Поделиться через

Устранение неполадок с решением Microsoft Sentinel для развертывания приложений SAP

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

В этой статье содержатся инструкции по устранению неполадок, которые помогут обеспечить точный и своевременный прием и мониторинг данных для среды SAP с помощью Microsoft Sentinel.

Выбранные процедуры устранения неполадок актуальны только при развертывании агента соединителя данных с помощью командной строки. Если вы использовали рекомендуемую процедуру для развертывания агента на портале, используйте портал для внесения изменений в конфигурацию.

Полезные команды Docker

При устранении неполадок с соединителем данных SAP Для Microsoft Sentinel можно найти следующие команды:

Function Команда
Остановка контейнера Docker docker stop sapcon-[SID]
Запуск контейнера Docker docker start sapcon-[SID]
Просмотр системных журналов Docker docker logs -f sapcon-[SID]
Ввод контейнера Docker docker exec -it sapcon-[SID] bash

Дополнительные сведения см. в документации по интерфейсу командной строки Docker.

Просмотра системных журналов

Мы настоятельно рекомендуем вам просмотреть системные журналы после установки или сброса коннектора данных.

Запустить:

docker logs -f sapcon-[SID]

Включение/отключение печати в режиме отладки

Эта процедура поддерживается только в том случае, если вы развернули агент соединителя данных из командной строки.

  1. На виртуальной машине контейнера агента сборщика данных измените файл /opt/sapcon/[SID]/systemconfig.json .

  2. Определите раздел Общие, если он не был определен ранее. В этом разделе описано logging_debug = True , как включить печать в режиме отладки или logging_debug = False отключить его.

    Например:

    [General]
logging_debug = True

  3. Сохраните файл.

Изменение действует примерно через две минуты после сохранения файла. Перезапускать контейнер Docker не требуется.

Просмотр всех журналов выполнения контейнера

Журналы выполнения соединителя для решения Microsoft Sentinel для развертывания соединителя данных приложений SAP хранятся на виртуальной машине в файле /opt/sapcon/[SID]/log/. Имя файла журнала OmniLog.log. Журнал файлов журнала хранится, суффиксирован с .[ number] например , OmniLog.log.1, OmniLog.log.2 и т. д.

Просмотр и обновление файла конфигурации соединителя агента SAP для Microsoft Sentinel

Эта процедура поддерживается только в том случае, если вы развернули агент соединителя данных из командной строки. Если вы развернули агент на портале, продолжайте поддерживать и изменять параметры конфигурации на портале.

Если вы развернули с помощью командной строки, выполните следующие действия.

  1. На виртуальной машине откройте файл конфигурации: sapcon/[SID]/systemconfig.json

  2. При необходимости обновите конфигурацию и сохраните файл. Дополнительные сведения см. в справочнике по файлу файлов приложений systemconfig.json SAP в Решении Microsoft Sentinel.

Изменение действует примерно через две минуты после сохранения файла. Перезапускать контейнер Docker не требуется.

Сброс соединителя данных Microsoft Sentinel для SAP

Следующие шаги сбрасывают коннектор и повторно используют журналы SAP за последние 30 минут.

  1. Остановите соединитель. Запустить:

    docker stop sapcon-[SID]

  2. Удалите файл metadata.db из каталога /opt/sapcon/[SID]. Запустить:

    cd /opt/sapcon/<SID>
rm metadata.db

    Примечание.

    Файл metadata.db содержит последнюю метку времени для каждого журнала и необходим для предотвращения дублирования.

  3. Повторно запустите соединитель. Запустить:

    docker start sapcon-[SID]

Когда все будет готово, обязательно просмотрите системные журналы.

Распространенные проблемы

После развертывания соединителя данных SAP и содержимого безопасности Microsoft Sentinel могут возникнуть следующие ошибки или проблемы:

Поврежден или отсутствует файл пакета SDK для SAP

Эта ошибка может возникать, когда соединитель не загрузится с помощью PyRfc или отображаются сообщения об ошибках, связанных с ZIP.

  1. Переустановите пакет SDK для SAP.
  2. Убедитесь, что вы правильно используете 64-разрядную версию Linux, например nwrfc750P_8-70002752.zip.

Если вы установили коннектор данных вручную, убедитесь, что вы скопировали файл SDK в контейнер Docker.

Запустить:

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

Ошибки времени выполнения ABAP в большой системе

Эта процедура поддерживается только в том случае, если вы развернули агент соединителя данных из командной строки.

Если в больших системах отображаются ошибки времени выполнения ABAP, попробуйте задать меньший размер блока.

  1. Измените файл /opt/sapcon/[SID]/systemconfig.json и в разделе конфигурации соединителя.timechunk = 5

    Например:

    [Connector Configuration]
timechunk = 5

  2. Сохраните файл.

Изменение действует примерно через две минуты после сохранения файла. Перезапускать контейнер Docker не требуется.

Примечание.

Размер timechunk определяется в минутах.

Журнал аудита пуст или не получен, а специальные сообщения об ошибках отсутствуют

  1. Убедитесь, что в SAP включено ведение журнала аудита.
  2. Проверьте транзакции SM19 или RSAU_CONFIG.
  3. При необходимости включите все события.
  4. Убедитесь, что сообщения поступают и существуют в SM20 или RSAU_READ_LOG в SAP, а в журнале соединителя нет каких-либо специальных ошибок.

Неверный идентификатор рабочей области или ключ в хранилище ключей

Если вы понимаете, что вы ввели неверный идентификатор рабочей области или ключ в скрипте развертывания, обновите учетные данные, хранящиеся в хранилище ключей Azure.

После проверки учетных данных в Azure KeyVault перезапустите контейнер:

docker restart sapcon-[SID]

Неправильные учетные данные пользователя ABAP для SAP в хранилище ключей

Проверьте свои учетные данные и исправьте их при необходимости, применив правильные значения к значениям ABAPUSER и ABAPPASS в Azure Key Vault.

Затем перезапустите контейнер:

docker restart sapcon-[SID]

Неправильная конфигурация учетных данных пользователя ABAP для SAP в фиксированной конфигурации

Этот раздел поддерживается только в том случае, если вы развернули агент соединителя данных из командной строки.

Исправленная конфигурация заключается в том, что пароль хранится непосредственно в файле конфигурации systemconfig.json .

Если учетные данные указаны неправильно, проверьте их.

Используйте шифрование Base64 для имени пользователя и пароля. Вы можете использовать онлайн-инструменты шифрования для шифрования ваших учетных данных, например https://www.base64encode.org/.

Отсутствуют разрешения ABAP (пользователя SAP)

Если появляется сообщение об ошибке вида Missing Backend RFC Authorization (Отсутствует авторизация RFC в серверной части), то ваши разрешения и роли SAP были применены неправильно.

  1. Убедитесь, что роль MSFTSEN/SENTINEL_CONNECTOR была импортирована при передаче запроса на изменение и применена к пользователю соединителя.

  2. Запустите процесс создания ролей и сравнения пользователей с помощью транзакции PFCG в SAP.

Отсутствуют данные в книгах или оповещениях

Если вы обнаружите, что отсутствуют данные в книгах или оповещениях Microsoft Sentinel, убедитесь, что политика аудита правильно включена на стороне SAP без ошибок в файле журнала контейнера.

Используйте для этого шага транзакцию RSAU_CONFIG_LOG.

Дополнительные сведения см. в документации по SAP и сборе журналов аудита SAP HANA в Microsoft Sentinel.

Отсутствующие поля IP-адреса или кода транзакции в журнале аудита SAP

В системах SAP с версиями SAP BASE 7.5 с пакетом обновления 12 (SP12) и более поздних версий Microsoft Sentinel может отражать дополнительные поля в ABAPAuditLog_CL таблицах и SAPAuditLog таблицах.

Если вы используете версии SAP BASIS выше 7.5 с пакетом обновления 12 (SP12) и отсутствуют поля IP-адресов или кода транзакций в журнале аудита SAP, убедитесь, что система SAP, из которой извлекаются данные, содержат соответствующие запросы на изменение (транспорты). Дополнительные сведения см. в разделе "Настройка поддержки получения дополнительных данных" (рекомендуется).

Отсутствие запроса на изменение SAP

Если вы видите ошибки из-за отсутствия необходимого запроса на изменение SAP, убедитесь, что вы импортировали правильный запрос на изменение SAP для своей системы. Дополнительные сведения см. в статье о предварительных требованиях SAP и настройке системы SAP для решения Microsoft Sentinel.

Данные не отображаются в журнале данных таблицы SAP

В системах SAP с версиями SAP BASE 7.5 с пакетом обновления 12 (SP12) и более поздних версий Microsoft Sentinel может отражать изменения в журнале данных таблицы.ABAPTableDataLog_CL

Если данные не отображаются в ABAPTableDataLog_CL таблице, убедитесь, что система SAP, из которой вы извлекаете данные, содержит соответствующие запросы на изменение (транспорты). Дополнительные сведения см. в разделе "Настройка поддержки получения дополнительных данных" (рекомендуется).

Нет записей / поздних записей

Агент сборщика данных зависит от правильной информации часового пояса. Если вы видите, что в журналах аудита и изменений SAP нет записей, или если записи постоянно находятся за несколькими часами, проверьте наличие ошибок в отчете SAP TZCUSTHELP . Дополнительные сведения см . в 481835 заметки SAP.

Также могут возникнуть проблемы с часами на виртуальной машине, в которой размещен контейнер агента сборщика данных, и любое отклонение от часов на виртуальной машине из UTC влияет на сбор данных. Еще более важно, что часы на системных компьютерах SAP и компьютерах агента сборщика данных должны соответствовать.

Проблемы, связанные с подключением к сети

Если у вас возникли проблемы с сетевым подключением к среде SAP или к Microsoft Sentinel, проверьте подключение к сети и убедитесь, что данные передаются должным образом.

Общие проблемы:

  • Брандмауэры между контейнером Docker и узлами SAP могут блокировать трафик. Узел среды SAP обменивается данными через следующие TCP-порты, которые должны быть всегда открыты: 32xx, 5xx13 и 33xx, где XX обозначает номер экземпляра SAP.

  • Для исходящего подключения от узла агента SAP к Реестру контейнеров Майкрософт или Azure требуется конфигурация прокси-сервера. Обычно это влияет на процесс установки, в которой вам нужно задать переменные среды HTTP_PROXY и HTTPS_PROXY. Вы также можете принимать переменные среды в контейнер Docker при создании контейнера, добавив флаг -e в команду DOCKER create / run.

Получение журнала аудита завершается сбоем с предупреждениями

Этот раздел поддерживается только в том случае, если вы развернули агент соединителя данных из командной строки.

Если вы пытаетесь получить журнал аудита без необходимых конфигураций и процесс завершается сбоем с предупреждениями, убедитесь, что журнал аудита SAP можно получить с помощью одного из следующих методов:

  • используйте режим совместимости XAL в предыдущих версиях;
  • используйте версию, которая не была недавно обновлена;
  • Без каких-либо изменений, внесенных для подключения к агенту соединителя данных Microsoft Sentinel. Дополнительные сведения см. в статье "Настройка системы SAP для решения Microsoft Sentinel".

Хотя система должна автоматически переключаться в режим совместимости при необходимости, может потребоваться вручную переключить ее. Чтобы переключиться в режим совместимости вручную, выполните следующие действия.

  1. Измените файл /opt/sapcon/[SID]/systemconfig.json .

  2. В разделе Конфигурация соединителя определите следующее: auditlogforcexal = True.

    Например:

    [Connector Configuration]
auditlogforcexal = True

  3. Сохраните файл.

Изменение действует примерно через две минуты после сохранения файла. Перезапускать контейнер Docker не требуется.

Не удается подключиться к подсистемам SAPCONTROL или JAVA

Убедитесь, что пользователь ОС является допустимым и может выполнить следующую команду в целевой системе SAP:

sapcontrol -nr <SID> -function GetSystemInstanceList

Если подсистема SAPCONTROL или JAVA завершается сбоем с сообщением об ошибке часового пояса, например: Please check the configuration and network access to the SAP server - 'Etc/NZST' (Проверьте конфигурацию и сетевой доступ к серверу SAP: Etc/NZST), убедитесь, что вы используете стандартные коды часовых поясов.

Например, воспользуйтесь javatz = GMT+12 или abaptz = GMT-3**.

Данные журнала аудита не были загружены после начальной загрузки

Если данные журнала аудита SAP, видимые в транзакциях RSAU_READ_LOAD или SM200, не будут приниматься в Microsoft Sentinel после начальной загрузки, может возникнуть ошибка настройки системы SAP и операционной системы узла SAP.

  • Первоначальные загрузки принимаются после новой установки соединителя данных Microsoft Sentinel для SAP или после удаления файла metadata.db.
  • Примером неправильной конфигурации может быть случай, когда часовой пояс вашей системы SAP установлен на CET в транзакции STZAC, но часовой пояс операционной системы хоста SAP установлен на UTC.

Чтобы проверить неправильную конфигурацию, запустите отчет RSDBTIME в транзакции SE38. Если вы обнаружите несоответствие между системой SAP и основной операционной системой SAP

  1. Остановите контейнер Docker. Выполнить

    docker stop sapcon-[SID]

  2. Удалите файл metadata.db из каталога /opt/sapcon/[SID]. Запустить:

    rm /opt/sapcon/[SID]/metadata.db

  3. Обновите систему SAP и операционную систему узла SAP, чтобы они имели соответствующие параметры, такие как тот же часовой пояс. Для получения дополнительной информации см. SAP Community Wiki.

  4. Снова запустите контейнер. Запустить:

    docker start sapcon-[SID]

Другие непредвиденные ошибки

Если у вас возникли непредвиденные проблемы, не перечисленные в этой статье, попробуйте выполнить следующие действия:

Совет

Сброс соединителя и установка последних обновлений также рекомендуются после внесения каких либо существенных изменений в конфигурацию.

Связанный контент

Дополнительные сведения о решении Microsoft Sentinel для приложений SAP:

Справочные файлы:

Дополнительные сведения см. в статье Решения Microsoft Sentinel.