Rozwiązywanie problemów z rozwiązaniem Microsoft Sentinel na potrzeby wdrażania aplikacji SAP®
Przydatne polecenia platformy Docker
Podczas rozwiązywania problemów z łącznikiem danych sap usługi Microsoft Sentinel przydatne mogą być następujące polecenia:
Function | Polecenie |
---|---|
Zatrzymywanie kontenera platformy Docker | docker stop sapcon-[SID] |
Uruchamianie kontenera platformy Docker | docker start sapcon-[SID] |
Wyświetlanie dzienników systemu platformy Docker | docker logs -f sapcon-[SID] |
Wprowadź kontener platformy Docker | docker exec -it sapcon-[SID] bash |
Aby uzyskać więcej informacji, zobacz dokumentację interfejsu wiersza polecenia platformy Docker.
Przeglądanie dzienników systemowych
Zdecydowanie zalecamy przejrzenie dzienników systemowych po zainstalowaniu lub zresetowaniu łącznika danych.
Uruchom:
docker logs -f sapcon-[SID]
Włączanie/wyłączanie drukowania w trybie debugowania
Włącz drukowanie w trybie debugowania:
Na maszynie wirtualnej zmodyfikuj plik /opt/sapcon/[SID]/systemconfig.ini .
Zdefiniuj sekcję Ogólne , jeśli nie została ona wcześniej zdefiniowana. W tej sekcji zdefiniuj wartość
logging_debug = True
.Na przykład:
[General] logging_debug = True
Zapisz plik.
Zmiana zostanie w życie dwie minuty po zapisaniu pliku. Nie musisz ponownie uruchamiać kontenera platformy Docker.
Wyłącz drukowanie w trybie debugowania:
Na maszynie wirtualnej zmodyfikuj plik /opt/sapcon/[SID]/systemconfig.ini .
W sekcji Ogólne zdefiniuj wartość
logging_debug = False
.Na przykład:
[General] logging_debug = False
Zapisz plik.
Zmiana zostanie w życie dwie minuty po zapisaniu pliku. Nie musisz ponownie uruchamiać kontenera platformy Docker.
Wyświetlanie wszystkich dzienników wykonywania kontenera
Połączenie dzienniki wykonywania rozwiązania Microsoft Sentinel dla wdrożenia łącznika danych aplikacji SAP® są przechowywane na maszynie wirtualnej w katalogu /opt/sapcon/[SID]/log/. Nazwa pliku dziennika jest OmniLog.log. Historia plików dziennika jest przechowywana z sufiksem .[ liczba] takich jak OmniLog.log.1, OmniLog.log.2 itp.
Przejrzyj i zaktualizuj konfigurację łącznika danych sap sentinel
Jeśli chcesz sprawdzić plik konfiguracji łącznika danych SAP w usłudze Microsoft Sentinel i wprowadzić aktualizacje ręczne, wykonaj następujące kroki:
Na maszynie wirtualnej otwórz plik konfiguracji:
- sapcon/[SID]/systemconfig.json dla wersji agenta wydanych 22 czerwca 2023 r.
- sapcon/[SID]/systemconfig.ini dla wersji agenta wydanych przed 22 czerwca 2023 r.
Zaktualizuj konfigurację w razie potrzeby i zapisz plik.
Zmiana zostanie w życie dwie minuty po zapisaniu pliku. Nie musisz ponownie uruchamiać kontenera platformy Docker.
Resetowanie łącznika danych rozwiązania Microsoft Sentinel dla oprogramowania SAP
Poniższe kroki umożliwiają zresetowanie łącznika i ponowne pozyskiwanie dzienników SAP z ostatnich 30 minut.
Zatrzymaj łącznik. Uruchom:
docker stop sapcon-[SID]
Usuń plik metadata.db z katalogu /opt/sapcon/[SID]. Uruchom:
cd /opt/sapcon/<SID> rm metadata.db
Uwaga
Plik metadata.db zawiera znacznik czasu ostatniego dla każdego z dzienników i działa w celu zapobiegania duplikowaniu.
Uruchom ponownie łącznik. Uruchom:
docker start sapcon-[SID]
Pamiętaj, aby przejrzeć dzienniki systemowe po zakończeniu.
Brak pól adresu IP lub kodu transakcji w dzienniku inspekcji SAP
To rozwiązanie umożliwia systemom SAP z wersjami oprogramowania SAP BASIS 7.5 z dodatkiem SP12 lub nowszym, aby odzwierciedlić dodatkowe pola w ABAPAuditLog_CL
tabelach i SAPAuditLog
.
Jeśli używasz wersji SAP BASIS wyższej niż 7.5 z dodatkiem SP12 i brakuje pól adresu IP lub kodu transakcji w dzienniku inspekcji SAP, sprawdź, czy system SAP, z którego wyodrębniasz dane, zawiera odpowiednie żądania zmiany (transporty). Aby dowiedzieć się więcej, zapoznaj się z sekcją Pobieranie dodatkowych informacji z oprogramowania SAP w wymaganiach wstępnych.
W dzienniku danych tabeli SAP nie są wyświetlane żadne dane
To rozwiązanie umożliwia systemom SAP z wersjami oprogramowania SAP BASIS 7.5 z dodatkiem SP12 lub nowszym w celu odzwierciedlenia ABAPTableDataLog_CL
zmian dziennika danych tabeli w tabeli.
Jeśli w tabeli nie są wyświetlane ABAPTableDataLog_CL
żadne dane, sprawdź, czy system SAP, z którego wyodrębniasz dane, zawiera odpowiednie żądania zmiany (transporty). Aby dowiedzieć się więcej, zapoznaj się z sekcją Pobieranie dodatkowych informacji z oprogramowania SAP w wymaganiach wstępnych.
Typowe problemy
Po wdrożeniu zarówno usługi Microsoft Sentinel dla łącznika danych SAP, jak i zawartości zabezpieczeń, mogą wystąpić następujące błędy lub problemy:
Uszkodzony lub brakujący plik zestawu SAP SDK
Ten błąd może wystąpić, gdy nie można uruchomić łącznika za pomocą narzędzia PyRfc lub są wyświetlane komunikaty o błędach związane z plikiem zip.
- Zainstaluj ponownie zestaw SAP SDK.
- Sprawdź, czy jesteś poprawną wersją 64-bitową systemu Linux. Od bieżącej daty nazwa pliku wydania to: nwrfc750P_8-70002752.zip.
Jeśli łącznik danych został zainstalowany ręcznie, upewnij się, że plik zestawu SDK został skopiowany do kontenera platformy Docker.
Uruchom:
Docker cp SDK by running docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/
Błędy środowiska uruchomieniowego ABAP są wyświetlane w dużym systemie
Jeśli w dużych systemach występują błędy czasu wykonywania abAP, spróbuj ustawić mniejszy rozmiar fragmentu:
Edytuj plik /opt/sapcon/[SID]/systemconfig.ini, a w sekcji konfiguracja Połączenie or zdefiniuj wartość
timechunk = 5
.Na przykład:
[Connector Configuration] timechunk = 5
zapisz plik.
Zmiana zostanie w życie dwie minuty po zapisaniu pliku. Nie musisz ponownie uruchamiać kontenera platformy Docker.
Uwaga
Rozmiar fragmentu czasu jest definiowany w minutach.
Pusty lub brak pobranego dziennika inspekcji bez specjalnych komunikatów o błędach
- Sprawdź, czy rejestrowanie inspekcji jest włączone w oprogramowaniu SAP.
- Sprawdź transakcje SM19 lub RSAU_CONFIG .
- Włącz wszystkie zdarzenia zgodnie z potrzebami.
- Sprawdź, czy komunikaty docierają i istnieją w programie SAP SM20 lub RSAU_READ_LOG, bez żadnych specjalnych błędów występujących w dzienniku łącznika.
Nieprawidłowy identyfikator lub klucz obszaru roboczego usługi Microsoft Sentinel
Jeśli zdajesz sobie sprawę, że w skrypce wdrożenia wprowadzono nieprawidłowy identyfikator obszaru roboczego lub klucz, zaktualizuj poświadczenia przechowywane w usłudze Azure Key Vault.
Po zweryfikowaniu poświadczeń w usłudze Azure KeyVault uruchom ponownie kontener:
docker restart sapcon-[SID]
Nieprawidłowe poświadczenia użytkownika protokołu SAP ABAP w stałej konfiguracji
Stała konfiguracja polega na tym, że hasło jest przechowywane bezpośrednio w pliku konfiguracji systemconfig.ini .
Jeśli poświadczenia są nieprawidłowe, sprawdź swoje poświadczenia.
Użyj szyfrowania base64, aby zaszyfrować użytkownika i hasło. Możesz użyć narzędzi szyfrowania online do szyfrowania poświadczeń, takich jak https://www.base64encode.org/.
Nieprawidłowe poświadczenia użytkownika protokołu SAP ABAP w magazynie kluczy
Sprawdź poświadczenia i popraw je zgodnie z potrzebami, stosując poprawne wartości do wartości ABAPUSER i ABAPPASS w usłudze Azure Key Vault.
Następnie uruchom ponownie kontener:
docker restart sapcon-[SID]
Brakujące uprawnienia ABAP (użytkownik SAP)
Jeśli zostanie wyświetlony komunikat o błędzie podobny do: .. Brak autoryzacji RFC zaplecza. Autoryzacje i rola SAP nie zostały prawidłowo zastosowane.
Upewnij się, że rola MSFTSEN/SENTINEL_CONNECTOR została zaimportowana w ramach transportu żądania zmiany i zastosowana do użytkownika łącznika.
Uruchom proces generowania ról i porównania użytkowników przy użyciu transakcji SAP PFCG.
Brak danych w skoroszytach lub alertach
Jeśli okaże się, że brakuje danych w skoroszytach lub alertach usługi Microsoft Sentinel, upewnij się, że zasady dziennika inspekcji są prawidłowo włączone po stronie systemu SAP bez błędów w pliku dziennika.
W tym kroku użyj transakcji RSAU_CONFIG_LOG.
Brak żądania zmiany sap
Jeśli widzisz błędy, których brakuje wymaganego żądania zmiany SAP, upewnij się, że zaimportowano poprawne żądanie zmiany sap dla systemu.
Aby uzyskać więcej informacji, zobacz ValidateSAP environment validation steps (Kroki weryfikacji środowiska ValidateSAP).
Brak rekordów /późnych rekordów
Agent opiera się na informacjach o strefie czasowej, aby być poprawne. Jeśli widzisz, że w dziennikach inspekcji i zmian sap nie ma żadnych rekordów lub jeśli rekordy są stale za kilka godzin, sprawdź, czy raport SAP TZCUSTHELP przedstawia błędy. Aby uzyskać więcej informacji, postępuj zgodnie z informacjami dotyczącymi oprogramowania SAP 481835 . Ponadto na maszynie wirtualnej mogą występować problemy z zegarem, na którym jest hostowane rozwiązanie Microsoft Sentinel dla agenta aplikacji SAP®. Każde odchylenie zegara maszyny wirtualnej z czasu UTC będzie miało wpływ na zbieranie danych. Co ważniejsze, zegar maszyny wirtualnej SAP i zegar maszyny wirtualnej agenta usługi Sentinel powinny być zgodne.
Problemy z łącznością sieciową
Jeśli masz problemy z łącznością sieciową ze środowiskiem SAP lub z usługą Microsoft Sentinel, sprawdź łączność sieciową, aby upewnić się, że dane przepływają zgodnie z oczekiwaniami.
Typowe problemy są następujące:
Zapory między kontenerem platformy Docker i hostami SAP mogą blokować ruch. Host SAP odbiera komunikację za pośrednictwem następujących portów TCP, które muszą być otwarte: 32xx, 5xx13 i 33xx, gdzie xx jest numerem wystąpienia SAP.
Komunikacja wychodząca z hosta SAP do usługi Microsoft Container Registry lub platformy Azure wymaga konfiguracji serwera proxy. Zwykle ma to wpływ na instalację i wymaga skonfigurowania
HTTP_PROXY
zmiennych środowiskowych iHTTPS_PROXY
. Zmienne środowiskowe można również pozyskiwać do kontenera platformy Docker podczas tworzenia kontenera, dodając flagę-e
do polecenia platformy Dockercreate
/run
.
Inne nieoczekiwane problemy
Jeśli masz nieoczekiwane problemy, które nie zostały wymienione w tym artykule, spróbuj wykonać następujące czynności:
- Resetowanie łącznika i ponowne ładowanie dzienników
- Uaktualnij łącznik do najnowszej wersji.
Napiwek
Zresetowanie łącznika i upewnienie się, że masz najnowsze uaktualnienia, są również zalecane po wszelkich poważnych zmianach konfiguracji.
Pobieranie dziennika inspekcji kończy się niepowodzeniem z ostrzeżeniami
Jeśli spróbujesz pobrać dziennik inspekcji, bez wymaganego żądania zmiany wdrożonego lub w starszej/niezaznaczonej wersji, a proces zakończy się niepowodzeniem z ostrzeżeniami, sprawdź, czy dziennik inspekcji SAP można pobrać przy użyciu jednej z następujących metod:
- Korzystanie z trybu zgodności o nazwie XAL w starszych wersjach
- Używanie wersji, która nie została ostatnio poprawiona
- Bez zainstalowanego wymaganego żądania zmiany
W razie potrzeby system powinien automatycznie przełączać się do trybu zgodności, ale może być konieczne ręczne przełączenie go. Aby ręcznie przełączyć się do trybu zgodności:
Edytowanie pliku /opt/sapcon/[SID]/systemconfig.ini
W sekcji konfiguracja Połączenie or defineefine:
auditlogforcexal = True
Na przykład:
[Connector Configuration] auditlogforcexal = True
zapisz plik.
Zmiana zostanie w życie dwie minuty po zapisaniu pliku. Nie musisz ponownie uruchamiać kontenera platformy Docker.
Podsystemy SAPCONTROL lub JAVA nie mogą nawiązać połączenia
Sprawdź, czy użytkownik systemu operacyjnego jest prawidłowy i może uruchomić następujące polecenie w docelowym systemie SAP:
sapcontrol -nr <SID> -function GetSystemInstanceList
Podsystem SAPCONTROL lub JAVA kończy się niepowodzeniem z komunikatem o błędzie związanym z strefą czasową
Jeśli podsystem SAPCONTROL lub JAVA zakończy się niepowodzeniem z komunikatem o błędzie związanym z strefą czasową, na przykład: Sprawdź konfigurację i dostęp sieciowy do serwera SAP — "Etc/NZST", upewnij się, że używasz standardowych kodów strefy czasowej.
Użyj na przykład nazwy javatz = GMT+12
lub abaptz = GMT-3**
.
Nie można zaimportować transportu żądania zmiany do systemu SAP
Jeśli nie możesz zaimportować wymaganych żądań zmiany dziennika SAP i występuje błąd dotyczący nieprawidłowej wersji składnika, dodaj ignore invalid component version
podczas importowania żądania zmiany.
Dane dziennika inspekcji, które nie zostały pozyskane podczas początkowego ładowania
Jeśli dane dziennika inspekcji SAP widoczne w transakcjach RSAU_READ_LOAD lub SM200 nie są pozyskiwane do usługi Microsoft Sentinel po początkowym obciążeniu, może wystąpić błędna konfiguracja systemu SAP i systemu operacyjnego hosta SAP.
- Początkowe obciążenia są pozyskiwane po nowej instalacji usługi Microsoft Sentinel dla łącznika danych SAP lub po usunięciu pliku metadata.db .
- Przykładowa błędna konfiguracja może być wtedy, gdy strefa czasowa systemu SAP jest ustawiona na CET w transakcji STZAC , ale strefa czasowa systemu operacyjnego hosta SAP jest ustawiona na UTC.
Aby sprawdzić błędy konfiguracji, uruchom raport RSDBTIME w transakcji SE38. Jeśli znajdziesz niezgodność między systemem SAP i systemem operacyjnym hosta SAP:
Zatrzymaj kontener platformy Docker. Uruchom
docker stop sapcon-[SID]
Usuń plik metadata.db z katalogu /opt/sapcon/[SID]. Uruchom:
rm /opt/sapcon/[SID]/metadata.db
Zaktualizuj system SAP i system operacyjny hosta SAP, aby mieć zgodne ustawienia, takie jak ta sama strefa czasowa. Aby uzyskać więcej informacji, zobacz witrynę SAP Community Wiki.
Uruchom ponownie kontener. Uruchom:
docker start sapcon-[SID]
Brak pól adresu IP lub kodu transakcji w dzienniku inspekcji SAP
To rozwiązanie umożliwia systemom SAP z wersjami oprogramowania SAP BASIS 7.5 z dodatkiem SP12 lub nowszym, aby odzwierciedlić dodatkowe pola w tabelach ABAPAuditLog_CL i SAPAuditLog. Jeśli używasz wersji SAP BASIS wyższej niż 7.5 SP12 i brakuje pól adresu IP lub kodu transakcji w dzienniku inspekcji SAP, sprawdź, czy system SAP, z którego wyodrębniasz dane, zawiera odpowiednie żądania zmian (transporty). Aby uzyskać więcej informacji, zobacz Pobieranie dodatkowych informacji z oprogramowania SAP (opcjonalnie ).
W dzienniku danych tabeli SAP nie są wyświetlane żadne dane
To rozwiązanie umożliwia systemom SAP z wersjami oprogramowania SAP BASIS 7.5 z dodatkiem SP12 lub nowszym w celu odzwierciedlenia zmian dziennika danych tabeli w tabeli ABAPTableDataLog_CL. Jeśli w ABAPTableDataLog_CL nie są wyświetlane żadne dane, sprawdź, czy system SAP, z którego wyodrębniasz dane, zawiera odpowiednie żądania zmiany (transporty). Aby uzyskać więcej informacji, zobacz Pobieranie dodatkowych informacji z oprogramowania SAP (opcjonalnie ).
Następne kroki
Dowiedz się więcej o rozwiązaniu Microsoft Sentinel dla aplikacji SAP®:
- Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP®
- Wymagania wstępne dotyczące wdrażania rozwiązania Microsoft Sentinel dla aplikacji SAP®
- Wdrażanie żądań zmian (CRS) sap i konfigurowanie autoryzacji
- Wdrażanie zawartości rozwiązania z centrum zawartości
- Wdrażanie i konfigurowanie kontenera hostowania agenta łącznika danych SAP
- Wdrażanie usługi Microsoft Sentinel dla łącznika danych SAP za pomocą protokołu SNC
- Włączanie i konfigurowanie inspekcji sap
- Zbieranie dzienników inspekcji oprogramowania SAP HANA
Pliki referencyjne:
- Dokumentacja danych rozwiązania microsoft Sentinel dla aplikacji SAP®
- Rozwiązanie Usługi Microsoft Sentinel dla rozwiązań SAP® Applications: dokumentacja zawartości zabezpieczeń
- Dokumentacja skryptu Kickstart
- Aktualizowanie odwołania do skryptu
- dokumentacja pliku Systemconfig.ini
Aby uzyskać więcej informacji, zobacz Rozwiązania usługi Microsoft Sentinel.