Datareferens för Microsoft Sentinel-lösning för SAP-program®
Viktigt!
Vissa komponenter i Microsoft Sentinel Threat Monitoring for SAP-lösningen finns för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Vissa loggar, som anges nedan, skickas inte till Microsoft Sentinel som standard, men du kan lägga till dem manuellt efter behov. Mer information finns i Definiera DE SAP-loggar som skickas till Microsoft Sentinel.
Den här artikeln beskriver de funktioner, loggar och tabeller som är tillgängliga som en del av Microsoft Sentinel-lösningen för SAP-program® och dess dataanslutning. Den är avsedd för avancerade SAP-användare.
Funktioner som är tillgängliga från SAP-lösningen
I det här avsnittet beskrivs de funktioner som är tillgängliga på din arbetsyta när du har distribuerat Microsoft Sentinel-lösningen för SAP-program®. Hitta de här funktionerna på sidan Microsoft Sentinel-loggar som ska användas i dina KQL-frågor, som visas under Arbetsytefunktioner.
Användarna uppmanas starkt att använda funktionerna som ämne för sin analys när det är möjligt, i stället för de underliggande loggarna eller tabellerna. Dessa funktioner är avsedda att fungera som huvudanvändargränssnittet för data. De utgör grunden för alla inbyggda analysregler och arbetsböcker som är tillgängliga för dig direkt. Detta gör det möjligt att göra ändringar i datainfrastrukturen under funktionerna, utan att innehållet som skapats av användaren bryts.
- SAPUsersAssignments
- SAPUsersGetPrivileged
- SAPUsersAuthorizations
- SAP Anslut orHealth
- SAP Anslut orOverview
- SAPUsersEmail
- SAPAuditLogConfiguration
- SAPAuditLogAnomalies
- SAPAuditLogConfigRecommend
- SAPSystems
- SAPUsersGetVIP
- SAPUsersHeader
SAPUsersAssignments
Funktionen SAPUsersAssignments samlar in data från flera SAP-datakällor och skapar en användarcentrerad vy över aktuella användarhuvuddata, inklusive de roller och profiler som för närvarande är tilldelade.
Den här funktionen sammanfattar användartilldelningarna till roller och profiler och returnerar följande data:
Fält | beskrivning | Datakälla/anteckningar |
---|---|---|
User | SAP-användar-ID | ENDAST SAL |
SMTP-adress | USR21 (SMTP_ADDR) | |
UserType | Användartyp | USR02 (USTYP) |
Tidszon | Time zone | USR02 (TZONE) |
LockedStatus | Låsstatus | USR02 (UFLAG) |
LastSeenDate | Senast sett datum | USR02 (TRDAT) |
LastSeenTime | Sågs senast-tid | USR02 (LTIME) |
UserGroupAuth | Användargrupp i underhåll av användarhuvud | USR02 (KLASS) |
Profiler | Uppsättning profiler (standardstorlek för maximal uppsättning = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
DirectRoles | Uppsättning med direkttilldelade roller (standardstorlek för maximal uppsättning = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
ChildRoles | Uppsättning indirekt tilldelade roller (standardstorlek för maximal uppsättning = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
Klient | Client ID | |
SystemID | System-ID | Enligt definitionen i anslutningsappen |
SAPUsersGetPrivileged
Funktionen SAPUsersGetPrivileged returnerar en lista över privilegierade användare per klient och system-ID.
Användare anses vara privilegierade när de visas i bevakningslistan SAP – Privilegierade användare , har tilldelats till en profil som anges i SAP – bevakningslistan för känsliga profiler eller har lagts till i en roll som anges i SAP – Bevakningslistan för känsliga roller .
Parametrar:
- TimeAgo
- Valfritt
- Standardvärde: Sju dagar
- Avgör att funktionen söker efter användarhuvuddata från den tid som definieras av
TimeAgo
värdet till den tid som definieras avnow()
värdet.
Funktionen SAPUsersGetPrivileged returnerar följande data:
Fält | beskrivning |
---|---|
User | SAP-användar-ID |
Klient | Client ID |
SystemID | System-ID |
SAPUsersAuthorizations
Funktionen SAPUsersAuthorizations samlar data från flera tabeller för att skapa en användarcentrerad vy över de aktuella roller och auktoriseringar som tilldelats. Endast användare med aktiv roll och auktoriseringstilldelningar returneras.
Parametrar:
- TimeAgo
- Valfritt
- Standardvärde: Sju dagar
- Avgör att funktionen söker efter användarhuvuddata från den tid som definieras av
TimeAgo
värdet till den tid som definieras avnow()
värdet.
Funktionen SAPUsersAuthorizations returnerar följande data:
Fält | Beskrivning | Kommentar |
---|---|---|
User | SAP-användar-ID | |
Roller | Uppsättning roller (standardstorlek för maxuppsättning = 50) | ["Role 1", "Role 2",...,"Role 50"] |
AuthorizationsDetails | Uppsättning auktoriseringar (standardstorlek för maxuppsättning = 100) | {{AuthorizationsDeatils1} ,{AuthorizationsDeatils2} , ..., {AuthorizationsDeatils100}} |
Klient | Client ID | |
SystemID | System-ID |
SAP Anslut orHealth
Funktionen SAP Anslut orHealth återspeglar statusen för agentens och det underliggande SAP-systemets anslutning. Baserat på pulsslagsloggen SAP_HeartBeat_CL och andra hälsoindikatorer returnerar den följande data:
Fält | beskrivning |
---|---|
Handläggare | Agent-ID i agentens konfiguration (genereras automatiskt) |
SystemID | SAP system-ID |
Status | Övergripande anslutningsstatus |
Details | information om Anslut ivitet |
ExtendedDetails | utökad information om Anslut ivity |
LastSeen | Tidsstämpel för den senaste aktiviteten |
StatusCode | Kod som återspeglar systemets status |
SAP Anslut orOverview
Funktionen SAP Anslut orOverview visar radantal för varje SAP-tabell per system-ID. Den returnerar en lista över dataposter per system-ID och deras tid genereras.
Parametrar:
- TimeAgo
- Valfritt
- Standardvärde: Sju dagar
- Avgör att funktionen söker efter användarhuvuddata från den tid som definieras av
TimeAgo
värdet till den tid som definieras avnow()
värdet.
Fält | beskrivning |
---|---|
TimeGenerated | Ett datetime-värde för tidsstämpeln för postens generation |
SystemID_s | En sträng som representerar SAP-system-ID:t |
Använd följande Kusto-fråga för att utföra en daglig trendanalys:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
Funktionen SAPUsersEmail möjliggör en prestandaorienterad sökning av en SAP-användares e-postadress per SAP-system och -klient, som normalt används för att associera den med ett Active Directory-konto. Med data som extraherats från SAP-tabeller usr21 (användarnamn/adressnyckeltilldelning) och ADR6 (e-postadresser) söker funktionen SAPUsersEmail efter en e-postadress. Om ett inte hittas returneras användar-ID:t i stället för en e-postadress. Det här beteendet säkerställer att SAP-tjänstkonton (till exempel DDIC), som ofta inte är associerade med en e-postadress, loggas som pseudo-AD-konton, vilket möjliggör vissa UEBA-funktioner, vilket underlättar undersökningen av incidenter och jaktaktiviteter.
Fält | beskrivning |
---|---|
ClientID | SAP-klient-ID |
SystemID | SAP-system-ID |
User | SAP-användar-ID |
SAP-användarens e-postadress |
SAPSystems
Funktionen SAPSystems används för att centralt presentera konfigurationen per system som görs med hjälp av bevakningslistan "SAP – System".
Parametrar:
- SelectedSystems
- Valfritt
- Standardvärde: "Alla system"
- Används för att filtrera specifika SAP-system
- SelectedSystemRoles
- Valfritt
- Standardvärde: "Alla systemroller"
- Avgör rollerna för DE SAP-system som ska granskas (enligt definitionen i bevakningslistan "SAP - System"
Fält | beskrivning | Datakälla/anteckningar |
---|---|---|
SearchKey | Söknyckel | Indexerat fält för SAP-system-ID |
SystemRole | SAP-systemets roll | Produktion, UAT |
SystemUsage | Den huvudsakliga användningen av SAP-systemet | ERP, CRM |
SystemID | SAP-system-ID |
SAPAuditLogConfiguration
Funktionen SAPAuditLogConfiguration returnerar den lokala konfigurationen av SAP-granskningsloggaviseringarna för Sentinel-arbetsytan, som ska användas för de olika SAP-granskningsloggrelaterade aviseringarna. Den ansluter data i bevakningslisterna "SAP Dynamic Audit Log Monitor Configuration" och "SAP - Systems" för att tillhandahålla en per systemkonfiguration vid ett arbete per systemroll.
Parametrar:
- SelectedSystems
- Valfritt
- Standardvärde: "Alla system"
- Används för att filtrera specifika SAP-system att titta på.
- SelectedSystemRoles
- Valfritt
- Standardvärde: "Alla systemroller"
- Avgör rollerna för DE SAP-system som ska granskas (enligt definitionen i bevakningslistan "SAP - System").
- SelectedSeverities
- Valfritt
- Standardvärde: ["Hög", "Medel"]
- Används för att fastställa händelser som ska granskas när det gäller deras allvarlighetsgrad. Allvarlighetsgrad per SAP-granskningsloggmeddelande-ID och systemroll definieras i bevakningslistan "SAP_Dynamic_Audit_Log_Monitor_Configuration".
- SelectedRuleTypes
- Valfritt
- Standardvärde: "Alla RuleTypes"
- Avgör vilka händelser som är relevanta för att identifiera avvikelserna på. Regeltyper per SAP-granskningsloggmeddelande-ID och systemroll definieras i bevakningslistan "SAP_Dynamic_Audit_Log_Monitor_Configuration".
Fält | beskrivning | Datakälla/anteckningar |
---|---|---|
CategoryName | SAP-angiven händelsekategori | Övervakningslista för övervakning av sap-dynamisk granskningslogg |
DestinationEmail | E-postadress till det tilldelade teamet | Övervakningslista för övervakning av sap-dynamisk granskningslogg |
DetailedDescription | En markdown-formaterad text som ska visas i aviseringar | Övervakningslista för övervakning av sap-dynamisk granskningslogg |
Messageid | SAP-granskningsloggens meddelande-ID | Övervakningslista för övervakning av sap-dynamisk granskningslogg |
MessageText | En exempelmeddelandetext | Övervakningslista för övervakning av sap-dynamisk granskningslogg |
RolesTagsToExclude | en ABAP-roll, profil eller fritexttagg | Övervakningslista för övervakning av sap-dynamisk granskningslogg |
RuleType | Avvikelse eller deterministisk | Övervakningslista för övervakning av sap-dynamisk granskningslogg |
Taktiker | MITRE ATTA&CK-taktiken | Övervakningslista för övervakning av sap-dynamisk granskningslogg |
TeamsChannelID | Teams-kanal | Övervakningslista för övervakning av sap-dynamisk granskningslogg |
SystemID | SAP-system-ID | Visningslista för "SAP – System" |
SystemRole | SAP-systemets roll | Visningslista för "SAP – System" |
SystemUsage | Den huvudsakliga användningen av SAP-systemet | Visningslista för "SAP – System" |
IsProd | Flagga för produktionssystem | Visningslista för "SAP – System" |
Allvarlighet | Den härledda allvarlighetsgraden | Allvarlighetsgrad per systemanvändning |
Threshold | Det härledda tröskelvärdet | Antal händelser per systemanvändning |
BagOfDetails | Påse med information | En ordlista som beskriver händelsedefinitionen |
SAPAuditLogAnomalies
SAPAuditLogAnomalies använder Sentinels underliggande Kusto-databass inbyggda maskininlärningsfunktioner för att identifiera avvikande händelser som observerats i SAP-granskningsloggen. Den här funktionen utvecklades för aviseringsregeln "SAP – (experimentell) dynamisk avvikelsebaserad övervakningsavisering för granskningsloggar" och utformades ursprungligen för att varna om de senaste avvikelserna, men den kan också hjälpa till att markera historiska avvikelser (se exempel nedan).
Parametrar:
- LearningTime
- Valfritt
- Standardvärde: 14 dagar
- Avgör tidsintervallet som används för modellinlärningen
- DetectingTime
- Valfritt
- Standardvärde: En timme
- Avgör tidsintervallet som ska undersökas för att identifiera avvikelser. Om du anropar den här funktionen med DetectingTime = 0h markeras avvikelser i hela tidsintervallet för LearningTime
- SelectedSystems
- Valfritt
- Standardvärde: "Alla system"
- Används för att filtrera specifika SAP-system att titta på.
- SelectedSystemRoles
- Valfritt
- Standardvärde: "Alla systemroller"
- Avgör rollerna för DE SAP-system som ska granskas (enligt definitionen i bevakningslistan "SAP - System").
- SelectedSeverities
- Valfritt
- Standardvärde: ["Hög", "Medel"]
- Används för att fastställa händelser som ska granskas när det gäller deras allvarlighetsgrad. Allvarlighetsgrad per SAP-granskningsloggmeddelande-ID och systemroll definieras i bevakningslistan "SAP_Dynamic_Audit_Log_Monitor_Configuration".
- SelectedPrefixMask
- Valfritt
- Standardvärde: 24
- Används för att fastställa nätmasknivån som används för inlärning och identifiering.
- SelectedRuleTypes
- Valfritt
- Standardvärde: "AnomaliesOnly"
- Avgör vilka händelser som är relevanta för att identifiera avvikelserna på. Regeltyper per SAP-granskningsloggmeddelande-ID och systemroll definieras i bevakningslistan "SAP_Dynamic_Audit_Log_Monitor_Configuration".
Logik
Funktionen lär sig sektorn för den historik som definieras av de olika indataparametrarna, på användar-, nätverksattribut, system-, säsongs- och aktivitetsnivåer. Den bedömer sedan händelser som inträffar inom det senaste Tidsintervallet för DetectingTime enligt vad den har lärt sig och tillämpar tröskelvärden och andra konfigurerbara exkluderingskriterier som erhållits från bevakningslistan för KONFIGURATION av SAP-granskningsloggar. När ett skjutfönster för användaraktiviteten bedömdes som avvikande returnerar en andra fråga hela användaraktiviteten som bevis som stöder beslutet.
Ytterligare kommentarer
Precis som med alla maskininlärningslösningar fungerar den här funktionen bättre med tiden. Ytterligare justeringar kan göras med hjälp av lokal konfiguration. Det är lämpligt att begränsa storleken på den inlärda databasen till under 100 miljoner poster med hjälp av de många tillgängliga indataparametrarna.
Exempel: letar efter avvikelser för händelser med hög allvarlighetsgrad som inträffat under den senaste timmen i produktionssystem för händelsetyper som har markerats som "AnomaliesOnly" i "SAP_Dynamic_Audit_Log_Monitor_Configuration"
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]),
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
Exempel: Söker efter alla avvikelser under de senaste 14 dagarna i systemet "BIP"
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Fält | beskrivning |
---|---|
Flera fält från SAPAuditLog | Nyckelfält från SAP-granskningsloggen |
Flera fält från SAPAuditLogConfiguration | Nyckelfält från konfigurationen av Sentinel för SAP-granskningsloggar |
DiscoveredOn | Den avrundade timme då avvikelsen observerades på |
EventCount | Antal händelser som räknas per rad som returneras |
AnomalCount | Antal händelser som observerats i relevant skjutfönster |
MinTime | Tidpunkten för den första händelsen som observerades |
MaxTime | Tidpunkten för den senaste händelsen som observerades |
Poäng | avvikelsepoängen enligt avvikelsemodellen |
Mer information finns i Inbyggda SAP-analysregler för övervakning av SAP-granskningsloggen .
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend är en hjälpfunktion som är utformad för att ge rekommendationer för konfigurationen av analysregeln SAP – dynamisk avvikelsebaserad granskningsloggövervakare (FÖRHANDSVERSION). Lär dig hur du konfigurerar reglerna.
SAPUsersGetVIP
Microsoft Sentinel-lösningen för SAP-program® använder ett begrepp med central användartaggning och explicita undantag som hjälper dig att sänka falska positiva identifieringar med minimal ansträngning. Använd funktionen SAPUsersGetVIP för att undanta användare från att utlösa aviseringar genom att ange SAP-användarroller, SAP-användarfunktioner eller taggar som representerar dessa användare. Mer information finns i Hantera falska positiva identifieringar i Microsoft Sentinel.
Taggar som anges som indata för funktionen SAPUsersGetVIP exkluderar alla användare med en tagg som anges i SAP_User_Config visningslista. Samma funktioner utökas för att fungera med jokertecken, så att du kan tilldela en enda tagg till en grupp användare med samma namngivningssyntax.
Tagga användare i SAP_User_Config visningslista på följande sätt:
Lägg till flera taggar till varje användare i SAP_User_Config bevakningslista efter behov för att täcka olika scenarier. Varje aviseringsregel har egna relevanta taggar, om några, och du kan lägga till anpassade taggar efter behov.
Använd en asterisk (*) som jokertecken för att inkludera användare med en specifik mall för namngivningssyntax.
Lägg till funktionen SAPUsersGetVIP i dina analysregler för att begära de listor över användare som du har definierat som undantagna från aviseringar. I funktionsanropet lägger du till en matris med de taggar, SAP-roller och SAP-profiler som du vill exkludera.
Använd till exempel följande KQL-fråga i analysregeln för att undanta alla användare som konfigurerats med Taggen RunObsoleteProgOK i SAP_User_Config bevakningslista, eller alla användare med exempelrollen SAP_BASIS_ADMIN_ROLE eller exempelprofilen SAP_ADMIN_PROFILE.
När du kopierar det här exempelfunktionsanropet ersätter du SAP_BASIS_ADMIN_ROLE roll och SAP_ADMIN_PROFILE profil med dina egna SAP-roller eller profiler efter behov.
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
Funktionen SAPUsersGetVIP används ofta i deterministiska och avvikande övervakningsaviseringar för granskningsloggar . Associera en tagg med ett SAP-granskningsloggmeddelande-ID eller utöka regelmallen till en anpassad regel som matchar organisationens behov.
Dricks
Vi rekommenderar att du kontaktar SAP-systemadministratören för att förstå vilka SAP-användare, roller och profiler som ska ingå i din SAP_User_Config visningslista.
Parametrar:
Name | Beskrivning | Default value |
---|---|---|
SearchForTags (valfritt) | När SearchForTags är lika med returneras All Tags alla användare tillsammans med sina taggar. Annars returneras endast användare som har de taggar, SAP-roller eller SAP-profiler som anges i SearchForTags . TagsIntersect visar de taggar som hittas och IntersectionSize innehåller antalet taggar som hittas. |
dynamic('All Tags') |
SpecialFocusTags (valfritt) | Returnerar alla användare med taggarna som anges i SpecialFocusTags och markerade dem med specialFocusTagged = true . |
Do not return any in-focus users |
Källa | Fält | Beskrivning | Kommentar |
---|---|---|---|
Visningslistan för SAP_User_Config | SearchKey | Söknyckel | |
Visningslistan för SAP_User_Config | SAPUser | SAP-användaren | OSS, DDIC |
Visningslistan för SAP_User_Config | Taggar | Sträng med taggar som tilldelats användaren | RunObsoleteProgOK |
Visningslistan för SAP_User_Config | Användarens Microsoft Entra-objekt-ID | Microsoft Entra objekt-ID | |
Visningslistan för SAP_User_Config | Användaridentifierare | AD-användaridentifierare | |
Visningslistan för SAP_User_Config | Användarens lokala Sid | ||
Visningslistan för SAP_User_Config | Användarhuvudnamn | ||
Visningslistan för SAP_User_Config | TagsList | En lista över taggar som tilldelats användaren | ChangeUserMasterDataOK; RunObsoleteProgOK |
Logik | TagsIntersect | En uppsättning taggar som matchade SearchForTags | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
Logik | SpecialFocusTagged | Särskild fokusindikator | Sant, Falskt |
Logik | KorsningarStorlek | Antalet korsade taggar |
SAPUsersHeader
Funktionen SAPUsersHeader är utformad för att ge en översikt över SAP-användaren. Den använder data som extraherats från både SAP-användarens huvuddatatabeller och den senaste aktiviteten i SAP-granskningsloggen för att samla in e-post och IP-adresser. Den returnerar sedan senast kända e-postadresser och IP-adresser tillsammans med primära e-postadresser och IP-adresser. Parametrar: SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
- SelectedSystems
- Valfritt
- Standardvärde: "Alla system"
- Används för att filtrera specifika SAP-system att titta på.
- SelectedSystemRoles
- Valfritt
- Standardvärde: "Alla systemroller"
- Avgör rollerna för DE SAP-system som ska granskas (enligt definitionen i bevakningslistan "SAP - System").
- SelectedUsers
- Valfritt
- Standardvärde: "Alla användare"
- Kan ange listor över användare.
- SelectedUser
- Valfritt
- Standardvärde: "Alla användare"
- Accepterar endast en enskild användare
Ytterligare kommentarer
För prestandaöverväganden beaktas endast några dagars granskningsaktivitet. För en fullständig historik över användaraktivitet kör du en anpassad KQL-fråga mot funktionen SAPAuditLog.
Källa | Fält | Beskrivning | Kommentar |
---|---|---|---|
User | SAP-användaren | ||
SAP-tabellerNA ADR6 och USR21 | Hämtad från användarens huvuddata | OSS, DDIC | |
SAP-tabell USR02 | UserType | sträng med taggar som tilldelats användaren | RunObsoleteProgOK |
SAP-tabell USR02 | Tidszon | Microsoft Entra objekt-ID | |
SAP-tabell USR02 | LockedStatus | AD-användaridentifierare | |
SAP-granskningslogg | LastSeen | En tidsstämpel | senaste granskningshändelsen som observerades för användaren |
SAP-granskningslogg | LastSeenDaysAgo | dagar som gått sedan LastSeen | |
SAP-granskningslogg | PrimärIP | Mest använda IP-adress | ChangeUserMasterDataOK; RunObsoleteProgOK |
SAP-granskningslogg | LastKnownIP | Senast använda IP-adress | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
SAP-granskningslogg | PrimaryEmail | Den vanligaste e-postadressen | Sant, Falskt |
SAP-granskningslogg | Kända IP-adresser | Lista över kända IP-adresser | sorteras efter de vanligaste första |
SAP-granskningslogg | KnownEmails | Lista över kända e-postadresser | sorteras efter de vanligaste första |
Klient | SAP-klient-ID | ||
SystemID | SAP-system-ID | ||
SystemRole | SAP-systemets roll | Produktion, UAT | |
SystemUsage | Den huvudsakliga användningen av SAP-systemet | ERP, CRM |
Loggar som skapas av dataanslutningsagenten
I det här avsnittet beskrivs de SAP-loggar som är tillgängliga från Microsoft Sentinel-lösningen för SAP-programdataanslutningsappen®, inklusive tabellnamnen i Microsoft Sentinel, loggsyftena och detaljerade loggscheman. Beskrivningar av schemafält baseras på fältbeskrivningarna i relevant SAP-dokumentation.
Använd Microsoft Sentinel-funktionerna nedan för att visualisera, komma åt och fråga efter data för bästa resultat.
- ABAP-programlogg
- LOGG FÖR ABAP-ändringsdokument
- ABAP CR-logg
- ABAP DB-tabelldatalogg (förhandsversion)
- ABAP Gateway-logg (förhandsversion)
- ABAP ICM-logg (FÖRHANDSVERSION)
- ABAP-jobblogg
- Granskningslogg för ABAP-säkerhet
- ABAP Spool-logg
- APAB Spool-utdatalogg
- ABAP SysLog
- ABAP-arbetsflödeslogg
- ABAP WorkProcess-logg
- HANA DB-spårningslogg
- JAVA-filer
- SAP-pulsslagslogg
ABAP-programlogg
Microsoft Sentinel-funktion för att fråga den här loggen: SAPAppLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Registrerar förloppet för en programkörning så att du kan rekonstruera den senare efter behov.
Tillgänglig med hjälp av RFC baserat på standard-SAP-tabell och standardtjänster i XBP-gränssnittet. Den här loggen genereras per klient.
ABAPAppLog_CL loggschema
Fält | beskrivning |
---|---|
AppLogDateTime | Datumtid för programlogg |
CallbackProgram | Återanropsprogram |
CallbackRoutine | Återanropsrutin |
CallbackType | Motringningstyp |
ClientID | ABAP-klient-ID (MANDT) |
ContextDDIC | DDIC-struktur för kontext |
ExternalID | Externt logg-ID |
Host | Host |
Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
InternalMessageSerial | Seriellt programloggmeddelande |
LevelofDetail | Detaljnivå |
LogHandle | Programlogghandtag |
LogNumber | Loggnummer |
MessageClass | Meddelandeklass |
MessageNumber | Meddelandenummer |
MessageText | Meddelandetext |
MessageType | Meddelandetyp |
Objekt | Programloggobjekt |
OperationMode | Åtgärdsläge |
ProblemClass | Problemklass |
Programnamn | Programnamn |
SortCriterion | Sorteringsvillkor |
StandardText | Standardtext |
SubObject | Underobjekt för programlogg |
SystemID | System-ID |
SystemNumber | Systemnummer |
TransactionCode | Transaktionskod |
User | User |
UserChange | Användarändring |
LOGG FÖR ABAP-ändringsdokument
Microsoft Sentinel-funktion för att fråga den här loggen: SAPChangeDocsLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Poster:
SAP NetWeaver Application Server (AS) ABAP-loggändringar till affärsdataobjekt i ändringsdokument.
Andra entiteter i SAP-systemet, till exempel användardata, roller, adresser.
Tillgänglig med hjälp av RFC baserat på standard-SAP-tabeller. Den här loggen genereras per klient.
ABAPChangeDocsLog_CL loggschema
Fält | beskrivning |
---|---|
ActualChangeNum | Verkligt ändringsnummer |
ChangedTableKey | Ändrad tabellnyckel |
ChangeNumber | Ändra nummer |
ClientID | ABAP-klient-ID (MANDT) |
CreatedfromPlannedChange | Skapad från planerad ändring i följande syntax: (‘X’ , ‘ ‘) |
CurrencyKeyNy | Valutanyckel: nytt värde |
CurrencyKeyOld | Valutanyckel: gammalt värde |
Fältnamn | Fältnamn |
FlagText | Flagga text |
Host | Host |
Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
Språk | Språk |
ObjectClass | Objektklass, till exempel BELEG , BPAR , PFCG , IDENTITY |
ObjectID | Objekt-ID |
PlannedChangeNum | Planerat ändringsnummer |
SystemID | System-ID |
SystemNumber | Systemnummer |
TableName | Tabellnamn |
TransactionCode | Transaktionskod |
TypeofChange_Header | Ändringstyp för sidhuvud, inklusive: U = Ändra; I = Infoga; E = Ta bort enskild docu; D = Ta bort; J = Infoga enkel docu |
TypeofChange_Item | Typ av ändring av objekt, inklusive: U = Ändra; I = Infoga; E = Ta bort enskild docu; D = Ta bort; J = Infoga enkel docu |
UOMNy | Måttenhet: nytt värde |
UOMOld | Måttenhet: gammalt värde |
User | User |
ValueNew | Fältinnehåll: nytt värde |
ValueOld | Fältinnehåll: gammalt värde |
Version | Version |
ABAP CR-logg
Microsoft Sentinel-funktion för att fråga den här loggen: SAPCRLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Innehåller loggarna för ändrings- och transportsystem (CTS), inklusive katalogobjekt och anpassningar där ändringar gjordes.
Tillgänglig med hjälp av RFC baserat på standardtabeller och SAP-standardtjänster. Den här loggen genereras med data för alla klienter.
Kommentar
Förutom programloggning, ändringsdokument och tabellinspelning dokumenteras alla ändringar som du gör i produktionssystemet med ändrings- och transportsystemet i CTS- och TMS-loggarna.
ABAPCRLog_CL loggschema
Fält | beskrivning |
---|---|
Kategori | Kategori (Workbench, Anpassa) |
ClientID | ABAP-klient-ID (MANDT) |
beskrivning | beskrivning |
Host | Host |
Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
ObjectName | Object name |
ObjectType | Object type |
Ägare | Ägare |
Förfrågan | Ändringsbegäran |
Status | Status |
SystemID | System-ID |
SystemNumber | Systemnummer |
TableKey | Tabellnyckel |
TableName | Tabellnamn |
ViewName | Vynamn |
ABAP DB-tabelldatalogg (förhandsversion)
Om du vill att loggen ska skickas till Microsoft Sentinel måste du lägga till den manuellt i filen systemconfig.ini.
Microsoft Sentinel-funktion för att fråga den här loggen: SAPTableDataLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Tillhandahåller loggning för de tabeller som är kritiska eller känsliga för granskningar.
Tillgänglig med hjälp av RFC med en anpassad tjänst. Den här loggen genereras med data för alla klienter.
ABAPTableDataLog_CL loggschema
Fält | beskrivning |
---|---|
DBLogID | DB-logg-ID |
Host | Host |
Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
Språk | Språk |
LogKey | Loggnyckel |
NewValue | Nytt fältvärde |
OldValue | Fältets gamla värde |
OperationTypeSQL | Åtgärdstyp, Insert , Update , Delete |
Program | Programnamn |
SystemID | System-ID |
SystemNumber | Systemnummer |
TableField | Tabellfält |
TableName | Tabellnamn |
TransactionCode | Transaktionskod |
UserName | User |
Versionsnummer | Versionsnummer |
ABAP Gateway-logg (förhandsversion)
Om du vill att loggen ska skickas till Microsoft Sentinel måste du lägga till den manuellt i filen systemconfig.ini.
Microsoft Sentinel-funktion för att fråga den här loggen: SAPOS_GW
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Övervakar gatewayaktiviteter. Tillgänglig av SAP Control-webbtjänsten. Den här loggen genereras med data för alla klienter.
ABAPOS_GW_CL loggschema
Fält | beskrivning |
---|---|
Host | Host |
Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
MessageText | Meddelandetext |
Allvarlighet | Allvarlighetsgrad för meddelanden: Debug , Info , Warning , Error |
SystemID | System-ID |
SystemNumber | Systemnummer |
ABAP ICM-logg (FÖRHANDSVERSION)
Om du vill att loggen ska skickas till Microsoft Sentinel måste du lägga till den manuellt i filen systemconfig.ini.
Microsoft Sentinel-funktionen för att fråga den här loggen: SAPOS_ICM
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Registrerar inkommande och utgående begäranden och sammanställer statistik för HTTP-begäranden.
Tillgänglig av SAP Control-webbtjänsten. Den här loggen genereras med data för alla klienter.
ABAPOS_ICM_CL loggschema
Fält | beskrivning |
---|---|
Host | Host |
Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
MessageText | Meddelandetext |
Allvarlighet | Allvarlighetsgrad för meddelanden, inklusive: Debug , Info , Warning , Error |
SystemID | System-ID |
SystemNumber | Systemnummer |
ABAP-jobblogg
Microsoft Sentinel-funktion för att fråga den här loggen: SAPJobLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Kombinerar alla jobbloggar för bakgrundsbearbetning (SM37).
Tillgänglig med hjälp av RFC baserat på standard-SAP-tabell och standardtjänster för XBP-gränssnitt. Den här loggen genereras med data för alla klienter.
ABAPJobLog_CL loggschema
Fält | beskrivning |
---|---|
ABAPProgram | ABAP-program |
BgdEventParameters | Parametrar för bakgrundshändelser |
BgdProcessingEvent | Bakgrundsbearbetningshändelse |
ClientID | ABAP-klient-ID (MANDT) |
DynproNumber | Dynpro-nummer |
GUIStatus | GUI-status |
Host | Host |
Instans | ABAP-instans (HOST_SYSID_SYSNR) i följande syntax: <HOST>_<SYSID>_<SYSNR> |
JobClassification | Jobbklassificering |
JobCount | Antal jobb |
JobGroup | Jobbgrupp |
JobName | Jobbnamn |
JobPriority | Jobbprioritet |
MessageClass | Meddelandeklass |
MessageNumber | Meddelandenummer |
MessageText | Meddelandetext |
MessageType | Meddelandetyp |
ReleaseUser | Jobbversionsanvändare |
SchedulingDateTime | Schemaläggning av datumtid |
StartDateTime | Startdatumtid |
SystemID | System-ID |
SystemNumber | Systemnummer |
TargetServer | Målserver |
User | User |
UserReleaseInstance | ABAP-instans – användarversion |
WorkProcessID | Arbetsprocess-ID |
WorkProcessNumber | Arbetsprocessnummer |
Granskningslogg för ABAP-säkerhet
Microsoft Sentinel-funktion för att fråga den här loggen: SAPAuditLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Registrerar följande data:
- Säkerhetsrelaterade ändringar i SAP-systemmiljön, till exempel ändringar i huvudanvändarposter
- Information som ger en högre datanivå, till exempel lyckade och misslyckade inloggningsförsök
- Information som möjliggör återuppbyggnad av en serie händelser, till exempel lyckade eller misslyckade transaktioner startar
Tillgänglig med hjälp av RFC XAL/SAL-gränssnitt. SAL är tillgängligt från version Basis 7.50. Den här loggen genereras med data för alla klienter.
ABAPAuditLog_CL loggschema
Fält | beskrivning |
---|---|
ABAPProgramName | Programnamn, endast SAL |
AlertSeverity | Allvarlighetsgrad för avisering |
AlertSeverityText | Varningstext för allvarlighetsgrad, endast SAL |
AlertValue | Aviseringsvärde |
AuditClassID | Granskningsklass-ID, endast SAL |
ClientID | ABAP-klient-ID (MANDT) |
Dator | Användardator, endast SAL |
Användarens e-postadress | |
Host | Host |
Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
MessageClass | Meddelandeklass |
MessageContainerID | Meddelandecontainer-ID, endast XAL |
Messageid | Meddelande-ID, till exempel ‘AU1’,’AU2’… |
MessageText | Meddelandetext |
MonitoringObjectName | MTE Monitor-objektnamn, endast XAL |
MonitorShortName | Kort namn för MTE Monitor, endast XAL |
SAPProcesType | Systemlogg: SAP-processtyp, endast SAL |
B* – Bakgrundsbearbetning | |
D* – Dialogbearbetning | |
U* – Uppdatera uppgifter | |
SAPWPName | Systemlogg: Arbetsprocessnummer, endast SAL |
SystemID | System-ID |
SystemNumber | Systemnummer |
TerminalIPv6 | Ip-adress för användardator, endast SAL |
TransactionCode | Transaktionskod, endast SAL |
User | User |
Variabel 1 | Meddelandevariabel 1 |
Variabel 2 | Meddelandevariabel 2 |
Variabel 3 | Meddelandevariabel 3 |
Variabel 4 | Meddelandevariabel 4 |
ABAP Spool-logg
Microsoft Sentinel-funktion för att fråga den här loggen: SAPSpoolLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Fungerar som huvudlogg för SAP-utskrift med historiken för poolbegäranden. (SP01).
Tillgänglig med hjälp av RFC baserat på standard-SAP-tabell. Den här loggen genereras med data för alla klienter.
ABAPSpoolLog_CL loggschema
Fält | beskrivning |
---|---|
ArchiveStatus | Arkivstatus |
ArchiveType | Arkivtyp |
ArkiveringEnhet | Arkiveringsenhet |
Återskapa automatiskt | Automatisk omroutning |
ClientID | ABAP-klient-ID (MANDT) |
CountryKey | Landsnyckel |
DeleteSpoolRequestAuto | Ta bort poolbegäran automatiskt |
DelFlag | Borttagningsflagga |
Avdelning | Avdelning |
DocumentType | Dokumenttyp |
ExternalMode | Externt läge |
FormatType | Formattyp |
Host | Host |
Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
NumofCopies | Antal kopior |
OutputDevice | Utdataenhet |
PrinterLongName | Skrivarlångt namn |
PrintImmediately | Skriv ut direkt |
PrintOSCoverPage | Skriv ut OSCover-sida |
PrintSAPCoverPage | Skriv ut SAPCover-sida |
Prioritet | Prioritet |
MottagareavSpoolRequest | Mottagare av begäran om buffert |
SpoolErrorStatus | Status för Spool-fel |
SpoolRequestCompleted | Poolbegäran har slutförts |
SpoolRequestisALogForAnotherRequest | Spool-begäran är en logg för en annan begäran |
SpoolRequestName | Namn på poolbegäran |
SpoolRequestNumber | Spool-begärandenummer |
SpoolRequestSuffix1 | Spool-begärandesuffix1 |
SpoolRequestSuffix2 | Spool request suffix2 |
SpoolRequestTitle | Namn på Spool-begäran |
SystemID | System-ID |
SystemNumber | Systemnummer |
TelekommunikationPartner | Telekommunikationspartner |
TelekommunikationPartnerE | Telekommunikationspartner E |
TemSeGeneralcounter | Temse-räknare |
TemseNumAddProtectionRule | Lägg till skyddsregel för Temse-nummer |
TemseNumChangeProtectionRule | Regel för ändringsskydd för Temse-nummer |
TemseNumDeleteProtectionRule | Skyddsregel för borttagning av Temse-nummer |
TemSeObjectName | Temse-objektnamn |
TemSeObjectPart | TemSe-objektdel |
TemseReadProtectionRule | Lässkyddsregel för Temse |
User | User |
ValueAuthCheck | Värdeautentiseringskontroll |
APAB Spool-utdatalogg
Microsoft Sentinel-funktion för att fråga den här loggen: SAPSpoolOutputLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Fungerar som huvudlogg för SAP-utskrift med historiken för begäranden om buffertutdata. (SP02).
Tillgänglig med hjälp av RFC med en anpassad tjänst baserat på standardtabeller. Den här loggen genereras med data för alla klienter.
ABAPSpoolOutputLog_CL loggschema
Fält | beskrivning |
---|---|
AppServer | Programserver |
ClientID | ABAP-klient-ID (MANDT) |
Kommentar | Kommentar |
CopyCount | Antal kopior |
CopyCounter | Kopiera räknare |
Avdelning | Avdelning |
ErrorSpoolRequestNumber | Felbegäransnummer |
FormatType | Formattyp |
Host | Host |
HostName | Värdnamn |
HostSpoolerID | Värdspooler-ID |
Instans | ABAP-instans |
LastPage | Sista sidan |
NumofCopies | Antal kopior |
OutputDevice | Utdataenhet |
OutputRequestNumber | Nummer för utdatabegäran |
OutputRequestStatus | Status för utdatabegäran |
PhysicalFormatType | Typ av fysiskt format |
PrinterLongName | Skrivarlångt namn |
PrintRequestSize | Utskriftsförfrågans storlek |
Prioritet | Prioritet |
ReasonforOutputRequest | Orsak till utdatabegäran |
MottagareavSpoolRequest | Mottagare av begäran om buffert |
SpoolNumberofOutputReqProcessed | Antal utdatabegäranden – bearbetade |
SpoolNumberofOutputReqWithErrors | Antal utdatabegäranden – med fel |
SpoolNumberofOutputReqWithProblems | Antal utdatabegäranden – med problem |
SpoolRequestNumber | Spool-begärandenummer |
Startsida | Startsida |
SystemID | System-ID |
SystemNumber | Systemnummer |
TelekommunikationPartner | Telekommunikationspartner |
TemSeGeneralcounter | Temse-räknare |
Title | Title |
User | User |
ABAP Syslog
Om du vill att loggen ska skickas till Microsoft Sentinel måste du lägga till den manuellt i filen systemconfig.ini.
Microsoft Sentinel-funktionen för att fråga den här loggen: SAPOS_Syslog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Registrerar alla SAP NetWeaver Application Server(SAP NetWeaver AS) ABAP-systemfel, varningar, användarlås på grund av misslyckade inloggningsförsök från kända användare och processmeddelanden.
Tillgänglig av SAP Control-webbtjänsten. Den här loggen genereras med data för alla klienter.
ABAPOS_Syslog_CL loggschema
Fält | beskrivning |
---|---|
ClientID | ABAP-klient-ID (MANDT) |
Host | Host |
Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
MessageNumber | Meddelandenummer |
MessageText | Meddelandetext |
Allvarlighet | Allvarlighetsgrad för meddelanden, något av följande värden: Debug , Info , Warning , Error |
SystemID | System-ID |
SystemNumber | Systemnummer |
TransacationCode | Transaktionskod |
Typ | SAP-processtyp |
User | User |
ABAP-arbetsflödeslogg
Microsoft Sentinel-funktion för att fråga den här loggen: SAPWorkflowLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Med SAP Business Workflow (WebFlow Engine) kan du definiera affärsprocesser som ännu inte har mappats i SAP-systemet.
Ommappade affärsprocesser kan till exempel vara enkla lanserings- eller godkännandeprocedurer, eller mer komplexa affärsprocesser som att skapa basmaterial och sedan samordna de associerade avdelningarna.
Tillgänglig med hjälp av RFC baserat på standard-SAP-tabeller. Den här loggen genereras per klient.
ABAPWorkflowLog_CL loggschema
Fält | beskrivning |
---|---|
ActualAgent | Faktisk agent |
Adress | Adress |
ApplicationArea | Programområde |
CallbackFunction | Återanropsfunktion |
ClientID | ABAP-klient-ID (MANDT) |
CreationDateTime | Datum för skapande |
Utvecklare | Utvecklare |
CreatorAddress | Skaparadress |
ErrorType | Typ av fel |
ExceptionforMethod | Undantag för metod |
Host | Host |
Instans | ABAP-instans (HOST_SYSID_SYSNR) i följande syntax: <HOST>_<SYSID>_<SYSNR> |
Språk | Språk |
LogCounter | Loggräknare |
MessageNumber | Meddelandenummer |
MessageType | Meddelandetyp |
MethodUser | Metodanvändare |
Prioritet | Prioritet |
SimpleContainer | Enkel container, packad som en lista över nyckelvärdesentiteter för arbetsobjektet |
Status | Status |
SuperWI | Super WI |
SystemID | System-ID |
SystemNumber | Systemnummer |
TaskID | Aktivitets-ID |
UppgifterKlassificering | Aktivitetsklassificeringar |
TaskText | Aktivitetstext |
TopTaskID | Toppaktivitets-ID |
AnvändareSkapad | Användaren har skapats |
WIText | Text för arbetsobjekt |
WIType | Typ av arbetsobjekt |
WorkflowAction | Arbetsflödesåtgärd |
WorkItemID | Arbetsobjekts-ID |
ABAP WorkProcess-logg
Om du vill att loggen ska skickas till Microsoft Sentinel måste du lägga till den manuellt i filen systemconfig.ini.
Microsoft Sentinel-funktion för att fråga den här loggen: SAPOS_WP
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Kombinerar alla arbetsprocessloggar. (standard:
dev_*
).Tillgänglig av SAP Control-webbtjänsten. Den här loggen genereras med data för alla klienter.
ABAPOS_WP_CL loggschema
Fält | beskrivning |
---|---|
Host | Host |
Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
MessageText | Meddelandetext |
Allvarlighet | Allvarlighetsgrad för meddelanden: Debug , Info , Warning , Error |
SystemID | System-ID |
SystemNumber | Systemnummer |
WPNumber | Arbetsprocessnummer |
HANA DB-spårningslogg
Om du vill att den här loggen ska skickas till Microsoft Sentinel måste du distribuera en Microsoft Management Agent för att samla in Syslog-data från datorn som kör HANA DB.
Microsoft Sentinel-funktion för att fråga den här loggen: SAPSyslog
Relaterad SAP-dokumentation: Allmän | spårningslogg
Loggsyfte: Registrerar användaråtgärder eller försök till åtgärder i SAP HANA-databasen. Du kan till exempel logga och övervaka läsåtkomst till känsliga data.
Tillgänglig av Sentinel Linux-agenten för Syslog. Den här loggen genereras med data för alla klienter.
Syslog-loggschema
Fält | beskrivning |
---|---|
Dator | Värdnamn |
Hostip | Värd-IP |
HostName | Värdnamn |
ProcessID | Process ID |
ProcessName | Processnamn: HDB* |
AllvarlighetsgradNivå | Varning |
SourceSystem | Källsystemsoperativsystem, Linux |
SyslogMessage | Meddelande, ett oparserat spårningsspårningsmeddelande |
JAVA-filer
Om du vill att loggen ska skickas till Microsoft Sentinel måste du lägga till den manuellt i filen systemconfig.ini.
Microsoft Sentinel-funktion för att fråga den här loggen: SAPJAVAFilesLogs
Relaterad SAP-dokumentation: Allmän | Granskningslogg för Java-säkerhet
Loggsyfte: Kombinerar alla Java-filbaserade loggar, inklusive säkerhetsgranskningsloggen och system (kluster- och serverprocess), prestanda- och gatewayloggar. Innehåller även utvecklarspårningar och standardspårningsloggar.
Tillgänglig av SAP Control-webbtjänsten. Den här loggen genereras med data för alla klienter.
Loggschema för JavaFilesLogsCL
Fält | beskrivning |
---|---|
App | Java-program |
ClientID | Client ID |
CSNComponent | CSN-komponent, till exempel BC-XI-IBD |
DCComponent | DC-komponent, till exempel com.sap.xi.util.misc |
DSRCounter | DSR-räknare |
DSRRootContentID | GUID för DSR-kontext |
DSRTransaction | DSR-transaktions-GUID |
Host | Host |
Instans | Java-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
Plats | Java-klass |
LogName | Java logName, till exempel: Available , defaulttrace , dev* , security och så vidare |
MessageText | Meddelandetext |
Mno | Meddelandenummer |
Pid | Process ID |
Program | Programnamn |
Session | Session |
Allvarlighet | Allvarlighetsgrad för meddelanden, inklusive: Debug ,Info ,Warning ,Error |
Lösning | Lösning |
SystemID | System-ID |
SystemNumber | Systemnummer |
ThreadName | Trådnamn |
Kastas | Undantag utlöses |
Tidszon | Tidszon |
User | User |
SAP-pulsslagslogg
Microsoft Sentinel-funktion för att fråga den här loggen: SAP Anslut orHealth
Loggsyfte: Ger pulsslag och annan hälsoinformation om anslutningen mellan agenterna och de olika SAP-systemen.
Skapas automatiskt för alla agenter i Microsoft Sentinel för SAP-dataanslutningen.
SAP_HeartBeat_CL loggschema
Fält | beskrivning |
---|---|
TimeGenerated | Tid för loggpubliceringshändelse |
agent_id_s | Agent-ID i agentens konfiguration (genereras automatiskt) |
agent_ver_s | Agentversion |
host_s | Agentens värdnamn |
system_id_s | Netweaver ABAP System-ID/ Netweaver SAPControl-värd (förhandsversion) / Java SAPControl-värd (förhandsversion) |
push_timestamp_d | Tidsstämpel för extrahering, enligt agentens tidszon |
agent_timezone_s | Agentens tidszon |
Tabeller som hämtats direkt från SAP-system
I det här avsnittet visas de datatabeller som hämtas direkt från SAP-systemet och matas in i Microsoft Sentinel precis som de är.
Om du vill att data från dessa tabeller ska matas in i Microsoft Sentinel konfigurerar du relevanta inställningar i filen systemconfig.ini . Mer information finns i Konfigurera insamling av användarhuvuddata.
De data som hämtas från dessa tabeller ger en tydlig vy över auktoriseringsstrukturen, gruppmedlemskapet och användarprofilerna. Du kan också spåra processen med auktoriseringsbidrag och återkallanden samt identifiera och styra de risker som är kopplade till dessa processer.
Tabellerna nedan krävs för att aktivera funktioner som identifierar privilegierade användare, mappar användare till roller, grupper och auktoriseringar.
För bästa resultat, se dessa tabeller med hjälp av namnet i kolumnen Sentinel-funktionsnamn nedan:
Tabellnamn | Tabellbeskrivning | Sentinel-funktionsnamn |
---|---|---|
USR01 | Användarhuvudpost (körningsdata) | SAP_USR01 |
USR02 | Inloggningsdata (användning på kernelsidan) | SAP_USR02 |
UST04 | Användarbakgrunder Kartor användare till profiler |
SAP_UST04 |
AGR_USERS | Tilldelning av roller till användare | SAP_AGR_USERS |
AGR_1251 | Auktoriseringsdata för aktivitetsgruppen | SAP_AGR_1251 |
USGRP_USER | Tilldelning av användare till användargrupper | SAP_USGRP_USER |
USR21 | Tilldelning av användarnamn/adressnyckel | SAP_USR21 |
ADR6 | E-postadresser (tjänster för företagsadresser) | SAP_ADR6 |
USRSTAMP | Tidsstämpel för alla ändringar i användaren | SAP_USRSTAMP |
ADCP | Person-/adresstilldelning (tjänster för företagsadresser) | SAP_ADCP |
USR05 | Användarhuvudparameter-ID | SAP_USR05 |
AGR_PROF | Profilnamn för roll | SAP_AGR_PROF |
AGR_FLAGS | Rollattribut | SAP_AGR_FLAGS |
DEVACCESS | Tabell för utvecklingsanvändare | SAP_DEVACCESS |
AGR_DEFINE | Rolldefinition | SAP_AGR_DEFINE |
AGR_AGRS | Roller i sammansatta roller | SAP_AGR_AGRS |
PAHI | Historik för parametrarna system, databas och SAP | SAP_PAHI |
SNCSYSACL (FÖRHANDSVERSION) | SNC-åtkomstkontrollista (ACL): System | SAP_SNCSYSACL |
USRACL (FÖRHANDSVERSION) | SNC-åtkomstkontrollista (ACL): Användare | SAP_USRACL |
Nästa steg
Mer information finns i:
- Distribuera Microsoft Sentinel-lösningen för SAP-program®
- Microsoft Sentinel-lösning för SAP-program® detaljerade SAP-krav
- Distribuera Microsoft Sentinel för SAP-dataanslutningsappen med SNC
- Expertkonfigurationsalternativ, lokal distribution och SAPControl-loggkällor
- Microsoft Sentinel-lösning för SAP-program®: inbyggt säkerhetsinnehåll
- Övervaka hälsotillståndet för ditt SAP-system
- Felsöka din Microsoft Sentinel-lösning för distribution av SAP-program®