Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les journaux et les tables disponibles dans le cadre de la solution Microsoft Sentinel pour les applications SAP et son connecteur de données.
Certains journaux, mentionnés dans cet article, ne sont pas envoyés à Microsoft Sentinel par défaut, mais vous pouvez les ajouter manuellement en fonction des besoins. Pour plus d’informations, consultez Définir les journaux SAP envoyés à Microsoft Sentinel
Le contenu de cet article est destiné à vos équipes SAP BASIS .
Importante
Les fonctionnalités notées sont actuellement en préversion. Les conditions supplémentaires de la préversion Azure incluent des conditions juridiques supplémentaires qui s’appliquent à Azure fonctionnalités qui sont en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.
Utiliser des fonctions dans vos requêtes au lieu de journaux ou de tables sous-jacents
Nous vous recommandons vivement d’utiliser les fonctions disponibles comme objet de leur analyse dans la mesure du possible, au lieu des journaux ou tables sous-jacents.
Les fonctions fournies avec la solution Microsoft Sentinel pour les applications SAP sont destinées à servir d’interface utilisateur principale aux données. Ils constituent la base de toutes les règles et classeurs d’analyse intégrés à votre disposition. L’utilisation de fonctions permet d’apporter des modifications à l’infrastructure de données sous les fonctions, sans interrompre le contenu créé par l’utilisateur.
Pour plus d’informations, consultez Microsoft Sentinel solution pour les applications SAP - Informations de référence sur les fonctions et Fonctions dans les requêtes de journal Azure Monitor.
Couverture des journaux
La solution Microsoft Sentinel pour les applications SAP collecte les journaux à partir des couches application, système d’exploitation et données, offrant ainsi une protection complète à votre système SAP :
Couche Application : Microsoft Sentinel surveille les activités au sein de la couche ABAP, qui est la couche application principale dans les systèmes SAP, responsable de l’exécution de la logique métier et du traitement des transactions. Par exemple, Microsoft Sentinel collecte des journaux qui incluent des actions utilisateur telles que les connexions, les modifications de mot de passe et l’accès aux rapports ou aux fichiers.
En plus de la surveillance de la sécurité, les journaux collectés au niveau de la couche application peuvent également être utilisés à des fins de conformité et d’audit.
Couche du système d’exploitation : Microsoft Sentinel collecte les journaux du système d’exploitation pour fournir des insights sur les activités au niveau du système d’exploitation, telles que le serveur ABAP et les machines virtuelles sur lesquelles les applications SAP s’exécutent.
Utilisez la solution Microsoft Sentinel pour les applications SAP avec du contenu de sécurité et des connecteurs de données pour vos autres services pour une surveillance complète et centralisée, la corrélation des informations sur tous vos systèmes et l’amélioration de votre posture de sécurité globale.
Couche de base de données : Ingérer les journaux de base de données dans Microsoft Sentinel pour surveiller les activités de base de données, telles que les activités d’administration de base de données et les modifications apportées aux données de table. La solution Microsoft Sentinel pour les applications SAP est indépendante de la base de données.
Tous les journaux collectés par l’agent de connecteur de données sont d’abord stockés sur l’ordinateur de l’agent collecteur de données, dans /opt/sapcon/<sid>/log le dossier du conteneur instance. Les journaux sont ensuite transférés à votre espace de travail Log Analytics, où vous pouvez les afficher, les auditer et les interroger à partir de Microsoft Sentinel.
Les journaux d’audit sont collectés et ingérés toutes les minutes, tandis que d’autres journaux peuvent être ingérés moins fréquemment. Microsoft Sentinel surveille également la pulsation de l’agent de connecteur de données pour s’assurer que les journaux sont collectés et envoyés à l’espace de travail Log Analytics.
Journaux collectés par le connecteur de données sans agent
Les tables Log Analytics intégrées suivantes sont collectées par le connecteur de données sans agent :
Informations de référence sur les journaux pour l’agent de connecteur de données
Les sections suivantes décrivent les journaux SAP disponibles à partir de la solution Microsoft Sentinel pour le connecteur de données des applications SAP, y compris les noms des tables dans Microsoft Sentinel, les objectifs du journal et les schémas de journal détaillés.
Les descriptions des champs de schéma sont basées sur les descriptions de champs dans la documentation SAP appropriée.
- Journal des applications ABAP
- Journal des documents de modification ABAP
- Journal ABAP CR
- Journal des données de table de base de données ABAP (PRÉVERSION)
- Journal de la passerelle ABAP (PRÉVERSION)
- Journal ICM ABAP (PRÉVERSION)
- Journal des travaux ABAP
- Journal d’audit de sécurité ABAP
- Journal du spouleur ABAP
- Journal de sortie du spouleur APAB
- ABAP SysLog
- Journal de flux de travail ABAP
- Journal abap WorkProcess
- Piste d’audit de la base de données HANA
- Fichiers JAVA
- Journal des pulsations SAP
Journal des applications ABAP
Microsoft Sentinel fonction pour interroger ce journal : SAPAppLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : enregistre la progression de l’exécution d’une application afin que vous puissiez la reconstruire ultérieurement en fonction des besoins.
Disponible à l’aide de RFC basée sur la table SAP standard et les services standard de l’interface XBP. Ce journal est généré par client.
Ce journal est ingéré uniquement avec l’agent de connecteur de données.
schéma de journal ABAPAppLog_CL
| Field | Description |
|---|---|
| AppLogDateTime | Date et heure du journal des applications |
| CallbackProgram | Programme de rappel |
| CallbackRoutine | Routine de rappel |
| CallbackType | Type de rappel |
| Clientid | ID client ABAP (MANDT) |
| ContextDDIC | Structure DDIC de contexte |
| ExternalID | ID de journal externe |
| Hôte | Hôte |
| Instance | ABAP instance, dans la syntaxe suivante :<HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | Série de messages de journal d’application |
| LevelofDetail | Niveau de détail |
| LogHandle | Handle du journal des applications |
| LogNumber | Numéro de journal |
| MessageClass | Classe de message |
| Numéro de message | Numéro du message |
| MessageText | Texte du message |
| MessageType | Type de message |
| Objet | Objet journal des applications |
| OperationMode | Mode d’opération |
| ProblemClass | Classe de problème |
| ProgramName | Nom du programme |
| SortCriterion | Critère de tri |
| StandardText | Standard texte |
| Sous-objet | Sous-objet journal des applications |
| SystemID | ID système |
| Numéro_système | Numéro système |
| TransactionCode | Code de transaction |
| Utilisateur | Utilisateur |
| UserChange | Modification de l’utilisateur |
Journal des documents de modification ABAP
Microsoft Sentinel fonction pour interroger ce journal : SAPChangeDocsLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : Enregistrements :
Sap NetWeaver Application Server (AS) ABAP log changes to business data objects in change documents.
Autres entités dans le système SAP, telles que les données utilisateur, les rôles et les adresses.
Disponible à l’aide de RFC basée sur des tables SAP standard. Ce journal est généré par client.
schéma de journal ABAPChangeDocsLog_CL
| Field | Description |
|---|---|
| ActualChangeNum | Numéro de modification réel |
| ChangedTableKey | Clé de table modifiée |
| ChangeNumber | Modifier le numéro |
| Clientid | ID client ABAP (MANDT) |
| CreatedfromPlannedChange | Créé à partir d’une modification planifiée, dans la syntaxe suivante : (‘X’ , ‘ ‘) |
| CurrencyKeyNew | Clé monétaire : nouvelle valeur |
| CurrencyKeyOld | Clé monétaire : ancienne valeur |
| FieldName | Nom du champ |
| FlagText | Texte d’indicateur |
| Hôte | Hôte |
| Instance | ABAP instance, dans la syntaxe suivante :<HOST>_<SYSID>_<SYSNR> |
| Langue | Langue |
| ObjectClass | Classe d’objet, telle que BELEG, BPAR, PFCG, IDENTITY |
| ObjectID | ID d’objet |
| PlannedChangeNum | Numéro de modification planifiée |
| SystemID | ID système |
| Numéro_système | Numéro système |
| TableName | Nom du tableau |
| TransactionCode | Code de transaction |
| TypeofChange_Header | Type d’en-tête de modification, notamment : U = Modification ; I = Insérer ; E = Supprimer un docu unique ; D = Supprimer ; J = Insérer un docu unique |
| TypeofChange_Item | Type d’élément de modification, notamment : U = Modification ; I = Insérer ; E = Supprimer un docu unique ; D = Supprimer ; J = Insérer un docu unique |
| UOMNew | Unité de mesure : nouvelle valeur |
| UOMOld | Unité de mesure : ancienne valeur |
| Utilisateur | Utilisateur |
| ValueNew | Contenu du champ : nouvelle valeur |
| ValueOld | Contenu du champ : ancienne valeur |
| Version | Version |
Journal ABAP CR
Microsoft Sentinel fonction pour interroger ce journal : SAPCRLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : inclut les journaux CTS (Change & Transport System), y compris les objets de répertoire et les personnalisations où les modifications ont été apportées.
Disponible à l’aide de RFC basée sur des tables standard et des services SAP standard. Ce journal est généré avec des données sur tous les clients.
Remarque
En plus de la journalisation des applications, des documents de modification et de l’enregistrement de table, toutes les modifications que vous apportez à votre système de production à l’aide de Change & Transport System sont documentées dans les journaux CTS et TMS.
schéma de journal ABAPCRLog_CL
| Field | Description |
|---|---|
| Catégorie | Catégorie (Workbench, Personnalisation) |
| Clientid | ID client ABAP (MANDT) |
| Description | Description |
| Hôte | Hôte |
| Instance | ABAP instance, dans la syntaxe suivante :<HOST>_<SYSID>_<SYSNR> |
| ObjectName | Nom d'objet |
| ObjectType | Type d’objet |
| Propriétaire | Propriétaire |
| Demande | Demande de modification |
| Statut | Statut |
| SystemID | ID système |
| Numéro_système | Numéro système |
| TableKey | Clé de table |
| TableName | Nom du tableau |
| ViewName | Nom de l'affichage |
Journal des données de table de base de données ABAP (PRÉVERSION)
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json. Ce journal n’est pas pris en charge lors de l’utilisation de la procédure recommandée pour installer l’agent de connecteur de données à partir du portail.
Microsoft Sentinel fonction pour interroger ce journal : SAPTableDataLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : fournit une journalisation pour les tables qui sont critiques ou susceptibles d’être auditées.
Disponible à l’aide de RFC avec un service personnalisé. Ce journal est généré avec des données sur tous les clients.
schéma de journal ABAPTableDataLog_CL
| Field | Description |
|---|---|
| DBLogID | ID de journal de base de données |
| Hôte | Hôte |
| Instance | ABAP instance, dans la syntaxe suivante :<HOST>_<SYSID>_<SYSNR> |
| Langue | Langue |
| LogKey | Clé de journal |
| NewValue | Nouvelle valeur de champ |
| OldValue | Ancienne valeur du champ |
| OperationTypeSQL | Type d’opération, Insert, Update, Delete |
| Programme | Nom du programme |
| SystemID | ID système |
| Numéro_système | Numéro système |
| Champ de table | Champ de table |
| TableName | Nom du tableau |
| TransactionCode | Code de transaction |
| UserName | Utilisateur |
| Numéro de version | Numéro de version |
Journal de la passerelle ABAP (PRÉVERSION)
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json. Ce journal n’est pas pris en charge lors de l’utilisation de la procédure recommandée pour installer l’agent de connecteur de données à partir du portail.
Microsoft Sentinel fonction pour interroger ce journal : SAPOS_GW
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : surveille les activités de la passerelle. Disponible par le service web sap Control. Ce journal est généré avec des données sur tous les clients.
schéma de journal ABAPOS_GW_CL
| Field | Description |
|---|---|
| Hôte | Hôte |
| Instance | ABAP instance, dans la syntaxe suivante :<HOST>_<SYSID>_<SYSNR> |
| MessageText | Texte du message |
| Severity | Gravité du message : Debug, Info, Warning, Error |
| SystemID | ID système |
| Numéro_système | Numéro système |
Journal ICM ABAP (PRÉVERSION)
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json. Ce journal n’est pas pris en charge lors de l’utilisation de la procédure recommandée pour installer l’agent de connecteur de données à partir du portail.
Microsoft Sentinel fonction pour interroger ce journal : SAPOS_ICM
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : enregistre les requêtes entrantes et sortantes et compile les statistiques des requêtes HTTP.
Disponible par le service web sap Control. Ce journal est généré avec des données sur tous les clients.
schéma de journal ABAPOS_ICM_CL
| Field | Description |
|---|---|
| Hôte | Hôte |
| Instance | ABAP instance, dans la syntaxe suivante :<HOST>_<SYSID>_<SYSNR> |
| MessageText | Texte du message |
| Severity | Gravité du message, notamment : Debug, Info, Warning, Error |
| SystemID | ID système |
| Numéro_système | Numéro système |
Journal des travaux ABAP
Microsoft Sentinel fonction pour interroger ce journal : SAPJobLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : combine tous les journaux des travaux de traitement en arrière-plan (SM37).
Disponible à l’aide de RFC basée sur la table SAP standard et les services standard des interfaces XBP. Ce journal est généré avec des données sur tous les clients.
schéma de journal ABAPJobLog_CL
| Field | Description |
|---|---|
| ABAPProgram | Programme ABAP |
| BgdEventParameters | Paramètres d’événement d’arrière-plan |
| BgdProcessingEvent | Événement de traitement en arrière-plan |
| Clientid | ID client ABAP (MANDT) |
| DynproNumber | Numéro Dynpro |
| GUIStatus | status gui |
| Hôte | Hôte |
| Instance | ABAP instance (HOST_SYSID_SYSNR), dans la syntaxe suivante :<HOST>_<SYSID>_<SYSNR> |
| JobClassification | Classification des travaux |
| JobCount | Nombre de travaux |
| Groupe de travaux | Groupe de travaux |
| JobName | Nom du travail |
| JobPriority | Priorité du travail |
| MessageClass | Classe de message |
| Numéro de message | Numéro du message |
| MessageText | Texte du message |
| MessageType | Type de message |
| ReleaseUser | Utilisateur de mise en production du travail |
| SchedulingDateTime | Planification de la date et de l’heure |
| StartDateTime | Date de début et heure |
| SystemID | ID système |
| Numéro_système | Numéro système |
| Targetserver | Serveur cible |
| Utilisateur | Utilisateur |
| UserReleaseInstance | instance ABAP - Version utilisateur |
| WorkProcessID | ID du processus de travail |
| WorkProcessNumber | Numéro du processus de travail |
Journal d’audit de sécurité ABAP
Microsoft Sentinel fonction pour interroger ce journal : SAPAuditLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : enregistre les données suivantes :
- Modifications liées à la sécurité de l’environnement système SAP, telles que les modifications apportées aux enregistrements utilisateur principaux
- Informations qui fournissent un niveau de données plus élevé, telles que les tentatives de connexion réussies et infructueuses
- Informations qui permettent la reconstruction d’une série d’événements, tels que le démarrage d’une transaction réussie ou infructueuse
Disponible à l’aide d’interfaces XAL/SAL RFC. Sal est disponible à partir de la version 7.50. Ce journal est généré avec des données sur tous les clients.
schéma de journal ABAPAuditLog_CL
| Field | Description |
|---|---|
| ABAPProgramName | Nom du programme, SAL uniquement |
| AlertSeverity | Gravité de l’alerte |
| AlertSeverityText | Texte de gravité de l’alerte, SAL uniquement |
| AlertValue | Valeur d’alerte |
| AuditClassID | ID de classe d’audit, SAL uniquement |
| Clientid | ID client ABAP (MANDT) |
| Ordinateur* | Ordinateur utilisateur, SAL uniquement |
| E-mail utilisateur | |
| Hôte | Hôte |
| Instance | ABAP instance, dans la syntaxe suivante :<HOST>_<SYSID>_<SYSNR> |
| MessageClass | Classe de message |
| MessageContainerID | ID du conteneur de messages, XAL uniquement |
| MessageID | ID de message, tel que ‘AU1’,’AU2’… |
| MessageText | Texte du message |
| MonitoringObjectName | Nom de l’objet Moniteur MTE, XAL uniquement |
| MonitorShortName | Nom court du moniteur MTE, XAL uniquement |
| SAPProcessType | Journal système : type de processus SAP, SAL uniquement |
| B* - Traitement en arrière-plan | |
| D* - Traitement des dialogues | |
| U* - Tâches de mise à jour | |
| SAPWPName | Journal système : numéro de processus de travail, SAL uniquement |
| SystemID | ID système |
| Numéro_système | Numéro système |
| TerminalIPv6 | Adresse IP de l’ordinateur utilisateur, SAL uniquement |
| TransactionCode | Code de transaction, SAL uniquement |
| Utilisateur | Utilisateur |
| Variable1 | Variable de message 1 |
| Variable2 | Variable de message 2 |
| Variable3 | Variable de message 3 |
| Variable4 | Variable de message 4 |
Journal du spouleur ABAP
Microsoft Sentinel fonction pour interroger ce journal : SAPSpoolLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : sert de journal principal pour l’impression SAP avec l’historique des demandes de spouleur. (SP01).
Disponible à l’aide de RFC basée sur une table SAP standard. Ce journal est généré avec des données sur tous les clients.
schéma de journal ABAPSpoolLog_CL
| Field | Description |
|---|---|
| ArchiveStatus | Archive status |
| ArchiveType | Archive type |
| ArchivingDevice | Appareil d’archivage |
| AutoRereoute | Réacheminement automatique |
| Clientid | ID client ABAP (MANDT) |
| CountryKey | Clé de pays/région |
| DeleteSpoolRequestAuto | Supprimer automatiquement la demande de spouleur |
| DelFlag | Indicateur de suppression |
| Service | Service |
| DocumentType | Type de document |
| ExternalMode | Mode externe |
| FormatType | Type de format |
| Hôte | Hôte |
| Instance | ABAP instance, dans la syntaxe suivante :<HOST>_<SYSID>_<SYSNR> |
| NumofCopies | Nombre de copies |
| OutputDevice | Périphérique de sortie |
| PrinterLongName | Nom long de l’imprimante |
| Imprimer immédiatement | Imprimer immédiatement |
| PrintOSCoverPage | Imprimer la page OSCover |
| PrintSAPCoverPage | Imprimer la page SAPCover |
| Priority | Priority |
| RecipientofSpoolRequest | Destinataire de la demande de spouleur |
| SpoolErrorStatus | Status d’erreur de spouleur |
| SpoolRequestCompleted | Demande de spoulage terminée |
| SpoolRequestisALogForAnotherRequest | La demande de spouleur est un journal pour une autre requête |
| SpoolRequestName | Nom de la demande de spouleur |
| SpoolRequestNumber | Numéro de la demande de spouleur |
| SpoolRequestSuffix1 | Suffixe de la demande de spouleur1 |
| SpoolRequestSuffix2 | Suffixe de la requête Spool2 |
| SpoolRequestTitle | Titre de la demande de spouleur |
| SystemID | ID système |
| Numéro_système | Numéro système |
| TelecommunicationsPartner | Partenaire de télécommunications |
| TelecommunicationsPartnerE | Partenaire de télécommunications E |
| TemSeGeneralcounter | Compteur Temse |
| TemseNumAddProtectionRule | Numéro Temse ajouter une règle de protection |
| TemseNumChangeProtectionRule | Règle de protection contre la modification du nombre Temse |
| TemseNumDeleteProtectionRule | Règle de protection de suppression de nombre Temse |
| TemSeObjectName | Nom de l’objet Temse |
| TemSeObjectPart | Composant d’objet TemSe |
| TemseReadProtectionRule | Règle de protection de lecture Temse |
| Utilisateur | Utilisateur |
| ValueAuthCheck | Case activée d’authentification de valeur |
Journal de sortie du spouleur APAB
Microsoft Sentinel fonction pour interroger ce journal : SAPSpoolOutputLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : sert de journal principal pour l’impression SAP avec l’historique des demandes de sortie du pool. (SP02).
Disponible à l’aide de RFC avec un service personnalisé basé sur des tables standard. Ce journal est généré avec des données sur tous les clients.
schéma de journal ABAPSpoolOutputLog_CL
| Field | Description |
|---|---|
| AppServer | Serveur d’applications |
| Clientid | ID client ABAP (MANDT) |
| Commentaire | Commentaire |
| CopyCount | Nombre de copies |
| CopyCounter | Copier le compteur |
| Service | Service |
| ErrorSpoolRequestNumber | Numéro de demande d’erreur |
| FormatType | Type de format |
| Hôte | Hôte |
| HostName | Nom d’hôte |
| HostSpoolerID | ID du spouleur d’hôte |
| Instance | instance ABAP |
| LastPage | Dernière page |
| NumofCopies | Nombre de copies |
| OutputDevice | Périphérique de sortie |
| OutputRequestNumber | Numéro de la demande de sortie |
| OutputRequestStatus | Status de la demande de sortie |
| PhysicalFormatType | Type de format physique |
| PrinterLongName | Nom long de l’imprimante |
| PrintRequestSize | Taille de la demande d’impression |
| Priority | Priority |
| ReasonforOutputRequest | Motif de la demande de sortie |
| RecipientofSpoolRequest | Destinataire de la demande de spouleur |
| SpoolNumberofOutputReqProcessed | Nombre de demandes de sortie - traitées |
| SpoolNumberofOutputReqWithErrors | Nombre de demandes de sortie - avec des erreurs |
| SpoolNumberofOutputReqWithProblems | Nombre de demandes de sortie - avec des problèmes |
| SpoolRequestNumber | Numéro de la demande de spouleur |
| StartPage | Page de démarrage |
| SystemID | ID système |
| Numéro_système | Numéro système |
| TelecommunicationsPartner | Partenaire de télécommunications |
| TemSeGeneralcounter | Compteur Temse |
| Titre | Titre |
| Utilisateur | Utilisateur |
ABAP Syslog
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json. Ce journal n’est pas pris en charge lors de l’utilisation de la procédure recommandée pour installer l’agent de connecteur de données à partir du portail.
Microsoft Sentinel fonction pour interroger ce journal : SAPOS_Syslog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : enregistre toutes les erreurs système ABAP du serveur d’applications SAP NetWeaver (SAP NetWeaver AS), les avertissements, les verrous utilisateur en raison d’échecs de tentatives de connexion d’utilisateurs connus et les messages de traitement.
Disponible par le service web sap Control. Ce journal est généré avec des données sur tous les clients.
schéma de journal ABAPOS_Syslog_CL
| Field | Description |
|---|---|
| Clientid | ID client ABAP (MANDT) |
| Hôte | Hôte |
| Instance | ABAP instance, dans la syntaxe suivante :<HOST>_<SYSID>_<SYSNR> |
| Numéro de message | Numéro du message |
| MessageText | Texte du message |
| Severity | Gravité du message, l’une des valeurs suivantes : Debug, Info, , WarningError |
| SystemID | ID système |
| Numéro_système | Numéro système |
| TransacationCode | Code de transaction |
| Type | Type de processus SAP |
| Utilisateur | Utilisateur |
Journal de flux de travail ABAP
Microsoft Sentinel fonction pour interroger ce journal : SAPWorkflowLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : le flux de travail métier SAP (moteur WebFlow) vous permet de définir des processus métier qui ne sont pas encore mappés dans le système SAP.
Par exemple, les processus métier non mappés peuvent être des procédures de publication ou d’approbation simples, ou des processus métier plus complexes tels que la création de documents de base, puis la coordination des services associés.
Disponible à l’aide de RFC basée sur des tables SAP standard. Ce journal est généré par client.
schéma de journal ABAPWorkflowLog_CL
| Field | Description |
|---|---|
| ActualAgent | Agent réel |
| Address | Address |
| ApplicationArea | Zone d’application |
| CallbackFunction | Fonction de rappel |
| Clientid | ID client ABAP (MANDT) |
| CreationDateTime | Date et heure de création |
| Créateur | Créateur |
| CreatorAddress | Adresse du créateur |
| ErrorType | Type d’erreur |
| ExceptionforMethod | Exception pour la méthode |
| Hôte | Hôte |
| Instance | ABAP instance (HOST_SYSID_SYSNR), dans la syntaxe suivante :<HOST>_<SYSID>_<SYSNR> |
| Langue | Langue |
| LogCounter | Compteur de journaux |
| Numéro de message | Numéro du message |
| MessageType | Type de message |
| MethodUser | Utilisateur de la méthode |
| Priority | Priority |
| SimpleContainer | Conteneur simple, empaqueté sous forme de liste d’entités clé-valeur pour l’élément de travail |
| Statut | Statut |
| SuperWI | Super WI |
| SystemID | ID système |
| Numéro_système | Numéro système |
| TaskID | ID de tâche |
| TasksClassification | Classifications de tâches |
| TaskText | Texte de la tâche |
| TopTaskID | ID de tâche principale |
| UserCreated | Utilisateur créé |
| WIText | Texte de l’élément de travail |
| WIType | Type d’élément de travail |
| WorkflowAction | Action de flux de travail |
| WorkItemID | ID de l’élément de travail |
Journal abap WorkProcess
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json. Ce journal n’est pas pris en charge lors de l’utilisation de la procédure recommandée pour installer l’agent de connecteur de données à partir du portail.
Microsoft Sentinel fonction pour interroger ce journal : SAPOS_WP
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : combine tous les journaux du processus de travail. (valeur par défaut :
dev_*).Disponible par le service web sap Control. Ce journal est généré avec des données sur tous les clients.
schéma de journal ABAPOS_WP_CL
| Field | Description |
|---|---|
| Hôte | Hôte |
| Instance | ABAP instance, dans la syntaxe suivante :<HOST>_<SYSID>_<SYSNR> |
| MessageText | Texte du message |
| Severity | Gravité du message : Debug, Info, Warning, Error |
| SystemID | ID système |
| Numéro_système | Numéro système |
| WPNumber | Numéro du processus de travail |
Piste d’audit de la base de données HANA
La collecte du journal de la piste d’audit de base de données HANA est un exemple de la façon dont Microsoft Sentinel collecte les activités de la couche base de données. Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez déployer Azure’agent Monitor pour collecter des données Syslog à partir de l’ordinateur exécutant la base de données HANA.
Microsoft Sentinel fonction pour interroger ce journal : SAPSyslog
Documentation SAP associée :Piste d’auditgénérale |
Objectif du journal : enregistre les actions de l’utilisateur ou les tentatives d’actions dans la base de données SAP HANA. Par exemple, vous permet de journaliser et de surveiller l’accès en lecture aux données sensibles.
Disponible par l’agent Microsoft Sentinel Linux pour Syslog. Ce journal est généré avec des données sur tous les clients.
Schéma du journal Syslog
| Field | Description |
|---|---|
| Ordinateur* | Nom d’hôte |
| HostIP | Adresse IP de l’hôte |
| HostName | Nom d’hôte |
| ProcessID | ID de processus |
| ProcessName | Nom du processus : HDB* |
| SeverityLevel | Alerte |
| SourceSystem | Système d’exploitation système source, Linux |
| SyslogMessage | Message, un message de piste d’audit non traité |
Fichiers JAVA
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json. Ce journal n’est pas pris en charge lors de l’utilisation de la procédure recommandée pour installer l’agent de connecteur de données à partir du portail.
Microsoft Sentinel fonction pour interroger ce journal : SAPJAVAFilesLogs
Documentation SAP associée :Journal d’audit de sécurité Javagénéral |
Objectif du journal : combine tous les journaux basés sur des fichiers Java, y compris le journal d’audit de sécurité et les journaux système (processus de cluster et de serveur), de performances et de passerelle. Inclut également les traces des développeurs et les journaux de trace par défaut.
Disponible par le service web sap Control. Ce journal est généré avec des données sur tous les clients.
Schéma de journal JavaFilesLogsCL
| Field | Description |
|---|---|
| Application | Application Java |
| Clientid | ID du client |
| CSNComponent | Composant CSN, tel que BC-XI-IBD |
| DCComponent | Composant DC, tel que com.sap.xi.util.misc |
| DSRCounter | Compteur DSR |
| DSRRootContentID | GUID de contexte DSR |
| DSRTransaction | DSR transaction GUID |
| Hôte | Hôte |
| Instance | Java instance, dans la syntaxe suivante :<HOST>_<SYSID>_<SYSNR> |
| Lieu | Classe Java |
| Logname | Java logName, par exemple : Available, defaulttrace, dev*, security, et ainsi de suite |
| MessageText | Texte du message |
| Mno | Numéro du message |
| Pid | ID de processus |
| Programme | Nom du programme |
| Session | Session |
| Severity | Gravité du message, notamment : Debug,Info,Warning,Error |
| Solution | Solution |
| SystemID | ID système |
| Numéro_système | Numéro système |
| ThreadName | Nom du thread |
| Jeté | Exception levée |
| TimeZone | Timezone |
| Utilisateur | Utilisateur |
Journal des pulsations SAP
Microsoft Sentinel fonction pour interroger ce journal : SAPConnectorHealth
Objectif du journal : fournit des pulsations et d’autres informations d’intégrité sur la connectivité entre les agents et les différents systèmes SAP.
Créé automatiquement pour tous les agents de l’Microsoft Sentinel pour le connecteur de données SAP.
schéma de journal SAP_HeartBeat_CL
| Field | Description |
|---|---|
| TimeGenerated | Événement d’heure de publication du journal |
| agent_id_s | ID d’agent dans la configuration de l’agent (généré automatiquement) |
| agent_ver_s | Version de l’agent |
| host_s | Nom d’hôte de l’agent |
| system_id_s | ID système ABAP Netweaver / Hôte NETweaver SAPControl (préversion) / Hôte SapControl Java (préversion) |
| push_timestamp_d | Horodatage de l’extraction, selon le fuseau horaire de l’agent |
| agent_timezone_s | Fuseau horaire de l’agent |
Référence des tables récupérées directement à partir des systèmes SAP
Cette section répertorie les tables de données qui sont récupérées directement à partir du système SAP et ingérées dans Microsoft Sentinel exactement telles quelles.
Les données récupérées à partir de ces tables fournissent une vue claire de la structure d’autorisation, de l’appartenance aux groupes et des profils utilisateur. Il vous permet également de suivre le processus d’octroi et de révocation d’autorisations, ainsi que d’identifier et de régir les risques associés à ces processus.
Les tableaux répertoriés ci-dessous sont nécessaires pour activer les fonctions qui identifient les utilisateurs privilégiés, mappent les utilisateurs à des rôles, des groupes et des autorisations.
Pour obtenir de meilleurs résultats, reportez-vous à ces tables en utilisant le nom dans la colonne nom de la fonction Microsoft Sentinel dans le tableau suivant :
| Nom du tableau | Description du tableau | nom de la fonction Microsoft Sentinel |
|---|---|---|
| USR01 | Enregistrement master utilisateur (données d’exécution) | SAP_USR01 |
| USR02 | Données de connexion (utilisation côté noyau) | SAP_USR02 |
| UST04 | Maîtres d’utilisateur Mappe les utilisateurs aux profils |
SAP_UST04 |
| AGR_USERS | Attribution de rôles aux utilisateurs | SAP_AGR_USERS |
| AGR_1251 | Données d’autorisation pour le groupe d’activités | SAP_AGR_1251 |
| USGRP_USER | Affectation d’utilisateurs à des groupes d’utilisateurs | SAP_USGRP_USER |
| USR21 | Nom d’utilisateur/Attribution de clé d’adresse | SAP_USR21 |
| ADR6 | adresses Email (services d’adresses professionnelles) | SAP_ADR6 |
| USRSTAMP | Horodatage de toutes les modifications apportées à l’utilisateur | SAP_USRSTAMP |
| ADCP | Personne/Affectation d’adresse (services d’adresse professionnelle) | SAP_ADCP |
| USR05 | ID de paramètre master utilisateur | SAP_USR05 |
| AGR_PROF | Nom du profil pour le rôle | SAP_AGR_PROF |
| AGR_FLAGS | Attributs de rôle | SAP_AGR_FLAGS |
| DEVACCESS | Table pour l’utilisateur de développement | SAP_DEVACCESS |
| AGR_DEFINE | Définition du rôle | SAP_AGR_DEFINE |
| AGR_AGRS | Rôles dans les rôles composites | SAP_AGR_AGRS |
| PAHI | Historique du système, de la base de données et des paramètres SAP | SAP_PAHI |
| SNCSYSACL (PRÉVERSION) | Snc Access Control List (ACL) : Systèmes | SAP_SNCSYSACL |
| USRACL (PRÉVERSION) | Liste de Access Control SNC (ACL) : utilisateur | SAP_USRACL |
Contenu connexe
Pour plus d’informations, reportez-vous aux rubriques suivantes :