Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les journaux et tables disponibles dans le cadre de la solution Microsoft Sentinel pour les applications SAP et son connecteur de données.
Certains journaux, notés dans cet article, ne sont pas envoyés à Microsoft Sentinel par défaut, mais vous pouvez les ajouter manuellement en fonction des besoins. Pour plus d’informations, consultez Définir les journaux SAP envoyés à Microsoft Sentinel
Le contenu de cet article est destiné à vos équipes SAP BASIS .
Important
Les fonctionnalités mentionnées sont actuellement en PRÉVERSION. Les termes supplémentaires de la préversion Azure incluent des termes juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore publiées dans la disponibilité générale.
Utiliser des fonctions dans vos requêtes au lieu de journaux ou de tables sous-jacents
Nous vous recommandons vivement d’utiliser des fonctions disponibles en tant que sujets de leur analyse dans la mesure du possible, au lieu des journaux ou tables sous-jacents.
Les fonctions fournies avec la solution Microsoft Sentinel pour les applications SAP sont destinées à servir d’interface utilisateur principale aux données. Elles constituent la base de l’ensemble des règles et des classeurs d’analytique intégrées disponibles pour une utilisation immédiate. L’utilisation de fonctions permet d’apporter des modifications à l’infrastructure de données sous les fonctions, sans interrompre le contenu créé par l’utilisateur.
Pour plus d’informations, consultez la solution Microsoft Sentinel pour les applications SAP - informations de référence sur les fonctions et Functions dans les requêtes de journal Azure Monitor.
Couverture des journaux
La solution Microsoft Sentinel pour les applications SAP collecte les journaux d’activité à partir des couches application, système d’exploitation et données, offrant une protection complète pour votre système SAP :
Couche Application : Microsoft Sentinel surveille les activités au sein de la couche ABAP, qui est la couche d’application principale dans les systèmes SAP, responsable de l’exécution de transactions de logique métier et de traitement. Par exemple, Microsoft Sentinel collecte les journaux d’activité qui incluent des actions utilisateur telles que les connexions, les modifications de mot de passe et l’accès aux rapports ou aux fichiers.
Outre la surveillance de la sécurité, les journaux collectés au niveau de la couche application peuvent également être utilisés à des fins de conformité et d’audit.
Couche du système d’exploitation : Microsoft Sentinel collecte les journaux du système d’exploitation pour fournir des informations sur les activités au niveau du système d’exploitation, telles que depuis le serveur ABAP et les machines virtuelles sur lesquelles les applications SAP s’exécutent.
Utilisez la solution Microsoft Sentinel pour les applications SAP, ainsi que des connecteurs de contenu de sécurité et de données pour vos autres services pour une surveillance complète et centralisée, en corrélatant des informations sur tous vos systèmes et en améliorant votre posture de sécurité globale.
Couche de base de données : ingérer des journaux de base de données dans Microsoft Sentinel pour surveiller les activités de base de données, telles que les activités d’administration de base de données et les modifications apportées aux données de table. La solution Microsoft Sentinel pour les applications SAP est indépendante de la base de données.
Tous les journaux collectés par l’agent de connecteur de données sont stockés en premier sur l’ordinateur de l’agent du collecteur de données, dans /opt/sapcon/<sid>/log le dossier de l’instance de conteneur. Les journaux d’activité sont ensuite transférés à votre espace de travail Log Analytics, où vous pouvez afficher, auditer et interroger ces journaux à partir de Microsoft Sentinel.
Les journaux d’audit sont collectés et ingérés toutes les minutes, tandis que d’autres journaux peuvent être ingérés moins fréquemment. Microsoft Sentinel surveille également la pulsation de l’agent de connecteur de données pour s’assurer que les journaux sont collectés et envoyés à l’espace de travail Log Analytics.
Journaux collectés par le connecteur de données sans agent
Les tables Log Analytics intégrées suivantes sont collectées par le connecteur de données sans agent :
Informations de référence sur le journal de l’agent du connecteur de données
Les sections suivantes décrivent les journaux SAP disponibles à partir de la solution Microsoft Sentinel pour le connecteur de données d’applications SAP, y compris les noms de tables dans Microsoft Sentinel, les objectifs du journal et les schémas de journal détaillés.
Les descriptions des champs de schéma sont basées sur les descriptions de champs dans la documentation SAP appropriée.
- Journal des applications ABAP
- Journal des documents de modification ABAP
- Journal CR ABAP
- Journal des données de table ABAP (PRÉVERSION)
- Journal de passerelle ABAP (PRÉVERSION)
- Journal ICM ABAP (PRÉVERSION)
- Journal des travaux ABAP
- Journal d’audit de sécurité ABAP
- Journal du spool ABAP
- Journal de sortie APAB Spool
- ABAP SysLog
- Journal du flux de travail ABAP
- Journal ABAP WorkProcess
- Piste d’audit de base de données HANA
- Fichiers JAVA
- Journal des pulsations SAP
Journal des applications ABAP
Fonction Microsoft Sentinel pour interroger ce journal : SAPAppLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : enregistre la progression de l’exécution d’une application afin de pouvoir la reconstruire ultérieurement si nécessaire.
Disponible en utilisant RFC basé sur la table SAP standard et les services standard de l’interface XBP. Ce journal est généré par client.
Ce journal est ingéré uniquement avec l’agent du connecteur de données.
Schéma du journal ABAPAppLog_CL
| Champ | Descriptif |
|---|---|
| AppLogDateTime | Date et heure du journal des applications |
| CallbackProgram | Programme de rappel |
| CallbackRoutine | Routine de rappel |
| CallbackType | Type de rappel |
| ClientID | ID client ABAP (MANDT) |
| ContextDDIC | Structure DDIC de contexte |
| ExternalID | ID de journal externe |
| Hôte | Hôte |
| Cas | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | Série de messages du journal des applications |
| LevelofDetail | Niveau de détail |
| LogHandle | Handle du journal des applications |
| LogNumber | Numéro de journal |
| MessageClass | Message, classe |
| MessageNumber | Numéro de message |
| Texte du message | Texte du message |
| Type de message | type de message |
| Objet | Objet journal des applications |
| Mode de fonctionnement | Mode de fonctionnement |
| ProblemClass | Classe de problème |
| ProgramName | Nom du programme |
| SortCriterion | Critère de tri |
| StandardText | Texte standard |
| Sous-objet | Sous-objet du journal des applications |
| SystemID | ID système |
| Numéro du Système | Numéro système |
| Code de Transaction | Code de transaction |
| Utilisateur | Utilisateur |
| UserChange | Modification de l’utilisateur |
Journal des documents de modification ABAP
Fonction Microsoft Sentinel pour interroger ce journal : SAPChangeDocsLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : Enregistrements :
Le serveur d’applications (AS) SAP NetWeaver ABAP journalise les modifications apportées aux objets de données métier dans les documents de modification.
D’autres entités dans le système SAP, comme les données utilisateur, les rôles, les adresses.
Disponible en utilisant RFC basé sur les tables SAP standard. Ce journal est généré par client.
Schéma de journal ABAPChangeDocsLog_CL
| Champ | Descriptif |
|---|---|
| ActualChangeNum | Numéro de modification réel |
| ChangedTableKey | Clé de table modifiée |
| ChangeNumber | Numéro de modification |
| ClientID | ID client ABAP (MANDT) |
| CreatedfromPlannedChange | Créé à partir d’une modification planifiée, avec la syntaxe suivante : (‘X’ , ‘ ‘) |
| CurrencyKeyNew | Clé de devise : nouvelle valeur |
| CurrencyKeyOld | Clé de devise : ancienne valeur |
| Nom de champ | Nom du champ |
| Texte de drapeau | Texte d’indicateur |
| Hôte | Hôte |
| Cas | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| Langage | Langage |
| ObjectClass | Classe d’objet, comme BELEG, BPAR, PFCG, IDENTITY |
| Identifiant d'objet | ID objet |
| PlannedChangeNum | Numéro de modification planifiée |
| SystemID | ID système |
| Numéro du Système | Numéro système |
| NomTable | Nom de la table |
| Code de Transaction | Code de transaction |
| TypeofChange_Header | Type d’en-tête de modification, y compris : U = Changer ; I = Insérer ; E = Supprimer un seul doc ; D = Supprimer ; J = Insérer un seul doc |
| TypeofChange_Item | Type d’élément de modification, y compris : U = Changer ; I = Insérer ; E = Supprimer un seul doc ; D = Supprimer ; J = Insérer un seul doc |
| UOMNew | Unité de mesure : nouvelle valeur |
| UOMOld | Unité de mesure : ancienne valeur |
| Utilisateur | Utilisateur |
| ValueNew | Contenu du champ : nouvelle valeur |
| ValueOld | Contenu du champ : ancienne valeur |
| Version | Version |
Journal ABAP CR
Fonction Microsoft Sentinel pour interroger ce journal : SAPCRLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : inclut les journaux du système de modification et de transport (CTS), y compris les objets d’annuaire et les personnalisations où des modifications ont été apportées.
Disponible en utilisant RFC basé sur les tables standard et les services SAP standard. Ce journal est généré avec des données de tous les clients.
Remarque
En plus de la journalisation des applications, des documents de modification et de l’enregistrement des tables, toutes les modifications apportées à votre système de production à l’aide du système modification et de transport sont documentées dans les journaux CTS et TMS.
Schéma du journal ABAPCRLog_CL
| Champ | Descriptif |
|---|---|
| Catégorie | Catégorie (Workbench, personnalisation) |
| ClientID | ID client ABAP (MANDT) |
| Descriptif | Descriptif |
| Hôte | Hôte |
| Cas | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| Nom de l'Objet | Nom d’objet |
| Type d'Objet | Type d’objet |
| Propriétaire | Propriétaire |
| Requête | Demande de modification |
| Statut | Statut |
| SystemID | ID système |
| Numéro du Système | Numéro système |
| TableKey | Clé de table |
| NomTable | Nom de la table |
| NomVue | Nom de l’affichage |
Journal des données de table ABAP DB (PRÉVERSION)
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json. Ce journal n’est pas pris en charge lors de l’utilisation de la procédure recommandée pour installer l’agent de connecteur de données à partir du portail.
Fonction Microsoft Sentinel pour interroger ce journal : SAPTableDataLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : fournit la journalisation pour ces tables critiques ou vulnérables aux audits.
Disponible en utilisant RFC avec un service personnalisé. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPTableDataLog_CL
| Champ | Descriptif |
|---|---|
| DBLogID | ID du journal DB |
| Hôte | Hôte |
| Cas | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| Langage | Langage |
| LogKey | Clé de journal |
| NouvelleValeur | Nouvelle valeur du champ |
| OldValue | Ancienne valeur du champ |
| OperationTypeSQL | Type d’opération, Insert, Update, Delete |
| Programme | Nom du programme |
| SystemID | ID système |
| Numéro du Système | Numéro système |
| TableField | Champ de table |
| NomTable | Nom de la table |
| Code de Transaction | Code de transaction |
| Nom d’utilisateur | Utilisateur |
| Numéro de version | Numéro de version |
Journal de passerelle ABAP (PRÉVERSION)
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json. Ce journal n’est pas pris en charge lors de l’utilisation de la procédure recommandée pour installer l’agent de connecteur de données à partir du portail.
Fonction Microsoft Sentinel pour interroger ce journal : SAPOS_GW
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : surveille les activités de passerelle. Disponible par le service web SAP Control. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPOS_GW_CL
| Champ | Descriptif |
|---|---|
| Hôte | Hôte |
| Cas | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| Texte du message | Texte du message |
| Gravité | Gravité du message : Debug, Info, Warning, Error |
| SystemID | ID système |
| Numéro du Système | Numéro système |
Journal ICM ABAP (PRÉVERSION)
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json. Ce journal n’est pas pris en charge lors de l’utilisation de la procédure recommandée pour installer l’agent de connecteur de données à partir du portail.
Fonction Microsoft Sentinel pour interroger ce journal : SAPOS_ICM
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : enregistre les requêtes entrantes et sortantes et compile les statistiques des requêtes HTTP.
Disponible par le service web SAP Control. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPOS_ICM_CL
| Champ | Descriptif |
|---|---|
| Hôte | Hôte |
| Cas | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| Texte du message | Texte du message |
| Gravité | Gravité du message, y compris : Debug, Info, Warning, Error |
| SystemID | ID système |
| Numéro du Système | Numéro système |
Journal des tâches ABAP
Fonction Microsoft Sentinel pour interroger ce journal : SAPJobLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : combine tous les journaux de travail de traitement en arrière-plan (SM37).
Disponible en utilisant RFC basé sur la table SAP standard et les services standard des interfaces XBP. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPJobLog_CL
| Champ | Descriptif |
|---|---|
| ABAPProgram | Programme ABAP |
| BgdEventParameters | Paramètres d’événement en arrière-plan |
| BgdProcessingEvent | Événement de traitement en arrière-plan |
| ClientID | ID client ABAP (MANDT) |
| DynproNumber | Numéro Dynpro |
| GUIStatus | État GUI |
| Hôte | Hôte |
| Cas | Instance ABAP (HOST_SYSID_SYSNR), avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| JobClassification | Classification du travail |
| JobCount | Nombre de travaux |
| JobGroup | Groupe de travaux |
| Nom du travail | Nom du travail |
| JobPriority | priorité de travail |
| MessageClass | Message, classe |
| MessageNumber | Numéro de message |
| Texte du message | Texte du message |
| Type de message | type de message |
| ReleaseUser | Utilisateur de validation du travail |
| PlanningDateTime | Date et heure de la planification |
| DateHeureDébut | Date et heure de début |
| SystemID | ID système |
| Numéro du Système | Numéro système |
| TargetServer | Serveur cible |
| Utilisateur | Utilisateur |
| UserReleaseInstance | Instance ABAP - version utilisateur |
| WorkProcessID | ID du processus de travail |
| WorkProcessNumber | Numéro du processus de travail |
Journal d’audit de sécurité ABAP
Fonction Microsoft Sentinel pour l’interrogation de ce journal : SAPAuditLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : enregistre les données suivantes :
- Modifications relatives à la sécurité dans l’environnement du système SAP, comme les modifications apportées aux enregistrements des utilisateurs principaux
- Informations qui fournissent un niveau de données plus élevé, comme les tentatives de connexion réussies et infructueuses
- Informations qui permettent de reconstruire une série d’événements, comme les démarrages de transaction réussis ou ayant échoué
Disponible à l’aide des interfaces RFC XAL/SAL. SAL est disponible à partir de la version Basis 7.50. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPAuditLog_CL
| Champ | Descriptif |
|---|---|
| ABAPProgramName | Nom du programme, SAL uniquement |
| AlertSeverity | Gravité de l’alerte |
| AlertSeverityText | Texte de gravité d’alerte, SAL uniquement |
| AlertValue | Valeur d’alerte |
| AuditClassID | ID de classe d’audit, SAL uniquement |
| ClientID | ID client ABAP (MANDT) |
| Ordinateur | Ordinateur de l’utilisateur, SAL uniquement |
| Courrier | E-mail de l’utilisateur |
| Hôte | Hôte |
| Cas | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| MessageClass | Message, classe |
| MessageContainerID | ID de conteneur de message, XAL uniquement |
| MessageID | ID de message, tel que ‘AU1’,’AU2’… |
| Texte du message | Texte du message |
| NomDeLobjetDeSurveillance | Nom d’objet MTE Monitor, XAL uniquement |
| NomAbrégéDuMoniteur | Nom court MTE Monitor, XAL uniquement |
| SAPProcessType | Journal système : type de processus SAP, SAL uniquement |
| B* - Traitement en arrière-plan | |
| D* - Traitement de dialogue | |
| U* - Mettre à jour les tâches | |
| SAPWPName | Journal système : numéro de processus de travail, SAL uniquement |
| SystemID | ID système |
| Numéro du Système | Numéro système |
| TerminalIPv6 | Adresse IP de l’ordinateur utilisateur, SAL uniquement |
| Code de Transaction | Code de transaction, SAL uniquement |
| Utilisateur | Utilisateur |
| Variable1 | Variable de message 1 |
| Variable2 | Variable de message 2 |
| Variable3 | Variable de message 3 |
| Variable4 | Variable de message 4 |
Journal ABAP Spool
Fonction Microsoft Sentinel pour interroger ce journal : SAPSpoolLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : sert de journal principal pour l’impression SAP avec l’historique des demandes de pool. (SP01).
Disponible en utilisant RFC basé sur la table SAP standard. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPSpoolLog_CL
| Champ | Descriptif |
|---|---|
| ArchiveStatus | État de l’archive |
| ArchiveType | Type d’archive |
| ArchivingDevice | Appareil d’archivage |
| AutoRereoute | Rediriger automatiquement |
| ClientID | ID client ABAP (MANDT) |
| CountryKey | Clé pays/région |
| DeleteSpoolRequestAuto | Supprimer automatiquement la demande de spool |
| DelFlag | Indicateur de suppression |
| department | department |
| DocumentType ; | Type du document |
| ExternalMode | Mode externe |
| Type de Format | Type de format |
| Hôte | Hôte |
| Cas | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | Nombre de copies |
| OutputDevice | Appareil de sortie |
| PrinterLongName | Nom long de l’imprimante |
| Imprimer immédiatement | Imprimer immédiatement |
| PrintOSCoverPage | Imprimer la page OSCover |
| PrintSAPCoverPage | Imprimer la page SAPCover |
| Priorité | Priorité |
| RecipientofSpoolRequest | Destinataire de la demande de spool |
| SpoolErrorStatus | État d’erreur du spool |
| SpoolRequestCompleted | Demande de spool terminée |
| SpoolRequestisALogForAnotherRequest | La demande spool est un journal pour une autre demande |
| SpoolRequestName | Nom de la demande de spool |
| SpoolRequestNumber | Numéro de demande de spool |
| SpoolRequestSuffix1 | Demande de spool, suffixe1 |
| SpoolRequestSuffix2 | Demande de spool, suffixe2 |
| SpoolRequestTitle | Titre de la demande de spool |
| SystemID | ID système |
| Numéro du Système | Numéro système |
| TelecommunicationsPartner | Partenaire de télécommunications |
| TelecommunicationsPartnerE | Partenaire de télécommunications E |
| TemSeGeneralcounter | Compteur Temse |
| TemseNumAddProtectionRule | Temse, numéro d’ajout de règle de protection |
| TemseNumChangeProtectionRule | Temse, numéro de modification de règle de protection |
| TemseNumDeleteProtectionRule | Temse, numéro de suppression de règle de protection |
| TemSeObjectName | Nom d’objet Temse |
| TemSeObjectPart | Partie de l’objet Temse |
| TemseReadProtectionRule | Temse, lecture de règle de protection |
| Utilisateur | Utilisateur |
| ValueAuthCheck | Vérification de l’authentification de la valeur |
Journal de sortie APAB Spool
Fonction Microsoft Sentinel pour interroger ce journal : SAPSpoolOutputLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : sert de journal principal pour l’impression SAP avec l’historique des demandes de sortie de pool. (SP02).
Disponible en utilisant RFC avec un service personnalisé basé sur les tables standard. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPSpoolOutputLog_CL
| Champ | Descriptif |
|---|---|
| AppServer | Serveur d’applications |
| ClientID | ID client ABAP (MANDT) |
| Commentaire | Commentaire |
| CopyCount | Nombre de copies |
| CopyCounter | Compteur de copies |
| department | department |
| ErrorSpoolRequestNumber | Numéro de demande d’erreur |
| Type de Format | Type de format |
| Hôte | Hôte |
| Nom d'hôte | Nom de l’hôte |
| HostSpoolerID | ID du spouleur de l’hôte |
| Cas | Instance ABAP |
| DernièrePage | Dernière page |
| NumofCopies | Nombre de copies |
| OutputDevice | Appareil de sortie |
| OutputRequestNumber | Numéro de demande de sortie |
| OutputRequestStatus | État de la demande de sortie |
| PhysicalFormatType | Type de format physique |
| PrinterLongName | Nom long de l’imprimante |
| PrintRequestSize | Taille de la demande d’impression |
| Priorité | Priorité |
| ReasonforOutputRequest | Motif de la demande de sortie |
| RecipientofSpoolRequest | Destinataire de la demande de spool |
| SpoolNumberofOutputReqProcessed | Nombre de demandes de sortie traitées |
| SpoolNumberofOutputReqWithErrors | Nombre de demandes de sortie avec des erreurs |
| SpoolNumberofOutputReqWithProblems | Nombre de demandes de sortie avec des problèmes |
| SpoolRequestNumber | Numéro de demande de spool |
| StartPage | Page de démarrage |
| SystemID | ID système |
| Numéro du Système | Numéro système |
| TelecommunicationsPartner | Partenaire de télécommunications |
| TemSeGeneralcounter | Compteur Temse |
| Titre | Titre |
| Utilisateur | Utilisateur |
ABAP Syslog
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json. Ce journal n’est pas pris en charge lors de l’utilisation de la procédure recommandée pour installer l’agent de connecteur de données à partir du portail.
Fonction Microsoft Sentinel pour interroger ce journal : SAPOS_Syslog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : enregistre toutes les erreurs système ABAP de SAP NetWeaver (SAP NetWeaver AS), les avertissements, les verrous utilisateur en raison d’échecs de tentatives de connexion à partir d’utilisateurs connus et de messages de traitement.
Disponible par le service web SAP Control. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPOS_Syslog_CL
| Champ | Descriptif |
|---|---|
| ClientID | ID client ABAP (MANDT) |
| Hôte | Hôte |
| Cas | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | Numéro de message |
| Texte du message | Texte du message |
| Gravité | Gravité du message, l’une des valeurs suivantes : Debug, Info, Warning, Error |
| SystemID | ID système |
| Numéro du Système | Numéro système |
| TransacationCode | Code de transaction |
| Catégorie | Type de processus SAP |
| Utilisateur | Utilisateur |
Journal ABAP Workflow
Fonction Microsoft Sentinel pour interroger ce journal : SAPWorkflowLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : le flux de travail métier SAP (moteur WebFlow) vous permet de définir des processus métier qui ne sont pas encore mappés dans le système SAP.
Par exemple, les processus métier non mappés peuvent être des procédures de publication ou d’approbation simples, ou des processus métier plus complexes tels que la création de matériel de base, puis la coordination des services associés.
Disponible en utilisant RFC basé sur les tables SAP standard. Ce journal est généré par client.
Schéma du journal ABAPWorkflowLog_CL
| Champ | Descriptif |
|---|---|
| ActualAgent | Agent réel |
| Adresse | Adresse |
| ApplicationArea | Domaine d'application |
| CallbackFunction | Fonction de rappel |
| ClientID | ID client ABAP (MANDT) |
| DateHeureDeCréation | Date/heure de création |
| Créateur | Créateur |
| CreatorAddress | Adresse du créateur |
| Type d'erreur | Type d’erreur |
| ExceptionforMethod | Exception pour la méthode |
| Hôte | Hôte |
| Cas | Instance ABAP (HOST_SYSID_SYSNR), avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| Langage | Langage |
| LogCounter | Compteur du journal |
| MessageNumber | Numéro de message |
| Type de message | type de message |
| MethodUser | Utilisateur de méthode |
| Priorité | Priorité |
| SimpleContainer | Conteneur simple, empaqueté sous la forme d’une liste d’entités clé-valeur pour l’élément de travail |
| Statut | Statut |
| SuperWI | Super WI |
| SystemID | ID système |
| Numéro du Système | Numéro système |
| ID de tâche | ID de la tâche |
| TasksClassification | Classifications des tâches |
| TaskText | Texte de la tâche |
| TopTaskID | ID de la tâche supérieure |
| UserCreated | Créé par l’utilisateur |
| WIText | Texte de l’élément de travail |
| WIType | Type d'élément de travail |
| WorkflowAction | Action workflow |
| WorkItemID | ID d'élément de travail |
Journal ABAP WorkProcess
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json. Ce journal n’est pas pris en charge lors de l’utilisation de la procédure recommandée pour installer l’agent de connecteur de données à partir du portail.
Fonction Microsoft Sentinel pour interroger ce journal : SAPOS_WP
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : combine tous les journaux de processus de travail. (valeur par défaut :
dev_*).Disponible par le service web SAP Control. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPOS_WP_CL
| Champ | Descriptif |
|---|---|
| Hôte | Hôte |
| Cas | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| Texte du message | Texte du message |
| Gravité | Gravité du message : Debug, Info, Warning, Error |
| SystemID | ID système |
| Numéro du Système | Numéro système |
| WPNumber | Numéro du processus de travail |
Piste d’audit HANA DB
La collecte du journal de la piste d’audit de base de données HANA est un exemple de la façon dont Microsoft Sentinel collecte les activités de couche de base de données. Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez déployer l’agent Azure Monitor pour collecter des données Syslog à partir de la machine exécutant la base de données HANA.
Fonction Microsoft Sentinel pour interroger ce journal : SAPSyslog
Documentation SAP associée :Piste d’audit |
Objectif du journal : enregistre les actions utilisateur ou tente d’effectuer des actions dans la base de données SAP HANA. Par exemple, vous permet d’enregistrer et de superviser l’accès en lecture aux données sensibles.
Disponible par l’agent Linux Microsoft Sentinel pour Syslog. Ce journal est généré avec des données de tous les clients.
Schéma du journal Syslog
| Champ | Descriptif |
|---|---|
| Ordinateur | Nom de l’hôte |
| IP de l'hôte | Adresse IP hôte |
| Nom d'hôte | Nom de l’hôte |
| ID de processus | ID du processus |
| ProcessName | Nom du processus : HDB* |
| Niveau de gravité | Alerte |
| SourceSystem | SE du système source, Linux |
| SyslogMessage | Message de piste d’audit non analysé |
Fichiers JAVA
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json. Ce journal n’est pas pris en charge lors de l’utilisation de la procédure recommandée pour installer l’agent de connecteur de données à partir du portail.
Fonction Microsoft Sentinel pour interroger ce journal : SAPJAVAFilesLogs
Documentation SAP associée :Journal d’audit de sécurité Java |
Objectif du journal : combine tous les journaux d’activité basés sur des fichiers Java, notamment le journal d’audit de sécurité et le système (processus de cluster et de serveur), les performances et les journaux de passerelle. Inclut également les journaux Traces Développeur et Trace par défaut.
Disponible par le service web SAP Control. Ce journal est généré avec des données de tous les clients.
Schéma du journal JavaFilesLogsCL
| Champ | Descriptif |
|---|---|
| Application | Application Java |
| ClientID | ID client |
| CSNComponent | Composant CSN, tel que BC-XI-IBD |
| DCComponent | Composant DC, tel que com.sap.xi.util.misc |
| DSRCounter | Compteur DSR |
| DSRRootContentID | GUID du contexte DSR |
| DSRTransaction | GUID de transaction DSR |
| Hôte | Hôte |
| Cas | Instance Java, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| Emplacement | Classe Java |
| LogName | Nom de journal Java, par exemple : Available, defaulttrace, dev*, security, etc. |
| Texte du message | Texte du message |
| MNo | Numéro de message |
| Pid | ID du processus |
| Programme | Nom du programme |
| session | session |
| Gravité | Gravité du message, y compris : Debug, Info, Warning, Error |
| Solution | Solution |
| SystemID | ID système |
| Numéro du Système | Numéro système |
| ThreadName | Nom du thread |
| Jeté | Exception levée |
| Fuseau horaire | Fuseau horaire |
| Utilisateur | Utilisateur |
Journal des pulsations SAP
Fonction Microsoft Sentinel pour interroger ce journal : SAPConnectorHealth
Objectif du journal : fournit des pulsations et d’autres informations d’intégrité sur la connectivité entre les agents et les différents systèmes SAP.
Créé automatiquement pour tous les agents du connecteur de données Microsoft Sentinel pour SAP.
Schéma du journal SAP_HeartBeat_CL
| Champ | Descriptif |
|---|---|
| Temporisé | Heure de l’événement de publication de journal |
| agent_id_s | ID d’agent dans la configuration de l’agent (généré automatiquement) |
| agent_ver_s | Version de l’agent |
| host_s | Nom d’hôte de l’agent |
| system_id_s | ID du système Netweaver ABAP / Hôte NetWeaver SAPControl (préversion) / Hôte Java SAPControl (préversion) |
| push_timestamp_d | Horodatage de l’extraction, en fonction du fuseau horaire de l’agent |
| agent_timezone_s | Fuseau horaire de l’agent |
Référence des tables récupérées directement à partir de systèmes SAP
Cette section répertorie les tables de données qui sont récupérées directement à partir du système SAP et ingérées dans Microsoft Sentinel telles quelles.
Les données récupérées à partir de ces tables fournissent une vue claire de la structure d’autorisation, de l’appartenance aux groupes et des profils utilisateur. Elles vous permettent également de suivre le processus d’octroi et de révocation d’autorisations, ainsi que d’identifier et gouverner les risques associés à ces processus.
Les tables répertoriées ci-dessous sont requises pour activer les fonctions qui identifient les utilisateurs privilégiés, et mappent les utilisateurs à des rôles, groupes et autorisations.
Pour obtenir de meilleurs résultats, reportez-vous à ces tables en utilisant le nom dans la colonne nom de la fonction Microsoft Sentinel dans le tableau suivant :
| Nom de la table | Description de la table | Nom de la fonction Microsoft Sentinel |
|---|---|---|
| USR01 | Enregistrement de référence d’utilisateur (données de runtime) | SAP_USR01 |
| USR02 | Données de connexion (utilisation côté noyau) | SAP_USR02 |
| UST04 | Références d’utilisateur Mappe les utilisateurs à des profils |
SAP_UST04 |
| AGR_USERS | Attribution de rôles aux utilisateurs | SAP_AGR_USERS |
| AGR_1251 | Données d’autorisation pour le groupe d’activités | SAP_AGR_1251 |
| USGRP_UTILISATEUR | Attribution d’utilisateurs à des groupes d’utilisateurs | SAP_USGRP_USER |
| USR21 | Nom d’utilisateur / Affectation de clé d’adresse | SAP_USR21 |
| ADR6 | Adresses e-mail (services d’adresse professionnelle) | SAP_ADR6 |
| Estampille USR | Date et heure pour toutes les modifications apportées à l’utilisateur | SAP_USRSTAMP |
| L’ADCP | Personne / Affectation d’adresse (services d’adresse professionnelle) | SAP_ADCP |
| USR05 | ID de paramètre de référence d’utilisateur | SAP_USR05 |
| AGR_PROF | Nom du profil pour le rôle | SAP_AGR_PROF |
| AGR_FLAGS | Attributs de rôle | SAP_AGR_FLAGS |
| DEVACCESS | Table pour l’utilisateur de développement | SAP_DEVACCESS |
| AGR_DEFINE | Définition de rôle | SAP_AGR_DEFINE |
| AGR_AGRS | Rôles dans des rôles composites | SAP_AGR_AGRS |
| PAHI | Historique des paramètres du système, de la base de données et de SAP | SAP_PAHI |
| SNCSYSACL (PRÉVERSION) | Liste de contrôle d’accès (ACL) SNC : Systèmes | SAP_SNCSYSACL |
| USRACL (PRÉVERSION) | Liste de contrôle d’accès (ACL) SNC : Utilisateur | SAP_USRACL |
Contenu connexe
Pour plus d’informations, consultez l’article suivant :