Solução de problemas de implantação dos aplicativos da Solução do Microsoft Sentinel para SAP®

  • Artigo

Comandos úteis do Docker

Ao solucionar problemas do conector de dados do Microsoft Sentinel para SAP, os seguintes comandos podem ser úteis:

Função Comando
Detenha o contêiner do Docker docker stop sapcon-[SID]
Iniciar o contêiner do Docker docker start sapcon-[SID]
Exibir os logs de sistema do Docker docker logs -f sapcon-[SID]
Inserir o contêiner do Docker docker exec -it sapcon-[SID] bash

Para obter mais informações, confira a documentação da CLI do Docker.

Examinar logs do sistema

É altamente recomendável que você examine os logs do sistema depois de instalar ou redefinir o conector de dados.

Execute:

docker logs -f sapcon-[SID]

Habilitar/desabilitar a impressão do modo de depuração

Habilitar impressão do modo de depuração:

  1. Na sua VM, edite o arquivo /opt/sapcon/[SID]/systemconfig.ini.

  2. Defina a seção Geral se ela não tiver sido definida anteriormente. Nesta seção, defina logging_debug = True.

    Por exemplo:

    [General]
logging_debug = True

  3. Salve o arquivo.

A alteração entra em vigor dois minutos depois que você salva o arquivo. Você não precisa reiniciar o contêiner do Docker.

Desabilitar impressão do modo de depuração:

  1. Na sua VM, edite o arquivo /opt/sapcon/[SID]/systemconfig.ini.

  2. Na seção Geral, defina logging_debug = False.

    Por exemplo:

    [General]
logging_debug = False

  3. Salve o arquivo.

A alteração entra em vigor dois minutos depois que você salva o arquivo. Você não precisa reiniciar o contêiner do Docker.

Exibir todos os logs de execução de contêiner

Os logs de execução do conector para a implantação do conector de dados dos aplicativos da solução Microsoft Sentinel para SAP® são armazenados em sua máquina virtual em /opt/sapcon/[SID]/log/. O nome do arquivo de log é OmniLog.log. Um histórico de arquivos de log é mantido com o sufixo .[ número], tais como OmniLog.log.1, OmniLog.log.2 etc.

Revisar e atualizar a configuração do conector de dados do Microsoft Sentinel para SAP

Para verificar o arquivo de configuração do conector de dados do Microsoft Sentinel para SAP e fazer atualizações manuais, siga estas etapas:

  1. Na VM, abra o arquivo de configuração:

    • sapcon/[SID]/systemconfig.json para versões do agente lançadas em 22 de junho de 2023 ou após essa data.
    • sapcon/[SID]/systemconfig.ini para versões do agente lançadas antes de 22 de junho de 2023.

  2. Atualize a configuração, se necessário, e salve o arquivo.

A alteração entra em vigor dois minutos depois que você salva o arquivo. Você não precisa reiniciar o contêiner do Docker.

Redefinir o conector de dados do Microsoft Sentinel para SAP

As etapas a seguir redefinem o conector e ingerem novamente os logs do SAP dos últimos 30 minutos.

  1. Pare o conector. Execute:

    docker stop sapcon-[SID]

  2. Exclua o arquivo metadata.db do diretório /opt/sapcon/[SID]. Execute:

    cd /opt/sapcon/<SID>
rm metadata.db

    Observação

    O arquivo metadata.db contém o carimbo de data/hora mais recente de cada log e tem a função de evitar duplicações.

  3. Inicie o conector novamente. Execute:

    docker start sapcon-[SID]

Lembre-se de Examinar os logs do sistema quando terminar.

Campos de endereço IP ou código de transação ausentes no registro de auditoria do SAP

Essa solução permite que os sistemas SAP com versões para SAP BASIS 7.5 SP12 e superiores reflitam campos adicionais nas tabelas ABAPAuditLog_CL e SAPAuditLog.

Se estiver usando versões do SAP BASIS superiores a 7.5 SP12 e faltarem campos de endereço IP ou código de transação no log de auditoria do SAP, verifique se o sistema SAP do qual você está extraindo os dados contém as solicitações de alteração relevantes (transportes). Para saber mais, examine a seção Recuperar informações adicionais do SAP nos pré-requisitos.

Nenhum dado é exibido no registro de dados da tabela SAP

Essa solução permite que os sistemas SAP com versões para SAP BASIS 7.5 SP12 e superiores reflitam as alterações do registro de dados da tabela na tabela ABAPTableDataLog_CL.

Se nenhum dado estiver sendo exibido na tabela ABAPTableDataLog_CL, verifique se o sistema SAP do qual você está extraindo os dados contém as solicitações de alteração relevantes (transportes). Para saber mais, examine a seção Recuperar informações adicionais do SAP nos pré-requisitos.

Problemas comuns

Depois de implantar o conector de dados do Microsoft Sentinel para SAP e o conteúdo de segurança, os seguintes erros ou problemas podem acontecer:

Arquivo do SDK do SAP ausente ou corrompido

Esse erro pode ocorrer quando o conector não inicializa com PyRfc ou quando mensagens de erro relacionadas ao zip são mostradas.

  1. Reinstale o SDK do SAP.
  2. Verifique se a sua versão de 64 bits do Linux está correta. A partir desta data, o nome de arquivo da versão é: nwrfc750P_8-70002752.zip.

Se você instalou o conector de dados manualmente, copie o arquivo do SDK no contêiner do Docker.

Execute:

Docker cp SDK by running docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

Erros de runtime do ABAP aparecem em um sistema grande

Se os erros de runtime do ABAP aparecerem em sistemas grandes, tente definir um tamanho de parte menor:

  1. Edite o arquivo /opt/sapcon/[SID]/systemconfig.ini e, na seção Configuração do conector, defina timechunk = 5.

    Por exemplo:

    [Connector Configuration]
timechunk = 5

  2. salve o arquivo.

A alteração entra em vigor dois minutos depois que você salva o arquivo. Você não precisa reiniciar o contêiner do Docker.

Observação

O tamanho do timechunk é definido em minutos.

Vazio ou nenhum log de auditoria recuperado, sem mensagens de erro especiais

  1. Verifique se o log de auditoria está habilitado no SAP.
  2. Verifique as transações SM19 ou RSAU_CONFIG.
  3. Habilite todos os eventos conforme necessário.
  4. Verifique se as mensagens chegam e existem no SAP SM20 ou RSAU_READ_LOG, sem erros especiais aparecendo no log do conector.

ID ou chave incorreta do espaço de trabalho do Microsoft Sentinel

Se você descobrir que inseriu uma chave ou ID de espaço de trabalho incorreta no seu script de implantação, atualize as credenciais armazenadas no cofre de chaves do Azure.

Depois de verificar as credenciais no Azure KeyVault, reinicie o contêiner:

docker restart sapcon-[SID]

Credenciais de usuário do SAP ABAP incorretas em uma configuração fixa

Uma configuração de correção é quando a senha é armazenada diretamente no arquivo de configuração systemconfig.ini.

Se as suas credenciais estiverem incorretas, verifique-as.

Use a criptografia de base 64 para criptografar o usuário e a senha. Você pode usar ferramentas de criptografia online para criptografar as credenciais, como https://www.base64encode.org/.

Credenciais de usuário do SAP ABAP incorretas no cofre de chaves

Verifique as credenciais e as corrija, conforme necessário, aplicando os valores corretos a ABAPUSER e ABAPPASS no Azure Key Vault.

Em seguida, reinicie o contêiner:

docker restart sapcon-[SID]

Permissões de ABAP (usuário SAP) ausentes

Se você obtiver uma mensagem de erro semelhante a: ...Autorização RFC de back-end ausente..., isso significa que as suas autorizações e a função SAP não foram aplicadas corretamente.

  1. Verifique se a função MSFTSEN/SENTINEL_CONNECTOR foi importada como parte de um transporte de solicitação de alteração e aplicada ao usuário do conector.

  2. Execute o processo de geração de função e comparação de usuários usando a transação SAP PFCG.

Dados ausentes em sua pasta de trabalho ou alertas

Se você achar que existem dados ausentes nos alertas e pastas de trabalho do Microsoft Sentinel, verifique se a política Auditlog está ativada corretamente no lado do SAP, sem erros no arquivo de log.

Use a transação RSAU_CONFIG_LOG para essa etapa.

Solicitação de alteração do SAP ausente

Caso você receba erros dizendo que uma solicitação de alteração do SAP está ausente, importe a solicitação de alteração do SAP correta no sistema.

Para obter mais informações, confira as etapas de validação do ambiente ValidateSAP.

Nenhum registro/registros atrasados

O agente depende das informações de fuso horário para estar correto. Se você vir que não há registros nos logs de auditoria e alteração do SAP ou se os registros estão constantemente algumas horas atrasados, verifique se o relatório SAP TZCUSTHELP apresenta erros. Siga nota SAP 481835 para obter mais detalhes. Além disso, pode haver problemas com o relógio na VM em que a solução do Microsoft Sentinel para o agente de aplicativos SAP® está hospedada. Qualquer desvio do relógio da VM de UTC afetará a coleta de dados. O mais importante é que o relógio da VM SAP e o relógio da VM do agente Sentinel devem corresponder.

Problemas de conectividade de rede

Se você estiver com problemas de conectividade de rede para acessar o ambiente SAP ou o Microsoft Sentinel, verifique a conectividade da rede para saber se dados estão fluindo conforme o esperado.

Entre os problemas comuns, há:

  • Firewalls entre o contêiner do docker e os hosts SAP podem estar bloqueando o tráfego. O host do SAP recebe comunicação por meio das portas TCP a seguir, que deverão estar abertas: 32xx, 5xx13 e 33xx, em que xx é o número da instância do SAP.

  • A comunicação de saída do host SAP para o Microsoft Container Registry ou o Azure requer configuração de proxy. Normalmente, isso afeta a instalação e exige que você configure as variáveis de ambiente HTTP_PROXY e HTTPS_PROXY. Você também pode ingerir variáveis de ambiente no contêiner do docker ao criar o contêiner adicionando o sinalizador -e ao comando create / run do docker.

Outros problemas inesperados

Se você tiver problemas inesperados não listados neste artigo, tente seguir as etapas abaixo:

Dica

Também recomendamos redefinir o conector e verificar se você tem as atualizações mais recentes após qualquer alteração de configuração importante.

Falha na recuperação de um log de auditoria com avisos

Se você tentar recuperar um log de auditoria, sem a solicitação de alteração necessária implantada ou em uma versão mais antiga/sem patch, e o processo falhar com avisos, verifique se o log de auditoria do SAP pode ser recuperado usando um dos seguintes métodos:

  • Usar o modo de compatibilidade chamado XAL em versões mais antigas
  • Usar uma versão não corrigida recentemente
  • Sem a solicitação de alteração necessária instalada

Embora o sistema deva alternar automaticamente para o modo de compatibilidade, se necessário, você pode precisar alterná-lo manualmente. Para alternar manualmente para o modo de compatibilidade:

  1. Edite o arquivo /opt/sapcon/[SID]/systemconfig.ini

  2. Na seção Configuração do conector, defina: auditlogforcexal = True

    Por exemplo:

    [Connector Configuration]
auditlogforcexal = True

  3. salve o arquivo.

A alteração entra em vigor dois minutos depois que você salva o arquivo. Você não precisa reiniciar o contêiner do Docker.

Subsistemas SAPCONTROL ou JAVA não conseguem se conectar

Verifique se o usuário do sistema operacional é válido e pode executar o seguinte comando no sistema SAP de destino:

sapcontrol -nr <SID> -function GetSystemInstanceList

Se o seu subsistema JAVA ou SAPCONTROL falhar com uma mensagem de erro relacionada ao fuso horário, como: Verifique a configuração e o acesso à rede para o servidor SAP - 'Etc/NZST' , use os códigos de fuso horário padrão.

Por exemplo, use javatz = GMT+12 ou abaptz = GMT-3**.

Não é possível importar os transportes de solicitação de alteração para o SAP

Se você não conseguir importar as solicitações de alteração de log SAP necessárias e estiver recebendo um erro sobre uma versão inválida do componente, adicione ignore invalid component version ao importar a solicitação de alteração.

Dados do log de auditoria não ingeridos após a carga inicial

Se os dados do log de auditoria do SAP, visíveis nas transações RSAU_READ_LOAD ou SM200, não forem ingeridos para o Microsoft Sentinel após a carga inicial, você poderá ter uma configuração inválida do sistema SAP e do sistema operacional de host do SAP.

  • As cargas iniciais são ingeridas após uma nova instalação do conector de dados do Microsoft Sentinel para SAP ou após a exclusão do arquivo metadata.db.
  • Uma configuração de exemplo pode ser quando o fuso horário do sistema SAP é definido como CET na transação STZAC, mas o fuso horário do sistema operacional de host do SAP é definido como UTC.

Para verificar se há configurações inválidas, execute o relatório RSDBTIME na transação SE38. Se você encontrar uma incompatibilidade entre o sistema SAP e o sistema operacional de host do SAP:

  1. Interrompa o contêiner do Docker. Executar

    docker stop sapcon-[SID]

  2. Exclua o arquivo metadata.db do diretório /opt/sapcon/[SID]. Execute:

    rm /opt/sapcon/[SID]/metadata.db

  3. Atualize o sistema SAP e o sistema operacional de host do SAP para ter as configurações correspondentes, como o mesmo fuso horário. Para obter mais informações, confira a Wiki da Comunidade SAP.

  4. Inicie o contêiner novamente. Correr:

    docker start sapcon-[SID]

Campos de endereço IP ou código de transação ausentes no registro de auditoria do SAP

Essa solução permite que os sistemas SAP com versões para SAP BASIS 7.5 SP12 e superiores reflitam campos adicionais nas tabelas ABAPAuditLog_CL e SAPAuditLog. Se estiver usando versões do SAP BASIS superiores a 7.5 SP12 e faltarem campos de endereço IP ou código de transação no log de auditoria do SAP, verifique se o sistema SAP do qual você está extraindo os dados contém as solicitações de alteração relevantes (transportes). Confira Recuperar informações adicionais do SAP (opcional) para obter mais detalhes.

Nenhum dado é exibido no registro de dados da tabela SAP

Essa solução permite que os sistemas SAP com versões para SAP BASIS 7.5 SP12 e superiores reflitam as alterações do registro de dados da tabela na tabela ABAPTableDataLog_CL. Se nenhum dado estiver sendo exibido na tabela ABAPTableDataLog_CL, verifique se o sistema SAP do qual você está extraindo os dados contém as solicitações de alteração relevantes (transportes). Confira Recuperar informações adicionais do SAP (opcional) para obter mais detalhes.

Próximas etapas

Saiba mais sobre as aplicações da Solução do Microsoft Sentinel para SAP®:

Arquivos de referência:

Para obter mais informações, confira Soluções do Microsoft Sentinel.