Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® – referenciák

  • Cikk

Fontos

Az SAP-megoldáshoz készült Microsoft Sentinel Threat Monitoring egyes összetevői jelenleg előzetes verzióban érhetők el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Az alább feljegyzett naplók némelyike alapértelmezés szerint nem érkezik meg a Microsoft Sentinelhez, de igény szerint manuálisan is hozzáadhatja őket. További információ: A Microsoft Sentinelnek küldött SAP-naplók meghatározása.

Ez a cikk az SAP-alkalmazásokhoz® és adatösszekötőjéhez készült Microsoft Sentinel-megoldás részeként elérhető függvényeket, naplókat és táblákat ismerteti. Speciális SAP-felhasználók számára készült.

Az SAP-megoldásból elérhető függvények

Ez a szakasz a munkaterületen elérhető függvényeket ismerteti, miután üzembe helyezte a Microsoft Sentinel megoldást az SAP-alkalmazásokhoz®. Ezeket a függvényeket a Microsoft Sentinel-naplók lapon találja, amelyet a KQL-lekérdezésekben használhat, a Munkaterület-függvények területen.

A felhasználókat mindenképpen javasoljuk , hogy a függvényeket az elemzés tárgyaként használják, amikor csak lehetséges, a mögöttes naplók vagy táblák helyett. Ezek a függvények az adatok elsődleges felhasználói felületeként szolgálnak. Ezek képezik a beépített elemzési szabályok és munkafüzetek alapját. Ez lehetővé teszi a függvények alatti adatinfrastruktúra módosítását a felhasználó által létrehozott tartalom feltörése nélkül.

SAPUsersAssignments

Az SAPUsersAssignments függvény több SAP-adatforrásból gyűjt adatokat, és létrehoz egy felhasználóközpontú nézetet az aktuális felhasználói főadatokról, beleértve az aktuálisan hozzárendelt szerepköröket és profilokat.

Ez a függvény összefoglalja a szerepkörökhöz és profilokhoz való felhasználói hozzárendeléseket, és a következő adatokat adja vissza:

Mező Leírás Adatforrás/megjegyzések
Felhasználó SAP-felhasználói azonosító Csak SAL
E-mail SMTP-cím USR21 (SMTP_ADDR)
UserType (Felhasználótípus) Felhasználó típusa USR02 (USTYP)
Időzóna Időzóna USR02 (TZONE)
LockedStatus Zárolás állapota USR02 (UFLAG)
LastSeenDate Utolsó látható dátum USR02 (TRDAT)
LastSeenTime Utolsó látható időpont USR02 (LTIME)
UserGroupAuth Felhasználói csoport a felhasználói főkiszolgáló karbantartásában USR02 (OSZTÁLY)
Profilok Profilok készlete (alapértelmezett maximális készletméret = 50) ["Profile 1", "Profile 2",...,"profile 50"]
DirectRoles Közvetlenül hozzárendelt szerepkörök készlete (alapértelmezett maximális készletméret = 50) ["Role 1", "Role 2",...,"”"Role 50"]
ChildRoles Közvetetten hozzárendelt szerepkörök halmaza (alapértelmezett maximális készletméret = 50) ["Role 1", "Role 2",...,"”"Role 50"]
Ügyfél Ügyfél-azonosító
Rendszerazonosító Rendszerazonosító Az összekötőben meghatározottak szerint

SAPUsersGetPrivileged

Az SAPUsersGetPrivileged függvény ügyfélenként és rendszerazonosítónként visszaadja a kiemelt felhasználók listáját.

A felhasználók akkor minősülnek kiemelt jogosultságúnak, ha szerepelnek az SAP – Privileged Users figyelőlistán, hozzárendelték őket egy SAP – Bizalmas profilok figyelőlistán felsorolt profilhoz, vagy hozzáadták őket az SAP – Bizalmas szerepkörök figyelőlistájában felsorolt szerepkörhöz.

Paraméterek:

  • TimeAgo
    • Választható
    • Alapértelmezett érték: Hét nap
    • Azt határozza meg, hogy a függvény a felhasználói főadatot az érték által TimeAgo meghatározott időtől az érték által now() meghatározott időpontig keresi.

A SAPUsersGetPrivileged függvény a következő adatokat adja vissza:

Mező Leírás
Felhasználó SAP-felhasználói azonosító
Ügyfél Ügyfél-azonosító
Rendszerazonosító Rendszerazonosító

SAPUsersAuthorizations

A SAPUsersAuthorizations függvény több tábla adatait egyesíti, így felhasználóközpontú nézetet hoz létre a hozzárendelt aktuális szerepkörökről és engedélyekről. A rendszer csak az aktív szerepkörrel és engedélyezési hozzárendelésekkel rendelkező felhasználókat adja vissza.

Paraméterek:

  • TimeAgo
    • Választható
    • Alapértelmezett érték: Hét nap
    • Azt határozza meg, hogy a függvény a felhasználói főadatot az érték által TimeAgo meghatározott időtől az érték által now() meghatározott időpontig keresi.

A SAPUsersAuthorizations függvény a következő adatokat adja vissza:

Mező Leírás Jegyzetek
Felhasználó SAP-felhasználói azonosító
Szerepkörök Szerepkörök halmaza (alapértelmezett maximális készletméret = 50) ["Role 1", "Role 2",...,"Role 50"]
AuthorizationsDetails Engedélyezési készlet (alapértelmezett maximális készletméret = 100) {{AuthorizationsDeatils1},
{AuthorizationsDeatils2},
...,
{AuthorizationsDeatils100}}
Ügyfél Ügyfél-azonosító
Rendszerazonosító Rendszerazonosító

SAPConnectorHealth

Az SAPConnectorHealth függvény az ügynök és a mögöttes SAP-rendszer kapcsolatának állapotát tükrözi. A szívverési napló SAP_HeartBeat_CL és egyéb állapotmutatók alapján a következő adatokat adja vissza:

Mező Leírás
Ügynök Ügynökazonosító az ügynök konfigurációjában (automatikusan generálva)
Rendszerazonosító SAP-rendszerazonosító
Állapot A kapcsolat általános állapota
Részletek Kapcsolat részletei
ExtendedDetails A kapcsolat bővített részletei
LastSeen A legutóbbi tevékenységek időbélyege
StatusCode A rendszer állapotát tükröző kód

SAPConnectorOverview

Az SAPConnectorOverview függvény az egyes SAP-táblák sorainak számát jeleníti meg rendszerazonosítónként. Visszaadja az adatrekordok rendszerazonosítónkénti listáját és a létrehozott időt.

Paraméterek:

  • TimeAgo
    • Választható
    • Alapértelmezett érték: Hét nap
    • Azt határozza meg, hogy a függvény a felhasználói főadatot az érték által TimeAgo meghatározott időtől az érték által now() meghatározott időpontig keresi.
Mező Leírás
TimeGenerated A rekord generációjának időbélyegének datetime értéke
SystemID_s Az SAP-rendszerazonosítót jelölő sztring

A következő Kusto-lekérdezéssel napi trendelemzést végezhet:

SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s

SAPUsersEmail

Az SAPUsersEmail függvény lehetővé teszi egy SAP-felhasználó e-mail-címének teljesítményorientált keresését SAP-rendszeren és -ügyfélenként, általában active directory-fiókhoz társítva. Az USR21 (felhasználónév/címkulcs-hozzárendelés) és az ADR6 (E-mail címek) SAP-táblákból kinyert adatok használatával az SAPUsersEmail függvény Email címet keres. Ha nem talál ilyet, a rendszer a felhasználói azonosítót adja vissza Email cím helyett. Ez a viselkedés biztosítja, hogy az SAP-szolgáltatásfiókok (például a DDIC), amelyek gyakran nincsenek e-mail-címekhez társítva, pszeudo AD-fiókként legyenek naplózva, ami lehetővé teszi az UEBA egyes funkcióit, amelyek segítséget jelentenek az incidensek és a vadászati tevékenységek kivizsgálásához.

Mező Leírás
Ügyfélazonosító Az SAP-ügyfél azonosítója
Rendszerazonosító Az SAP-rendszer azonosítója
Felhasználó Az SAP-felhasználó azonosítója
E-mail Az SAP-felhasználó Email címe

SAPSystems

Az SAPSystems függvény központilag mutatja be az "SAP - Systems" figyelőlistával létrehozott rendszerenkénti konfigurációt.

Paraméterek:

  • SelectedSystems
    • Választható
    • Alapértelmezett érték: "Minden rendszer"
    • Adott SAP-rendszerek szűrésére szolgál
  • SelectedSystemRoles
    • Választható
    • Alapértelmezett érték: "Minden rendszerszerepkör"
    • Meghatározza a megvizsgálandó SAP-rendszerek szerepköreit (az "SAP - Systems" figyelőlistában meghatározottak szerint)
Mező Leírás Adatforrás/megjegyzések
SearchKey Keresési kulcs Az SAP-rendszerazonosító indexelt mezője
SystemRole Az SAP-rendszer szerepköre Éles környezet, UAT
SystemUsage Az SAP-rendszer fő használata ERP, CRM
Rendszerazonosító Az SAP-rendszer azonosítója

SAPAuditLogConfiguration

Az SAPAuditLogConfiguration függvény a Sentinel-munkaterület SAP-naplóriasztásának helyi konfigurációját adja vissza, amelyet a különböző SAP-auditnaplókkal kapcsolatos riasztásokhoz kell használni. Összekapcsolja az adatokat az "SAP Dynamic Audit Log Monitor Configuration" és az "SAP - Systems" figyelőlistán, hogy rendszerenkénti konfigurációt biztosítson rendszerszerepkörönként.

Paraméterek:

  • SelectedSystems
    • Választható
    • Alapértelmezett érték: "Minden rendszer"
    • Adott SAP-rendszerek szűrésére szolgál.
  • SelectedSystemRoles
    • Választható
    • Alapértelmezett érték: "Minden rendszerszerepkör"
    • Meghatározza a megvizsgálandó SAP-rendszerek szerepköreit (az "SAP - Systems" figyelőlistában meghatározottak szerint).
  • SelectedSeverities
    • Választható
    • Alapértelmezett érték: ["Magas", "Közepes"]
    • A súlyosságuk szempontjából megvizsgálandó események meghatározására szolgál. Az SAP auditnapló-üzenetazonosítója és rendszerszerepköre szerinti súlyosságok a "SAP_Dynamic_Audit_Log_Monitor_Configuration" figyelőlistában vannak meghatározva.
  • SelectedRuleTypes
    • Választható
    • Alapértelmezett érték: "Minden szabálytípus"
    • Meghatározza, hogy mely események relevánsak az anomáliák észleléséhez. Az SAP auditnapló-üzenetazonosítója és rendszerszerepköre szerinti szabálytípusok a "SAP_Dynamic_Audit_Log_Monitor_Configuration" figyelőlistában vannak definiálva.
Mező Leírás Adatforrás/jegyzetek
Kategórianév SAP-eseménykategória "SAP Dynamic Audit Log Monitor Configuration" figyelőlista
DestinationEmail Email hozzárendelt csapat címe "SAP Dynamic Audit Log Monitor Configuration" figyelőlista
Részletes leírás A riasztásokon megjelenítendő markdown formátumú szöveg "SAP Dynamic Audit Log Monitor Configuration" figyelőlista
MessageID Az SAP auditnapló üzenetazonosítója "SAP Dynamic Audit Log Monitor Configuration" figyelőlista
Üzenetszöveg Üzenetminta szövege "SAP Dynamic Audit Log Monitor Configuration" figyelőlista
RolesTagsToExclude ABAP-szerepkör, profil vagy szabad szöveges címke "SAP Dynamic Audit Log Monitor Configuration" figyelőlista
Szabálytípus Anomália vagy determinisztikus "SAP Dynamic Audit Log Monitor Configuration" figyelőlista
Taktikák A MITRE ATTA CK-taktikája& "SAP Dynamic Audit Log Monitor Configuration" figyelőlista
TeamsChannelID Teams-csatorna "SAP Dynamic Audit Log Monitor Configuration" figyelőlista
SystemID Az SAP-rendszer azonosítója "SAP - Systems" figyelőlista
SystemRole Az SAP-rendszer szerepköre "SAP - Systems" figyelőlista
SystemUsage Az SAP-rendszer fő használata "SAP - Systems" figyelőlista
IsProd Éles rendszerjelző "SAP - Systems" figyelőlista
Súlyosság A származtatott súlyosság Súlyosság rendszerhasználatonként
Küszöbérték A származtatott küszöbérték Eseményszám rendszerhasználatonként
BagOfDetails Táska részletek Az eseménydefiníciót részletező szótár

SAPAuditLogAnomalies

A SAPAuditLogAnomalies a Sentinel mögöttes Kusto-adatbázisának beépített gépi tanulási képességeit használja az SAP auditnaplóban megfigyelt rendellenes események észleléséhez. Az "SAP - (kísérleti) dinamikus anomálián alapuló auditnapló-figyelési riasztások" riasztási szabályhoz fejlesztették ki, ezt a függvényt eredetileg a legutóbbi rendellenességek riasztására tervezték, de segíthet a korábbi anomáliák kiemelésében is (lásd az alábbi példákat).

Paraméterek:

  • LearningTime
    • Választható
    • Alapértelmezett érték: 14 nap
    • Meghatározza a modelltanuláshoz használt időtartományt
  • DetectingTime
    • Választható
    • Alapértelmezett érték: Egy óra
    • Meghatározza az anomáliák észleléséhez megvizsgálandó időtartományt. Ha ezt a függvényt DetectingTime = 0h értékkel hívja meg, az anomáliákat emeli ki a teljes LearningTime-időtartományban
  • SelectedSystems
    • Választható
    • Alapértelmezett érték: "Minden rendszer"
    • Adott SAP-rendszerek szűrésére szolgál.
  • SelectedSystemRoles
    • Választható
    • Alapértelmezett érték: "Minden rendszerszerepkör"
    • Meghatározza a megvizsgálandó SAP-rendszerek szerepköreit (az "SAP - Systems" figyelőlistában meghatározottak szerint).
  • SelectedSeverities
    • Választható
    • Alapértelmezett érték: ["Magas", "Közepes"]
    • A súlyosságuk szempontjából megvizsgálandó események meghatározására szolgál. Az SAP auditnapló-üzenetazonosítója és rendszerszerepköre szerinti súlyosságok a "SAP_Dynamic_Audit_Log_Monitor_Configuration" figyelőlistában vannak meghatározva.
  • SelectedPrefixMask
    • Választható
    • Alapértelmezett érték: 24
    • A tanuláshoz és észleléshez használt alhálózati maszk szintjének meghatározására szolgál.
  • SelectedRuleTypes
    • Választható
    • Alapértelmezett érték: "AnomaliesOnly"
    • Meghatározza, hogy mely események relevánsak az anomáliák észleléséhez. Az SAP auditnapló-üzenetazonosítója és rendszerszerepköre szerinti szabálytípusok a "SAP_Dynamic_Audit_Log_Monitor_Configuration" figyelőlistában vannak definiálva.

Logika

A függvény a különböző bemeneti paraméterek által meghatározott előzmények szeletét tanulja meg a felhasználó, a hálózati attribútumok, a rendszer, a szezonalitás és a tevékenységszintek alapján. Ezután a tanultaknak megfelelően bírálja el az utolsó DetectingTime időtartományban előforduló eseményeket, küszöbértékeket és az SAP auditnapló konfigurációs figyelőlistájából kapott egyéb konfigurálható kizárási feltételeket alkalmazva. Miután a felhasználói tevékenység egy csúszóablakát rendellenesnek tekintették, egy második lekérdezés a teljes felhasználói tevékenységet visszaadja a döntést alátámasztó bizonyítékként.

További megjegyzések

Mint minden gépi tanulási megoldás esetében, ez a függvény is jobban teljesít idővel. További módosítások a helyi konfigurációval végezhetők el. Javasoljuk, hogy korlátozza a tanult adatbázis méretét, hogy 100 millió rekord alatt legyen a számos elérhető bemeneti paraméter használatával.

Példa: olyan eseménytípusok éles rendszereken az elmúlt egy órában bekövetkezett nagy súlyosságú események rendellenességeinek keresése, amelyek az "SAP_Dynamic_Audit_Log_Monitor_Configuration" "AnomaliesOnly" (AnomaliesOnly) jelöléssel rendelkeznek.

SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), 
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))

Példa: Az elmúlt 14 nap összes rendellenességének keresése a "BIP" rendszerben

SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Mező Leírás
Több mező a SAPAuditLogból Kulcsmezők az SAP-auditnaplóból
Több mező a SAPAuditLogConfiguration-ból Kulcsmezők az SAP auditnapló-konfigurációjához készült Sentinelből
Felderített Az a kerekített óra, amelyen az anomáliát megfigyelték:
EventCount A visszaadott soronként megszámlált események száma
AnomalCount A megfelelő csúszóablakban megfigyelt események száma
Minimális idő Az első megfigyelt esemény időpontja
MaxTime A legutóbbi megfigyelt esemény időpontja
Pontszám az anomáliamodell által előállított anomáliapontértékek

További információt az SAP-auditnapló monitorozására vonatkozó beépített SAP-elemzési szabályok című témakörben talál.

SAPAuditLogConfigRecommend

Az SAPAuditLogConfigRecommend egy segédfüggvény, amely az SAP – Dinamikus anomálián alapuló auditnapló-figyelési riasztások (PREVIEW) elemzési szabályának konfigurálására vonatkozó javaslatokat kínál. Ismerje meg, hogyan konfigurálhatja a szabályokat.

SAPUsersGetVIP

Az SAP-hoz készült Sentinel-megoldás a központi felhasználói címkézés fogalmát használja, amely lehetővé teszi az alacsonyabb téves pozitív arányt, minimális erőfeszítéssel az ügyféloldalon:

  • A felhasználók címkézhetők az "SAP User Config" figyelőlistával (például a DDIC a "RunObsoleteProgOK"-tal van hozzárendelve). Több felhasználó több címkét is tartalmazhat.
  • Egy riasztási szabály elküldi a megfelelő címkéket a SAPUsersGetVIP függvénynek, amely a felhasználók kizárását kéri. Az "SAP – Elavult vagy nem biztonságos program végrehajtása" riasztási szabály a "RunObsoleteProgOK" címkével rendelkező felhasználókat kérheti.

Íme egy KQL-lekérdezés, amely az alábbi használati esetet mutatja be:

// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
let excludeUsersTags= dynamic(['RunObsoleteProgOK']);
let excludedUsers= SAPUsersGetVIP(SearchForTags= dynamic(["RunObsoleteProgOK"]))| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog 
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude

Ezt a funkciót erősen használják a determinisztikus és rendellenes naplómonitorozási riasztásokban, "ahol címkék társíthatók az SAP auditnapló-üzenetazonosítójával, és könnyen kiterjeszthetők egyéni riasztási szabályokra is. Paraméterek:

  • SearchForTags
    • Választható
    • Alapértelmezett érték: dynamic('All Tags')
    • Ha a SearchForTags értéke "Minden címke", a rendszer az összes felhasználót visszaadja a címkékkel együtt, máskülönben csak a SearchForTagsban megadott címkékkel rendelkező felhasználók jelennek meg. A TagsIntersect megjeleníti, hogy mely címkék találhatók, a IntersectionSize pedig ezeknek a számát fogja tárolni.
  • SpecialFocusTags
    • Választható
    • Alapértelmezett érték: "Ne adja vissza a fókuszban lévő felhasználókat"
    • A függvény visszaadja a SpecialFocusTagsben megadott címkéket tartalmazó összes felhasználót, és a specialFocusTagged = true címkével jelölte meg őket.
Forrás Mező Leírás Jegyzetek
Az "SAP User Config" figyelőlista SearchKey Keresési kulcs
Az "SAP User Config" figyelőlista SAPUser Az SAP-felhasználó OSS, DDIC
Az "SAP User Config" figyelőlista Címkék a felhasználóhoz rendelt címkék sztringje RunObsoleteProgOK
Az "SAP User Config" figyelőlista Felhasználó Microsoft Azure Active Directory (Azure AD) objektumazonosítója Azure AD objektumazonosítója
Az "SAP User Config" figyelőlista Felhasználói azonosító AD-felhasználó azonosítója
Az "SAP User Config" figyelőlista Felhasználói helyszíni biztonsági azonosító
Az "SAP User Config" figyelőlista Felhasználó egyszerű neve
Az "SAP User Config" figyelőlista Címkék listája A felhasználóhoz rendelt címkék listája ChangeUserMasterDataOK; RunObsoleteProgOK
Logika TagsIntersect A SearchForTags címkéinek megfelelő címkék halmaza ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
Logika SpecialFocusTagged Speciális fókusz jelzése Igaz, Hamis
Logika Metszetméret Az összekapcsolt címkék száma

SAPUsersHeader

A SAPUsersHeader függvény úgy lett kialakítva, hogy magas szintű képet nyújtson az SAP-felhasználóról. Az SAP-felhasználó főadattábláiból és az SAP-napló legutóbbi tevékenységeiből kinyert adatokat használja a Email és AZ IP-címek gyűjtéséhez. Ezután visszaadja az utolsó ismert e-mail- és IP-címeket, valamint az elsődleges e-mail- és IP-címeket. Paraméterek: SelectedSystemRoles:dynamic = dynamic(["Minden rendszerszerepkör"]) SelectedSystems:dynamic = dynamic(["Minden rendszer"]) SelectedUsers:dynamic = dynamic(["Minden felhasználó"]) SelectedUser:string = "Minden felhasználó"

  • SelectedSystems
    • Választható
    • Alapértelmezett érték: "Minden rendszer"
    • Adott SAP-rendszerek szűrésére szolgál.
  • SelectedSystemRoles
    • Választható
    • Alapértelmezett érték: "Minden rendszerszerepkör"
    • Meghatározza a megvizsgálandó SAP-rendszerek szerepköreit (az "SAP - Systems" figyelőlistában meghatározottak szerint).
  • Kiválasztottfelhasználók
    • Választható
    • Alapértelmezett érték: "Minden felhasználó"
    • Megadhatja a felhasználók listáját.
  • SelectedUser
    • Választható
    • Alapértelmezett érték: "Minden felhasználó"
    • Csak egyetlen felhasználót fogad el

További megjegyzések

Teljesítménnyel kapcsolatos megfontolások esetén a rendszer csak néhány napnyi naplózási tevékenységet mérlegel. A felhasználói tevékenységek teljes előzményeihez futtasson egy egyéni KQL-lekérdezést a SAPAuditLog függvényen.

Forrás Mező Leírás Jegyzetek
Felhasználó Az SAP-felhasználó
SAP-táblák ADR6 és USR21 E-mail A felhasználó fő adataiból származnak OSS, DDIC
SAP-tábla USR02 UserType (Felhasználótípus) a felhasználóhoz rendelt címkék sztringje RunObsoleteProgOK
SAP-tábla USR02 Időzóna Azure AD objektumazonosítója
SAP-tábla USR02 LockedStatus AD-felhasználó azonosítója
SAP-auditnapló LastSeen Időbélyeg a felhasználó legutóbbi auditeseménye
SAP-auditnapló LastSeenDaysAgo lastSeen óta eltelt napok
SAP-auditnapló PrimaryIP Leggyakrabban használt IP-cím ChangeUserMasterDataOK; RunObsoleteProgOK
SAP-auditnapló LastKnownIP Legutóbb használt IP-cím ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
SAP-auditnapló PrimaryEmail Leggyakrabban használt Email cím Igaz, Hamis
SAP-auditnapló Ismert IP-címek Ismert IP-címek listája rendezés a leggyakoribbak szerint
SAP-auditnapló Ismert E-mail-üzenetek Ismert Email címek listája rendezés a leggyakoribbak szerint
Ügyfél Az SAP-ügyfél azonosítója
Rendszerazonosító Az SAP rendszerazonosítója
SystemRole Az SAP-rendszer szerepköre Éles környezet, UAT
SystemUsage Az SAP-rendszer fő használata ERP, CRM

Az adatösszekötő-ügynök által létrehozott naplók

Ez a szakasz az SAP-alkalmazások® adatösszekötőjéhez készült Microsoft Sentinel-megoldásban elérhető SAP-naplókat ismerteti, beleértve a Microsoft Sentinel táblaneveit, a naplócélokat és a részletes naplósémákat. A sémamezők leírásai a vonatkozó SAP-dokumentációban szereplő mezőleírásokon alapulnak.

A legjobb eredmény érdekében az alább felsorolt Microsoft Sentinel-függvényekkel jelenítheti meg, érheti el és kérdezheti le az adatokat.

ABAP-alkalmazásnapló

  • Microsoft Sentinel függvény a napló lekérdezéséhez: SAPAppLog

  • Kapcsolódó SAP-dokumentáció: SAP súgóportál

  • Naplócél: Rögzíti az alkalmazás végrehajtásának előrehaladását, hogy később szükség szerint rekonstruálhassa.

    Az RFC használatával érhető el standard SAP-tábla és az XBP-interfész standard szolgáltatásai alapján. Ez a napló ügyfélenként jön létre.

naplóséma ABAPAppLog_CL

Mező Leírás
AppLogDateTime Alkalmazásnapló dátumának időpontja
Visszahívásprogram Visszahívási program
CallbackRoutine Visszahívási rutin
Visszahívás típusa Visszahívás típusa
Ügyfélazonosító ABAP-ügyfélazonosító (MANDT)
ContextDDIC Környezeti DDIC-struktúra
Külső azonosító Külső naplóazonosító
Gazdagép Gazdagép
Példány ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR>
InternalMessageSerial Alkalmazásnapló üzenetének soros
LevelofDetail Részletességi szint
LogHandle Alkalmazásnapló-leíró
LogNumber Naplószám
MessageClass Üzenetosztály
MessageNumber Üzenet száma
Üzenetszöveg Szöveges üzenet
MessageType Üzenettípus
Objektum Alkalmazásnapló-objektum
OperationMode Műveleti mód
Problémaosztály Problémaosztály
ProgramName Program neve
SortCriterion Rendezési feltétel
StandardText Normál szöveg
Alobjektum Alkalmazásnapló alobjektuma
Rendszerazonosító Rendszerazonosító
SystemNumber Rendszer száma
TransactionCode Tranzakció kódja
Felhasználó Felhasználó
UserChange Felhasználó módosítása

ABAP – Dokumentumok módosítása napló

  • Microsoft Sentinel függvény a napló lekérdezéséhez: SAPChangeDocsLog

  • Kapcsolódó SAP-dokumentáció: SAP súgóportál

  • Napló célja: Rekordok:

    • Az SAP NetWeaver Application Server (AS) ABAP-naplója az üzleti adatobjektumok módosításait módosítja a változásdokumentumokban.

    • Az SAP rendszer egyéb entitásai, például felhasználói adatok, szerepkörök, címek.

    A standard SAP-táblákon alapuló RFC használatával érhető el. Ez a napló ügyfélenként jön létre.

naplóséma ABAPChangeDocsLog_CL

Mező Leírás
ActualChangeNum Tényleges változásszám
ChangedTableKey Módosított táblakulcs
ChangeNumber Szám módosítása
Ügyfélazonosító ABAP-ügyfélazonosító (MANDT)
CreatedfromPlannedChange Tervezett módosításból létrehozva, az alábbi szintaxisban: (‘X’ , ‘ ‘)
CurrencyKeyNew Pénznemkulcs: új érték
CurrencyKeyOld Pénznemkulcs: régi érték
Mezőnév Mező neve
Jelölőszöveg Szöveg megjelölése
Gazdagép Gazdagép
Példány ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR>
Nyelv Nyelv
ObjectClass Objektumosztály, például BELEG, BPAR, , PFCGIDENTITY
ObjectID Objektumazonosító
PlannedChangeNum Tervezett módosítás száma
Rendszerazonosító Rendszerazonosító
SystemNumber Rendszer száma
TableName Table name (Táblázat neve)
TransactionCode Tranzakció kódja
TypeofChange_Header A módosítás fejléctípusa, beleértve a következőket:
U = Módosítás; I = Beszúrás; E = Önálló docu törlése; D = Törlés; J = Egyetlen docu beszúrása
TypeofChange_Item A módosítás elemtípusa, beleértve a következőket:
U = Módosítás; I = Beszúrás; E = Önálló docu törlése; D = Törlés; J = Egyetlen docu beszúrása
UOMÚj Mértékegység: új érték
UOMOld Mértékegység: régi érték
Felhasználó Felhasználó
ValueNew Mező tartalma: új érték
ValueOld Mező tartalma: régi érték
Verzió Verzió

ABAP CR-napló

  • Microsoft Sentinel függvény a napló lekérdezéséhez: SAPCRLog

  • Kapcsolódó SAP-dokumentáció: SAP súgóportál

  • Napló célja: Tartalmazza a Változásátszállítási & rendszer (CTS) naplóit, beleértve a címtárobjektumokat és a módosításokat tartalmazó testreszabásokat.

    Az RFC használatával érhető el standard táblák és standard SAP-szolgáltatások alapján. Ez a napló az összes ügyfél adataival jön létre.

Megjegyzés

Az alkalmazásnaplózás, a dokumentumok módosítása és a táblarögzítés mellett az éles rendszerben a Változásátviteli & rendszer használatával végzett összes módosítás dokumentálva lesz a CTS- és TMS-naplókban.

ABAPCRLog_CL naplóséma

Mező Leírás
Kategória Kategória (Workbench, Testreszabás)
Ügyfélazonosító ABAP-ügyfélazonosító (MANDT)
Description Description
Gazdagép Gazdagép
Példány ABAP-példány az alábbi szintaxisban: <HOST>_<SYSID>_<SYSNR>
ObjectName Objektum neve
ObjectType Objektumtípus
Tulajdonos Tulajdonos
Kérés Kérelem módosítása
Állapot Állapot
SystemID Rendszerazonosító
SystemNumber Rendszer száma
TableKey Táblakulcs
TableName Table name (Táblázat neve)
ViewName Nézet neve

ABAP DB táblaadatnapló (ELŐZETES VERZIÓ)

Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.ini fájlhoz.

  • Microsoft Sentinel függvény a napló lekérdezéséhez: SAPTableDataLog

  • Kapcsolódó SAP-dokumentáció: SAP súgóportál

  • Naplócél: Naplózást biztosít azokhoz a táblákhoz, amelyek kritikus fontosságúak vagy érzékenyek a naplózásra.

    Az RFC-vel egyéni szolgáltatással érhető el. Ez a napló az összes ügyfél adataival jön létre.

ABAPTableDataLog_CL naplóséma

Mező Leírás
DBLogID ADATBÁZIS-napló azonosítója
Gazdagép Gazdagép
Példány ABAP-példány az alábbi szintaxisban: <HOST>_<SYSID>_<SYSNR>
Nyelv Nyelv
LogKey Naplókulcs
NewValue Mező új értéke
OldValue Mező régi értéke
OperationTypeSQL Művelet típusa, Insert, , UpdateDelete
Program Program neve
SystemID Rendszerazonosító
SystemNumber Rendszer száma
Táblamező Táblamező
TableName Table name (Táblázat neve)
TransactionCode Tranzakciókód
Felhasználónév Felhasználó
VersionNumber Verziószám

ABAP-átjáró naplója (ELŐZETES VERZIÓ)

Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.ini fájlhoz.

  • Microsoft Sentinel függvény a napló lekérdezéséhez: SAPOS_GW

  • Kapcsolódó SAP-dokumentáció: SAP súgóportál

  • Naplócél: Figyeli az átjáró tevékenységeit. Elérhető az SAP Control Web Service. Ez a napló az összes ügyfél adataival jön létre.

ABAPOS_GW_CL naplóséma

Mező Leírás
Gazdagép Gazdagép
Példány ABAP-példány az alábbi szintaxisban: <HOST>_<SYSID>_<SYSNR>
Üzenetszöveg Szöveges üzenet
Súlyosság Üzenet súlyossága: Debug, Info, , WarningError
SystemID Rendszerazonosító
SystemNumber Rendszer száma

ABAP ICM-napló (ELŐZETES VERZIÓ)

Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.ini fájlhoz.

  • Microsoft Sentinel függvény a napló lekérdezéséhez: SAPOS_ICM

  • Kapcsolódó SAP-dokumentáció: SAP súgóportál

  • Naplócél: Rögzíti a bejövő és kimenő kéréseket, és összeállítja a HTTP-kérések statisztikáit.

    Elérhető az SAP Control Web Service. Ez a napló az összes ügyfél adataival jön létre.

ABAPOS_ICM_CL naplóséma

Mező Leírás
Gazdagép Gazdagép
Példány ABAP-példány az alábbi szintaxisban: <HOST>_<SYSID>_<SYSNR>
Üzenetszöveg Szöveges üzenet
Súlyosság Üzenet súlyossága, beleértve a következőket: Debug, Info, , WarningError
SystemID Rendszerazonosító
SystemNumber Rendszer száma

ABAP-feladatnapló

  • Microsoft Sentinel függvény a napló lekérdezéséhez: SAPJobLog

  • Kapcsolódó SAP-dokumentáció: SAP súgóportál

  • Naplócél: Egyesíti az összes háttérfeldolgozási feladatnaplót (SM37).

    Az RFC használatával érhető el a standard SAP-tábla és az XBP-interfészek standard szolgáltatásai alapján. Ez a napló az összes ügyfél adataival jön létre.

ABAPJobLog_CL naplóséma

Mező Leírás
ABAPProgram ABAP program
BgdEventParameters Háttéresemény-paraméterek
BgdProcessingEvent Háttérfeldolgozási esemény
Ügyfélazonosító ABAP-ügyfélazonosító (MANDT)
DynproNumber Dynpro-szám
GUIStatus Grafikus felhasználói felület állapota
Gazdagép Gazdagép
Példány ABAP-példány (HOST_SYSID_SYSNR) a következő szintaxisban: <HOST>_<SYSID>_<SYSNR>
Feladatosztályosítás Feladatbesorolás
JobCount Feladatok száma
JobGroup Feladatcsoport
JobName Feladat neve
JobPriority A feladatok prioritása
MessageClass Üzenetosztály
MessageNumber Üzenet száma
Üzenetszöveg Szöveges üzenet
MessageType Üzenettípus
ReleaseUser Feladatkiadás felhasználója
SchedulingDateTime Ütemezési dátum időpontja
StartDateTime Kezdés dátuma
SystemID Rendszerazonosító
SystemNumber Rendszer száma
TargetServer Célkiszolgáló
Felhasználó Felhasználó
UserReleaseInstance ABAP-példány – felhasználói kiadás
WorkProcessID Munkafolyamat azonosítója
WorkProcessNumber Munkafolyamat száma

ABAP biztonsági auditnapló

  • Microsoft Sentinel függvény a napló lekérdezéséhez: SAPAuditLog

  • Kapcsolódó SAP-dokumentáció: SAP súgóportál

  • Napló célja: A következő adatokat rögzíti:

    • Az SAP-rendszerkörnyezet biztonsággal kapcsolatos változásai, például a fő felhasználói rekordok változásai
    • Magasabb szintű adatokat biztosító információk, például sikeres és sikertelen bejelentkezési kísérletek
    • Olyan információk, amelyek lehetővé teszik egy eseménysorozat, például a sikeres vagy sikertelen tranzakciók indítását

    RFC XAL/SAL interfészek használatával érhető el. A SAL a Basis 7.50 verziótól érhető el. Ez a napló az összes ügyfél adataival jön létre.

naplóséma ABAPAuditLog_CL

Mező Leírás
ABAPProgramName Program neve, csak SAL
AlertSeverity A riasztás súlyossága
AlertSeverityText Riasztás súlyossági szövege, csak SAL
AlertValue Riasztási érték
AuditClassID Naplózási osztály azonosítója, csak SAL
Ügyfélazonosító ABAP-ügyfélazonosító (MANDT)
Computer Felhasználói gép, csak SAL
E-mail Felhasználó e-mail-címe
Gazdagép Gazdagép
Példány ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR>
MessageClass Üzenetosztály
MessageContainerID Üzenettároló azonosítója, csak XAL
Üzenetazonosító Üzenetazonosító, például ‘AU1’,’AU2’…
Üzenetszöveg Szöveges üzenet
MonitoringObjectName MTE Monitor-objektum neve, csak XAL
MonitorShortName MTE Monitor rövid neve, csak XAL
SAPProcesType Rendszernapló: SAP-folyamat típusa, csak SAL
B* – Háttérfeldolgozás
D* – Párbeszédpanel feldolgozása
U* – Feladatok frissítése
SAPWPName Rendszernapló: Munkafolyamat száma, csak SAL
Rendszerazonosító Rendszerazonosító
SystemNumber Rendszer száma
TerminalIPv6 Felhasználói gép IP-címe, csak SAL
TransactionCode Tranzakciós kód, csak SAL
Felhasználó Felhasználó
Változó1 1. üzenetváltozó
Változó2 2. üzenetváltozó
Változó3 3. üzenetváltozó
Változó4 4. üzenetváltozó

ABAP-készletnapló

  • Microsoft Sentinel függvény a napló lekérdezéséhez: SAPSpoolLog

  • Kapcsolódó SAP-dokumentáció: SAP súgóportál

  • Naplócél: Az SAP-nyomtatás fő naplójaként szolgál a készletkérések előzményeivel. (SP01).

    A standard SAP-táblán alapuló RFC használatával érhető el. Ez a napló az összes ügyfél adataival jön létre.

naplóséma ABAPSpoolLog_CL

Mező Leírás
ArchiveStatus Archív állapot
ArchiveType Archív típus
ArchivingDevice Eszköz archiválása
Automatikus helyreállítás Automatikus átirányítás
Ügyfélazonosító ABAP-ügyfélazonosító (MANDT)
CountryKey Országkulcs
DeleteSpoolRequestAuto Készletkérelmek automatikus törlése
DelFlag Törlési jelző
Részleg Részleg
DocumentType Dokumentum típusa
ExternalMode Külső mód
FormatType Formátum típusa
Gazdagép Gazdagép
Példány ABAP-példány az alábbi szintaxisban: <HOST>_<SYSID>_<SYSNR>
Példányszám Példányok száma
OutputDevice Kimeneti eszköz
PrinterLongName Nyomtató hosszú neve
PrintImmediately Nyomtatás azonnal
PrintOSCoverPage OsCover lap nyomtatása
PrintSAPCoverPage SAPCover lap nyomtatása
Prioritás Prioritás
RecipientofSpoolRequest A sorkészlet-kérelem címzettje
SpoolErrorStatus Készlethiba állapota
SpoolRequestCompleted A készletkérés befejeződött
SpoolRequestisALogForAnotherRequest A készletkérelem egy másik kérés naplója
SpoolRequestName Spool-kérelem neve
SpoolRequestNumber Készletkérés száma
SpoolRequestSuffix1 Spool request utótag1
SpoolRequestSuffix2 Spool request utótag2
SpoolRequestTitle Spool-kérelem címe
SystemID Rendszerazonosító
SystemNumber Rendszer száma
TelecommunicationsPartner Távközlési partner
TelecommunicationsPartnerE E távközlési partner
TemSeGeneralcounter Temse számláló
TemseNumAddProtectionRule Temse-szám hozzáadása védelmi szabály
TemseNumChangeProtectionRule Temse-számmódosítás védelmi szabálya
TemseNumDeleteProtectionRule Temse-szám törlési védelmi szabálya
TemSeObjectName Temse objektum neve
TemSeObjectPart TemSe objektumrész
TemseReadProtectionRule Temse olvasásvédelmi szabály
Felhasználó Felhasználó
ValueAuthCheck Érték hitelesítési ellenőrzése

APAB-készlet kimeneti naplója

  • Microsoft Sentinel függvény a napló lekérdezéséhez: SAPSpoolOutputLog

  • Kapcsolódó SAP-dokumentáció: SAP súgóportál

  • Naplócél: Az SAP Printing fő naplójaként szolgál a készletkimeneti kérések előzményeivel. (SP02).

    Elérhető az RFC használatával egy standard táblákon alapuló egyéni szolgáltatással. Ez a napló az összes ügyfél adataival jön létre.

ABAPSpoolOutputLog_CL naplóséma

Mező Leírás
AppServer Alkalmazáskiszolgáló
Ügyfélazonosító ABAP-ügyfélazonosító (MANDT)
Megjegyzés Megjegyzés
CopyCount Másolások száma
CopyCounter Számláló másolása
Részleg Részleg
ErrorSpoolRequestNumber Hibakérés száma
FormatType Formátum típusa
Gazdagép Gazdagép
HostName Állomásnév
HostSpoolerID Gazdagépsor-kezelő azonosítója
Példány ABAP-példány
LastPage Utolsó oldal
Példányszám Példányok száma
OutputDevice Kimeneti eszköz
OutputRequestNumber Kimeneti kérelem száma
OutputRequestStatus Kimeneti kérelem állapota
PhysicalFormatType Fizikai formátum típusa
PrinterLongName Nyomtató hosszú neve
PrintRequestSize Kérelem méretének nyomtatása
Prioritás Prioritás
ReasonforOutputRequest A kimeneti kérelem oka
RecipientofSpoolRequest A sorkészlet-kérelem címzettje
SpoolNumberofOutputReqProcessed Kimeneti kérelmek száma – feldolgozott
SpoolNumberofOutputReqWithErrors Kimeneti kérelmek száma – hibákkal
SpoolNumberofOutputReqWithProblems Kimeneti kérések száma – problémák esetén
SpoolRequestNumber Készletkérés száma
Startpage Kezdőlap
SystemID Rendszerazonosító
SystemNumber Rendszer száma
TelecommunicationsPartner Távközlési partner
TemSeGeneralcounter Temse számláló
Cím Cím
Felhasználó Felhasználó

ABAP Syslog

Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.ini fájlhoz.

  • Microsoft Sentinel függvény a napló lekérdezéséhez: SAPOS_Syslog

  • Kapcsolódó SAP-dokumentáció: SAP súgóportál

  • Naplócél: Az összes SAP NetWeaver-alkalmazáskiszolgáló (SAP NetWeaver AS) ABAP rendszerhibáit, figyelmeztetéseit, felhasználói zárolásait rögzíti az ismert felhasználók sikertelen bejelentkezési kísérletei és a folyamatüzenetek miatt.

    Elérhető az SAP Control Web Service. Ez a napló az összes ügyfél adataival jön létre.

ABAPOS_Syslog_CL naplóséma

Mező Leírás
Ügyfélazonosító ABAP-ügyfélazonosító (MANDT)
Gazdagép Gazdagép
Példány ABAP-példány az alábbi szintaxisban: <HOST>_<SYSID>_<SYSNR>
MessageNumber Üzenet száma
Üzenetszöveg Szöveges üzenet
Súlyosság Üzenet súlyossága, a következő értékek egyike: Debug, Info, , WarningError
SystemID Rendszerazonosító
SystemNumber Rendszer száma
TransacationCode Tranzakciókód
Típus SAP-folyamat típusa
Felhasználó Felhasználó

ABAP-munkafolyamat naplója

  • Microsoft Sentinel függvény a napló lekérdezéséhez: SAPWorkflowLog

  • Kapcsolódó SAP-dokumentáció: SAP súgóportál

  • Naplócél: Az SAP Business Workflow (WebFlow Engine) lehetővé teszi olyan üzleti folyamatok meghatározását, amelyek még nincsenek leképezve az SAP-rendszerben.

    A leképezetlen üzleti folyamatok lehetnek például egyszerű kiadási vagy jóváhagyási eljárások, vagy összetettebb üzleti folyamatok, például alapanyagok létrehozása és a kapcsolódó részlegek koordinálása.

    A standard SAP-táblákon alapuló RFC használatával érhető el. Ez a napló ügyfélenként jön létre.

ABAPWorkflowLog_CL naplóséma

Mező Leírás
ActualAgent Tényleges ügynök
Cím Cím
ApplicationArea Alkalmazásterület
CallbackFunction Visszahívási függvény
Ügyfélazonosító ABAP-ügyfélazonosító (MANDT)
CreationDateTime Létrehozás dátuma
Létrehozó Létrehozó
CreatorAddress Létrehozó címe
ErrorType Hibatípus
ExceptionforMethod Metódus kivétele
Gazdagép Gazdagép
Példány ABAP-példány (HOST_SYSID_SYSNR) a következő szintaxisban: <HOST>_<SYSID>_<SYSNR>
Nyelv Nyelv
LogCounter Naplószámláló
MessageNumber Üzenet száma
MessageType Üzenettípus
MethodUser Metódus felhasználója
Prioritás Prioritás
SimpleContainer Egyszerű tároló, amely a munkaelem Key-Value entitásainak listájaként van csomagolva
Állapot Állapot
SuperWI Super WI
Rendszerazonosító Rendszerazonosító
SystemNumber Rendszer száma
TaskID Tevékenység azonosítója
TasksClassification Tevékenységbesorolások
TaskText Tevékenység szövege
TopTaskID Felső tevékenységazonosító
UserCreated Felhasználó létrehozva
WIText Munkaelem szövege
WIType Munkaelem típusa
WorkflowAction Munkafolyamat-művelet
WorkItemID Munkaelem azonosítója

ABAP WorkProcess-napló

Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.ini fájlhoz.

  • Microsoft Sentinel függvény a napló lekérdezéséhez: SAPOS_WP

  • Kapcsolódó SAP-dokumentáció: SAP súgóportál

  • Naplócél: Egyesíti az összes munkafolyamat-naplót. (alapértelmezett: dev_*).

    Az SAP Control Web Service által elérhető. Ez a napló az összes ügyfél adataival jön létre.

naplóséma ABAPOS_WP_CL

Mező Leírás
Gazdagép Gazdagép
Példány ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR>
Üzenetszöveg Szöveges üzenet
Súlyosság Üzenet súlyossága: Debug, Info, , WarningError
Rendszerazonosító Rendszerazonosító
SystemNumber Rendszer száma
WPNumber Munkafolyamat száma

HANA DB auditnapló

Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, telepítenie kell egy Microsoft Management Agentet , hogy syslog-adatokat gyűjtsön a HANA-adatbázist futtató gépről.

  • Microsoft Sentinel függvény a napló lekérdezéséhez: SAPSyslog

  • Kapcsolódó SAP-dokumentáció: Általános | auditnapló

  • Naplócél: Felhasználói műveleteket vagy megkísérelt műveleteket rögzít az SAP HANA-adatbázisban. Lehetővé teszi például a bizalmas adatokhoz való olvasási hozzáférés naplózását és monitorozását.

    A Sysloghoz készült Sentinel Linux-ügynök által elérhető. Ez a napló az összes ügyfél adataival jön létre.

Syslog-naplóséma

Mező Leírás
Computer Állomásnév
HostIP Gazdagép IP-címe
HostName Állomásnév
ProcessID Folyamatazonosító
ProcessName Folyamat neve: HDB*
Súlyossági szint Riasztás
SourceSystem Forrásrendszer operációs rendszere, Linux
SyslogMessage Üzenet, egy nem elemzett naplóüzenet

JAVA-fájlok

Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.ini fájlhoz.

  • Microsoft Sentinel függvény a napló lekérdezéséhez: SAPJAVAFilesLogs

  • Kapcsolódó SAP-dokumentáció: Általános | Java biztonsági auditnapló

  • Naplócél: Egyesíti az összes Java-fájlalapú naplót, beleértve a biztonsági naplót és a rendszernaplót (fürt- és kiszolgálófolyamatot), a teljesítményt és az átjárónaplókat. A fejlesztői nyomkövetéseket és az alapértelmezett nyomkövetési naplókat is tartalmazza.

    Az SAP Control Web Service által elérhető. Ez a napló az összes ügyfél adataival jön létre.

JavaFilesLogsCL-naplóséma

Mező Leírás
Alkalmazás Java-alkalmazás
Ügyfélazonosító Ügyfél-azonosító
CSNComponent CSN-összetevő, például BC-XI-IBD
DCComponent Tartományvezérlő összetevő, például com.sap.xi.util.misc
DSRCounter DSR-számláló
DSRRootContentID DSR-környezet GUID azonosítója
DSRTransaction DSR-tranzakció GUID azonosítója
Gazdagép Gazdagép
Példány Java-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR>
Hely Java-osztály
LogName Java logName, például: Available, defaulttrace, dev*, securityés így tovább
Üzenetszöveg Szöveges üzenet
MNo Üzenet száma
Pid Folyamatazonosító
Program Program neve
Munkamenet Munkamenet
Súlyosság Üzenet súlyossága, beleértve a következőt: Debug,Info,Warning,Error
Megoldás Megoldás
Rendszerazonosító Rendszerazonosító
SystemNumber Rendszer száma
Szálnév Szál neve
Dobott Kivételhiba történt
TimeZone Időzóna
Felhasználó Felhasználó

SAP szívverési napló

  • Microsoft Sentinel függvény a napló lekérdezéséhez: SAPConnectorHealth

  • Naplócél: Szívverési és egyéb állapotinformációkat biztosít az ügynökök és a különböző SAP-rendszerek közötti kapcsolatról.

    Automatikusan létrejön az SAP-adatösszekötőhöz készült Microsoft Sentinel ügynökei számára.

naplóséma SAP_HeartBeat_CL

Mező Leírás
TimeGenerated Naplóküldési esemény időpontja
agent_id_s Ügynökazonosító az ügynök konfigurációjában (automatikusan generálva)
agent_ver_s Ügynök verziója
host_s Az ügynök állomásneve
system_id_s Netweaver ABAP rendszerazonosító /
Netweaver SAPControl-gazdagép (előzetes verzió) /
Java SAPControl-gazdagép (előzetes verzió)
push_timestamp_d A kinyerés időbélyege az ügynök időzónájának megfelelően
agent_timezone_s Ügynök időzónája

Közvetlenül az SAP-rendszerekből lekért táblák

Ez a szakasz azokat az adattáblákat sorolja fel, amelyek közvetlenül az SAP-rendszerből vannak lekérve, és pontosan ugyanúgy vannak betöltve a Microsoft Sentinelbe.

A táblákból származó adatok Microsoft Sentinelbe való betöltéséhez konfigurálja a megfelelő beállításokat a systemconfig.ini fájlban. További információ: A felhasználói főkiszolgáló adatgyűjtésének konfigurálása.

Az ezekből a táblákból lekért adatok világos képet ad az engedélyezési struktúráról, a csoporttagságról és a felhasználói profilról. Emellett lehetővé teszi az engedélyezési engedélyek és visszavonások folyamatának nyomon követését, valamint az ezekhez a folyamatokhoz kapcsolódó kockázatok azonosítását és szabályozását.

Az alábbi táblázatok szükségesek a kiemelt felhasználók azonosítására, a felhasználók szerepkörökre, csoportokra és engedélyekre való leképezéséhez szükséges funkciók engedélyezéséhez.

A legjobb eredmény érdekében tekintse meg ezeket a táblázatokat az alábbi Sentinel-függvénynév oszlopban található név használatával:

Table name (Táblázat neve) Tábla leírása Sentinel függvény neve
USR01 Felhasználói főrekord (futtatókörnyezeti adatok) SAP_USR01
USR02 Bejelentkezési adatok (kerneloldali használat) SAP_USR02
UST04 Felhasználói főkiszolgálók
Felhasználók leképezése profilokhoz		 SAP_UST04
AGR_USERS Szerepkörök hozzárendelése felhasználókhoz SAP_AGR_USERS
AGR_1251 A tevékenységcsoport engedélyezési adatai SAP_AGR_1251
USGRP_USER Felhasználók hozzárendelése felhasználói csoportokhoz SAP_USGRP_USER
USR21 Felhasználónév/címkulcs hozzárendelése SAP_USR21
ADR6 Email címek (üzleti címszolgáltatások) SAP_ADR6
USRSTAMP Időbélyeg a felhasználó összes módosításához SAP_USRSTAMP
ADCP Személy/cím hozzárendelése (üzleti címszolgáltatások) SAP_ADCP
USR05 Felhasználói fő paraméter azonosítója SAP_USR05
AGR_PROF A szerepkör profilneve SAP_AGR_PROF
AGR_FLAGS Szerepkörattribútumok SAP_AGR_FLAGS
DEVACCESS Tábla fejlesztési felhasználó számára SAP_DEVACCESS
AGR_DEFINE Szerepkör-definíció SAP_AGR_DEFINE
AGR_AGRS Összetett szerepkörök szerepkörei SAP_AGR_AGRS
PAHI A rendszer-, adatbázis- és SAP-paraméterek előzményei SAP_PAHI
SNCSYSACL (ELŐZETES VERZIÓ) SNC-Access Control lista (ACL): Rendszerek SAP_SNCSYSACL
USRACL (ELŐZETES VERZIÓ) SNC Access Control lista (ACL): Felhasználó SAP_USRACL

Következő lépések

További információkért lásd: