이 문서에서는 SAP 애플리케이션 및 해당 데이터 커넥터에 대한 Microsoft Sentinel 솔루션의 일부로 사용할 수 있는 로그 및 테이블에 대해 설명합니다.
이 문서에 설명된 일부 로그는 기본적으로 Microsoft Sentinel 전송되지 않지만 필요에 따라 수동으로 추가할 수 있습니다. 자세한 내용은 Microsoft Sentinel 전송되는 SAP 로그 정의를 참조하세요.
이 문서의 콘텐츠는 SAP BASIS 팀을 위한 것입니다.
중요
언급된 기능은 현재 미리 보기로 제공됩니다. Azure 미리 보기 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 조건이 포함됩니다.
기본 로그 또는 테이블 대신 쿼리에서 함수 사용
사용 가능한 함수를 기본 로그 또는 테이블 대신 가능한 경우 분석의 주체로 사용하는 것이 좋습니다 .
SAP 애플리케이션용 Microsoft Sentinel 솔루션과 함께 제공되는 함수는 데이터에 대한 주 사용자 인터페이스 역할을 하기 위한 것입니다. 기본적으로 사용할 수 있는 모든 기본 제공 분석 규칙 및 통합 문서의 기초를 형성합니다. 함수를 사용하면 사용자가 만든 콘텐츠를 중단하지 않고 함수 아래의 데이터 인프라를 변경할 수 있습니다.
자세한 내용은 SAP 애플리케이션에 대한 Microsoft Sentinel 솔루션 - 함수 참조 및 Azure Monitor 로그 쿼리의 함수를 참조하세요.
로그 검사
SAP 애플리케이션용 Microsoft Sentinel 솔루션은 애플리케이션, OS 및 데이터 계층에서 로그를 수집하여 SAP 시스템에 대한 포괄적인 보호를 제공합니다.
애플리케이션 계층: Microsoft Sentinel 비즈니스 논리 실행 및 트랜잭션 처리를 담당하는 SAP 시스템의 기본 애플리케이션 계층인 ABAP 계층 내의 활동을 모니터링합니다. 예를 들어 Microsoft Sentinel 로그인, 암호 변경, 보고서 또는 파일에 대한 액세스와 같은 사용자 작업을 포함하는 로그를 수집합니다.
보안 모니터링 외에도 애플리케이션 계층에서 수집된 로그를 규정 준수 및 감사 목적으로 사용할 수도 있습니다.
OS 계층: Microsoft Sentinel 운영 체제에서 로그를 수집하여 ABAP 서버 및 SAP 애플리케이션이 실행 중인 가상 머신과 같은 OS 수준 활동에 대한 인사이트를 제공합니다.
SAP 애플리케이션에 대한 Microsoft Sentinel 솔루션을 다른 서비스에 대한 보안 콘텐츠 및 데이터 커넥터와 함께 사용하여 포괄적이고 중앙 집중적인 모니터링을 수행하고, 모든 시스템에서 정보를 상호 연결하고, 전반적인 보안 태세를 향상합니다.
데이터베이스 계층: 데이터베이스 로그를 Microsoft Sentinel 수집하여 데이터베이스 관리 활동 및 테이블 데이터 변경과 같은 데이터베이스 활동을 모니터링합니다. SAP 애플리케이션에 대한 Microsoft Sentinel 솔루션은 데이터베이스에 구애받지 않습니다.
데이터 커넥터 에이전트에서 수집한 모든 로그는 먼저 데이터 수집기 에이전트 컴퓨터의 /opt/sapcon/<sid>/log 컨테이너 instance 폴더에 저장됩니다. 그런 다음 로그를 Log Analytics 작업 영역으로 전달하여 Microsoft Sentinel 보고 감사하고 쿼리할 수 있습니다.
감사 로그는 1분마다 수집되고 수집되지만 다른 로그는 덜 자주 수집될 수 있습니다. 또한 Microsoft Sentinel 데이터 커넥터 에이전트 하트비트를 모니터링하여 로그가 수집되어 Log Analytics 작업 영역으로 전송되는지 확인합니다.
에이전트 없는 데이터 커넥터에서 수집한 로그
다음 기본 제공 Log Analytics 테이블은 에이전트 없는 데이터 커넥터에 의해 수집됩니다.
데이터 커넥터 에이전트에 대한 로그 참조
다음 섹션에서는 Microsoft Sentinel 테이블 이름, 로그 목적 및 자세한 로그 스키마를 포함하여 SAP 애플리케이션 데이터 커넥터용 Microsoft Sentinel 솔루션에서 사용할 수 있는 SAP 로그에 대해 설명합니다.
스키마 필드 설명은 관련 SAP 설명서의 필드 설명을 기반으로 합니다.
- ABAP 애플리케이션 로그
- ABAP 문서 변경 로그
- ABAP CR 로그
- ABAP DB 테이블 데이터 로그 (미리 보기)
- ABAP 게이트웨이 로그 (미리 보기)
- ABAP ICM 로그 (미리 보기)
- ABAP 작업 로그
- ABAP 보안 감사 로그
- ABAP 스풀 로그
- APAB 스풀 출력 로그
- ABAP SysLog
- ABAP 워크플로 로그
- ABAP WorkProcess 로그
- HANA DB 감사 내역
- JAVA 파일
- SAP 하트비트 로그
ABAP 애플리케이션 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPAppLog
관련 SAP 설명서: SAP 도움말 포털
로그 목적: 애플리케이션 실행 진행률을 기록하여 필요에 따라 나중에 다시 구성할 수 있습니다.
표준 SAP 테이블 및 XBP 인터페이스의 표준 서비스를 기반으로 RFC를 사용하여 사용할 수 있습니다. 이 로그는 클라이언트별로 생성됩니다.
이 로그는 데이터 커넥터 에이전트에서만 수집됩니다.
로그 스키마 ABAPAppLog_CL
| 필드 | 설명 |
|---|---|
| AppLogDateTime | 애플리케이션 로그 날짜 시간 |
| CallbackProgram | 콜백 프로그램 |
| CallbackRoutine | 콜백 루틴 |
| CallbackType | 콜백 유형 |
| Clientid | ABAP 클라이언트 ID(MANDT) |
| ContextDDIC | 컨텍스트 DDIC 구조 |
| ExternalID | 외부 로그 ID |
| 호스트 | 호스트 |
| 인스턴스 | ABAP는 다음 구문에서 instance.<HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | 애플리케이션 로그 메시지 직렬 |
| LevelofDetail | 세부 정보 수준 |
| LogHandle | 애플리케이션 로그 핸들 |
| LogNumber | 로그 번호 |
| MessageClass | 메시지 클래스 |
| MessageNumber | 메시지 번호 |
| MessageText | 메시지 텍스트 |
| MessageType | 메시지 유형 |
| 개체 | 애플리케이션 로그 개체 |
| OperationMode | 작업 모드 |
| ProblemClass | 문제 클래스 |
| ProgramName | 프로그램 이름 |
| SortCriterion | 정렬 기준 |
| StandardText | 텍스트 Standard |
| 하위 | 애플리케이션 로그 하위 개체 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TransactionCode | 트랜잭션 코드 |
| 사용자 | 사용자 |
| UserChange | 사용자 변경 |
ABAP 문서 변경 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPChangeDocsLog
관련 SAP 설명서: SAP 도움말 포털
로그 목적: 레코드:
SAP NetWeaver AS(애플리케이션 서버) ABAP는 변경 문서의 비즈니스 데이터 개체에 대한 변경 내용을 기록합니다.
SAP 시스템의 다른 엔터티(예: 사용자 데이터, 역할, 주소)
표준 SAP 테이블을 기반으로 RFC를 사용하여 사용할 수 있습니다. 이 로그는 클라이언트별로 생성됩니다.
로그 스키마 ABAPChangeDocsLog_CL
| 필드 | 설명 |
|---|---|
| ActualChangeNum | 실제 변경 번호 |
| ChangedTableKey | 변경된 테이블 키 |
| ChangeNumber | 번호 변경 |
| Clientid | ABAP 클라이언트 ID(MANDT) |
| CreatedfromPlannedChange | 다음 구문에서 계획된 변경 내용으로 생성됩니다. (‘X’ , ‘ ‘) |
| CurrencyKeyNew | 통화 키: 새 값 |
| CurrencyKeyOld | 통화 키: 이전 값 |
| Fieldname | 필드 이름 |
| FlagText | 텍스트 플래그 지정 |
| 호스트 | 호스트 |
| 인스턴스 | ABAP는 다음 구문에서 instance.<HOST>_<SYSID>_<SYSNR> |
| 언어 | 언어 |
| ObjectClass | 개체 클래스(예: BELEG, , BPAR, ) PFCGIDENTITY |
| Objectid | 개체 ID |
| PlannedChangeNum | 계획된 변경 번호 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| Tablename | 테이블 이름 |
| TransactionCode | 트랜잭션 코드 |
| TypeofChange_Header | 다음을 포함한 변경의 헤더 형식: U = 변경; I = 삽입; E = 단일 Docu 삭제; D = 삭제; J = 단일 Docu 삽입 |
| TypeofChange_Item | 다음을 포함한 변경 항목 유형: U = 변경; I = 삽입; E = 단일 Docu 삭제; D = 삭제; J = 단일 Docu 삽입 |
| UOMNew | 측정 단위: 새 값 |
| UOMOld | 측정 단위: 이전 값 |
| 사용자 | 사용자 |
| ValueNew | 필드 콘텐츠: 새 값 |
| ValueOld | 필드 콘텐츠: 이전 값 |
| 버전 | 버전 |
ABAP CR 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPCRLog
관련 SAP 설명서: SAP 도움말 포털
로그 목적: 디렉터리 개체 및 변경이 수행된 사용자 지정을 포함하여 CTS(전송 시스템 & 변경) 로그를 포함합니다.
표준 테이블 및 표준 SAP 서비스를 기반으로 RFC를 사용하여 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
참고
애플리케이션 로깅, 변경 문서 및 테이블 기록 외에도 변경 & 전송 시스템을 사용하여 프로덕션 시스템에 적용한 모든 변경 내용은 CTS 및 TMS 로그에 설명되어 있습니다.
로그 스키마 ABAPCRLog_CL
| 필드 | 설명 |
|---|---|
| 범주 | 범주(Workbench, 사용자 지정) |
| Clientid | ABAP 클라이언트 ID(MANDT) |
| 설명 | 설명 |
| 호스트 | 호스트 |
| 인스턴스 | ABAP는 다음 구문에서 instance.<HOST>_<SYSID>_<SYSNR> |
| Objectname | 개체 이름 |
| ObjectType | 개체 유형 |
| 소유자 | 소유자 |
| 요청 | 변경 요청 |
| 상태 | 상태 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TableKey | 테이블 키 |
| Tablename | 테이블 이름 |
| Viewname | View name(보기 이름) |
ABAP DB 테이블 데이터 로그(미리 보기)
이 로그를 Microsoft Sentinel 보내려면 systemconfig.json 파일에 수동으로 추가해야 합니다. 이 로그는 권장 절차를 사용하여 포털에서 데이터 커넥터 에이전트를 설치할 때 지원되지 않습니다.
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPTableDataLog
관련 SAP 설명서: SAP 도움말 포털
로그 목적: 감사에 중요하거나 영향을 받기 쉬운 테이블에 대한 로깅을 제공합니다.
사용자 지정 서비스와 함께 RFC를 사용하여 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
로그 스키마 ABAPTableDataLog_CL
| 필드 | 설명 |
|---|---|
| DBLogID | DB 로그 ID |
| 호스트 | 호스트 |
| 인스턴스 | ABAP는 다음 구문에서 instance.<HOST>_<SYSID>_<SYSNR> |
| 언어 | 언어 |
| LogKey | 로그 키 |
| NewValue | 필드 새 값 |
| Oldvalue | 필드 이전 값 |
| OperationTypeSQL | 작업 유형, , Insert, UpdateDelete |
| 프로그램 | 프로그램 이름 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TableField | 테이블 필드 |
| Tablename | 테이블 이름 |
| TransactionCode | 트랜잭션 코드 |
| UserName | 사용자 |
| VersionNumber | 버전 번호 |
ABAP 게이트웨이 로그(미리 보기)
이 로그를 Microsoft Sentinel 보내려면 systemconfig.json 파일에 수동으로 추가해야 합니다. 이 로그는 권장 절차를 사용하여 포털에서 데이터 커넥터 에이전트를 설치할 때 지원되지 않습니다.
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPOS_GW
관련 SAP 설명서: SAP 도움말 포털
로그 목적: 게이트웨이 활동을 모니터링합니다. SAP Control 웹 서비스에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
로그 스키마 ABAPOS_GW_CL
| 필드 | 설명 |
|---|---|
| 호스트 | 호스트 |
| 인스턴스 | ABAP는 다음 구문에서 instance.<HOST>_<SYSID>_<SYSNR> |
| MessageText | 메시지 텍스트 |
| 심각도 | 메시지 심각도: Debug, Info, , WarningError |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
ABAP ICM 로그(미리 보기)
이 로그를 Microsoft Sentinel 보내려면 systemconfig.json 파일에 수동으로 추가해야 합니다. 이 로그는 권장 절차를 사용하여 포털에서 데이터 커넥터 에이전트를 설치할 때 지원되지 않습니다.
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPOS_ICM
관련 SAP 설명서: SAP 도움말 포털
로그 목적: 인바운드 및 아웃바운드 요청을 기록하고 HTTP 요청의 통계를 컴파일합니다.
SAP Control 웹 서비스에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
로그 스키마 ABAPOS_ICM_CL
| 필드 | 설명 |
|---|---|
| 호스트 | 호스트 |
| 인스턴스 | ABAP는 다음 구문에서 instance.<HOST>_<SYSID>_<SYSNR> |
| MessageText | 메시지 텍스트 |
| 심각도 | 메시지 심각도( 포함): Debug, Info, , WarningError |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
ABAP 작업 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPJobLog
관련 SAP 설명서: SAP 도움말 포털
로그 용도: 모든 백그라운드 처리 작업 로그(SM37)를 결합합니다.
표준 SAP 테이블 및 XBP 인터페이스의 표준 서비스를 기반으로 RFC를 사용하여 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
로그 스키마 ABAPJobLog_CL
| 필드 | 설명 |
|---|---|
| ABAPProgram | ABAP 프로그램 |
| BgdEventParameters | 백그라운드 이벤트 매개 변수 |
| BgdProcessingEvent | 백그라운드 처리 이벤트 |
| Clientid | ABAP 클라이언트 ID(MANDT) |
| DynproNumber | Dynpro 번호 |
| GUIStatus | GUI 상태 |
| 호스트 | 호스트 |
| 인스턴스 | 다음 구문에서 ABAP instance(HOST_SYSID_SYSNR)입니다.<HOST>_<SYSID>_<SYSNR> |
| JobClassification | 작업 분류 |
| JobCount | 작업 수 |
| JobGroup | 작업 그룹 |
| JobName | 작업 이름 |
| JobPriority | 작업 우선 순위 |
| MessageClass | 메시지 클래스 |
| MessageNumber | 메시지 번호 |
| MessageText | 메시지 텍스트 |
| MessageType | 메시지 유형 |
| ReleaseUser | 작업 릴리스 사용자 |
| SchedulingDateTime | 예약 날짜 시간 |
| StartDateTime | 시작 날짜 시간 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TargetServer | 대상 서버 |
| 사용자 | 사용자 |
| UserReleaseInstance | ABAP instance - 사용자 릴리스 |
| WorkProcessID | 작업 프로세스 ID |
| WorkProcessNumber | 작업 프로세스 번호 |
ABAP 보안 감사 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPAuditLog
관련 SAP 설명서: SAP 도움말 포털
로그 목적: 다음 데이터를 기록합니다.
- SAP 시스템 환경에 대한 보안 관련 변경 내용(예: 주 사용자 레코드 변경)
- 성공 및 실패한 로그인 시도와 같은 더 높은 수준의 데이터를 제공하는 정보
- 성공 또는 실패 트랜잭션 시작과 같은 일련의 이벤트를 재구성할 수 있는 정보
RFC XAL/SAL 인터페이스를 사용하여 사용할 수 있습니다. SAL은 버전 기준 7.50부터 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
로그 스키마 ABAPAuditLog_CL
| 필드 | 설명 |
|---|---|
| ABAPProgramName | 프로그램 이름, SAL만 |
| 경고 심각도 | 경고 심각도 |
| AlertSeverityText | 경고 심각도 텍스트, SAL만 |
| AlertValue | 경고 값 |
| AuditClassID | 감사 클래스 ID, SAL만 |
| Clientid | ABAP 클라이언트 ID(MANDT) |
| 컴퓨터 | 사용자 컴퓨터, SAL만 |
| 전자 메일 | 사용자 이메일 |
| 호스트 | 호스트 |
| 인스턴스 | ABAP는 다음 구문에서 instance.<HOST>_<SYSID>_<SYSNR> |
| MessageClass | 메시지 클래스 |
| MessageContainerID | 메시지 컨테이너 ID, XAL만 |
| MessageID | 메시지 ID(예: ) ‘AU1’,’AU2’… |
| MessageText | 메시지 텍스트 |
| MonitoringObjectName | MTE Monitor 개체 이름, XAL만 |
| MonitorShortName | MTE Monitor 짧은 이름, XAL만 |
| SAPProcessType | 시스템 로그: SAP 프로세스 유형, SAL만 |
| B* - 백그라운드 처리 | |
| D* - 대화 상자 처리 | |
| U* - 작업 업데이트 | |
| SAPWPName | 시스템 로그: 작업 프로세스 번호, SAL만 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TerminalIPv6 | 사용자 컴퓨터 IP, SAL만 |
| TransactionCode | 트랜잭션 코드, SAL만 |
| 사용자 | 사용자 |
| Variable1 | 메시지 변수 1 |
| Variable2 | 메시지 변수 2 |
| Variable3 | 메시지 변수 3 |
| Variable4 | 메시지 변수 4 |
ABAP 스풀 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPSpoolLog
관련 SAP 설명서: SAP 도움말 포털
로그 목적: 스풀 요청 기록을 사용하여 SAP 인쇄의 기본 로그 역할을 합니다. (SP01).
표준 SAP 테이블을 기반으로 RFC를 사용하여 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
로그 스키마 ABAPSpoolLog_CL
| 필드 | 설명 |
|---|---|
| ArchiveStatus | 아카이브 상태 |
| ArchiveType | 아카이브 형식 |
| ArchivingDevice | 보관 디바이스 |
| AutoRereoute | 자동 경로 다시 라우팅 |
| Clientid | ABAP 클라이언트 ID(MANDT) |
| CountryKey | 국가/지역 키 |
| DeleteSpoolRequestAuto | 스풀 요청 자동 삭제 |
| DelFlag | 삭제 플래그 |
| 부서 | 부서 |
| DocumentType | 문서 유형 |
| ExternalMode | 외부 모드 |
| FormatType | 형식 형식 |
| 호스트 | 호스트 |
| 인스턴스 | ABAP는 다음 구문에서 instance.<HOST>_<SYSID>_<SYSNR> |
| NumofCopies | 복사본 수 |
| OutputDevice | 출력 디바이스 |
| PrinterLongName | 프린터 긴 이름 |
| PrintImmediately | 즉시 인쇄 |
| PrintOSCoverPage | OSCover 페이지 인쇄 |
| PrintSAPCoverPage | SAPCover 페이지 인쇄 |
| 우선 순위 | 우선 순위 |
| RecipientofSpoolRequest | 스풀 요청 수신자 |
| SpoolErrorStatus | 스풀 오류 상태 |
| SpoolRequestCompleted | 스풀 요청 완료 |
| SpoolRequestisALogForAnotherRequest | 스풀 요청은 다른 요청에 대한 로그입니다. |
| SpoolRequestName | 스풀 요청 이름 |
| SpoolRequestNumber | 스풀 요청 번호 |
| SpoolRequestSuffix1 | 스풀 요청 접미사1 |
| SpoolRequestSuffix2 | 스풀 요청 접미사2 |
| SpoolRequestTitle | 스풀 요청 제목 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TelecommunicationsPartner | 통신 파트너 |
| TelecommunicationsPartnerE | 통신 파트너 E |
| TemSeGeneralcounter | Temse 카운터 |
| TemseNumAddProtectionRule | Temse 번호 보호 규칙 추가 |
| TemseNumChangeProtectionRule | Temse 번호 변경 보호 규칙 |
| TemseNumDeleteProtectionRule | Temse 번호 삭제 보호 규칙 |
| TemSeObjectName | Temse 개체 이름 |
| TemSeObjectPart | TemSe 개체 부분 |
| TemseReadProtectionRule | Temse 읽기 보호 규칙 |
| 사용자 | 사용자 |
| ValueAuthCheck | 값 인증 검사 |
APAB 스풀 출력 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPSpoolOutputLog
관련 SAP 설명서: SAP 도움말 포털
로그 용도: 스풀 출력 요청 기록을 사용하여 SAP 인쇄의 기본 로그 역할을 합니다. (SP02).
표준 테이블을 기반으로 하는 사용자 지정 서비스와 함께 RFC를 사용하여 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
로그 스키마 ABAPSpoolOutputLog_CL
| 필드 | 설명 |
|---|---|
| AppServer | 응용 프로그램 서버 |
| Clientid | ABAP 클라이언트 ID(MANDT) |
| Comment | Comment |
| CopyCount | 복사 횟수 |
| CopyCounter | 카운터 복사 |
| 부서 | 부서 |
| ErrorSpoolRequestNumber | 오류 요청 번호 |
| FormatType | 형식 형식 |
| 호스트 | 호스트 |
| HostName | 호스트 이름 |
| HostSpoolerID | 호스트 스풀러 ID |
| 인스턴스 | ABAP instance |
| LastPage | 마지막 페이지 |
| NumofCopies | 복사본 수 |
| OutputDevice | 출력 디바이스 |
| OutputRequestNumber | 출력 요청 번호 |
| OutputRequestStatus | 출력 요청 상태 |
| PhysicalFormatType | 물리적 형식 형식 |
| PrinterLongName | 프린터 긴 이름 |
| PrintRequestSize | 인쇄 요청 크기 |
| 우선 순위 | 우선 순위 |
| ReasonforOutputRequest | 출력 요청 이유 |
| RecipientofSpoolRequest | 스풀 요청 수신자 |
| SpoolNumberofOutputReqProcessed | 출력 요청 수 - 처리됨 |
| SpoolNumberofOutputReqWithErrors | 출력 요청 수 - 오류 포함 |
| SpoolNumberofOutputReqWithProblems | 출력 요청 수 - 문제 |
| SpoolRequestNumber | 스풀 요청 번호 |
| Startpage | 시작 페이지 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TelecommunicationsPartner | 통신 파트너 |
| TemSeGeneralcounter | Temse 카운터 |
| 제목 | 제목 |
| 사용자 | 사용자 |
ABAP Syslog
이 로그를 Microsoft Sentinel 보내려면 systemconfig.json 파일에 수동으로 추가해야 합니다. 이 로그는 권장 절차를 사용하여 포털에서 데이터 커넥터 에이전트를 설치할 때 지원되지 않습니다.
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPOS_Syslog
관련 SAP 설명서: SAP 도움말 포털
로그 목적: 모든 SAP NetWeaver 애플리케이션 서버(SAP NetWeaver AS) ABAP 시스템 오류, 경고, 알려진 사용자의 로그인 실패로 인한 사용자 잠금을 기록하고 메시지를 처리합니다.
SAP Control 웹 서비스에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
로그 스키마 ABAPOS_Syslog_CL
| 필드 | 설명 |
|---|---|
| Clientid | ABAP 클라이언트 ID(MANDT) |
| 호스트 | 호스트 |
| 인스턴스 | ABAP는 다음 구문에서 instance.<HOST>_<SYSID>_<SYSNR> |
| MessageNumber | 메시지 번호 |
| MessageText | 메시지 텍스트 |
| 심각도 | 메시지 심각도, 다음 값 중 하나: Debug, , Info, WarningError |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TransacationCode | 트랜잭션 코드 |
| 유형 | SAP 프로세스 유형 |
| 사용자 | 사용자 |
ABAP 워크플로 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPWorkflowLog
관련 SAP 설명서: SAP 도움말 포털
로그 목적: SAP 비즈니스 워크플로(WebFlow 엔진)를 사용하면 SAP 시스템에서 아직 매핑되지 않은 비즈니스 프로세스를 정의할 수 있습니다.
예를 들어 매핑되지 않은 비즈니스 프로세스는 간단한 릴리스 또는 승인 절차 또는 기본 자료 만들기 및 관련 부서 조정과 같은 보다 복잡한 비즈니스 프로세스일 수 있습니다.
표준 SAP 테이블을 기반으로 RFC를 사용하여 사용할 수 있습니다. 이 로그는 클라이언트별로 생성됩니다.
로그 스키마 ABAPWorkflowLog_CL
| 필드 | 설명 |
|---|---|
| ActualAgent | 실제 에이전트 |
| 주소 | 주소 |
| ApplicationArea | 애플리케이션 영역 |
| CallbackFunction | 콜백 함수 |
| Clientid | ABAP 클라이언트 ID(MANDT) |
| CreationDateTime | 생성 날짜 시간 |
| 작성자 | 작성자 |
| CreatorAddress | 작성자 주소 |
| ErrorType | 오류 유형 |
| ExceptionforMethod | 메서드에 대한 예외 |
| 호스트 | 호스트 |
| 인스턴스 | 다음 구문에서 ABAP instance(HOST_SYSID_SYSNR)입니다.<HOST>_<SYSID>_<SYSNR> |
| 언어 | 언어 |
| LogCounter | 로그 카운터 |
| MessageNumber | 메시지 번호 |
| MessageType | 메시지 유형 |
| MethodUser | 메서드 사용자 |
| 우선 순위 | 우선 순위 |
| SimpleContainer | 작업 항목에 대한 키-값 엔터티 목록으로 압축된 간단한 컨테이너 |
| 상태 | 상태 |
| SuperWI | 슈퍼 WI |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| Taskid | 작업 ID |
| TasksClassification | 작업 분류 |
| TaskText | 작업 텍스트 |
| TopTaskID | 상위 작업 ID |
| UserCreated | 사용자가 생성됨 |
| WIText | 작업 항목 텍스트 |
| WIType | 작업 항목 유형 |
| WorkflowAction | 워크플로 작업 |
| WorkItemID | 작업 항목 ID |
ABAP WorkProcess 로그
이 로그를 Microsoft Sentinel 보내려면 systemconfig.json 파일에 수동으로 추가해야 합니다. 이 로그는 권장 절차를 사용하여 포털에서 데이터 커넥터 에이전트를 설치할 때 지원되지 않습니다.
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPOS_WP
관련 SAP 설명서: SAP 도움말 포털
로그 용도: 모든 작업 프로세스 로그를 결합합니다. (기본값:
dev_*).SAP Control 웹 서비스에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
로그 스키마 ABAPOS_WP_CL
| 필드 | 설명 |
|---|---|
| 호스트 | 호스트 |
| 인스턴스 | ABAP는 다음 구문에서 instance.<HOST>_<SYSID>_<SYSNR> |
| MessageText | 메시지 텍스트 |
| 심각도 | 메시지 심각도: Debug, Info, , WarningError |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| WPNumber | 작업 프로세스 번호 |
HANA DB 감사 내역
HANA DB 감사 추적 로그를 수집하는 것은 Microsoft Sentinel 데이터베이스 계층 활동을 수집하는 방법의 예입니다. 이 로그를 Microsoft Sentinel 보내려면 Azure Monitor 에이전트를 배포하여 HANA DB를 실행하는 컴퓨터에서 Syslog 데이터를 수집해야 합니다.
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPSyslog
로그 목적: SAP HANA 데이터베이스에서 사용자 작업 또는 시도된 작업을 기록합니다. 예를 들어 을 사용하면 중요한 데이터에 대한 읽기 액세스를 기록하고 모니터링할 수 있습니다.
Syslog용 Microsoft Sentinel Linux 에이전트에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
Syslog 로그 스키마
| 필드 | 설명 |
|---|---|
| 컴퓨터 | 호스트 이름 |
| HostIP | 호스트 IP |
| HostName | 호스트 이름 |
| ProcessID | 프로세스 ID |
| ProcessName | 프로세스 이름: HDB* |
| SeverityLevel | 경고 |
| SourceSystem | 원본 시스템 OS, Linux |
| SyslogMessage | 메시지, 구분되지 않은 감사 내역 메시지 |
JAVA 파일
이 로그를 Microsoft Sentinel 보내려면 systemconfig.json 파일에 수동으로 추가해야 합니다. 이 로그는 권장 절차를 사용하여 포털에서 데이터 커넥터 에이전트를 설치할 때 지원되지 않습니다.
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPJAVAFilesLogs
관련 SAP 설명서: 일반 | Java 보안 감사 로그
로그 목적: 보안 감사 로그, 시스템(클러스터 및 서버 프로세스), 성능 및 게이트웨이 로그를 비롯한 모든 Java 파일 기반 로그를 결합합니다. 개발자 추적 및 기본 추적 로그도 포함됩니다.
SAP Control 웹 서비스에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
JavaFilesLogsCL 로그 스키마
| 필드 | 설명 |
|---|---|
| 응용 프로그램 | Java 애플리케이션 |
| Clientid | 클라이언트 ID |
| CSNComponent | CSN 구성 요소(예: BC-XI-IBD |
| DCComponent | DC 구성 요소(예: com.sap.xi.util.misc |
| DSRCounter | DSR 카운터 |
| DSRRootContentID | DSR 컨텍스트 GUID |
| DSRTransaction | DSR 트랜잭션 GUID |
| 호스트 | 호스트 |
| 인스턴스 | Java는 다음 구문에서 instance.<HOST>_<SYSID>_<SYSNR> |
| 위치 | Java 클래스 |
| Logname | Java logName(예: Available, , defaulttracedev*, security등) |
| MessageText | 메시지 텍스트 |
| Mno | 메시지 번호 |
| Pid | 프로세스 ID |
| 프로그램 | 프로그램 이름 |
| 세션 | 세션 |
| 심각도 | 메시지 심각도(예: Debug,Info,Warning, 포함)Error |
| 해결 방법 | 해결 방법 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| ThreadName | 스레드 이름 |
| Throw | 예외가 throw됨 |
| TimeZone | 시간대 |
| 사용자 | 사용자 |
SAP 하트비트 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPConnectorHealth
로그 목적: 에이전트와 다른 SAP 시스템 간의 연결에 대한 하트비트 및 기타 상태 정보를 제공합니다.
SAP 데이터 커넥터용 Microsoft Sentinel 에이전트에 대해 자동으로 생성됩니다.
로그 스키마 SAP_HeartBeat_CL
| 필드 | 설명 |
|---|---|
| TimeGenerated | 로그 게시 이벤트 시간 |
| agent_id_s | 에이전트 구성의 에이전트 ID(자동으로 생성됨) |
| agent_ver_s | 에이전트 버전 |
| host_s | 에이전트의 호스트 이름 |
| system_id_s | Netweaver ABAP 시스템 ID / Netweaver SAPControl 호스트(미리 보기) / Java SAPControl 호스트(미리 보기) |
| push_timestamp_d | 에이전트의 표준 시간대에 따라 추출 타임스탬프 |
| agent_timezone_s | 에이전트의 표준 시간대 |
SAP 시스템에서 직접 검색된 테이블 참조
이 섹션에는 SAP 시스템에서 직접 검색되고 Microsoft Sentinel 수집되는 데이터 테이블이 나와 있습니다.
이러한 테이블에서 검색된 데이터는 권한 부여 구조, 그룹 멤버 자격 및 사용자 프로필에 대한 명확한 보기를 제공합니다. 또한 권한 부여 및 해지 프로세스를 추적하고 해당 프로세스와 관련된 위험을 식별하고 제어할 수 있습니다.
아래에 나열된 테이블은 권한 있는 사용자를 식별하고 사용자를 역할, 그룹 및 권한 부여에 매핑하는 함수를 사용하도록 설정하는 데 필요합니다.
최상의 결과를 보려면 다음 표의 Microsoft Sentinel 함수 이름 열에 있는 이름을 사용하여 이러한 테이블을 참조하세요.
| 테이블 이름 | 표 설명 | Microsoft Sentinel 함수 이름 |
|---|---|---|
| USR01 | 사용자 master 레코드(런타임 데이터) | SAP_USR01 |
| USR02 | 로그인 데이터(커널 쪽 사용) | SAP_USR02 |
| UST04 | 사용자 마스터 사용자를 프로필에 매핑 |
SAP_UST04 |
| AGR_USERS | 사용자에게 역할 할당 | SAP_AGR_USERS |
| AGR_1251 | 활동 그룹에 대한 권한 부여 데이터 | SAP_AGR_1251 |
| USGRP_USER | 사용자 그룹에 사용자 할당 | SAP_USGRP_USER |
| USR21 | 사용자 이름/주소 키 할당 | SAP_USR21 |
| ADR6 | Email 주소(비즈니스 주소 서비스) | SAP_ADR6 |
| USRSTAMP | 사용자에 대한 모든 변경 내용에 대한 타임스탬프를 표시합니다. | SAP_USRSTAMP |
| ADCP | 개인/주소 할당(비즈니스 주소 서비스) | SAP_ADCP |
| USR05 | 사용자 master 매개 변수 ID | SAP_USR05 |
| AGR_PROF | 역할의 프로필 이름 | SAP_AGR_PROF |
| AGR_FLAGS | 역할 특성 | SAP_AGR_FLAGS |
| DEVACCESS | 개발 사용자용 테이블 | SAP_DEVACCESS |
| AGR_DEFINE | 역할 정의 | SAP_AGR_DEFINE |
| AGR_AGRS | 복합 역할의 역할 | SAP_AGR_AGRS |
| PAHI | 시스템, 데이터베이스 및 SAP 매개 변수의 기록 | SAP_PAHI |
| SNCSYSACL(미리 보기) | SNC Access Control 목록(ACL): 시스템 | SAP_SNCSYSACL |
| USRACL(미리 보기) | SNC Access Control 목록(ACL): 사용자 | SAP_USRACL |
관련 콘텐츠
자세한 내용은 다음 항목을 참조하세요.