Solução de problemas da implantação da solução Microsoft Sentinel para aplicativos SAP®
Comandos úteis do Docker
Ao solucionar problemas do conector de dados do Microsoft Sentinel for SAP, você pode achar úteis os seguintes comandos:
| Function | Comando |
|---|---|
| Pare o contêiner do Docker | docker stop sapcon-[SID] |
| Iniciar o contêiner do Docker | docker start sapcon-[SID] |
| Exibir logs do sistema Docker | docker logs -f sapcon-[SID] |
| Insira o contêiner do Docker | docker exec -it sapcon-[SID] bash |
Para obter mais informações, consulte a documentação da CLI do Docker.
Revisar logs do sistema
É altamente recomendável que você revise os logs do sistema depois de instalar ou redefinir o conector de dados.
Executar:
docker logs -f sapcon-[SID]
Ativar/desativar a impressão no modo de depuração
Habilite a impressão no modo de depuração:
Na VM, edite o arquivo /opt/sapcon/[SID]/systemconfig.ini .
Defina a seção Geral se ela não tiver sido definida anteriormente. Nesta secção, defina
logging_debug = True.Por exemplo:
[General] logging_debug = TrueGuarde o ficheiro.
A alteração entra em vigor dois minutos depois de guardar o ficheiro. Não é necessário reiniciar o contêiner do Docker.
Desative a impressão no modo de depuração:
Na VM, edite o arquivo /opt/sapcon/[SID]/systemconfig.ini .
Na seção Geral, defina
logging_debug = False.Por exemplo:
[General] logging_debug = FalseGuarde o ficheiro.
A alteração entra em vigor dois minutos depois de guardar o ficheiro. Não é necessário reiniciar o contêiner do Docker.
Exibir todos os logs de execução de contêiner
Os logs de execução do conector para a implantação do conector de dados da solução Microsoft Sentinel para aplicativos SAP® são armazenados na VM em /opt/sapcon/[SID]/log/. O nome do arquivo de log é OmniLog.log. Um histórico de arquivos de log é mantido, sufixo com .[ número] como OmniLog.log.1, OmniLog.log.2 etc
Revise e atualize a configuração do conector de dados do Microsoft Sentinel for SAP
Se desejar verificar o arquivo de configuração do conector de dados do Microsoft Sentinel for SAP e fazer atualizações manuais, execute as seguintes etapas:
Na VM, abra o arquivo de configuração:
- sapcon/[SID]/systemconfig.json para versões de agente lançadas em ou após 22 de junho de 2023.
- sapcon/[SID]/systemconfig.ini para versões de agente lançadas antes de 22 de junho de 2023.
Atualize a configuração, se necessário, e salve o arquivo.
A alteração entra em vigor dois minutos depois de guardar o ficheiro. Não é necessário reiniciar o contêiner do Docker.
Redefinir o conector de dados do Microsoft Sentinel for SAP
As etapas a seguir redefinem o conector e reiniciam os logs SAP dos últimos 30 minutos.
Pare o conector. Executar:
docker stop sapcon-[SID]Exclua o arquivo metadata.db do diretório /opt/sapcon/[SID ]. Executar:
cd /opt/sapcon/<SID> rm metadata.dbNota
O arquivo metadata.db contém o último carimbo de data/hora para cada um dos logs e funciona para evitar duplicação.
Inicie o conector novamente. Executar:
docker start sapcon-[SID]
Certifique-se de revisar os logs do sistema quando terminar.
Endereço IP ou campos de código de transação ausentes no log de auditoria do SAP
Esta solução permite que os sistemas SAP com versões para SAP BASIS 7.5 SP12 e superiores reflitam campos adicionais nas ABAPAuditLog_CL tabelas e SAPAuditLog .
Se você estiver usando versões do SAP BASIS superiores a 7.5 SP12 e campos de endereço IP ou código de transação ausentes no log de auditoria do SAP, verifique se o sistema SAP do qual você está extraindo os dados contém as solicitações de alteração (transportes) relevantes. Para saber mais, consulte a seção Recuperar informações adicionais do SAP nos pré-requisitos.
Nenhum dado é exibido no log de dados da tabela SAP
Esta solução permite que os sistemas SAP com versões para SAP BASIS 7.5 SP12 e superiores reflitam as alterações no log de dados da ABAPTableDataLog_CL tabela na tabela.
Se nenhum dado estiver sendo exibido na tabela, verifique se o ABAPTableDataLog_CL sistema SAP do qual você está extraindo os dados contém as solicitações de alteração (transportes) relevantes. Para saber mais, consulte a seção Recuperar informações adicionais do SAP nos pré-requisitos.
Problemas comuns
Depois de ter implantado o conector de dados do Microsoft Sentinel for SAP e o conteúdo de segurança, você pode enfrentar os seguintes erros ou problemas:
Arquivo SAP SDK corrompido ou ausente
Este erro pode ocorrer quando o conector falha ao inicializar com PyRfc, ou mensagens de erro relacionadas ao zip são mostradas.
- Reinstale o SAP SDK.
- Verifique se você é a versão correta do Linux de 64 bits. A partir da data atual, o nome do arquivo de lançamento é: nwrfc750P_8-70002752.zip.
Se você tiver instalado o conector de dados manualmente, certifique-se de ter copiado o arquivo SDK para o contêiner do Docker.
Executar:
Docker cp SDK by running docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/
Erros de tempo de execução ABAP aparecem em um sistema grande
Se erros de tempo de execução ABAP aparecerem em sistemas grandes, tente definir um tamanho de bloco menor:
Edite o arquivo /opt/sapcon/[SID]/systemconfig.ini e, na seção Configuração do conector, defina
timechunk = 5.Por exemplo:
[Connector Configuration] timechunk = 5Salve o arquivo.
A alteração entra em vigor dois minutos depois de guardar o ficheiro. Não é necessário reiniciar o contêiner do Docker.
Nota
O tamanho do timechunk é definido em minutos.
Log de auditoria vazio ou sem recuperação de nenhum log, sem mensagens de erro especiais
- Verifique se o log de auditoria está ativado no SAP.
- Verifique as transações SM19 ou RSAU_CONFIG .
- Habilite todos os eventos conforme necessário.
- Verifique se as mensagens chegam e existem no SAP SM20 ou RSAU_READ_LOG, sem erros especiais aparecendo no log do conector.
ID ou chave incorreta do espaço de trabalho do Microsoft Sentinel
Se você perceber que inseriu uma ID ou chave de espaço de trabalho incorreta em seu script de implantação, atualize as credenciais armazenadas no cofre de chaves do Azure.
Depois de verificar suas credenciais no Azure KeyVault, reinicie o contêiner:
docker restart sapcon-[SID]
Credenciais de usuário SAP ABAP incorretas em uma configuração fixa
Uma configuração fixa é quando a senha é armazenada diretamente no arquivo de configuração systemconfig.ini .
Se suas credenciais estiverem incorretas, verifique suas credenciais.
Use a criptografia base64 para criptografar o usuário e a senha. Você pode usar ferramentas de criptografia online para criptografar suas credenciais, como https://www.base64encode.org/.
Credenciais de usuário SAP ABAP incorretas no cofre de chaves
Verifique suas credenciais e corrija-as conforme necessário, aplicando os valores corretos aos valores ABAPUSER e ABAPPASS no Azure Key Vault.
Em seguida, reinicie o contêiner:
docker restart sapcon-[SID]
Permissões ABAP (usuário SAP) ausentes
Se você receber uma mensagem de erro semelhante a: .. Autorização RFC de back-end ausente.., suas autorizações SAP e função não foram aplicadas corretamente.
Verifique se a função MSFTSEN/SENTINEL_CONNECTOR foi importada como parte de um transporte de solicitação de alteração e aplicada ao usuário do conector.
Execute o processo de geração de funções e comparação de usuários usando a transação SAP PFCG.
Dados em falta nos seus livros ou alertas
Se você achar que está faltando dados em suas pastas de trabalho ou alertas do Microsoft Sentinel, verifique se a política Auditlog está habilitada corretamente no lado do SAP, sem erros no arquivo de log.
Use a transação RSAU_CONFIG_LOG para esta etapa.
Solicitação de alteração do SAP ausente
Se você vir erros que estão faltando uma solicitação de alteração SAP necessária, certifique-se de ter importado a solicitação de alteração SAP correta para o seu sistema.
Para obter mais informações, consulte ValidateSAP environment validation steps.
Sem registos / registos tardios
O agente confia nas informações de fuso horário para estar correto. Se você vir que não há registros nos logs de auditoria e alteração do SAP, ou se os registros estão constantemente algumas horas atrasados, verifique se o relatório SAP TZCUSTHELP apresenta erros. Siga a nota 481835 da SAP para obter mais detalhes. Além disso, pode haver problemas com o relógio na VM onde o agente da solução Microsoft Sentinel para aplicativos SAP® está hospedado. Qualquer desvio do relógio da VM em relação ao UTC afetará a coleta de dados. Mais importante ainda, o relógio da VM SAP e o relógio da VM do agente Sentinel devem corresponder.
Problemas de conectividade de rede
Se você estiver tendo problemas de conectividade de rede com o ambiente SAP ou com o Microsoft Sentinel, verifique a conectividade de rede para garantir que os dados estejam fluindo conforme o esperado.
Problemas comuns:
Firewalls entre o contêiner docker e os hosts SAP podem estar bloqueando o tráfego. O host SAP recebe comunicação através das seguintes portas TCP, que devem estar abertas: 32xx, 5xx13 e 33xx, onde xx é o número da instância SAP.
A comunicação de saída do host SAP para o Microsoft Container Registry ou o Azure requer configuração de proxy. Isso normalmente afeta a instalação e exige que você configure as
HTTP_PROXYvariáveis eHTTPS_PROXYambientais. Você também pode ingerir variáveis de ambiente no contêiner do docker ao criar o contêiner, adicionando o sinalizador-eao comando dockercreate/run.
Outros problemas inesperados
Se você tiver problemas inesperados não listados neste artigo, tente as seguintes etapas:
- Redefina o conector e recarregue seus logs
- Atualize o conector para a versão mais recente.
Gorjeta
Redefinir o conector e garantir que você tenha as atualizações mais recentes também são recomendados após quaisquer alterações importantes na configuração.
A recuperação de um log de auditoria falha com avisos
Se você tentar recuperar um log de auditoria, sem a solicitação de alteração necessária implantada ou em uma versão mais antiga/sem patch, e o processo falhar com avisos, verifique se o SAP Auditlog pode ser recuperado usando um dos seguintes métodos:
- Usando um modo de compatibilidade chamado XAL em versões mais antigas
- Usando uma versão não corrigida recentemente
- Sem a solicitação de alteração necessária instalada
Embora o seu sistema deva mudar automaticamente para o modo de compatibilidade, se necessário, poderá ter de o mudar manualmente. Para alternar para o modo de compatibilidade manualmente:
Edite o arquivo /opt/sapcon/[SID]/systemconfig.ini
Na seção Configuração do conector, defina:
auditlogforcexal = TruePor exemplo:
[Connector Configuration] auditlogforcexal = TrueSalve o arquivo.
A alteração entra em vigor dois minutos depois de guardar o ficheiro. Não é necessário reiniciar o contêiner do Docker.
Os subsistemas SAPCONTROL ou JAVA não conseguem se conectar
Verifique se o usuário do sistema operacional é válido e pode executar o seguinte comando no sistema SAP de destino:
sapcontrol -nr <SID> -function GetSystemInstanceList
O subsistema SAPCONTROL ou JAVA falha com mensagem de erro relacionada ao fuso horário
Se o seu subsistema SAPCONTROL ou JAVA falhar com uma mensagem de erro relacionada ao fuso horário, como: Verifique a configuração e o acesso à rede para o servidor SAP - 'Etc/NZST', certifique-se de que você está usando códigos de fuso horário padrão.
Por exemplo, utilize javatz = GMT+12 ou abaptz = GMT-3**.
Não é possível importar os transportes de solicitação de alteração para o SAP
Se você não conseguir importar as solicitações de alteração de log do SAP necessárias e estiver recebendo um erro sobre uma versão inválida do componente, adicione ignore invalid component version quando importar a solicitação de alteração.
Dados de log de auditoria não ingeridos após a carga inicial
Se os dados do log de auditoria do SAP, visíveis nas transações RSAU_READ_LOAD ou SM200 , não forem ingeridos no Microsoft Sentinel após a carga inicial, você pode ter uma configuração incorreta do sistema SAP e do sistema operacional host SAP.
- As cargas iniciais são ingeridas após uma nova instalação do conector de dados do Microsoft Sentinel for SAP ou após a exclusão do arquivo metadata.db .
- Um exemplo de configuração incorreta pode ser quando o fuso horário do sistema SAP está definido como CET na transação STZAC, mas o fuso horário do sistema operacional host SAP está definido como UTC.
Para verificar se há configurações incorretas, execute o relatório RSDBTIME na transação SE38. Se você encontrar uma incompatibilidade entre o sistema SAP e o sistema operacional host SAP:
Pare o contentor do Docker. Executar
docker stop sapcon-[SID]Exclua o arquivo metadata.db do diretório /opt/sapcon/[SID ]. Executar:
rm /opt/sapcon/[SID]/metadata.dbAtualize o sistema SAP e o sistema operacional host SAP para ter configurações correspondentes, como o mesmo fuso horário. Para obter mais informações, consulte o SAP Community Wiki.
Inicie o recipiente novamente. Executar:
docker start sapcon-[SID]
Endereço IP ou campos de código de transação ausentes no log de auditoria do SAP
Esta solução permite que os sistemas SAP com versões para SAP BASIS 7.5 SP12 e superiores reflitam campos adicionais nas tabelas ABAPAuditLog_CL e SAPAuditLog. Se você estiver usando versões do SAP BASIS superiores a 7.5 SP12 e campos de endereço IP ou código de transação ausentes no log de auditoria do SAP, verifique se o sistema SAP do qual você está extraindo os dados contém as solicitações de alteração (transportes) relevantes. Consulte Recuperar informações adicionais do SAP (opcional) para obter mais detalhes.
Nenhum dado é exibido no log de dados da tabela SAP
Esta solução permite que os sistemas SAP com versões para SAP BASIS 7.5 SP12 e superiores reflitam as alterações no log de dados da tabela na tabela ABAPTableDataLog_CL. Se nenhum dado estiver sendo exibido no ABAPTableDataLog_CL, verifique se o sistema SAP do qual você está extraindo os dados contém as solicitações de alteração (transportes) relevantes. Consulte Recuperar informações adicionais do SAP (opcional) para obter mais detalhes.
Próximos passos
Saiba mais sobre a solução Microsoft Sentinel para aplicativos SAP®:
- Implantar a solução Microsoft Sentinel para aplicativos SAP®
- Pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP®
- Implantar solicitações de alteração (CRs) SAP e configurar a autorização
- Implantar o conteúdo da solução a partir do hub de conteúdo
- Implantar e configurar o contêiner que hospeda o agente do conector de dados SAP
- Implantar o conector de dados do Microsoft Sentinel for SAP com SNC
- Habilitar e configurar a auditoria SAP
- Coletar logs de auditoria do SAP HANA
Ficheiros de referência:
- Referência de dados da solução Microsoft Sentinel para aplicativos SAP®
- Solução Microsoft Sentinel para aplicativos SAP®: referência de conteúdo de segurança
- Referência de script do Kickstart
- Referência de script de atualização
- Systemconfig.ini referência de arquivo
Para obter mais informações, consulte Soluções do Microsoft Sentinel.