Memecahkan masalah penyebaran Microsoft Sentinel Solution for SAP

Perintah Docker yang berguna

Saat memecahkan masalah konektor data Microsoft Sentinel untuk SAP, Anda mungkin merasa perintah berikut ini berguna:

Fungsi Perintah
Menghentikan kontainer Docker. docker stop sapcon-[SID]
Memulai kontainer Docker docker start sapcon-[SID]
Melihat log sistem Docker docker logs -f sapcon-[SID]
Memasukkan kontainer Docker docker exec -it sapcon-[SID] bash

Untuk informasi selengkapnya, lihat Dokumentasi CLI Docker.

Meninjau log sistem

Sebaiknya Anda meninjau log sistem setelah menginstal atau mengatur ulang konektor data.

Jalankan:

docker logs -f sapcon-[SID]

Mengaktifkan/menonaktifkan pencetakan mode debug

Mengaktifkan pencetakan mode debug:

  1. Pada VM Anda, edit file /opt/sapcon/[SID]/systemconfig.ini .

  2. Tentukan bagian Umum jika sebelumnya tidak ditentukan. Di bagian ini, tentukan logging_debug = True.

    Contohnya:

    [General]
    logging_debug = True
    
  3. Simpan file.

Perubahan berlaku dua menit setelah Anda menyimpan file. Anda tidak perlu menghidupkan ulang kontainer Docker.

Menonaktifkan pencetakan mode debug:

  1. Pada VM Anda, edit file /opt/sapcon/[SID]/systemconfig.ini .

  2. Di bagian Umum, tentukan logging_debug = False.

    Contohnya:

    [General]
    logging_debug = False
    
  3. Simpan file.

Perubahan berlaku dua menit setelah Anda menyimpan file. Anda tidak perlu menghidupkan ulang kontainer Docker.

Lihat semua log eksekusi kontainer

Log eksekusi konektor untuk penyebaran konektor data Solusi Microsoft Sentinel untuk SAP disimpan di VM Anda di /opt/sapcon/[SID]/log/. Nama file log adalah OmniLog.log. Riwayat logfiles disimpan, dia akhiri dengan .[ number] seperti OmniLog.log.1, OmniLog.log.2 dll

Tinjau dan perbarui konfigurasi konektor data Microsoft Sentinel untuk SAP

Jika Anda ingin memeriksa file konfigurasi konektor data Microsoft Sentinel untuk SAP dan membuat pembaruan manual, lakukan langkah-langkah berikut:

  1. Di mesin virtual Anda, buka file sapcon/SID/systemconfig.ini.

  2. Perbarui konfigurasi jika diperlukan, dan simpan file.

Perubahan berlaku dua menit setelah Anda menyimpan file. Anda tidak perlu menghidupkan ulang kontainer Docker.

Setel ulang konektor data Microsoft Sentinel untuk SAP

Langkah-langkah berikut akan menyetel ulang konektor dan menyerap ulang log SAP dari periode 30 menit terakhir.

  1. Hentikan konektor. Jalankan:

    docker stop sapcon-[SID]
    
  2. Hapus file metadata.db dari direktori /opt/sapcon/[SID] . Jalankan:

    cd /opt/sapcon/<SID>
    rm metadata.db
    

    Catatan

    File metadata.db berisi tanda waktu terakhir untuk setiap log, dan akan mencegah terjadinya duplikasi.

  3. Mulai instans konektor kembali. Jalankan:

    docker start sapcon-[SID]
    

Pastikan untuk Meninjau log sistem setelah Anda selesai.

Masalah umum

Setelah menyebarkan konektor data Microsoft Sentinel untuk SAP dan konten keamanan, Anda mungkin mengalami kesalahan atau masalah berikut:

File SDK SAP yang rusak atau hilang

Kesalahan ini mungkin terjadi ketika konektor gagal melakukan boot dengan PyRfc, atau pesan kesalahan terkait zip ditampilkan.

  1. Pasang kembali SDK SAP.
  2. Pastikan bahwa milik Anda adalah versi Linux 64-bit yang benar. Pada tanggal saat ini, nama file rilis adalah: nwrfc750P_8-70002752.zip.

Jika Anda telah menginstal konektor data secara manual, pastikan bahwa Anda telah menyalin file SDK ke dalam kontainer Docker.

Jalankan:

Docker cp SDK by running docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

Kesalahan runtime ABAP muncul pada sistem yang besar

Jika kesalahan runtime ABAP muncul pada sistem yang besar, coba atur ukuran gugus yang lebih kecil:

  1. Edit file /opt/sapcon/[SID]/systemconfig.ini dan di bagian Konfigurasi Konektor tentukan timechunk = 5.

    Contohnya:

    [Connector Configuration]
    timechunk = 5
    
  2. simpan file.

Perubahan berlaku dua menit setelah Anda menyimpan file. Anda tidak perlu menghidupkan ulang kontainer Docker.

Catatan

Ukuran timechunk ditentukan dalam menit.

Tidak ada log audit yang diambil kosong, tanpa pesan kesalahan khusus

  1. Periksa apakah log audit sudah diaktifkan di SAP.
  2. Verifikasi transaksi SM19 atau RSAU_CONFIG.
  3. Aktifkan kejadian apa pun sesuai kebutuhan.
  4. Verifikasikan apakah pesan sampai dan ada di SAP SM20 atau RSAU_READ_LOG, tanpa kesalahan khusus apa pun pada log konektor.

ID atau kunci ruang kerja Microsoft Sentinel salah

Jika Anda menyadari bahwa Anda telah memasukkan ID ruang kerja atau kunci yang salah dalam skrip penyebaran, perbarui informasi masuk yang disimpan di Azure Key Vault.

Setelah memverifikasi informasi masuk Anda di Azure KeyVault, hidupkan ulang kontainer:

docker restart sapcon-[SID]

Informasi pengguna SAP ABAP yang salah dalam konfigurasi tetap

Konfigurasi tetap terjadi saat kata sandi disimpan secara langsung dalam file konfigurasi systemconfig.ini.

Jika informasi masuk Anda salah, verifikasi informasi masuk Anda.

Gunakan enkripsi base64 untuk mengenkripsi pengguna dan kata sandi. Anda dapat menggunakan alat enkripsi online untuk mengenkripsi informasi masuk Anda, seperti https://www.base64encode.org/.

Informasi masuk pengguna SAP ABAP salah di brankas kunci

Periksa kredensial Anda dan lakukan perbaikan sesuai kebutuhan dengan menerapkan nilai yang benar ke nilai ABAPUSER dan ABAPPASS di Azure Key Vault.

Kemudian, hidupkan ulang kontainer:

docker restart sapcon-[SID]

Izin ABAP (pengguna SAP) yang hilang

Jika Anda mendapatkan pesan kesalahan yang mirip dengan: ..Tidak ada Otorisasi RFC Backend.., artinya otorisasi SAP dan peran Anda tidak diterapkan dengan benar.

  1. Pastikan bahwa peran MSFTSEN/SENTINEL_CONNECTOR diimpor sebagai bagian dari transportasi ubah permintaan, dan terapkan ke pengguna konektor.

  2. Jalankan proses pembuatan peran dan perbandingan pengguna dengan menggunakan PFCG transaksi SAP.

Data yang hilang di buku kerja atau pemberitahuan Anda

Jika Anda mendapati bahwa ada data yang hilang dalam buku kerja atau peringatan Microsoft Sentinel, pastikan bahwa kebijakan Auditlog diaktifkan dengan benar di SAP, dan tidak ada kesalahan dalam file log.

Gunakan transaksi RSAU_CONFIG_LOG untuk langkah ini.

Permintaan perubahan SAP yang hilang

Jika Anda melihat kesalahan permintaan ubah SAP yang diperlukan, pastikan bahwa Anda telah mengimpor permintaan perubahan SAP yang benar untuk sistem Anda.

Untuk informasi selengkapnya, lihat Langkah validasi lingkungan ValidateSAP.

Masalah konektivitas jaringan

Jika Anda mengalami masalah konektivitas jaringan ke lingkungan SAP atau ke Microsoft Sentinel, periksa konektivitas jaringan Anda untuk memastikan bahwa data mengalir seperti yang diharapkan.

Masalah umum meliputi:

  • Firewall antara kontainer docker dan host SAP mungkin memblokir lalu lintas. Host SAP menerima komunikasi melalui port TCP berikut, yang harus terbuka: 32xx,5xx13, dan 33xx, dengan xx merupakan nomor instans SAP.

  • Komunikasi keluar dari host SAP Anda ke Microsoft Container Registry atau Azure memerlukan konfigurasi proksi. Hal ini biasanya berdampak pada penginstalan dan mengharuskan Anda mengonfigurasi variabel lingkungan HTTP_PROXY dan HTTPS_PROXY. Anda juga dapat melakukan ingest variabel lingkungan ke dalam kontainer docker saat membuat kontainer, dengan menambahkan bendera -e ke perintah create / run docker.

Kesalahan tak terduga lainnya

Jika Anda memiliki masalah tak terduga yang tidak tercantum dalam artikel ini, coba lakukan langkah berikut:

Tip

Mengatur ulang konektor Anda dan memastikan bahwa Anda memiliki peningkatan terbaru juga direkomendasikan setelah terjadi sejumlah perubahan konfigurasi apa pun.

Pengambilan log audit gagal dengan peringatan

Jika upaya Anda untuk mengambil log audit, tanpa permintaan perubahan yang diperlukan yang disebarkan atau pada versi yang lebih lama/yang tidak di-patch, dan prosesnya gagal dengan peringatan, verifikasi bahwa Auditlog SAP dapat diambil dengan menggunakan salah satu metode berikut:

  • Menggunakan mode kompatibilitas yang disebut sebagai XAL pada versi yang lebih lama
  • Menggunakan versi yang belum lama ini di-patch
  • Tanpa pemasangan permintaan perubahan yang diperlukan

Meskipun sistem Anda harus secara otomatis beralih ke mode kompatibilitas jika diperlukan, Anda mungkin perlu beralih secara manual. Untuk beralih ke mode kompatibilitas secara manual:

  1. Edit file /opt/sapcon/[SID]/systemconfig.ini

  2. Di bagian Konfigurasi Konektor tentukan: auditlogforcexal = True

    Contohnya:

    [Connector Configuration]
    auditlogforcexal = True
    
  3. simpan file.

Perubahan berlaku dua menit setelah Anda menyimpan file. Anda tidak perlu menghidupkan ulang kontainer Docker.

Subsistem SAPCONTROL atau JAVA tidak dapat tersambung

Periksa apakah pengguna OS valid dan dapat menjalankan perintah berikut pada sistem SAP target:

sapcontrol -nr <SID> -function GetSystemInstanceList

Jika subsistem SAPCONTROL atau JAVA Anda gagal dengan pesan kesalahan terkait zona waktu, seperti: Periksa konfigurasi dan akses jaringan ke server SAP - 'Etc/NZST' , pastikan bahwa Anda menggunakan kode zona waktu standar.

Misalnya, gunakan javatz = GMT+12 atau abaptz = GMT-3** .

Tidak bisa mengimpor transportasi permintaan perubahan ke SAP

Jika Anda tidak dapat mengimpor permintaan perubahan log SAP yang diperlukan dan mendapatkan kesalahan tentang versi komponen yang tidak valid, tambahkan ignore invalid component version saat Anda mengimpor permintaan perubahan tersebut.

Data log audit tidak terserap melewati muatan awal

Jika data log audit SAP, yang terlihat di transaksi RSAU_READ_LOAD maupun SM200, tidak diproses ke Microsoft Sentinel melewati muatan awal, mungkin terdapat kesalahan konfigurasi pada sistem SAP dan sistem operasi host SAP.

  • Pemuatan awal diserap setelah penginstalan baru konektor data Microsoft Sentinel untuk SAP, atau setelah file metadata.db dihapus.
  • Contoh kesalahan konfigurasi mungkin terjadi ketika zona waktu sistem SAP Anda diatur ke CET dalam transaksi STZAC, tetapi zona waktu sistem operasi host SAP diatur ke UTC.

Untuk memeriksa kesalahan konfigurasi, jalankan laporan RSDBTIME dalam transaksi SE38. Jika Anda menemukan ketidakcocokan antara sistem SAP dan sistem operasi host SAP:

  1. Hentikan kontainer Docker. jalankan

    docker stop sapcon-[SID]
    
  2. Hapus file metadata.db dari direktori /opt/sapcon/[SID] . Jalankan:

    rm /opt/sapcon/[SID]/metadata.db
    
  3. Perbarui sistem SAP dan sistem operasi host SAP agar memiliki pengaturan yang sesuai, seperti zona waktu yang sama. Untuk informasi selengkapnya, lihat Wiki Komunitas SAP.

  4. Jalankan kembali kontainer. Jalankan:

    docker start sapcon-[SID]
    

Langkah berikutnya

Pelajari selengkapnya tentang Solusi Microsoft Sentinel untuk SAP:

Pemecahan Masalah:

File referensi:

Untuk mengetahui informasi selengkapnya, lihat Solusi Microsoft Sentinel.