Dela via

Felsöka din Microsoft Sentinel-lösning för distribution av SAP-program®

  • Artikel

Användbara Docker-kommandon

När du felsöker din Microsoft Sentinel för SAP-dataanslutning kan följande kommandon vara användbara:

Funktion Command
Stoppa Docker-containern docker stop sapcon-[SID]
Starta Docker-containern docker start sapcon-[SID]
Visa Docker-systemloggar docker logs -f sapcon-[SID]
Ange Docker-containern docker exec -it sapcon-[SID] bash

Mer information finns i Docker CLI-dokumentationen.

Granska systemloggar

Vi rekommenderar starkt att du granskar systemloggarna när du har installerat eller återställt dataanslutningen.

Kör:

docker logs -f sapcon-[SID]

Aktivera/inaktivera felsökningslägesutskrift

Aktivera felsökningslägesutskrift:

  1. Redigera filen /opt/sapcon/[SID]/systemconfig.ini på den virtuella datorn.

  2. Definiera avsnittet Allmänt om det inte har definierats tidigare. I det här avsnittet definierar du logging_debug = True.

    Till exempel:

    [General]
logging_debug = True

  3. Spara filen.

Ändringen börjar gälla två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.

Inaktivera felsökningslägesutskrift:

  1. Redigera filen /opt/sapcon/[SID]/systemconfig.ini på den virtuella datorn.

  2. I avsnittet Allmänt definierar du logging_debug = False.

    Till exempel:

    [General]
logging_debug = False

  3. Spara filen.

Ändringen börjar gälla två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.

Visa alla containerkörningsloggar

Anslut eller körningsloggar för din Microsoft Sentinel-lösning för distribution av SAP-program® lagras dataanslutningsdistributionen på den virtuella datorn i /opt/sapcon/[SID]/log/. Loggfilnamnet är OmniLog.log. En historik över loggfiler behålls, suffixet med .[ t.ex . OmniLog.log.1, OmniLog.log.2 osv.

Granska och uppdatera konfigurationen för Microsoft Sentinel för SAP-dataanslutning

Om du vill kontrollera konfigurationsfilen för Microsoft Sentinel för SAP-dataanslutning och göra manuella uppdateringar utför du följande steg:

  1. Öppna konfigurationsfilen på den virtuella datorn:

    • sapcon/[SID]/systemconfig.json för agentversioner som släpptes den 22 juni 2023 eller senare.
    • sapcon/[SID]/systemconfig.ini för agentversioner som släpptes före den 22 juni 2023.

  2. Uppdatera konfigurationen om det behövs och spara filen.

Ändringen börjar gälla två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.

Återställa Microsoft Sentinel för SAP-dataanslutningsappen

Följande steg återställer anslutningsappen och återställer SAP-loggarna från de senaste 30 minuterna.

  1. Stoppa anslutningsappen. Kör:

    docker stop sapcon-[SID]

  2. Ta bort metadata.db-filenfrån katalogen /opt/sapcon/[SID]. Kör:

    cd /opt/sapcon/<SID>
rm metadata.db

    Kommentar

    Filen metadata.db innehåller den sista tidsstämpeln för var och en av loggarna och fungerar för att förhindra duplicering.

  3. Starta anslutningsappen igen. Kör:

    docker start sapcon-[SID]

Se till att granska systemloggarna när du är klar.

IP-adress- eller transaktionskodfält saknas i SAP-granskningsloggen

Med den här lösningen kan SAP-system med versioner för SAP BASIS 7.5 SP12 och senare återspegla ytterligare fält i tabellerna ABAPAuditLog_CL och SAPAuditLog .

Om du använder SAP BASIS-versioner som är högre än 7,5 SP12 och ip-adress- eller transaktionskodfält saknas i SAP-granskningsloggen kontrollerar du att SAP-systemet som du extraherar data från innehåller relevanta ändringsbegäranden (transporter). Mer information finns i avsnittet Hämta ytterligare information från SAP i förutsättningarna.

Inga data visas i SAP-tabelldataloggen

Med den här lösningen kan SAP-system med versioner för SAP BASIS 7.5 SP12 och senare återspegla ändringar i tabelldataloggen ABAPTableDataLog_CL i tabellen.

Om inga data visas i ABAPTableDataLog_CL tabellen kontrollerar du att SAP-systemet som du extraherar data från innehåller relevanta ändringsbegäranden (transporter). Mer information finns i avsnittet Hämta ytterligare information från SAP i förutsättningarna.

Vanliga problem

När du har distribuerat både Microsoft Sentinel för SAP-dataanslutning och säkerhetsinnehåll kan det uppstå följande fel eller problem:

Skadad eller saknad SAP SDK-fil

Det här felet kan inträffa när anslutningsappen inte kan startas med PyRfc eller zip-relaterade felmeddelanden visas.

  1. Installera om SAP SDK.
  2. Kontrollera att du är rätt Linux 64-bitarsversion. Från och med det aktuella datumet är versionsfilnamnet: nwrfc750P_8-70002752.zip.

Om du hade installerat dataanslutningsappen manuellt kontrollerar du att du har kopierat SDK-filen till Docker-containern.

Kör:

Docker cp SDK by running docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

ABAP-körningsfel visas i ett stort system

Om ABAP-körningsfel visas i stora system kan du prova att ange en mindre segmentstorlek:

  1. Redigera filen /opt/sapcon/[SID]/systemconfig.ini och definiera timechunk = 5i avsnittet Anslut ellerkonfiguration .

    Till exempel:

    [Connector Configuration]
timechunk = 5

  2. spara filen.

Ändringen börjar gälla två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.

Kommentar

Tidskunkstorleken definieras i minuter.

Tom eller ingen granskningslogg hämtad, utan några särskilda felmeddelanden

  1. Kontrollera att granskningsloggning är aktiverat i SAP.
  2. Kontrollera SM19- eller RSAU_CONFIG-transaktionerna.
  3. Aktivera alla händelser efter behov.
  4. Kontrollera om meddelanden anländer och finns i SAP SM20 eller RSAU_READ_LOG, utan några särskilda fel som visas i anslutningsloggen.

Felaktigt Microsoft Sentinel-arbetsyte-ID eller nyckel

Om du inser att du har angett ett felaktigt arbetsyte-ID eller nyckel i distributionsskriptet uppdaterar du autentiseringsuppgifterna som lagras i Azure Key Vault.

När du har verifierat dina autentiseringsuppgifter i Azure KeyVault startar du om containern:

docker restart sapcon-[SID]

Felaktiga autentiseringsuppgifter för SAP ABAP-användare i en fast konfiguration

En fast konfiguration är när lösenordet lagras direkt i systemconfig.ini konfigurationsfilen.

Om dina autentiseringsuppgifter är felaktiga kontrollerar du dina autentiseringsuppgifter.

Använd base64-kryptering för att kryptera användaren och lösenordet. Du kan använda krypteringsverktyg online för att kryptera dina autentiseringsuppgifter, till exempel https://www.base64encode.org/.

Felaktiga autentiseringsuppgifter för SAP ABAP-användare i nyckelvalvet

Kontrollera dina autentiseringsuppgifter och åtgärda dem efter behov och tillämpa rätt värden på ABAPUSER - och ABAPPASS-värdena i Azure Key Vault.

Starta sedan om containern:

docker restart sapcon-[SID]

ABAP-behörigheter (SAP-användare) saknas

Om du får ett felmeddelande som liknar: .. Serverdels-RFC-auktorisering saknas.., dina SAP-auktoriseringar och din roll tillämpades inte korrekt.

  1. Kontrollera att rollen MSFTSEN/SENTINEL_CONNECTOR importerades som en del av en ändringsbegäranstransport och tillämpades på anslutningsanvändaren.

  2. Kör rollgenererings- och användarjämförelseprocessen med sap-transaktions-PFCG.

Saknade data i dina arbetsböcker eller aviseringar

Om du upptäcker att du saknar data i dina Microsoft Sentinel-arbetsböcker eller aviseringar kontrollerar du att auditlog-principen är korrekt aktiverad på SAP-sidan, utan fel i loggfilen.

Använd den RSAU_CONFIG_LOG transaktionen för det här steget.

SAP-ändringsbegäran saknas

Om du ser fel om att du saknar en obligatorisk SAP-ändringsbegäran kontrollerar du att du har importerat rätt SAP-ändringsbegäran för systemet.

Mer information finns i Valideringssteg för ValidateSAP-miljön.

Inga poster/sena poster

Agenten förlitar sig på att tidszonsinformationen är korrekt. Om du ser att det inte finns några poster i SAP-gransknings- och ändringsloggarna, eller om poster ständigt ligger några timmar efter, kontrollerar du om SAP-rapporten TZCUSTHELP uppvisar några fel. Följ SAP-anteckningen 481835 för mer information. Dessutom kan det finnas problem med klockan på den virtuella datorn där Microsoft Sentinel-lösningen för SAP-programagenten® finns. Avvikelsen för den virtuella datorns klocka från UTC påverkar datainsamlingen. Ännu viktigare är att den virtuella SAP-datorns klocka och Sentinel-agentens vm-klocka ska matcha.

Problem med nätverksanslutning

Om du har problem med nätverksanslutningen till SAP-miljön eller Till Microsoft Sentinel kontrollerar du nätverksanslutningen för att se till att data flödar som förväntat.

Vanliga problem:

  • Brandväggar mellan Docker-containern och SAP-värdarna kan blockera trafik. SAP-värden tar emot kommunikation via följande TCP-portar, som måste vara öppna: 32xx, 5xx13 och 33xx, där xx är SAP-instansnumret.

  • Utgående kommunikation från DIN SAP-värd till Microsoft Container Registry eller Azure kräver proxykonfiguration. Detta påverkar vanligtvis installationen och kräver att du konfigurerar HTTP_PROXY miljövariablerna och HTTPS_PROXY . Du kan också mata in miljövariabler i docker-containern när du skapar containern genom att lägga till -e flaggan i docker-kommandot / createrun.

Andra oväntade problem

Om du har oväntade problem som inte visas i den här artikeln kan du prova följande steg:

Dricks

Återställa anslutningsappen och se till att du har de senaste uppgraderingarna rekommenderas också efter större konfigurationsändringar.

Det går inte att hämta en granskningslogg med varningar

Om du försöker hämta en granskningslogg, utan att den begärda ändringsbegäran har distribuerats eller på en äldre/oskickad version, och processen misslyckas med varningar, kontrollerar du att SAP-granskningsloggen kan hämtas med någon av följande metoder:

  • Använda ett kompatibilitetsläge med namnet XAL i äldre versioner
  • Använda en version som inte nyligen har korrigerats
  • Utan den nödvändiga ändringsbegäran installerad

Systemet bör automatiskt växla till kompatibilitetsläge om det behövs, men du kan behöva växla det manuellt. Växla till kompatibilitetsläge manuellt:

  1. Redigera filen /opt/sapcon/[SID]/systemconfig.ini

  2. I avsnittet Anslut ellerkonfiguration definierar duin:auditlogforcexal = True

    Till exempel:

    [Connector Configuration]
auditlogforcexal = True

  3. spara filen.

Ändringen börjar gälla två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.

SAPCONTROL- eller JAVA-undersystem kan inte ansluta

Kontrollera att OS-användaren är giltig och kan köra följande kommando i SAP-målsystemet:

sapcontrol -nr <SID> -function GetSystemInstanceList

Om ditt SAPCONTROL- eller JAVA-undersystem misslyckas med ett tidszonsrelaterat felmeddelande, till exempel: Kontrollera konfigurationen och nätverksåtkomsten till SAP-servern – Etc/NZST, kontrollerar du att du använder standardtidszonkoder.

Använd till exempel javatz = GMT+12 eller abaptz = GMT-3**.

Det går inte att importera transporterna av ändringsbegäran till SAP

Om du inte kan importera nödvändiga SAP-loggändringsbegäranden och får ett fel om en ogiltig komponentversion lägger du till ignore invalid component version när du importerar ändringsbegäran.

Granskningsloggdata matas inte in efter den första inläsningen

Om SAP-granskningsloggdata, som visas i antingen RSAU_READ_LOAD - eller SM200-transaktioner , inte matas in i Microsoft Sentinel efter den första belastningen kan du ha en felkonfiguration av SAP-systemet och SAP-värdoperativsystemet.

  • Initiala inläsningar matas in efter en ny installation av Microsoft Sentinel för SAP-dataanslutningsappen eller efter att metadata.db-filen har tagits bort.
  • Ett exempel på felkonfiguration kan vara när sapsystemets tidszon är inställd på CET i STZAC-transaktionen , men tidszonen för SAP-värdoperativsystemet är inställd på UTC.

Om du vill söka efter felkonfigurationer kör du RSDBTIME-rapporten i transaktionen SE38. Om du hittar ett matchningsfel mellan SAP-systemet och SAP-värdoperativsystemet:

  1. Stoppa Docker-containern. Kör

    docker stop sapcon-[SID]

  2. Ta bort metadata.db-filenfrån katalogen /opt/sapcon/[SID]. Kör:

    rm /opt/sapcon/[SID]/metadata.db

  3. Uppdatera SAP-systemet och SAP-värdoperativsystemet så att de har matchande inställningar, till exempel samma tidszon. Mer information finns i SAP Community Wiki.

  4. Starta containern igen. Kör:

    docker start sapcon-[SID]

IP-adress- eller transaktionskodfält saknas i SAP-granskningsloggen

Med den här lösningen kan SAP-system med versioner för SAP BASIS 7.5 SP12 och senare återspegla ytterligare fält i tabellerna ABAPAuditLog_CL och SAPAuditLog. Om du använder SAP BASIS-versioner som är högre än 7,5 SP12 och ip-adress- eller transaktionskodfält saknas i SAP-granskningsloggen kontrollerar du att SAP-systemet som du extraherar data från innehåller relevanta ändringsbegäranden (transporter). Mer information finns i Hämta ytterligare information från SAP (valfritt).

Inga data visas i SAP-tabelldataloggen

Med den här lösningen kan SAP-system med versioner för SAP BASIS 7.5 SP12 och senare återspegla ändringar i tabelldataloggen i tabellen ABAPTableDataLog_CL. Om inga data visas i ABAPTableDataLog_CL kontrollerar du att SAP-systemet som du extraherar data från innehåller relevanta ändringsbegäranden (transporter). Mer information finns i Hämta ytterligare information från SAP (valfritt).

Nästa steg

Läs mer om Microsoft Sentinel-lösningen för SAP-program®:

Referensfiler:

Mer information finns i Microsoft Sentinel-lösningar.