Informations de référence sur les journaux et les tables pour la solution Microsoft Sentinel pour les applications SAP
Cet article décrit les journaux et tables disponibles dans le cadre de la solution Microsoft Sentinel pour les applications SAP et son connecteur de données.
Certains journaux, notés dans cet article, ne sont pas envoyés à Microsoft Sentinel par défaut, mais vous pouvez les ajouter manuellement en fonction des besoins. Pour plus d’informations, consultez Définir les journaux SAP envoyés à Microsoft Sentinel
Le contenu de cet article est destiné à vos équipes SAP BASIS .
Important
Certains composants de la solution Microsoft Sentinel Threat Monitoring for SAP sont actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Utiliser des fonctions dans vos requêtes au lieu de journaux ou de tables sous-jacents
Nous vous recommandons vivement d’utiliser des fonctions disponibles en tant que sujets de leur analyse dans la mesure du possible, au lieu des journaux ou tables sous-jacents.
Les fonctions fournies avec la solution Microsoft Sentinel pour les applications SAP sont destinées à servir d’interface utilisateur principale aux données. Elles constituent la base de l’ensemble des règles et des classeurs d’analytique intégrées disponibles pour une utilisation immédiate. L’utilisation de fonctions permet d’apporter des modifications à l’infrastructure de données sous les fonctions, sans interrompre le contenu créé par l’utilisateur.
Pour plus d’informations, consultez la solution Microsoft Sentinel pour les applications SAP - informations de référence sur les fonctions et Functions dans les requêtes de journal Azure Monitor.
Couverture des journaux
La solution Microsoft Sentinel pour les applications SAP collecte les journaux d’activité à partir des couches application, système d’exploitation et données, offrant une protection complète pour votre système SAP :
Couche Application : Microsoft Sentinel surveille les activités au sein de la couche ABAP, qui est la couche d’application principale dans les systèmes SAP, responsable de l’exécution de transactions de logique métier et de traitement. Par exemple, Microsoft Sentinel collecte les journaux d’activité qui incluent des actions utilisateur telles que les connexions, les modifications de mot de passe et l’accès aux rapports ou aux fichiers.
Outre la surveillance de la sécurité, les journaux collectés au niveau de la couche application peuvent également être utilisés à des fins de conformité et d’audit.
Couche du système d’exploitation : Microsoft Sentinel collecte les journaux du système d’exploitation pour fournir des informations sur les activités au niveau du système d’exploitation, telles que depuis le serveur ABAP et les machines virtuelles sur lesquelles les applications SAP s’exécutent.
Utilisez la solution Microsoft Sentinel pour les applications SAP, ainsi que des connecteurs de contenu de sécurité et de données pour vos autres services pour une surveillance complète et centralisée, en corrélatant des informations sur tous vos systèmes et en améliorant votre posture de sécurité globale.
Couche de base de données : ingérer des journaux de base de données dans Microsoft Sentinel pour surveiller les activités de base de données, telles que les activités d’administration de base de données et les modifications apportées aux données de table. La solution Microsoft Sentinel pour les applications SAP est indépendante de la base de données.
Tous les journaux collectés par l’agent de connecteur de données sont stockés en premier sur l’ordinateur de l’agent du collecteur de données, dans /opt/sapcon/<sid>/log le dossier de l’instance de conteneur. Les journaux d’activité sont ensuite transférés à votre espace de travail Log Analytics, où vous pouvez afficher, auditer et interroger ces journaux à partir de Microsoft Sentinel.
Les journaux d’audit sont collectés et ingérés toutes les minutes, tandis que d’autres journaux peuvent être ingérés moins fréquemment. Microsoft Sentinel surveille également la pulsation de l’agent de connecteur de données pour s’assurer que les journaux sont collectés et envoyés à l’espace de travail Log Analytics.
Informations de référence sur le journal
Les sections suivantes décrivent les journaux SAP disponibles à partir de la solution Microsoft Sentinel pour le connecteur de données d’applications SAP, y compris les noms de tables dans Microsoft Sentinel, les objectifs du journal et les schémas de journal détaillés.
Les descriptions des champs de schéma sont basées sur les descriptions des champs de la documentation SAP pertinente.
- Journal des applications ABAP
- Journal des documents de modification ABAP
- Journal ABAP CR
- Journal des données de table ABAP DB (PRÉVERSION)
- Journal de passerelle ABAP (PRÉVERSION)
- Journal ICM ABAP (PRÉVERSION)
- Journal des tâches ABAP
- Journal d’audit de sécurité ABAP
- Journal ABAP Spool
- Journal de sortie APAB Spool
- ABAP SysLog
- Journal ABAP Workflow
- Journal ABAP WorkProcess
- Piste d’audit HANA DB
- Fichiers JAVA
- Journal des pulsations SAP
Journal des applications ABAP
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPAppLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : enregistre la progression de l’exécution d’une application afin que vous puissiez la reconstruire ultérieurement si nécessaire.
Disponible en utilisant RFC basé sur la table SAP standard et les services standard de l’interface XBP. Ce journal est généré par client.
Schéma du journal ABAPAppLog_CL
| Champ | Description |
|---|---|
| AppLogDateTime | Date et heure du journal des applications |
| CallbackProgram | Programme de rappel |
| CallbackRoutine | Routine de rappel |
| CallbackType | Type de rappel |
| ClientID | ID client ABAP (MANDT) |
| ContextDDIC | Structure DDIC de contexte |
| ExternalID | ID de journal externe |
| Hôte | Hôte |
| Instance | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | Série de messages du journal des applications |
| LevelofDetail | Niveau de détail |
| LogHandle | Handle du journal des applications |
| LogNumber | Numéro de journal |
| MessageClass | Message, classe |
| MessageNumber | Numéro de message |
| MessageText | Texte du message |
| MessageType | type de message |
| Object | Objet journal des applications |
| OperationMode | Mode de fonctionnement |
| ProblemClass | Classe de problème |
| ProgramName | Nom du programme |
| SortCriterion | Critère de tri |
| StandardText | Texte standard |
| SubObject | Sous-objet du journal des applications |
| SystemID | ID système |
| SystemNumber | Numéro système |
| TransactionCode | Code de transaction |
| Utilisateur | Utilisateur |
| UserChange | Modification de l’utilisateur |
Journal des documents de modification ABAP
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPChangeDocsLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : enregistre :
Le serveur d’applications (AS) SAP NetWeaver ABAP journalise les modifications apportées aux objets de données métier dans les documents de modification.
D’autres entités dans le système SAP, comme les données utilisateur, les rôles, les adresses.
Disponible en utilisant RFC basé sur les tables SAP standard. Ce journal est généré par client.
Schéma de journal ABAPChangeDocsLog_CL
| Champ | Description |
|---|---|
| ActualChangeNum | Numéro de modification réel |
| ChangedTableKey | Clé de table modifiée |
| ChangeNumber | Numéro de modification |
| ClientID | ID client ABAP (MANDT) |
| CreatedfromPlannedChange | Créé à partir d’une modification planifiée, avec la syntaxe suivante : (‘X’ , ‘ ‘) |
| CurrencyKeyNew | Clé de devise : nouvelle valeur |
| CurrencyKeyOld | Clé de devise : ancienne valeur |
| FieldName | Nom du champ |
| FlagText | Texte d’indicateur |
| Hôte | Hôte |
| Instance | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| Langage | Langage |
| ObjectClass | Classe d’objet, comme BELEG, BPAR, PFCG, IDENTITY |
| ObjectID | ID objet |
| PlannedChangeNum | Numéro de modification planifiée |
| SystemID | ID système |
| SystemNumber | Numéro système |
| TableName | Nom de la table |
| TransactionCode | Code de transaction |
| TypeofChange_Header | Type d’en-tête de modification, y compris : U = Changer ; I = Insérer ; E = Supprimer un seul doc ; D = Supprimer ; J = Insérer un seul doc |
| TypeofChange_Item | Type d’élément de modification, y compris : U = Changer ; I = Insérer ; E = Supprimer un seul doc ; D = Supprimer ; J = Insérer un seul doc |
| UOMNew | Unité de mesure : nouvelle valeur |
| UOMOld | Unité de mesure : ancienne valeur |
| Utilisateur | Utilisateur |
| ValueNew | Contenu du champ : nouvelle valeur |
| ValueOld | Contenu du champ : ancienne valeur |
| Version | Version |
Journal ABAP CR
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPCRLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : inclut les journaux du système de modification et de transport (CTS), y compris les objets d’annuaire et les personnalisations où des modifications ont été apportées.
Disponible en utilisant RFC basé sur les tables standard et les services SAP standard. Ce journal est généré avec des données de tous les clients.
Remarque
En plus de la journalisation des applications, des documents de modification et de l’enregistrement des tables, toutes les modifications apportées à votre système de production à l’aide du système modification et de transport sont documentées dans les journaux CTS et TMS.
Schéma du journal ABAPCRLog_CL
| Champ | Description |
|---|---|
| Category | Catégorie (Workbench, personnalisation) |
| ClientID | ID client ABAP (MANDT) |
| Description | Description |
| Host | Hôte |
| Instance | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| ObjectName | Nom d’objet |
| ObjectType | Type d’objet |
| Propriétaire | Propriétaire |
| Requête | Demande de modification |
| Statut | Statut |
| SystemID | ID système |
| SystemNumber | Numéro système |
| TableKey | Clé de table |
| TableName | Nom de la table |
| NomVue | Nom de l’affichage |
Journal des données de table ABAP DB (PRÉVERSION)
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json.
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPTableDataLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : fournit la journalisation pour les tables qui sont critiques ou sensibles aux audits.
Disponible en utilisant RFC avec un service personnalisé. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPTableDataLog_CL
| Champ | Description |
|---|---|
| DBLogID | ID du journal DB |
| Hôte | Hôte |
| Instance | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| Langage | Langage |
| LogKey | Clé de journal |
| NewValue | Nouvelle valeur du champ |
| OldValue | Ancienne valeur du champ |
| OperationTypeSQL | Type d’opération, Insert, Update, Delete |
| Programme | Nom du programme |
| SystemID | ID système |
| SystemNumber | Numéro système |
| TableField | Champ de table |
| TableName | Nom de la table |
| TransactionCode | Code de transaction |
| UserName | Utilisateur |
| VersionNumber | Numéro de version |
Journal de passerelle ABAP (PRÉVERSION)
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json.
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPOS_GW
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : supervise les activités de la passerelle. Disponible par le service web SAP Control. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPOS_GW_CL
| Champ | Description |
|---|---|
| Host | Hôte |
| Instance | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| MessageText | Texte du message |
| Gravité | Gravité du message : Debug, Info, Warning, Error |
| SystemID | ID système |
| SystemNumber | Numéro système |
Journal ICM ABAP (PRÉVERSION)
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json.
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPOS_ICM
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : enregistre les demandes entrantes et sortantes et compile les statistiques des requêtes http.
Disponible par le service web SAP Control. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPOS_ICM_CL
| Champ | Description |
|---|---|
| Host | Hôte |
| Instance | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| MessageText | Texte du message |
| Gravité | Gravité du message, y compris : Debug, Info, Warning, Error |
| SystemID | ID système |
| SystemNumber | Numéro système |
Journal des tâches ABAP
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPJobLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : combine tous les journaux des travaux de traitement en arrière-plan (SM37).
Disponible en utilisant RFC basé sur la table SAP standard et les services standard des interfaces XBP. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPJobLog_CL
| Champ | Description |
|---|---|
| ABAPProgram | Programme ABAP |
| BgdEventParameters | Paramètres d’événement en arrière-plan |
| BgdProcessingEvent | Événement de traitement en arrière-plan |
| ClientID | ID client ABAP (MANDT) |
| DynproNumber | Numéro Dynpro |
| GUIStatus | État GUI |
| Hôte | Hôte |
| Instance | Instance ABAP (HOST_SYSID_SYSNR), avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| JobClassification | Classification du travail |
| JobCount | Nombre de travaux |
| JobGroup | Groupe de travaux |
| JobName | Nom du travail |
| JobPriority | priorité de travail |
| MessageClass | Message, classe |
| MessageNumber | Numéro de message |
| MessageText | Texte du message |
| MessageType | type de message |
| ReleaseUser | Utilisateur de validation du travail |
| SchedulingDateTime | Date et heure de la planification |
| StartDateTime | Date et heure de début |
| SystemID | ID système |
| SystemNumber | Numéro système |
| TargetServer | Serveur cible |
| Utilisateur | Utilisateur |
| UserReleaseInstance | Instance ABAP - version utilisateur |
| WorkProcessID | ID du processus de travail |
| WorkProcessNumber | Numéro du processus de travail |
Journal d’audit de sécurité ABAP
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPAuditLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : enregistre les données suivantes :
- Modifications relatives à la sécurité dans l’environnement du système SAP, comme les modifications apportées aux enregistrements des utilisateurs principaux
- Informations qui fournissent un niveau de données plus élevé, comme les tentatives de connexion réussies et infructueuses
- Informations qui permettent de reconstruire une série d’événements, comme les démarrages de transaction réussis ou ayant échoué
Disponible à l’aide des interfaces RFC XAL/SAL. SAL est disponible à partir de la version Basis 7.50. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPAuditLog_CL
| Champ | Description |
|---|---|
| ABAPProgramName | Nom du programme, SAL uniquement |
| AlertSeverity | Gravité de l’alerte |
| AlertSeverityText | Texte de gravité d’alerte, SAL uniquement |
| AlertValue | Valeur d’alerte |
| AuditClassID | ID de classe d’audit, SAL uniquement |
| ClientID | ID client ABAP (MANDT) |
| Computer | Ordinateur de l’utilisateur, SAL uniquement |
| Courrier | E-mail de l’utilisateur |
| Hôte | Hôte |
| Instance | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| MessageClass | Message, classe |
| MessageContainerID | ID de conteneur de message, XAL uniquement |
| MessageID | ID de message, tel que ‘AU1’,’AU2’… |
| MessageText | Texte du message |
| MonitoringObjectName | Nom d’objet MTE Monitor, XAL uniquement |
| MonitorShortName | Nom court MTE Monitor, XAL uniquement |
| SAPProcesType | Journal système : type de processus SAP, SAL uniquement |
| B* - Traitement en arrière-plan | |
| D* - Traitement de dialogue | |
| U* - Mettre à jour les tâches | |
| SAPWPName | Journal système : numéro de processus de travail, SAL uniquement |
| SystemID | ID système |
| SystemNumber | Numéro système |
| TerminalIPv6 | Adresse IP de l’ordinateur utilisateur, SAL uniquement |
| TransactionCode | Code de transaction, SAL uniquement |
| Utilisateur | Utilisateur |
| Variable1 | Variable de message 1 |
| Variable2 | Variable de message 2 |
| Variable3 | Variable de message 3 |
| Variable4 | Variable de message 4 |
Journal ABAP Spool
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPSpoolLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : sert de journal principal pour l’impression SAP avec l’historique des demandes de pool. (SP01).
Disponible en utilisant RFC basé sur la table SAP standard. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPSpoolLog_CL
| Champ | Description |
|---|---|
| ArchiveStatus | État de l’archive |
| ArchiveType | Type d’archive |
| ArchivingDevice | Appareil d’archivage |
| AutoRereoute | Rediriger automatiquement |
| ClientID | ID client ABAP (MANDT) |
| CountryKey | Clé pays |
| DeleteSpoolRequestAuto | Supprimer automatiquement la demande de spool |
| DelFlag | Indicateur de suppression |
| department | department |
| DocumentType ; | Type du document |
| ExternalMode | Mode externe |
| FormatType | Type de format |
| Hôte | Hôte |
| Instance | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | Nombre de copies |
| OutputDevice | Appareil de sortie |
| PrinterLongName | Nom long de l’imprimante |
| PrintImmediately | Imprimer immédiatement |
| PrintOSCoverPage | Imprimer la page OSCover |
| PrintSAPCoverPage | Imprimer la page SAPCover |
| Priorité | Priorité |
| RecipientofSpoolRequest | Destinataire de la demande de spool |
| SpoolErrorStatus | État d’erreur du spool |
| SpoolRequestCompleted | Demande de spool terminée |
| SpoolRequestisALogForAnotherRequest | La demande spool est un journal pour une autre demande |
| SpoolRequestName | Nom de la demande de spool |
| SpoolRequestNumber | Numéro de demande de spool |
| SpoolRequestSuffix1 | Demande de spool, suffixe1 |
| SpoolRequestSuffix2 | Demande de spool, suffixe2 |
| SpoolRequestTitle | Titre de la demande de spool |
| SystemID | ID système |
| SystemNumber | Numéro système |
| TelecommunicationsPartner | Partenaire de télécommunications |
| TelecommunicationsPartnerE | Partenaire de télécommunications E |
| TemSeGeneralcounter | Compteur Temse |
| TemseNumAddProtectionRule | Temse, numéro d’ajout de règle de protection |
| TemseNumChangeProtectionRule | Temse, numéro de modification de règle de protection |
| TemseNumDeleteProtectionRule | Temse, numéro de suppression de règle de protection |
| TemSeObjectName | Nom d’objet Temse |
| TemSeObjectPart | Partie de l’objet Temse |
| TemseReadProtectionRule | Temse, lecture de règle de protection |
| Utilisateur | Utilisateur |
| ValueAuthCheck | Vérification de l’authentification de la valeur |
Journal de sortie APAB Spool
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPSpoolOutputLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : sert de journal principal pour l’impression SAP avec l’historique des demandes de sortie de spool. (SP02).
Disponible en utilisant RFC avec un service personnalisé basé sur les tables standard. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPSpoolOutputLog_CL
| Champ | Description |
|---|---|
| AppServer | Serveur d’applications |
| ClientID | ID client ABAP (MANDT) |
| Comment | Comment |
| CopyCount | Nombre de copies |
| CopyCounter | Compteur de copies |
| department | department |
| ErrorSpoolRequestNumber | Numéro de demande d’erreur |
| FormatType | Type de format |
| Hôte | Hôte |
| HostName | Nom de l’hôte |
| HostSpoolerID | ID du spouleur de l’hôte |
| Instance | Instance ABAP |
| LastPage | Dernière page |
| NumofCopies | Nombre de copies |
| OutputDevice | Appareil de sortie |
| OutputRequestNumber | Numéro de demande de sortie |
| OutputRequestStatus | État de la demande de sortie |
| PhysicalFormatType | Type de format physique |
| PrinterLongName | Nom long de l’imprimante |
| PrintRequestSize | Taille de la demande d’impression |
| Priorité | Priorité |
| ReasonforOutputRequest | Motif de la demande de sortie |
| RecipientofSpoolRequest | Destinataire de la demande de spool |
| SpoolNumberofOutputReqProcessed | Nombre de demandes de sortie traitées |
| SpoolNumberofOutputReqWithErrors | Nombre de demandes de sortie avec des erreurs |
| SpoolNumberofOutputReqWithProblems | Nombre de demandes de sortie avec des problèmes |
| SpoolRequestNumber | Numéro de demande de spool |
| StartPage | Page de démarrage |
| SystemID | ID système |
| SystemNumber | Numéro système |
| TelecommunicationsPartner | Partenaire de télécommunications |
| TemSeGeneralcounter | Compteur Temse |
| Titre | Titre |
| Utilisateur | Utilisateur |
ABAP Syslog
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json.
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPOS_Syslog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : enregistre l’ensemble des erreurs système, des avertissements, des verrous utilisateur ABAP SAP NetWeaver AS en raison des échecs de connexion des utilisateurs connus et de traitement des messages.
Disponible par le service web SAP Control. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPOS_Syslog_CL
| Champ | Description |
|---|---|
| ClientID | ID client ABAP (MANDT) |
| Hôte | Hôte |
| Instance | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | Numéro de message |
| MessageText | Texte du message |
| Gravité | Gravité du message, l’une des valeurs suivantes : Debug, Info, Warning, Error |
| SystemID | ID système |
| SystemNumber | Numéro système |
| TransacationCode | Code de transaction |
| Type | Type de processus SAP |
| Utilisateur | Utilisateur |
Journal ABAP Workflow
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPWorkflowLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : SAP Business Workflow (WebFlow Engine) vous permet de définir des processus métier qui ne sont pas encore mappés dans le système SAP.
Par exemple, les processus métier non mappés peuvent être des procédures de publication ou d’approbation simples, ou des processus métier plus complexes tels que la création de matériel de base, puis la coordination des services associés.
Disponible en utilisant RFC basé sur les tables SAP standard. Ce journal est généré par client.
Schéma du journal ABAPWorkflowLog_CL
| Champ | Description |
|---|---|
| ActualAgent | Agent réel |
| Adresse | Adresse |
| ApplicationArea | Domaine d'application |
| CallbackFunction | Fonction de rappel |
| ClientID | ID client ABAP (MANDT) |
| CreationDateTime | Date/heure de création |
| Creator | Creator |
| CreatorAddress | Adresse du créateur |
| ErrorType | Type d’erreur |
| ExceptionforMethod | Exception pour la méthode |
| Hôte | Hôte |
| Instance | Instance ABAP (HOST_SYSID_SYSNR), avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| Langage | Langage |
| LogCounter | Compteur du journal |
| MessageNumber | Numéro de message |
| MessageType | type de message |
| MethodUser | Utilisateur de méthode |
| Priorité | Priorité |
| SimpleContainer | Conteneur simple, empaqueté sous la forme d’une liste d’entités clé-valeur pour l’élément de travail |
| Statut | Statut |
| SuperWI | Super WI |
| SystemID | ID système |
| SystemNumber | Numéro système |
| TaskID | ID de la tâche |
| TasksClassification | Classifications des tâches |
| TaskText | Texte de la tâche |
| TopTaskID | ID de la tâche supérieure |
| UserCreated | Créé par l’utilisateur |
| WIText | Texte de l’élément de travail |
| WIType | Type d'élément de travail |
| WorkflowAction | Action workflow |
| WorkItemID | ID d'élément de travail |
Journal ABAP WorkProcess
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json.
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPOS_WP
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : combine tous les journaux des processus de travail. (valeur par défaut :
dev_*).Disponible par le service web SAP Control. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPOS_WP_CL
| Champ | Description |
|---|---|
| Host | Hôte |
| Instance | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| MessageText | Texte du message |
| Gravité | Gravité du message : Debug, Info, Warning, Error |
| SystemID | ID système |
| SystemNumber | Numéro système |
| WPNumber | Numéro du processus de travail |
Piste d’audit HANA DB
La collecte du journal de la piste d’audit de base de données HANA est un exemple de la façon dont Microsoft Sentinel collecte les activités de couche de base de données. Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez déployer l’agent Azure Monitor pour collecter des données Syslog à partir de la machine exécutant la base de données HANA.
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPSyslog
Documentation SAP associée : Général | Piste d’audit
Objectif du journal : enregistre les actions ou les tentatives d’actions des utilisateurs dans la base de données SAP HANA. Par exemple, vous permet d’enregistrer et de superviser l’accès en lecture aux données sensibles.
Disponible par l’agent Linux Microsoft Sentinel pour Syslog. Ce journal est généré avec des données de tous les clients.
Schéma du journal Syslog
| Champ | Description |
|---|---|
| Computer | Nom de l’hôte |
| HostIP | Adresse IP hôte |
| HostName | Nom de l’hôte |
| ProcessID | ID du processus |
| ProcessName | Nom du processus : HDB* |
| SeverityLevel | Alerte |
| SourceSystem | SE du système source, Linux |
| SyslogMessage | Message de piste d’audit non analysé |
Fichiers JAVA
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json.
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPJAVAFilesLogs
Documentation SAP associée : Général | Journal d’audit de sécurité Java
Objectif du journal : combine tous les journaux basés sur des fichiers Java, y compris le journal d’audit de sécurité et les journaux Système (processus de cluster et de serveur), Performances et Passerelle. Inclut également les journaux Traces Développeur et Trace par défaut.
Disponible par le service web SAP Control. Ce journal est généré avec des données de tous les clients.
Schéma du journal JavaFilesLogsCL
| Champ | Description |
|---|---|
| Application | Application Java |
| ClientID | ID client |
| CSNComponent | Composant CSN, tel que BC-XI-IBD |
| DCComponent | Composant DC, tel que com.sap.xi.util.misc |
| DSRCounter | Compteur DSR |
| DSRRootContentID | GUID du contexte DSR |
| DSRTransaction | GUID de transaction DSR |
| Hôte | Hôte |
| Instance | Instance Java, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
| Emplacement | Classe Java |
| LogName | Nom de journal Java, par exemple : Available, defaulttrace, dev*, security, etc. |
| MessageText | Texte du message |
| MNo | Numéro de message |
| Pid | ID du processus |
| Programme | Nom du programme |
| session | session |
| Gravité | Gravité du message, y compris : Debug, Info, Warning, Error |
| Solution | Solution |
| SystemID | ID système |
| SystemNumber | Numéro système |
| ThreadName | Nom du thread |
| Thrown | Exception levée |
| TimeZone | Fuseau horaire |
| Utilisateur | Utilisateur |
Journal des pulsations SAP
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPConnectorHealth
Objectif du journal : fournit des informations sur la pulsation et d’autres informations d’intégrité sur la connectivité entre les agents et les différents systèmes SAP.
Créé automatiquement pour tous les agents du connecteur de données Microsoft Sentinel pour SAP.
Schéma du journal SAP_HeartBeat_CL
| Champ | Description |
|---|---|
| TimeGenerated | Heure de l’événement de publication de journal |
| agent_id_s | ID d’agent dans la configuration de l’agent (généré automatiquement) |
| agent_ver_s | Version de l’agent |
| host_s | Nom d’hôte de l’agent |
| system_id_s | ID du système Netweaver ABAP / Hôte NetWeaver SAPControl (préversion) / Hôte Java SAPControl (préversion) |
| push_timestamp_d | Horodatage de l’extraction, en fonction du fuseau horaire de l’agent |
| agent_timezone_s | Fuseau horaire de l’agent |
Référence des tables récupérées directement à partir de systèmes SAP
Cette section répertorie les tables de données qui sont récupérées directement à partir du système SAP et ingérées dans Microsoft Sentinel telles quelles.
Pour que les données de ces tables soient ingérées dans Microsoft Sentinel, configurez les paramètres appropriés dans le fichier systemconfig.json . Pour plus d’informations, consultez Configuration de la collecte de données de référence utilisateur.
Les données récupérées à partir de ces tables fournissent une vue claire de la structure d’autorisation, de l’appartenance aux groupes et des profils utilisateur. Elles vous permettent également de suivre le processus d’octroi et de révocation d’autorisations, ainsi que d’identifier et gouverner les risques associés à ces processus.
Les tables répertoriées ci-dessous sont requises pour activer les fonctions qui identifient les utilisateurs privilégiés, et mappent les utilisateurs à des rôles, groupes et autorisations.
Pour obtenir de meilleurs résultats, reportez-vous à ces tables en utilisant le nom dans la colonne nom de la fonction Microsoft Sentinel dans le tableau suivant :
| Nom de table | Description de la table | Nom de la fonction Microsoft Sentinel |
|---|---|---|
| USR01 | Enregistrement de référence d’utilisateur (données de runtime) | SAP_USR01 |
| USR02 | Données de connexion (utilisation côté noyau) | SAP_USR02 |
| UST04 | Références d’utilisateur Mappe les utilisateurs à des profils |
SAP_UST04 |
| AGR_USERS | Attribution de rôles aux utilisateurs | SAP_AGR_USERS |
| AGR_1251 | Données d’autorisation pour le groupe d’activités | SAP_AGR_1251 |
| USGRP_USER | Attribution d’utilisateurs à des groupes d’utilisateurs | SAP_USGRP_USER |
| USR21 | Nom d’utilisateur / Affectation de clé d’adresse | SAP_USR21 |
| ADR6 | Adresses e-mail (services d’adresse professionnelle) | SAP_ADR6 |
| USRSTAMP | Date et heure pour toutes les modifications apportées à l’utilisateur | SAP_USRSTAMP |
| ADCP | Personne / Affectation d’adresse (services d’adresse professionnelle) | SAP_ADCP |
| USR05 | ID de paramètre de référence d’utilisateur | SAP_USR05 |
| AGR_PROF | Nom du profil pour le rôle | SAP_AGR_PROF |
| AGR_FLAGS | Attributs de rôle | SAP_AGR_FLAGS |
| DEVACCESS | Table pour l’utilisateur de développement | SAP_DEVACCESS |
| AGR_DEFINE | Définition de rôle | SAP_AGR_DEFINE |
| AGR_AGRS | Rôles dans des rôles composites | SAP_AGR_AGRS |
| PAHI | Historique des paramètres du système, de la base de données et de SAP | SAP_PAHI |
| SNCSYSACL (PRÉVERSION) | Liste de contrôle d’accès (ACL) SNC : Systèmes | SAP_SNCSYSACL |
| USRACL (PRÉVERSION) | Liste de contrôle d’accès (ACL) SNC : Utilisateur | SAP_USRACL |
Contenu connexe
Pour plus d’informations, consultez l’article suivant :