針對 SAP® 應用程式部署的 Microsoft Sentinel 解決方案進行疑難解答
實用的 Docker 命令
針對適用於 SAP 資料連接器的 Microsoft Sentinel 進行疑難解答時,您可能會發現下列命令很有用:
函式 | Command |
---|---|
停止 Docker 容器 | docker stop sapcon-[SID] |
啟動 Docker 容器 | docker start sapcon-[SID] |
檢視 Docker 系統記錄 | docker logs -f sapcon-[SID] |
輸入 Docker 容器 | docker exec -it sapcon-[SID] bash |
如需詳細資訊,請參閱 Docker CLI 檔。
檢閱系統記錄
強烈建議您在安裝或 重設數據連接器之後檢閱系統記錄。
請執行:
docker logs -f sapcon-[SID]
啟用/停用偵錯模式列印
開啟偵錯模式列印:
在您的 VM 上 ,編輯 /opt/sapcon/[SID]/systemconfig.ini 檔案。
如果先前未定義,請定義 [一般] 區段。 在本節中,定義
logging_debug = True
。例如:
[General] logging_debug = True
儲存檔案。
變更會在您儲存盤案后兩分鐘生效。 您不需要重新啟動 Docker 容器。
停用偵錯模式列印:
在您的 VM 上 ,編輯 /opt/sapcon/[SID]/systemconfig.ini 檔案。
在 [ 一般] 區段中,定義
logging_debug = False
。例如:
[General] logging_debug = False
儲存檔案。
變更會在您儲存盤案后兩分鐘生效。 您不需要重新啟動 Docker 容器。
檢視所有容器執行記錄
適用於 SAP® 應用程式資料連接器部署的 Microsoft Sentinel 解決方案 連線 或執行記錄會儲存在 VM 上的 /opt/sapcon/[SID]/log/。 記錄檔名OmniLog.log。 記錄檔的歷程記錄會保留,後綴為 。[number] 例如 OmniLog.log.1、 OmniLog.log.2 等
檢閱及更新適用於 SAP 資料連接器的 Microsoft Sentinel 設定
如果您想要檢查 Microsoft Sentinel for SAP 數據連接器組態檔並進行手動更新,請執行下列步驟:
在您的 VM 上,開啟組態檔:
- 2023 年 6 月 22 日或之後發行之代理程式版本的 sapcon/[SID]/systemconfig.json 。
- 2023 年 6 月 22 日之前發行的代理程式版本的 sapcon/[SID]/systemconfig.ini 。
視需要更新組態,並儲存盤案。
變更會在您儲存盤案后兩分鐘生效。 您不需要重新啟動 Docker 容器。
重設 Microsoft Sentinel for SAP 數據連接器
下列步驟會重設連接器,並從過去 30 分鐘內重新擷取 SAP 記錄。
停止連接器。 請執行:
docker stop sapcon-[SID]
從 /opt/sapcon/[SID] 目錄中刪除metadata.db檔案。 請執行:
cd /opt/sapcon/<SID> rm metadata.db
注意
metadata.db檔案包含每個記錄檔的最後一個時間戳,而且可避免重複。
再次啟動連接器。 請執行:
docker start sapcon-[SID]
當您完成時, 請務必檢閱系統記錄 。
SAP 稽核記錄檔中遺漏 IP 位址或交易碼欄位
此解決方案可讓具有SAP BASIS 7.5 SP12 和更新版本的SAP系統反映和 SAPAuditLog
數據表中的其他ABAPAuditLog_CL
欄位。
如果您使用高於 7.5 SP12 的 SAP BASIS 版本,且 SAP 稽核記錄中遺漏 IP 位址或交易碼字段,請確認您要從中擷取數據的 SAP 系統包含相關的變更要求(傳輸)。 若要深入瞭解,請檢閱 必要條件中從 SAP 擷取其他資訊一節。
SAP 資料表數據記錄檔中未顯示任何數據
此解決方案可讓具有SAP BASIS 7.5 SP12 和更新版本的SAP系統反映數據表中的數據 ABAPTableDataLog_CL
記錄變更。
如果數據表中 ABAPTableDataLog_CL
未顯示任何數據,請確認您要從中擷取數據的 SAP 系統包含相關的變更要求(傳輸)。 若要深入瞭解,請檢閱 必要條件中從 SAP 擷取其他資訊一節。
常見問題
部署 Microsoft Sentinel for SAP 數據連接器和安全性內容之後,您可能會遇到下列錯誤或問題:
損毀或遺失 SAP SDK 檔案
當連接器無法使用 PyRfc 開機,或顯示 zip 相關的錯誤訊息時,可能會發生此錯誤。
- 重新安裝 SAP SDK。
- 確認您是正確的 Linux 64 位版本。 截至目前日期,發行檔名為: nwrfc750P_8-70002752.zip。
如果您手動安裝資料連接器,請確定您已將 SDK 檔案複製到 Docker 容器。
請執行:
Docker cp SDK by running docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/
ABAP 運行時間錯誤會出現在大型系統上
如果大型系統上出現 ABAP 執行時間錯誤,請嘗試設定較小的區塊大小:
編輯 /opt/sapcon/[SID]/systemconfig.ini 檔案,並在 [連線 or 組態] 區段中定義
timechunk = 5
。例如:
[Connector Configuration] timechunk = 5
儲存盤案。
變更會在您儲存盤案后兩分鐘生效。 您不需要重新啟動 Docker 容器。
注意
timechunk 大小是以分鐘為單位定義。
擷取空白或沒有擷取稽核記錄,沒有特殊錯誤訊息
- 檢查 SAP 中是否已啟用稽核記錄。
- 確認 SM19 或RSAU_CONFIG交易。
- 視需要啟用任何事件。
- 確認訊息送達並存在於 SAP SM20 或 RSAU_READ_LOG中,而不會在連接器記錄檔上出現任何特殊錯誤。
不正確的 Microsoft Sentinel 工作區識別碼或密鑰
如果您發現您已在部署文本中輸入不正確的工作區標識碼或密鑰,請更新儲存在 Azure 金鑰保存庫中的認證。
在 Azure KeyVault 中驗證您的認證之後,請重新啟動容器:
docker restart sapcon-[SID]
固定組態中的不正確 SAP ABAP 用戶認證
固定組態是當密碼直接儲存在systemconfig.ini組態檔中時。
如果您的認證不正確,請確認您的認證。
使用base64加密來加密用戶和密碼。 您可以使用線上加密工具來加密您的認證,例如 https://www.base64encode.org/。
金鑰保存庫中的 SAP ABAP 使用者認證不正確
檢查您的認證,並視需要修正認證,將正確的值套用至 Azure 金鑰保存庫 中的 ABAPUSER 和 ABAPPASS 值。
然後,重新啟動容器:
docker restart sapcon-[SID]
遺漏 ABAP (SAP 使用者) 許可權
如果您收到類似: .的錯誤訊息。遺漏後端 RFC Authorization..,您的 SAP 授權和角色未正確套用。
確定 MSFTSEN/SENTINEL_CONNECTOR 角色已匯入為變更要求傳輸的一部分,並套用至連接器使用者。
使用SAP交易 PFCG 執行角色產生和用戶比較程式。
活頁簿或警示中遺失數據
如果您發現 Microsoft Sentinel 活頁簿或警示中遺漏數據,請確定 稽核記錄 原則在 SAP 端正確啟用,記錄檔中沒有任何錯誤。
針對此步驟使用 RSAU_CONFIG_LOG 交易。
遺漏 SAP 變更要求
如果您看到遺漏必要 SAP 變更要求的錯誤,請確定您已匯入系統的正確 SAP 變更要求。
如需詳細資訊,請參閱 ValidateSAP 環境驗證步驟。
沒有記錄/延遲記錄
代理程式依賴時區資訊正確無誤。 如果您看到 SAP 稽核和變更記錄中沒有任何記錄,或記錄持續落後數小時,請檢查 SAP 報告 TZCUSTHELP 是否有任何錯誤。 如需詳細資訊,請遵循 SAP 附注481835 。 此外,VM 上的時鐘可能會有問題,其中裝載 SAP® 應用程式代理程式的 Microsoft Sentinel 解決方案。 VM 時鐘與UTC的任何偏差都會影響數據收集。 更重要的是,SAP VM 的時鐘和 Sentinel 代理程式的 VM 時鐘應該相符。
網路連線問題
如果您遇到 SAP 環境或 Microsoft Sentinel 的網路連線問題,請檢查您的網路連線能力,以確定數據如預期般流動。
常見問題包括:
Docker 容器與 SAP 主機之間的防火牆可能會封鎖流量。 SAP 主機會透過下列必須開啟的 TCP 連接埠接收通訊:32xx、5xx13 和 33xx,其中 xx 是 SAP 實例號碼。
從 SAP 主機到 Microsoft Container Registry 或 Azure 的輸出通訊需要 Proxy 設定。 這通常會影響安裝,並要求您設定
HTTP_PROXY
和HTTPS_PROXY
環境變數。 您也可以在建立容器時將環境變數內嵌至 Docker 容器,方法是將旗標新增-e
至 dockercreate
/run
命令。
其他非預期的問題
如果您在本文中未列出非預期的問題,請嘗試下列步驟:
- 重設連接器並重載您的記錄
- 將連接器 升級至最新版本。
提示
重設連接器,並確保在任何重大設定變更之後,也建議您進行最新的升級。
擷取稽核記錄失敗,並出現警告
如果您嘗試擷取稽核記錄檔,但未 部署必要的變更要求 ,或部署在較舊/未修補的版本上,且程式失敗並出現警告,請確認可以使用下列其中一種方法來擷取 SAP Auditlog:
- 在舊版上使用稱為 XAL 的相容性模式
- 使用最近未修補的版本
- 未安裝必要的變更要求
雖然系統應該視需要自動切換至相容性模式,但您可能需要手動切換。 若要手動切換至相容性模式:
編輯 /opt/sapcon/[SID]/systemconfig.ini 檔案
在 [連線 or 組態] 區段中定義定義:
auditlogforcexal = True
例如:
[Connector Configuration] auditlogforcexal = True
儲存盤案。
變更會在您儲存盤案后兩分鐘生效。 您不需要重新啟動 Docker 容器。
SAPCONTROL 或 JAVA 子系統無法連線
檢查 OS 使用者是否有效,而且可以在目標 SAP 系統上執行下列命令:
sapcontrol -nr <SID> -function GetSystemInstanceList
SAPCONTROL 或 JAVA 子系統失敗,並出現時區相關錯誤訊息
如果您的 SAPCONTROL 或 JAVA 子系統失敗,並出現時區相關的錯誤訊息,例如: 請檢查 SAP 伺服器的組態和網路存取 - 'Etc/NZST',請確定您使用的是標準時區代碼。
例如,使用 javatz = GMT+12
或 abaptz = GMT-3**
。
無法將變更要求傳輸至 SAP
如果您無法匯 入必要的 SAP 記錄變更要求 ,而且收到有關無效元件版本的錯誤,請在匯入變更要求時新增 ignore invalid component version
。
稽核未擷取過去初始載入的記錄數據
如果在RSAU_READ_LOAD或 SM200 交易中可見的 SAP 稽核記錄數據,未擷取到 Microsoft Sentinel 超過初始負載,您可能設定 SAP 系統和 SAP 主機操作系統錯誤。
- 初始載入會在全新安裝 Microsoft Sentinel for SAP 資料連接器之後擷取,或在刪除metadata.db檔案之後。
- 範例設定錯誤可能是當您的 SAP 系統時區在 STZAC 交易中設定為 CET,但 SAP 主機作業系統時區設定為 UTC 時。
若要檢查設定錯誤,請在交易 SE38 中執行 RSDBTIME 報告。 如果您發現 SAP 系統與 SAP 主機作業系統不符:
停止 Docker 容器。 執行
docker stop sapcon-[SID]
從 /opt/sapcon/[SID] 目錄中刪除metadata.db檔案。 請執行:
rm /opt/sapcon/[SID]/metadata.db
更新 SAP 系統和 SAP 主機作業系統,以具有相符的設定,例如相同的時區。 如需詳細資訊,請參閱 SAP 社群 Wiki。
再次啟動容器。 請執行:
docker start sapcon-[SID]
SAP 稽核記錄檔中遺漏 IP 位址或交易碼欄位
此解決方案可讓SAP BASIS 7.5 SP12和更新版本的SAP系統反映ABAPAuditLog_CL和 SAPAuditLog 數據表中的其他字段。 如果您使用高於 7.5 SP12 的 SAP BASIS 版本,且 SAP 稽核記錄中遺漏 IP 位址或交易碼字段,請確認您要從中擷取數據的 SAP 系統包含相關的變更要求(傳輸)。 如需詳細資訊,請參閱從 SAP 擷取其他資訊(選擇性)。
SAP 資料表數據記錄檔中未顯示任何數據
此解決方案可讓SAP BASIS 7.5 SP12和更新版本的SAP系統反映ABAPTableDataLog_CL數據表中的數據表數據記錄變更。 如果ABAPTableDataLog_CL中未顯示任何數據,請確認您要從中擷取數據的 SAP 系統包含相關的變更要求(傳輸)。 如需詳細資訊,請參閱從 SAP 擷取其他資訊(選擇性)。
下一步
深入瞭解適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案:
- 部署適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案
- 為 SAP® 應用程式部署 Microsoft Sentinel 解決方案的必要條件
- 部署 SAP 變更要求 (CRS) 並設定授權
- 從內容中樞部署解決方案內容
- 部署和設定裝載SAP數據連接器代理程式的容器
- 使用 SNC 部署 Microsoft Sentinel for SAP 數據連接器
- 啟用和設定 SAP 稽核
- 收集 SAP HANA 稽核記錄
參考檔案:
- 適用於 SAP® 應用程式解決方案數據的 Microsoft Sentinel 解決方案參考
- 適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案解決方案:安全性內容參考
- Kickstart 腳本參考
- 更新文本參考
- Systemconfig.ini檔案參考
如需詳細資訊,請參閱 Microsoft Sentinel 解決方案。