Condividi tramite

Risoluzione dei problemi della soluzione Microsoft Sentinel per la distribuzione di applicazioni SAP®

  • Articolo

Comandi Docker utili

Quando si risolve il problema del connettore dati di Microsoft Sentinel per SAP, è possibile che siano utili i comandi seguenti:

Funzione Comando
Arrestare il contenitore Docker docker stop sapcon-[SID]
Avviare il contenitore Docker docker start sapcon-[SID]
Visualizzare i log di sistema Docker docker logs -f sapcon-[SID]
Immettere il contenitore Docker docker exec -it sapcon-[SID] bash

Per altre informazioni, vedere la documentazione dell'interfaccia della riga di comando di Docker.

Esaminare i log di sistema

È consigliabile esaminare i log di sistema dopo l'installazione o la reimpostazione del connettore dati.

Eseguire:

docker logs -f sapcon-[SID]

Abilitare/disabilitare la stampa in modalità debug

Abilitare la stampa in modalità debug:

  1. Nella macchina virtuale modificare il file /opt/sapcon/[SID]/systemconfig.ini .

  2. Definire la sezione Generale se non è stata definita in precedenza. In questa sezione definire logging_debug = True.

    Ad esempio:

    [General]
logging_debug = True

  3. Salvare il file.

La modifica ha effetto due minuti dopo il salvataggio del file. Non è necessario riavviare il contenitore Docker.

Disabilitare la stampa in modalità debug:

  1. Nella macchina virtuale modificare il file /opt/sapcon/[SID]/systemconfig.ini .

  2. Nella sezione Generale definire logging_debug = False.

    Ad esempio:

    [General]
logging_debug = False

  3. Salvare il file.

La modifica ha effetto due minuti dopo il salvataggio del file. Non è necessario riavviare il contenitore Docker.

Visualizzare tutti i log di esecuzione dei contenitori

Connessione or i log di esecuzione per la soluzione Microsoft Sentinel per la distribuzione del connettore dati delle applicazioni SAP® vengono archiviati nella macchina virtuale in /opt/sapcon/[SID]/log/. Il nome file di log è OmniLog.log. Viene mantenuta una cronologia dei file di log, con suffisso con .[ numero] ad esempio OmniLog.log.1, OmniLog.log.2 e così via

Esaminare e aggiornare la configurazione di Microsoft Sentinel per SAP Data Connector

Per controllare il file di configurazione del connettore dati SAP di Microsoft Sentinel e apportare aggiornamenti manuali, seguire questa procedura:

  1. Nella macchina virtuale aprire il file di configurazione:

    • sapcon/[SID]/systemconfig.json per le versioni dell'agente rilasciate il 22 giugno 2023.
    • sapcon/[SID]/systemconfig.ini per le versioni dell'agente rilasciate prima del 22 giugno 2023.

  2. Aggiornare la configurazione, se necessario, e salvare il file.

La modifica ha effetto due minuti dopo il salvataggio del file. Non è necessario riavviare il contenitore Docker.

Reimpostare Il connettore dati di Microsoft Sentinel per SAP

I passaggi seguenti reimpostano il connettore e ripristinano i log SAP degli ultimi 30 minuti.

  1. Arrestare il connettore. Eseguire:

    docker stop sapcon-[SID]

  2. Eliminare il file metadata.db dalla directory /opt/sapcon/[SID]. Eseguire:

    cd /opt/sapcon/<SID>
rm metadata.db

    Nota

    Il file metadata.db contiene l'ultimo timestamp per ognuno dei log e funziona per evitare la duplicazione.

  3. Riavviare il connettore. Eseguire:

    docker start sapcon-[SID]

Al termine, assicurarsi di esaminare i log di sistema.

Campi dell'indirizzo IP o del codice della transazione mancanti nel log di controllo SAP

Questa soluzione consente ai sistemi SAP con versioni per SAP BASIS 7.5 SP12 e versioni successive di riflettere campi aggiuntivi nelle ABAPAuditLog_CL tabelle e SAPAuditLog .

Se si usano versioni SAP BASIS superiori alla 7.5 SP12 e i campi di codice di transazione o indirizzo IP mancanti nel log di controllo SAP, verificare che il sistema SAP da cui si estraggono i dati contenga le richieste di modifica pertinenti (trasporti). Per altre informazioni, vedere la sezione Recuperare informazioni aggiuntive da SAP nei prerequisiti.

Nessun dato visualizzato nel log dei dati della tabella SAP

Questa soluzione consente ai sistemi SAP con versioni per SAP BASIS 7.5 SP12 e versioni successive di riflettere le modifiche apportate al log dei dati della ABAPTableDataLog_CL tabella.

Se nella tabella non vengono visualizzati ABAPTableDataLog_CL dati, verificare che il sistema SAP da cui si estraggono i dati contenga le richieste di modifica pertinenti (trasporti). Per altre informazioni, vedere la sezione Recuperare informazioni aggiuntive da SAP nei prerequisiti.

Problemi comuni

Dopo aver distribuito sia Microsoft Sentinel per il connettore dati SAP che il contenuto della sicurezza, potrebbero verificarsi gli errori o i problemi seguenti:

File DI SAP SDK danneggiato o mancante

Questo errore può verificarsi quando il connettore non viene avviato con PyRfc o vengono visualizzati messaggi di errore correlati a ZIP.

  1. Reinstallare SAP SDK.
  2. Verificare di essere la versione corretta di Linux a 64 bit. A partire dalla data corrente, il nome file di versione è: nwrfc750P_8-70002752.zip.

Se il connettore dati è stato installato manualmente, assicurarsi di aver copiato il file SDK nel contenitore Docker.

Eseguire:

Docker cp SDK by running docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

Gli errori di runtime ABAP vengono visualizzati in un sistema di grandi dimensioni

Se gli errori di runtime ABAP vengono visualizzati in sistemi di grandi dimensioni, provare a impostare dimensioni di blocchi inferiori:

  1. Modificare il file /opt/sapcon/[SID]/systemconfig.ini e nella sezione configurazione Connessione or definire timechunk = 5.

    Ad esempio:

    [Connector Configuration]
timechunk = 5

  2. salvare il file.

La modifica ha effetto due minuti dopo il salvataggio del file. Non è necessario riavviare il contenitore Docker.

Nota

Le dimensioni della suddivisione in blocchi di tempo sono definite in minuti.

Vuoto o nessun log di controllo recuperato, senza messaggi di errore speciali

  1. Verificare che la registrazione di controllo sia abilitata in SAP.
  2. Verificare le transazioni SM19 o RSAU_CONFIG .
  3. Abilitare tutti gli eventi in base alle esigenze.
  4. Verificare se i messaggi arrivano e sono presenti in SAP SM20 o RSAU_READ_LOG, senza errori speciali visualizzati nel log del connettore.

ID o chiave dell'area di lavoro di Microsoft Sentinel non corretti

Se ci si rende conto di aver immesso un ID o una chiave dell'area di lavoro non corretti nello script di distribuzione, aggiornare le credenziali archiviate nell'insieme di credenziali delle chiavi di Azure.

Dopo aver verificato le credenziali in Azure KeyVault, riavviare il contenitore:

docker restart sapcon-[SID]

Credenziali utente SAP ABAP non corrette in una configurazione fissa

Una configurazione fissa è quando la password viene archiviata direttamente nel file di configurazione systemconfig.ini .

Se le credenziali non sono corrette, verificare le credenziali.

Usare la crittografia Base64 per crittografare l'utente e la password. È possibile usare gli strumenti di crittografia online per crittografare le credenziali, ad esempio https://www.base64encode.org/.

Credenziali utente SAP ABAP non corrette nell'insieme di credenziali delle chiavi

Controllare le credenziali e correggerle in base alle esigenze, applicando i valori corretti ai valori ABAPU edizione Standard R e ABAPPASS in Azure Key Vault.

Riavviare quindi il contenitore:

docker restart sapcon-[SID]

Autorizzazioni ABAP (utente SAP) mancanti

Se viene visualizzato un messaggio di errore simile al seguente: .. Autorizzazione RFC back-end mancante. Le autorizzazioni e il ruolo SAP non sono stati applicati correttamente.

  1. Assicurarsi che il ruolo MSFT edizione Standard N/edizione Standard NTINEL_CONNECTOR sia stato importato come parte di un trasporto di richiesta di modifica e applicato all'utente del connettore.

  2. Eseguire il processo di generazione del ruolo e confronto degli utenti usando la transazione SAP PFCG.

Dati mancanti nelle cartelle di lavoro o negli avvisi

Se vengono visualizzati dati mancanti nelle cartelle di lavoro o negli avvisi di Microsoft Sentinel, assicurarsi che il criterio Auditlog sia abilitato correttamente sul lato SAP, senza errori nel file di log.

Usare la transazione RSAU_CONFIG_LOG per questo passaggio.

Richiesta di modifica SAP mancante

Se vengono visualizzati errori che mancano una richiesta di modifica SAP necessaria, assicurarsi di aver importato la richiesta di modifica SAP corretta per il sistema.

Per altre informazioni, vedere Convalidare i passaggi di convalida dell'ambiente.

Nessun record/record in ritardo

L'agente si basa sulle informazioni sul fuso orario per essere corrette. Se si nota che non sono presenti record nei log di controllo e delle modifiche SAP o se i record sono costantemente in ritardo, verificare se il report SAP TZCUSTHELP presenta errori. Per altri dettagli, seguire la nota SAP 481835 . Inoltre, possono verificarsi problemi con l'orologio nella macchina virtuale in cui è ospitata la soluzione Microsoft Sentinel per l'agente di applicazioni SAP®. Qualsiasi deviazione dell'orologio della macchina virtuale dall'ora UTC influirà sulla raccolta dei dati. Ancora più importante, l'orologio della macchina virtuale SAP e l'orologio della macchina virtuale dell'agente Sentinel devono corrispondere.

Problemi relativi alla connettività di rete

Se si verificano problemi di connettività di rete all'ambiente SAP o a Microsoft Sentinel, controllare la connettività di rete per assicurarsi che i dati vengano trasmessi come previsto.

I problemi comuni includono:

  • I firewall tra il contenitore Docker e gli host SAP potrebbero bloccare il traffico. L'host SAP riceve la comunicazione tramite le porte TCP seguenti, che devono essere aperte: 32xx, 5xx13 e 33xx, dove xx è il numero di istanza SAP.

  • La comunicazione in uscita dall'host SAP a Registro Azure Container o Azure richiede la configurazione del proxy. Questo influisce in genere sull'installazione e richiede di configurare le HTTP_PROXY variabili di ambiente e HTTPS_PROXY . È anche possibile inserire variabili di ambiente nel contenitore Docker quando si crea il contenitore aggiungendo il -e flag al comando docker / createrun.

Altri problemi imprevisti

Se si verificano problemi imprevisti non elencati in questo articolo, provare la procedura seguente:

Suggerimento

È consigliabile reimpostare il connettore e assicurarsi di disporre degli aggiornamenti più recenti anche dopo le modifiche di configurazione principali.

Il recupero di un log di controllo non riesce con avvisi

Se si tenta di recuperare un log di controllo, senza la richiesta di modifica necessaria distribuita o in una versione precedente/senza patch e il processo ha esito negativo con avvisi, verificare che il log di controllo SAP possa essere recuperato usando uno dei metodi seguenti:

  • Uso di una modalità di compatibilità denominata XAL nelle versioni precedenti
  • Uso di una versione non aggiornata di recente
  • Senza la richiesta di modifica richiesta richiesta installata

Anche se necessario, il sistema dovrebbe passare automaticamente alla modalità di compatibilità, potrebbe essere necessario passare manualmente. Per passare alla modalità di compatibilità manualmente:

  1. Modificare il file /opt/sapcon/[SID]/systemconfig.ini

  2. Nella sezione configurazione di Connessione or definirefine:auditlogforcexal = True

    Ad esempio:

    [Connector Configuration]
auditlogforcexal = True

  3. salvare il file.

La modifica ha effetto due minuti dopo il salvataggio del file. Non è necessario riavviare il contenitore Docker.

Sottosistemi SAPCONTROL o JAVA non è in grado di connettersi

Verificare che l'utente del sistema operativo sia valido ed eseguire il comando seguente nel sistema SAP di destinazione:

sapcontrol -nr <SID> -function GetSystemInstanceList

Se il sottosistema SAPCONTROL o JAVA non riesce con un messaggio di errore relativo al fuso orario, ad esempio: Controllare la configurazione e l'accesso di rete al server SAP - 'Etc/NZST', assicurarsi di usare codici fuso orario standard.

Ad esempio, usare javatz = GMT+12 o abaptz = GMT-3**.

Impossibile importare i trasporti delle richieste di modifica in SAP

Se non è possibile importare le richieste di modifica del log SAP necessarie e viene visualizzato un errore relativo a una versione del componente non valida, aggiungere ignore invalid component version quando si importa la richiesta di modifica.

Dati del log di controllo non inseriti dopo il caricamento iniziale

Se i dati del log di controllo SAP, visibili nelle transazioni RSAU_READ_LOAD o SM200 , non vengono inseriti in Microsoft Sentinel oltre il carico iniziale, è possibile che si verifichino errori di configurazione del sistema SAP e del sistema operativo host SAP.

  • I caricamenti iniziali vengono inseriti dopo una nuova installazione di Microsoft Sentinel per il connettore dati SAP o dopo l'eliminazione del file metadata.db .
  • Un esempio di configurazione errata potrebbe essere quando il fuso orario del sistema SAP è impostato su CET nella transazione STZAC , ma il fuso orario del sistema operativo host SAP è impostato su UTC.

Per verificare la presenza di configurazioni errate, eseguire il report RSDBTIME nella transazione edizione Standard 38. Se si rileva una mancata corrispondenza tra il sistema SAP e il sistema operativo host SAP:

  1. Arrestare il contenitore Docker. Esegui

    docker stop sapcon-[SID]

  2. Eliminare il file metadata.db dalla directory /opt/sapcon/[SID]. Eseguire:

    rm /opt/sapcon/[SID]/metadata.db

  3. Aggiornare il sistema SAP e il sistema operativo host SAP in modo da avere impostazioni corrispondenti, ad esempio lo stesso fuso orario. Per altre informazioni, vedere sap Community Wiki.

  4. Avviare di nuovo il contenitore. Eseguire:

    docker start sapcon-[SID]

Campi dell'indirizzo IP o del codice della transazione mancanti nel log di controllo SAP

Questa soluzione consente ai sistemi SAP con versioni per SAP BASIS 7.5 SP12 e versioni successive di riflettere campi aggiuntivi nelle tabelle ABAPAuditLog_CL e SAPAuditLog. Se si usano versioni SAP BASIS superiori alla 7.5 SP12 e i campi di codice di transazione o indirizzo IP mancanti nel log di controllo SAP, verificare che il sistema SAP da cui si estraggono i dati contenga le richieste di modifica pertinenti (trasporti). Per altri dettagli, vedere Recuperare informazioni aggiuntive da SAP (facoltativo).

Nessun dato visualizzato nel log dei dati della tabella SAP

Questa soluzione consente ai sistemi SAP con versioni per SAP BASIS 7.5 SP12 e versioni successive di riflettere le modifiche del log dei dati delle tabelle nella tabella ABAPTableDataLog_CL. Se nella ABAPTableDataLog_CL non vengono visualizzati dati, verificare che il sistema SAP da cui si estraggono i dati contenga le richieste di modifica pertinenti (trasporti). Per altri dettagli, vedere Recuperare informazioni aggiuntive da SAP (facoltativo).

Passaggi successivi

Altre informazioni sulla soluzione Microsoft Sentinel per le applicazioni SAP®:

File di riferimento:

Per altre informazioni, vedere Soluzioni di Microsoft Sentinel.