Справочные материалы по файлу systemconfig.ini
Файл systemconfig.ini используется для настройки реакций сборщика данных на события. Параметры конфигурации группируются в несколько разделов. В этой статье перечислены доступные параметры и приводятся объяснения параметров.
Важно!
Решение Microsoft Sentinel для приложений SAP® использует новый файл systemconfig.json для версий агента, выпущенных или после 22 июня 2023 г. Для предыдущих версий агента необходимо по-прежнему использовать файл systemconfig.ini .
При обновлении версии агента файл конфигурации автоматически переносится.
Разделы файла конфигурации systemconfig
Имя раздела | Description |
---|---|
Источник секретов | В этом разделе определяется, где хранятся учетные данные. |
Центральный экземпляр ABAP | В этом разделе определяются общие параметры экземпляра SAP для подключения. |
Azure Credentials. | В этом разделе определяются учетные данные для подключения к Azure Log Analytics. |
Извлечение файлов ABAP | В этом разделе определяются журналы и учетные данные, извлекаемые из сервера ABAP с помощью интерфейса SAPControl. |
Извлечение файлов JAVA | В этом разделе определяются журналы и учетные данные, извлекаемые из сервера JAVA с помощью интерфейса SAPControl. |
Состояние активации журналов | В этом разделе определяется, какие журналы извлекаются из ABAP. |
Конфигурация соединителя | В этом разделе определяются прочие параметры соединителя. |
Селектор таблиц ABAP | В этом разделе определяется, какие журналы основных данных пользователей извлекаются из системы ABAP. |
Раздел "Источник секретов"
secrets=AZURE_KEY_VAULT|DOCKER_FIXED
# Storage location of SAP credentials and Log Analytics workspace ID and key
# AZURE_KEY_VAULT - store in an Azure Key Vault. Requires keyvault option and intprefix option
# DOCKER_FIXED - store in systemconfig.ini file. Requires user, passwd, loganalyticswsid and publickey options
keyvault=<vaultname>
# Azure Keyvault name, in case secrets = AZURE_KEY_VAULT
intprefix=<prefix>
# intprefix - Prefix for variables created in Azure Key Vault
Раздел "Центральный экземпляр ABAP"
[ABAP Central Instance]
auth_type=PLAIN_USER_AND_PASSWORD|SNC_WITH_X509
# Authentication type - username/password authentication, or X.509 authentication
ashost=<hostname>
# FQDN, hostname, or IP address of the ABAP server
mshost=<hostname>
# FQDN, hostname, or IP address of the Message server
msserv=<portnumber>
# Port number, or service name (from /etc/services) of the message server
group=<logon group>
# Logon group of the message server
sysnr=<Instance number>
# Instance number of the ABAP server
sysid=<SID>
# System ID of the ABAP server
client=<Client Number>
# Client number of the ABAP server
user=<username>
# Username to use to connect to ABAP server. Used only when secrets setting in Secrets Source section is set to DOCKER_FIXED
passwd=<password>
# Password to use to connect to ABAP server. Used only when secrets setting in Secrets Source section is set to DOCKER_FIXED
snc_lib=<path to libsapcrypto>
# Full path, to the libsapcrypto.so
# Used when SNC is in use
# !!! Note: the path must be valid within the container!!!
snc_partnername=<distinguished name of the server certificate>
# p: -prefixed valid SAP server SNC name, which is equal to Distinguished Name(DN) of SAP server PSE
# Used when SNC is in use
snc_qop=<SNC protection level>
# More information available at https://docs.oracle.com/cd/E19509-01/820-5064/ggrpj/index.html
# Used when SNC is in use
snc_myname=<distinguished name of the client certificate>
# p: -prefixed valid client SNC name, which is equal to Distinguished Name(DN) of client PSE
# Used when SNC is in use
x509cert=<server certificate>
# Base64 encoded server certificate value in a single line (with leading ----BEGIN-CERTIFICATE--- and trailing ----END-CERTIFICATE---- removed)
Раздел "Учетные данные Azure"
[Azure Credentials]
loganalyticswsid=<workspace ID>
# Log Analytics workspace ID. Used only when secrets setting in Secrets Source section is set to DOCKER_FIXED
publickey=<publickey>
# Log Analytics workspace primary or secondary key. Used only when secrets setting in Secrets Source section is set to DOCKER_FIXED
Раздел "Извлечение файлов ABAP"
[File Extraction ABAP]
osuser = <SAPControl username>
# Username to use to authenticate to SAPControl
ospasswd = <SAPControl password>
# Password to use to authenticate to SAPControl
appserver = <server>
#SAPControl server hostname/fqdn/IP address
instance = <instance>
#SAPControl instance name
abapseverity = <severity>
# 0 = All logs ; 1 = Warning ; 2 = Error
abaptz = <timezone>
# GMT FORMAT
# example - For OS Timezone = NZST (New Zealand Standard Time) use abaptz = GMT+12
Раздел "Извлечение файлов JAVA"
[File Extraction JAVA]
javaosuser = <username>
# Username to use to authenticate to JAVA server
javaospasswd = <password>
# Password to use to authenticate to JAVA server
javaappserver = <server>
#JAVA server hostname/fqdn/IP address
javainstance = <instance number>
#JAVA instance number
javaseverity = <severity>
# 0 = All logs ; 1 = Warning ; 2 = Error
javatz = <timezone>
# GMT FORMAT
# example - For OS Timezone = NZST (New Zealand Standard Time) use abaptz = GMT+12
Раздел "Состояние активации журналов"
[Logs Activation Status]
# The following logs are retrieved using RFC interface
# Specify True or False to configure whether log should be collected using the mentioned interface
ABAPAuditLog = <True/False>
ABAPJobLog = <True/False>
ABAPSpoolLog = <True/False>
ABAPSpoolOutputLog = <True/False>
ABAPChangeDocsLog = <True/False>
ABAPAppLog = <True/False>
ABAPWorkflowLog = <True/False>
ABAPCRLog = <True/False>
ABAPTableDataLog = <True/False>
# The following logs are retrieved using SAP Control interface and OS Login
ABAPFilesLogs = <True/False>
SysLog = <True/False>
ICM = <True/False>
WP = <True/False>
GW = <True/False>
# The following logs are retrieved using SAP Control interface and OS Login
JAVAFilesLogs = <True/False>
Раздел "Конфигурация соединителя"
extractuseremail = <True/False>
apiretry = <True/False>
auditlogforcexal = <True/False>
auditlogforcelegacyfiles = <True/False>
azure_resource_id = <Azure _ResourceId>
# Used to force a specific resource group for the SAP tables in Log Analytics, useful for applying RBAC on SAP data
# example - /subscriptions/1234568-qwer-qwer-qwer-123456789/resourcegroups/RESOURCE_GROUP_NAME/providers/microsoft.compute/virtualmachines/VIRTUAL_MACHINE_NAME
# for more information - https://learn.microsoft.com/azure/azure-monitor/logs/log-standard-columns#_resourceid.
timechunk = <value>
# Default timechunk value is 60 (minutes). For certain tables, the data connector retrieves data from the ABAP server using timechunks (collecting all events that occurred within a certain timestamp). On busy systems this may result in large datasets, so to reduce memory and CPU utilization footprint, consider configuring to a smaller value.
Раздел "Селектор таблиц ABAP"
[ABAP Table Selector]
# Specify True or False to configure whether table should be collected from the SAP system
AGR_TCODES_FULL = <True/False>
USR01_FULL = <True/False>
USR02_FULL = <True/False>
USR02_INCREMENTAL = <True/False>
AGR_1251_FULL = <True/False>
AGR_USERS_FULL = <True/False>
AGR_USERS_INCREMENTAL = <True/False>
AGR_PROF_FULL = <True/False>
UST04_FULL = <True/False>
USR21_FULL = <True/False>
ADR6_FULL = <True/False>
ADCP_FULL = <True/False>
USR05_FULL = <True/False>
USGRP_USER_FULL = <True/False>
USER_ADDR_FULL = <True/False>
DEVACCESS_FULL = <True/False>
AGR_DEFINE_FULL = <True/False>
AGR_DEFINE_INCREMENTAL = <True/False>
PAHI_FULL = <True/False>
AGR_AGRS_FULL = <True/False>
USRSTAMP_FULL = <True/False>
USRSTAMP_INCREMENTAL = <True/False>
SNCSYSACL_FULL = <True/False> (Preview)
USRACL_FULL = <True/False> (Preview)
Следующие шаги
Дополнительные сведения о решении Microsoft Sentinel для приложений SAP®:
- Развертывание решения Microsoft Sentinel для приложений SAP®
- Предварительные требования для развертывания решения Microsoft Sentinel для приложений SAP®
- Развертывание запросов на изменение (CR) SAP и настройка авторизации
- Развертывание содержимого решения из концентратора содержимого
- Развертывание и настройка контейнера для размещения агента соединителя данных SAP
- Развертывание соединителя данных Microsoft Sentinel для SAP с помощью SNC
- Мониторинг работоспособности системы SAP
- Включение и настройка аудита SAP
- Сбор журналов аудита SAP HANA
Устранение неполадок:
Справочные файлы:
- Решение Microsoft Sentinel для данных приложений SAP®
- Решение Microsoft Sentinel для приложений SAP®: справочник по содержимому безопасности
- Справочные материалы по скрипту Kickstart
- Справочные материалы по обновлению скриптов
Дополнительные сведения см. в статье Решения Microsoft Sentinel.