Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описываются журналы и таблицы, доступные в рамках решения Microsoft Sentinel для приложений SAP и его соединителя данных.
Некоторые журналы, указанные в этой статье, по умолчанию не отправляются в Microsoft Sentinel, но их можно добавить вручную по мере необходимости. Дополнительные сведения см. в разделе "Определение журналов SAP, отправляемых в Microsoft Sentinel"
Содержимое этой статьи предназначено для команд SAP BASIS .
Внимание
В настоящее время в предварительной версии доступны отмеченные функции. Дополнительные условия предварительной версии Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
Использование функций в запросах вместо базовых журналов или таблиц
Настоятельно рекомендуется использовать доступные функции в качестве субъектов их анализа, если это возможно, вместо базовых журналов или таблиц.
Функции , предоставляемые решением Microsoft Sentinel для приложений SAP, предназначены для использования в качестве основного пользовательского интерфейса для данных. Они формируют базу для всех встроенных правил аналитики и книг, доступных для вас. Использование функций позволяет вносить изменения в инфраструктуру данных под функциями без нарушения содержимого, созданного пользователем.
Дополнительные сведения см. в решении Microsoft Sentinel для приложений SAP — справочник по функциям и функциям в запросах журнала Azure Monitor.
Покрытие журналов
Решение Microsoft Sentinel для приложений SAP собирает журналы из приложений, ОС и слоев данных, обеспечивая комплексную защиту системы SAP:
Уровень приложений: Microsoft Sentinel отслеживает действия на уровне ABAP, который является основным уровнем приложений в системах SAP, ответственным за выполнение бизнес-логики и обработки транзакций. Например, Microsoft Sentinel собирает журналы, которые включают действия пользователя, такие как вход, изменения пароля и доступ к отчетам или файлам.
Помимо мониторинга безопасности журналы, собранные на уровне приложений, также можно использовать для обеспечения соответствия требованиям и аудита.
Уровень ОС: Microsoft Sentinel собирает журналы из операционной системы для предоставления аналитических сведений о действиях на уровне ОС, таких как с сервера ABAP и виртуальных машин, на которых работают приложения SAP.
Используйте решение Microsoft Sentinel для приложений SAP вместе с содержимым безопасности и соединителями данных для других служб для комплексного и централизованного мониторинга, коррелируя информацию во всех системах и повышая общую безопасность.
Уровень базы данных: прием журналов базы данных в Microsoft Sentinel для мониторинга действий базы данных, таких как действия администрирования базы данных и изменения табличных данных. Решение Microsoft Sentinel для приложений SAP не зависит от базы данных.
Все журналы, собранные агентом соединителя данных, хранятся сначала на компьютере агента сборщика данных в /opt/sapcon/<sid>/log папке в экземпляре контейнера. Затем журналы перенаправляются в рабочую область Log Analytics, где можно просматривать, проверять и запрашивать их из Microsoft Sentinel.
Журналы аудита собираются и обрабатываются каждую минуту, а другие журналы могут выполняться реже. Microsoft Sentinel также отслеживает пульс агента соединителя данных, чтобы убедиться, что журналы собираются и отправляются в рабочую область Log Analytics.
Журналы, собранные соединителем данных без агента
Следующие встроенные таблицы Log Analytics собираются соединителем без агента:
- ABAPAuditLog
- Детали авторизации ABAP
- ABAPChangeDocsLog (журнал изменений документов в ABAP)
- ДеталиПользователяABAP
Справочник по журналам для агента соединителя данных
В следующих разделах описываются журналы SAP, доступные из решения Microsoft Sentinel для соединителя данных приложений SAP, включая имена таблиц в Microsoft Sentinel, цели журнала и подробные схемы журналов.
Описания полей схемы основаны на описаниях полей в соответствующей документации ПО SAP.
- Журнал приложений ABAP
- Журнал изменений ABAP Change Documents
- Журнал ABAP CR
- Журнал данных таблицы ABAP DB (предварительная версия)
- Журнал шлюза ABAP (предварительная версия)
- Журнал ABAP ICM (предварительная версия)
- Журнал заданий ABAP
- Журнал аудита безопасности ABAP
- Журнал Spool ABAP
- Журнал выходных данных APAB Spool
- Системный журнал ABAP
- Журнал рабочего процесса ABAP
- Журнал ABAP WorkProcess
- HANA DB Audit Trail
- Java-файлы
- Журнал пульса SAP
Журнал ABAP-приложений
Функция Microsoft Sentinel для запроса к этому журналу: SAPAppLog
Связанная документация по SAP: портал справки SAP
Назначение журнала. Записывает ход выполнения приложения, чтобы его можно было восстановить позже по мере необходимости.
Доступно с помощью RFC на основе стандартной таблицы SAP и стандартных служб интерфейса XBP. Этот журнал создается по клиентам.
Этот журнал выполняется только с агентом соединителя данных.
Схема журнала ABAPAppLog_CL
| Поле | Описание |
|---|---|
| AppLogDateTime | Дата и время журнала приложений |
| CallbackProgram | Программа обратного вызова |
| CallbackRoutine | Подпрограмма обратного вызова |
| CallbackType | Тип обратного вызова |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| ContextDDIC | Структура контекста DDIC |
| Внешний ID | Идентификатор внешнего журнала |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | Серийный номер сообщения в журнале приложений |
| LevelofDetail | Уровень детализации |
| LogHandle | Дескриптор журнала приложений |
| LogNumber | Номер журнала |
| КлассСообщения (MessageClass) | Класс сообщения |
| MessageNumber | Номер сообщения |
| Текст сообщения | Текст сообщения |
| ТипСообщения | Тип сообщения |
| Объект | Объект журнала приложения |
| Режим работы | Режим работы |
| ProblemClass | Класс проблемы |
| ProgramName | Имя программы |
| SortCriterion | Критерий сортировки |
| StandardText | Стандартный текст |
| SubObject | Подобъект журнала приложения |
| SystemID | ИД системы |
| Системный номер | Номер системы |
| Код транзакции | Код транзакции |
| Пользователь | Пользователь |
| UserChange | Изменение пользователя |
Журнал документов изменений ABAP
Функция Microsoft Sentinel для запроса к этому журналу: SAPChangeDocsLog
Связанная документация по SAP: портал справки SAP
Назначение журнала: записи:
записанные в журнале ABAP сервера приложений (AS) SAP NetWeaver изменения в объектах бизнес-данных согласно документам изменений;
другие сущности в системе SAP, такие как данные пользователя, роли, адреса.
Доступно с помощью RFC на основе стандартных таблиц SAP. Этот журнал создается по клиентам.
Схема журнала ABAPChangeDocsLog_CL
| Поле | Описание |
|---|---|
| ActualChangeNum | Фактический номер изменения |
| ИзменённыйКлючТаблицы | Ключ измененной таблицы |
| ИзменитьНомер | Номер изменения |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| CreatedfromPlannedChange | Создано из запланированного изменения; синтаксис: (‘X’ , ‘ ‘) |
| КлючВалютыНовый | Ключ валюты: новое значение |
| CurrencyKeyOld | Ключ валюты: прежнее значение |
| Имя поля | Имя поля |
| Флаговый текст | Текст флага |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| Язык | Язык |
| ObjectClass | Класс объекта, например BELEG, BPAR, PFCG, IDENTITY |
| ИдентификаторОбъекта | Код объекта |
| PlannedChangeNum | Номер запланированного изменения |
| SystemID | ИД системы |
| Системный номер | Номер системы |
| ИмяТаблицы | Имя таблицы |
| Код транзакции | Код транзакции |
| TypeofChange_Header | Тип изменения заголовка, в том числе: U — изменение; I — вставка; E — удаление одного документа; D — удаление; J — вставка одного документа |
| TypeofChange_Item | Тип изменения элемента, в том числе: U — изменение; I — вставка; E — удаление одного документа; D — удаление; J — вставка одного документа |
| UOMNew | Единица измерения: новое значение |
| UOMOld | Единица измерения: прежнее значение |
| Пользователь | Пользователь |
| ValueNew | Содержимое поля: новое значение |
| ValueOld | Содержимое поля: прежнее значение |
| Версия | Версия |
Журнал CR ABAP
Функция Microsoft Sentinel для запроса к этому журналу: SAPCRLog
Связанная документация по SAP: портал справки SAP
Назначение журнала: включает журналы системы изменения и транспорта (CTS), включая объекты каталога и настройки, в которых были внесены изменения.
Доступно с помощью RFC на основе стандартных таблиц и стандартных служб SAP. Этот журнал создается с использованием данных по всем клиентам.
Примечание.
Помимо журнала приложений, документов изменений и записей в таблицах, все изменения, вносимые в рабочую систему с помощью системы регистрации и распространения изменений, документируются в журналах CTS и TMS.
Схема журнала ABAPCRLog_CL
| Поле | Описание |
|---|---|
| Категория | Категория (Workbench, настройка) |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| Описание | Описание |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| Имя объекта | Наименование объекта |
| Тип объекта | Тип объекта |
| Ответственный | Ответственный |
| Запросить | Запрос на изменение |
| Состояние | Состояние |
| SystemID | ИД системы |
| Системный номер | Номер системы |
| TableKey | Ключ таблицы |
| ИмяТаблицы | Имя таблицы |
| ViewName | Имя представления |
Журнал данных таблицы базы данных ABAP (предварительная версия)
Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json. Этот журнал не поддерживается при использовании рекомендуемой процедуры для установки агента соединителя данных на портале.
Функция Microsoft Sentinel для запроса к этому журналу: SAPTableDataLog
Связанная документация по SAP: портал справки SAP
Назначение журнала. Предоставляет ведение журнала для этих таблиц, критически важных или чувствительных к аудиту.
Доступен путем использования RFC с настраиваемой службой. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPTableDataLog_CL
| Поле | Описание |
|---|---|
| DBLogID | Идентификатор журнала базы данных |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| Язык | Язык |
| LogKey | Ключ журнала |
| НовоеЗначение | Новое значение поля |
| Старое значение | Прежнее значение поля |
| OperationTypeSQL | Тип операции: Insert, Update, Delete |
| Программа | Имя программы |
| SystemID | ИД системы |
| Системный номер | Номер системы |
| TableField | Поле таблицы |
| ИмяТаблицы | Имя таблицы |
| Код транзакции | Код транзакции |
| Имя пользователя | Пользователь |
| Номер версии | Номер версии |
Журнал шлюза ABAP (предварительная версия)
Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json. Этот журнал не поддерживается при использовании рекомендуемой процедуры для установки агента соединителя данных на портале.
Функция Microsoft Sentinel для запроса к этому журналу: SAPOS_GW
Связанная документация по SAP: портал справки SAP
Назначение журнала: отслеживает действия шлюза. Доступно веб-службой SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPOS_GW_CL
| Поле | Описание |
|---|---|
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| Текст сообщения | Текст сообщения |
| Важность | Серьезность сообщения: Debug, Info, Warning, Error |
| SystemID | ИД системы |
| Системный номер | Номер системы |
Журнал ICM ABAP (предварительная версия)
Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json. Этот журнал не поддерживается при использовании рекомендуемой процедуры для установки агента соединителя данных на портале.
Функция Microsoft Sentinel для запроса к этому журналу: SAPOS_ICM
Связанная документация по SAP: портал справки SAP
Назначение журнала: записывает входящие и исходящие запросы и компилирует статистику HTTP-запросов.
Доступно веб-службой SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPOS_ICM_CL
| Поле | Описание |
|---|---|
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| Текст сообщения | Текст сообщения |
| Важность | Серьезность сообщения: Debug, Info, Warning, Error |
| SystemID | ИД системы |
| Системный номер | Номер системы |
Журнал заданий ABAP
Функция Microsoft Sentinel для запроса к этому журналу: SAPJobLog
Связанная документация по SAP: портал справки SAP
Назначение журнала: объединяет все журналы заданий фоновой обработки (SM37).
Доступно с помощью RFC на основе стандартной таблицы SAP и стандартных служб интерфейсов XBP. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPJobLog_CL
| Поле | Описание |
|---|---|
| ABAPProgram | Программа ABAP |
| BgdEventParameters | Параметры фонового события |
| BgdProcessingEvent | Событие фоновой обработки |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| DynproNumber | Номер Dynpro |
| GUIStatus | Состояние графического пользовательского интерфейса |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP (HOST_SYSID_SYSNR); синтаксис: <HOST>_<SYSID>_<SYSNR> |
| JobClassification | Классификация задания |
| JobCount | Число заданий |
| ГруппаРабот | Группа заданий |
| Название работы | Имя задания |
| JobPriority | приоритет задания |
| КлассСообщения (MessageClass) | Класс сообщения |
| MessageNumber | Номер сообщения |
| Текст сообщения | Текст сообщения |
| ТипСообщения | Тип сообщения |
| ReleaseUser | Пользователь, выпустивший задание |
| ПланированиеDateTime | Запланированные дата и время |
| ДатаВремяНачала | Дата и время начала |
| SystemID | ИД системы |
| Системный номер | Номер системы |
| TargetServer | Целевой сервер |
| Пользователь | Пользователь |
| UserReleaseInstance | Экземпляр ABAP — пользовательский выпуск |
| WorkProcessID | Идентификатор рабочего процесса |
| WorkProcessNumber | Номер рабочего процесса |
Журнал аудита безопасности ABAP
Функция Microsoft Sentinel для запроса к этому журналу: SAPAuditLog
Связанная документация по SAP: портал справки SAP
Назначение журнала: записывает следующие данные:
- изменения в среде системы SAP, связанные с безопасностью, например изменения записей основного пользователя;
- сведения, являющиеся более высокоуровневым представлением данных, например успешные и неудачные попытки входа;
- сведения, по которым можно воспроизвести ряд событий, например успешные или неудачные запуски транзакций.
Доступен через интерфейсы XAL/SAL RFC. Интерфейс SAL доступен, начиная с версии Basis 7.50. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPAuditLog_CL
| Поле | Описание |
|---|---|
| ABAPProgramName | Имя программы (только SAL) |
| Степень серьёзности оповещения | Серьезность оповещения |
| AlertSeverityText | Текст с указанием степени серьезности оповещения (только SAL) |
| ЗначениеПредупреждения | Значение оповещения |
| AuditClassID | Идентификатор класса аудита (только SAL) |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| Компьютер | Компьютер пользователя (только SAL) |
| Эл. почта | Адрес электронной почты пользователя |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| КлассСообщения (MessageClass) | Класс сообщения |
| MessageContainerID | Идентификатор контейнера сообщений (только XAL) |
| MessageID | Идентификатор сообщения, например ‘AU1’,’AU2’… |
| Текст сообщения | Текст сообщения |
| НаименованиеОбъектаМониторинга | Имя объекта монитора МТЕ (только XAL) |
| КороткоеНазваниеМонитора | Краткое имя монитора МТЕ (только XAL) |
| SAPProcessType | Системный журнал: тип процесса SAP (только SAL) |
| B* — фоновая обработка | |
| D* — обработка в диалоговом режиме | |
| U* — задачи обновления | |
| SAPWPName | Системный журнал: номер рабочего процесса (только SAL) |
| SystemID | ИД системы |
| Системный номер | Номер системы |
| TerminalIPv6 | IP-адрес компьютера пользователя (только SAL) |
| Код транзакции | Код транзакции (только SAL) |
| Пользователь | Пользователь |
| Переменная1 | Переменная сообщения 1 |
| Переменная2 | Переменная сообщения 2 |
| Переменная3 | Переменная сообщения 3 |
| Переменная4 | Переменная сообщения 4 |
Журнал очереди печати ABAP
Функция Microsoft Sentinel для запроса к этому журналу: SAPSpoolLog
Связанная документация по SAP: портал справки SAP
Назначение журнала: служит основным журналом для печати SAP с историей запросов spool. (SP01).
Доступно с помощью RFC на основе стандартной таблицы SAP. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPSpoolLog_CL
| Поле | Описание |
|---|---|
| ArchiveStatus | Состояние архива |
| ArchiveType | Тип архива |
| АрхивацияDevice | Устройство архивации |
| AutoRereoute | Автоматическое перенаправление |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| CountryKey | Ключ страны или региона |
| DeleteSpoolRequestAuto | Автоматическое удаление запроса на постановку в очередь печати |
| DelFlag | Флаг удаления |
| Отдел | Отдел |
| Тип документа | Тип документа |
| ExternalMode | Внешний режим |
| ТипФормата | Тип формата |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | Число копий |
| OutputDevice | Устройство вывода |
| PrinterLongName | Длинное имя принтера |
| PrintImmediately | Немедленная печать |
| PrintOSCoverPage | Печать страницы OSCover |
| PrintSAPCoverPage | Печать страницы SAPCover |
| Приоритет | Приоритет |
| RecipientofSpoolRequest | Получатель запроса на постановку в очередь печати |
| SpoolErrorStatus | Состояние ошибки очереди печати |
| SpoolRequestCompleted | Запрос на постановку в очередь печати выполнен |
| SpoolRequestisALogForAnotherRequest | Запрос на постановку в очередь печати представляет собой журнал другого запроса |
| SpoolRequestName | Имя запроса на постановку в очередь печати |
| SpoolRequestName | Номер запроса на постановку в очередь печати |
| SpoolRequestSuffix1 | Суффикс 1 запроса на постановку в очередь печати |
| SpoolRequestSuffix2 | Суффикс 2 запроса на постановку в очередь печати |
| SpoolRequestTitle | Название запроса на постановку в очередь печати |
| SystemID | ИД системы |
| Системный номер | Номер системы |
| ТелекоммуникационныйPartner | Партнер по телекоммуникациям |
| TelecommunicationsPartnerE | Партнер E по телекоммуникациям |
| TemSeGeneralcounterer | Счетчик Temse |
| TemseNumAddProtectionRule | Правило защиты от добавления номера Temse |
| TemseNumChangeProtectionRule | Правило защиты от изменения номера Temse |
| TemseNumDeleteProtectionRule | Правило защиты от удаления номера Temse |
| TemSeObjectName | Имя объекта Temse |
| TemSeObjectPart | Часть объекта Temse |
| TemseReadProtectionRule | Правило защиты от чтения Temse |
| Пользователь | Пользователь |
| ValueAuthCheck | Проверка подлинности значения |
Журнал печати из очереди APAB
Функция Microsoft Sentinel для запроса к этому журналу: SAPSpoolOutputLog
Связанная документация по SAP: портал справки SAP
Назначение журнала: служит основным журналом для печати SAP с историей запросов на выходную версию spool. (SP02).
Доступен путем использования RFC с настраиваемой службой на основе стандартных таблиц. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPSpoolOutputLog_CL
| Поле | Описание |
|---|---|
| AppServer | Сервер приложений |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| Комментарий | Комментарий |
| CopyCount | Число копий |
| CopyCounter | Счетчик копий |
| Отдел | Отдел |
| ErrorSpoolRequestNumber | Номер запроса ошибки очереди печати |
| ТипФормата | Тип формата |
| Хост | Хост |
| Имя хоста | Имя хоста |
| HostSpoolerID | Идентификатор диспетчера очереди печати узла |
| Экземпляр | Экземпляр ABAP |
| LastPage | Последняя страница |
| NumofCopies | Число копий |
| OutputDevice | Устройство вывода |
| OutputRequestNumber | Номер запроса на печать |
| OutputRequestStatus | Состояние запроса на печать |
| PhysicalFormatType | Тип физического формата |
| PrinterLongName | Длинное имя принтера |
| PrintRequestSize | Размер запроса на печать |
| Приоритет | Приоритет |
| ReasonforOutputRequest | Причина запроса на печать |
| RecipientofSpoolRequest | Получатель запроса на постановку в очередь печати |
| SpoolNumberofOutputReqProcessed | Число запросов на печать — обработанных |
| SpoolNumberofOutputReqWithErrors | Число запросов на печать — с ошибками |
| SpoolNumberofOutputReqWithProblems | Число запросов на печать — с проблемами |
| SpoolRequestName | Номер запроса на постановку в очередь печати |
| StartPage | Начальная страница |
| SystemID | ИД системы |
| Системный номер | Номер системы |
| ТелекоммуникационныйPartner | Партнер по телекоммуникациям |
| TemSeGeneralcounterer | Счетчик Temse |
| Заголовок | Заголовок |
| Пользователь | Пользователь |
Системный журнал ABAP
Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json. Этот журнал не поддерживается при использовании рекомендуемой процедуры для установки агента соединителя данных на портале.
Функция Microsoft Sentinel для запроса к этому журналу: SAPOS_Syslog
Связанная документация по SAP: портал справки SAP
Назначение журнала. Записывает все системные ошибки SAP NetWeaver Application Server (SAP NetWeaver AS), предупреждения, блокировки пользователей из-за неудачных попыток входа известных пользователей и обработки сообщений.
Доступно веб-службой SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPOS_Syslog_CL
| Поле | Описание |
|---|---|
| ClientID | Идентификатор клиента ABAP (MANDT) |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | Номер сообщения |
| Текст сообщения | Текст сообщения |
| Важность | Серьезность сообщения: Debug, Info, Warning, Error |
| SystemID | ИД системы |
| Системный номер | Номер системы |
| TransacationCode | Код транзакции |
| Тип | Тип процесса SAP |
| Пользователь | Пользователь |
Журнал ABAP Workflow
Функция Microsoft Sentinel для запроса к этому журналу: SAPWorkflowLog
Связанная документация по SAP: портал справки SAP
Назначение журнала: рабочий процесс SAP Business Workflow (WebFlow Engine) позволяет определять бизнес-процессы, которые еще не сопоставлены в системе SAP.
Например, несопоставленные бизнес-процессы могут быть простыми процедурами выпуска или утверждения или более сложными бизнес-процессами, такими как создание базового материала, а затем координация связанных отделов.
Доступно с помощью RFC на основе стандартных таблиц SAP. Этот журнал создается по клиентам.
Схема журнала ABAPWorkflowLog_CL
| Поле | Описание |
|---|---|
| ActualAgent | Фактический агент |
| Адрес | Адрес |
| ApplicationArea | Область приложения |
| CallbackFunction | Функция обратного вызова |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| ВремяСоздания | Дата и время создания |
| Создатель | Создатель |
| CreatorAddress | Адрес создателя |
| Тип ошибки | Тип ошибки |
| ExceptionforMethod | Исключение для метода |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP (HOST_SYSID_SYSNR); синтаксис: <HOST>_<SYSID>_<SYSNR> |
| Язык | Язык |
| LogCounter | Счетчик журнала |
| MessageNumber | Номер сообщения |
| ТипСообщения | Тип сообщения |
| MethodUser | Пользователь метода |
| Приоритет | Приоритет |
| SimpleContainer | Простой контейнер, упакованный в виде списка сущностей "ключ-значение" для рабочего элемента |
| Состояние | Состояние |
| SuperWI | Вышестоящий рабочий элемент |
| SystemID | ИД системы |
| Системный номер | Номер системы |
| Идентификатор задачи | Идентификатор задачи |
| TasksClassification | Классификации задач |
| TaskText | Текст задачи |
| TopTaskID | Идентификатор верхней задачи |
| UserCreated | Создается пользователем |
| WIText | Текст рабочего элемента |
| WIType | Тип рабочего элемента |
| WorkflowAction | Действие бизнес-процесса |
| WorkItemID | Идентификатор рабочего элемента |
Журнал рабочих процессов ABAP
Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json. Этот журнал не поддерживается при использовании рекомендуемой процедуры для установки агента соединителя данных на портале.
Функция Microsoft Sentinel для запроса к этому журналу: SAPOS_WP
Связанная документация по SAP: портал справки SAP
Назначение журнала: объединяет все журналы рабочих процессов. (Значение по умолчанию —
dev_*).Доступно веб-службой SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPOS_WP_CL
| Поле | Описание |
|---|---|
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| Текст сообщения | Текст сообщения |
| Важность | Серьезность сообщения: Debug, Info, Warning, Error |
| SystemID | ИД системы |
| Системный номер | Номер системы |
| WPNumber | Номер рабочего процесса |
Журнал аудита базы данных HANA
Сбор журнала аудита базы данных HANA является примером того, как Microsoft Sentinel собирает действия уровня базы данных. Чтобы отправить этот журнал в Microsoft Sentinel, необходимо развернуть агент Azure Monitor для сбора данных системного журнала с компьютера под управлением базы данных HANA.
Функция Microsoft Sentinel для запроса к этому журналу: SAPSyslog
Назначение журнала: записывает действия пользователя или пытается выполнить действия в базе данных SAP HANA. В частности, этот журнал позволяет регистрировать и отслеживать доступ для чтения к конфиденциальным данным.
Доступен агентом Microsoft Sentinel Linux для syslog. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала Syslog
| Поле | Описание |
|---|---|
| Компьютер | Имя хоста |
| IP-адрес хоста | IP-адрес узла |
| Имя хоста | Имя хоста |
| Идентификатор процесса | Идентификатор процесса |
| Имя процесса | Имя процесса: HDB* |
| Уровень серьезности | Предупреждение |
| Система источников | ОС исходной системы: Linux |
| Сообщение Syslog | Сообщение — непроанализированное сообщение из журнала аудита |
Файлы JAVA
Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json. Этот журнал не поддерживается при использовании рекомендуемой процедуры для установки агента соединителя данных на портале.
Функция Microsoft Sentinel для запроса к этому журналу: SAPJAVAFilesLogs
Связанная документация ПО SAP: общий | журнал аудита безопасности Java
Назначение журнала: объединяет все журналы на основе файлов Java, включая журнал аудита безопасности, систему (кластер и серверный процесс), производительность и журналы шлюза. Кроме того, содержит данные трассировки для разработчиков и журналы трассировки по умолчанию.
Доступно веб-службой SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала JavaFilesLogsCL
| Поле | Описание |
|---|---|
| Приложение | Приложение Java |
| ClientID | Идентификатор клиента |
| CSNComponent | Компонент CSN, например BC-XI-IBD |
| DCComponent | Компонент DC, например com.sap.xi.util.misc |
| DSRCounter | Счетчик DSR |
| DSRRootContentID | GUID контекста DSR |
| DSRTransaction | GUID транзакции DSR |
| Хост | Хост |
| Экземпляр | Экземпляр Java; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| Расположение | Класс Java |
| Имя журнала | Имя журнала Java, например: Available, defaulttrace, dev*, security и т. д. |
| Текст сообщения | Текст сообщения |
| MNo | Номер сообщения |
| Pid | Идентификатор процесса |
| Программа | Имя программы |
| Сеанс | Сеанс |
| Важность | Серьезность сообщения: Debug,Info,Warning,Error |
| Решение | Решение |
| SystemID | ИД системы |
| Системный номер | Номер системы |
| ThreadName (имя потока) | Имя потока |
| Бросать | Вызов исключения |
| Часовой пояс | Часовой пояс |
| Пользователь | Пользователь |
Журнал пульса SAP
Функция Microsoft Sentinel для запроса к этому журналу: SAPConnectorHealth
Назначение журнала. Предоставляет пульс и другую информацию о работоспособности подключения между агентами и различными системами SAP.
Автоматически создается для всех агентов Microsoft Sentinel для соединителя данных SAP.
Схема журнала SAP_HeartBeat_CL
| Поле | Описание |
|---|---|
| Время генерации | Время публикации события в журнале |
| agent_id_s | Идентификатор агента в конфигурации агента (создается автоматически) |
| agent_ver_s | Версия агента |
| host_s | Имя узла агента |
| system_id_s | Идентификатор системы Netweaver ABAP / Узел Netweaver SAPControl (предварительная версия) / Узел Java SAPControl (предварительная версия) |
| push_timestamp_d | Метка времени извлечения в соответствии с часовым поясом агента |
| agent_timezone_s | Часовой пояс агента |
Ссылка на таблицы, полученные непосредственно из систем SAP
В этом разделе перечислены таблицы данных, получаемые непосредственно из системы SAP и принимаемые в Microsoft Sentinel в том виде, в каком они есть.
Данные, извлеченные из этих таблиц, дают четкое представление о структуре предоставления разрешений, членстве в группах и профилях пользователей. Кроме того, они позволяют отслеживать процесс предоставления и отзыва разрешений, а также выявлять риски, связанные с этими процессами, и управлять ими.
Перечисленные ниже таблицы необходимы для включения функций, которые идентифицируют привилегированных пользователей, сопоставляют пользователей с ролями, группами и разрешениями.
Чтобы получить наилучшие результаты, ознакомьтесь с этими таблицами, используя имя в столбце имени функции Microsoft Sentinel в следующей таблице:
| Имя таблицы | Описание таблицы | Имя функции Microsoft Sentinel |
|---|---|---|
| УСР01 | Основная запись пользователя (данные среды выполнения) | SAP_USR01 |
| УСР02 | Данные входа (использование на стороне ядра) | SAP_USR02 |
| УСТ04 | Основные записи пользователя Сопоставляет пользователей с профилями |
SAP_UST04 |
| AGR_USERS | Назначение ролей пользователям | SAP_AGR_USERS |
| AGR_1251 | Данные авторизации для группы действий | SAP_AGR_1251 |
| USGRP_USER | Назначение пользователей группам пользователей | SAP_USGRP_USER |
| УСР21 | Имя пользователя / назначение ключа адреса | SAP_USR21 |
| АДР6 | Адреса электронной почты (службы бизнес-адресов) | SAP_ADR6 |
| Штамп ЕГР | Метка времени для всех изменений пользователя | SAP_USRSTAMP |
| АДХП | Person / Address Assignment (business address services) | SAP_ADCP |
| УСР05 | Идентификатор основного параметра пользователя | SAP_USR05 |
| AGR_PROF | Имя профиля для роли | SAP_AGR_PROF |
| AGR_FLAGS | Атрибуты роли | SAP_AGR_FLAGS |
| ДОСТУП ДЛЯ РАЗРАБОТЧИКОВ | Таблица для пользователя-разработчика | SAP_DEVACCESS |
| AGR_DEFINE | Определение роли | SAP_AGR_DEFINE |
| AGR_AGRS | Роли в составных ролях | SAP_AGR_AGRS |
| ПАХИ | Журнал параметров системы, базы данных и SAP | SAP_PAHI |
| SNCSYSACL (предварительная версия) | Список управления доступом SNC: Системы | SAP_SNCSYSACL |
| USRACL (предварительная версия) | Список управления доступом SNC: Пользователь | SAP_USRACL |
Связанный контент
Дополнительные сведения см. в разделе: