Référence de données des applications Solution Microsoft Sentinel pour SAP®

  • Article

Important

Certains composants de la solution Microsoft Sentinel Threat Monitoring for SAP sont actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Certains journaux, indiqués ci-dessous, ne sont pas envoyés à Microsoft Sentinel par défaut, mais vous pouvez les ajouter manuellement si nécessaire. Pour plus d’informations, consultez Définir les journaux SAP qui sont envoyés à Microsoft Sentinel.

Cet article décrit les fonctions, journaux et tables disponibles dans le cadre des applications Solution Microsoft Sentinel pour SAP® et de leur connecteur de données. Il est destiné aux utilisateurs SAP avancés.

Fonctions disponibles à partir de la solution SAP

Cette section décrit les fonctions disponibles dans votre espace de travail une fois que vous avez déployé les applications Solution Microsoft Sentinel pour SAP®. Recherchez ces fonctions dans la page Journaux de Microsoft Sentinel à utiliser dans vos requêtes KQL, répertoriées sous Fonctions d’espace de travail.

Les utilisateurs sont vivement encouragés à utiliser les fonctions comme objets de leur analyse quand c’est possible, au lieu des journaux ou tables sous-jacents. Ces fonctions sont destinées à servir d’interface utilisateur principale pour les données. Elles constituent la base de l’ensemble des règles et des classeurs d’analytique intégrées disponibles pour une utilisation immédiate. Ceci permet d’apporter des modifications à l’infrastructure des données derrière les fonctions, sans endommager le contenu créé par les utilisateurs.

SAPUsersAssignments

La fonction SAPUsersAssignments rassemble des données de plusieurs sources de données SAP et crée une vue centrée sur l’utilisateur des données de référence de l’utilisateur actuel, y compris les rôles et profils actuellement affectés.

Cette fonction résume les attributions d’utilisateurs aux rôles et profils, et retourne les données suivantes :

Champ Description Source de données/Notes
Utilisateur ID d’utilisateur SAP SAL uniquement
Courrier Adresse SMTP USR21 (SMTP_ADDR)
UserType Type d’utilisateur USR02 (USTYP)
Fuseau horaire Fuseau horaire USR02 (TZONE)
LockedStatus Statut de verrouillage USR02 (UFLAG)
LastSeenDate Date de dernière consultation USR02 (TRDAT)
LastSeenTime Heure de dernière consultation USR02 (LTIME)
UserGroupAuth Groupe d’utilisateurs dans la maintenance principale de l’utilisateur USR02 (CLASS)
Profils Ensemble de profils (taille maximale par défaut = 50) ["Profile 1", "Profile 2",...,"profile 50"]
DirectRoles Ensemble de rôles directement affectés (taille maximale par défaut = 50) ["Role 1", "Role 2",...,"”"Role 50"]
ChildRoles Ensemble de rôles indirectement affectés (taille maximale par défaut = 50) ["Role 1", "Role 2",...,"”"Role 50"]
Client ID client
SystemID ID système Comme défini dans le connecteur

SAPUsersGetPrivileged

La fonction SAPUsersGetPrivileged retourne une liste d’utilisateurs privilégiés par client et ID système.

Les utilisateurs sont considérés comme privilégiés lorsqu’ils figurent dans la Watchlist SAP - Utilisateurs privilégiés, qu’un profil répertorié dans la Watchlist SAP - Profils sensibles leur a été attribué ou qu’ils ont été ajoutés à un rôle répertorié dans la Watchlist SAP - Rôles sensibles.

Paramètres :

  • TimeAgo
    • Facultatif
    • Valeur par défaut : Sept jours
    • Détermine que la fonction recherche les données de référence d’utilisateur entre l’heure définie par la valeur TimeAgo et l’heure définie par la valeur now().

La fonction SAPUsersGetPrivileged retourne les données suivantes :

Champ Description
Utilisateur ID d’utilisateur SAP
Client ID client
SystemID ID système

SAPUsersAuthorizations

La fonction SAPUsersAuthorizations regroupe les données de plusieurs tables pour produire une vue centrée sur l’utilisateur des rôles et autorisations actuels affectés. Seuls les utilisateurs avec des attributions de rôle et d’autorisation actives sont retournés.

Paramètres :

  • TimeAgo
    • Facultatif
    • Valeur par défaut : Sept jours
    • Détermine que la fonction recherche les données de référence d’utilisateur entre l’heure définie par la valeur TimeAgo et l’heure définie par la valeur now().

La fonction SAPUsersAuthorizations retourne les données suivantes :

Champ Description Notes
Utilisateur ID d’utilisateur SAP
Rôles Ensemble de rôles (taille maximale par défaut = 50) ["Role 1", "Role 2",...,"Role 50"]
AuthorizationsDetails Ensemble d’autorisations (taille maximale par défaut = 100) {{AuthorizationsDeatils1},
{AuthorizationsDeatils2},
...,
{AuthorizationsDeatils100}}
Client ID client
SystemID ID système

SAPConnectorHealth

La fonction SAPConnectorHealth reflète l’état de la connectivité de l’agent et du système SAP sous-jacent. En fonction du journal des pulsations SAP_HeartBeat_CL et d’autres indicateurs d’intégrité, il retourne les données suivantes :

Champ Description
Agent ID d’agent dans la configuration de l’agent (généré automatiquement)
SystemID ID du système SAP
Statut État de la connectivité globale
Détails Détails sur la connectivité
ExtendedDetails Détails étendus de la connectivité
LastSeen Horodatage de la dernière activité
StatusCode Code reflétant l’état du système

SAPConnectorOverview

La fonction SAPConnectorOverview montre le nombre de lignes de chaque table SAP par ID système. Elle retourne une liste d’enregistrements de données par ID système et leur heure de génération.

Paramètres :

  • TimeAgo
    • Facultatif
    • Valeur par défaut : Sept jours
    • Détermine que la fonction recherche les données de référence d’utilisateur entre l’heure définie par la valeur TimeAgo et l’heure définie par la valeur now().
Champ Description
TimeGenerated Valeur datetime de l’horodatage de la génération de l’enregistrement
SystemID_s Chaîne représentant l’ID du système SAP.

Utilisez la requête Kusto suivante pour effectuer une analyse de tendance quotidienne :

SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s

SAPUsersEmail

La fonction SAPUsersEmail permet une recherche orientée performances de l’adresse e-mail d’un utilisateur SAP par système et client SAP, normalement utilisée pour l’associer à un compte Active Directory. À l’aide de données extraites des tables SAP USR21 (attribution de clé nom d’utilisateur/adresse) et ADR6 (adresses e-mail), la fonction SAPUsersEmail recherche une adresse e-mail. S’il n’y en a pas, l’ID utilisateur est renvoyé à la place de l’adresse e-mail. Ce comportement garantit que les comptes de service SAP (comme DDIC), qui ne sont souvent pas associés à des adresses e-mail, sont enregistrés en tant que comptes pseudo AD, ce qui permet d’activer certaines fonctionnalités UEBA et de faciliter l’enquête sur les incidents et les activités de chasse.

Champ Description
ClientID L’ID client SAP
SystemID l’ID du système SAP ;
Utilisateur L’ID d’utilisateur SAP
E-mail L’adresse e-mail de l’utilisateur SAP

SAPSystems

La fonction SAPSystems est utilisée pour présenter de manière centralisée la configuration par système effectuée à l’aide de la watchlist « SAP - Systèmes ».

Paramètres :

  • SelectedSystems
    • Facultatif
    • Valeur par défaut : « Tous les systèmes »
    • Utilisé pour filtrer des systèmes SAP spécifiques
  • SelectedSystemRoles
    • Facultatif
    • Valeur par défaut : « Tous les rôles système »
    • Détermine les rôles des systèmes SAP à examiner (comme défini dans la watchlist « SAP - Systèmes »)
Champ Description Source de données/Notes
Clé de recherche Clé de recherche Champ indexé pour l’ID système SAP
SystemRole Rôle du système SAP Production, UAT
SystemUsage L’utilisation principale du système SAP ERP, CRM
SystemID l’ID du système SAP ;

SAPAuditLogConfiguration

La fonction SAPAuditLogConfiguration retourne la configuration locale des alertes de journal d’audit SAP de l’espace de travail Sentinel, à utiliser pour les différentes alertes liées au journal d’audit SAP. Elle joint les données dans les watchlists « Configuration du moniteur de journal d’audit dynamique SAP » et « SAP - Systèmes » pour fournir une configuration par système à un effort par rôle système.

Paramètres :

  • SelectedSystems
    • Facultatif
    • Valeur par défaut : « Tous les systèmes »
    • Utilisé pour filtrer des systèmes SAP spécifiques à examiner.
  • SelectedSystemRoles
    • Facultatif
    • Valeur par défaut : « Tous les rôles système »
    • Détermine les rôles des systèmes SAP à examiner (comme défini dans la watchlist « SAP - Systèmes »).
  • SelectedSeverities
    • Facultatif
    • Valeur par défaut : ["High", "Medium"]
    • Permet de déterminer les événements à examiner en termes de gravité. Les gravités par ID de message du journal d’audit SAP et le rôle système sont définies dans la watchlist « SAP_Dynamic_Audit_Log_Monitor_Configuration ».
  • SelectedRuleTypes
    • Facultatif
    • Valeur par défaut : « All RuleTypes »
    • Détermine les événements pertinents pour détecter les anomalies. Les types de règles par ID de message du journal d’audit SAP et le rôle système sont définies dans la watchlist « SAP_Dynamic_Audit_Log_Monitor_Configuration ».
Champ Description Source de données/Notes
CategoryName (Nom de catégorie) Catégorie d’événements donnée par SAP Watchlist « Configuration du moniteur de journal d’audit dynamique SAP »
DestinationEmail Adresse e-mail de l’équipe affectée Watchlist « Configuration du moniteur de journal d’audit dynamique SAP »
DetailedDescription Texte Markdown mis en forme à afficher sur les alertes Watchlist « Configuration du moniteur de journal d’audit dynamique SAP »
MessageID ID du message du journal d’audit SAP Watchlist « Configuration du moniteur de journal d’audit dynamique SAP »
MessageText Exemple de texte de message Watchlist « Configuration du moniteur de journal d’audit dynamique SAP »
RolesTagsToExclude un rôle ABAP, un profil ou une étiquette en texte libre Watchlist « Configuration du moniteur de journal d’audit dynamique SAP »
RuleType Anomalie ou déterministe Watchlist « Configuration du moniteur de journal d’audit dynamique SAP »
Tactique La tactique MITRE ATTA&CK Watchlist « Configuration du moniteur de journal d’audit dynamique SAP »
TeamsChannelID Canal Teams Watchlist « Configuration du moniteur de journal d’audit dynamique SAP »
SystemID l’ID du système SAP ; Watchlist ’SAP - Systems’
SystemRole Rôle du système SAP Watchlist ’SAP - Systems’
SystemUsage L’utilisation principale du système SAP Watchlist ’SAP - Systems’
IsProd Indicateur du système de production Watchlist ’SAP - Systems’
Gravité Gravité dérivée Gravité par utilisation du système
Seuil Seuil dérivé Nombre d’événements par utilisation du système
BagOfDetails Sac de détails Dictionnaire détaillant la définition d’événement

SAPAuditLogAnomalies

SAPAuditLogAnomalies utilise les fonctionnalités intégrées de la base de données Kusto sous-jacente de Sentinel pour détecter les événements anormaux observés dans le journal d’audit SAP. Développée pour la règle d’alerte « Alertes d’analyse des journaux d’audit basées sur des anomalies dynamiques (expérimentales) », cette fonction a été initialement conçue pour alerter sur les anomalies récentes, mais elle peut également aider à mettre en évidence les anomalies historiques (voir les exemples ci-dessous).

Paramètres :

  • LearningTime
    • Facultatif
    • Valeur par défaut : 14 jours
    • Détermine l’intervalle de temps utilisé pour la formation du modèle
  • DetectingTime
    • Facultatif
    • Valeur par défaut : une heure
    • Détermine l’intervalle de temps à examiner pour détecter les anomalies. L’appel de cette fonction avec DetectingTime = 0h met en évidence les anomalies dans l’ensemble de l’intervalle de temps LearningTime
  • SelectedSystems
    • Facultatif
    • Valeur par défaut : « Tous les systèmes »
    • Utilisé pour filtrer des systèmes SAP spécifiques à examiner.
  • SelectedSystemRoles
    • Facultatif
    • Valeur par défaut : « Tous les rôles système »
    • Détermine les rôles des systèmes SAP à examiner (comme défini dans la watchlist « SAP - Systèmes »).
  • SelectedSeverities
    • Facultatif
    • Valeur par défaut : ["High", "Medium"]
    • Permet de déterminer les événements à examiner en termes de gravité. Les gravités par ID de message du journal d’audit SAP et le rôle système sont définies dans la watchlist « SAP_Dynamic_Audit_Log_Monitor_Configuration ».
  • SelectedPrefixMask
    • Facultatif
    • Valeur par défaut : 24
    • Utilisé pour déterminer le niveau de masque de sous-réseau utilisé pour l’apprentissage et la détection.
  • SelectedRuleTypes
    • Facultatif
    • Valeur par défaut : « AnomaliesOnly »
    • Détermine les événements pertinents pour détecter les anomalies. Les types de règles par ID de message du journal d’audit SAP et le rôle système sont définies dans la watchlist « SAP_Dynamic_Audit_Log_Monitor_Configuration ».

Logique

La fonction apprend la tranche de l’historique définie par les différents paramètres d’entrée, aux niveaux utilisateur, attribut réseau, système, saisonnalité et activité. Elle juge ensuite les événements qui se produisent dans le dernier intervalle de temps de DetectingTime en fonction de ce qu’elle a appris, appliquant des seuils et d’autres critères d’exclusion configurables obtenus à partir de la watchlist de configuration du journal d’audit SAP. Une fois qu’une fenêtre glissante d’activité utilisateur a été considérée anormale, une deuxième requête retourne l’ensemble de l’activité utilisateur comme preuve soutenant la décision.

Remarques supplémentaires

Comme pour n’importe quelle solution Machine Learning, cette fonction s’améliore avec le temps. Des ajustements supplémentaires peuvent être effectués à l’aide de la configuration locale. Il est recommandé de limiter la taille de la base de données apprise à moins de 100 millions d’enregistrements à l’aide des nombreux paramètres d’entrée disponibles.

Exemple : recherche des anomalies pour les événements de gravité élevée qui se sont produits au cours de la dernière heure sur les systèmes de production pour les types d’événements marqués comme « AnomaliesOnly » dans « SAP_Dynamic_Audit_Log_Monitor_Configuration »

SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), 
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))

Exemple : Recherche de toutes les anomalies au cours des 14 derniers jours dans le système « BIP »

SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Champ Description
Plusieurs champs de SAPAuditLog Champs clés du journal d’audit SAP
Plusieurs champs de SAPAuditLogConfiguration Champs clés de la configuration du journal d’audit SAP Sentinel
DiscoveredOn Heure arrondie à laquelle l’anomalie a été observée
EventCount Nombre d’événements comptés par ligne retournée
AnomalCount Nombre d’événements observés dans une fenêtre glissante appropriée
MinTime Heure du premier événement observé
MaxTime Heure du dernier événement observé
Score les scores d’anomalie générés par le modèle d’anomalie

Pour plus d’informations, consultez Règles d’analytique SAP intégrées pour surveiller le journal d’audit SAP.

SAPAuditLogConfigRecommend

SAPAuditLogConfigRecommend est une fonction d’aide conçue pour offrir des recommandations pour la configuration de la règle d’analyse SAP - Alertes du moniteur de journal d’audit basées sur les anomalies dynamiques (PRÉVERSION). Découvrez comment configurer les règles.

SAPUsersGetVIP

La solution Microsoft Sentinel pour les applications SAP® utilise un concept d’étiquetage des utilisateurs centraux et d’exclusions explicites, conçue pour vous aider à réduire les faux positifs avec un effort minimal. Utilisez la fonction SAPUsersGetVIP pour exclure les utilisateurs du déclenchement d’alertes en spécifiant des rôles d’utilisateur SAP, des fonctions utilisateur SAP ou des balises qui représentent ces utilisateurs. Pour plus d’informations, consultez Gérer les faux positifs dans Microsoft Sentinel.

Les balises spécifiées comme entrée pour la fonction SAPUsersGetVIP excluent tous les utilisateurs avec une balise répertoriée dans la liste de surveillance SAP_User_Config . La même fonctionnalité est étendue pour fonctionner avec des caractères génériques carte, ce qui vous permet d’affecter une balise unique à un groupe d’utilisateurs avec la même syntaxe de nommage.

  1. Étiquetez les utilisateurs dans la liste de surveillance SAP_User_Config comme suit :

    • Ajoutez plusieurs balises à chaque utilisateur dans la SAP_User_Config watchlist, selon les besoins pour couvrir différents scénarios. Chaque règle d’alerte a ses propres balises pertinentes, le cas échéant, et vous pouvez ajouter des balises personnalisées si nécessaire.

    • Utilisez un astérisque (*) comme caractère générique carte pour inclure des utilisateurs avec un modèle de syntaxe d’affectation de noms spécifique.

  2. Ajoutez la fonction SAPUsersGetVIP dans vos règles d’analyse pour demander les listes des utilisateurs que vous avez définis pour être exclus des alertes. Dans l’appel de fonction, ajoutez un tableau avec les balises, les rôles SAP et les profils SAP que vous souhaitez exclure.

Par exemple, utilisez la requête KQL suivante dans votre règle d’analyse pour exclure tous les utilisateurs configurés avec la balise RunObsoleteProgOK dans la liste de surveillance SAP_User_Config, ou tous les utilisateurs avec l’exemple de rôle SAP_BASIS_ADMIN_ROLE ou l’exemple de profil SAP_ADMIN_PROFILE.

Lorsque vous copiez cet exemple d’appel de fonction, remplacez SAP_BASIS_ADMIN_ROLE rôle et SAP_ADMIN_PROFILE profil par vos propres rôles ou profils SAP en fonction des besoins.

// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude

La fonction SAPUsersGetVIP est couramment utilisée dans les alertes déterministes et anormales du moniteur de journal d’audit. Associez une balise à un ID de message du journal d’audit SAP ou étendez le modèle de règle à une règle personnalisée qui correspond aux besoins de votre organisation.

Conseil

Nous vous recommandons de contacter votre administrateur système SAP pour comprendre les utilisateurs, rôles et profils SAP à inclure dans votre liste de surveillance SAP_User_Config .

Paramètres :

Nom Description Valeur par défaut
SearchForTags (facultatif) En cas SearchForTags d’égalité, tous les utilisateurs sont retournés All Tagsavec leurs balises.

Sinon, seuls les utilisateurs portant les balises, les rôles SAP ou les profils SAP spécifiés sont SearchForTags retournés. TagsIntersect affiche les balises trouvées et IntersectionSize contient le nombre de balises trouvées.		 dynamic('All Tags')
SpecialFocusTags (facultatif) Retourne tous les utilisateurs portant les balises spécifiées dans SpecialFocusTags, et marqués avec ceux avec specialFocusTagged = true. Do not return any in-focus users
Source Champ Description Notes
La liste de surveillance SAP_User_Config Clé de recherche Clé de recherche
La liste de surveillance SAP_User_Config SAPUser Utilisateur SAP OSS, DDIC
La liste de surveillance SAP_User_Config Balises Chaîne de balises attribuées à l’utilisateur RunObsoleteProgOK
La liste de surveillance SAP_User_Config ID d’objet Microsoft Entra de l’utilisateur ID d’objet Microsoft Entra
La liste de surveillance SAP_User_Config Identificateur d’utilisateur Identificateur d’utilisateur AD
La liste de surveillance SAP_User_Config Sid local de l’utilisateur
La liste de surveillance SAP_User_Config Nom d’utilisateur principal
La liste de surveillance SAP_User_Config TagsList Une liste d’étiquettes attribuées à l’utilisateur ChangeUserMasterDataOK;RunObsoleteProgOK
Logique TagsIntersect Ensemble d’étiquettes correspondant à SearchForTags ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
Logique SpecialFocusTagged Indication spéciale du focus True, False
Logique IntersectionSize Nombre d’étiquettes croisées

SAPUsersHeader

La fonction SAPUsersHeader est conçue pour fournir une vue générale de l’utilisateur SAP. Elle utilise les données extraites des tables de données principales de l’utilisateur SAP et de l’activité récente sur le journal d’audit SAP pour collecter des adresses IP et e-mail. Elle retourne ensuite les dernières adresses e-mail et IP connues, ainsi que les adresses IP et e-mail principales. Paramètres : SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"

  • SelectedSystems
    • Facultatif
    • Valeur par défaut : « Tous les systèmes »
    • Utilisé pour filtrer des systèmes SAP spécifiques à examiner.
  • SelectedSystemRoles
    • Facultatif
    • Valeur par défaut : « Tous les rôles système »
    • Détermine les rôles des systèmes SAP à examiner (comme défini dans la watchlist « SAP - Systèmes »).
  • SelectedUsers
    • Facultatif
    • Valeur par défaut : Tous les utilisateurs
    • Peut entrer des listes d’utilisateurs.
  • SelectedUser
    • Facultatif
    • Valeur par défaut : Tous les utilisateurs
    • Accepte un seul utilisateur

Remarques supplémentaires

Pour les considérations relatives aux performances, seuls quelques jours d’activité d’audit sont pris en compte. Pour obtenir un historique complet de l’activité utilisateur, exécutez une requête KQL personnalisée sur la fonction SAPAuditLog.

Source Champ Description Notes
Utilisateur Utilisateur SAP
Tables SAP ADR6 et USR21 E-mail Extrait des données de référence de l’utilisateur OSS, DDIC
Table SAP USR02 UserType chaîne d’étiquettes affectées à l’utilisateur RunObsoleteProgOK
Table SAP USR02 Fuseau horaire ID d’objet Microsoft Entra
Table SAP USR02 LockedStatus Identificateur d’utilisateur AD
Journal d’audit SAP LastSeen Un timestamp dernier événement d’audit observé pour l’utilisateur
Journal d’audit SAP LastSeenDaysAgo jours passés depuis LastSeen
Journal d’audit SAP PrimaryIP Adresse IP la plus fréquemment utilisée ChangeUserMasterDataOK;RunObsoleteProgOK
Journal d’audit SAP LastKnownIP Adresse IP la plus récemment utilisée ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
Journal d’audit SAP PrimaryEmail Adresse e-mail la plus fréquemment utilisée True, False
Journal d’audit SAP KnownIPs Liste des adresses IP connues trié par la plus haute fréquence
Journal d’audit SAP KnownEmails Liste des adresses e-mail connues trié par la plus haute fréquence
Client L’ID client SAP
SystemID L’ID du système SAP
SystemRole Rôle du système SAP Production, UAT
SystemUsage L’utilisation principale du système SAP ERP, CRM

Journaux générés par l’agent de connecteur de données

Cette section décrit les journaux SAP disponibles auprès du connecteur de données des applications Solution Microsoft Sentinel pour SAP®, y compris les noms des tables dans Microsoft Sentinel, les objectifs des journaux et les schémas détaillés des journaux. Les descriptions des champs de schéma sont basées sur les descriptions des champs de la documentation SAP pertinente.

Pour obtenir les meilleurs résultats, utilisez les fonctions Microsoft Sentinel listées ci-dessous pour visualiser les données, y accéder et les interroger.

Journal des applications ABAP

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPAppLog

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : enregistre la progression de l’exécution d’une application afin que vous puissiez la reconstruire ultérieurement si nécessaire.

    Disponible en utilisant RFC basé sur la table SAP standard et les services standard de l’interface XBP. Ce journal est généré par client.

Schéma du journal ABAPAppLog_CL

Champ Description
AppLogDateTime Date et heure du journal des applications
CallbackProgram Programme de rappel
CallbackRoutine Routine de rappel
CallbackType Type de rappel
ClientID ID client ABAP (MANDT)
ContextDDIC Structure DDIC de contexte
ExternalID ID de journal externe
Hôte Hôte
Instance Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
InternalMessageSerial Série de messages du journal des applications
LevelofDetail Niveau de détail
LogHandle Handle du journal des applications
LogNumber Numéro de journal
MessageClass Message, classe
MessageNumber Numéro de message
MessageText Texte du message
MessageType type de message
Object Objet journal des applications
OperationMode Mode de fonctionnement
ProblemClass Classe de problème
ProgramName Nom du programme
SortCriterion Critère de tri
StandardText Texte standard
SubObject Sous-objet du journal des applications
SystemID ID système
SystemNumber Numéro système
TransactionCode Code de transaction
Utilisateur Utilisateur
UserChange Modification de l’utilisateur

Journal des documents de modification ABAP

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPChangeDocsLog

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : enregistre :

    • Le serveur d’applications (AS) SAP NetWeaver ABAP journalise les modifications apportées aux objets de données métier dans les documents de modification.

    • D’autres entités dans le système SAP, comme les données utilisateur, les rôles, les adresses.

    Disponible en utilisant RFC basé sur les tables SAP standard. Ce journal est généré par client.

Schéma de journal ABAPChangeDocsLog_CL

Champ Description
ActualChangeNum Numéro de modification réel
ChangedTableKey Clé de table modifiée
ChangeNumber Numéro de modification
ClientID ID client ABAP (MANDT)
CreatedfromPlannedChange Créé à partir d’une modification planifiée, avec la syntaxe suivante : (‘X’ , ‘ ‘)
CurrencyKeyNew Clé de devise : nouvelle valeur
CurrencyKeyOld Clé de devise : ancienne valeur
FieldName Nom du champ
FlagText Texte d’indicateur
Hôte Hôte
Instance Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
Langage Langage
ObjectClass Classe d’objet, comme BELEG, BPAR, PFCG, IDENTITY
ObjectID ID objet
PlannedChangeNum Numéro de modification planifiée
SystemID ID système
SystemNumber Numéro système
TableName Nom de la table
TransactionCode Code de transaction
TypeofChange_Header Type d’en-tête de modification, y compris :
U = Changer ; I = Insérer ; E = Supprimer un seul doc ; D = Supprimer ; J = Insérer un seul doc
TypeofChange_Item Type d’élément de modification, y compris :
U = Changer ; I = Insérer ; E = Supprimer un seul doc ; D = Supprimer ; J = Insérer un seul doc
UOMNew Unité de mesure : nouvelle valeur
UOMOld Unité de mesure : ancienne valeur
Utilisateur Utilisateur
ValueNew Contenu du champ : nouvelle valeur
ValueOld Contenu du champ : ancienne valeur
Version Version

Journal ABAP CR

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPCRLog

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : inclut les journaux du système de modification et de transport (CTS), y compris les objets d’annuaire et les personnalisations où des modifications ont été apportées.

    Disponible en utilisant RFC basé sur les tables standard et les services SAP standard. Ce journal est généré avec des données de tous les clients.

Remarque

En plus de la journalisation des applications, des documents de modification et de l’enregistrement des tables, toutes les modifications apportées à votre système de production à l’aide du système modification et de transport sont documentées dans les journaux CTS et TMS.

Schéma du journal ABAPCRLog_CL

Champ Description
Category Catégorie (Workbench, personnalisation)
ClientID ID client ABAP (MANDT)
Description Description
Host Hôte
Instance Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
ObjectName Nom d’objet
ObjectType Type d’objet
Propriétaire Propriétaire
Requête Demande de modification
Statut Statut
SystemID ID système
SystemNumber Numéro système
TableKey Clé de table
TableName Nom de la table
NomVue Nom de l’affichage

Journal des données de table ABAP DB (PRÉVERSION)

Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.ini.

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPTableDataLog

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : fournit la journalisation pour les tables qui sont critiques ou sensibles aux audits.

    Disponible en utilisant RFC avec un service personnalisé. Ce journal est généré avec des données de tous les clients.

Schéma du journal ABAPTableDataLog_CL

Champ Description
DBLogID ID du journal DB
Hôte Hôte
Instance Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
Langage Langage
LogKey Clé de journal
NewValue Nouvelle valeur du champ
OldValue Ancienne valeur du champ
OperationTypeSQL Type d’opération, Insert, Update, Delete
Programme Nom du programme
SystemID ID système
SystemNumber Numéro système
TableField Champ de table
TableName Nom de la table
TransactionCode Code de transaction
UserName Utilisateur
VersionNumber Numéro de version

Journal de passerelle ABAP (PRÉVERSION)

Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.ini.

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPOS_GW

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : supervise les activités de la passerelle. Disponible par le service web de contrôle SAP. Ce journal est généré avec des données de tous les clients.

Schéma du journal ABAPOS_GW_CL

Champ Description
Host Hôte
Instance Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
MessageText Texte du message
Gravité Gravité du message : Debug, Info, Warning, Error
SystemID ID système
SystemNumber Numéro système

Journal ICM ABAP (PRÉVERSION)

Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.ini.

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPOS_ICM

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : enregistre les demandes entrantes et sortantes et compile les statistiques des requêtes http.

    Disponible par le service web de contrôle SAP. Ce journal est généré avec des données de tous les clients.

Schéma du journal ABAPOS_ICM_CL

Champ Description
Host Hôte
Instance Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
MessageText Texte du message
Gravité Gravité du message, y compris : Debug, Info, Warning, Error
SystemID ID système
SystemNumber Numéro système

Journal des tâches ABAP

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPJobLog

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : combine tous les journaux des travaux de traitement en arrière-plan (SM37).

    Disponible en utilisant RFC basé sur la table SAP standard et les services standard des interfaces XBP. Ce journal est généré avec des données de tous les clients.

Schéma du journal ABAPJobLog_CL

Champ Description
ABAPProgram Programme ABAP
BgdEventParameters Paramètres d’événement en arrière-plan
BgdProcessingEvent Événement de traitement en arrière-plan
ClientID ID client ABAP (MANDT)
DynproNumber Numéro Dynpro
GUIStatus État GUI
Hôte Hôte
Instance Instance ABAP (HOST_SYSID_SYSNR), avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
JobClassification Classification du travail
JobCount Nombre de travaux
JobGroup Groupe de travaux
JobName Nom du travail
JobPriority priorité de travail
MessageClass Message, classe
MessageNumber Numéro de message
MessageText Texte du message
MessageType type de message
ReleaseUser Utilisateur de validation du travail
SchedulingDateTime Date et heure de la planification
StartDateTime Date et heure de début
SystemID ID système
SystemNumber Numéro système
TargetServer Serveur cible
Utilisateur Utilisateur
UserReleaseInstance Instance ABAP - version utilisateur
WorkProcessID ID du processus de travail
WorkProcessNumber Numéro du processus de travail

Journal d’audit de sécurité ABAP

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPAuditLog

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : enregistre les données suivantes :

    • Modifications relatives à la sécurité dans l’environnement du système SAP, comme les modifications apportées aux enregistrements des utilisateurs principaux
    • Informations qui fournissent un niveau de données plus élevé, comme les tentatives de connexion réussies et infructueuses
    • Informations qui permettent de reconstruire une série d’événements, comme les démarrages de transaction réussis ou ayant échoué

    Disponible à l’aide des interfaces RFC XAL/SAL. SAL est disponible à partir de la version Basis 7.50. Ce journal est généré avec des données de tous les clients.

Schéma du journal ABAPAuditLog_CL

Champ Description
ABAPProgramName Nom du programme, SAL uniquement
AlertSeverity Gravité de l’alerte
AlertSeverityText Texte de gravité d’alerte, SAL uniquement
AlertValue Valeur d’alerte
AuditClassID ID de classe d’audit, SAL uniquement
ClientID ID client ABAP (MANDT)
Computer Ordinateur de l’utilisateur, SAL uniquement
Courrier E-mail de l’utilisateur
Hôte Hôte
Instance Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
MessageClass Message, classe
MessageContainerID ID de conteneur de message, XAL uniquement
MessageID ID de message, tel que ‘AU1’,’AU2’…
MessageText Texte du message
MonitoringObjectName Nom d’objet MTE Monitor, XAL uniquement
MonitorShortName Nom court MTE Monitor, XAL uniquement
SAPProcesType Journal système : type de processus SAP, SAL uniquement
B* - Traitement en arrière-plan
D* - Traitement de dialogue
U* - Mettre à jour les tâches
SAPWPName Journal système : numéro de processus de travail, SAL uniquement
SystemID ID système
SystemNumber Numéro système
TerminalIPv6 Adresse IP de l’ordinateur utilisateur, SAL uniquement
TransactionCode Code de transaction, SAL uniquement
Utilisateur Utilisateur
Variable1 Variable de message 1
Variable2 Variable de message 2
Variable3 Variable de message 3
Variable4 Variable de message 4

Journal ABAP Spool

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPSpoolLog

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : sert de journal principal pour l’impression SAP avec l’historique des demandes de spool. (SP01).

    Disponible en utilisant RFC basé sur la table SAP standard. Ce journal est généré avec des données de tous les clients.

Schéma du journal ABAPSpoolLog_CL

Champ Description
ArchiveStatus État de l’archive
ArchiveType Type d’archive
ArchivingDevice Appareil d’archivage
AutoRereoute Rediriger automatiquement
ClientID ID client ABAP (MANDT)
CountryKey Clé pays
DeleteSpoolRequestAuto Supprimer automatiquement la demande de spool
DelFlag Indicateur de suppression
department department
DocumentType ; Type du document
ExternalMode Mode externe
FormatType Type de format
Hôte Hôte
Instance Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
NumofCopies Nombre de copies
OutputDevice Appareil de sortie
PrinterLongName Nom long de l’imprimante
PrintImmediately Imprimer immédiatement
PrintOSCoverPage Imprimer la page OSCover
PrintSAPCoverPage Imprimer la page SAPCover
Priorité Priorité
RecipientofSpoolRequest Destinataire de la demande de spool
SpoolErrorStatus État d’erreur du spool
SpoolRequestCompleted Demande de spool terminée
SpoolRequestisALogForAnotherRequest La demande spool est un journal pour une autre demande
SpoolRequestName Nom de la demande de spool
SpoolRequestNumber Numéro de demande de spool
SpoolRequestSuffix1 Demande de spool, suffixe1
SpoolRequestSuffix2 Demande de spool, suffixe2
SpoolRequestTitle Titre de la demande de spool
SystemID ID système
SystemNumber Numéro système
TelecommunicationsPartner Partenaire de télécommunications
TelecommunicationsPartnerE Partenaire de télécommunications E
TemSeGeneralcounter Compteur Temse
TemseNumAddProtectionRule Temse, numéro d’ajout de règle de protection
TemseNumChangeProtectionRule Temse, numéro de modification de règle de protection
TemseNumDeleteProtectionRule Temse, numéro de suppression de règle de protection
TemSeObjectName Nom d’objet Temse
TemSeObjectPart Partie de l’objet Temse
TemseReadProtectionRule Temse, lecture de règle de protection
Utilisateur Utilisateur
ValueAuthCheck Vérification de l’authentification de la valeur

Journal de sortie APAB Spool

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPSpoolOutputLog

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : sert de journal principal pour l’impression SAP avec l’historique des demandes de sortie de spool. (SP02).

    Disponible en utilisant RFC avec un service personnalisé basé sur les tables standard. Ce journal est généré avec des données de tous les clients.

Schéma du journal ABAPSpoolOutputLog_CL

Champ Description
AppServer Serveur d’applications
ClientID ID client ABAP (MANDT)
Comment Comment
CopyCount Nombre de copies
CopyCounter Compteur de copies
department department
ErrorSpoolRequestNumber Numéro de demande d’erreur
FormatType Type de format
Hôte Hôte
HostName Nom de l’hôte
HostSpoolerID ID du spouleur de l’hôte
Instance Instance ABAP
LastPage Dernière page
NumofCopies Nombre de copies
OutputDevice Appareil de sortie
OutputRequestNumber Numéro de demande de sortie
OutputRequestStatus État de la demande de sortie
PhysicalFormatType Type de format physique
PrinterLongName Nom long de l’imprimante
PrintRequestSize Taille de la demande d’impression
Priorité Priorité
ReasonforOutputRequest Motif de la demande de sortie
RecipientofSpoolRequest Destinataire de la demande de spool
SpoolNumberofOutputReqProcessed Nombre de demandes de sortie traitées
SpoolNumberofOutputReqWithErrors Nombre de demandes de sortie avec des erreurs
SpoolNumberofOutputReqWithProblems Nombre de demandes de sortie avec des problèmes
SpoolRequestNumber Numéro de demande de spool
StartPage Page de démarrage
SystemID ID système
SystemNumber Numéro système
TelecommunicationsPartner Partenaire de télécommunications
TemSeGeneralcounter Compteur Temse
Titre Titre
Utilisateur Utilisateur

ABAP Syslog

Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.ini.

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPOS_Syslog

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : enregistre l’ensemble des erreurs système, des avertissements, des verrous utilisateur ABAP SAP NetWeaver AS en raison des échecs de connexion des utilisateurs connus et de traitement des messages.

    Disponible par le service web de contrôle SAP. Ce journal est généré avec des données de tous les clients.

Schéma du journal ABAPOS_Syslog_CL

Champ Description
ClientID ID client ABAP (MANDT)
Hôte Hôte
Instance Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
MessageNumber Numéro de message
MessageText Texte du message
Gravité Gravité du message, l’une des valeurs suivantes : Debug, Info, Warning, Error
SystemID ID système
SystemNumber Numéro système
TransacationCode Code de transaction
Type Type de processus SAP
Utilisateur Utilisateur

Journal ABAP Workflow

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPWorkflowLog

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : SAP Business Workflow (WebFlow Engine) vous permet de définir des processus métier qui ne sont pas encore mappés dans le système SAP.

    Par exemple, les processus métier non mappés peuvent être des procédures de publication ou d’approbation simples, ou des processus métier plus complexes, comme la création de documents de base, puis la coordination des services associés.

    Disponible en utilisant RFC basé sur les tables SAP standard. Ce journal est généré par client.

Schéma du journal ABAPWorkflowLog_CL

Champ Description
ActualAgent Agent réel
Adresse Adresse
ApplicationArea Domaine d'application
CallbackFunction Fonction de rappel
ClientID ID client ABAP (MANDT)
CreationDateTime Date/heure de création
Creator Creator
CreatorAddress Adresse du créateur
ErrorType Type d’erreur
ExceptionforMethod Exception pour la méthode
Hôte Hôte
Instance Instance ABAP (HOST_SYSID_SYSNR), avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
Langage Langage
LogCounter Compteur du journal
MessageNumber Numéro de message
MessageType type de message
MethodUser Utilisateur de méthode
Priorité Priorité
SimpleContainer Conteneur simple, compressé sous la forme d’une liste d’entités Clé-Valeur pour l’élément de travail
Statut Statut
SuperWI Super WI
SystemID ID système
SystemNumber Numéro système
TaskID ID de la tâche
TasksClassification Classifications des tâches
TaskText Texte de la tâche
TopTaskID ID de la tâche supérieure
UserCreated Créé par l’utilisateur
WIText Texte de l’élément de travail
WIType Type d'élément de travail
WorkflowAction Action workflow
WorkItemID ID d'élément de travail

Journal ABAP WorkProcess

Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.ini.

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPOS_WP

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : combine tous les journaux des processus de travail. (valeur par défaut : dev_*).

    Disponible par le service web de contrôle SAP. Ce journal est généré avec des données de tous les clients.

Schéma du journal ABAPOS_WP_CL

Champ Description
Host Hôte
Instance Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
MessageText Texte du message
Gravité Gravité du message : Debug, Info, Warning, Error
SystemID ID système
SystemNumber Numéro système
WPNumber Numéro du processus de travail

Piste d’audit HANA DB

Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez déployer Microsoft Management Agent pour recueillir les données Syslog à partir de la machine exécutant HANA DB.

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPSyslog

  • Documentation SAP associée : Général | Piste d’audit

  • Objectif du journal : enregistre les actions ou les tentatives d’actions des utilisateurs dans la base de données SAP HANA. Par exemple, vous permet d’enregistrer et de superviser l’accès en lecture aux données sensibles.

    Disponible par l’agent Sentinel Linux pour Syslog. Ce journal est généré avec des données de tous les clients.

Schéma du journal Syslog

Champ Description
Computer Nom de l’hôte
HostIP Adresse IP hôte
HostName Nom de l’hôte
ProcessID ID du processus
ProcessName Nom du processus : HDB*
SeverityLevel Alerte
SourceSystem SE du système source, Linux
SyslogMessage Message de piste d’audit non analysé

Fichiers JAVA

Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.ini.

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPJAVAFilesLogs

  • Documentation SAP associée : Général | Journal d’audit de sécurité Java

  • Objectif du journal : combine tous les journaux basés sur des fichiers Java, y compris le journal d’audit de sécurité et les journaux Système (processus de cluster et de serveur), Performances et Passerelle. Inclut également les journaux Traces Développeur et Trace par défaut.

    Disponible par le service web de contrôle SAP. Ce journal est généré avec des données de tous les clients.

Schéma du journal JavaFilesLogsCL

Champ Description
Application Application Java
ClientID ID client
CSNComponent Composant CSN, tel que BC-XI-IBD
DCComponent Composant DC, tel que com.sap.xi.util.misc
DSRCounter Compteur DSR
DSRRootContentID GUID du contexte DSR
DSRTransaction GUID de transaction DSR
Hôte Hôte
Instance Instance Java, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
Emplacement Classe Java
LogName Nom de journal Java, par exemple : Available, defaulttrace, dev*, security, etc.
MessageText Texte du message
MNo Numéro de message
Pid ID du processus
Programme Nom du programme
session session
Gravité Gravité du message, y compris : Debug, Info, Warning, Error
Solution Solution
SystemID ID système
SystemNumber Numéro système
ThreadName Nom du thread
Thrown Exception levée
TimeZone Fuseau horaire
Utilisateur Utilisateur

Journal des pulsations SAP

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPConnectorHealth

  • Objectif du journal : fournit des informations sur la pulsation et d’autres informations d’intégrité sur la connectivité entre les agents et les différents systèmes SAP.

    Créé automatiquement pour tous les agents du connecteur de données Microsoft Sentinel pour SAP.

Schéma du journal SAP_HeartBeat_CL

Champ Description
TimeGenerated Heure de l’événement de publication de journal
agent_id_s ID d’agent dans la configuration de l’agent (généré automatiquement)
agent_ver_s Version de l’agent
host_s Nom d’hôte de l’agent
system_id_s ID du système Netweaver ABAP /
Hôte NetWeaver SAPControl (préversion) /
Hôte Java SAPControl (préversion)
push_timestamp_d Horodatage de l’extraction, en fonction du fuseau horaire de l’agent
agent_timezone_s Fuseau horaire de l’agent

Tables récupérées directement à partir de systèmes SAP

Cette section répertorie les tables de données qui sont récupérées directement à partir du système SAP et ingérées dans Microsoft Sentinel telles quelles.

Pour que les données de ces tables soient ingérées dans Microsoft Sentinel, configurez les paramètres appropriés dans le fichier systemconfig.ini. Pour plus d’informations, consultez Configuration de la collecte des données de référence utilisateur.

Les données récupérées à partir de ces tables fournissent une vue claire de la structure d’autorisation, de l’appartenance aux groupes et des profils utilisateur. Elles vous permettent également de suivre le processus d’octroi et de révocation d’autorisations, ainsi que d’identifier et gouverner les risques associés à ces processus.

Les tables répertoriées ci-dessous sont requises pour activer les fonctions qui identifient les utilisateurs privilégiés, et mappent les utilisateurs à des rôles, groupes et autorisations.

Pour obtenir les meilleurs résultats, reportez-vous à ces tables en utilisant le nom figurant dans la colonne Nom de la fonction Sentinel ci-dessous :

Nom de la table Description de la table Nom de la fonction Sentinel
USR01 Enregistrement de référence d’utilisateur (données de runtime) SAP_USR01
USR02 Données d’ouverture de session (utilisation côté noyau) SAP_USR02
UST04 Références d’utilisateur
Mappe les utilisateurs à des profils		 SAP_UST04
AGR_USERS Attribution de rôles aux utilisateurs SAP_AGR_USERS
AGR_1251 Données d’autorisation pour le groupe d’activités SAP_AGR_1251
USGRP_USER Attribution d’utilisateurs à des groupes d’utilisateurs SAP_USGRP_USER
USR21 Attribution de clé de nom d’utilisateur/adresse SAP_USR21
ADR6 Adresses e-mail (services d’adresse professionnelle) SAP_ADR6
USRSTAMP Date et heure pour toutes les modifications apportées à l’utilisateur SAP_USRSTAMP
ADCP Attribution de personnes/adresses (services d’adresse d’entreprise) SAP_ADCP
USR05 ID de paramètre de référence d’utilisateur SAP_USR05
AGR_PROF Nom du profil pour le rôle SAP_AGR_PROF
AGR_FLAGS Attributs de rôle SAP_AGR_FLAGS
DEVACCESS Table pour l’utilisateur de développement SAP_DEVACCESS
AGR_DEFINE Définition de rôle SAP_AGR_DEFINE
AGR_AGRS Rôles dans des rôles composites SAP_AGR_AGRS
PAHI Historique des paramètres du système, de la base de données et de SAP SAP_PAHI
SNCSYSACL (PRÉVERSION) Liste de contrôle d’accès (ACL) SNC : Systèmes SAP_SNCSYSACL
USRACL (PRÉVERSION) Liste de contrôle d’accès (ACL) SNC : Utilisateur SAP_USRACL

Étapes suivantes

Pour plus d'informations, consultez les pages suivantes :