針對 SAP® 應用程式部署的 Microsoft Sentinel 解決方案進行疑難解答

  • 發行項

實用的 Docker 命令

針對適用於 SAP 資料連接器的 Microsoft Sentinel 進行疑難解答時,您可能會發現下列命令很有用:

函式 Command
停止 Docker 容器 docker stop sapcon-[SID]
啟動 Docker 容器 docker start sapcon-[SID]
檢視 Docker 系統記錄 docker logs -f sapcon-[SID]
輸入 Docker 容器 docker exec -it sapcon-[SID] bash

如需詳細資訊,請參閱 Docker CLI 檔

檢閱系統記錄

強烈建議您在安裝或 重設數據連接器之後檢閱系統記錄。

請執行:

docker logs -f sapcon-[SID]

啟用/停用偵錯模式列印

開啟偵錯模式列印

  1. 在您的 VM 上 ,編輯 /opt/sapcon/[SID]/systemconfig.ini 檔案。

  2. 如果先前未定義,請定義 [一般] 區段。 在本節中,定義 logging_debug = True

    例如:

    [General]
logging_debug = True

  3. 儲存檔案。

變更會在您儲存盤案后兩分鐘生效。 您不需要重新啟動 Docker 容器。

停用偵錯模式列印

  1. 在您的 VM 上 ,編輯 /opt/sapcon/[SID]/systemconfig.ini 檔案。

  2. 在 [ 一般] 區段中,定義 logging_debug = False

    例如:

    [General]
logging_debug = False

  3. 儲存檔案。

變更會在您儲存盤案后兩分鐘生效。 您不需要重新啟動 Docker 容器。

檢視所有容器執行記錄

適用於 SAP® 應用程式資料連接器部署的 Microsoft Sentinel 解決方案 連線 或執行記錄會儲存在 VM 上的 /opt/sapcon/[SID]/log/。 記錄檔名OmniLog.log。 記錄檔的歷程記錄會保留,後綴為 。[number] 例如 OmniLog.log.1OmniLog.log.2

檢閱及更新適用於 SAP 資料連接器的 Microsoft Sentinel 設定

如果您想要檢查 Microsoft Sentinel for SAP 數據連接器組態檔並進行手動更新,請執行下列步驟:

  1. 在您的 VM 上,開啟組態檔:

    • 2023 年 6 月 22 日或之後發行之代理程式版本的 sapcon/[SID]/systemconfig.json
    • 2023 年 6 月 22 日之前發行的代理程式版本的 sapcon/[SID]/systemconfig.ini

  2. 視需要更新組態,並儲存盤案。

變更會在您儲存盤案后兩分鐘生效。 您不需要重新啟動 Docker 容器。

重設 Microsoft Sentinel for SAP 數據連接器

下列步驟會重設連接器,並從過去 30 分鐘內重新擷取 SAP 記錄。

  1. 停止連接器。 請執行:

    docker stop sapcon-[SID]

  2. /opt/sapcon/[SID] 目錄中刪除metadata.db檔案。 請執行:

    cd /opt/sapcon/<SID>
rm metadata.db

    注意

    metadata.db檔案包含每個記錄檔的最後一個時間戳,而且可避免重複。

  3. 再次啟動連接器。 請執行:

    docker start sapcon-[SID]

當您完成時, 請務必檢閱系統記錄

SAP 稽核記錄檔中遺漏 IP 位址或交易碼欄位

此解決方案可讓具有SAP BASIS 7.5 SP12 和更新版本的SAP系統反映和 SAPAuditLog 數據表中的其他ABAPAuditLog_CL欄位。

如果您使用高於 7.5 SP12 的 SAP BASIS 版本,且 SAP 稽核記錄中遺漏 IP 位址或交易碼字段,請確認您要從中擷取數據的 SAP 系統包含相關的變更要求(傳輸)。 若要深入瞭解,請檢閱 必要條件中從 SAP 擷取其他資訊一節。

SAP 資料表數據記錄檔中未顯示任何數據

此解決方案可讓具有SAP BASIS 7.5 SP12 和更新版本的SAP系統反映數據表中的數據 ABAPTableDataLog_CL 記錄變更。

如果數據表中 ABAPTableDataLog_CL 未顯示任何數據,請確認您要從中擷取數據的 SAP 系統包含相關的變更要求(傳輸)。 若要深入瞭解,請檢閱 必要條件中從 SAP 擷取其他資訊一節。

常見問題

部署 Microsoft Sentinel for SAP 數據連接器和安全性內容之後,您可能會遇到下列錯誤或問題:

損毀或遺失 SAP SDK 檔案

當連接器無法使用 PyRfc 開機,或顯示 zip 相關的錯誤訊息時,可能會發生此錯誤。

  1. 重新安裝 SAP SDK。
  2. 確認您是正確的 Linux 64 位版本。 截至目前日期,發行檔名為: nwrfc750P_8-70002752.zip

如果您手動安裝資料連接器,請確定您已將 SDK 檔案複製到 Docker 容器。

請執行:

Docker cp SDK by running docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

ABAP 運行時間錯誤會出現在大型系統上

如果大型系統上出現 ABAP 執行時間錯誤,請嘗試設定較小的區塊大小:

  1. 編輯 /opt/sapcon/[SID]/systemconfig.ini 檔案,並在 [連線 or 組態] 區段中定義 timechunk = 5

    例如:

    [Connector Configuration]
timechunk = 5

  2. 儲存盤案。

變更會在您儲存盤案后兩分鐘生效。 您不需要重新啟動 Docker 容器。

注意

timechunk 大小是以分鐘為單位定義。

擷取空白或沒有擷取稽核記錄,沒有特殊錯誤訊息

  1. 檢查 SAP 中是否已啟用稽核記錄。
  2. 確認 SM19RSAU_CONFIG交易。
  3. 視需要啟用任何事件。
  4. 確認訊息送達並存在於 SAP SM20RSAU_READ_LOG中,而不會在連接器記錄檔上出現任何特殊錯誤。

不正確的 Microsoft Sentinel 工作區識別碼或密鑰

如果您發現您已在部署文本中輸入不正確的工作區標識碼或密鑰,請更新儲存在 Azure 金鑰保存庫中的認證。

在 Azure KeyVault 中驗證您的認證之後,請重新啟動容器:

docker restart sapcon-[SID]

固定組態中的不正確 SAP ABAP 用戶認證

固定組態是當密碼直接儲存在systemconfig.ini組態檔中時。

如果您的認證不正確,請確認您的認證。

使用base64加密來加密用戶和密碼。 您可以使用線上加密工具來加密您的認證,例如 https://www.base64encode.org/

金鑰保存庫中的 SAP ABAP 使用者認證不正確

檢查您的認證,並視需要修正認證,將正確的值套用至 Azure 金鑰保存庫 中的 ABAPUSERABAPPASS 值。

然後,重新啟動容器:

docker restart sapcon-[SID]

遺漏 ABAP (SAP 使用者) 許可權

如果您收到類似: .的錯誤訊息。遺漏後端 RFC Authorization..,您的 SAP 授權和角色未正確套用。

  1. 確定 MSFTSEN/SENTINEL_CONNECTOR 角色已匯入為變更要求傳輸的一部分,並套用至連接器使用者。

  2. 使用SAP交易 PFCG 執行角色產生和用戶比較程式。

活頁簿或警示中遺失數據

如果您發現 Microsoft Sentinel 活頁簿或警示中遺漏數據,請確定 稽核記錄 原則在 SAP 端正確啟用,記錄檔中沒有任何錯誤。

針對此步驟使用 RSAU_CONFIG_LOG 交易。

遺漏 SAP 變更要求

如果您看到遺漏必要 SAP 變更要求的錯誤,請確定您已匯入系統的正確 SAP 變更要求。

如需詳細資訊,請參閱 ValidateSAP 環境驗證步驟

沒有記錄/延遲記錄

代理程式依賴時區資訊正確無誤。 如果您看到 SAP 稽核和變更記錄中沒有任何記錄,或記錄持續落後數小時,請檢查 SAP 報告 TZCUSTHELP 是否有任何錯誤。 如需詳細資訊,請遵循 SAP 附注481835 。 此外,VM 上的時鐘可能會有問題,其中裝載 SAP® 應用程式代理程式的 Microsoft Sentinel 解決方案。 VM 時鐘與UTC的任何偏差都會影響數據收集。 更重要的是,SAP VM 的時鐘和 Sentinel 代理程式的 VM 時鐘應該相符。

網路連線問題

如果您遇到 SAP 環境或 Microsoft Sentinel 的網路連線問題,請檢查您的網路連線能力,以確定數據如預期般流動。

常見問題包括:

  • Docker 容器與 SAP 主機之間的防火牆可能會封鎖流量。 SAP 主機會透過下列必須開啟的 TCP 連接埠接收通訊:32xx、5xx1333xx,其中 xx 是 SAP 實例號碼。

  • 從 SAP 主機到 Microsoft Container Registry 或 Azure 的輸出通訊需要 Proxy 設定。 這通常會影響安裝,並要求您設定 HTTP_PROXYHTTPS_PROXY 環境變數。 您也可以在建立容器時將環境變數內嵌至 Docker 容器,方法是將旗標新增 -e 至 docker create / run 命令。

其他非預期的問題

如果您在本文中未列出非預期的問題,請嘗試下列步驟:

提示

重設連接器,並確保在任何重大設定變更之後,也建議您進行最新的升級。

擷取稽核記錄失敗,並出現警告

如果您嘗試擷取稽核記錄檔,但未 部署必要的變更要求 ,或部署在較舊/未修補的版本上,且程式失敗並出現警告,請確認可以使用下列其中一種方法來擷取 SAP Auditlog:

  • 在舊版上使用稱為 XAL 的相容性模式
  • 使用最近未修補的版本
  • 未安裝必要的變更要求

雖然系統應該視需要自動切換至相容性模式,但您可能需要手動切換。 若要手動切換至相容性模式:

  1. 編輯 /opt/sapcon/[SID]/systemconfig.ini 檔案

  2. [連線 or 組態] 區段中定義定義:auditlogforcexal = True

    例如:

    [Connector Configuration]
auditlogforcexal = True

  3. 儲存盤案。

變更會在您儲存盤案后兩分鐘生效。 您不需要重新啟動 Docker 容器。

SAPCONTROL 或 JAVA 子系統無法連線

檢查 OS 使用者是否有效,而且可以在目標 SAP 系統上執行下列命令:

sapcontrol -nr <SID> -function GetSystemInstanceList

如果您的 SAPCONTROL 或 JAVA 子系統失敗,並出現時區相關的錯誤訊息,例如: 請檢查 SAP 伺服器的組態和網路存取 - 'Etc/NZST',請確定您使用的是標準時區代碼。

例如,使用 javatz = GMT+12abaptz = GMT-3**

無法將變更要求傳輸至 SAP

如果您無法匯 入必要的 SAP 記錄變更要求 ,而且收到有關無效元件版本的錯誤,請在匯入變更要求時新增 ignore invalid component version

稽核未擷取過去初始載入的記錄數據

如果在RSAU_READ_LOADSM200 交易中可見的 SAP 稽核記錄數據,未擷取到 Microsoft Sentinel 超過初始負載,您可能設定 SAP 系統和 SAP 主機操作系統錯誤。

  • 初始載入會在全新安裝 Microsoft Sentinel for SAP 資料連接器之後擷取,或在刪除metadata.db檔案之後
  • 範例設定錯誤可能是當您的 SAP 系統時區在 STZAC 交易中設定為 CET,但 SAP 主機作業系統時區設定為 UTC 時。

若要檢查設定錯誤,請在交易 SE38 中執行 RSDBTIME 報告。 如果您發現 SAP 系統與 SAP 主機作業系統不符:

  1. 停止 Docker 容器。 執行

    docker stop sapcon-[SID]

  2. /opt/sapcon/[SID] 目錄中刪除metadata.db檔案。 請執行:

    rm /opt/sapcon/[SID]/metadata.db

  3. 更新 SAP 系統和 SAP 主機作業系統,以具有相符的設定,例如相同的時區。 如需詳細資訊,請參閱 SAP 社群 Wiki

  4. 再次啟動容器。 請執行:

    docker start sapcon-[SID]

SAP 稽核記錄檔中遺漏 IP 位址或交易碼欄位

此解決方案可讓SAP BASIS 7.5 SP12和更新版本的SAP系統反映ABAPAuditLog_CL和 SAPAuditLog 數據表中的其他字段。 如果您使用高於 7.5 SP12 的 SAP BASIS 版本,且 SAP 稽核記錄中遺漏 IP 位址或交易碼字段,請確認您要從中擷取數據的 SAP 系統包含相關的變更要求(傳輸)。 如需詳細資訊,請參閱從 SAP 擷取其他資訊(選擇性)。

SAP 資料表數據記錄檔中未顯示任何數據

此解決方案可讓SAP BASIS 7.5 SP12和更新版本的SAP系統反映ABAPTableDataLog_CL數據表中的數據表數據記錄變更。 如果ABAPTableDataLog_CL中未顯示任何數據,請確認您要從中擷取數據的 SAP 系統包含相關的變更要求(傳輸)。 如需詳細資訊,請參閱從 SAP 擷取其他資訊(選擇性)。

下一步

深入瞭解適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案:

參考檔案:

如需詳細資訊,請參閱 Microsoft Sentinel 解決方案