Partager via

Résolution de problèmes de déploiement des applications Solution Microsoft Sentinel pour SAP

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Cet article décrit les étapes de résolution des problèmes qui vous aideront à garantir une ingestion des données et leur surveillance précises et opportunes pour votre environnement SAP à l’aide de Microsoft Sentinel.

Dans cet article, nous faisons référence au fichier systemconfig.json utilisé pour les versions de l’agent publiées le 22 juin 2023. Si vous utilisez une version antérieure de l’agent, consultez plutôt le fichier systemconfig.ini.

Commandes Docker utiles

Lors de la résolution des problèmes de votre connecteur de données Microsoft Sentinel pour SAP, les commandes suivantes pourraient être utiles :

Fonction Commande
Arrêter le conteneur Docker docker stop sapcon-[SID]
Démarrer le conteneur Docker docker start sapcon-[SID]
Afficher les journaux système de Docker docker logs -f sapcon-[SID]
Entrer le conteneur Docker docker exec -it sapcon-[SID] bash

Pour plus d’informations, consultez la documentation sur l’interface de ligne de commande de Docker.

Examiner les journaux système

Nous vous recommandons vivement d’examiner les journaux système après l’installation ou la réinitialisation du connecteur de données.

Exécutez :

docker logs -f sapcon-[SID]

Activer/désactiver l’impression en mode débogage

  1. Sur votre machine virtuelle du conteneur de l’agent collecteur de données, modifiez le fichier /opt/sapcon/[SID]/systemconfig.json.

  2. Définissez la section Général si elle n’a pas été définie précédemment. Dans cette section, définissez logging_debug = True pour activer l’impression en mode débogage ou logging_debug = False pour la désactiver.

    Par exemple :

    [General]
logging_debug = True

  3. Enregistrez le fichier .

La modification prend effet environ deux minutes après l’enregistrement du fichier. Il n’est pas nécessaire de redémarrer le conteneur Docker.

Afficher tous les journaux d’exécution du conteneur

Les journaux d’activité pour l’exécution du connecteur de votre déploiement de connecteur de données des applications Solution Microsoft Sentinel pour SAP sont stockés sur votre machine virtuelle dans /opt/sapcon/[SID]/log/. Le nom de fichier journal est OmniLog.log. Un historique des fichiers journaux est conservé. Il est précédé du suffixe .[number], comme OmniLog.log.1, OmniLog.log.2, etc.

Réviser et mettre à jour le fichier de configuration du connecteur de l’agent Microsoft Sentinel pour SAP

Si vous avez déployé votre agent via le portail, vous pouvez continuer à gérer et à modifier les paramètres de configuration par ce même portail.

Si vous avez déployé votre agent via la ligne de commande ou que vous souhaitez effectuer des mises à jour manuelles directement dans le fichier de configuration, procédez comme suit :

  1. Sur votre machine virtuelle, ouvrez le fichier de configuration : sapcon/[SID]/systemconfig.json

  2. Mettez à jour la configuration si nécessaire et enregistrez le fichier. Pour plus d’informations, consultez la référence du fichier systemconfig.json des applications Solution Microsoft Sentinel pour SAP.

La modification prend effet environ deux minutes après l’enregistrement du fichier. Il n’est pas nécessaire de redémarrer le conteneur Docker.

Réinitialiser le connecteur de données Microsoft Sentinel pour SAP

Les étapes suivantes réinitialisent le connecteur et ré-ingèrent les journaux SAP des dernières 30 minutes.

  1. Arrêtez le connecteur. Exécutez :

    docker stop sapcon-[SID]

  2. Supprimez le fichier metadata.db du répertoire /opt/sapcon/[SID]. Exécutez :

    cd /opt/sapcon/<SID>
rm metadata.db

    Notes

    Le fichier metadata.db contient le dernier horodatage de chacun des journaux et fonctionne pour empêcher la duplication.

  3. Redémarrez le connecteur. Exécutez :

    docker start sapcon-[SID]

Quand vous avez terminé, veillez à consulter les journaux système.

Problèmes courants

Une fois le connecteur de données et le contenu de sécurité Microsoft Sentinel pour SAP déployés, il se peut que vous rencontriez les erreurs ou problèmes suivants :

Fichier du SDK SAP endommagé ou manquant

Cette erreur pourrait se produire lorsque le connecteur ne démarre pas à l’aide de PyRfc ou que des messages d’erreur liés au fichier zip s’affichent.

  1. Réinstallez le SDK SAP.
  2. Vérifiez que vous avez bien la bonne version de Linux 64 bits, par exemple nwrfc750P_8-70002752.zip.

Si vous avez installé le connecteur de données manuellement, assurez-vous que vous avez copié le fichier du SDK dans le conteneur Docker.

Exécutez :

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

Des erreurs d’exécution ABAP s’affichent sur un grand système

Si des erreurs d’exécution ABAP s’affichent sur de grands systèmes, essayez de définir une taille de bloc plus petite :

  1. Modifiez le fichier /opt/sapcon/[SID]/systemconfig.json et dans la section Configuration du connecteur, définissez timechunk = 5.

    Par exemple :

    [Connector Configuration]
timechunk = 5

  2. Enregistrez le fichier .

La modification prend effet environ deux minutes après l’enregistrement du fichier. Il n’est pas nécessaire de redémarrer le conteneur Docker.

Notes

La taille timechunk est définie en minutes.

Journal d’audit vide ou aucun journal d’audit récupéré, sans message d’erreur spécial

  1. Vérifiez que la journalisation d’audit est activée dans SAP.
  2. Vérifiez les transactions SM19 ou RSAU_CONFIG .
  3. Activez les événements en fonction des besoins.
  4. Vérifiez si les messages arrivent et existent dans les transactions SAP SM20 ou RSAU_READ_LOG, sans qu’aucune erreur spéciale n’apparaisse dans le journal du connecteur.

Identification ou clé de l’espace de travail erronée dans le coffre de clés

Si vous vous rendez compte que vous avez saisi une clé ou une identification de l’espace de travail erronée dans votre script de déploiement, mettez à jour les informations d’identification stockées dans Azure Key Vault.

Après avoir vérifié vos informations d’identification dans Azure Key Vault, redémarrez le conteneur :

docker restart sapcon-[SID]

Informations d’identification d’utilisateur SAP ABAP incorrectes dans le coffre de clés

Vérifiez vos informations d’identification et corrigez-les au besoin en appliquant les valeurs correctes pour ABAPUSER et ABAPPASS dans Azure Key Vault.

Redémarrez ensuite le conteneur :

docker restart sapcon-[SID]

Informations d’identification de l’utilisateur SAP ABAP incorrectes dans une configuration fixe

Le stockage direct du mot de passe dans le fichier de configuration systemconfig.json est un exemple de configuration fixe.

Si vos informations d’identification y sont incorrectes, vérifiez-les.

Utilisez le chiffrement Base64 pour chiffrer l’utilisateur et le mot de passe. Vous pouvez utiliser les outils de chiffrement en ligne pour chiffrer vos informations d’identification, tels que https://www.base64encode.org/.

Autorisations ABAP (utilisateur SAP) manquantes

Si vous recevez un message d’erreur semblable à Autorisation RFC manquante dans le back-end, vos rôle et autorisations SAP n’ont pas été appliqués correctement.

  1. Assurez-vous que le rôle MSFTSEN/SENTINEL_CONNECTOR a été importé dans le cadre d’un transport de demande de modification et appliqué à l’utilisateur du connecteur.

  2. Exécutez le processus de génération de rôle et de comparaison des utilisateurs au moyen de la transaction SAP PFCG.

Données manquantes dans vos workbooks ou alertes

Si vous constatez qu’il manque des données dans vos workbooks ou alertes Microsoft Sentinel, assurez-vous que la stratégie Auditlog est bien activée du côté SAP et qu’il n’y a pas d’erreurs dans le fichier journal du conteneur.

Utilisez la transaction RSAU_CONFIG_LOG pour cette étape.

Pour plus d’informations, consultez Documentation SAP et Collecter les journaux d’activité pour l’audit SAP HANA dans Microsoft Sentinel.

Champs d’adresse IP ou de code de transaction manquants dans le journal d’audit SAP

Dans les systèmes SAP de version SAP BASIS 7.5 SP12 et version ultérieure, Microsoft Sentinel peut intégrer des champs supplémentaires dans les tables ABAPAuditLog_CL et SAPAuditLog.

Si vous utilisez des versions SAP BASIS supérieures à 7.5 SP12 et que des champs d’adresse IP ou de code de transaction sont manquants dans le journal d’audit SAP, vérifiez que le système SAP à partir duquel vous extrayez les données contient bien les demandes de modification pertinentes (transports). Pour plus d’informations, consultez Configurer la prise en charge de l’extraction de données supplémentaire (nos recommandations).

Demande de modification SAP manquante

Si vous constatez des erreurs selon lesquelles une demande de modification SAP requise fait défaut, vérifiez que vous avez importé la demande de modification SAP appropriée pour votre système. Pour plus d’informations, consultez Prérequis SAP et Configurer de votre système SAP pour la solution Microsoft Sentinel.

Le journal de données de la table de SAP ne présente aucune donnée

Dans les systèmes SAP de version SAP BASIS 7.5 SP12 et versions ultérieures, Microsoft Sentinel peut intégrer les modifications apportées au journal des données de table dans la table ABAPTableDataLog_CL.

Si aucune donnée n’est présentée dans la table ABAPTableDataLog_CL, vérifiez que le système SAP à partir duquel vous extrayez les données contient les requêtes de modification (transports) appropriées. Pour plus d’informations, consultez Configurer la prise en charge de l’extraction de données supplémentaire (nos recommandations).

Aucun enregistrement / enregistrements tardifs

L’agent du collecteur de données s’appuie sur les informations de fuseau horaire à corriger. Si vous constatez qu’il n’y a pas d’enregistrements dans les journaux d’audit et de modification SAP ou si les enregistrements accusent constamment un retard de quelques heures, vérifiez si le rapport SAP TZCUSTHELP présente des erreurs. Pour plus d’informations, consultez la note SAP 481835.

L’horloge de la machine virtuelle où est hébergé le conteneur de l’agent collecteur de données peut également présenter des problèmes. De plus, toute déviation de l’horloge de la machine virtuelle par rapport à l’UTC a un impact sur la collecte de données. Plus important encore, les horloges sur les ordinateurs système SAP et les ordinateurs de l’agent du collecteur de données doivent correspondre.

Problèmes de connectivité réseau

Si vous rencontrez des problèmes de connectivité réseau avec l’environnement SAP ou Microsoft Sentinel, vérifiez votre connectivité réseau pour vous assurer que les données circulent comme prévu.

Voici quelques problèmes courants :

  • Les pare-feu entre le conteneur Docker et les hôtes SAP pourraient bloquer le trafic. L’hôte de l’environnement SAP reçoit des communications via les ports TCP suivants, qui doivent être ouverts : 32xx, 5xx13 et 33xx, où xx est le numéro de l’instance SAP.

  • La communication sortante entre votre agent hôte SAP et Microsoft Container Registry ou Azure nécessite la configuration d’un proxy. Cela a généralement un impact sur l’installation et vous oblige à configurer les variables d’environnement HTTP_PROXY et HTTPS_PROXY. Vous pouvez également ingérer des variables d’environnement dans le conteneur d’ancrage lorsque vous créez le conteneur, en ajoutant l'indicateur -e à la commande docker create / run.

La récupération d’un journal d’audit échoue avec des avertissements

Si vous tentez de récupérer un journal d’audit sans les configurations requises et que le processus échoue en affichant des avertissements, vérifiez que le journal d’audit SAP peut être récupéré à l’aide de l’une des méthodes suivantes :

Votre système devrait passer automatiquement en mode de compatibilité si nécessaire. Il se peut toutefois que vous deviez le faire manuellement. Pour basculer en mode de compatibilité manuellement :

  1. Modifiez le fichier /opt/sapcon/[SID]/systemconfig.json.

  2. Dans la section Configuration du connecteur , définissez : auditlogforcexal = True

    Par exemple :

    [Connector Configuration]
auditlogforcexal = True

  3. Enregistrez le fichier .

La modification prend effet environ deux minutes après l’enregistrement du fichier. Il n’est pas nécessaire de redémarrer le conteneur Docker.

Les sous-systèmes SAPCONTROL ou JAVA ne parviennent pas à se connecter

Vérifiez que l’utilisateur du système d’exploitation est valide et qu’il peut exécuter la commande suivante sur le système SAP cible :

sapcontrol -nr <SID> -function GetSystemInstanceList

Si votre sous-système SAPCONTROL ou JAVA échoue avec un message d’erreur relatif aux fuseaux horaires, par exemple Vérifiez la configuration et l’accès réseau au serveur SAP - « Etc/NZST » , vérifiez que vous utilisez des codes de fuseau horaire standard.

Par exemple, utilisez javatz = GMT+12 ou abaptz = GMT-3**.

Données du journal d’audit non ingérées au-delà de la charge initiale

Si les données du journal d’audit SAP, visibles dans les transactions RSAU_READ_LOAD ou SM200, ne sont pas intégrées dans Microsoft Sentinel après le chargement initial, il se peut que vous ayez une mauvaise configuration du système SAP et du système d’exploitation hôte SAP.

  • Les charges initiales sont ingérées après une nouvelle installation du connecteur de données Microsoft Sentinel pour SAP ou après la suppression du fichier metadata.db.
  • La définition du fuseau horaire de votre système SAP sur CET dans la transaction STZAC, alors que le fuseau horaire du système d’exploitation hôte SAP est défini sur UTC est un exemple de configuration incorrecte.

Pour rechercher les configurations incorrectes, exécutez le rapport RSDBTIME dans la transaction SE38. Si vous détectez une différence entre le système SAP et le système d’exploitation hôte SAP :

  1. Arrêtez le conteneur Docker. Exécuter

    docker stop sapcon-[SID]

  2. Supprimez le fichier metadata.db du répertoire /opt/sapcon/[SID]. Exécutez :

    rm /opt/sapcon/[SID]/metadata.db

  3. Mettez à jour le système SAP et le système d’exploitation hôte SAP pour qu’ils aient les mêmes paramètres, notamment le même fuseau horaire. Pour plus d’informations, consultez la page wiki de la communauté SAP.

  4. Redémarrez le conteneur. Run :

    docker start sapcon-[SID]

Autres problèmes inattendus

Si vous rencontrez des problèmes inattendus non listés dans cet article, essayez les étapes suivantes :

Conseil

Nous vous recommandons également de réinitialiser votre connecteur et de vérifier que vous disposez des dernières mises à niveau après toute modification de configuration majeure.

Contenu connexe

Pour en savoir plus sur les applications Solution Microsoft Sentinel pour SAP, consultez :

Fichiers de référence :

Pour plus d’informations, consultez Solutions Microsoft Sentinel.