Microsoft Sentinel-megoldás hibaelhárítása AZ SAP-alkalmazások® üzembe helyezéséhez
Hasznos Docker-parancsok
Az SAP-adatösszekötőhöz készült Microsoft Sentinel hibaelhárítása során a következő parancsok lehetnek hasznosak:
Függvény | Parancs |
---|---|
A Docker-tároló leállítása | docker stop sapcon-[SID] |
A Docker-tároló indítása | docker start sapcon-[SID] |
Docker-rendszernaplók megtekintése | docker logs -f sapcon-[SID] |
Adja meg a Docker-tárolót | docker exec -it sapcon-[SID] bash |
További információkért tekintse meg a Docker CLI dokumentációját.
Rendszernaplók áttekintése
Javasoljuk, hogy az adatösszekötő telepítése vagy alaphelyzetbe állítása után tekintse át a rendszernaplókat.
Futtatás:
docker logs -f sapcon-[SID]
Hibakeresési mód nyomtatásának engedélyezése/letiltása
Hibakeresési mód nyomtatásának engedélyezése:
A virtuális gépen szerkessze az /opt/sapcon/[SID]/systemconfig.ini fájlt.
Adja meg az Általános szakaszt, ha korábban még nem volt definiálva. Ebben a szakaszban definiálja a következőt
logging_debug = True
:Példa:
[General] logging_debug = True
Mentse a fájlt.
A módosítás a fájl mentése után két perccel lép érvénybe. Nem kell újraindítania a Docker-tárolót.
Hibakeresési mód nyomtatásának letiltása:
A virtuális gépen szerkessze az /opt/sapcon/[SID]/systemconfig.ini fájlt.
Az Általános szakaszban adja meg a következőt
logging_debug = False
:Példa:
[General] logging_debug = False
Mentse a fájlt.
A módosítás a fájl mentése után két perccel lép érvénybe. Nem kell újraindítania a Docker-tárolót.
Az összes tárolóvégrehajtási napló megtekintése
Csatlakozás a Microsoft Sentinel-megoldás SAP-alkalmazások® adatösszekötő üzembe helyezéséhez szükséges végrehajtási naplói a virtuális gépen vannak tárolva az /opt/sapcon/[SID]/log/ helyen. A naplófájl neve OmniLog.log. A naplófájlok előzményei megmaradnak, utótagja a .[ szám] például OmniLog.log.1, OmniLog.log.2 stb.
Tekintse át és frissítse a Microsoft Sentinel for SAP adatösszekötő konfigurációját
Ha ellenőrizni szeretné az SAP-adatösszekötő konfigurációs fájlját a Microsoft Sentinelben, és manuális frissítéseket szeretne végezni, hajtsa végre a következő lépéseket:
Nyissa meg a konfigurációs fájlt a virtuális gépen:
- sapcon/[SID]/systemconfig.json a 2023. június 22-én vagy azt követően kiadott ügynökverziókhoz.
- sapcon/[SID]/systemconfig.ini a 2023. június 22. előtt kiadott ügynökverziókhoz.
Szükség esetén frissítse a konfigurációt, és mentse a fájlt.
A módosítás a fájl mentése után két perccel lép érvénybe. Nem kell újraindítania a Docker-tárolót.
Az SAP-adatösszekötőhöz készült Microsoft Sentinel alaphelyzetbe állítása
Az alábbi lépések visszaállítják az összekötőt, és az SAP-naplókat az elmúlt 30 percből betöltik.
Állítsa le az összekötőt. Futtatás:
docker stop sapcon-[SID]
Törölje a metadata.db fájlt az /opt/sapcon/[SID] könyvtárból. Futtatás:
cd /opt/sapcon/<SID> rm metadata.db
Feljegyzés
A metadata.db fájl az egyes naplók utolsó időbélyegét tartalmazza, és a duplikációk elkerülése érdekében működik.
Indítsa újra az összekötőt. Futtatás:
docker start sapcon-[SID]
Ha elkészült, ellenőrizze a rendszernaplókat .
Hiányzó IP-cím- vagy tranzakciókódmezők az SAP auditnaplójában
Ez a megoldás lehetővé teszi, hogy az SAP BASIS 7.5 SP12 és újabb verzióival rendelkező SAP-rendszerek további mezőket tükrözhessenek a táblákban és SAPAuditLog
a ABAPAuditLog_CL
táblákban.
Ha 7,5 SP12-nél nagyobb SAP BASIS-verziót használ, és hiányzik az IP-cím vagy a tranzakciókód mezője az SAP auditnaplójában, ellenőrizze, hogy az az SAP-rendszer, amelyből az adatokat kinyeri, tartalmazza-e a vonatkozó változáskéréseket (átviteleket). További információkért tekintse át a további információk lekérése az SAP-ból című szakaszt az előfeltételek között.
Az SAP-tábla adatnaplójában nem jelennek meg adatok
Ez a megoldás lehetővé teszi, hogy az SAP BASIS 7.5 SP12 és újabb verzióival rendelkező SAP-rendszerek tükrözzék a tábla adatnaplójának változásait a ABAPTableDataLog_CL
táblázatban.
Ha a táblában ABAPTableDataLog_CL
nem jelennek meg adatok, ellenőrizze, hogy az az SAP-rendszer, amelyből az adatokat kinyeri, tartalmazza-e a vonatkozó változáskéréseket (átviteleket). További információkért tekintse át a további információk lekérése az SAP-ból című szakaszt az előfeltételek között.
Gyakori problémák
Miután üzembe helyezte a Microsoft Sentinelt az SAP-adatösszekötőhöz és a biztonsági tartalmakhoz, a következő hibákat vagy problémákat tapasztalhatja:
Sérült vagy hiányzó SAP SDK-fájl
Ez a hiba akkor fordulhat elő, ha az összekötő nem indul el a PyRfc használatával, vagy zip-sel kapcsolatos hibaüzenetek jelennek meg.
- Telepítse újra az SAP SDK-t.
- Győződjön meg arról, hogy Ön a megfelelő 64 bites Linux-verzió. Az aktuális dátumtól kezdve a kiadási fájlnév a következő: nwrfc750P_8-70002752.zip.
Ha manuálisan telepítette volna az adatösszekötőt, győződjön meg arról, hogy az SDK-fájlt átmásolta a Docker-tárolóba.
Futtatás:
Docker cp SDK by running docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/
Az ABAP futásidejű hibái nagy rendszereken jelennek meg
Ha ABAP-futtatókörnyezeti hibák jelennek meg a nagy rendszereken, próbáljon meg kisebb adattömbméretet beállítani:
Szerkessze az /opt/sapcon/[SID]/systemconfig.ini fájlt, és a Csatlakozás or Konfiguráció szakaszában határozza meg
timechunk = 5
.Példa:
[Connector Configuration] timechunk = 5
mentse a fájlt.
A módosítás a fájl mentése után két perccel lép érvénybe. Nem kell újraindítania a Docker-tárolót.
Feljegyzés
Az időkorlát mérete percekben van meghatározva.
Üres vagy nem lekért napló, speciális hibaüzenetek nélkül
- Ellenőrizze, hogy a naplózás engedélyezve van-e az SAP-ban.
- Ellenőrizze az SM19 vagy RSAU_CONFIG tranzakciókat.
- Szükség szerint engedélyezze az eseményeket.
- Ellenőrizze, hogy érkeznek-e üzenetek és léteznek-e az SAP SM20-ban vagy RSAU_READ_LOG, anélkül, hogy az összekötő naplójában speciális hibák jelennek meg.
Helytelen Microsoft Sentinel-munkaterület azonosítója vagy kulcsa
Ha rájön, hogy helytelen munkaterület-azonosítót vagy kulcsot adott meg az üzembehelyezési szkriptben, frissítse az Azure Key Vaultban tárolt hitelesítő adatokat.
Miután ellenőrizte hitelesítő adatait az Azure KeyVaultban, indítsa újra a tárolót:
docker restart sapcon-[SID]
Helytelen SAP ABAP-felhasználói hitelesítő adatok rögzített konfigurációban
A rögzített konfiguráció az, amikor a jelszó közvetlenül a systemconfig.ini konfigurációs fájlban van tárolva.
Ha a hitelesítő adatai helytelenek, ellenőrizze a hitelesítő adatait.
Használja a base64 titkosítást a felhasználó és a jelszó titkosításához. Az online titkosítási eszközökkel titkosíthatja a hitelesítő adatait, például https://www.base64encode.org/.
Helytelen SAP ABAP-felhasználói hitelesítő adatok a Key Vaultban
Ellenőrizze a hitelesítő adatait, és szükség szerint javítsa ki őket, és alkalmazza a megfelelő értékeket az Azure Key Vault ABAPU Standard kiadás R és ABAPPASS értékeire.
Ezután indítsa újra a tárolót:
docker restart sapcon-[SID]
Hiányzó ABAP-(SAP-felhasználó) engedélyek
Ha a következőhöz hasonló hibaüzenetet kap: .. Hiányzó háttérbeli RFC-engedélyezés.., az SAP-engedélyek és a szerepkör nem lett megfelelően alkalmazva.
Győződjön meg arról, hogy az MSFT Standard kiadás N/Standard kiadás NTINEL_CONNECTOR szerepkör importálása egy változáskérelem-átvitel részeként történt, és az összekötő felhasználójára lett alkalmazva.
Futtassa a szerepkör-létrehozási és a felhasználó-összehasonlító folyamatot az SAP-tranzakció PFCG használatával.
Hiányzó adatok a munkafüzetekben vagy riasztásokban
Ha úgy találja, hogy hiányoznak adatok a Microsoft Sentinel-munkafüzetekben vagy -riasztásokban, győződjön meg arról, hogy a naplószabályzat megfelelően engedélyezve van az SAP oldalán, a naplófájlban hiba nélkül.
Ehhez a lépéshez használja a RSAU_CONFIG_LOG tranzakciót.
Hiányzó SAP változáskérés
Ha hibaüzenet jelenik meg, hogy hiányzik egy szükséges SAP-módosítási kérelem, győződjön meg arról, hogy a megfelelő SAP-módosítási kérelmet importálta a rendszeréhez.
További információ: ValidateSAP environment validation steps.
Nincs rekord/ késői rekord
Az ügynök a helyes időzóna-információkra támaszkodik. Ha azt látja, hogy nincsenek rekordok az SAP-naplózásban és a változásnaplókban, vagy ha a rekordok folyamatosan néhány órával elmaradnak, ellenőrizze, hogy az SAP-jelentés TZCUSTHELP-e bármilyen hibát jelez. További részletekért kövesse az SAP megjegyzés 481835 . Emellett problémákat okozhat a virtuális gép órajele, ahol az SAP-alkalmazásügynökhöz® készült Microsoft Sentinel-megoldás üzemel. A virtuális gép órájának UTC-től való bármilyen eltérése hatással lesz az adatgyűjtésre. Ennél is fontosabb, hogy az SAP virtuális gép órájának és a Sentinel-ügynök virtuális gépének órájának egyeznie kell.
Hálózati kapcsolati problémák
Ha hálózati csatlakozási problémákat tapasztal az SAP-környezethez vagy a Microsoft Sentinelhez, ellenőrizze, hogy az adatok a várt módon haladnak-e.
A gyakori problémák a következők:
A Docker-tároló és az SAP-gazdagépek közötti tűzfalak blokkolhatják a forgalmat. Az SAP-gazdagép a következő TCP-portokon keresztül fogadja a kommunikációt, amelynek nyitva kell lennie: 32xx, 5xx13 és 33xx, ahol xx az SAP-példány száma.
Az SAP-gazdagépről a Microsoft Container Registrybe vagy az Azure-ba irányuló kimenő kommunikáció proxykonfigurációt igényel. Ez általában hatással van a telepítésre, és megköveteli a környezeti és
HTTPS_PROXY
környezetiHTTP_PROXY
változók konfigurálását. A környezeti változókat a tároló létrehozásakor a docker-tárolóba is betöltheti, ha hozzáadja a-e
jelölőt a dockercreate
/run
parancshoz.
Egyéb váratlan problémák
Ha a cikkben nem szereplő váratlan problémákat tapasztal, próbálkozzon az alábbi lépésekkel:
- Az összekötő alaphelyzetbe állítása és a naplók újbóli betöltése
- Frissítse az összekötőt a legújabb verzióra.
Tipp.
Az összekötő alaphelyzetbe állítása és annak biztosítása, hogy a legújabb frissítésekkel rendelkezik, a nagyobb konfigurációs módosítások után is ajánlott.
A napló beolvasása figyelmeztetésekkel meghiúsul
Ha megpróbál lekérni egy auditnaplót, a szükséges változáskérés üzembe helyezése nélkül vagy egy régebbi/ nem módosított verzióban, és a folyamat figyelmeztetésekkel meghiúsul, ellenőrizze, hogy az SAP auditnaplója lekérhető-e az alábbi módszerek egyikével:
- XAL nevű kompatibilitási mód használata a régebbi verziókon
- Nem nemrég javított verzió használata
- A szükséges módosítási kérelem telepítése nélkül
Bár a rendszernek szükség esetén automatikusan kompatibilitási módra kell váltania, előfordulhat, hogy manuálisan kell váltania. Manuális kompatibilitási módra váltás:
Az /opt/sapcon/[SID]/systemconfig.ini fájl szerkesztése
A Csatlakozás or Konfiguráció szakaszában definiálja a következőket:
auditlogforcexal = True
Példa:
[Connector Configuration] auditlogforcexal = True
mentse a fájlt.
A módosítás a fájl mentése után két perccel lép érvénybe. Nem kell újraindítania a Docker-tárolót.
Az SAPCONTROL vagy a JAVA-alrendszerek nem tudnak csatlakozni
Ellenőrizze, hogy az operációs rendszer felhasználója érvényes-e, és futtathatja-e a következő parancsot a cél SAP-rendszeren:
sapcontrol -nr <SID> -function GetSystemInstanceList
Az SAPCONTROL vagy a JAVA alrendszer időzónával kapcsolatos hibaüzenettel meghiúsul
Ha az SAPCONTROL vagy a JAVA-alrendszer időzónával kapcsolatos hibaüzenettel meghiúsul, például: Ellenőrizze az SAP-kiszolgáló konfigurációját és hálózati hozzáférését – "Etc/NZST", győződjön meg arról, hogy szabványos időzónakódokat használ.
Például használhatja a következőket: javatz = GMT+12
vagy abaptz = GMT-3**
.
Nem lehet importálni a változáskérési átviteleket az SAP-ba
Ha nem tudja importálni a szükséges SAP-naplómódosítási kérelmeket , és hibaüzenetet kap egy érvénytelen összetevőverzióval kapcsolatban, adja hozzá ignore invalid component version
a módosítási kérelem importálásakor.
A naplózási napló adatai nem töltik be a korábbi kezdeti terhelést
Ha az SAP auditnapló-adatai a RSAU_READ_LOAD vagy az SM200-tranzakciókban láthatók, nem töltik be a Microsoft Sentinelbe a kezdeti terhelést, előfordulhat, hogy helytelenül konfigurálja az SAP-rendszert és az SAP-gazdagép operációs rendszerét.
- A kezdeti betöltést a rendszer a Microsoft Sentinel for SAP-adatösszekötő friss telepítése vagy a metadata.db fájl törlése után tölti be.
- A minta helytelen konfigurációja lehet, ha az SAP-rendszer időzónája CET értékre van állítva az STZAC-tranzakcióban, de az SAP-gazdagép operációs rendszer időzónája UTC értékre van állítva.
A helytelen konfigurációk ellenőrzéséhez futtassa az RSDBTIME jelentést a Standard kiadás 38 tranzakcióban. Ha eltérést talál az SAP-rendszer és az SAP-gazdagép operációs rendszere között:
Állítsa le a Docker-tárolót. Futtatás
docker stop sapcon-[SID]
Törölje a metadata.db fájlt az /opt/sapcon/[SID] könyvtárból. Futtatás:
rm /opt/sapcon/[SID]/metadata.db
Frissítse az SAP-rendszert és az SAP-gazdagép operációs rendszerét úgy, hogy egyező beállításokat, például azonos időzónát rendelkezzen. További információ: SAP Community Wiki.
Indítsa újra a tárolót. Futtatás:
docker start sapcon-[SID]
Hiányzó IP-cím- vagy tranzakciókódmezők az SAP auditnaplójában
Ez a megoldás lehetővé teszi, hogy az SAP BASIS 7.5 SP12 és újabb verzióival rendelkező SAP-rendszerek a ABAPAuditLog_CL és a SAPAuditLog táblák további mezőit tükrözzék. Ha 7,5 SP12-nél nagyobb SAP BASIS-verziót használ, és hiányzik az IP-cím vagy a tranzakciókód mezője az SAP auditnaplójában, ellenőrizze, hogy az az SAP-rendszer, amelyből az adatokat kinyeri, tartalmazza-e a vonatkozó változáskéréseket (átviteleket). További részletekért lásd: További információk lekérése az SAP-ból (nem kötelező).
Az SAP-tábla adatnaplójában nem jelennek meg adatok
Ez a megoldás lehetővé teszi, hogy az SAP BASIS 7.5 SP12 és újabb verzióival rendelkező SAP-rendszerek tükrözzék a tábla adatnaplójának változásait a ABAPTableDataLog_CL táblában. Ha nem jelennek meg adatok a ABAPTableDataLog_CL, ellenőrizze, hogy az az SAP-rendszer, amelyből az adatokat kinyeri, tartalmazza-e a vonatkozó változáskéréseket (átviteleket). További részletekért lásd: További információk lekérése az SAP-ból (nem kötelező).
Következő lépések
További információ az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldásról:
- Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz®
- A Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® való üzembe helyezésének előfeltételei
- SAP Change Requests (CRs) üzembe helyezése és az engedélyezés konfigurálása
- A megoldás tartalmának üzembe helyezése a tartalomközpontból
- Az SAP-adatösszekötő-ügynököt üzemeltető tároló üzembe helyezése és konfigurálása
- A Microsoft Sentinel for SAP adatösszekötő üzembe helyezése az SNC-vel
- SAP-naplózás engedélyezése és konfigurálása
- SAP HANA-naplózási naplók gyűjtése
Referenciafájlok:
- Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® – megoldásadatok referenciája
- Microsoft Sentinel-megoldás SAP-alkalmazásokhoz®: biztonsági tartalom referenciája
- Indítási szkript referenciája
- Szkripthivatkozás frissítése
- Systemconfig.ini fájlhivatkozás
További információ: Microsoft Sentinel-megoldások.