Log and table reference for the Microsoft Sentinel solution for SAP applications
Ez a cikk az SAP-alkalmazásokhoz és adatösszekötőjéhez készült Microsoft Sentinel-megoldás részeként elérhető naplókat és táblákat ismerteti.
A cikkben említett naplók némelyike alapértelmezés szerint nem kerül a Microsoft Sentinelbe, de szükség szerint manuálisan is hozzáadhatja őket. További információ: A Microsoft Sentinelnek küldött SAP-naplók meghatározása
A cikkben szereplő tartalom az SAP BASIS-csapatoknak készült.
Fontos
Az SAP-megoldáshoz készült Microsoft Sentinel Threat Monitoring egyes összetevői jelenleg előzetes verzióban érhetők el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Függvények használata a lekérdezésekben a mögöttes naplók vagy táblák helyett
Javasoljuk, hogy az alapul szolgáló naplók vagy táblák helyett a rendelkezésre álló függvényeket használja elemzésük tárgyaként.
Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldással biztosított függvények az adatok elsődleges felhasználói felületeként szolgálnak. Ezek képezik az összes beépített elemzési szabály és munkafüzet alapját, amely a dobozon kívül érhető el. A függvények használata lehetővé teszi a függvények alatti adatinfrastruktúra módosítását a felhasználó által létrehozott tartalom feltörése nélkül.
További információ: Microsoft Sentinel-megoldás SAP-alkalmazásokhoz – függvények referenciája és Functions az Azure Monitor napló lekérdezéseiben.
Naplólefedettség
Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás naplókat gyűjt az alkalmazásból, az operációs rendszerből és az adatrétegekből, átfogó védelmet biztosítva az SAP-rendszer számára:
Alkalmazásréteg: A Microsoft Sentinel az ABAP-rétegen belüli tevékenységeket figyeli, amely az SAP-rendszerek elsődleges alkalmazásrétege, amely az üzleti logika végrehajtásáért és a tranzakciók feldolgozásáért felelős. A Microsoft Sentinel például olyan naplókat gyűjt, amelyek felhasználói műveleteket, például bejelentkezéseket, jelszómódosításokat és jelentésekhez vagy fájlokhoz való hozzáférést tartalmaznak.
A biztonsági monitorozás mellett az alkalmazásrétegben gyűjtött naplók megfelelőségi és naplózási célokra is használhatók.
Operációsrendszer-réteg: A Microsoft Sentinel naplókat gyűjt az operációs rendszerből, hogy betekintést nyújtson az operációs rendszerszintű tevékenységekbe, például az ABAP-kiszolgálóról és azon virtuális gépekről, amelyeken az SAP-alkalmazások futnak.
Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldást biztonsági tartalommal és adatösszekötőkkel együtt használhatja a többi szolgáltatáshoz az átfogó és központi monitorozáshoz, az összes rendszer információinak korrelációjához és az általános biztonsági helyzet javításához.
Adatbázisréteg: Adatbázisnaplók betöltése a Microsoft Sentinelbe az adatbázis-tevékenységek, például az adatbázis-felügyeleti tevékenységek és a táblaadatok változásainak figyeléséhez. Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás adatbázis-agnosztikus.
Az adatösszekötő-ügynök által összegyűjtött összes naplót először az adatgyűjtő ügynök gépén /opt/sapcon/<sid>/log , a tárolópéldány mappájában tárolja a rendszer. A naplók ezután a Log Analytics-munkaterületre kerülnek, ahol megtekintheti, naplózhatja és lekérdezheti őket a Microsoft Sentinelből.
A naplók gyűjtése és betöltése percenként, míg más naplók ritkábban kerülnek betöltésre. A Microsoft Sentinel az adatösszekötő-ügynök szívverését is figyeli, hogy a naplók gyűjtése és elküldése a Log Analytics-munkaterületre történjen.
Naplóhivatkozás
A következő szakaszok az SAP-alkalmazások adatösszekötőjéhez készült Microsoft Sentinel-megoldásból elérhető SAP-naplókat ismertetik, beleértve a Microsoft Sentinel táblaneveit, a naplócélokat és a részletes naplós sémákat.
A sémamezők leírása a vonatkozó SAP-dokumentációban szereplő mezőleírásokon alapul.
- ABAP-alkalmazásnapló
- ABAP – Dokumentumok módosítása napló
- ABAP CR-napló
- ABAP DB táblaadatnapló (ELŐZETES VERZIÓ)
- ABAP-átjáró naplója (ELŐZETES VERZIÓ)
- ABAP ICM-napló (ELŐZETES VERZIÓ)
- ABAP-feladatnapló
- ABAP biztonsági auditnapló
- ABAP Spool-napló
- APAB Spool kimeneti naplója
- ABAP SysLog
- ABAP-munkafolyamat naplója
- ABAP WorkProcess-napló
- HANA DB auditútvonal
- JAVA-fájlok
- SAP Szívverési napló
ABAP-alkalmazásnapló
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPAppLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Rögzíti az alkalmazás végrehajtásának előrehaladását, hogy szükség szerint később rekonstruálhassa.
Az RFC használatával érhető el a standard SAP-tábla és az XBP-interfész standard szolgáltatásai alapján. Ez a napló ügyfélenként jön létre.
ABAPAppLog_CL naplóséma
| Mező | Leírás |
|---|---|
| AppLogDateTime | Alkalmazásnapló dátumának időpontja |
| CallbackProgram | Visszahívási program |
| CallbackRoutine | Visszahívási rutin |
| Visszahívástípus | Visszahívás típusa |
| Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
| ContextDDIC | Környezeti DDIC-struktúra |
| ExternalID | Külső naplóazonosító |
| Gazdagép | Gazdagép |
| Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | Alkalmazásnapló-üzenet soros |
| LevelofDetail | Részletességi szint |
| LogHandle | Alkalmazásnapló-leíró |
| LogNumber | Naplószám |
| MessageClass | Üzenetosztály |
| ÜzenetSzáma | Üzenetszám |
| Üzenetszöveg | Üzenet szövege |
| MessageType | Üzenettípus |
| Objektum | Alkalmazásnapló-objektum |
| OperationMode | Műveleti mód |
| ProblemClass | Problémaosztály |
| ProgramName | Program neve |
| SortCriterion | Rendezési feltétel |
| Standardtext | Normál szöveg |
| Alobjektum | Alkalmazásnapló alobjektuma |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| TransactionCode | Tranzakció kódja |
| User | User |
| UserChange | Felhasználó módosítása |
ABAP – Dokumentumok módosítása napló
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPChangeDocsLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Napló célja: Rekordok:
Az SAP NetWeaver Application Server (AS) ABAP-naplója megváltozik az üzleti adatobjektumokon a változásdokumentumokban.
Az SAP rendszer egyéb entitásai, például felhasználói adatok, szerepkörök, címek.
Az RFC standard SAP-táblákon alapuló használatával érhető el. Ez a napló ügyfélenként jön létre.
ABAPChangeDocsLog_CL naplóséma
| Mező | Leírás |
|---|---|
| ActualChangeNum | Tényleges változásszám |
| ChangedTableKey | Módosított táblakulcs |
| ChangeNumber | Szám módosítása |
| Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
| CreatedfromPlannedChange | Tervezett módosításból jött létre a következő szintaxisban: (‘X’ , ‘ ‘) |
| CurrencyKeyNew | Pénznemkulcs: új érték |
| CurrencyKeyOld | Pénznemkulcs: régi érték |
| Mezőnév | Mezőnév |
| Jelölőszöveg | Szöveg megjelölése |
| Gazdagép | Gazdagép |
| Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| Nyelv | Nyelv |
| ObjectClass | Objektumosztály, például BELEG: , BPAR, PFCGIDENTITY |
| ObjectID | Objektumazonosító |
| PlannedChangeNum | Tervezett módosítás száma |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| TableName | Tábla neve |
| TransactionCode | Tranzakció kódja |
| TypeofChange_Header | A módosítás fejléctípusa, beleértve a következőket: U = Változás; I = Beszúrás; E = Egyetlen docu törlése; D = Törlés; J = Egyetlen docu beszúrása |
| TypeofChange_Item | A változás elemtípusa, beleértve a következőket: U = Változás; I = Beszúrás; E = Egyetlen docu törlése; D = Törlés; J = Egyetlen docu beszúrása |
| UOMNew | Mértékegység: új érték |
| UOMOld | Mértékegység: régi érték |
| User | User |
| ValueNew | Mező tartalma: új érték |
| ValueOld | Mező tartalma: régi érték |
| Verzió | Verzió |
ABAP CR-napló
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPCRLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Tartalmazza a Change & Transport System (CTS) naplóit, beleértve a címtárobjektumokat és a módosításokat tartalmazó testreszabásokat.
Az RFC standard táblákon és standard SAP-szolgáltatásokon alapuló használatával érhető el. Ez a napló az összes ügyfél adataival jön létre.
Feljegyzés
Az alkalmazásnaplózás, a dokumentumok módosítása és a táblarögzítés mellett a CTS- és TMS-naplók is dokumentálják az éles rendszerben a Change & Transport System használatával végzett összes módosítást.
ABAPCRLog_CL naplóséma
| Mező | Leírás |
|---|---|
| Kategória | Kategória (Workbench, Testreszabás) |
| Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
| Leírás | Leírás |
| Gazdagép | Gazdagép |
| Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| ObjectName | Objektum neve |
| ObjectType | Objektumtípus |
| Tulajdonos | Tulajdonos |
| Kérés | Kérelem módosítása |
| Állapot | Állapot |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| TableKey | Táblakulcs |
| TableName | Tábla neve |
| ViewName | Nézet neve |
ABAP DB táblaadatnapló (ELŐZETES VERZIÓ)
Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.json fájlhoz. Ez a napló nem támogatott, ha az ajánlott eljárást használja az adatösszekötő-ügynök portálról való telepítéséhez.
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPTableDataLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Naplózást biztosít azokhoz a táblákhoz, amelyek kritikus fontosságúak vagy érzékenyek az auditokra.
Az RFC egyéni szolgáltatással való használatával érhető el. Ez a napló az összes ügyfél adataival jön létre.
ABAPTableDataLog_CL naplóséma
| Mező | Leírás |
|---|---|
| DBLogID | ADATBÁZIS naplóazonosítója |
| Gazdagép | Gazdagép |
| Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| Nyelv | Nyelv |
| LogKey | Naplókulcs |
| NewValue | Mező új értéke |
| OldValue | Mező régi értéke |
| OperationTypeSQL | Művelet típusa, Insert, , UpdateDelete |
| Program | Program neve |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| Táblamező | Táblamező |
| TableName | Tábla neve |
| TransactionCode | Tranzakció kódja |
| UserName | User |
| VersionNumber | Verziószám |
ABAP-átjáró naplója (ELŐZETES VERZIÓ)
Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.json fájlhoz. Ez a napló nem támogatott, ha az ajánlott eljárást használja az adatösszekötő-ügynök portálról való telepítéséhez.
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPOS_GW
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Az átjáró tevékenységeinek figyelése. Elérhető az SAP Control webszolgáltatás. Ez a napló az összes ügyfél adataival jön létre.
ABAPOS_GW_CL naplóséma
| Mező | Leírás |
|---|---|
| Gazdagép | Gazdagép |
| Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| Üzenetszöveg | Üzenet szövege |
| Súlyosság | Üzenet súlyossága: Debug, Info, Warning, Error |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
ABAP ICM-napló (ELŐZETES VERZIÓ)
Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.json fájlhoz. Ez a napló nem támogatott, ha az ajánlott eljárást használja az adatösszekötő-ügynök portálról való telepítéséhez.
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPOS_ICM
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Rögzíti a bejövő és kimenő kéréseket, és statisztikákat készít a HTTP-kérelmekről.
Elérhető az SAP Control webszolgáltatás. Ez a napló az összes ügyfél adataival jön létre.
ABAPOS_ICM_CL naplóséma
| Mező | Leírás |
|---|---|
| Gazdagép | Gazdagép |
| Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| Üzenetszöveg | Üzenet szövege |
| Súlyosság | Üzenet súlyossága, beleértve: Debug, Info, , WarningError |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
ABAP-feladatnapló
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPJobLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Egyesíti az összes háttérfeldolgozási feladatnaplót (SM37).
Az RFC használatával érhető el a standard SAP-tábla és az XBP-interfészek standard szolgáltatásai alapján. Ez a napló az összes ügyfél adataival jön létre.
naplóséma ABAPJobLog_CL
| Mező | Leírás |
|---|---|
| ABAPProgram | ABAP program |
| BgdEventParameters | Háttéresemény paraméterei |
| BgdProcessingEvent | Háttérfeldolgozási esemény |
| Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
| DynproNumber | Dynpro-szám |
| GUIStatus | Grafikus felhasználói felület állapota |
| Gazdagép | Gazdagép |
| Példány | ABAP-példány (HOST_SYSID_SYSNR) a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| JobClassification | Feladatbesorolás |
| JobCount | Feladatok száma |
| JobGroup | Feladatcsoport |
| Feladatnév | Feladat neve |
| JobPriority | A feladatok prioritása |
| MessageClass | Üzenetosztály |
| ÜzenetSzáma | Üzenetszám |
| Üzenetszöveg | Üzenet szövege |
| MessageType | Üzenettípus |
| ReleaseUser | Feladat kiadási felhasználója |
| SchedulingDateTime | Ütemezési dátum időpontja |
| StartDateTime | Kezdési dátum időpontja |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| TargetServer | Célkiszolgáló |
| User | User |
| UserReleaseInstance | ABAP-példány – felhasználói kiadás |
| WorkProcessID | Munkafolyamat-azonosító |
| WorkProcessNumber | Munkafolyamat száma |
ABAP biztonsági auditnapló
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPAuditLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: A következő adatokat rögzíti:
- Az SAP rendszerkörnyezetének biztonsággal kapcsolatos változásai, például a fő felhasználói rekordok módosítása
- Magasabb szintű adatokat, például sikeres és sikertelen bejelentkezési kísérleteket biztosító információk
- Olyan információk, amelyek lehetővé teszik egy eseménysorozat, például a sikeres vagy sikertelen tranzakció indítását
RFC XAL/SAL interfészekkel érhető el. A SAL a Basis 7.50-es verziójától érhető el. Ez a napló az összes ügyfél adataival jön létre.
ABAPAuditLog_CL naplóséma
| Mező | Leírás |
|---|---|
| ABAPProgramName | Programnév, csak SAL |
| AlertSeverity | A riasztás súlyossága |
| AlertSeverityText | Riasztás súlyossági szövege, csak SAL |
| AlertValue | Riasztási érték |
| AuditClassID | Naplózási osztály azonosítója, csak SAL |
| Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
| Számítógép | Csak felhasználói gép, csak SAL |
| Felhasználó e-mail-címe | |
| Gazdagép | Gazdagép |
| Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | Üzenetosztály |
| MessageContainerID | Üzenettároló azonosítója, csak XAL |
| MessageID | Üzenetazonosító, például ‘AU1’,’AU2’… |
| Üzenetszöveg | Üzenet szövege |
| MonitoringObjectName | MTE Monitor objektum neve, csak XAL |
| MonitorShortName | MTE Monitor rövid neve, csak XAL |
| SAPProcesType | Rendszernapló: SAP-folyamat típusa, csak SAL |
| B* – Háttérfeldolgozás | |
| D* – Párbeszédpanel feldolgozása | |
| U* – Feladatok frissítése | |
| SAPWPName | Rendszernapló: Munkafolyamat száma, csak SAL |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| TerminalIPv6 | Felhasználói gép IP-címe, csak SAL |
| TransactionCode | Tranzakciós kód, csak SAL |
| User | User |
| Változó1 | 1. üzenetváltozó |
| Változó2 | 2. üzenetváltozó |
| Változó3 | Üzenetváltozó 3 |
| Változó4 | 4. üzenetváltozó |
ABAP Spool-napló
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPSpoolLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Az SAP-nyomtatás fő naplójaként szolgál a spool-kérelmek előzményeivel. (SP01).
Elérhető az RFC standard SAP-tábla alapján történő használatával. Ez a napló az összes ügyfél adataival jön létre.
ABAPSpoolLog_CL naplóséma
| Mező | Leírás |
|---|---|
| ArchiveStatus | Archív állapot |
| ArchiveType | Archív típus |
| ArchivingDevice | Archiváló eszköz |
| AutoRereoute | Automatikus átirányítás |
| Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
| CountryKey | Országkulcs |
| DeleteSpoolRequestAuto | Spool-kérelem automatikus törlése |
| DelFlag | Törlés jelző |
| Részleg | Részleg |
| DocumentType | Dokumentum típusa |
| ExternalMode | Külső mód |
| FormatType | Formátum típusa |
| Gazdagép | Gazdagép |
| Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| Példányszám | Másolatok száma |
| OutputDevice | Kimeneti eszköz |
| PrinterLongName | Nyomtató hosszú neve |
| PrintImmediately | Nyomtatás azonnal |
| PrintOSCoverPage | OsCover lap nyomtatása |
| PrintSAPCoverPage | SAPCover lap nyomtatása |
| Prioritás | Prioritás |
| RecipientofSpoolRequest | Az orsókérés címzettje |
| SpoolErrorStatus | Spool hibaállapot |
| SpoolRequestCompleted | A várólistára vonatkozó kérés befejeződött |
| SpoolRequestisALogForAnotherRequest | A Spool-kérés egy másik kérés naplója |
| SpoolRequestName | Spool-kérelem neve |
| SpoolRequestNumber | Spool-kérelem száma |
| SpoolRequestSuffix1 | Spool request utótag1 |
| SpoolRequestSuffix2 | Spool request utótag2 |
| SpoolRequestTitle | Spool-kérelem címe |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| TelecommunicationsPartner | Távközlési partner |
| TelecommunicationsPartnerE | Telekommunikációs partner E |
| TemSeGeneralcounter | Temse számláló |
| TemseNumAddProtectionRule | Temse szám hozzáadása védelmi szabály |
| TemseNumChangeProtectionRule | Temse-számmódosítás védelmi szabálya |
| TemseNumDeleteProtectionRule | Temse-szám törlési védelmi szabálya |
| TemSeObjectName | Temse objektum neve |
| TemSeObjectPart | TemSe objektumrész |
| TemseReadProtectionRule | Temse olvasásvédelmi szabály |
| User | User |
| ValueAuthCheck | Érték hitelesítésének ellenőrzése |
APAB Spool kimeneti naplója
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPSpoolOutputLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Az SAP-nyomtatás fő naplójaként szolgál a spool kimeneti kéréseinek előzményeivel. (SP02).
Elérhető az RFC használatával egy standard táblákon alapuló egyéni szolgáltatással. Ez a napló az összes ügyfél adataival jön létre.
naplóséma ABAPSpoolOutputLog_CL
| Mező | Leírás |
|---|---|
| AppServer | Alkalmazáskiszolgáló |
| Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
| Megjegyzés | Megjegyzés |
| CopyCount | Másolások száma |
| CopyCounter | Számláló másolása |
| Részleg | Részleg |
| ErrorSpoolRequestNumber | Hibakérés száma |
| FormatType | Formátum típusa |
| Gazdagép | Gazdagép |
| HostName | Gazdagép neve |
| HostSpoolerID | Gazdagépsor-kezelő azonosítója |
| Példány | ABAP-példány |
| LastPage | Utolsó oldal |
| Példányszám | Másolatok száma |
| OutputDevice | Kimeneti eszköz |
| OutputRequestNumber | Kimeneti kérelem száma |
| OutputRequestStatus | Kimeneti kérelem állapota |
| PhysicalFormatType | Fizikai formátum típusa |
| PrinterLongName | Nyomtató hosszú neve |
| PrintRequestSize | Kérelem méretének nyomtatása |
| Prioritás | Prioritás |
| ReasonforOutputRequest | A kimeneti kérelem oka |
| RecipientofSpoolRequest | Az orsókérés címzettje |
| SpoolNumberofOutputReqProcessed | Kimeneti kérelmek száma – feldolgozott |
| SpoolNumberofOutputReqWithErrors | Kimeneti kérelmek száma – hibákkal |
| SpoolNumberofOutputReqWithProblems | Kimeneti kérelmek száma – problémák esetén |
| SpoolRequestNumber | Spool-kérelem száma |
| StartPage | Kezdőlap |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| TelecommunicationsPartner | Távközlési partner |
| TemSeGeneralcounter | Temse számláló |
| Cím | Cím |
| User | User |
ABAP Syslog
Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.json fájlhoz. Ez a napló nem támogatott, ha az ajánlott eljárást használja az adatösszekötő-ügynök portálról való telepítéséhez.
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPOS_Syslog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Rögzíti az ÖSSZES SAP NetWeaver Application Server (SAP NetWeaver AS) ABAP-rendszerhibát, figyelmeztetést, felhasználói zárolást az ismert felhasználóktól érkező sikertelen bejelentkezési kísérletek és a folyamatüzenetek miatt.
Elérhető az SAP Control webszolgáltatás. Ez a napló az összes ügyfél adataival jön létre.
ABAPOS_Syslog_CL naplóséma
| Mező | Leírás |
|---|---|
| Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
| Gazdagép | Gazdagép |
| Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| ÜzenetSzáma | Üzenetszám |
| Üzenetszöveg | Üzenet szövege |
| Súlyosság | Üzenet súlyossága, az alábbi értékek egyike: Debug, Info, , WarningError |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| TransacationCode | Tranzakció kódja |
| Típus | SAP-folyamat típusa |
| User | User |
ABAP-munkafolyamat naplója
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPWorkflowLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Az SAP Business Workflow (WebFlow Engine) lehetővé teszi olyan üzleti folyamatok meghatározását, amelyek még nincsenek leképezve az SAP-rendszerben.
A le nem képezett üzleti folyamatok lehetnek például egyszerű kiadási vagy jóváhagyási eljárások, vagy összetettebb üzleti folyamatok, például alapanyagok létrehozása, majd a kapcsolódó részlegek koordinálása.
Az RFC standard SAP-táblákon alapuló használatával érhető el. Ez a napló ügyfélenként jön létre.
ABAPWorkflowLog_CL naplóséma
| Mező | Leírás |
|---|---|
| ActualAgent | Tényleges ügynök |
| Cím | Cím |
| ApplicationArea | Alkalmazásterület |
| CallbackFunction | Visszahívási függvény |
| Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
| CreationDateTime | Létrehozás dátuma |
| Szerző | Szerző |
| CreatorAddress | Létrehozó címe |
| ErrorType | Hibatípus |
| ExceptionforMethod | Metódus kivétele |
| Gazdagép | Gazdagép |
| Példány | ABAP-példány (HOST_SYSID_SYSNR) a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| Nyelv | Nyelv |
| LogCounter | Naplószámláló |
| ÜzenetSzáma | Üzenetszám |
| MessageType | Üzenettípus |
| MethodUser | Metódusfelhasználó |
| Prioritás | Prioritás |
| SimpleContainer | Egyszerű tároló, a munkaelem kulcs-érték entitásainak listájaként csomagolva |
| Állapot | Állapot |
| SuperWI | Super WI |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| TaskID | Tevékenységazonosító |
| TasksClassification | Tevékenységbesorolások |
| TaskText | Tevékenységszöveg |
| TopTaskID | Legfelső tevékenységazonosító |
| UserCreated | Felhasználó létrehozva |
| WIText | Munkaelem szövege |
| WIType | Munkaelem típusa |
| WorkflowAction | Munkafolyamat-művelet |
| WorkItemID | Munkaelem azonosítója |
ABAP WorkProcess-napló
Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.json fájlhoz. Ez a napló nem támogatott, ha az ajánlott eljárást használja az adatösszekötő-ügynök portálról való telepítéséhez.
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPOS_WP
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Az összes munkafolyamat-naplót egyesíti. (alapértelmezett:
dev_*).Elérhető az SAP Control webszolgáltatás. Ez a napló az összes ügyfél adataival jön létre.
naplóséma ABAPOS_WP_CL
| Mező | Leírás |
|---|---|
| Gazdagép | Gazdagép |
| Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| Üzenetszöveg | Üzenet szövege |
| Súlyosság | Üzenet súlyossága: Debug, Info, Warning, Error |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| WPNumber | Munkafolyamat száma |
HANA DB auditútvonal
A HANA DB auditnaplójának összegyűjtése példa arra, hogyan gyűjti a Microsoft Sentinel az adatbázisréteg tevékenységeit. Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, telepítenie kell az Azure Monitor-ügynököt , hogy syslog-adatokat gyűjtsön a HANA DB-t futtató gépről.
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPSyslog
Kapcsolódó SAP-dokumentáció: Általános | auditútvonal
Naplócél: Felhasználói műveleteket vagy megkísérelt műveleteket rögzít az SAP HANA-adatbázisban. Lehetővé teszi például a bizalmas adatokhoz való olvasási hozzáférés naplózását és monitorozását.
A Sysloghoz készült Microsoft Sentinel Linux-ügynök által elérhető. Ez a napló az összes ügyfél adataival jön létre.
Syslog-naplóséma
| Mező | Leírás |
|---|---|
| Számítógép | Gazdagép neve |
| HostIP | Gazdagép IP-címe |
| HostName | Gazdagép neve |
| ProcessID | Folyamatazonosító |
| ProcessName | Folyamat neve: HDB* |
| Súlyossági szint | Riasztás |
| SourceSystem | Forrásrendszer operációs rendszere, Linux |
| SyslogMessage | Üzenet, egy nem elemzett naplónapló-üzenet |
JAVA-fájlok
Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.json fájlhoz. Ez a napló nem támogatott, ha az ajánlott eljárást használja az adatösszekötő-ügynök portálról való telepítéséhez.
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPJAVAFilesLogs
Kapcsolódó SAP-dokumentáció: Általános | Java biztonsági auditnapló
Naplócél: Egyesíti az összes Java-fájlalapú naplót, beleértve a biztonsági naplózási naplót, valamint a rendszer (fürt- és kiszolgálófolyamat), a teljesítményt és az átjárónaplókat. Fejlesztői nyomkövetéseket és alapértelmezett nyomkövetési naplókat is tartalmaz.
Elérhető az SAP Control webszolgáltatás. Ez a napló az összes ügyfél adataival jön létre.
JavaFilesLogsCL-naplóséma
| Mező | Leírás |
|---|---|
| Alkalmazás | Java-alkalmazás |
| Ügyfélazonosító | Ügyfél azonosítója |
| CSNComponent | CSN-összetevő, például BC-XI-IBD |
| DCComponent | DC-összetevő, például com.sap.xi.util.misc |
| DSRCounter | DSR-számláló |
| DSRRootContentID | DSR-környezet GUID azonosítója |
| DSRTransaction | DSR-tranzakció GUID azonosítója |
| Gazdagép | Gazdagép |
| Példány | Java-példány, az alábbi szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| Hely | Java-osztály |
| LogName | Java logName, például: Available, defaulttrace, dev*, securitystb. |
| Üzenetszöveg | Üzenet szövege |
| MNo | Üzenetszám |
| Pid | Folyamatazonosító |
| Program | Program neve |
| Munkamenet | Munkamenet |
| Súlyosság | Üzenet súlyossága, beleértve a következőket: Debug,Info,Warning,Error |
| Megoldás | Megoldás |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| ThreadName | Szál neve |
| Dobott | Kivétel ki lett dobva |
| Időzóna | Időzóna |
| User | User |
SAP Szívverési napló
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPConnectorHealth
Naplócél: Szívverést és egyéb állapotinformációkat biztosít az ügynökök és a különböző SAP-rendszerek közötti kapcsolatról.
Automatikusan létrejön az SAP-adatösszekötőhöz készült Microsoft Sentinel bármely ügynöke számára.
SAP_HeartBeat_CL naplóséma
| Mező | Leírás |
|---|---|
| TimeGenerated | Naplóbejegyzési esemény időpontja |
| agent_id_s | Ügynökazonosító az ügynök konfigurációjában (automatikusan generálva) |
| agent_ver_s | Ügynök verziója |
| host_s | Az ügynök állomásneve |
| system_id_s | Netweaver ABAP rendszerazonosító / Netweaver SAPControl-gazdagép (előzetes verzió) / Java SAPControl-gazdagép (előzetes verzió) |
| push_timestamp_d | A kinyerés időbélyege az ügynök időzónája szerint |
| agent_timezone_s | Az ügynök időzónája |
Közvetlenül az SAP-rendszerekből lekért táblák hivatkozása
Ez a szakasz azokat az adattáblákat sorolja fel, amelyek közvetlenül az SAP rendszerből vannak lekérve, és a Microsoft Sentinelbe kerülnek, pontosan úgy, ahogy vannak.
Az ezekből a táblákból lekért adatok egyértelmű képet nyújtanak az engedélyezési struktúráról, a csoporttagságról és a felhasználói profilról. Emellett lehetővé teszi az engedélyezési támogatások és visszavonások folyamatának nyomon követését, valamint az ezekhez a folyamatokhoz kapcsolódó kockázatok azonosítását és szabályozását.
Az alábbi táblázatok szükségesek a kiemelt felhasználók azonosítását, a felhasználók szerepkörökhöz, csoportokhoz és engedélyezésekhez való leképezését lehetővé tevő függvények engedélyezéséhez.
A legjobb eredmény érdekében tekintse meg ezeket a táblázatokat a Következő táblázat Microsoft Sentinel függvénynév oszlopában található név használatával:
| Tábla neve | Táblázat leírása | Microsoft Sentinel függvény neve |
|---|---|---|
| USR01 | Felhasználói főrekord (futtatókörnyezeti adatok) | SAP_USR01 |
| USR02 | Bejelentkezési adatok (kerneloldali használat) | SAP_USR02 |
| UST04 | Felhasználói főkiszolgálók Felhasználók leképezése profilokhoz |
SAP_UST04 |
| AGR_USERS | Szerepkörök hozzárendelése felhasználókhoz | SAP_AGR_USERS |
| AGR_1251 | A tevékenységcsoport engedélyezési adatai | SAP_AGR_1251 |
| USGRP_USER | Felhasználók hozzárendelése felhasználói csoportokhoz | SAP_USGRP_USER |
| USR21 | Felhasználónév/ Címkulcs hozzárendelése | SAP_USR21 |
| ADR6 | E-mail-címek (üzleti címszolgáltatások) | SAP_ADR6 |
| USRSTAMP | Időbélyeg a felhasználó összes módosításához | SAP_USRSTAMP |
| ADCP | Személy/cím hozzárendelése (üzleti címszolgáltatások) | SAP_ADCP |
| USR05 | Felhasználói fő paraméter azonosítója | SAP_USR05 |
| AGR_PROF | Szerepkör profilneve | SAP_AGR_PROF |
| AGR_FLAGS | Szerepkör-attribútumok | SAP_AGR_FLAGS |
| DEVACCESS | Tábla fejlesztői felhasználó számára | SAP_DEVACCESS |
| AGR_DEFINE | Szerepkör-definíció | SAP_AGR_DEFINE |
| AGR_AGRS | Szerepkörök összetett szerepkörökben | SAP_AGR_AGRS |
| PAHI | A rendszer-, adatbázis- és SAP-paraméterek előzményei | SAP_PAHI |
| SNCSYSACL (ELŐZETES VERZIÓ) | SNC hozzáférés-vezérlési lista (ACL): Rendszerek | SAP_SNCSYSACL |
| USRACL (ELŐZETES VERZIÓ) | SNC hozzáférés-vezérlési lista (ACL): Felhasználó | SAP_USRACL |
Kapcsolódó tartalom
További információk: