Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här artikeln beskrivs de loggar och tabeller som är tillgängliga som en del av Microsoft Sentinel lösning för SAP-program och dess dataanslutning.
Vissa loggar, som anges i den här artikeln, skickas inte till Microsoft Sentinel som standard, men du kan lägga till dem manuellt efter behov. Mer information finns i Definiera DE SAP-loggar som skickas till Microsoft Sentinel
Innehållet i den här artikeln är avsett för dina SAP BASIS-team .
Viktigt
Noterade funktioner är för närvarande i förhandsversion. De kompletterande villkoren för Azure förhandsversion innehåller ytterligare juridiska villkor som gäller för Azure funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Använda funktioner i dina frågor i stället för underliggande loggar eller tabeller
Vi rekommenderar starkt att du använder tillgängliga funktioner som ämne för deras analys när det är möjligt, i stället för de underliggande loggarna eller tabellerna.
Funktioner som tillhandahålls med den Microsoft Sentinel lösningen för SAP-program är avsedda att fungera som huvudanvändargränssnittet för data. De utgör grunden för alla inbyggda analysregler och arbetsböcker som är tillgängliga för dig direkt. Med hjälp av funktioner kan ändringar göras i datainfrastrukturen under funktionerna, utan att innehållet som skapats av användaren bryts.
Mer information finns i Microsoft Sentinel lösning för SAP-program – funktionsreferens och funktioner i Azure Övervaka loggfrågor.
Loggtäckning
Den Microsoft Sentinel lösningen för SAP-program samlar in loggar från program-, OS- och dataskikten, vilket ger ett omfattande skydd för ditt SAP-system:
Programlager: Microsoft Sentinel övervakar aktiviteter i ABAP-lagret, som är det primära programskiktet i SAP-system, som ansvarar för att köra affärslogik och bearbeta transaktioner. Till exempel samlar Microsoft Sentinel in loggar som innehåller användaråtgärder som inloggningar, lösenordsändringar och åtkomst till rapporter eller filer.
Förutom säkerhetsövervakning kan loggar som samlas in på programlagret också användas för efterlevnads- och granskningsändamål.
OS-lager: Microsoft Sentinel samlar in loggar från operativsystemet för att ge insikter om aktiviteter på OS-nivå, till exempel från ABAP-servern och de virtuella datorer som SAP-programmen körs på.
Använd den Microsoft Sentinel lösningen för SAP-program tillsammans med säkerhetsinnehåll och dataanslutningar för dina andra tjänster för omfattande och central övervakning, korrelera information i alla dina system och förbättra din övergripande säkerhetsstatus.
Databaslager: Mata in databasloggar i Microsoft Sentinel för att övervaka databasaktiviteter, till exempel aktiviteter för databasadministration och ändringar av tabelldata. Den Microsoft Sentinel lösningen för SAP-program är databasagnostisk.
Alla loggar som samlas in av dataanslutningsagenten lagras först på datainsamlaragentdatorn i /opt/sapcon/<sid>/log mappen i containerinstansen. Loggarna vidarebefordras sedan till Log Analytics-arbetsytan, där du kan visa, granska och fråga dem från Microsoft Sentinel.
Granskningsloggar samlas in och matas in varje minut, medan andra loggar kan matas in mindre ofta. Microsoft Sentinel övervakar även dataanslutningsagentens pulsslag för att säkerställa att loggar samlas in och skickas till Log Analytics-arbetsytan.
Loggar som samlas in av den agentlösa dataanslutningsappen
Följande inbyggda Log Analytics-tabeller samlas in av den agentlösa dataanslutningen:
Loggreferens för dataanslutningsagenten
I följande avsnitt beskrivs de SAP-loggar som är tillgängliga från Microsoft Sentinel lösning för SAP-programdataanslutningsappen, inklusive tabellnamnen i Microsoft Sentinel, loggsyftena och detaljerade loggscheman.
Beskrivningar av schemafält baseras på fältbeskrivningarna i relevant SAP-dokumentation.
- ABAP-programlogg
- Logg för ABAP-ändringsdokument
- ABAP CR-logg
- ABAP DB-tabelldatalogg (förhandsversion)
- ABAP Gateway-logg (FÖRHANDSVERSION)
- ABAP ICM-logg (FÖRHANDSVERSION)
- ABAP-jobblogg
- Granskningslogg för ABAP-säkerhet
- ABAP Spool-logg
- APAB Spool-utdatalogg
- ABAP SysLog
- ABAP-arbetsflödeslogg
- ABAP WorkProcess-logg
- HANA DB-granskningslogg
- JAVA-filer
- SAP-pulsslagslogg
ABAP-programlogg
Microsoft Sentinel funktion för att köra frågor mot den här loggen: SAPAppLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Registrerar förloppet för en programkörning så att du kan rekonstruera det senare efter behov.
Tillgängligt med hjälp av RFC baserat på standard-SAP-tabell och standardtjänster i XBP-gränssnittet. Den här loggen genereras per klient.
Den här loggen matas bara in med dataanslutningsagenten.
ABAPAppLog_CL loggschema
| Fält | Beskrivning |
|---|---|
| AppLogDateTime | Datumtid för programlogg |
| CallbackProgram | Återanropsprogram |
| CallbackRoutine | Återanropsrutin |
| CallbackType | Typ av återanrop |
| ClientID | ABAP-klient-ID (MANDT) |
| ContextDDIC | DDIC-struktur för kontext |
| ExternalID | Externt logg-ID |
| Värd | Värd |
| Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | Seriellt programloggmeddelande |
| LevelofDetail | Detaljnivå |
| LogHandle | Programloggreferens |
| LogNumber | Loggnummer |
| MessageClass | Meddelandeklass |
| MessageNumber | Meddelandenummer |
| MessageText | Meddelandetext |
| MessageType | Meddelandetyp |
| Objekt | Programloggobjekt |
| OperationMode | Åtgärdsläge |
| ProblemClass | Problemklass |
| ProgramName | Programnamn |
| SortCriterion | Sorteringsvillkor |
| StandardText | Standardtext |
| Underobjekt | Underobjekt för programlogg |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TransactionCode | Transaktionskod |
| Användare | Användare |
| UserChange | Användarändring |
Logg för ABAP-ändringsdokument
Microsoft Sentinel funktion för att köra frågor mot den här loggen: SAPChangeDocsLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Poster:
SAP NetWeaver Application Server (AS) ABAP-loggändringar till affärsdataobjekt i ändringsdokument.
Andra entiteter i SAP-systemet, till exempel användardata, roller och adresser.
Tillgängligt med hjälp av RFC baserat på standard-SAP-tabeller. Den här loggen genereras per klient.
ABAPChangeDocsLog_CL loggschema
| Fält | Beskrivning |
|---|---|
| ActualChangeNum | Faktiskt ändringsnummer |
| ChangedTableKey | Tabellnyckeln har ändrats |
| ChangeNumber | Ändra nummer |
| ClientID | ABAP-klient-ID (MANDT) |
| CreatedfromPlannedChange | Skapad från planerad ändring i följande syntax: (‘X’ , ‘ ‘) |
| CurrencyKeyNy | Valutanyckel: nytt värde |
| CurrencyKeyOld | Valutanyckel: gammalt värde |
| Fältnamn | Fältnamn |
| FlagText | Flagga text |
| Värd | Värd |
| Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| Språk | Språk |
| ObjectClass | Objektklass, till exempel BELEG, BPAR, PFCG, IDENTITY |
| Objectid | Objekt-ID |
| PlannedChangeNum | Planerat ändringsnummer |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| Tablename | Tabellnamn |
| TransactionCode | Transaktionskod |
| TypeofChange_Header | Rubriktyp för ändring, inklusive: U = Ändra; I = Infoga; E = Ta bort enstaka docu; D = Ta bort; J = Infoga enstaka docu |
| TypeofChange_Item | Objekttyp för ändring, inklusive: U = Ändra; I = Infoga; E = Ta bort enstaka docu; D = Ta bort; J = Infoga enstaka docu |
| UOMNy | Måttenhet: nytt värde |
| UOMOld | Måttenhet: gammalt värde |
| Användare | Användare |
| VärdeNyt | Fältinnehåll: nytt värde |
| ValueOld | Fältinnehåll: gammalt värde |
| Version | Version |
ABAP CR-logg
Microsoft Sentinel funktion för att köra frågor mot den här loggen: SAPCRLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Innehåller CTS-loggarna (Change & Transport System), inklusive katalogobjekt och anpassningar där ändringar gjordes.
Tillgängligt med hjälp av RFC baserat på standardtabeller och SAP-standardtjänster. Den här loggen genereras med data för alla klienter.
Obs!
Förutom programloggning, ändringsdokument och tabellinspelning dokumenteras alla ändringar som du gör i produktionssystemet med hjälp av transportsystemet Change & i CTS- och TMS-loggarna.
ABAPCRLog_CL loggschema
| Fält | Beskrivning |
|---|---|
| Kategori | Kategori (Workbench, Anpassa) |
| ClientID | ABAP-klient-ID (MANDT) |
| Beskrivning | Beskrivning |
| Värd | Värd |
| Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| Objektnamn | Objektnamn |
| ObjectType | Objekttyp |
| Ägare | Ägare |
| Begäran | Ändringsbegäran |
| Status | Status |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TableKey | Tabellnyckel |
| Tablename | Tabellnamn |
| ViewName | Visningsnamn |
ABAP DB-tabelldatalogg (förhandsversion)
Om du vill att den här loggen ska skickas till Microsoft Sentinel måste du lägga till den manuellt i systemconfig.json-filen. Den här loggen stöds inte när du använder den rekommenderade proceduren för att installera dataanslutningsagenten från portalen.
Microsoft Sentinel funktion för att köra frågor mot den här loggen: SAPTableDataLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Tillhandahåller loggning för de tabeller som är kritiska eller känsliga för granskningar.
Tillgänglig med hjälp av RFC med en anpassad tjänst. Den här loggen genereras med data för alla klienter.
ABAPTableDataLog_CL loggschema
| Fält | Beskrivning |
|---|---|
| DBLogID | DB-logg-ID |
| Värd | Värd |
| Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| Språk | Språk |
| LogKey | Loggnyckel |
| NewValue | Nytt fältvärde |
| OldValue | Fältets gamla värde |
| OperationTypeSQL | Åtgärdstyp, Insert, Update, Delete |
| Program | Programnamn |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TableField | Tabellfält |
| Tablename | Tabellnamn |
| TransactionCode | Transaktionskod |
| Användarnamn | Användare |
| Versionsnummer | Versionsnummer |
ABAP Gateway-logg (FÖRHANDSVERSION)
Om du vill att den här loggen ska skickas till Microsoft Sentinel måste du lägga till den manuellt i systemconfig.json-filen. Den här loggen stöds inte när du använder den rekommenderade proceduren för att installera dataanslutningsagenten från portalen.
Microsoft Sentinel funktion för att köra frågor mot den här loggen: SAPOS_GW
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Övervakar gatewayaktiviteter. Tillgänglig av SAP Control-webbtjänsten. Den här loggen genereras med data för alla klienter.
ABAPOS_GW_CL loggschema
| Fält | Beskrivning |
|---|---|
| Värd | Värd |
| Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Meddelandetext |
| Allvarlighetsgrad | Allvarlighetsgrad för meddelanden: Debug, Info, Warning, Error |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
ABAP ICM-logg (FÖRHANDSVERSION)
Om du vill att den här loggen ska skickas till Microsoft Sentinel måste du lägga till den manuellt i systemconfig.json-filen. Den här loggen stöds inte när du använder den rekommenderade proceduren för att installera dataanslutningsagenten från portalen.
Microsoft Sentinel funktion för att köra frågor mot den här loggen: SAPOS_ICM
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Registrerar inkommande och utgående begäranden och sammanställer statistik över HTTP-begäranden.
Tillgänglig av SAP Control-webbtjänsten. Den här loggen genereras med data för alla klienter.
ABAPOS_ICM_CL loggschema
| Fält | Beskrivning |
|---|---|
| Värd | Värd |
| Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Meddelandetext |
| Allvarlighetsgrad | Allvarlighetsgrad för meddelanden, inklusive: Debug, Info, Warning, Error |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
ABAP-jobblogg
Microsoft Sentinel funktion för att köra frågor mot den här loggen: SAPJobLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Kombinerar alla jobbloggar för bakgrundsbearbetning (SM37).
Tillgängligt med hjälp av RFC baserat på standard-SAP-tabell och standardtjänster för XBP-gränssnitt. Den här loggen genereras med data för alla klienter.
ABAPJobLog_CL loggschema
| Fält | Beskrivning |
|---|---|
| ABAPProgram | ABAP-program |
| BgdEventParameters | Parametrar för bakgrundshändelser |
| BgdProcessingEvent | Bakgrundsbearbetningshändelse |
| ClientID | ABAP-klient-ID (MANDT) |
| DynproNumber | Dynpro-nummer |
| GUIStatus | GUI-status |
| Värd | Värd |
| Instans | ABAP-instans (HOST_SYSID_SYSNR) i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| JobClassification | Jobbklassificering |
| JobCount | Antal jobb |
| JobGroup | Jobbgrupp |
| JobName | Jobbnamn |
| JobPriority | Jobbprioritet |
| MessageClass | Meddelandeklass |
| MessageNumber | Meddelandenummer |
| MessageText | Meddelandetext |
| MessageType | Meddelandetyp |
| ReleaseUser | Jobbversionsanvändare |
| SchedulingDateTime | Schemaläggningsdatum |
| StartDateTime | Startdatumtid |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TargetServer | Målserver |
| Användare | Användare |
| UserReleaseInstance | ABAP-instans – användarversion |
| WorkProcessID | Arbetsprocess-ID |
| WorkProcessNumber | Arbetsprocessnummer |
Granskningslogg för ABAP-säkerhet
Microsoft Sentinel funktion för att köra frågor mot den här loggen: SAPAuditLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Registrerar följande data:
- Säkerhetsrelaterade ändringar i SAP-systemmiljön, till exempel ändringar i huvudanvändarposter
- Information som ger en högre datanivå, till exempel lyckade och misslyckade inloggningsförsök
- Information som möjliggör återuppbyggnad av en serie händelser, till exempel lyckade eller misslyckade transaktionsstarter
Tillgängligt med hjälp av RFC XAL/SAL-gränssnitt. SAL är tillgängligt från version Basis 7.50. Den här loggen genereras med data för alla klienter.
ABAPAuditLog_CL loggschema
| Fält | Beskrivning |
|---|---|
| ABAPProgramName | Programnamn, endast SAL |
| AlertSeverity | Allvarlighetsgrad för aviseringar |
| AlertSeverityText | Varningstext för allvarlighetsgrad, endast SAL |
| AlertValue | Aviseringsvärde |
| AuditClassID | Granska klass-ID, endast SAL |
| ClientID | ABAP-klient-ID (MANDT) |
| Dator | Användardator, endast SAL |
| E-post | Användarens e-post |
| Värd | Värd |
| Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | Meddelandeklass |
| MessageContainerID | Meddelandecontainer-ID, endast XAL |
| Messageid | Meddelande-ID, till exempel ‘AU1’,’AU2’… |
| MessageText | Meddelandetext |
| MonitoringObjectName | MTE Monitor-objektnamn, endast XAL |
| MonitorShortName | Kortnamn för MTE Monitor, endast XAL |
| SAPProcessType | Systemlogg: SAP-processtyp, endast SAL |
| B* – Bakgrundsbearbetning | |
| D* – Dialogbearbetning | |
| U* – Uppdatera uppgifter | |
| SAPWPName | Systemlogg: Arbetsprocessnummer, endast SAL |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TerminalIPv6 | Användardatorns IP-adress, endast SAL |
| TransactionCode | Transaktionskod, endast SAL |
| Användare | Användare |
| Variabel 1 | Meddelandevariabel 1 |
| Variabel 2 | Meddelandevariabel 2 |
| Variabel 3 | Meddelandevariabel 3 |
| Variabel 4 | Meddelandevariabel 4 |
ABAP Spool-logg
Microsoft Sentinel funktion för att köra frågor mot den här loggen: SAPSpoolLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Fungerar som huvudlogg för SAP-utskrift med historiken för buffertbegäranden. (SP01).
Tillgängligt med hjälp av RFC baserat på standard-SAP-tabell. Den här loggen genereras med data för alla klienter.
ABAPSpoolLog_CL loggschema
| Fält | Beskrivning |
|---|---|
| ArchiveStatus | Arkiv status |
| ArchiveType | Arkiv typ |
| ArkiveringEnhet | Arkiveringsenhet |
| Återskapa automatiskt | Automatisk omroutning |
| ClientID | ABAP-klient-ID (MANDT) |
| CountryKey | Lands-/regionnyckel |
| DeleteSpoolRequestAuto | Ta bort begäran om pool automatiskt |
| DelFlag | Borttagningsflagga |
| Department | Department |
| DocumentType | Dokumenttyp |
| ExternalMode | Externt läge |
| FormatType | Formattyp |
| Värd | Värd |
| Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | Antal kopior |
| OutputDevice | Utdataenhet |
| PrinterLongName | Långt namn på skrivare |
| PrintImmediately | Skriv ut omedelbart |
| PrintOSCoverPage | Skriv ut OSCover-sida |
| PrintSAPCoverPage | Skriv ut SAPCover-sida |
| Prioritet | Prioritet |
| RecipientofSpoolRequest | Mottagare av buffertbegäran |
| SpoolErrorStatus | Felstatus för buffert |
| SpoolRequestCompleted | Poolbegäran har slutförts |
| SpoolRequestisALogForAnotherRequest | Poolbegäran är en logg för en annan begäran |
| SpoolRequestName | Namn på poolbegäran |
| SpoolRequestNumber | Nummer på poolbegäran |
| SpoolRequestSuffix1 | Spool-begärandesuffix1 |
| SpoolRequestSuffix2 | Spool-begärandesuffix2 |
| SpoolRequestTitle | Rubrik för poolbegäran |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TelekommunikationPartner | Telekommunikationspartner |
| TelekommunikationPartnerE | Telekommunikationspartner E |
| TemSeGeneralcounter | Temse-räknare |
| TemseNumAddProtectionRule | Lägg till skyddsregel för Temse-nummer |
| TemseNumChangeProtectionRule | Regel för ändringsskydd för Temse-nummer |
| TemseNumDeleteProtectionRule | Skyddsregel för borttagning av temse-nummer |
| TemSeObjectName | Temse-objektnamn |
| TemSeObjectPart | TemSe-objektdel |
| TemseReadProtectionRule | Lässkyddsregel för Temse |
| Användare | Användare |
| ValueAuthCheck | Värdeautentiseringskontroll |
APAB Spool-utdatalogg
Microsoft Sentinel funktion för att köra frågor mot den här loggen: SAPSpoolOutputLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Fungerar som huvudlogg för SAP-utskrift med historiken för utdatabegäranden för bufferten. (SP02).
Tillgänglig med hjälp av RFC med en anpassad tjänst baserad på standardtabeller. Den här loggen genereras med data för alla klienter.
ABAPSpoolOutputLog_CL loggschema
| Fält | Beskrivning |
|---|---|
| Appserver | Programserver |
| ClientID | ABAP-klient-ID (MANDT) |
| Kommentar | Kommentar |
| CopyCount | Antal kopior |
| CopyCounter | Kopiera räknare |
| Department | Department |
| ErrorSpoolRequestNumber | Felbegäransnummer |
| FormatType | Formattyp |
| Värd | Värd |
| Värdnamn | Värdnamn |
| HostSpoolerID | ID för värdpool |
| Instans | ABAP-instans |
| LastPage | Sista sidan |
| NumofCopies | Antal kopior |
| OutputDevice | Utdataenhet |
| OutputRequestNumber | Nummer för utdatabegäran |
| OutputRequestStatus | Status för utdatabegäran |
| PhysicalFormatType | Typ av fysiskt format |
| PrinterLongName | Långt namn på skrivare |
| PrintRequestSize | Utskriftsförfrågans storlek |
| Prioritet | Prioritet |
| ReasonforOutputRequest | Orsak till utdatabegäran |
| RecipientofSpoolRequest | Mottagare av buffertbegäran |
| SpoolNumberofOutputReqProcessed | Antal utdatabegäranden – bearbetade |
| SpoolNumberofOutputReqWithErrors | Antal utdatabegäranden – med fel |
| SpoolNumberofOutputReqWithProblems | Antal utdatabegäranden – med problem |
| SpoolRequestNumber | Nummer på poolbegäran |
| Startsida | Startsida |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TelekommunikationPartner | Telekommunikationspartner |
| TemSeGeneralcounter | Temse-räknare |
| Rubrik | Rubrik |
| Användare | Användare |
ABAP Syslog
Om du vill att den här loggen ska skickas till Microsoft Sentinel måste du lägga till den manuellt i systemconfig.json-filen. Den här loggen stöds inte när du använder den rekommenderade proceduren för att installera dataanslutningsagenten från portalen.
Microsoft Sentinel funktion för att köra frågor mot den här loggen: SAPOS_Syslog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Registrerar alla SAP NetWeaver Application Server(SAP NetWeaver AS) ABAP-systemfel, varningar, användarlås på grund av misslyckade inloggningsförsök från kända användare och processmeddelanden.
Tillgänglig av SAP Control-webbtjänsten. Den här loggen genereras med data för alla klienter.
ABAPOS_Syslog_CL loggschema
| Fält | Beskrivning |
|---|---|
| ClientID | ABAP-klient-ID (MANDT) |
| Värd | Värd |
| Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | Meddelandenummer |
| MessageText | Meddelandetext |
| Allvarlighetsgrad | Allvarlighetsgrad för meddelanden, något av följande värden: Debug, Info, Warning, Error |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TransacationCode | Transaktionskod |
| Typ | SAP-processtyp |
| Användare | Användare |
ABAP-arbetsflödeslogg
Microsoft Sentinel funktion för att köra frågor mot den här loggen: SAPWorkflowLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Med SAP Business Workflow (WebFlow Engine) kan du definiera affärsprocesser som ännu inte har mappats i SAP-systemet.
Omappade affärsprocesser till exempel kan vara enkla lanserings- eller godkännandeprocedurer, eller mer komplexa affärsprocesser som att skapa basmaterial och sedan samordna de associerade avdelningarna.
Tillgängligt med hjälp av RFC baserat på standard-SAP-tabeller. Den här loggen genereras per klient.
ABAPWorkflowLog_CL loggschema
| Fält | Beskrivning |
|---|---|
| ActualAgent | Faktisk agent |
| Adress | Adress |
| ApplicationArea | Programområde |
| CallbackFunction | Återanropsfunktion |
| ClientID | ABAP-klient-ID (MANDT) |
| CreationDateTime | Datum för skapande |
| Skapare | Skapare |
| CreatorAddress | Skaparadress |
| ErrorType | Feltyp |
| ExceptionforMethod | Undantag för metod |
| Värd | Värd |
| Instans | ABAP-instans (HOST_SYSID_SYSNR) i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| Språk | Språk |
| LogCounter | Loggräknare |
| MessageNumber | Meddelandenummer |
| MessageType | Meddelandetyp |
| MethodUser | Metodanvändare |
| Prioritet | Prioritet |
| SimpleContainer | Enkel container, packad som en lista över nyckel/värde-entiteter för arbetsobjektet |
| Status | Status |
| SuperWI | Super WI |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TaskID | Aktivitets-ID |
| UppgifterKlassificering | Uppgiftsklassificeringar |
| TaskText | Aktivitetstext |
| TopTaskID | Toppaktivitets-ID |
| AnvändareSkapad | Användaren har skapats |
| WIText | Arbetsobjektstext |
| WIType | Typ av arbetsobjekt |
| WorkflowAction | Arbetsflödesåtgärd |
| WorkItemID | Arbetsobjekts-ID |
ABAP WorkProcess-logg
Om du vill att den här loggen ska skickas till Microsoft Sentinel måste du lägga till den manuellt i systemconfig.json-filen. Den här loggen stöds inte när du använder den rekommenderade proceduren för att installera dataanslutningsagenten från portalen.
Microsoft Sentinel funktion för att köra frågor mot den här loggen: SAPOS_WP
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Kombinerar alla arbetsprocessloggar. (standard:
dev_*).Tillgänglig av SAP Control-webbtjänsten. Den här loggen genereras med data för alla klienter.
ABAPOS_WP_CL loggschema
| Fält | Beskrivning |
|---|---|
| Värd | Värd |
| Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Meddelandetext |
| Allvarlighetsgrad | Allvarlighetsgrad för meddelanden: Debug, Info, Warning, Error |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| WPNumber | Arbetsprocessnummer |
HANA DB-granskningslogg
Insamling av HANA DB-spårningsloggen är ett exempel på hur Microsoft Sentinel samlar in aktiviteter på databasnivå. Om du vill att den här loggen ska skickas till Microsoft Sentinel måste du distribuera Azure Monitor Agent för att samla in Syslog-data från datorn som kör HANA DB.
Microsoft Sentinel funktion för att köra frågor mot den här loggen: SAPSyslog
Relaterad SAP-dokumentation: Allmän | spårningslogg
Loggsyfte: Registrerar användaråtgärder eller försök till åtgärder i SAP HANA-databasen. Du kan till exempel logga och övervaka läsåtkomst till känsliga data.
Tillgänglig av Microsoft Sentinel Linux-agenten för Syslog. Den här loggen genereras med data för alla klienter.
Syslog-loggschema
| Fält | Beskrivning |
|---|---|
| Dator | Värdnamn |
| Hostip | Värd-IP |
| Värdnamn | Värdnamn |
| Processid | Process-ID |
| ProcessName | Processnamn: HDB* |
| AllvarlighetsgradNivå | Varning |
| SourceSystem | Källsystems-OS, Linux |
| SyslogMessage | Meddelande, ett oparserat spårningsmeddelande |
JAVA-filer
Om du vill att den här loggen ska skickas till Microsoft Sentinel måste du lägga till den manuellt i systemconfig.json-filen. Den här loggen stöds inte när du använder den rekommenderade proceduren för att installera dataanslutningsagenten från portalen.
Microsoft Sentinel funktion för att fråga den här loggen: SAPJAVAFilesLogs
Relaterad SAP-dokumentation: Allmän | Granskningslogg för Java-säkerhet
Loggsyfte: Kombinerar alla Java-filbaserade loggar, inklusive säkerhetsgranskningsloggen och system (kluster- och serverprocess), prestanda och gatewayloggar. Innehåller även utvecklarspårningar och standardspårningsloggar.
Tillgänglig av SAP Control-webbtjänsten. Den här loggen genereras med data för alla klienter.
Loggschema för JavaFilesLogsCL
| Fält | Beskrivning |
|---|---|
| Program | Java-program |
| ClientID | Klient-ID |
| CSNComponent | CSN-komponent, till exempel BC-XI-IBD |
| DCComponent | DC-komponent, till exempel com.sap.xi.util.misc |
| DSRCounter | DSR-räknare |
| DSRRootContentID | DSR-kontext-GUID |
| DSRTransaction | DSR-transaktions-GUID |
| Värd | Värd |
| Instans | Java-instans med följande syntax: <HOST>_<SYSID>_<SYSNR> |
| Plats | Java-klass |
| LogName | Java logName, till exempel: Available, defaulttrace, dev*, securityoch så vidare |
| MessageText | Meddelandetext |
| Mno | Meddelandenummer |
| Pid | Process-ID |
| Program | Programnamn |
| Session | Session |
| Allvarlighetsgrad | Allvarlighetsgrad för meddelanden, inklusive: Debug,Info,Warning,Error |
| Lösning | Lösning |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| ThreadName | Trådnamn |
| Kastas | Undantag utlöses |
| Tidszon | Tidszon |
| Användare | Användare |
SAP-pulsslagslogg
Microsoft Sentinel funktion för att köra frågor mot den här loggen: SAPConnectorHealth
Loggsyfte: Tillhandahåller pulsslag och annan hälsoinformation om anslutningen mellan agenterna och de olika SAP-systemen.
Skapas automatiskt för alla agenter i Microsoft Sentinel för SAP-dataanslutningsappen.
SAP_HeartBeat_CL loggschema
| Fält | Beskrivning |
|---|---|
| TimeGenerated | Tidpunkt för loggpubliceringshändelse |
| agent_id_s | Agent-ID i agentens konfiguration (genereras automatiskt) |
| agent_ver_s | Agentversion |
| host_s | Agentens värdnamn |
| system_id_s | Netweaver ABAP System-ID/ Netweaver SAPControl-värd (förhandsversion) / Java SAPControl-värd (förhandsversion) |
| push_timestamp_d | Tidsstämpel för extrahering, enligt agentens tidszon |
| agent_timezone_s | Agentens tidszon |
Referens för tabeller som hämtats direkt från SAP-system
I det här avsnittet visas de datatabeller som hämtas direkt från SAP-systemet och matas in i Microsoft Sentinel precis som de är.
De data som hämtas från dessa tabeller ger en tydlig vy över auktoriseringsstrukturen, gruppmedlemskapet och användarprofilerna. Det gör också att du kan spåra processen för auktoriseringsbidrag och återkallanden samt identifiera och styra de risker som är associerade med dessa processer.
Tabellerna nedan krävs för att aktivera funktioner som identifierar privilegierade användare, mappar användare till roller, grupper och auktoriseringar.
För bästa resultat, se dessa tabeller med hjälp av namnet i kolumnen Microsoft Sentinel funktionsnamn i följande tabell:
| Tabellnamn | Tabellbeskrivning | Microsoft Sentinel funktionsnamn |
|---|---|---|
| USR01 | Användarhuvudpost (körningsdata) | SAP_USR01 |
| USR02 | Inloggningsdata (användning på kernelsidan) | SAP_USR02 |
| UST04 | Användarbakgrunder Mappar användare till profiler |
SAP_UST04 |
| AGR_USERS | Tilldelning av roller till användare | SAP_AGR_USERS |
| AGR_1251 | Auktoriseringsdata för aktivitetsgruppen | SAP_AGR_1251 |
| USGRP_USER | Tilldelning av användare till användargrupper | SAP_USGRP_USER |
| USR21 | Tilldelning av användarnamn/adressnyckel | SAP_USR21 |
| ADR6 | Email adresser (tjänster för företagsadresser) | SAP_ADR6 |
| USRSTAMP | Tidsstämpel för alla ändringar i användaren | SAP_USRSTAMP |
| ADCP | Person-/adresstilldelning (affärsadresstjänster) | SAP_ADCP |
| USR05 | Användarhuvudparameter-ID | SAP_USR05 |
| AGR_PROF | Profilnamn för roll | SAP_AGR_PROF |
| AGR_FLAGS | Rollattribut | SAP_AGR_FLAGS |
| DEVACCESS | Tabell för utvecklingsanvändare | SAP_DEVACCESS |
| AGR_DEFINE | Rolldefinition | SAP_AGR_DEFINE |
| AGR_AGRS | Roller i sammansatta roller | SAP_AGR_AGRS |
| PAHI | Historik för system-, databas- och SAP-parametrar | SAP_PAHI |
| SNCSYSACL (FÖRHANDSVERSION) | SNC Access Control List (ACL): System | SAP_SNCSYSACL |
| USRACL (FÖRHANDSVERSION) | SNC Access Control List (ACL): Användare | SAP_USRACL |
Relaterat innehåll
Mer information finns i: