Справочник по журналам и таблицам для решения Microsoft Sentinel для приложений SAP
В этой статье описываются журналы и таблицы, доступные в рамках решения Microsoft Sentinel для приложений SAP и его соединителя данных.
Некоторые журналы, указанные в этой статье, по умолчанию не отправляются в Microsoft Sentinel, но их можно добавить вручную по мере необходимости. Дополнительные сведения см. в разделе "Определение журналов SAP, отправляемых в Microsoft Sentinel"
Содержимое этой статьи предназначено для команд SAP BASIS .
Внимание
Некоторые компоненты решения "Мониторинг угроз для SAP" Microsoft Sentinel в настоящее время находятся на этапе ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Использование функций в запросах вместо базовых журналов или таблиц
Настоятельно рекомендуется использовать доступные функции в качестве субъектов их анализа, если это возможно, вместо базовых журналов или таблиц.
Функции , предоставляемые решением Microsoft Sentinel для приложений SAP, предназначены для использования в качестве основного пользовательского интерфейса для данных. Они формируют базу для всех встроенных правил аналитики и книг, доступных для вас. Использование функций позволяет вносить изменения в инфраструктуру данных под функциями без нарушения содержимого, созданного пользователем.
Дополнительные сведения см . в решении Microsoft Sentinel для приложений SAP — справочник по функциям и функциям в запросах журнала Azure Monitor.
Покрытие журналов
Решение Microsoft Sentinel для приложений SAP собирает журналы из приложений, ОС и слоев данных, обеспечивая комплексную защиту системы SAP:
Уровень приложений: Microsoft Sentinel отслеживает действия на уровне ABAP, который является основным уровнем приложений в системах SAP, ответственным за выполнение бизнес-логики и обработки транзакций. Например, Microsoft Sentinel собирает журналы, которые включают действия пользователя, такие как вход, изменения пароля и доступ к отчетам или файлам.
Помимо мониторинга безопасности журналы, собранные на уровне приложений, также можно использовать для обеспечения соответствия требованиям и аудита.
Уровень ОС: Microsoft Sentinel собирает журналы из операционной системы для предоставления аналитических сведений о действиях на уровне ОС, таких как с сервера ABAP и виртуальных машин, на которых работают приложения SAP.
Используйте решение Microsoft Sentinel для приложений SAP вместе с содержимым безопасности и соединителями данных для других служб для комплексного и централизованного мониторинга, коррелируя информацию во всех системах и повышая общую безопасность.
Уровень базы данных: прием журналов базы данных в Microsoft Sentinel для мониторинга действий базы данных, таких как действия администрирования базы данных и изменения табличных данных. Решение Microsoft Sentinel для приложений SAP не зависит от базы данных.
Все журналы, собранные агентом соединителя данных, хранятся сначала на компьютере агента сборщика данных в /opt/sapcon/<sid>/log папке в экземпляре контейнера. Затем журналы перенаправляются в рабочую область Log Analytics, где можно просматривать, проверять и запрашивать их из Microsoft Sentinel.
Журналы аудита собираются и обрабатываются каждую минуту, а другие журналы могут выполняться реже. Microsoft Sentinel также отслеживает пульс агента соединителя данных, чтобы убедиться, что журналы собираются и отправляются в рабочую область Log Analytics.
Справочник по журналам
В следующих разделах описываются журналы SAP, доступные из решения Microsoft Sentinel для соединителя данных приложений SAP, включая имена таблиц в Microsoft Sentinel, цели журнала и подробные схемы журналов.
Описания полей схемы основаны на описаниях полей в соответствующей документации SAP.
- Журнал приложений ABAP
- Журнал изменений ABAP Change Documents
- Журнал ABAP CR
- Журнал данных таблицы базы данных ABAP (предварительная версия)
- Журнал шлюза ABAP (предварительная версия)
- Журнал ICM ABAP (предварительная версия)
- Журнал заданий ABAP
- Журнал аудита безопасности ABAP
- Журнал Spool ABAP
- Журнал выходных данных APAB Spool
- Системный журнал ABAP
- Журнал рабочего процесса ABAP
- Журнал ABAP WorkProcess
- HANA DB Audit Trail
- Java-файлы
- Журнал пульса SAP
Журнал ABAP-приложений
Функция Microsoft Sentinel для запроса этого журнала: SAPAppLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: содержит записи о ходе выполнения приложения, чтобы его можно было при необходимости воссоздать позже.
Доступно с помощью RFC на основе стандартной таблицы SAP и стандартных служб интерфейса XBP. Этот журнал создается по клиентам.
Схема журнала ABAPAppLog_CL
| Поле | Description |
|---|---|
| AppLogDateTime | Дата и время журнала приложений |
| CallbackProgram | Программа обратного вызова |
| CallbackRoutine | Подпрограмма обратного вызова |
| CallbackType | Тип обратного вызова |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| ContextDDIC | Структура контекста DDIC |
| ExternalID | Идентификатор внешнего журнала |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | Серийный номер сообщения в журнале приложений |
| LevelofDetail | Уровень детализации |
| LogHandle | Дескриптор журнала приложений |
| LogNumber | Номер журнала |
| MessageClass | Класс сообщения |
| MessageNumber | Номер сообщения |
| MessageText | Текст сообщения |
| MessageType | Тип сообщения |
| Object | Объект журнала приложения |
| OperationMode | Режим работы |
| ProblemClass | Класс проблемы |
| ProgramName | Имя программы |
| SortCriterion | Критерий сортировки |
| StandardText | Стандартный текст |
| SubObject | Подобъект журнала приложения |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| TransactionCode | Код транзакции |
| User | User |
| UserChange | Изменение пользователя |
Журнал документов изменений ABAP
Функция Microsoft Sentinel для запроса этого журнала: SAPChangeDocsLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала. Содержит следующие записи:
записанные в журнале ABAP сервера приложений (AS) SAP NetWeaver изменения в объектах бизнес-данных согласно документам изменений;
другие сущности в системе SAP, такие как данные пользователя, роли, адреса.
Доступно с помощью RFC на основе стандартных таблиц SAP. Этот журнал создается по клиентам.
Схема журнала ABAPChangeDocsLog_CL
| Поле | Description |
|---|---|
| ActualChangeNum | Фактический номер изменения |
| ChangedTableKey | Ключ измененной таблицы |
| ChangeNumber | Номер изменения |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| CreatedfromPlannedChange | Создано из запланированного изменения; синтаксис: (‘X’ , ‘ ‘) |
| CurrencyKeyNew | Ключ валюты: новое значение |
| CurrencyKeyOld | Ключ валюты: прежнее значение |
| FieldName | Имя поля |
| FlagText | Текст флага |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| Язык | Язык |
| ObjectClass | Класс объекта, например BELEG, BPAR, PFCG, IDENTITY |
| ObjectID | Код объекта |
| PlannedChangeNum | Номер запланированного изменения |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| TableName | Имя таблицы |
| TransactionCode | Код транзакции |
| TypeofChange_Header | Тип изменения заголовка, в том числе: U — изменение; I — вставка; E — удаление одного документа; D — удаление; J — вставка одного документа |
| TypeofChange_Item | Тип изменения элемента, в том числе: U — изменение; I — вставка; E — удаление одного документа; D — удаление; J — вставка одного документа |
| UOMNew | Единица измерения: новое значение |
| UOMOld | Единица измерения: прежнее значение |
| User | User |
| ValueNew | Содержимое поля: новое значение |
| ValueOld | Содержимое поля: прежнее значение |
| Версия | Версия |
Журнал CR ABAP
Функция Microsoft Sentinel для запроса этого журнала: SAPCRLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: включает в себя журналы системы регистрации и распространения изменений (CTS), в том числе объекты каталогов и настройки, в которые были внесены изменения.
Доступно с помощью RFC на основе стандартных таблиц и стандартных служб SAP. Этот журнал создается с использованием данных по всем клиентам.
Примечание.
Помимо журнала приложений, документов изменений и записей в таблицах, все изменения, вносимые в рабочую систему с помощью системы регистрации и распространения изменений, документируются в журналах CTS и TMS.
Схема журнала ABAPCRLog_CL
| Поле | описание |
|---|---|
| Категория | Категория (Workbench, настройка) |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| Description | Description |
| Host | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| ObjectName | Наименование объекта |
| ObjectType | Тип объекта |
| Ответственный | Ответственный |
| Запросить | Запрос на изменение |
| Состояние | Состояние |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| TableKey | Ключ таблицы |
| TableName | Имя таблицы |
| ViewName | Имя представления |
Журнал данных таблицы базы данных ABAP (предварительная версия)
Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json.
Функция Microsoft Sentinel для запроса этого журнала: SAPTableDataLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: обеспечивает ведение журнала для таблиц, которые являются критическими или могут быть предметом аудита.
Доступен путем использования RFC с настраиваемой службой. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPTableDataLog_CL
| Поле | Description |
|---|---|
| DBLogID | Идентификатор журнала базы данных |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| Язык | Язык |
| LogKey | Ключ журнала |
| NewValue | Новое значение поля |
| OldValue | Прежнее значение поля |
| OperationTypeSQL | Тип операции: Insert, Update, Delete |
| Программа | Имя программы |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| TableField | Поле таблицы |
| TableName | Имя таблицы |
| TransactionCode | Код транзакции |
| UserName | User |
| VersionNumber | Номер версии |
Журнал шлюза ABAP (предварительная версия)
Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json.
Функция Microsoft Sentinel для запроса этого журнала: SAPOS_GW
Соответствующая документация SAP: портал справки SAP
Назначение журнала: отслеживание действий на шлюзе. Доступно веб-службой SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPOS_GW_CL
| Поле | Description |
|---|---|
| Host | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Текст сообщения |
| Важность | Серьезность сообщения: Debug, Info, Warning, Error |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
Журнал ICM ABAP (предварительная версия)
Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json.
Функция Microsoft Sentinel для запроса этого журнала: SAPOS_ICM
Соответствующая документация SAP: портал справки SAP
Назначение журнала: содержит записи о входящих и исходящих запросах, а также статистику HTTP-запросов.
Доступно веб-службой SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPOS_ICM_CL
| Поле | Description |
|---|---|
| Host | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Текст сообщения |
| Важность | Серьезность сообщения: Debug, Info, Warning, Error |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
Журнал заданий ABAP
Функция Microsoft Sentinel для запроса этого журнала: SAPJobLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: объединяет в себе все журналы заданий фоновой обработки (SM37).
Доступно с помощью RFC на основе стандартной таблицы SAP и стандартных служб интерфейсов XBP. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPJobLog_CL
| Поле | Description |
|---|---|
| ABAPProgram | Программа ABAP |
| BgdEventParameters | Параметры фонового события |
| BgdProcessingEvent | Событие фоновой обработки |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| DynproNumber | Номер Dynpro |
| GUIStatus | Состояние графического пользовательского интерфейса |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP (HOST_SYSID_SYSNR); синтаксис: <HOST>_<SYSID>_<SYSNR> |
| JobClassification | Классификация задания |
| JobCount | Число заданий |
| JobGroup | Группа заданий |
| JobName | Имя задания |
| JobPriority | приоритет задания |
| MessageClass | Класс сообщения |
| MessageNumber | Номер сообщения |
| MessageText | Текст сообщения |
| MessageType | Тип сообщения |
| ReleaseUser | Пользователь, выпустивший задание |
| SchedulingDateTime | Запланированные дата и время |
| StartDateTime | Дата и время начала |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| TargetServer | Целевой сервер |
| User | User |
| UserReleaseInstance | Экземпляр ABAP — пользовательский выпуск |
| WorkProcessID | Идентификатор рабочего процесса |
| WorkProcessNumber | Номер рабочего процесса |
Журнал аудита безопасности ABAP
Функция Microsoft Sentinel для запроса этого журнала: SAPAuditLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала. Содержит следующие записи:
- изменения в среде системы SAP, связанные с безопасностью, например изменения записей основного пользователя;
- сведения, являющиеся более высокоуровневым представлением данных, например успешные и неудачные попытки входа;
- сведения, по которым можно воспроизвести ряд событий, например успешные или неудачные запуски транзакций.
Доступен через интерфейсы XAL/SAL RFC. Интерфейс SAL доступен, начиная с версии Basis 7.50. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPAuditLog_CL
| Поле | Description |
|---|---|
| ABAPProgramName | Имя программы (только SAL) |
| AlertSeverity | Серьезность оповещения |
| AlertSeverityText | Текст с указанием степени серьезности оповещения (только SAL) |
| AlertValue | Значение оповещения |
| AuditClassID | Идентификатор класса аудита (только SAL) |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| Компьютер | Компьютер пользователя (только SAL) |
| Эл. почта | Адрес электронной почты пользователя |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | Класс сообщения |
| MessageContainerID | Идентификатор контейнера сообщений (только XAL) |
| MessageID | Идентификатор сообщения, например ‘AU1’,’AU2’… |
| MessageText | Текст сообщения |
| MonitoringObjectName | Имя объекта монитора МТЕ (только XAL) |
| MonitorShortName | Краткое имя монитора МТЕ (только XAL) |
| SAPProcesType | Системный журнал: тип процесса SAP (только SAL) |
| B* — фоновая обработка | |
| D* — обработка в диалоговом режиме | |
| U* — задачи обновления | |
| SAPWPName | Системный журнал: номер рабочего процесса (только SAL) |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| TerminalIPv6 | IP-адрес компьютера пользователя (только SAL) |
| TransactionCode | Код транзакции (только SAL) |
| User | User |
| Variable1 | Переменная сообщения 1 |
| Variable2 | Переменная сообщения 2 |
| Variable3 | Переменная сообщения 3 |
| Variable4 | Переменная сообщения 4 |
Журнал очереди печати ABAP
Функция Microsoft Sentinel для запроса этого журнала: SAPSpoolLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: служит основным журналом для печати SAP с историей запросов spool. (SP01).
Доступно с помощью RFC на основе стандартной таблицы SAP. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPSpoolLog_CL
| Поле | Description |
|---|---|
| ArchiveStatus | Состояние архива |
| ArchiveType | Тип архива |
| ArchivingDevice | Устройство архивации |
| AutoRereoute | Автоматическое перенаправление |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| CountryKey | Ключ страны |
| DeleteSpoolRequestAuto | Автоматическое удаление запроса на постановку в очередь печати |
| DelFlag | Флаг удаления |
| Отдел | Отдел |
| DocumentType | Document type |
| ExternalMode | Внешний режим |
| FormatType | Тип формата |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | Число копий |
| OutputDevice | Устройство вывода |
| PrinterLongName | Длинное имя принтера |
| PrintImmediately | Немедленная печать |
| PrintOSCoverPage | Печать страницы OSCover |
| PrintSAPCoverPage | Печать страницы SAPCover |
| Приоритет | Приоритет |
| RecipientofSpoolRequest | Получатель запроса на постановку в очередь печати |
| SpoolErrorStatus | Состояние ошибки очереди печати |
| SpoolRequestCompleted | Запрос на постановку в очередь печати выполнен |
| SpoolRequestisALogForAnotherRequest | Запрос на постановку в очередь печати представляет собой журнал другого запроса |
| SpoolRequestName | Имя запроса на постановку в очередь печати |
| SpoolRequestName | Номер запроса на постановку в очередь печати |
| SpoolRequestSuffix1 | Суффикс 1 запроса на постановку в очередь печати |
| SpoolRequestSuffix2 | Суффикс 2 запроса на постановку в очередь печати |
| SpoolRequestTitle | Название запроса на постановку в очередь печати |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| TelecommunicationsPartner | Партнер по телекоммуникациям |
| TelecommunicationsPartnerE | Партнер E по телекоммуникациям |
| TemSeGeneralcounter | Счетчик Temse |
| TemseNumAddProtectionRule | Правило защиты от добавления номера Temse |
| TemseNumChangeProtectionRule | Правило защиты от изменения номера Temse |
| TemseNumDeleteProtectionRule | Правило защиты от удаления номера Temse |
| TemSeObjectName | Имя объекта Temse |
| TemSeObjectPart | Часть объекта Temse |
| TemseReadProtectionRule | Правило защиты от чтения Temse |
| User | User |
| ValueAuthCheck | Проверка подлинности значения |
Журнал печати из очереди APAB
Функция Microsoft Sentinel для запроса этого журнала: SAPSpoolOutputLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: служит основным журналом печати SAP и содержит историю запросов на печать из очереди. (SP02).
Доступен путем использования RFC с настраиваемой службой на основе стандартных таблиц. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPSpoolOutputLog_CL
| Поле | Description |
|---|---|
| AppServer | Сервер приложений |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| Комментарий | Комментарий |
| CopyCount | Число копий |
| CopyCounter | Счетчик копий |
| Отдел | Отдел |
| ErrorSpoolRequestNumber | Номер запроса ошибки очереди печати |
| FormatType | Тип формата |
| Хост | Хост |
| HostName | Host name |
| HostSpoolerID | Идентификатор диспетчера очереди печати узла |
| Экземпляр | Экземпляр ABAP |
| LastPage | Последняя страница |
| NumofCopies | Число копий |
| OutputDevice | Устройство вывода |
| OutputRequestNumber | Номер запроса на печать |
| OutputRequestStatus | Состояние запроса на печать |
| PhysicalFormatType | Тип физического формата |
| PrinterLongName | Длинное имя принтера |
| PrintRequestSize | Размер запроса на печать |
| Приоритет | Приоритет |
| ReasonforOutputRequest | Причина запроса на печать |
| RecipientofSpoolRequest | Получатель запроса на постановку в очередь печати |
| SpoolNumberofOutputReqProcessed | Число запросов на печать — обработанных |
| SpoolNumberofOutputReqWithErrors | Число запросов на печать — с ошибками |
| SpoolNumberofOutputReqWithProblems | Число запросов на печать — с проблемами |
| SpoolRequestName | Номер запроса на постановку в очередь печати |
| StartPage | Начальная страница |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| TelecommunicationsPartner | Партнер по телекоммуникациям |
| TemSeGeneralcounter | Счетчик Temse |
| Заголовок | Заголовок |
| User | User |
Системный журнал ABAP
Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json.
Функция Microsoft Sentinel для запроса этого журнала: SAPOS_Syslog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: содержит записи о системных ошибках и предупреждениях ABAP, блокировках известных пользователей из-за неудачных попыток входа, а также технологические сообщения со всех серверов приложений SAP NETWEAVER (SAP NetWeaver AS).
Доступно веб-службой SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPOS_Syslog_CL
| Поле | Description |
|---|---|
| ClientID | Идентификатор клиента ABAP (MANDT) |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | Номер сообщения |
| MessageText | Текст сообщения |
| Важность | Серьезность сообщения: Debug, Info, Warning, Error |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| TransacationCode | Код транзакции |
| Тип | Тип процесса SAP |
| User | User |
Журнал ABAP Workflow
Функция Microsoft Sentinel для запроса этого журнала: SAPWorkflowLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: SAP Business Workflow (WebFlow Engine) позволяет определять бизнес-процессы, для которых еще нет сопоставления в системе SAP.
Например, несопоставленные бизнес-процессы могут быть простыми процедурами выпуска или утверждения или более сложными бизнес-процессами, такими как создание базового материала, а затем координация связанных отделов.
Доступно с помощью RFC на основе стандартных таблиц SAP. Этот журнал создается по клиентам.
Схема журнала ABAPWorkflowLog_CL
| Поле | Description |
|---|---|
| ActualAgent | Фактический агент |
| Адрес | Адрес |
| ApplicationArea | Область приложения |
| CallbackFunction | Функция обратного вызова |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| CreationDateTime | Дата и время создания |
| Создатель | Создатель |
| CreatorAddress | Адрес создателя |
| ErrorType | Тип ошибки |
| ExceptionforMethod | Исключение для метода |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP (HOST_SYSID_SYSNR); синтаксис: <HOST>_<SYSID>_<SYSNR> |
| Язык | Язык |
| LogCounter | Счетчик журнала |
| MessageNumber | Номер сообщения |
| MessageType | Тип сообщения |
| MethodUser | Пользователь метода |
| Приоритет | Приоритет |
| SimpleContainer | Простой контейнер, упакованный в виде списка сущностей "ключ-значение" для рабочего элемента |
| Состояние | Состояние |
| SuperWI | Вышестоящий рабочий элемент |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| TaskID | Идентификатор задачи |
| TasksClassification | Классификации задач |
| TaskText | Текст задачи |
| TopTaskID | Идентификатор верхней задачи |
| UserCreated | Создается пользователем |
| WIText | Текст рабочего элемента |
| WIType | Тип рабочего элемента |
| WorkflowAction | Действие бизнес-процесса |
| WorkItemID | Идентификатор рабочего элемента |
Журнал рабочих процессов ABAP
Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json.
Функция Microsoft Sentinel для запроса этого журнала: SAPOS_WP
Соответствующая документация SAP: портал справки SAP
Назначение журнала: объединяет в себе все журналы рабочих процессов. (Значение по умолчанию —
dev_*).Доступно веб-службой SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPOS_WP_CL
| Поле | Description |
|---|---|
| Host | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Текст сообщения |
| Важность | Серьезность сообщения: Debug, Info, Warning, Error |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| WPNumber | Номер рабочего процесса |
Журнал аудита базы данных HANA
Сбор журнала аудита базы данных HANA является примером того, как Microsoft Sentinel собирает действия уровня базы данных. Чтобы отправить этот журнал в Microsoft Sentinel, необходимо развернуть агент Azure Monitor для сбора данных системного журнала с компьютера под управлением базы данных HANA.
Функция Microsoft Sentinel для запроса этого журнала: SAPSyslog
Соответствующая документация SAP: Общая | Журнал аудита
Назначение журнала: содержит записи о действиях пользователя или попытках выполнения действий с базой данных SAP HANA. В частности, этот журнал позволяет регистрировать и отслеживать доступ для чтения к конфиденциальным данным.
Доступен агентом Microsoft Sentinel Linux для syslog. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала Syslog
| Поле | Description |
|---|---|
| Компьютер | Host name |
| HostIP | IP-адрес узла |
| HostName | Host name |
| ProcessID | Идентификатор процесса |
| Имя процесса | Имя процесса: HDB* |
| SeverityLevel | Предупреждение |
| SourceSystem | ОС исходной системы: Linux |
| SyslogMessage | Сообщение — непроанализированное сообщение из журнала аудита |
Файлы JAVA
Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json.
Функция Microsoft Sentinel для запроса этого журнала: SAPJAVAFilesLogs
Соответствующая документация SAP: Общая | Журнал аудита безопасности Java
Назначение журнала: объединяет в себе все журналы на основе файлов Java, включая журнал аудита безопасности, а также журналы системы (процессов кластера и сервера), производительности и шлюза. Кроме того, содержит данные трассировки для разработчиков и журналы трассировки по умолчанию.
Доступно веб-службой SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала JavaFilesLogsCL
| Поле | Description |
|---|---|
| Приложение | Приложение Java |
| ClientID | Client ID |
| CSNComponent | Компонент CSN, например BC-XI-IBD |
| DCComponent | Компонент DC, например com.sap.xi.util.misc |
| DSRCounter | Счетчик DSR |
| DSRRootContentID | GUID контекста DSR |
| DSRTransaction | GUID транзакции DSR |
| Хост | Хост |
| Экземпляр | Экземпляр Java; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| Расположение | Класс Java |
| LogName | Имя журнала Java, например: Available, defaulttrace, dev*, security и т. д. |
| MessageText | Текст сообщения |
| MNo | Номер сообщения |
| Pid | Идентификатор процесса |
| Программа | Имя программы |
| Сеанс | Сеанс |
| Важность | Серьезность сообщения: Debug,Info,Warning,Error |
| Решение | Решение |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| ThreadName (имя потока) | Имя потока |
| Thrown | Вызов исключения |
| Часовой пояс | Часовой пояс |
| User | User |
Журнал пульса SAP
Функция Microsoft Sentinel для запроса этого журнала: SAPConnectorHealth
Назначение журнала: Предоставляет пульс и другие сведения о работоспособности подключения между агентами и различными системами SAP.
Автоматически создается для всех агентов Microsoft Sentinel для соединителя данных SAP.
Схема журнала SAP_HeartBeat_CL
| Поле | Description |
|---|---|
| TimeGenerated | Время публикации события в журнале |
| agent_id_s | Идентификатор агента в конфигурации агента (создается автоматически) |
| agent_ver_s | Версия агента |
| host_s | Имя узла агента |
| system_id_s | Идентификатор системы Netweaver ABAP / Узел Netweaver SAPControl (предварительная версия) / Узел Java SAPControl (предварительная версия) |
| push_timestamp_d | Метка времени извлечения в соответствии с часовым поясом агента |
| agent_timezone_s | Часовой пояс агента |
Ссылка на таблицы, полученные непосредственно из систем SAP
В этом разделе перечислены таблицы данных, получаемые непосредственно из системы SAP и принимаемые в Microsoft Sentinel в том виде, в каком они есть.
Чтобы данные из этих таблиц были приема в Microsoft Sentinel, настройте соответствующие параметры в файле systemconfig.json . Дополнительные сведения см. в разделе "Настройка сбора основных данных пользователей".
Данные, извлеченные из этих таблиц, дают четкое представление о структуре предоставления разрешений, членстве в группах и профилях пользователей. Кроме того, они позволяют отслеживать процесс предоставления и отзыва разрешений, а также выявлять риски, связанные с этими процессами, и управлять ими.
Перечисленные ниже таблицы необходимы для включения функций, которые идентифицируют привилегированных пользователей, сопоставляют пользователей с ролями, группами и разрешениями.
Чтобы получить наилучшие результаты, ознакомьтесь с этими таблицами, используя имя в столбце имени функции Microsoft Sentinel в следующей таблице:
| Имя таблицы | Описание таблицы | Имя функции Microsoft Sentinel |
|---|---|---|
| USR01 | Основная запись пользователя (данные среды выполнения) | SAP_USR01 |
| USR02 | Данные входа (использование на стороне ядра) | SAP_USR02 |
| UST04 | Основные записи пользователя Сопоставляет пользователей с профилями |
SAP_UST04 |
| AGR_USERS | Назначение ролей пользователям | SAP_AGR_USERS |
| AGR_1251 | Данные авторизации для группы действий | SAP_AGR_1251 |
| USGRP_USER | Назначение пользователей группам пользователей | SAP_USGRP_USER |
| USR21 | Имя пользователя / назначение ключа адреса | SAP_USR21 |
| ADR6 | Адреса электронной почты (службы бизнес-адресов) | SAP_ADR6 |
| USRSTAMP | Метка времени для всех изменений пользователя | SAP_USRSTAMP |
| ADCP | Person / Address Assignment (business address services) | SAP_ADCP |
| USR05 | Идентификатор основного параметра пользователя | SAP_USR05 |
| AGR_PROF | Имя профиля для роли | SAP_AGR_PROF |
| AGR_FLAGS | Атрибуты роли | SAP_AGR_FLAGS |
| DEVACCESS | Таблица для пользователя-разработчика | SAP_DEVACCESS |
| AGR_DEFINE | Определение роли | SAP_AGR_DEFINE |
| AGR_AGRS | Роли в составных ролях | SAP_AGR_AGRS |
| PAHI | Журнал параметров системы, базы данных и SAP | SAP_PAHI |
| SNCSYSACL (предварительная версия) | Список управления доступом SNC: Системы | SAP_SNCSYSACL |
| USRACL (предварительная версия) | Список управления доступом SNC: Пользователь | SAP_USRACL |
Связанный контент
Дополнительные сведения см. в разделе: