAP, solo SAL |
| B*: procesamiento en segundo plano | |
| D*: procesamiento de cuadros de diálogo | |
| U*: Actualizar tareas | |
| SAPWPName | Registro del sistema: número de proceso de trabajo, solo SAL |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| TerminalIPv6 | IP de la máquina del usuario, solo SAL |
| TransactionCode | Código de transacción, solo SAL |
| Usuario | Usuario |
| Variable1 | Variable de mensaje 1 |
| Variable2 | Variable de mensaje 2 |
| Variable3 | Variable de mensaje 3 |
| Variable4 | Variable de mensaje 4 |
Registro de spool de ABAP
Función de Microsoft Sentinel para consultar este registro: SAPSpoolLog
Documentación de SAP relacionada: portal de ayuda de SAP
Propósito del registro: actúa como registro principal para la impresión de SAP con el historial de solicitudes de cola. (SP01).
Disponible mediante RFC según la tabla SAP estándar. Este registro se genera con datos en todos los clientes.
Esquema de registro ABAPSpoolLog_CL
| Campo | Descripción |
|---|---|
| ArchiveStatus | Estado de archivo |
| ArchiveType | Tipo de archivo |
| ArchivingDevice | Dispositivo de archivo |
| AutoRereoute | Reenrutamiento automático |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| CountryKey | Clave de país |
| DeleteSpoolRequestAuto | Eliminación automática de la solicitud de spool |
| DelFlag | Marca de eliminación |
| department | department |
| DocumentType | Tipo de documento |
| ExternalMode | Modo externo |
| Tipo de formato | Tipo de formato |
| administrador de flujos de trabajo | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | Número de copias |
| OutputDevice | Dispositivo de salida |
| PrinterLongName | Nombre largo de impresora |
| PrintImmediately | Imprimir inmediatamente |
| PrintOSCoverPage | Imprimir página de OSCover |
| PrintSAPCoverPage | Imprimir página de SAPCover |
| Priority | Priority |
| RecipientofSpoolRequest | Destinatario de solicitud de spool |
| SpoolErrorStatus | Estado de error de spool |
| SpoolRequestCompleted | Solicitud de spool completada |
| SpoolRequestisALogForAnotherRequest | La solicitud de spool es un registro para otra solicitud |
| SpoolRequestName | Nombre de solicitud de spool |
| SpoolRequestNumber | Número de solicitud de spool |
| SpoolRequestSuffix1 | Sufijo 1 de solicitud de spool |
| SpoolRequestSuffix2 | Sufijo 2 de solicitud de spool |
| SpoolRequestTitle | Título de solicitud de spool |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| TelecommunicationsPartner | Asociado de telecomunicaciones |
| TelecommunicationsPartnerE | Asociado de telecomunicaciones E |
| TemSeGeneralcounter | Contador de Temse |
| TemseNumAddProtectionRule | Regla de protección de adición de número de Temse |
| TemseNumChangeProtectionRule | Regla de protección de cambio de número de Temse |
| TemseNumDeleteProtectionRule | Regla de protección de eliminación de número de Temse |
| TemSeObjectName | Nombre de objeto de Temse |
| TemSeObjectPart | Parte de objeto de TemSe |
| TemseReadProtectionRule | Regla de protección de lectura de Temse |
| Usuario | Usuario |
| ValueAuthCheck | Comprobación de autenticación de valor |
Registro de salida de spool de APAB
Función de Microsoft Sentinel para consultar este registro: SAPSpoolOutputLog
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: sirve como registro principal para la impresión de SAP con el historial de solicitudes de salida del spool. (SP02).
Disponible mediante RFC con un servicio personalizado basado en tablas estándar. Este registro se genera con datos en todos los clientes.
Esquema de registro ABAPSpoolOutputLog_CL
| Campo | Descripción |
|---|---|
| AppServer | Servidor de aplicaciones |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| Comentario | Comentario |
| CopyCount | Número de copias |
| CopyCounter | Contador de copias |
| department | department |
| ErrorSpoolRequestNumber | Número de solicitud de error |
| Tipo de formato | Tipo de formato |
| administrador de flujos de trabajo | administrador de flujos de trabajo |
| HostName | Nombre de host |
| HostSpoolerID | Identificador de spooler de host |
| Instancia | Instancia de ABAP |
| LastPage | Última página |
| NumofCopies | Número de copias |
| OutputDevice | Dispositivo de salida |
| OutputRequestNumber | Número de solicitud de salida |
| OutputRequestStatus | Estado de solicitud de salida |
| PhysicalFormatType | Tipo de formato físico |
| PrinterLongName | Nombre largo de impresora |
| PrintRequestSize | Tamaño de solicitud de impresión |
| Priority | Priority |
| ReasonforOutputRequest | Razón de solicitud de salida |
| RecipientofSpoolRequest | Destinatario de solicitud de spool |
| SpoolNumberofOutputReqProcessed | Número de solicitudes de salida: procesadas |
| SpoolNumberofOutputReqWithErrors | Número de solicitudes de salida: con errores |
| SpoolNumberofOutputReqWithProblems | Número de solicitudes de salida: con problemas |
| SpoolRequestNumber | Número de solicitud de spool |
| StartPage | Página de inicio |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| TelecommunicationsPartner | Asociado de telecomunicaciones |
| TemSeGeneralcounter | Contador de Temse |
| Título | Título |
| Usuario | Usuario |
Syslog de ABAP
Para que este registro se envíe a Microsoft Sentinel, debe agregarlo manualmente al archivo systemconfig.json. Este registro no se admite cuando se usa el procedimiento recomendado para instalar el agente del conector de datos desde el portal.
Función de Microsoft Sentinel para consultar este registro: SAPOS_Syslog
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: registra todos los errores del sistema ABAP, advertencias, bloqueos de usuario debido a intentos de inicio de sesión con errores de usuarios conocidos y mensajes de proceso del servidor de aplicaciones de SAP NetWeaver (SAP NetWeaver AS).
Disponible por el servicio web de control de SAP. Este registro se genera con datos en todos los clientes.
Esquema de registro ABAPOS_Syslog_CL
| Campo | Descripción |
|---|---|
| ClientID | Identificador de cliente de ABAP (MANDT) |
| administrador de flujos de trabajo | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | Número de mensaje |
| MessageText | Texto del mensaje |
| severity | Gravedad del mensaje, uno de los siguientes valores: Debug, Info, Warning, Error |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| TransactionCode | Código de transacción |
| Tipo | Tipo de proceso de SAP |
| Usuario | Usuario |
Registro de flujo de trabajo de ABAP
Función de Microsoft Sentinel para consultar este registro: SAPWorkflowLog
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: SAP Business Workflow (motor de WebFlow) permite definir procesos empresariales que aún no están asignados en el sistema SAP.
Por ejemplo, los procesos empresariales no asignados pueden ser procedimientos de aprobación o liberación sencillos, o procesos empresariales más complejos, como crear material base y, a continuación, coordinar los departamentos asociados.
Disponible mediante RFC según las tablas SAP estándar. Este registro se genera por cliente.
Esquema de registro ABAPWorkflowLog_CL
| Campo | Descripción |
|---|---|
| ActualAgent | Agente real |
| Dirección | Dirección |
| ApplicationArea | Área de aplicación |
| CallbackFunction | Función de devolución de llamada |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| CreationDateTime | Fecha y hora de creación |
| Creador | Creador |
| CreatorAddress | Dirección de creador |
| ErrorType | Tipo de error |
| ExceptionforMethod | Excepción del método |
| administrador de flujos de trabajo | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP(HOST_SYSID_SYSNR), con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| Lenguaje | Lenguaje |
| LogCounter | Contador de registros |
| MessageNumber | Número de mensaje |
| MessageType | Tipo de mensaje |
| MethodUser | Usuario del método |
| Priority | Priority |
| SimpleContainer | Contenedor simple, empaquetado como una lista de entidades clave-valor para el elemento de trabajo |
| Estado | Estado |
| SuperWI | Súper elemento de trabajo |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| TaskID | Identificador de tarea |
| TasksClassification | Clasificaciones de tareas |
| TaskText | Texto de tarea |
| TopTaskID | Identificador de tarea principal |
| UserCreated | Creado por el usuario |
| WIText | Texto de elemento de trabajo |
| WIType | Tipo de elemento de trabajo |
| WorkflowAction | Acción Workflow |
| WorkItemID | Id. de elemento de trabajo |
Registro de proceso de trabajo de ABAP
Para que este registro se envíe a Microsoft Sentinel, debe agregarlo manualmente al archivo systemconfig.json. Este registro no se admite cuando se usa el procedimiento recomendado para instalar el agente del conector de datos desde el portal.
Función de Microsoft Sentinel para consultar este registro: SAPOS_WP
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: combina todos los registros de procesos de trabajo. (valor predeterminado:
dev_*).Disponible por el servicio web de control de SAP. Este registro se genera con datos en todos los clientes.
Esquema de registro ABAPOS_WP_CL
| Campo | Descripción |
|---|---|
| Host | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Texto del mensaje |
| severity | Gravedad del mensaje: Debug, Info, Warning, Error |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| WPNumber | Número de proceso de trabajo |
Registro de auditoría de base de datos de HANA
Recopilar el registro de seguimiento de auditoría de base de datos de HANA es un ejemplo de cómo Microsoft Sentinel recopila actividades de capa de base de datos. Para que este registro se envíe a Microsoft Sentinel, debe implementar el agente de Azure Monitor para recopilar datos de Syslog de la máquina que ejecuta HANA DB.
Función de Microsoft Sentinel para consultar este registro: SAPSyslog
Documentación de SAP relacionada: General | Registro de auditoría
Fin del registro: registra las acciones del usuario o las acciones intentadas en la base de datos de SAP HANA. Por ejemplo, permite registrar y supervisar el acceso de lectura a datos confidenciales.
Disponible por el agente linux de Microsoft Sentinel para Syslog. Este registro se genera con datos en todos los clientes.
Esquema de registro de Syslog
| Campo | Descripción |
|---|---|
| Computer | Nombre de host |
| HostIP | IP de host |
| HostName | Nombre de host |
| ProcessID | Identificador del proceso |
| ProcessName | Nombre del proceso: HDB* |
| SeverityLevel | Alerta |
| SourceSystem | Sistema operativo del sistema de origen, Linux |
| SyslogMessage | Mensaje, un mensaje de registro de auditoría no analizado |
Archivos JAVA
Para que este registro se envíe a Microsoft Sentinel, debe agregarlo manualmente al archivo systemconfig.json. Este registro no se admite cuando se usa el procedimiento recomendado para instalar el agente del conector de datos desde el portal.
Función de Microsoft Sentinel para consultar este registro: SAPJAVAFilesLogs
Documentación de SAP relacionada: General | Registro de auditoría de seguridad de Java
Fin del registro: combina todos los registros basados en archivos de Java, incluidos el registro de auditoría de seguridad y los registros del sistema (proceso de clúster y servidor), de rendimiento y de puerta de enlace. También incluye los registros de seguimientos para desarrolladores y de seguimiento predeterminado.
Disponible por el servicio web de control de SAP. Este registro se genera con datos en todos los clientes.
Esquema de registro de JavaFilesLogsCL
| Campo | Descripción |
|---|---|
| Application | Aplicación Java |
| ClientID | Id. de cliente |
| CSNComponent | Componente CSN, como BC-XI-IBD |
| DCComponent | Componente DC, como com.sap.xi.util.misc |
| DSRCounter | Contador de DSR |
| DSRRootContentID | GUID de contexto de DSR |
| DSRTransaction | GUID de transacción de DSR |
| administrador de flujos de trabajo | administrador de flujos de trabajo |
| Instancia | Instancia de Java, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| Location | Clase de Java |
| LogName | LogName de Java, como: Available,defaulttrace, dev*, security, etc. |
| MessageText | Texto del mensaje |
| MNo | Número de mensaje |
| Pid | Identificador del proceso |
| Programa | Nombre de programa |
| Sesión | Sesión |
| severity | Gravedad del mensaje, se incluyen: Debug, Info, Warning, Error |
| Solución | Solución |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| ThreadName | Nombre del subproceso |
| Thrown | Se inicia una excepción |
| TimeZone | Zona horaria |
| Usuario | Usuario |
Registro de latidos de SAP
Función de Microsoft Sentinel para consultar este registro: SAPConnectorHealth
Propósito del registro: proporciona información de los latidos y otros datos de estado sobre la conectividad entre los agentes y los distintos sistemas de SAP.
Se crea automáticamente para cualquier agente del conector de datos de Microsoft Sentinel para SAP.
Esquema de registro SAP_HeartBeat_CL
| Campo | Descripción |
|---|---|
| TimeGenerated | Hora del evento de publicación del registro |
| agent_id_s | Identificador de agente en la configuración del agente (generado automáticamente) |
| agent_ver_s | Versión del agente |
| host_s | Nombre de host del agente |
| system_id_s | Id. del sistema Netweaver ABAP / Host Netweaver SAPControl (versión preliminar) / Host Java SAPControl (versión preliminar) |
| push_timestamp_d | Marca de tiempo de la extracción, según la zona horaria del agente |
| agent_timezone_s | Zona horaria del agente |
Referencia de tablas recuperadas directamente desde sistemas SAP
En esta sección se enumeran las tablas de datos que se recuperan directamente del sistema SAP y se ingieren en Microsoft Sentinel exactamente como están.
Los datos recuperados de estas tablas proporcionan una vista clara de la estructura de autorización, la pertenencia a grupos y los perfiles de usuario. También permiten supervisar el proceso de concesiones y revocaciones de autorización, e identificar y controlar los riesgos asociados a esos procesos.
Las tablas presentadas a continuación son necesarias para habilitar las funciones que identifican a los usuarios con privilegios y asignan usuarios a roles, grupos y autorizaciones.
Para obtener los mejores resultados, consulte estas tablas con el nombre de la columna nombre de función de Microsoft Sentinel en la tabla siguiente:
| Nombre de la tabla | Descripción de la tabla | Nombre de la función de Microsoft Sentinel |
|---|---|---|
| USR01 | Registro maestro de usuario (datos de runtime) | SAP_USR01 |
| USR02 | Datos de inicio de sesión (uso del lado kernel) | SAP_USR02 |
| UST04 | Maestros de usuario Asigna usuarios a perfiles |
SAP_UST04 |
| AGR_USERS | Asignación de roles a usuarios | SAP_AGR_USERS |
| AGR_1251 | Datos de autorización para el grupo de actividad | SAP_AGR_1251 |
| USGRP_USER | Asignación de usuarios a grupos de usuarios | SAP_USGRP_USER |
| USR21 | Asignación de clave de nombre de usuario/dirección | SAP_USR21 |
| ADR6 | Direcciones de correo electrónico (servicios de direcciones empresariales) | SAP_ADR6 |
| USRSTAMP | Marca de tiempo para todos los cambios en el usuario | SAP_USRSTAMP |
| ADCP | Asignación de persona/dirección (servicios de dirección empresarial) | SAP_ADCP |
| USR05 | Identificador del parámetro maestro de usuario | SAP_USR05 |
| AGR_PROF | Nombre del perfil para el rol | SAP_AGR_PROF |
| AGR_FLAGS | Atributos de rol | SAP_AGR_FLAGS |
| DEVACCESS | Tabla para el usuario de desarrollo | SAP_DEVACCESS |
| AGR_DEFINE | Definición de roles | SAP_AGR_DEFINE |
| AGR_AGRS | Roles en roles compuestos | SAP_AGR_AGRS |
| PAHI | Historial de los parámetros de SAP, el sistema y la base de datos | SAP_PAHI |
| SNCSYSACL (PREVIEW) | Lista de control de acceso (ACL) de SNC: Sistemas | SAP_SNCSYSACL |
| USRACL (PREVIEW) | Lista de control de acceso (ACL) de SNC: Usuario | SAP_USRACL |
Contenido relacionado
Para más información, vea: