Delen via

Problemen met uw Microsoft Sentinel-oplossing oplossen voor implementatie van SAP-toepassingen

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Dit artikel bevat stappen voor probleemoplossing om ervoor te zorgen dat gegevens nauwkeurig en tijdig worden opgenomen en gecontroleerd voor uw SAP-omgeving met Microsoft Sentinel.

In dit artikel verwijzen we naar het systemconfig.json-bestand , dat wordt gebruikt voor agentversies die zijn uitgebracht op of na 22 juni 2023. Als u een eerdere versie van de agent gebruikt, raadpleegt u in plaats daarvan het bestand systemconfig.ini.

Nuttige Docker-opdrachten

Bij het oplossen van problemen met uw Microsoft Sentinel voor SAP-gegevensconnector vindt u mogelijk de volgende opdrachten nuttig:

Functie Opdracht
De Docker-container stoppen docker stop sapcon-[SID]
De Docker-container starten docker start sapcon-[SID]
Docker-systeemlogboeken weergeven docker logs -f sapcon-[SID]
Voer de Docker-container in docker exec -it sapcon-[SID] bash

Zie de Docker CLI-documentatie voor meer informatie.

Systeemlogboeken controleren

We raden u ten zeerste aan de systeemlogboeken te bekijken na het installeren of opnieuw instellen van de gegevensconnector.

Run:

docker logs -f sapcon-[SID]

Afdrukken van foutopsporingsmodus in- of uitschakelen

  1. Bewerk het bestand /opt/sapcon/[SID]/systemconfig.json op de virtuele machine van de gegevensverzamelaaragentcontainer.

  2. Definieer de sectie Algemeen als deze nog niet eerder is gedefinieerd. In deze sectie definieert u logging_debug = True om foutopsporingsmodus in te schakelen of logging_debug = False om deze uit te schakelen.

    Voorbeeld:

    [General]
logging_debug = True

  3. Sla het bestand op.

De wijziging wordt ongeveer twee minuten nadat u het bestand hebt opgeslagen van kracht. U hoeft de Docker-container niet opnieuw op te starten.

Alle logboeken voor het uitvoeren van containers weergeven

De uitvoeringslogboeken van de connector voor uw Microsoft Sentinel-oplossing voor implementatie van SAP-toepassingen-gegevensconnector worden opgeslagen op uw VM in /opt/sapcon/[SID]/log/. De bestandsnaam van het logboek wordt OmniLog.log. Een geschiedenis van logboekbestanden wordt bewaard, achtervoegsel met .[ getal] zoals OmniLog.log,1, OmniLog.log,2, enzovoort.

Het configuratiebestand van de Microsoft Sentinel voor SAP-agentconnector controleren en bijwerken

Als u uw agent via de portal hebt geïmplementeerd, kunt u configuratie-instellingen blijven onderhouden en wijzigen via de portal.

Als u via de opdrachtregel hebt geïmplementeerd of handmatige updates rechtstreeks naar het configuratiebestand wilt uitvoeren, voert u de volgende stappen uit:

  1. Open het configuratiebestand op uw VM: sapcon/[SID]/systemconfig.json

  2. Werk de configuratie indien nodig bij en sla het bestand op. Zie de Microsoft Sentinel-oplossing voor bestandsreferenties voor SAP-toepassingen systemconfig.json voor meer informatie.

De wijziging wordt ongeveer twee minuten nadat u het bestand hebt opgeslagen van kracht. U hoeft de Docker-container niet opnieuw op te starten.

De Microsoft Sentinel voor SAP-gegevensconnector opnieuw instellen

Met de volgende stappen stelt u de connector opnieuw in en neemt u SAP-logboeken opnieuw op uit de afgelopen 30 minuten.

  1. Stop de verbindingslijn. Run:

    docker stop sapcon-[SID]

  2. Verwijder het metadata.db bestand uit de map /opt/sapcon/[SID]. Run:

    cd /opt/sapcon/<SID>
rm metadata.db

    Notitie

    Het metadata.db bestand bevat de laatste tijdstempel voor elk van de logboeken en werkt om duplicatie te voorkomen.

  3. Start de connector opnieuw. Run:

    docker start sapcon-[SID]

Zorg ervoor dat u systeemlogboeken controleert wanneer u klaar bent.

Algemene problemen

Nadat u zowel de Microsoft Sentinel voor SAP-gegevensconnector als beveiligingsinhoud hebt geïmplementeerd, kunnen de volgende fouten of problemen optreden:

Beschadigd of ontbrekend SAP SDK-bestand

Deze fout kan optreden wanneer de connector niet kan worden opgestart met PyRfc of zip-gerelateerde foutberichten worden weergegeven.

  1. Installeer de SAP SDK opnieuw.
  2. Controleer of u de juiste 64-bits Versie van Linux hebt, zoals nwrfc750P_8-70002752.zip.

Als u de gegevensconnector handmatig hebt geïnstalleerd, moet u ervoor zorgen dat u het SDK-bestand naar de Docker-container hebt gekopieerd.

Run:

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

ABAP-runtimefouten worden weergegeven op een groot systeem

Als ABAP-runtimefouten worden weergegeven op grote systemen, kunt u een kleinere segmentgrootte instellen:

  1. Bewerk het bestand /opt/sapcon/[SID]/systemconfig.json en definieer timechunk = 5in de sectie Connectorconfiguratie .

    Voorbeeld:

    [Connector Configuration]
timechunk = 5

  2. Sla het bestand op.

De wijziging wordt ongeveer twee minuten nadat u het bestand hebt opgeslagen van kracht. U hoeft de Docker-container niet opnieuw op te starten.

Notitie

De grootte van de timechunk wordt in minuten gedefinieerd.

Leeg of geen auditlogboek opgehaald, zonder speciale foutberichten

  1. Controleer of auditlogboekregistratie is ingeschakeld in SAP.
  2. Controleer de SM19 - of RSAU_CONFIG transacties .
  3. Schakel indien nodig alle gebeurtenissen in.
  4. Controleer of berichten binnenkomen en bestaan in sap SM20 of RSAU_READ_LOG, zonder speciale fouten die worden weergegeven in het connectorlogboek.

Onjuiste werkruimte-id of -sleutel in sleutelkluis

Als u zich realiseert dat u een onjuiste werkruimte-id of -sleutel hebt ingevoerd in uw implementatiescript, werkt u de referenties bij die zijn opgeslagen in Azure Key Vault.

Nadat u uw referenties in Azure KeyVault hebt gecontroleerd, start u de container opnieuw op:

docker restart sapcon-[SID]

Onjuiste SAP ABAP-gebruikersreferenties in key vault

Controleer uw referenties en corrigeer ze indien nodig en pas de juiste waarden toe op de ABAPUSER - en ABAPPASS-waarden in Azure Key Vault.

Start vervolgens de container opnieuw op:

docker restart sapcon-[SID]

Onjuiste SAP ABAP-gebruikersreferenties in een vaste configuratie

Een vaste configuratie is wanneer het wachtwoord rechtstreeks in het systemconfig.json configuratiebestand wordt opgeslagen.

Als uw referenties onjuist zijn, controleert u uw referenties.

Gebruik base64-versleuteling om de gebruiker en het wachtwoord te versleutelen. U kunt online versleutelingshulpprogramma's gebruiken om uw referenties te versleutelen, zoals https://www.base64encode.org/.

Ontbrekende ABAP-machtigingen (SAP-gebruiker)

Als u een foutbericht krijgt dat lijkt op: .. Ontbrekende RFC-autorisatie voor back-end.., uw SAP-autorisaties en -rol zijn niet correct toegepast.

  1. Zorg ervoor dat de rol MSFTSEN/SENTINEL_CONNECTOR is geïmporteerd als onderdeel van een wijzigingsaanvraagtransport en wordt toegepast op de connectorgebruiker.

  2. Voer het proces voor het genereren van rollen en het vergelijken van gebruikers uit met behulp van de SAP-transactie PFCG.

Ontbrekende gegevens in uw werkmappen of waarschuwingen

Als u merkt dat er gegevens ontbreken in uw Microsoft Sentinel-werkmappen of -waarschuwingen, controleert u of het auditlog-beleid correct is ingeschakeld aan de SAP-zijde, zonder fouten in het containerlogboekbestand.

Gebruik de RSAU_CONFIG_LOG transactie voor deze stap.

Zie de SAP-documentatie en verzamel SAP HANA-auditlogboeken in Microsoft Sentinel voor meer informatie.

Ontbrekende IP-adres- of transactiecodevelden in het SAP-auditlogboek

In SAP-systemen met versies voor SAP BASIS 7.5 SP12 en hoger kan Microsoft Sentinel extra velden in de ABAPAuditLog_CL en SAPAuditLog tabellen weergeven.

Als u SAP BASIS-versies gebruikt die hoger zijn dan 7.5 SP12 en er ip-adres- of transactiecodevelden ontbreken in het SAP-auditlogboek, controleert u of het SAP-systeem waaruit u de gegevens extraheert de relevante wijzigingsaanvragen (transporten) bevat. Zie Ondersteuning configureren voor extra gegevens ophalen (aanbevolen) voor meer informatie.

Ontbrekende SAP-wijzigingsaanvraag

Als u fouten ziet dat u een vereiste SAP-wijzigingsaanvraag mist, controleert u of u de juiste SAP-wijzigingsaanvraag voor uw systeem hebt geïmporteerd. Zie SAP-vereisten en configureer uw SAP-systeem voor de Microsoft Sentinel-oplossing voor meer informatie.

Er worden geen gegevens weergegeven in het SAP-tabelgegevenslogboek

In SAP-systemen met versies voor SAP BASIS 7.5 SP12 en hoger kan Microsoft Sentinel wijzigingen in tabelgegevenslogboeken in de ABAPTableDataLog_CL tabel weergeven.

Als er geen gegevens in de ABAPTableDataLog_CL tabel worden weergegeven, controleert u of het SAP-systeem waaruit u de gegevens extraheert de relevante wijzigingsaanvragen (transporten) bevat. Zie Ondersteuning configureren voor extra gegevens ophalen (aanbevolen) voor meer informatie.

Geen records /late records

De gegevensverzamelaaragent is afhankelijk van tijdzone-informatie die juist is. Als u ziet dat er geen records in de SAP-audit- en wijzigingslogboeken staan, of als records voortdurend een paar uur achterblijven, controleert u of het SAP TZCUSTHELP-rapport fouten veroorzaakt. Zie SAP-notitie 481835 voor meer informatie.

Er kunnen ook problemen zijn met de klok op de virtuele machine waarop de container van de gegevensverzamelaaragent wordt gehost, en elke afwijking van de klok op de VIRTUELE machine van UTC beïnvloedt gegevensverzameling. Nog belangrijker, de klokken op zowel de SAP-systeemmachines als de machines van de gegevensverzamelaaragent moeten overeenkomen.

Problemen met de netwerkconnectiviteit

Als u problemen ondervindt met de netwerkverbinding met de SAP-omgeving of met Microsoft Sentinel, controleert u de netwerkverbinding om ervoor te zorgen dat de gegevens naar verwachting stromen.

Veelvoorkomende problemen zijn:

  • Firewalls tussen de Docker-container en de SAP-hosts blokkeren mogelijk verkeer. De SAP-host ontvangt communicatie via de volgende TCP-poorten, die open moeten zijn: 32xx, 5xx13 en 33xx, waarbij xx het SAP-exemplaarnummer is.

  • Uitgaande communicatie van uw SAP-agenthost naar Microsoft Container Registry of Azure vereist proxyconfiguratie. Dit is doorgaans van invloed op de installatie en vereist dat u de HTTP_PROXY en HTTPS_PROXY omgevingsvariabelen configureert. U kunt ook omgevingsvariabelen opnemen in de docker-container wanneer u de container maakt door de -e vlag toe te voegen aan de docker-opdracht / createrun.

Het ophalen van een auditlogboek mislukt met waarschuwingen

Als u probeert een auditlogboek op te halen zonder de vereiste configuraties en het proces mislukt met waarschuwingen, controleert u of het SAP Auditlog kan worden opgehaald met een van de volgende methoden:

  • Een compatibiliteitsmodus gebruiken met de naam XAL in oudere versies
  • Een versie gebruiken die niet onlangs is gepatcht
  • Zonder wijzigingen die zijn aangebracht om verbinding te maken met de Microsoft Sentinel-gegevensconnectoragent. Zie Uw SAP-systeem configureren voor de Microsoft Sentinel-oplossing voor meer informatie.

Hoewel uw systeem indien nodig automatisch naar de compatibiliteitsmodus moet overschakelen, moet u deze mogelijk handmatig overschakelen. Handmatig overschakelen naar de compatibiliteitsmodus:

  1. Bewerk het bestand /opt/sapcon/[SID]/systemconfig.json .

  2. In de sectie Connectorconfiguratie definieert uefine: auditlogforcexal = True

    Voorbeeld:

    [Connector Configuration]
auditlogforcexal = True

  3. Sla het bestand op.

De wijziging wordt ongeveer twee minuten nadat u het bestand hebt opgeslagen van kracht. U hoeft de Docker-container niet opnieuw op te starten.

SAPCONTROL- of JAVA-subsystemen kunnen geen verbinding maken

Controleer of de gebruiker van het besturingssysteem geldig is en voer de volgende opdracht uit op het SAP-doelsysteem:

sapcontrol -nr <SID> -function GetSystemInstanceList

Als uw SAPCONTROL- of JAVA-subsysteem mislukt met een foutbericht met betrekking tot tijdzones, zoals: Controleer de configuratie en netwerktoegang tot de SAP-server - 'Etc/NZST', zorg ervoor dat u standaard tijdzonecodes gebruikt.

Gebruik bijvoorbeeld javatz = GMT+12 of abaptz = GMT-3**.

Auditlogboekgegevens die niet zijn opgenomen in het verleden

Als de SAP-auditlogboekgegevens, zichtbaar in de RSAU_READ_LOAD - of SM200-transacties , niet worden opgenomen in Microsoft Sentinel na de eerste belasting, hebt u mogelijk een onjuiste configuratie van het SAP-systeem en het SAP-hostbesturingssysteem.

  • Initiële belastingen worden opgenomen na een nieuwe installatie van de Microsoft Sentinel voor SAP-gegevensconnector of nadat het metadata.db bestand is verwijderd.
  • Een voorbeeldfoutconfiguratie kan zijn wanneer uw SAP-systeemtijdzone is ingesteld op CET in de STZAC-transactie, maar de tijdzone van het SAP-hostbesturingssysteem is ingesteld op UTC.

Als u wilt controleren op onjuiste configuraties, voert u het RSDBTIME-rapport uit in transactie SE38. Als u merkt dat het SAP-systeem en het SAP-hostbesturingssysteem niet overeenkomen:

  1. Beëindig de Docker-container. Uitvoeren

    docker stop sapcon-[SID]

  2. Verwijder het metadata.db bestand uit de map /opt/sapcon/[SID]. Run:

    rm /opt/sapcon/[SID]/metadata.db

  3. Werk het SAP-systeem en het SAP-hostbesturingssysteem bij zodat ze overeenkomende instellingen hebben, zoals dezelfde tijdzone. Zie de SAP Community Wiki voor meer informatie.

  4. Start de container opnieuw. Run:

    docker start sapcon-[SID]

Andere onverwachte problemen

Als u onverwachte problemen ondervindt die niet worden vermeld in dit artikel, voert u de volgende stappen uit:

Tip

Het opnieuw instellen van uw connector en ervoor zorgen dat u over de meest recente upgrades beschikt, wordt ook aanbevolen na belangrijke configuratiewijzigingen.

Gerelateerde inhoud

Meer informatie over de Microsoft Sentinel-oplossing voor SAP-toepassingen:

Referentiebestanden:

Zie Microsoft Sentinel-oplossingen voor meer informatie.