Поделиться через


Справочник по журналам и таблицам для решения Microsoft Sentinel для приложений SAP

В этой статье описываются журналы и таблицы, доступные в рамках решения Microsoft Sentinel для приложений SAP и его соединителя данных.

Некоторые журналы, указанные в этой статье, по умолчанию не отправляются в Microsoft Sentinel, но их можно добавить вручную по мере необходимости. Дополнительные сведения см. в разделе "Определение журналов SAP, отправляемых в Microsoft Sentinel"

Содержимое этой статьи предназначено для команд SAP BASIS .

Внимание

Некоторые компоненты решения "Мониторинг угроз для SAP" Microsoft Sentinel в настоящее время находятся на этапе ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Использование функций в запросах вместо базовых журналов или таблиц

Настоятельно рекомендуется использовать доступные функции в качестве субъектов их анализа, если это возможно, вместо базовых журналов или таблиц.

Функции , предоставляемые решением Microsoft Sentinel для приложений SAP, предназначены для использования в качестве основного пользовательского интерфейса для данных. Они формируют базу для всех встроенных правил аналитики и книг, доступных для вас. Использование функций позволяет вносить изменения в инфраструктуру данных под функциями без нарушения содержимого, созданного пользователем.

Дополнительные сведения см . в решении Microsoft Sentinel для приложений SAP — справочник по функциям и функциям в запросах журнала Azure Monitor.

Покрытие журналов

Решение Microsoft Sentinel для приложений SAP собирает журналы из приложений, ОС и слоев данных, обеспечивая комплексную защиту системы SAP:

  • Уровень приложений: Microsoft Sentinel отслеживает действия на уровне ABAP, который является основным уровнем приложений в системах SAP, ответственным за выполнение бизнес-логики и обработки транзакций. Например, Microsoft Sentinel собирает журналы, которые включают действия пользователя, такие как вход, изменения пароля и доступ к отчетам или файлам.

    Помимо мониторинга безопасности журналы, собранные на уровне приложений, также можно использовать для обеспечения соответствия требованиям и аудита.

  • Уровень ОС: Microsoft Sentinel собирает журналы из операционной системы для предоставления аналитических сведений о действиях на уровне ОС, таких как с сервера ABAP и виртуальных машин, на которых работают приложения SAP.

    Используйте решение Microsoft Sentinel для приложений SAP вместе с содержимым безопасности и соединителями данных для других служб для комплексного и централизованного мониторинга, коррелируя информацию во всех системах и повышая общую безопасность.

  • Уровень базы данных: прием журналов базы данных в Microsoft Sentinel для мониторинга действий базы данных, таких как действия администрирования базы данных и изменения табличных данных. Решение Microsoft Sentinel для приложений SAP не зависит от базы данных.

Все журналы, собранные агентом соединителя данных, хранятся сначала на компьютере агента сборщика данных в /opt/sapcon/<sid>/log папке в экземпляре контейнера. Затем журналы перенаправляются в рабочую область Log Analytics, где можно просматривать, проверять и запрашивать их из Microsoft Sentinel.

Журналы аудита собираются и обрабатываются каждую минуту, а другие журналы могут выполняться реже. Microsoft Sentinel также отслеживает пульс агента соединителя данных, чтобы убедиться, что журналы собираются и отправляются в рабочую область Log Analytics.

Справочник по журналам

В следующих разделах описываются журналы SAP, доступные из решения Microsoft Sentinel для соединителя данных приложений SAP, включая имена таблиц в Microsoft Sentinel, цели журнала и подробные схемы журналов.

Описания полей схемы основаны на описаниях полей в соответствующей документации SAP.

Журнал ABAP-приложений

  • Функция Microsoft Sentinel для запроса этого журнала: SAPAppLog

  • Соответствующая документация SAP: портал справки SAP

  • Назначение журнала: содержит записи о ходе выполнения приложения, чтобы его можно было при необходимости воссоздать позже.

    Доступно с помощью RFC на основе стандартной таблицы SAP и стандартных служб интерфейса XBP. Этот журнал создается по клиентам.

Схема журнала ABAPAppLog_CL

Поле Description
AppLogDateTime Дата и время журнала приложений
CallbackProgram Программа обратного вызова
CallbackRoutine Подпрограмма обратного вызова
CallbackType Тип обратного вызова
ClientID Идентификатор клиента ABAP (MANDT)
ContextDDIC Структура контекста DDIC
ExternalID Идентификатор внешнего журнала
Хост Хост
Экземпляр Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR>
InternalMessageSerial Серийный номер сообщения в журнале приложений
LevelofDetail Уровень детализации
LogHandle Дескриптор журнала приложений
LogNumber Номер журнала
MessageClass Класс сообщения
MessageNumber Номер сообщения
MessageText Текст сообщения
MessageType Тип сообщения
Object Объект журнала приложения
OperationMode Режим работы
ProblemClass Класс проблемы
ProgramName Имя программы
SortCriterion Критерий сортировки
StandardText Стандартный текст
SubObject Подобъект журнала приложения
SystemID ИД системы
SystemNumber Номер системы
TransactionCode Код транзакции
User User
UserChange Изменение пользователя

Журнал документов изменений ABAP

  • Функция Microsoft Sentinel для запроса этого журнала: SAPChangeDocsLog

  • Соответствующая документация SAP: портал справки SAP

  • Назначение журнала. Содержит следующие записи:

    • записанные в журнале ABAP сервера приложений (AS) SAP NetWeaver изменения в объектах бизнес-данных согласно документам изменений;

    • другие сущности в системе SAP, такие как данные пользователя, роли, адреса.

    Доступно с помощью RFC на основе стандартных таблиц SAP. Этот журнал создается по клиентам.

Схема журнала ABAPChangeDocsLog_CL

Поле Description
ActualChangeNum Фактический номер изменения
ChangedTableKey Ключ измененной таблицы
ChangeNumber Номер изменения
ClientID Идентификатор клиента ABAP (MANDT)
CreatedfromPlannedChange Создано из запланированного изменения; синтаксис: (‘X’ , ‘ ‘)
CurrencyKeyNew Ключ валюты: новое значение
CurrencyKeyOld Ключ валюты: прежнее значение
FieldName Имя поля
FlagText Текст флага
Хост Хост
Экземпляр Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR>
Язык Язык
ObjectClass Класс объекта, например BELEG, BPAR, PFCG, IDENTITY
ObjectID Код объекта
PlannedChangeNum Номер запланированного изменения
SystemID ИД системы
SystemNumber Номер системы
TableName Имя таблицы
TransactionCode Код транзакции
TypeofChange_Header Тип изменения заголовка, в том числе:
U — изменение; I — вставка; E — удаление одного документа; D — удаление; J — вставка одного документа
TypeofChange_Item Тип изменения элемента, в том числе:
U — изменение; I — вставка; E — удаление одного документа; D — удаление; J — вставка одного документа
UOMNew Единица измерения: новое значение
UOMOld Единица измерения: прежнее значение
User User
ValueNew Содержимое поля: новое значение
ValueOld Содержимое поля: прежнее значение
Версия Версия

Журнал CR ABAP

  • Функция Microsoft Sentinel для запроса этого журнала: SAPCRLog

  • Соответствующая документация SAP: портал справки SAP

  • Назначение журнала: включает в себя журналы системы регистрации и распространения изменений (CTS), в том числе объекты каталогов и настройки, в которые были внесены изменения.

    Доступно с помощью RFC на основе стандартных таблиц и стандартных служб SAP. Этот журнал создается с использованием данных по всем клиентам.

Примечание.

Помимо журнала приложений, документов изменений и записей в таблицах, все изменения, вносимые в рабочую систему с помощью системы регистрации и распространения изменений, документируются в журналах CTS и TMS.

Схема журнала ABAPCRLog_CL

Поле описание
Категория Категория (Workbench, настройка)
ClientID Идентификатор клиента ABAP (MANDT)
Description Description
Host Хост
Экземпляр Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR>
ObjectName Наименование объекта
ObjectType Тип объекта
Ответственный Ответственный
Запросить Запрос на изменение
Состояние Состояние
SystemID ИД системы
SystemNumber Номер системы
TableKey Ключ таблицы
TableName Имя таблицы
ViewName Имя представления

Журнал данных таблицы базы данных ABAP (предварительная версия)

Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json. Этот журнал не поддерживается при использовании рекомендуемой процедуры для установки агента соединителя данных на портале.

  • Функция Microsoft Sentinel для запроса этого журнала: SAPTableDataLog

  • Соответствующая документация SAP: портал справки SAP

  • Назначение журнала: обеспечивает ведение журнала для таблиц, которые являются критическими или могут быть предметом аудита.

    Доступен путем использования RFC с настраиваемой службой. Этот журнал создается с использованием данных по всем клиентам.

Схема журнала ABAPTableDataLog_CL

Поле Description
DBLogID Идентификатор журнала базы данных
Хост Хост
Экземпляр Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR>
Язык Язык
LogKey Ключ журнала
NewValue Новое значение поля
OldValue Прежнее значение поля
OperationTypeSQL Тип операции: Insert, Update, Delete
Программа Имя программы
SystemID ИД системы
SystemNumber Номер системы
TableField Поле таблицы
TableName Имя таблицы
TransactionCode Код транзакции
UserName User
VersionNumber Номер версии

Журнал шлюза ABAP (предварительная версия)

Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json. Этот журнал не поддерживается при использовании рекомендуемой процедуры для установки агента соединителя данных на портале.

  • Функция Microsoft Sentinel для запроса этого журнала: SAPOS_GW

  • Соответствующая документация SAP: портал справки SAP

  • Назначение журнала: отслеживание действий на шлюзе. Доступно веб-службой SAP Control. Этот журнал создается с использованием данных по всем клиентам.

Схема журнала ABAPOS_GW_CL

Поле Description
Host Хост
Экземпляр Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR>
MessageText Текст сообщения
Важность Серьезность сообщения: Debug, Info, Warning, Error
SystemID ИД системы
SystemNumber Номер системы

Журнал ICM ABAP (предварительная версия)

Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json. Этот журнал не поддерживается при использовании рекомендуемой процедуры для установки агента соединителя данных на портале.

  • Функция Microsoft Sentinel для запроса этого журнала: SAPOS_ICM

  • Соответствующая документация SAP: портал справки SAP

  • Назначение журнала: содержит записи о входящих и исходящих запросах, а также статистику HTTP-запросов.

    Доступно веб-службой SAP Control. Этот журнал создается с использованием данных по всем клиентам.

Схема журнала ABAPOS_ICM_CL

Поле Description
Host Хост
Экземпляр Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR>
MessageText Текст сообщения
Важность Серьезность сообщения: Debug, Info, Warning, Error
SystemID ИД системы
SystemNumber Номер системы

Журнал заданий ABAP

  • Функция Microsoft Sentinel для запроса этого журнала: SAPJobLog

  • Соответствующая документация SAP: портал справки SAP

  • Назначение журнала: объединяет в себе все журналы заданий фоновой обработки (SM37).

    Доступно с помощью RFC на основе стандартной таблицы SAP и стандартных служб интерфейсов XBP. Этот журнал создается с использованием данных по всем клиентам.

Схема журнала ABAPJobLog_CL

Поле Description
ABAPProgram Программа ABAP
BgdEventParameters Параметры фонового события
BgdProcessingEvent Событие фоновой обработки
ClientID Идентификатор клиента ABAP (MANDT)
DynproNumber Номер Dynpro
GUIStatus Состояние графического пользовательского интерфейса
Хост Хост
Экземпляр Экземпляр ABAP (HOST_SYSID_SYSNR); синтаксис: <HOST>_<SYSID>_<SYSNR>
JobClassification Классификация задания
JobCount Число заданий
JobGroup Группа заданий
JobName Имя задания
JobPriority приоритет задания
MessageClass Класс сообщения
MessageNumber Номер сообщения
MessageText Текст сообщения
MessageType Тип сообщения
ReleaseUser Пользователь, выпустивший задание
SchedulingDateTime Запланированные дата и время
StartDateTime Дата и время начала
SystemID ИД системы
SystemNumber Номер системы
TargetServer Целевой сервер
User User
UserReleaseInstance Экземпляр ABAP — пользовательский выпуск
WorkProcessID Идентификатор рабочего процесса
WorkProcessNumber Номер рабочего процесса

Журнал аудита безопасности ABAP

  • Функция Microsoft Sentinel для запроса этого журнала: SAPAuditLog

  • Соответствующая документация SAP: портал справки SAP

  • Назначение журнала. Содержит следующие записи:

    • изменения в среде системы SAP, связанные с безопасностью, например изменения записей основного пользователя;
    • сведения, являющиеся более высокоуровневым представлением данных, например успешные и неудачные попытки входа;
    • сведения, по которым можно воспроизвести ряд событий, например успешные или неудачные запуски транзакций.

    Доступен через интерфейсы XAL/SAL RFC. Интерфейс SAL доступен, начиная с версии Basis 7.50. Этот журнал создается с использованием данных по всем клиентам.

Схема журнала ABAPAuditLog_CL

Поле Description
ABAPProgramName Имя программы (только SAL)
AlertSeverity Серьезность оповещения
AlertSeverityText Текст с указанием степени серьезности оповещения (только SAL)
AlertValue Значение оповещения
AuditClassID Идентификатор класса аудита (только SAL)
ClientID Идентификатор клиента ABAP (MANDT)
Компьютер Компьютер пользователя (только SAL)
Эл. почта Адрес электронной почты пользователя
Хост Хост
Экземпляр Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR>
MessageClass Класс сообщения
MessageContainerID Идентификатор контейнера сообщений (только XAL)
MessageID Идентификатор сообщения, например ‘AU1’,’AU2’…
MessageText Текст сообщения
MonitoringObjectName Имя объекта монитора МТЕ (только XAL)
MonitorShortName Краткое имя монитора МТЕ (только XAL)
SAPProcesType Системный журнал: тип процесса SAP (только SAL)
B* — фоновая обработка
D* — обработка в диалоговом режиме
U* — задачи обновления
SAPWPName Системный журнал: номер рабочего процесса (только SAL)
SystemID ИД системы
SystemNumber Номер системы
TerminalIPv6 IP-адрес компьютера пользователя (только SAL)
TransactionCode Код транзакции (только SAL)
User User
Variable1 Переменная сообщения 1
Variable2 Переменная сообщения 2
Variable3 Переменная сообщения 3
Variable4 Переменная сообщения 4

Журнал очереди печати ABAP

  • Функция Microsoft Sentinel для запроса этого журнала: SAPSpoolLog

  • Соответствующая документация SAP: портал справки SAP

  • Назначение журнала: служит основным журналом для печати SAP с историей запросов spool. (SP01).

    Доступно с помощью RFC на основе стандартной таблицы SAP. Этот журнал создается с использованием данных по всем клиентам.

Схема журнала ABAPSpoolLog_CL

Поле Description
ArchiveStatus Состояние архива
ArchiveType Тип архива
ArchivingDevice Устройство архивации
AutoRereoute Автоматическое перенаправление
ClientID Идентификатор клиента ABAP (MANDT)
CountryKey Ключ страны
DeleteSpoolRequestAuto Автоматическое удаление запроса на постановку в очередь печати
DelFlag Флаг удаления
Отдел Отдел
DocumentType Document type
ExternalMode Внешний режим
FormatType Тип формата
Хост Хост
Экземпляр Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR>
NumofCopies Число копий
OutputDevice Устройство вывода
PrinterLongName Длинное имя принтера
PrintImmediately Немедленная печать
PrintOSCoverPage Печать страницы OSCover
PrintSAPCoverPage Печать страницы SAPCover
Приоритет Приоритет
RecipientofSpoolRequest Получатель запроса на постановку в очередь печати
SpoolErrorStatus Состояние ошибки очереди печати
SpoolRequestCompleted Запрос на постановку в очередь печати выполнен
SpoolRequestisALogForAnotherRequest Запрос на постановку в очередь печати представляет собой журнал другого запроса
SpoolRequestName Имя запроса на постановку в очередь печати
SpoolRequestName Номер запроса на постановку в очередь печати
SpoolRequestSuffix1 Суффикс 1 запроса на постановку в очередь печати
SpoolRequestSuffix2 Суффикс 2 запроса на постановку в очередь печати
SpoolRequestTitle Название запроса на постановку в очередь печати
SystemID ИД системы
SystemNumber Номер системы
TelecommunicationsPartner Партнер по телекоммуникациям
TelecommunicationsPartnerE Партнер E по телекоммуникациям
TemSeGeneralcounter Счетчик Temse
TemseNumAddProtectionRule Правило защиты от добавления номера Temse
TemseNumChangeProtectionRule Правило защиты от изменения номера Temse
TemseNumDeleteProtectionRule Правило защиты от удаления номера Temse
TemSeObjectName Имя объекта Temse
TemSeObjectPart Часть объекта Temse
TemseReadProtectionRule Правило защиты от чтения Temse
User User
ValueAuthCheck Проверка подлинности значения

Журнал печати из очереди APAB

  • Функция Microsoft Sentinel для запроса этого журнала: SAPSpoolOutputLog

  • Соответствующая документация SAP: портал справки SAP

  • Назначение журнала: служит основным журналом печати SAP и содержит историю запросов на печать из очереди. (SP02).

    Доступен путем использования RFC с настраиваемой службой на основе стандартных таблиц. Этот журнал создается с использованием данных по всем клиентам.

Схема журнала ABAPSpoolOutputLog_CL

Поле Description
AppServer Сервер приложений
ClientID Идентификатор клиента ABAP (MANDT)
Комментарий Комментарий
CopyCount Число копий
CopyCounter Счетчик копий
Отдел Отдел
ErrorSpoolRequestNumber Номер запроса ошибки очереди печати
FormatType Тип формата
Хост Хост
HostName Host name
HostSpoolerID Идентификатор диспетчера очереди печати узла
Экземпляр Экземпляр ABAP
LastPage Последняя страница
NumofCopies Число копий
OutputDevice Устройство вывода
OutputRequestNumber Номер запроса на печать
OutputRequestStatus Состояние запроса на печать
PhysicalFormatType Тип физического формата
PrinterLongName Длинное имя принтера
PrintRequestSize Размер запроса на печать
Приоритет Приоритет
ReasonforOutputRequest Причина запроса на печать
RecipientofSpoolRequest Получатель запроса на постановку в очередь печати
SpoolNumberofOutputReqProcessed Число запросов на печать — обработанных
SpoolNumberofOutputReqWithErrors Число запросов на печать — с ошибками
SpoolNumberofOutputReqWithProblems Число запросов на печать — с проблемами
SpoolRequestName Номер запроса на постановку в очередь печати
StartPage Начальная страница
SystemID ИД системы
SystemNumber Номер системы
TelecommunicationsPartner Партнер по телекоммуникациям
TemSeGeneralcounter Счетчик Temse
Заголовок Заголовок
User User

Системный журнал ABAP

Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json. Этот журнал не поддерживается при использовании рекомендуемой процедуры для установки агента соединителя данных на портале.

  • Функция Microsoft Sentinel для запроса этого журнала: SAPOS_Syslog

  • Соответствующая документация SAP: портал справки SAP

  • Назначение журнала: содержит записи о системных ошибках и предупреждениях ABAP, блокировках известных пользователей из-за неудачных попыток входа, а также технологические сообщения со всех серверов приложений SAP NETWEAVER (SAP NetWeaver AS).

    Доступно веб-службой SAP Control. Этот журнал создается с использованием данных по всем клиентам.

Схема журнала ABAPOS_Syslog_CL

Поле Description
ClientID Идентификатор клиента ABAP (MANDT)
Хост Хост
Экземпляр Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR>
MessageNumber Номер сообщения
MessageText Текст сообщения
Важность Серьезность сообщения: Debug, Info, Warning, Error
SystemID ИД системы
SystemNumber Номер системы
TransacationCode Код транзакции
Тип Тип процесса SAP
User User

Журнал ABAP Workflow

  • Функция Microsoft Sentinel для запроса этого журнала: SAPWorkflowLog

  • Соответствующая документация SAP: портал справки SAP

  • Назначение журнала: SAP Business Workflow (WebFlow Engine) позволяет определять бизнес-процессы, для которых еще нет сопоставления в системе SAP.

    Например, несопоставленные бизнес-процессы могут быть простыми процедурами выпуска или утверждения или более сложными бизнес-процессами, такими как создание базового материала, а затем координация связанных отделов.

    Доступно с помощью RFC на основе стандартных таблиц SAP. Этот журнал создается по клиентам.

Схема журнала ABAPWorkflowLog_CL

Поле Description
ActualAgent Фактический агент
Адрес Адрес
ApplicationArea Область приложения
CallbackFunction Функция обратного вызова
ClientID Идентификатор клиента ABAP (MANDT)
CreationDateTime Дата и время создания
Создатель Создатель
CreatorAddress Адрес создателя
ErrorType Тип ошибки
ExceptionforMethod Исключение для метода
Хост Хост
Экземпляр Экземпляр ABAP (HOST_SYSID_SYSNR); синтаксис: <HOST>_<SYSID>_<SYSNR>
Язык Язык
LogCounter Счетчик журнала
MessageNumber Номер сообщения
MessageType Тип сообщения
MethodUser Пользователь метода
Приоритет Приоритет
SimpleContainer Простой контейнер, упакованный в виде списка сущностей "ключ-значение" для рабочего элемента
Состояние Состояние
SuperWI Вышестоящий рабочий элемент
SystemID ИД системы
SystemNumber Номер системы
TaskID Идентификатор задачи
TasksClassification Классификации задач
TaskText Текст задачи
TopTaskID Идентификатор верхней задачи
UserCreated Создается пользователем
WIText Текст рабочего элемента
WIType Тип рабочего элемента
WorkflowAction Действие бизнес-процесса
WorkItemID Идентификатор рабочего элемента

Журнал рабочих процессов ABAP

Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json. Этот журнал не поддерживается при использовании рекомендуемой процедуры для установки агента соединителя данных на портале.

  • Функция Microsoft Sentinel для запроса этого журнала: SAPOS_WP

  • Соответствующая документация SAP: портал справки SAP

  • Назначение журнала: объединяет в себе все журналы рабочих процессов. (Значение по умолчанию — dev_*).

    Доступно веб-службой SAP Control. Этот журнал создается с использованием данных по всем клиентам.

Схема журнала ABAPOS_WP_CL

Поле Description
Host Хост
Экземпляр Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR>
MessageText Текст сообщения
Важность Серьезность сообщения: Debug, Info, Warning, Error
SystemID ИД системы
SystemNumber Номер системы
WPNumber Номер рабочего процесса

Журнал аудита базы данных HANA

Сбор журнала аудита базы данных HANA является примером того, как Microsoft Sentinel собирает действия уровня базы данных. Чтобы отправить этот журнал в Microsoft Sentinel, необходимо развернуть агент Azure Monitor для сбора данных системного журнала с компьютера под управлением базы данных HANA.

  • Функция Microsoft Sentinel для запроса этого журнала: SAPSyslog

  • Соответствующая документация SAP: Общая | Журнал аудита

  • Назначение журнала: содержит записи о действиях пользователя или попытках выполнения действий с базой данных SAP HANA. В частности, этот журнал позволяет регистрировать и отслеживать доступ для чтения к конфиденциальным данным.

    Доступен агентом Microsoft Sentinel Linux для syslog. Этот журнал создается с использованием данных по всем клиентам.

Схема журнала Syslog

Поле Description
Компьютер Host name
HostIP IP-адрес узла
HostName Host name
ProcessID Идентификатор процесса
Имя процесса Имя процесса: HDB*
SeverityLevel Предупреждение
SourceSystem ОС исходной системы: Linux
SyslogMessage Сообщение — непроанализированное сообщение из журнала аудита

Файлы JAVA

Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json. Этот журнал не поддерживается при использовании рекомендуемой процедуры для установки агента соединителя данных на портале.

  • Функция Microsoft Sentinel для запроса этого журнала: SAPJAVAFilesLogs

  • Соответствующая документация SAP: Общая | Журнал аудита безопасности Java

  • Назначение журнала: объединяет в себе все журналы на основе файлов Java, включая журнал аудита безопасности, а также журналы системы (процессов кластера и сервера), производительности и шлюза. Кроме того, содержит данные трассировки для разработчиков и журналы трассировки по умолчанию.

    Доступно веб-службой SAP Control. Этот журнал создается с использованием данных по всем клиентам.

Схема журнала JavaFilesLogsCL

Поле Description
Приложение Приложение Java
ClientID Client ID
CSNComponent Компонент CSN, например BC-XI-IBD
DCComponent Компонент DC, например com.sap.xi.util.misc
DSRCounter Счетчик DSR
DSRRootContentID GUID контекста DSR
DSRTransaction GUID транзакции DSR
Хост Хост
Экземпляр Экземпляр Java; синтаксис: <HOST>_<SYSID>_<SYSNR>
Расположение Класс Java
LogName Имя журнала Java, например: Available, defaulttrace, dev*, security и т. д.
MessageText Текст сообщения
MNo Номер сообщения
Pid Идентификатор процесса
Программа Имя программы
Сеанс Сеанс
Важность Серьезность сообщения: Debug,Info,Warning,Error
Решение Решение
SystemID ИД системы
SystemNumber Номер системы
ThreadName (имя потока) Имя потока
Thrown Вызов исключения
Часовой пояс Часовой пояс
User User

Журнал пульса SAP

  • Функция Microsoft Sentinel для запроса этого журнала: SAPConnectorHealth

  • Назначение журнала: Предоставляет пульс и другие сведения о работоспособности подключения между агентами и различными системами SAP.

    Автоматически создается для всех агентов Microsoft Sentinel для соединителя данных SAP.

Схема журнала SAP_HeartBeat_CL

Поле Description
TimeGenerated Время публикации события в журнале
agent_id_s Идентификатор агента в конфигурации агента (создается автоматически)
agent_ver_s Версия агента
host_s Имя узла агента
system_id_s Идентификатор системы Netweaver ABAP /
Узел Netweaver SAPControl (предварительная версия) /
Узел Java SAPControl (предварительная версия)
push_timestamp_d Метка времени извлечения в соответствии с часовым поясом агента
agent_timezone_s Часовой пояс агента

Ссылка на таблицы, полученные непосредственно из систем SAP

В этом разделе перечислены таблицы данных, получаемые непосредственно из системы SAP и принимаемые в Microsoft Sentinel в том виде, в каком они есть.

Данные, извлеченные из этих таблиц, дают четкое представление о структуре предоставления разрешений, членстве в группах и профилях пользователей. Кроме того, они позволяют отслеживать процесс предоставления и отзыва разрешений, а также выявлять риски, связанные с этими процессами, и управлять ими.

Перечисленные ниже таблицы необходимы для включения функций, которые идентифицируют привилегированных пользователей, сопоставляют пользователей с ролями, группами и разрешениями.

Чтобы получить наилучшие результаты, ознакомьтесь с этими таблицами, используя имя в столбце имени функции Microsoft Sentinel в следующей таблице:

Имя таблицы Описание таблицы Имя функции Microsoft Sentinel
USR01 Основная запись пользователя (данные среды выполнения) SAP_USR01
USR02 Данные входа (использование на стороне ядра) SAP_USR02
UST04 Основные записи пользователя
Сопоставляет пользователей с профилями
SAP_UST04
AGR_USERS Назначение ролей пользователям SAP_AGR_USERS
AGR_1251 Данные авторизации для группы действий SAP_AGR_1251
USGRP_USER Назначение пользователей группам пользователей SAP_USGRP_USER
USR21 Имя пользователя / назначение ключа адреса SAP_USR21
ADR6 Адреса электронной почты (службы бизнес-адресов) SAP_ADR6
USRSTAMP Метка времени для всех изменений пользователя SAP_USRSTAMP
ADCP Person / Address Assignment (business address services) SAP_ADCP
USR05 Идентификатор основного параметра пользователя SAP_USR05
AGR_PROF Имя профиля для роли SAP_AGR_PROF
AGR_FLAGS Атрибуты роли SAP_AGR_FLAGS
DEVACCESS Таблица для пользователя-разработчика SAP_DEVACCESS
AGR_DEFINE Определение роли SAP_AGR_DEFINE
AGR_AGRS Роли в составных ролях SAP_AGR_AGRS
PAHI Журнал параметров системы, базы данных и SAP SAP_PAHI
SNCSYSACL (предварительная версия) Список управления доступом SNC: Системы SAP_SNCSYSACL
USRACL (предварительная версия) Список управления доступом SNC: Пользователь SAP_USRACL

Дополнительные сведения см. в разделе: