Felsöka din Microsoft Sentinel-lösning för distribution av SAP-program®
Användbara Docker-kommandon
När du felsöker din Microsoft Sentinel för SAP-dataanslutning kan följande kommandon vara användbara:
Funktion | Command |
---|---|
Stoppa Docker-containern | docker stop sapcon-[SID] |
Starta Docker-containern | docker start sapcon-[SID] |
Visa Docker-systemloggar | docker logs -f sapcon-[SID] |
Ange Docker-containern | docker exec -it sapcon-[SID] bash |
Mer information finns i Docker CLI-dokumentationen.
Granska systemloggar
Vi rekommenderar starkt att du granskar systemloggarna när du har installerat eller återställt dataanslutningen.
Kör:
docker logs -f sapcon-[SID]
Aktivera/inaktivera felsökningslägesutskrift
Aktivera felsökningslägesutskrift:
Redigera filen /opt/sapcon/[SID]/systemconfig.ini på den virtuella datorn.
Definiera avsnittet Allmänt om det inte har definierats tidigare. I det här avsnittet definierar du
logging_debug = True
.Till exempel:
[General] logging_debug = True
Spara filen.
Ändringen börjar gälla två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.
Inaktivera felsökningslägesutskrift:
Redigera filen /opt/sapcon/[SID]/systemconfig.ini på den virtuella datorn.
I avsnittet Allmänt definierar du
logging_debug = False
.Till exempel:
[General] logging_debug = False
Spara filen.
Ändringen börjar gälla två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.
Visa alla containerkörningsloggar
Anslut eller körningsloggar för din Microsoft Sentinel-lösning för distribution av SAP-program® lagras dataanslutningsdistributionen på den virtuella datorn i /opt/sapcon/[SID]/log/. Loggfilnamnet är OmniLog.log. En historik över loggfiler behålls, suffixet med .[ t.ex . OmniLog.log.1, OmniLog.log.2 osv.
Granska och uppdatera konfigurationen för Microsoft Sentinel för SAP-dataanslutning
Om du vill kontrollera konfigurationsfilen för Microsoft Sentinel för SAP-dataanslutning och göra manuella uppdateringar utför du följande steg:
Öppna konfigurationsfilen på den virtuella datorn:
- sapcon/[SID]/systemconfig.json för agentversioner som släpptes den 22 juni 2023 eller senare.
- sapcon/[SID]/systemconfig.ini för agentversioner som släpptes före den 22 juni 2023.
Uppdatera konfigurationen om det behövs och spara filen.
Ändringen börjar gälla två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.
Återställa Microsoft Sentinel för SAP-dataanslutningsappen
Följande steg återställer anslutningsappen och återställer SAP-loggarna från de senaste 30 minuterna.
Stoppa anslutningsappen. Kör:
docker stop sapcon-[SID]
Ta bort metadata.db-filenfrån katalogen /opt/sapcon/[SID]. Kör:
cd /opt/sapcon/<SID> rm metadata.db
Kommentar
Filen metadata.db innehåller den sista tidsstämpeln för var och en av loggarna och fungerar för att förhindra duplicering.
Starta anslutningsappen igen. Kör:
docker start sapcon-[SID]
Se till att granska systemloggarna när du är klar.
IP-adress- eller transaktionskodfält saknas i SAP-granskningsloggen
Med den här lösningen kan SAP-system med versioner för SAP BASIS 7.5 SP12 och senare återspegla ytterligare fält i tabellerna ABAPAuditLog_CL
och SAPAuditLog
.
Om du använder SAP BASIS-versioner som är högre än 7,5 SP12 och ip-adress- eller transaktionskodfält saknas i SAP-granskningsloggen kontrollerar du att SAP-systemet som du extraherar data från innehåller relevanta ändringsbegäranden (transporter). Mer information finns i avsnittet Hämta ytterligare information från SAP i förutsättningarna.
Inga data visas i SAP-tabelldataloggen
Med den här lösningen kan SAP-system med versioner för SAP BASIS 7.5 SP12 och senare återspegla ändringar i tabelldataloggen ABAPTableDataLog_CL
i tabellen.
Om inga data visas i ABAPTableDataLog_CL
tabellen kontrollerar du att SAP-systemet som du extraherar data från innehåller relevanta ändringsbegäranden (transporter). Mer information finns i avsnittet Hämta ytterligare information från SAP i förutsättningarna.
Vanliga problem
När du har distribuerat både Microsoft Sentinel för SAP-dataanslutning och säkerhetsinnehåll kan det uppstå följande fel eller problem:
Skadad eller saknad SAP SDK-fil
Det här felet kan inträffa när anslutningsappen inte kan startas med PyRfc eller zip-relaterade felmeddelanden visas.
- Installera om SAP SDK.
- Kontrollera att du är rätt Linux 64-bitarsversion. Från och med det aktuella datumet är versionsfilnamnet: nwrfc750P_8-70002752.zip.
Om du hade installerat dataanslutningsappen manuellt kontrollerar du att du har kopierat SDK-filen till Docker-containern.
Kör:
Docker cp SDK by running docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/
ABAP-körningsfel visas i ett stort system
Om ABAP-körningsfel visas i stora system kan du prova att ange en mindre segmentstorlek:
Redigera filen /opt/sapcon/[SID]/systemconfig.ini och definiera
timechunk = 5
i avsnittet Anslut ellerkonfiguration .Till exempel:
[Connector Configuration] timechunk = 5
spara filen.
Ändringen börjar gälla två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.
Kommentar
Tidskunkstorleken definieras i minuter.
Tom eller ingen granskningslogg hämtad, utan några särskilda felmeddelanden
- Kontrollera att granskningsloggning är aktiverat i SAP.
- Kontrollera SM19- eller RSAU_CONFIG-transaktionerna.
- Aktivera alla händelser efter behov.
- Kontrollera om meddelanden anländer och finns i SAP SM20 eller RSAU_READ_LOG, utan några särskilda fel som visas i anslutningsloggen.
Felaktigt Microsoft Sentinel-arbetsyte-ID eller nyckel
Om du inser att du har angett ett felaktigt arbetsyte-ID eller nyckel i distributionsskriptet uppdaterar du autentiseringsuppgifterna som lagras i Azure Key Vault.
När du har verifierat dina autentiseringsuppgifter i Azure KeyVault startar du om containern:
docker restart sapcon-[SID]
Felaktiga autentiseringsuppgifter för SAP ABAP-användare i en fast konfiguration
En fast konfiguration är när lösenordet lagras direkt i systemconfig.ini konfigurationsfilen.
Om dina autentiseringsuppgifter är felaktiga kontrollerar du dina autentiseringsuppgifter.
Använd base64-kryptering för att kryptera användaren och lösenordet. Du kan använda krypteringsverktyg online för att kryptera dina autentiseringsuppgifter, till exempel https://www.base64encode.org/.
Felaktiga autentiseringsuppgifter för SAP ABAP-användare i nyckelvalvet
Kontrollera dina autentiseringsuppgifter och åtgärda dem efter behov och tillämpa rätt värden på ABAPUSER - och ABAPPASS-värdena i Azure Key Vault.
Starta sedan om containern:
docker restart sapcon-[SID]
ABAP-behörigheter (SAP-användare) saknas
Om du får ett felmeddelande som liknar: .. Serverdels-RFC-auktorisering saknas.., dina SAP-auktoriseringar och din roll tillämpades inte korrekt.
Kontrollera att rollen MSFTSEN/SENTINEL_CONNECTOR importerades som en del av en ändringsbegäranstransport och tillämpades på anslutningsanvändaren.
Kör rollgenererings- och användarjämförelseprocessen med sap-transaktions-PFCG.
Saknade data i dina arbetsböcker eller aviseringar
Om du upptäcker att du saknar data i dina Microsoft Sentinel-arbetsböcker eller aviseringar kontrollerar du att auditlog-principen är korrekt aktiverad på SAP-sidan, utan fel i loggfilen.
Använd den RSAU_CONFIG_LOG transaktionen för det här steget.
SAP-ändringsbegäran saknas
Om du ser fel om att du saknar en obligatorisk SAP-ändringsbegäran kontrollerar du att du har importerat rätt SAP-ändringsbegäran för systemet.
Mer information finns i Valideringssteg för ValidateSAP-miljön.
Inga poster/sena poster
Agenten förlitar sig på att tidszonsinformationen är korrekt. Om du ser att det inte finns några poster i SAP-gransknings- och ändringsloggarna, eller om poster ständigt ligger några timmar efter, kontrollerar du om SAP-rapporten TZCUSTHELP uppvisar några fel. Följ SAP-anteckningen 481835 för mer information. Dessutom kan det finnas problem med klockan på den virtuella datorn där Microsoft Sentinel-lösningen för SAP-programagenten® finns. Avvikelsen för den virtuella datorns klocka från UTC påverkar datainsamlingen. Ännu viktigare är att den virtuella SAP-datorns klocka och Sentinel-agentens vm-klocka ska matcha.
Problem med nätverksanslutning
Om du har problem med nätverksanslutningen till SAP-miljön eller Till Microsoft Sentinel kontrollerar du nätverksanslutningen för att se till att data flödar som förväntat.
Vanliga problem:
Brandväggar mellan Docker-containern och SAP-värdarna kan blockera trafik. SAP-värden tar emot kommunikation via följande TCP-portar, som måste vara öppna: 32xx, 5xx13 och 33xx, där xx är SAP-instansnumret.
Utgående kommunikation från DIN SAP-värd till Microsoft Container Registry eller Azure kräver proxykonfiguration. Detta påverkar vanligtvis installationen och kräver att du konfigurerar
HTTP_PROXY
miljövariablerna ochHTTPS_PROXY
. Du kan också mata in miljövariabler i docker-containern när du skapar containern genom att lägga till-e
flaggan i docker-kommandot /create
run
.
Andra oväntade problem
Om du har oväntade problem som inte visas i den här artikeln kan du prova följande steg:
- Återställa anslutningsappen och läsa in loggarna igen
- Uppgradera anslutningsappen till den senaste versionen.
Dricks
Återställa anslutningsappen och se till att du har de senaste uppgraderingarna rekommenderas också efter större konfigurationsändringar.
Det går inte att hämta en granskningslogg med varningar
Om du försöker hämta en granskningslogg, utan att den begärda ändringsbegäran har distribuerats eller på en äldre/oskickad version, och processen misslyckas med varningar, kontrollerar du att SAP-granskningsloggen kan hämtas med någon av följande metoder:
- Använda ett kompatibilitetsläge med namnet XAL i äldre versioner
- Använda en version som inte nyligen har korrigerats
- Utan den nödvändiga ändringsbegäran installerad
Systemet bör automatiskt växla till kompatibilitetsläge om det behövs, men du kan behöva växla det manuellt. Växla till kompatibilitetsläge manuellt:
Redigera filen /opt/sapcon/[SID]/systemconfig.ini
I avsnittet Anslut ellerkonfiguration definierar duin:
auditlogforcexal = True
Till exempel:
[Connector Configuration] auditlogforcexal = True
spara filen.
Ändringen börjar gälla två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.
SAPCONTROL- eller JAVA-undersystem kan inte ansluta
Kontrollera att OS-användaren är giltig och kan köra följande kommando i SAP-målsystemet:
sapcontrol -nr <SID> -function GetSystemInstanceList
SAPCONTROL- eller JAVA-undersystem misslyckas med tidszonsrelaterat felmeddelande
Om ditt SAPCONTROL- eller JAVA-undersystem misslyckas med ett tidszonsrelaterat felmeddelande, till exempel: Kontrollera konfigurationen och nätverksåtkomsten till SAP-servern – Etc/NZST, kontrollerar du att du använder standardtidszonkoder.
Använd till exempel javatz = GMT+12
eller abaptz = GMT-3**
.
Det går inte att importera transporterna av ändringsbegäran till SAP
Om du inte kan importera nödvändiga SAP-loggändringsbegäranden och får ett fel om en ogiltig komponentversion lägger du till ignore invalid component version
när du importerar ändringsbegäran.
Granskningsloggdata matas inte in efter den första inläsningen
Om SAP-granskningsloggdata, som visas i antingen RSAU_READ_LOAD - eller SM200-transaktioner , inte matas in i Microsoft Sentinel efter den första belastningen kan du ha en felkonfiguration av SAP-systemet och SAP-värdoperativsystemet.
- Initiala inläsningar matas in efter en ny installation av Microsoft Sentinel för SAP-dataanslutningsappen eller efter att metadata.db-filen har tagits bort.
- Ett exempel på felkonfiguration kan vara när sapsystemets tidszon är inställd på CET i STZAC-transaktionen , men tidszonen för SAP-värdoperativsystemet är inställd på UTC.
Om du vill söka efter felkonfigurationer kör du RSDBTIME-rapporten i transaktionen SE38. Om du hittar ett matchningsfel mellan SAP-systemet och SAP-värdoperativsystemet:
Stoppa Docker-containern. Kör
docker stop sapcon-[SID]
Ta bort metadata.db-filenfrån katalogen /opt/sapcon/[SID]. Kör:
rm /opt/sapcon/[SID]/metadata.db
Uppdatera SAP-systemet och SAP-värdoperativsystemet så att de har matchande inställningar, till exempel samma tidszon. Mer information finns i SAP Community Wiki.
Starta containern igen. Kör:
docker start sapcon-[SID]
IP-adress- eller transaktionskodfält saknas i SAP-granskningsloggen
Med den här lösningen kan SAP-system med versioner för SAP BASIS 7.5 SP12 och senare återspegla ytterligare fält i tabellerna ABAPAuditLog_CL och SAPAuditLog. Om du använder SAP BASIS-versioner som är högre än 7,5 SP12 och ip-adress- eller transaktionskodfält saknas i SAP-granskningsloggen kontrollerar du att SAP-systemet som du extraherar data från innehåller relevanta ändringsbegäranden (transporter). Mer information finns i Hämta ytterligare information från SAP (valfritt).
Inga data visas i SAP-tabelldataloggen
Med den här lösningen kan SAP-system med versioner för SAP BASIS 7.5 SP12 och senare återspegla ändringar i tabelldataloggen i tabellen ABAPTableDataLog_CL. Om inga data visas i ABAPTableDataLog_CL kontrollerar du att SAP-systemet som du extraherar data från innehåller relevanta ändringsbegäranden (transporter). Mer information finns i Hämta ytterligare information från SAP (valfritt).
Nästa steg
Läs mer om Microsoft Sentinel-lösningen för SAP-program®:
- Distribuera Microsoft Sentinel-lösning för SAP-program®
- Förutsättningar för att distribuera Microsoft Sentinel-lösning för SAP-program®
- Distribuera SAP-ändringsbegäranden (CR) och konfigurera auktorisering
- Distribuera lösningsinnehållet från innehållshubben
- Distribuera och konfigurera containern som är värd för SAP-dataanslutningsagenten
- Distribuera Microsoft Sentinel för SAP-dataanslutningsappen med SNC
- Aktivera och konfigurera SAP-granskning
- Samla in SAP HANA-granskningsloggar
Referensfiler:
- Microsoft Sentinel-lösning för datareferens för SAP-programlösning®
- Microsoft Sentinel-lösning för SAP-programlösning®: referens för säkerhetsinnehåll
- Referens för Kickstart-skript
- Referens för uppdateringsskript
- Systemconfig.ini filreferens
Mer information finns i Microsoft Sentinel-lösningar.