Справочник по журналам и таблицам для решения Microsoft Sentinel для приложений SAP
В этой статье описываются журналы и таблицы, доступные в рамках решения Microsoft Sentinel для приложений SAP и его соединителя данных.
Некоторые журналы, указанные в этой статье, по умолчанию не отправляются в Microsoft Sentinel, но их можно добавить вручную по мере необходимости. Дополнительные сведения см. в разделе "Определение журналов SAP, отправляемых в Microsoft Sentinel"
Содержимое этой статьи предназначено для команд SAP BASIS .
Внимание
Некоторые компоненты решения "Мониторинг угроз для SAP" Microsoft Sentinel в настоящее время находятся на этапе ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Использование функций в запросах вместо базовых журналов или таблиц
Настоятельно рекомендуется использовать доступные функции в качестве субъектов их анализа, если это возможно, вместо базовых журналов или таблиц.
Функции , предоставляемые решением Microsoft Sentinel для приложений SAP, предназначены для использования в качестве основного пользовательского интерфейса для данных. Они формируют базу для всех встроенных правил аналитики и книг, доступных для вас. Использование функций позволяет вносить изменения в инфраструктуру данных под функциями без нарушения содержимого, созданного пользователем.
Дополнительные сведения см . в решении Microsoft Sentinel для приложений SAP — справочник по функциям и функциям в запросах журнала Azure Monitor.
Покрытие журналов
Решение Microsoft Sentinel для приложений SAP собирает журналы из приложений, ОС и слоев данных, обеспечивая комплексную защиту системы SAP:
Уровень приложений: Microsoft Sentinel отслеживает действия на уровне ABAP, который является основным уровнем приложений в системах SAP, ответственным за выполнение бизнес-логики и обработки транзакций. Например, Microsoft Sentinel собирает журналы, которые включают действия пользователя, такие как вход, изменения пароля и доступ к отчетам или файлам.
Помимо мониторинга безопасности журналы, собранные на уровне приложений, также можно использовать для обеспечения соответствия требованиям и аудита.
Уровень ОС: Microsoft Sentinel собирает журналы из операционной системы для предоставления аналитических сведений о действиях на уровне ОС, таких как с сервера ABAP и виртуальных машин, на которых работают приложения SAP.
Используйте решение Microsoft Sentinel для приложений SAP вместе с содержимым безопасности и соединителями данных для других служб для комплексного и централизованного мониторинга, коррелируя информацию во всех системах и повышая общую безопасность.
Уровень базы данных: прием журналов базы данных в Microsoft Sentinel для мониторинга действий базы данных, таких как действия администрирования базы данных и изменения табличных данных. Решение Microsoft Sentinel для приложений SAP не зависит от базы данных.
Все журналы, собранные агентом соединителя данных, хранятся сначала на компьютере агента сборщика данных в /opt/sapcon/<sid>/log
папке в экземпляре контейнера. Затем журналы перенаправляются в рабочую область Log Analytics, где можно просматривать, проверять и запрашивать их из Microsoft Sentinel.
Журналы аудита собираются и обрабатываются каждую минуту, а другие журналы могут выполняться реже. Microsoft Sentinel также отслеживает пульс агента соединителя данных, чтобы убедиться, что журналы собираются и отправляются в рабочую область Log Analytics.
Справочник по журналам
В следующих разделах описываются журналы SAP, доступные из решения Microsoft Sentinel для соединителя данных приложений SAP, включая имена таблиц в Microsoft Sentinel, цели журнала и подробные схемы журналов.
Описания полей схемы основаны на описаниях полей в соответствующей документации SAP.
- Журнал приложений ABAP
- Журнал изменений ABAP Change Documents
- Журнал ABAP CR
- Журнал данных таблицы базы данных ABAP (предварительная версия)
- Журнал шлюза ABAP (предварительная версия)
- Журнал ICM ABAP (предварительная версия)
- Журнал заданий ABAP
- Журнал аудита безопасности ABAP
- Журнал Spool ABAP
- Журнал выходных данных APAB Spool
- Системный журнал ABAP
- Журнал рабочего процесса ABAP
- Журнал ABAP WorkProcess
- HANA DB Audit Trail
- Java-файлы
- Журнал пульса SAP
Журнал ABAP-приложений
Функция Microsoft Sentinel для запроса этого журнала: SAPAppLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: содержит записи о ходе выполнения приложения, чтобы его можно было при необходимости воссоздать позже.
Доступно с помощью RFC на основе стандартной таблицы SAP и стандартных служб интерфейса XBP. Этот журнал создается по клиентам.
Схема журнала ABAPAppLog_CL
Поле | Description |
---|---|
AppLogDateTime | Дата и время журнала приложений |
CallbackProgram | Программа обратного вызова |
CallbackRoutine | Подпрограмма обратного вызова |
CallbackType | Тип обратного вызова |
ClientID | Идентификатор клиента ABAP (MANDT) |
ContextDDIC | Структура контекста DDIC |
ExternalID | Идентификатор внешнего журнала |
Хост | Хост |
Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
InternalMessageSerial | Серийный номер сообщения в журнале приложений |
LevelofDetail | Уровень детализации |
LogHandle | Дескриптор журнала приложений |
LogNumber | Номер журнала |
MessageClass | Класс сообщения |
MessageNumber | Номер сообщения |
MessageText | Текст сообщения |
MessageType | Тип сообщения |
Object | Объект журнала приложения |
OperationMode | Режим работы |
ProblemClass | Класс проблемы |
ProgramName | Имя программы |
SortCriterion | Критерий сортировки |
StandardText | Стандартный текст |
SubObject | Подобъект журнала приложения |
SystemID | ИД системы |
SystemNumber | Номер системы |
TransactionCode | Код транзакции |
User | User |
UserChange | Изменение пользователя |
Журнал документов изменений ABAP
Функция Microsoft Sentinel для запроса этого журнала: SAPChangeDocsLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала. Содержит следующие записи:
записанные в журнале ABAP сервера приложений (AS) SAP NetWeaver изменения в объектах бизнес-данных согласно документам изменений;
другие сущности в системе SAP, такие как данные пользователя, роли, адреса.
Доступно с помощью RFC на основе стандартных таблиц SAP. Этот журнал создается по клиентам.
Схема журнала ABAPChangeDocsLog_CL
Поле | Description |
---|---|
ActualChangeNum | Фактический номер изменения |
ChangedTableKey | Ключ измененной таблицы |
ChangeNumber | Номер изменения |
ClientID | Идентификатор клиента ABAP (MANDT) |
CreatedfromPlannedChange | Создано из запланированного изменения; синтаксис: (‘X’ , ‘ ‘) |
CurrencyKeyNew | Ключ валюты: новое значение |
CurrencyKeyOld | Ключ валюты: прежнее значение |
FieldName | Имя поля |
FlagText | Текст флага |
Хост | Хост |
Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
Язык | Язык |
ObjectClass | Класс объекта, например BELEG , BPAR , PFCG , IDENTITY |
ObjectID | Код объекта |
PlannedChangeNum | Номер запланированного изменения |
SystemID | ИД системы |
SystemNumber | Номер системы |
TableName | Имя таблицы |
TransactionCode | Код транзакции |
TypeofChange_Header | Тип изменения заголовка, в том числе: U — изменение; I — вставка; E — удаление одного документа; D — удаление; J — вставка одного документа |
TypeofChange_Item | Тип изменения элемента, в том числе: U — изменение; I — вставка; E — удаление одного документа; D — удаление; J — вставка одного документа |
UOMNew | Единица измерения: новое значение |
UOMOld | Единица измерения: прежнее значение |
User | User |
ValueNew | Содержимое поля: новое значение |
ValueOld | Содержимое поля: прежнее значение |
Версия | Версия |
Журнал CR ABAP
Функция Microsoft Sentinel для запроса этого журнала: SAPCRLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: включает в себя журналы системы регистрации и распространения изменений (CTS), в том числе объекты каталогов и настройки, в которые были внесены изменения.
Доступно с помощью RFC на основе стандартных таблиц и стандартных служб SAP. Этот журнал создается с использованием данных по всем клиентам.
Примечание.
Помимо журнала приложений, документов изменений и записей в таблицах, все изменения, вносимые в рабочую систему с помощью системы регистрации и распространения изменений, документируются в журналах CTS и TMS.
Схема журнала ABAPCRLog_CL
Поле | описание |
---|---|
Категория | Категория (Workbench, настройка) |
ClientID | Идентификатор клиента ABAP (MANDT) |
Description | Description |
Host | Хост |
Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
ObjectName | Наименование объекта |
ObjectType | Тип объекта |
Ответственный | Ответственный |
Запросить | Запрос на изменение |
Состояние | Состояние |
SystemID | ИД системы |
SystemNumber | Номер системы |
TableKey | Ключ таблицы |
TableName | Имя таблицы |
ViewName | Имя представления |
Журнал данных таблицы базы данных ABAP (предварительная версия)
Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json.
Функция Microsoft Sentinel для запроса этого журнала: SAPTableDataLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: обеспечивает ведение журнала для таблиц, которые являются критическими или могут быть предметом аудита.
Доступен путем использования RFC с настраиваемой службой. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPTableDataLog_CL
Поле | Description |
---|---|
DBLogID | Идентификатор журнала базы данных |
Хост | Хост |
Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
Язык | Язык |
LogKey | Ключ журнала |
NewValue | Новое значение поля |
OldValue | Прежнее значение поля |
OperationTypeSQL | Тип операции: Insert , Update , Delete |
Программа | Имя программы |
SystemID | ИД системы |
SystemNumber | Номер системы |
TableField | Поле таблицы |
TableName | Имя таблицы |
TransactionCode | Код транзакции |
UserName | User |
VersionNumber | Номер версии |
Журнал шлюза ABAP (предварительная версия)
Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json.
Функция Microsoft Sentinel для запроса этого журнала: SAPOS_GW
Соответствующая документация SAP: портал справки SAP
Назначение журнала: отслеживание действий на шлюзе. Доступно веб-службой SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPOS_GW_CL
Поле | Description |
---|---|
Host | Хост |
Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
MessageText | Текст сообщения |
Важность | Серьезность сообщения: Debug , Info , Warning , Error |
SystemID | ИД системы |
SystemNumber | Номер системы |
Журнал ICM ABAP (предварительная версия)
Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json.
Функция Microsoft Sentinel для запроса этого журнала: SAPOS_ICM
Соответствующая документация SAP: портал справки SAP
Назначение журнала: содержит записи о входящих и исходящих запросах, а также статистику HTTP-запросов.
Доступно веб-службой SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPOS_ICM_CL
Поле | Description |
---|---|
Host | Хост |
Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
MessageText | Текст сообщения |
Важность | Серьезность сообщения: Debug , Info , Warning , Error |
SystemID | ИД системы |
SystemNumber | Номер системы |
Журнал заданий ABAP
Функция Microsoft Sentinel для запроса этого журнала: SAPJobLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: объединяет в себе все журналы заданий фоновой обработки (SM37).
Доступно с помощью RFC на основе стандартной таблицы SAP и стандартных служб интерфейсов XBP. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPJobLog_CL
Поле | Description |
---|---|
ABAPProgram | Программа ABAP |
BgdEventParameters | Параметры фонового события |
BgdProcessingEvent | Событие фоновой обработки |
ClientID | Идентификатор клиента ABAP (MANDT) |
DynproNumber | Номер Dynpro |
GUIStatus | Состояние графического пользовательского интерфейса |
Хост | Хост |
Экземпляр | Экземпляр ABAP (HOST_SYSID_SYSNR); синтаксис: <HOST>_<SYSID>_<SYSNR> |
JobClassification | Классификация задания |
JobCount | Число заданий |
JobGroup | Группа заданий |
JobName | Имя задания |
JobPriority | приоритет задания |
MessageClass | Класс сообщения |
MessageNumber | Номер сообщения |
MessageText | Текст сообщения |
MessageType | Тип сообщения |
ReleaseUser | Пользователь, выпустивший задание |
SchedulingDateTime | Запланированные дата и время |
StartDateTime | Дата и время начала |
SystemID | ИД системы |
SystemNumber | Номер системы |
TargetServer | Целевой сервер |
User | User |
UserReleaseInstance | Экземпляр ABAP — пользовательский выпуск |
WorkProcessID | Идентификатор рабочего процесса |
WorkProcessNumber | Номер рабочего процесса |
Журнал аудита безопасности ABAP
Функция Microsoft Sentinel для запроса этого журнала: SAPAuditLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала. Содержит следующие записи:
- изменения в среде системы SAP, связанные с безопасностью, например изменения записей основного пользователя;
- сведения, являющиеся более высокоуровневым представлением данных, например успешные и неудачные попытки входа;
- сведения, по которым можно воспроизвести ряд событий, например успешные или неудачные запуски транзакций.
Доступен через интерфейсы XAL/SAL RFC. Интерфейс SAL доступен, начиная с версии Basis 7.50. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPAuditLog_CL
Поле | Description |
---|---|
ABAPProgramName | Имя программы (только SAL) |
AlertSeverity | Серьезность оповещения |
AlertSeverityText | Текст с указанием степени серьезности оповещения (только SAL) |
AlertValue | Значение оповещения |
AuditClassID | Идентификатор класса аудита (только SAL) |
ClientID | Идентификатор клиента ABAP (MANDT) |
Компьютер | Компьютер пользователя (только SAL) |
Эл. почта | Адрес электронной почты пользователя |
Хост | Хост |
Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
MessageClass | Класс сообщения |
MessageContainerID | Идентификатор контейнера сообщений (только XAL) |
MessageID | Идентификатор сообщения, например ‘AU1’,’AU2’… |
MessageText | Текст сообщения |
MonitoringObjectName | Имя объекта монитора МТЕ (только XAL) |
MonitorShortName | Краткое имя монитора МТЕ (только XAL) |
SAPProcesType | Системный журнал: тип процесса SAP (только SAL) |
B* — фоновая обработка | |
D* — обработка в диалоговом режиме | |
U* — задачи обновления | |
SAPWPName | Системный журнал: номер рабочего процесса (только SAL) |
SystemID | ИД системы |
SystemNumber | Номер системы |
TerminalIPv6 | IP-адрес компьютера пользователя (только SAL) |
TransactionCode | Код транзакции (только SAL) |
User | User |
Variable1 | Переменная сообщения 1 |
Variable2 | Переменная сообщения 2 |
Variable3 | Переменная сообщения 3 |
Variable4 | Переменная сообщения 4 |
Журнал очереди печати ABAP
Функция Microsoft Sentinel для запроса этого журнала: SAPSpoolLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: служит основным журналом для печати SAP с историей запросов spool. (SP01).
Доступно с помощью RFC на основе стандартной таблицы SAP. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPSpoolLog_CL
Поле | Description |
---|---|
ArchiveStatus | Состояние архива |
ArchiveType | Тип архива |
ArchivingDevice | Устройство архивации |
AutoRereoute | Автоматическое перенаправление |
ClientID | Идентификатор клиента ABAP (MANDT) |
CountryKey | Ключ страны |
DeleteSpoolRequestAuto | Автоматическое удаление запроса на постановку в очередь печати |
DelFlag | Флаг удаления |
Отдел | Отдел |
DocumentType | Document type |
ExternalMode | Внешний режим |
FormatType | Тип формата |
Хост | Хост |
Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
NumofCopies | Число копий |
OutputDevice | Устройство вывода |
PrinterLongName | Длинное имя принтера |
PrintImmediately | Немедленная печать |
PrintOSCoverPage | Печать страницы OSCover |
PrintSAPCoverPage | Печать страницы SAPCover |
Приоритет | Приоритет |
RecipientofSpoolRequest | Получатель запроса на постановку в очередь печати |
SpoolErrorStatus | Состояние ошибки очереди печати |
SpoolRequestCompleted | Запрос на постановку в очередь печати выполнен |
SpoolRequestisALogForAnotherRequest | Запрос на постановку в очередь печати представляет собой журнал другого запроса |
SpoolRequestName | Имя запроса на постановку в очередь печати |
SpoolRequestName | Номер запроса на постановку в очередь печати |
SpoolRequestSuffix1 | Суффикс 1 запроса на постановку в очередь печати |
SpoolRequestSuffix2 | Суффикс 2 запроса на постановку в очередь печати |
SpoolRequestTitle | Название запроса на постановку в очередь печати |
SystemID | ИД системы |
SystemNumber | Номер системы |
TelecommunicationsPartner | Партнер по телекоммуникациям |
TelecommunicationsPartnerE | Партнер E по телекоммуникациям |
TemSeGeneralcounter | Счетчик Temse |
TemseNumAddProtectionRule | Правило защиты от добавления номера Temse |
TemseNumChangeProtectionRule | Правило защиты от изменения номера Temse |
TemseNumDeleteProtectionRule | Правило защиты от удаления номера Temse |
TemSeObjectName | Имя объекта Temse |
TemSeObjectPart | Часть объекта Temse |
TemseReadProtectionRule | Правило защиты от чтения Temse |
User | User |
ValueAuthCheck | Проверка подлинности значения |
Журнал печати из очереди APAB
Функция Microsoft Sentinel для запроса этого журнала: SAPSpoolOutputLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: служит основным журналом печати SAP и содержит историю запросов на печать из очереди. (SP02).
Доступен путем использования RFC с настраиваемой службой на основе стандартных таблиц. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPSpoolOutputLog_CL
Поле | Description |
---|---|
AppServer | Сервер приложений |
ClientID | Идентификатор клиента ABAP (MANDT) |
Комментарий | Комментарий |
CopyCount | Число копий |
CopyCounter | Счетчик копий |
Отдел | Отдел |
ErrorSpoolRequestNumber | Номер запроса ошибки очереди печати |
FormatType | Тип формата |
Хост | Хост |
HostName | Host name |
HostSpoolerID | Идентификатор диспетчера очереди печати узла |
Экземпляр | Экземпляр ABAP |
LastPage | Последняя страница |
NumofCopies | Число копий |
OutputDevice | Устройство вывода |
OutputRequestNumber | Номер запроса на печать |
OutputRequestStatus | Состояние запроса на печать |
PhysicalFormatType | Тип физического формата |
PrinterLongName | Длинное имя принтера |
PrintRequestSize | Размер запроса на печать |
Приоритет | Приоритет |
ReasonforOutputRequest | Причина запроса на печать |
RecipientofSpoolRequest | Получатель запроса на постановку в очередь печати |
SpoolNumberofOutputReqProcessed | Число запросов на печать — обработанных |
SpoolNumberofOutputReqWithErrors | Число запросов на печать — с ошибками |
SpoolNumberofOutputReqWithProblems | Число запросов на печать — с проблемами |
SpoolRequestName | Номер запроса на постановку в очередь печати |
StartPage | Начальная страница |
SystemID | ИД системы |
SystemNumber | Номер системы |
TelecommunicationsPartner | Партнер по телекоммуникациям |
TemSeGeneralcounter | Счетчик Temse |
Заголовок | Заголовок |
User | User |
Системный журнал ABAP
Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json.
Функция Microsoft Sentinel для запроса этого журнала: SAPOS_Syslog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: содержит записи о системных ошибках и предупреждениях ABAP, блокировках известных пользователей из-за неудачных попыток входа, а также технологические сообщения со всех серверов приложений SAP NETWEAVER (SAP NetWeaver AS).
Доступно веб-службой SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPOS_Syslog_CL
Поле | Description |
---|---|
ClientID | Идентификатор клиента ABAP (MANDT) |
Хост | Хост |
Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
MessageNumber | Номер сообщения |
MessageText | Текст сообщения |
Важность | Серьезность сообщения: Debug , Info , Warning , Error |
SystemID | ИД системы |
SystemNumber | Номер системы |
TransacationCode | Код транзакции |
Тип | Тип процесса SAP |
User | User |
Журнал ABAP Workflow
Функция Microsoft Sentinel для запроса этого журнала: SAPWorkflowLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: SAP Business Workflow (WebFlow Engine) позволяет определять бизнес-процессы, для которых еще нет сопоставления в системе SAP.
Например, несопоставленные бизнес-процессы могут быть простыми процедурами выпуска или утверждения или более сложными бизнес-процессами, такими как создание базового материала, а затем координация связанных отделов.
Доступно с помощью RFC на основе стандартных таблиц SAP. Этот журнал создается по клиентам.
Схема журнала ABAPWorkflowLog_CL
Поле | Description |
---|---|
ActualAgent | Фактический агент |
Адрес | Адрес |
ApplicationArea | Область приложения |
CallbackFunction | Функция обратного вызова |
ClientID | Идентификатор клиента ABAP (MANDT) |
CreationDateTime | Дата и время создания |
Создатель | Создатель |
CreatorAddress | Адрес создателя |
ErrorType | Тип ошибки |
ExceptionforMethod | Исключение для метода |
Хост | Хост |
Экземпляр | Экземпляр ABAP (HOST_SYSID_SYSNR); синтаксис: <HOST>_<SYSID>_<SYSNR> |
Язык | Язык |
LogCounter | Счетчик журнала |
MessageNumber | Номер сообщения |
MessageType | Тип сообщения |
MethodUser | Пользователь метода |
Приоритет | Приоритет |
SimpleContainer | Простой контейнер, упакованный в виде списка сущностей "ключ-значение" для рабочего элемента |
Состояние | Состояние |
SuperWI | Вышестоящий рабочий элемент |
SystemID | ИД системы |
SystemNumber | Номер системы |
TaskID | Идентификатор задачи |
TasksClassification | Классификации задач |
TaskText | Текст задачи |
TopTaskID | Идентификатор верхней задачи |
UserCreated | Создается пользователем |
WIText | Текст рабочего элемента |
WIType | Тип рабочего элемента |
WorkflowAction | Действие бизнес-процесса |
WorkItemID | Идентификатор рабочего элемента |
Журнал рабочих процессов ABAP
Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json.
Функция Microsoft Sentinel для запроса этого журнала: SAPOS_WP
Соответствующая документация SAP: портал справки SAP
Назначение журнала: объединяет в себе все журналы рабочих процессов. (Значение по умолчанию —
dev_*
).Доступно веб-службой SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPOS_WP_CL
Поле | Description |
---|---|
Host | Хост |
Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
MessageText | Текст сообщения |
Важность | Серьезность сообщения: Debug , Info , Warning , Error |
SystemID | ИД системы |
SystemNumber | Номер системы |
WPNumber | Номер рабочего процесса |
Журнал аудита базы данных HANA
Сбор журнала аудита базы данных HANA является примером того, как Microsoft Sentinel собирает действия уровня базы данных. Чтобы отправить этот журнал в Microsoft Sentinel, необходимо развернуть агент Azure Monitor для сбора данных системного журнала с компьютера под управлением базы данных HANA.
Функция Microsoft Sentinel для запроса этого журнала: SAPSyslog
Соответствующая документация SAP: Общая | Журнал аудита
Назначение журнала: содержит записи о действиях пользователя или попытках выполнения действий с базой данных SAP HANA. В частности, этот журнал позволяет регистрировать и отслеживать доступ для чтения к конфиденциальным данным.
Доступен агентом Microsoft Sentinel Linux для syslog. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала Syslog
Поле | Description |
---|---|
Компьютер | Host name |
HostIP | IP-адрес узла |
HostName | Host name |
ProcessID | Идентификатор процесса |
Имя процесса | Имя процесса: HDB* |
SeverityLevel | Предупреждение |
SourceSystem | ОС исходной системы: Linux |
SyslogMessage | Сообщение — непроанализированное сообщение из журнала аудита |
Файлы JAVA
Чтобы отправить этот журнал в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.json.
Функция Microsoft Sentinel для запроса этого журнала: SAPJAVAFilesLogs
Соответствующая документация SAP: Общая | Журнал аудита безопасности Java
Назначение журнала: объединяет в себе все журналы на основе файлов Java, включая журнал аудита безопасности, а также журналы системы (процессов кластера и сервера), производительности и шлюза. Кроме того, содержит данные трассировки для разработчиков и журналы трассировки по умолчанию.
Доступно веб-службой SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала JavaFilesLogsCL
Поле | Description |
---|---|
Приложение | Приложение Java |
ClientID | Client ID |
CSNComponent | Компонент CSN, например BC-XI-IBD |
DCComponent | Компонент DC, например com.sap.xi.util.misc |
DSRCounter | Счетчик DSR |
DSRRootContentID | GUID контекста DSR |
DSRTransaction | GUID транзакции DSR |
Хост | Хост |
Экземпляр | Экземпляр Java; синтаксис: <HOST>_<SYSID>_<SYSNR> |
Расположение | Класс Java |
LogName | Имя журнала Java, например: Available , defaulttrace , dev* , security и т. д. |
MessageText | Текст сообщения |
MNo | Номер сообщения |
Pid | Идентификатор процесса |
Программа | Имя программы |
Сеанс | Сеанс |
Важность | Серьезность сообщения: Debug ,Info ,Warning ,Error |
Решение | Решение |
SystemID | ИД системы |
SystemNumber | Номер системы |
ThreadName (имя потока) | Имя потока |
Thrown | Вызов исключения |
Часовой пояс | Часовой пояс |
User | User |
Журнал пульса SAP
Функция Microsoft Sentinel для запроса этого журнала: SAPConnectorHealth
Назначение журнала: Предоставляет пульс и другие сведения о работоспособности подключения между агентами и различными системами SAP.
Автоматически создается для всех агентов Microsoft Sentinel для соединителя данных SAP.
Схема журнала SAP_HeartBeat_CL
Поле | Description |
---|---|
TimeGenerated | Время публикации события в журнале |
agent_id_s | Идентификатор агента в конфигурации агента (создается автоматически) |
agent_ver_s | Версия агента |
host_s | Имя узла агента |
system_id_s | Идентификатор системы Netweaver ABAP / Узел Netweaver SAPControl (предварительная версия) / Узел Java SAPControl (предварительная версия) |
push_timestamp_d | Метка времени извлечения в соответствии с часовым поясом агента |
agent_timezone_s | Часовой пояс агента |
Ссылка на таблицы, полученные непосредственно из систем SAP
В этом разделе перечислены таблицы данных, получаемые непосредственно из системы SAP и принимаемые в Microsoft Sentinel в том виде, в каком они есть.
Чтобы данные из этих таблиц были приема в Microsoft Sentinel, настройте соответствующие параметры в файле systemconfig.json . Дополнительные сведения см. в разделе "Настройка сбора основных данных пользователей".
Данные, извлеченные из этих таблиц, дают четкое представление о структуре предоставления разрешений, членстве в группах и профилях пользователей. Кроме того, они позволяют отслеживать процесс предоставления и отзыва разрешений, а также выявлять риски, связанные с этими процессами, и управлять ими.
Перечисленные ниже таблицы необходимы для включения функций, которые идентифицируют привилегированных пользователей, сопоставляют пользователей с ролями, группами и разрешениями.
Чтобы получить наилучшие результаты, ознакомьтесь с этими таблицами, используя имя в столбце имени функции Microsoft Sentinel в следующей таблице:
Имя таблицы | Описание таблицы | Имя функции Microsoft Sentinel |
---|---|---|
USR01 | Основная запись пользователя (данные среды выполнения) | SAP_USR01 |
USR02 | Данные входа (использование на стороне ядра) | SAP_USR02 |
UST04 | Основные записи пользователя Сопоставляет пользователей с профилями |
SAP_UST04 |
AGR_USERS | Назначение ролей пользователям | SAP_AGR_USERS |
AGR_1251 | Данные авторизации для группы действий | SAP_AGR_1251 |
USGRP_USER | Назначение пользователей группам пользователей | SAP_USGRP_USER |
USR21 | Имя пользователя / назначение ключа адреса | SAP_USR21 |
ADR6 | Адреса электронной почты (службы бизнес-адресов) | SAP_ADR6 |
USRSTAMP | Метка времени для всех изменений пользователя | SAP_USRSTAMP |
ADCP | Person / Address Assignment (business address services) | SAP_ADCP |
USR05 | Идентификатор основного параметра пользователя | SAP_USR05 |
AGR_PROF | Имя профиля для роли | SAP_AGR_PROF |
AGR_FLAGS | Атрибуты роли | SAP_AGR_FLAGS |
DEVACCESS | Таблица для пользователя-разработчика | SAP_DEVACCESS |
AGR_DEFINE | Определение роли | SAP_AGR_DEFINE |
AGR_AGRS | Роли в составных ролях | SAP_AGR_AGRS |
PAHI | Журнал параметров системы, базы данных и SAP | SAP_PAHI |
SNCSYSACL (предварительная версия) | Список управления доступом SNC: Системы | SAP_SNCSYSACL |
USRACL (предварительная версия) | Список управления доступом SNC: Пользователь | SAP_USRACL |
Связанный контент
Дополнительные сведения см. в разделе: