Microsoft Sentinel-megoldás hibaelhárítása AZ SAP-alkalmazások® üzembe helyezéséhez

Hasznos Docker-parancsok

Az SAP-adatösszekötőhöz készült Microsoft Sentinel hibaelhárítása során a következő parancsok lehetnek hasznosak:

Függvény	Parancs
A Docker-tároló leállítása	docker stop sapcon-[SID]
A Docker-tároló indítása	docker start sapcon-[SID]
Docker-rendszernaplók megtekintése	docker logs -f sapcon-[SID]
Adja meg a Docker-tárolót	docker exec -it sapcon-[SID] bash

További információkért tekintse meg a Docker CLI dokumentációját.

Rendszernaplók áttekintése

Javasoljuk, hogy az adatösszekötő telepítése vagy alaphelyzetbe állítása után tekintse át a rendszernaplókat.

Futtatás:

docker logs -f sapcon-[SID]

Hibakeresési mód nyomtatásának engedélyezése/letiltása

Hibakeresési mód nyomtatásának engedélyezése:

1. A virtuális gépen szerkessze az /opt/sapcon/[SID]/systemconfig.ini fájlt.

2. Adja meg az Általános szakaszt, ha korábban még nem volt definiálva. Ebben a szakaszban definiálja a következőt logging_debug = True:

   Példa:

   [General]
   logging_debug = True
   

3. Mentse a fájlt.

A módosítás a fájl mentése után két perccel lép érvénybe. Nem kell újraindítania a Docker-tárolót.

Hibakeresési mód nyomtatásának letiltása:

1. A virtuális gépen szerkessze az /opt/sapcon/[SID]/systemconfig.ini fájlt.

2. Az Általános szakaszban adja meg a következőtlogging_debug = False:

   Példa:

   [General]
   logging_debug = False
   

3. Mentse a fájlt.

A módosítás a fájl mentése után két perccel lép érvénybe. Nem kell újraindítania a Docker-tárolót.

Az összes tárolóvégrehajtási napló megtekintése

Csatlakozás a Microsoft Sentinel-megoldás SAP-alkalmazások® adatösszekötő üzembe helyezéséhez szükséges végrehajtási naplói a virtuális gépen vannak tárolva az /opt/sapcon/[SID]/log/ helyen. A naplófájl neve OmniLog.log. A naplófájlok előzményei megmaradnak, utótagja a .[ szám] például OmniLog.log.1, OmniLog.log.2 stb.

Tekintse át és frissítse a Microsoft Sentinel for SAP adatösszekötő konfigurációját

Ha ellenőrizni szeretné az SAP-adatösszekötő konfigurációs fájlját a Microsoft Sentinelben, és manuális frissítéseket szeretne végezni, hajtsa végre a következő lépéseket:

1. Nyissa meg a konfigurációs fájlt a virtuális gépen:

   • sapcon/[SID]/systemconfig.json a 2023. június 22-én vagy azt követően kiadott ügynökverziókhoz.
   • sapcon/[SID]/systemconfig.ini a 2023. június 22. előtt kiadott ügynökverziókhoz.

2. Szükség esetén frissítse a konfigurációt, és mentse a fájlt.

A módosítás a fájl mentése után két perccel lép érvénybe. Nem kell újraindítania a Docker-tárolót.

Az SAP-adatösszekötőhöz készült Microsoft Sentinel alaphelyzetbe állítása

Az alábbi lépések visszaállítják az összekötőt, és az SAP-naplókat az elmúlt 30 percből betöltik.

1. Állítsa le az összekötőt. Futtatás:

   docker stop sapcon-[SID]
   

2. Törölje a metadata.db fájlt az /opt/sapcon/[SID] könyvtárból. Futtatás:

   cd /opt/sapcon/<SID>
   rm metadata.db
   

   Feljegyzés

   A metadata.db fájl az egyes naplók utolsó időbélyegét tartalmazza, és a duplikációk elkerülése érdekében működik.

3. Indítsa újra az összekötőt. Futtatás:

   docker start sapcon-[SID]
   

Ha elkészült, ellenőrizze a rendszernaplókat .

Hiányzó IP-cím- vagy tranzakciókódmezők az SAP auditnaplójában

Ez a megoldás lehetővé teszi, hogy az SAP BASIS 7.5 SP12 és újabb verzióival rendelkező SAP-rendszerek további mezőket tükrözhessenek a táblákban és SAPAuditLog a ABAPAuditLog_CL táblákban.

Ha 7,5 SP12-nél nagyobb SAP BASIS-verziót használ, és hiányzik az IP-cím vagy a tranzakciókód mezője az SAP auditnaplójában, ellenőrizze, hogy az az SAP-rendszer, amelyből az adatokat kinyeri, tartalmazza-e a vonatkozó változáskéréseket (átviteleket). További információkért tekintse át a további információk lekérése az SAP-ból című szakaszt az előfeltételek között.

Az SAP-tábla adatnaplójában nem jelennek meg adatok

Ez a megoldás lehetővé teszi, hogy az SAP BASIS 7.5 SP12 és újabb verzióival rendelkező SAP-rendszerek tükrözzék a tábla adatnaplójának változásait a ABAPTableDataLog_CL táblázatban.

Ha a táblában ABAPTableDataLog_CL nem jelennek meg adatok, ellenőrizze, hogy az az SAP-rendszer, amelyből az adatokat kinyeri, tartalmazza-e a vonatkozó változáskéréseket (átviteleket). További információkért tekintse át a további információk lekérése az SAP-ból című szakaszt az előfeltételek között.

Gyakori problémák

Miután üzembe helyezte a Microsoft Sentinelt az SAP-adatösszekötőhöz és a biztonsági tartalmakhoz, a következő hibákat vagy problémákat tapasztalhatja:

Sérült vagy hiányzó SAP SDK-fájl

Ez a hiba akkor fordulhat elő, ha az összekötő nem indul el a PyRfc használatával, vagy zip-sel kapcsolatos hibaüzenetek jelennek meg.

1. Telepítse újra az SAP SDK-t.
2. Győződjön meg arról, hogy Ön a megfelelő 64 bites Linux-verzió. Az aktuális dátumtól kezdve a kiadási fájlnév a következő: nwrfc750P_8-70002752.zip.

Ha manuálisan telepítette volna az adatösszekötőt, győződjön meg arról, hogy az SDK-fájlt átmásolta a Docker-tárolóba.

Futtatás:

Docker cp SDK by running docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

Az ABAP futásidejű hibái nagy rendszereken jelennek meg

Ha ABAP-futtatókörnyezeti hibák jelennek meg a nagy rendszereken, próbáljon meg kisebb adattömbméretet beállítani:

1. Szerkessze az /opt/sapcon/[SID]/systemconfig.ini fájlt, és a Csatlakozás or Konfiguráció szakaszában határozza megtimechunk = 5.

   Példa:

   [Connector Configuration]
   timechunk = 5
   

2. mentse a fájlt.

A módosítás a fájl mentése után két perccel lép érvénybe. Nem kell újraindítania a Docker-tárolót.

Feljegyzés

Az időkorlát mérete percekben van meghatározva.

Üres vagy nem lekért napló, speciális hibaüzenetek nélkül

1. Ellenőrizze, hogy a naplózás engedélyezve van-e az SAP-ban.
2. Ellenőrizze az SM19 vagy RSAU_CONFIG tranzakciókat.
3. Szükség szerint engedélyezze az eseményeket.
4. Ellenőrizze, hogy érkeznek-e üzenetek és léteznek-e az SAP SM20-ban vagy RSAU_READ_LOG, anélkül, hogy az összekötő naplójában speciális hibák jelennek meg.

Helytelen Microsoft Sentinel-munkaterület azonosítója vagy kulcsa

Ha rájön, hogy helytelen munkaterület-azonosítót vagy kulcsot adott meg az üzembehelyezési szkriptben, frissítse az Azure Key Vaultban tárolt hitelesítő adatokat.

Miután ellenőrizte hitelesítő adatait az Azure KeyVaultban, indítsa újra a tárolót:

docker restart sapcon-[SID]

Helytelen SAP ABAP-felhasználói hitelesítő adatok rögzített konfigurációban

A rögzített konfiguráció az, amikor a jelszó közvetlenül a systemconfig.ini konfigurációs fájlban van tárolva.

Ha a hitelesítő adatai helytelenek, ellenőrizze a hitelesítő adatait.

Használja a base64 titkosítást a felhasználó és a jelszó titkosításához. Az online titkosítási eszközökkel titkosíthatja a hitelesítő adatait, például https://www.base64encode.org/.

Helytelen SAP ABAP-felhasználói hitelesítő adatok a Key Vaultban

Ellenőrizze a hitelesítő adatait, és szükség szerint javítsa ki őket, és alkalmazza a megfelelő értékeket az Azure Key Vault ABAPU Standard kiadás R és ABAPPASS értékeire.

Ezután indítsa újra a tárolót:

docker restart sapcon-[SID]

Hiányzó ABAP-(SAP-felhasználó) engedélyek

Ha a következőhöz hasonló hibaüzenetet kap: .. Hiányzó háttérbeli RFC-engedélyezés.., az SAP-engedélyek és a szerepkör nem lett megfelelően alkalmazva.

1. Győződjön meg arról, hogy az MSFT Standard kiadás N/Standard kiadás NTINEL_CONNECTOR szerepkör importálása egy változáskérelem-átvitel részeként történt, és az összekötő felhasználójára lett alkalmazva.

2. Futtassa a szerepkör-létrehozási és a felhasználó-összehasonlító folyamatot az SAP-tranzakció PFCG használatával.

Hiányzó adatok a munkafüzetekben vagy riasztásokban

Ha úgy találja, hogy hiányoznak adatok a Microsoft Sentinel-munkafüzetekben vagy -riasztásokban, győződjön meg arról, hogy a naplószabályzat megfelelően engedélyezve van az SAP oldalán, a naplófájlban hiba nélkül.

Ehhez a lépéshez használja a RSAU_CONFIG_LOG tranzakciót.

Hiányzó SAP változáskérés

Ha hibaüzenet jelenik meg, hogy hiányzik egy szükséges SAP-módosítási kérelem, győződjön meg arról, hogy a megfelelő SAP-módosítási kérelmet importálta a rendszeréhez.

További információ: ValidateSAP environment validation steps.

Nincs rekord/ késői rekord

Az ügynök a helyes időzóna-információkra támaszkodik. Ha azt látja, hogy nincsenek rekordok az SAP-naplózásban és a változásnaplókban, vagy ha a rekordok folyamatosan néhány órával elmaradnak, ellenőrizze, hogy az SAP-jelentés TZCUSTHELP-e bármilyen hibát jelez. További részletekért kövesse az SAP megjegyzés 481835 . Emellett problémákat okozhat a virtuális gép órajele, ahol az SAP-alkalmazásügynökhöz® készült Microsoft Sentinel-megoldás üzemel. A virtuális gép órájának UTC-től való bármilyen eltérése hatással lesz az adatgyűjtésre. Ennél is fontosabb, hogy az SAP virtuális gép órájának és a Sentinel-ügynök virtuális gépének órájának egyeznie kell.

Hálózati kapcsolati problémák

Ha hálózati csatlakozási problémákat tapasztal az SAP-környezethez vagy a Microsoft Sentinelhez, ellenőrizze, hogy az adatok a várt módon haladnak-e.

A gyakori problémák a következők:

• A Docker-tároló és az SAP-gazdagépek közötti tűzfalak blokkolhatják a forgalmat. Az SAP-gazdagép a következő TCP-portokon keresztül fogadja a kommunikációt, amelynek nyitva kell lennie: 32xx, 5xx13 és 33xx, ahol xx az SAP-példány száma.

• Az SAP-gazdagépről a Microsoft Container Registrybe vagy az Azure-ba irányuló kimenő kommunikáció proxykonfigurációt igényel. Ez általában hatással van a telepítésre, és megköveteli a környezeti és HTTPS_PROXY környezeti HTTP_PROXY változók konfigurálását. A környezeti változókat a tároló létrehozásakor a docker-tárolóba is betöltheti, ha hozzáadja a -e jelölőt a docker create / run parancshoz.

Egyéb váratlan problémák

Ha a cikkben nem szereplő váratlan problémákat tapasztal, próbálkozzon az alábbi lépésekkel:

• Az összekötő alaphelyzetbe állítása és a naplók újbóli betöltése
• Frissítse az összekötőt a legújabb verzióra.

Tipp.

Az összekötő alaphelyzetbe állítása és annak biztosítása, hogy a legújabb frissítésekkel rendelkezik, a nagyobb konfigurációs módosítások után is ajánlott.

A napló beolvasása figyelmeztetésekkel meghiúsul

Ha megpróbál lekérni egy auditnaplót, a szükséges változáskérés üzembe helyezése nélkül vagy egy régebbi/ nem módosított verzióban, és a folyamat figyelmeztetésekkel meghiúsul, ellenőrizze, hogy az SAP auditnaplója lekérhető-e az alábbi módszerek egyikével:

• XAL nevű kompatibilitási mód használata a régebbi verziókon
• Nem nemrég javított verzió használata
• A szükséges módosítási kérelem telepítése nélkül

Bár a rendszernek szükség esetén automatikusan kompatibilitási módra kell váltania, előfordulhat, hogy manuálisan kell váltania. Manuális kompatibilitási módra váltás:

1. Az /opt/sapcon/[SID]/systemconfig.ini fájl szerkesztése

2. A Csatlakozás or Konfiguráció szakaszában definiálja a következőket:auditlogforcexal = True

   Példa:

   [Connector Configuration]
   auditlogforcexal = True
   

3. mentse a fájlt.

A módosítás a fájl mentése után két perccel lép érvénybe. Nem kell újraindítania a Docker-tárolót.

Az SAPCONTROL vagy a JAVA-alrendszerek nem tudnak csatlakozni

Ellenőrizze, hogy az operációs rendszer felhasználója érvényes-e, és futtathatja-e a következő parancsot a cél SAP-rendszeren:

sapcontrol -nr <SID> -function GetSystemInstanceList

Az SAPCONTROL vagy a JAVA alrendszer időzónával kapcsolatos hibaüzenettel meghiúsul

Ha az SAPCONTROL vagy a JAVA-alrendszer időzónával kapcsolatos hibaüzenettel meghiúsul, például: Ellenőrizze az SAP-kiszolgáló konfigurációját és hálózati hozzáférését – "Etc/NZST", győződjön meg arról, hogy szabványos időzónakódokat használ.

Például használhatja a következőket: javatz = GMT+12 vagy abaptz = GMT-3**.

Nem lehet importálni a változáskérési átviteleket az SAP-ba

Ha nem tudja importálni a szükséges SAP-naplómódosítási kérelmeket , és hibaüzenetet kap egy érvénytelen összetevőverzióval kapcsolatban, adja hozzá ignore invalid component version a módosítási kérelem importálásakor.

A naplózási napló adatai nem töltik be a korábbi kezdeti terhelést

Ha az SAP auditnapló-adatai a RSAU_READ_LOAD vagy az SM200-tranzakciókban láthatók, nem töltik be a Microsoft Sentinelbe a kezdeti terhelést, előfordulhat, hogy helytelenül konfigurálja az SAP-rendszert és az SAP-gazdagép operációs rendszerét.

• A kezdeti betöltést a rendszer a Microsoft Sentinel for SAP-adatösszekötő friss telepítése vagy a metadata.db fájl törlése után tölti be.
• A minta helytelen konfigurációja lehet, ha az SAP-rendszer időzónája CET értékre van állítva az STZAC-tranzakcióban, de az SAP-gazdagép operációs rendszer időzónája UTC értékre van állítva.

A helytelen konfigurációk ellenőrzéséhez futtassa az RSDBTIME jelentést a Standard kiadás 38 tranzakcióban. Ha eltérést talál az SAP-rendszer és az SAP-gazdagép operációs rendszere között:

1. Állítsa le a Docker-tárolót. Futtatás

   docker stop sapcon-[SID]
   

2. Törölje a metadata.db fájlt az /opt/sapcon/[SID] könyvtárból. Futtatás:

   rm /opt/sapcon/[SID]/metadata.db
   

3. Frissítse az SAP-rendszert és az SAP-gazdagép operációs rendszerét úgy, hogy egyező beállításokat, például azonos időzónát rendelkezzen. További információ: SAP Community Wiki.

4. Indítsa újra a tárolót. Futtatás:

   docker start sapcon-[SID]
   

Hiányzó IP-cím- vagy tranzakciókódmezők az SAP auditnaplójában

Ez a megoldás lehetővé teszi, hogy az SAP BASIS 7.5 SP12 és újabb verzióival rendelkező SAP-rendszerek a ABAPAuditLog_CL és a SAPAuditLog táblák további mezőit tükrözzék. Ha 7,5 SP12-nél nagyobb SAP BASIS-verziót használ, és hiányzik az IP-cím vagy a tranzakciókód mezője az SAP auditnaplójában, ellenőrizze, hogy az az SAP-rendszer, amelyből az adatokat kinyeri, tartalmazza-e a vonatkozó változáskéréseket (átviteleket). További részletekért lásd: További információk lekérése az SAP-ból (nem kötelező).

Az SAP-tábla adatnaplójában nem jelennek meg adatok

Ez a megoldás lehetővé teszi, hogy az SAP BASIS 7.5 SP12 és újabb verzióival rendelkező SAP-rendszerek tükrözzék a tábla adatnaplójának változásait a ABAPTableDataLog_CL táblában. Ha nem jelennek meg adatok a ABAPTableDataLog_CL, ellenőrizze, hogy az az SAP-rendszer, amelyből az adatokat kinyeri, tartalmazza-e a vonatkozó változáskéréseket (átviteleket). További részletekért lásd: További információk lekérése az SAP-ból (nem kötelező).

Következő lépések

További információ az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldásról:

• Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz®
• A Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® való üzembe helyezésének előfeltételei
• SAP Change Requests (CRs) üzembe helyezése és az engedélyezés konfigurálása
• A megoldás tartalmának üzembe helyezése a tartalomközpontból
• Az SAP-adatösszekötő-ügynököt üzemeltető tároló üzembe helyezése és konfigurálása
• A Microsoft Sentinel for SAP adatösszekötő üzembe helyezése az SNC-vel
• SAP-naplózás engedélyezése és konfigurálása
• SAP HANA-naplózási naplók gyűjtése

Referenciafájlok:

• Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® – megoldásadatok referenciája
• Microsoft Sentinel-megoldás SAP-alkalmazásokhoz®: biztonsági tartalom referenciája
• Indítási szkript referenciája
• Szkripthivatkozás frissítése
• Systemconfig.ini fájlhivatkozás

További információ: Microsoft Sentinel-megoldások.