Informazioni di riferimento su log e tabelle per la soluzione Microsoft Sentinel per le applicazioni SAP
Questo articolo descrive i log e le tabelle disponibili come parte della soluzione Microsoft Sentinel per le applicazioni SAP e il relativo connettore dati.
Alcuni log, annotati in questo articolo, non vengono inviati a Microsoft Sentinel per impostazione predefinita, ma è possibile aggiungerli manualmente in base alle esigenze. Per altre informazioni, vedere Definire i log SAP inviati a Microsoft Sentinel
Il contenuto di questo articolo è destinato ai team SAP BASIS .
Importante
Alcuni componenti della soluzione Microsoft Sentinel Threat Monitoring per SAP sono attualmente disponibili in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Usare le funzioni nelle query anziché i log o le tabelle sottostanti
È consigliabile usare le funzioni disponibili come soggetti dell'analisi, quando possibile, anziché i log o le tabelle sottostanti.
Le funzioni fornite con la soluzione Microsoft Sentinel per le applicazioni SAP sono destinate a fungere da interfaccia utente principale per i dati. Costituiscono la base per tutte le regole di analisi predefinite e le cartelle di lavoro disponibili per l'utente. L'uso delle funzioni consente di apportare modifiche all'infrastruttura dati sotto le funzioni, senza interrompere il contenuto creato dall'utente.
Per altre informazioni, vedere La soluzione Microsoft Sentinel per le applicazioni SAP - Informazioni di riferimento sulle funzioni e Funzioni nelle query di log di Monitoraggio di Azure.
Copertura dei log
La soluzione Microsoft Sentinel per le applicazioni SAP raccoglie i log dai livelli di dati, del sistema operativo e dell'applicazione, offrendo una protezione completa per il sistema SAP:
Livello applicazione: Microsoft Sentinel monitora le attività all'interno del livello ABAP, ovvero il livello applicazione principale nei sistemi SAP, responsabile dell'esecuzione della logica di business e dell'elaborazione delle transazioni. Ad esempio, Microsoft Sentinel raccoglie i log che includono azioni utente come accessi, modifiche alle password e accesso a report o file.
Oltre al monitoraggio della sicurezza, i log raccolti a livello di applicazione possono essere usati anche a scopo di conformità e controllo.
Livello del sistema operativo: Microsoft Sentinel raccoglie i log dal sistema operativo per fornire informazioni dettagliate sulle attività a livello di sistema operativo, ad esempio dal server ABAP e dalle macchine virtuali in cui sono in esecuzione le applicazioni SAP.
Usare la soluzione Microsoft Sentinel per le applicazioni SAP insieme ai connettori di sicurezza e dati per gli altri servizi per il monitoraggio completo e centrale, correlando le informazioni in tutti i sistemi e migliorando il comportamento di sicurezza complessivo.
Livello database: inserire i log del database in Microsoft Sentinel per monitorare le attività del database, ad esempio le attività di amministrazione del database e le modifiche ai dati delle tabelle. La soluzione Microsoft Sentinel per le applicazioni SAP è indipendente dal database.
Tutti i log raccolti dall'agente connettore dati vengono archiviati prima nel computer agente dell'agente di raccolta dati, nella /opt/sapcon/<sid>/log
cartella nell'istanza del contenitore. I log vengono quindi inoltrati all'area di lavoro Log Analytics, in cui è possibile visualizzare, controllare ed eseguire query su di essi da Microsoft Sentinel.
I log di controllo vengono raccolti e inseriti ogni minuto, mentre altri log potrebbero essere inseriti meno frequentemente. Microsoft Sentinel monitora anche l'heartbeat dell'agente del connettore dati per assicurarsi che i log vengano raccolti e inviati all'area di lavoro Log Analytics.
Informazioni di riferimento sul log
Le sezioni seguenti descrivono i log SAP disponibili nella soluzione Microsoft Sentinel per il connettore dati delle applicazioni SAP, inclusi i nomi delle tabelle in Microsoft Sentinel, gli scopi del log e gli schemi di log dettagliati.
Le descrizioni dei campi dello schema sono basate sulle descrizioni dei campi nella documentazione SAP pertinente.
- Registro applicazioni ABAP
- Log dei documenti di modifica ABAP
- Log ABAP CR
- Log dei dati della tabella ABAP DB (ANTEPRIMA)
- Log del gateway ABAP (ANTEPRIMA)
- Log ABAP ICM (ANTEPRIMA)
- Log processo ABAP
- Log di controllo della sicurezza ABAP
- Log di ABAP Spool
- Log di output di Spooling APAB
- ABAP SysLog
- Log del flusso di lavoro ABAP
- Log di ABAP WorkProcess
- Audit Trail del database HANA
- File JAVA
- SAP Heartbeat Log
Registro applicazioni ABAP
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPAppLog
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: registra lo stato di avanzamento di un'esecuzione dell'applicazione in modo da poterlo ricostruire in un secondo momento in base alle esigenze.
Disponibile usando RFC basato su tabelle SAP standard e servizi standard dell'interfaccia XBP. Questo log viene generato per ogni client.
schema del log ABAPAppLog_CL
Campo | Descrizione |
---|---|
AppLogDateTime | Data e ora del log applicazioni |
CallbackProgram | Programma di callback |
CallbackRoutine | Routine di callback |
CallbackType | Tipo di callback |
ClientID | ID client ABAP (MANDT) |
ContextDDIC | Struttura DDIC del contesto |
ExternalID | ID log esterno |
Host | Host |
Istanza | Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
InternalMessageSerial | Seriale del messaggio del log applicazioni |
LevelofDetail | Livello di dettaglio |
LogHandle | Handle del log applicazioni |
LogNumber | Numero di log |
MessageClass | Classe Message |
MessageNumber | Numero di messaggio |
MessageText | Testo del messaggio |
MessageType | Tipo di messaggio |
Object | Oggetto log applicazioni |
OperationMode | Modalità operativa |
ProblemClass | Classe Problem |
ProgramName | Nome del programma |
SortCriterion | Criterio di ordinamento |
StandardText | Testo standard |
SubObject | Oggetto secondario del log applicazioni |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
TransactionCode | Codice transazione |
User | User |
UserChange | Modifica utente |
Log dei documenti di modifica ABAP
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPChangeDocsLog
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: Record:
Modifiche al log ABAP di SAP NetWeaver Application Server (AS) apportate agli oggetti dati aziendali nei documenti delle modifiche.
Altre entità nel sistema SAP, ad esempio dati utente, ruoli, indirizzi.
Disponibile usando RFC basato su tabelle SAP standard. Questo log viene generato per ogni client.
schema del log ABAPChangeDocsLog_CL
Campo | Descrizione |
---|---|
ActualChangeNum | Numero di modifica effettivo |
ChangedTableKey | Chiave di tabella modificata |
ChangeNumber | Cambia numero |
ClientID | ID client ABAP (MANDT) |
CreatedfromPlannedChange | Creato dalla modifica pianificata, nella sintassi seguente: (‘X’ , ‘ ‘) |
CurrencyKeyNew | Chiave di valuta: nuovo valore |
CurrencyKeyOld | Chiave di valuta: valore precedente |
FieldName | Nome del campo |
FlagText | Contrassegna testo |
Host | Host |
Istanza | Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
Lingua | Lingua |
ObjectClass | Classe oggetto, ad esempio BELEG , BPAR , PFCG , IDENTITY |
ObjectID | ID dell'oggetto. |
PlannedChangeNum | Numero di modifica pianificata |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
TableName | Nome tabella |
TransactionCode | Codice transazione |
TypeofChange_Header | Tipo di intestazione di modifica, tra cui: U = Modifica; I = Inserisci; E = Delete Single Docu; D = Elimina; J = Inserisci docu singolo |
TypeofChange_Item | Tipo di elemento di modifica, tra cui: U = Modifica; I = Inserisci; E = Delete Single Docu; D = Elimina; J = Inserisci docu singolo |
UOMNew | Unità di misura: nuovo valore |
UOMOld | Unità di misura: valore precedente |
User | User |
ValueNew | Contenuto del campo: nuovo valore |
ValueOld | Contenuto del campo: valore precedente |
Versione | Versione |
Log ABAP CR
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPCRLog
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: include i log di Change & Transport System (CTS), inclusi gli oggetti directory e le personalizzazioni in cui sono state apportate modifiche.
Disponibile usando RFC basato su tabelle standard e servizi SAP standard. Questo log viene generato con i dati in tutti i client.
Nota
Oltre alla registrazione delle applicazioni, alla modifica dei documenti e alla registrazione delle tabelle, tutte le modifiche apportate al sistema di produzione tramite change &transport system sono documentate nei log CTS e TMS.
schema del log ABAPCRLog_CL
Campo | Descrizione |
---|---|
Categoria | Categoria (Workbench, personalizzazione) |
ClientID | ID client ABAP (MANDT) |
Descrizione | Descrizione |
Host | Host |
Istanza | Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
ObjectName | Object name |
ObjectType | Tipo object |
Proprietario | Proprietario |
Richiedi | Richiesta di modifica |
Status | Status |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
TableKey | Chiave tabella |
TableName | Nome tabella |
ViewName | Nome visualizzazione |
Log dei dati della tabella ABAP DB (ANTEPRIMA)
Per fare in modo che questo log venga inviato a Microsoft Sentinel, è necessario aggiungerlo manualmente al file di systemconfig.json. Questo log non è supportato quando si usa la procedura consigliata per installare l'agente del connettore dati dal portale.
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPTableDataLog
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: fornisce la registrazione per le tabelle critiche o soggette ai controlli.
Disponibile tramite RFC con un servizio personalizzato. Questo log viene generato con i dati in tutti i client.
schema del log ABAPTableDataLog_CL
Campo | Descrizione |
---|---|
DBLogID | ID log del database |
Host | Host |
Istanza | Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
Lingua | Lingua |
LogKey | Chiave del log |
NewValue | Campo nuovo valore |
OldValue | Valore precedente del campo |
OperationTypeSQL | Tipo di operazione, Insert , Update , Delete |
Programma | Nome del programma |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
TableField | Campo Tabella |
TableName | Nome tabella |
TransactionCode | Codice transazione |
UserName | User |
VersionNumber | Numero versione |
Log del gateway ABAP (ANTEPRIMA)
Per fare in modo che questo log venga inviato a Microsoft Sentinel, è necessario aggiungerlo manualmente al file di systemconfig.json. Questo log non è supportato quando si usa la procedura consigliata per installare l'agente del connettore dati dal portale.
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPOS_GW
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: monitora le attività del gateway. Disponibile dal servizio Web Di controllo SAP. Questo log viene generato con i dati in tutti i client.
schema del log ABAPOS_GW_CL
Campo | Descrizione |
---|---|
Host | Host |
Istanza | Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
MessageText | Testo del messaggio |
Gravità | Gravità del messaggio: Debug , Info , Warning , Error |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
Log ABAP ICM (ANTEPRIMA)
Per fare in modo che questo log venga inviato a Microsoft Sentinel, è necessario aggiungerlo manualmente al file di systemconfig.json. Questo log non è supportato quando si usa la procedura consigliata per installare l'agente del connettore dati dal portale.
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPOS_ICM
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: registra le richieste in ingresso e in uscita e compila le statistiche delle richieste HTTP.
Disponibile dal servizio Web Di controllo SAP. Questo log viene generato con i dati in tutti i client.
schema del log ABAPOS_ICM_CL
Campo | Descrizione |
---|---|
Host | Host |
Istanza | Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
MessageText | Testo del messaggio |
Gravità | Gravità del messaggio, tra cui: Debug , Info , Warning , Error |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
Log processo ABAP
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPJobLog
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: combina tutti i log dei processi di elaborazione in background (SM37).
Disponibile usando RFC basato su tabelle SAP standard e servizi standard di interfacce XBP. Questo log viene generato con i dati in tutti i client.
schema del log ABAPJobLog_CL
Campo | Descrizione |
---|---|
ABAPProgram | Programma ABAP |
BgdEventParameters | Parametri dell'evento in background |
BgdProcessingEvent | Evento di elaborazione in background |
ClientID | ID client ABAP (MANDT) |
DynproNumber | Numero Dynpro |
GUIStatus | Stato dell'interfaccia utente grafica |
Host | Host |
Istanza | Istanza ABAP (HOST_SYSID_SYSNR), nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
JobClassification | Classificazione processo |
JobCount | Conteggio processi |
JobGroup | Gruppo di processi |
JobName | Nome processo |
JobPriority | Priorità del processo |
MessageClass | Classe Message |
MessageNumber | Numero di messaggio |
MessageText | Testo del messaggio |
MessageType | Tipo di messaggio |
ReleaseUser | Utente della versione del processo |
SchedulingDateTime | Pianificazione dell'ora di data |
StartDateTime | Data di inizio |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
TargetServer | Server di destinazione |
User | User |
UserReleaseInstance | Istanza di ABAP - Versione utente |
WorkProcessID | ID processo di lavoro |
WorkProcessNumber | Numero processo di lavoro |
Log di controllo della sicurezza ABAP
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPAuditLog
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: registra i dati seguenti:
- Modifiche correlate alla sicurezza nell'ambiente di sistema SAP, ad esempio modifiche ai record utente principali
- Informazioni che forniscono un livello superiore di dati, ad esempio tentativi di accesso riusciti e non riusciti
- Informazioni che consentono la ricostruzione di una serie di eventi, ad esempio l'avvio di una transazione riuscita o non riuscita
Disponibile usando le interfacce XAL/SAL RFC. SAL è disponibile a partire dalla versione Base 7.50. Questo log viene generato con i dati in tutti i client.
schema del log ABAPAuditLog_CL
Campo | Descrizione |
---|---|
ABAPProgramName | Nome programma, solo SAL |
AlertSeverity | Gravità dell'avviso |
AlertSeverityText | Testo di gravità dell'avviso, solo SAL |
AlertValue | Valore avviso |
AuditClassID | ID classe audit, solo SAL |
ClientID | ID client ABAP (MANDT) |
Computer | Computer utente, solo SAL |
Indirizzo e-mail dell'utente | |
Host | Host |
Istanza | Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
MessageClass | Classe Message |
MessageContainerID | ID contenitore messaggi, solo XAL |
MessageID | ID messaggio, ad esempio ‘AU1’,’AU2’… |
MessageText | Testo del messaggio |
MonitoringObjectName | Nome dell'oggetto monitor MTE, solo XAL |
MonitorShortName | Nome breve di MTE Monitor, solo XAL |
SAPProcessType | Log di sistema: tipo di processo SAP, solo SAL |
B* - Elaborazione in background | |
D* - Elaborazione dei dialoghi | |
U* - Aggiorna attività | |
SAPWPName | Log di sistema: numero di processo di lavoro, solo SAL |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
TerminalIPv6 | IP del computer utente, solo SAL |
TransactionCode | Codice transazione, solo SAL |
User | User |
Variabile 1 | Variabile messaggio 1 |
Variabile 2 | Variabile messaggio 2 |
Variabile3 | Variabile messaggio 3 |
Variabile4 | Variabile messaggio 4 |
Log di ABAP Spool
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPSpoolLog
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: funge da log principale per la stampa SAP con la cronologia delle richieste di spooling. (SP01).
Disponibile usando RFC basato sulla tabella SAP standard. Questo log viene generato con i dati in tutti i client.
schema del log ABAPSpoolLog_CL
Campo | Descrizione |
---|---|
ArchiveStatus | Stato archivio |
ArchiveType | Tipo di archivio |
ArchiviazioneDispositivi | Dispositivo di archiviazione |
AutoRereoute | Reindirizzamento automatico |
ClientID | ID client ABAP (MANDT) |
CountryKey | Chiave paese/area geografica |
DeleteSpoolRequestAuto | Eliminare automaticamente la richiesta di spooling |
DelFlag | Flag di eliminazione |
Reparto | Reparto |
DocumentType | Tipo di documento |
ExternalMode | Modalità esterna |
FormatType | Tipo di formato |
Host | Host |
Istanza | Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
NumofCopies | Numero di copie |
OutputDevice | Dispositivo di output |
PrinterLongName | Nome lungo stampante |
PrintImmediately | Stampa immediatamente |
PrintOSCoverPage | Pagina Stampa osCover |
PrintSAPCoverPage | Stampare la pagina SAPCover |
Priorità | Priorità |
RecipientofSpoolRequest | Destinatario della richiesta di spooling |
SpoolErrorStatus | Stato errore Spool |
SpoolRequestCompleted | Richiesta di Spool completata |
SpoolRequestisALogForAnotherRequest | La richiesta di Spool è un log per un'altra richiesta |
SpoolRequestName | Nome della richiesta di Spool |
SpoolRequestNumber | Numero di richiesta Spool |
SpoolRequestSuffix1 | Suffisso della richiesta Spool1 |
SpoolRequestSuffix2 | Suffisso di richiesta Spool2 |
SpoolRequestTitle | Titolo richiesta Spool |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
TelecommunicationsPartner | Partner di telecomunicazioni |
TelecommunicationsPartnerE | Partner delle telecomunicazioni E |
TemSeGeneralcounter | Contatore Temse |
TemseNumAddProtectionRule | Numero temse aggiungere la regola di protezione |
TemseNumChangeProtectionRule | Regola di protezione della modifica del numero di Temse |
TemseNumDeleteProtectionRule | Regola di protezione per l'eliminazione del numero di temse |
TemSeObjectName | Nome dell'oggetto Temse |
TemSeObjectPart | Parte dell'oggetto TemSe |
TemseReadProtectionRule | Regola di protezione di temse read |
User | User |
ValueAuthCheck | Verifica autenticazione valore |
Log di output di Spooling APAB
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPSpoolOutputLog
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: funge da log principale per la stampa SAP con la cronologia delle richieste di output di spooling. (SP02).
Disponibile usando RFC con un servizio personalizzato basato su tabelle standard. Questo log viene generato con i dati in tutti i client.
schema del log ABAPSpoolOutputLog_CL
Campo | Descrizione |
---|---|
AppServer | Server applicazioni |
ClientID | ID client ABAP (MANDT) |
Commento | Commento |
CopyCount | Numero di copie |
CopyCounter | Copia contatore |
Reparto | Reparto |
ErrorSpoolRequestNumber | Numero richiesta di errore |
FormatType | Tipo di formato |
Host | Host |
HostName | Nome host |
HostSpoolerID | Host spooler ID |
Istanza | Istanza di ABAP |
UltimaPagina | Ultima pagina |
NumofCopies | Numero di copie |
OutputDevice | Dispositivo di output |
OutputRequestNumber | Numero di richiesta di output |
OutputRequestStatus | Stato della richiesta di output |
PhysicalFormatType | Tipo di formato fisico |
PrinterLongName | Nome lungo stampante |
PrintRequestSize | Stampare le dimensioni delle richieste |
Priorità | Priorità |
ReasonforOutputRequest | Motivo della richiesta di output |
RecipientofSpoolRequest | Destinatario della richiesta di spooling |
SpoolNumberofOutputReqProcessed | Numero di richieste di output - elaborate |
SpoolNumberofOutputReqWithErrors | Numero di richieste di output- con errori |
SpoolNumberofOutputReqWithProblems | Numero di richieste di output- con problemi |
SpoolRequestNumber | Numero di richiesta Spool |
StartPage | Pagina iniziale |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
TelecommunicationsPartner | Partner di telecomunicazioni |
TemSeGeneralcounter | Contatore Temse |
Titolo | Titolo |
User | User |
ABAP Syslog
Per fare in modo che questo log venga inviato a Microsoft Sentinel, è necessario aggiungerlo manualmente al file di systemconfig.json. Questo log non è supportato quando si usa la procedura consigliata per installare l'agente del connettore dati dal portale.
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPOS_Syslog
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: registra tutti gli errori di sistema ABAP di SAP NetWeaver Application Server (SAP NetWeaver AS), avvisi, blocchi utente a causa di tentativi di accesso non riusciti da utenti noti ed elaborare messaggi.
Disponibile dal servizio Web Di controllo SAP. Questo log viene generato con i dati in tutti i client.
schema del log ABAPOS_Syslog_CL
Campo | Descrizione |
---|---|
ClientID | ID client ABAP (MANDT) |
Host | Host |
Istanza | Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
MessageNumber | Numero di messaggio |
MessageText | Testo del messaggio |
Gravità | Gravità del messaggio, uno dei valori seguenti: Debug , Info , Warning , Error |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
TransacationCode | Codice transazione |
Type | Tipo di processo SAP |
User | User |
Log del flusso di lavoro ABAP
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPWorkflowLog
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: il flusso di lavoro aziendale SAP (motore WebFlow) consente di definire processi aziendali non ancora mappati nel sistema SAP.
Ad esempio, i processi aziendali non mappati possono essere semplici procedure di rilascio o approvazione o processi aziendali più complessi, ad esempio la creazione di materiale di base e il coordinamento dei reparti associati.
Disponibile usando RFC basato su tabelle SAP standard. Questo log viene generato per ogni client.
schema del log ABAPWorkflowLog_CL
Campo | Descrizione |
---|---|
ActualAgent | Agente effettivo |
Address | Address |
ApplicationArea | Area dell'applicazione |
CallbackFunction | Funzione di callback |
ClientID | ID client ABAP (MANDT) |
CreationDateTime | Data di creazione |
Creator | Creator |
CreatorAddress | Indirizzo creatore |
ErrorType | Tipo di errore |
ExceptionforMethod | Eccezione per il metodo |
Host | Host |
Istanza | Istanza ABAP (HOST_SYSID_SYSNR), nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
Lingua | Lingua |
LogCounter | Contatore log |
MessageNumber | Numero di messaggio |
MessageType | Tipo di messaggio |
MethodUser | Utente del metodo |
Priorità | Priorità |
SimpleContainer | Contenitore semplice, compresso come elenco di entità chiave-valore per l'elemento di lavoro |
Status | Status |
SuperWI | Super WI |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
TaskID | ID attività |
TasksClassification | Classificazioni delle attività |
TaskText | Testo attività |
TopTaskID | ID attività principale |
UserCreated | Utente creato |
WIText | Testo dell'elemento di lavoro |
WIType | Tipo di elemento di lavoro |
WorkflowAction | Azione flusso di lavoro |
WorkItemID | ID elemento di lavoro |
Log di ABAP WorkProcess
Per fare in modo che questo log venga inviato a Microsoft Sentinel, è necessario aggiungerlo manualmente al file di systemconfig.json. Questo log non è supportato quando si usa la procedura consigliata per installare l'agente del connettore dati dal portale.
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPOS_WP
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: combina tutti i log dei processi di lavoro. (impostazione predefinita:
dev_*
).Disponibile dal servizio Web Di controllo SAP. Questo log viene generato con i dati in tutti i client.
schema del log ABAPOS_WP_CL
Campo | Descrizione |
---|---|
Host | Host |
Istanza | Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
MessageText | Testo del messaggio |
Gravità | Gravità del messaggio: Debug , Info , Warning , Error |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
WPNumber | Numero processo di lavoro |
Audit Trail del database HANA
La raccolta del log audit trail del database HANA è un esempio di come Microsoft Sentinel raccoglie le attività a livello di database. Per fare in modo che questo log venga inviato a Microsoft Sentinel, è necessario distribuire l'agente di Monitoraggio di Azure per raccogliere dati Syslog dal computer che esegue HANA DB.
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPSyslog
Documentazione SAP correlata: Audit Trail generale |
Scopo del log: registra le azioni dell'utente o tenta azioni nel database SAP HANA. Ad esempio, consente di registrare e monitorare l'accesso in lettura ai dati sensibili.
Disponibile dall'agente Linux di Microsoft Sentinel per Syslog. Questo log viene generato con i dati in tutti i client.
Schema del log syslog
Campo | Descrizione |
---|---|
Computer | Nome host |
HostIP | Host IP |
HostName | Nome host |
ProcessID | Process ID |
ProcessName | Nome processo: HDB* |
SeverityLevel | Alert |
SourceSystem | Sistema operativo di origine, Linux |
SyslogMessage | Messaggio, messaggio di audit trail non analizzato |
File JAVA
Per fare in modo che questo log venga inviato a Microsoft Sentinel, è necessario aggiungerlo manualmente al file di systemconfig.json. Questo log non è supportato quando si usa la procedura consigliata per installare l'agente del connettore dati dal portale.
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPJAVAFilesLogs
Documentazione SAP correlata: Log | di controllo generale della sicurezza Java
Scopo del log: combina tutti i log basati su file Java, inclusi il log di controllo della sicurezza e il sistema (processo cluster e server), i log delle prestazioni e del gateway. Include anche tracce per sviluppatori e log di traccia predefiniti.
Disponibile dal servizio Web Di controllo SAP. Questo log viene generato con i dati in tutti i client.
Schema del log JavaFilesLogsCL
Campo | Descrizione |
---|---|
Applicazione | Applicazione Java |
ClientID | ID client |
CSNComponent | Componente CSN, ad esempio BC-XI-IBD |
DCComponent | Componente del controller di dominio, ad esempio com.sap.xi.util.misc |
DSRCounter | Contatore DSR |
DSRRootContentID | GUID del contesto DSR |
DSRTransaction | GUID transazione DSR |
Host | Host |
Istanza | Istanza java, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
Ufficio | Classe Java |
LogName | Java logName, ad esempio: Available , defaulttrace dev* , , security e così via |
MessageText | Testo del messaggio |
MNo | Numero di messaggio |
Pid | Process ID |
Programma | Nome del programma |
Sessione | Sessione |
Gravità | Gravità del messaggio, tra cui: Debug ,Info ,,Warning Error |
Soluzione | Soluzione |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
ThreadName | Nome del thread |
Gettato | Generazione di eccezione |
TimeZone | FusoOrario |
User | User |
SAP Heartbeat Log
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPConnectorHealth
Scopo del log: fornisce heartbeat e altre informazioni sull'integrità sulla connettività tra gli agenti e i diversi sistemi SAP.
Creato automaticamente per qualsiasi agente di Microsoft Sentinel per il connettore dati SAP.
schema del log SAP_HeartBeat_CL
Campo | Descrizione |
---|---|
TimeGenerated | Ora dell'evento di registrazione |
agent_id_s | ID agente nella configurazione dell'agente (generato automaticamente) |
agent_ver_s | Versione agente |
host_s | Nome host dell'agente |
system_id_s | NETweaver ABAP SYSTEM ID /Netweaver ABAP System ID / Netweaver SAPControl Host (anteprima) / Host SAPControl Java (anteprima) |
push_timestamp_d | Timestamp dell'estrazione, in base al fuso orario dell'agente |
agent_timezone_s | Fuso orario dell'agente |
Riferimento alle tabelle recuperate direttamente dai sistemi SAP
Questa sezione elenca le tabelle dati recuperate direttamente dal sistema SAP e inserite in Microsoft Sentinel esattamente come sono.
I dati recuperati da queste tabelle offrono una visualizzazione chiara della struttura di autorizzazione, dell'appartenenza ai gruppi e dei profili utente. Consente inoltre di tenere traccia del processo di concessione e revoca dell'autorizzazione e di identificare e gestire i rischi associati a tali processi.
Le tabelle elencate di seguito sono necessarie per abilitare le funzioni che identificano gli utenti con privilegi, eseguono il mapping degli utenti a ruoli, gruppi e autorizzazioni.
Per ottenere risultati ottimali, fare riferimento a queste tabelle usando il nome nella colonna del nome della funzione di Microsoft Sentinel nella tabella seguente:
Nome tabella | Descrizione tabella | Nome della funzione di Microsoft Sentinel |
---|---|---|
USR01 | Record master utente (dati di runtime) | SAP_USR01 |
USR02 | Dati di accesso (uso lato kernel) | SAP_USR02 |
UST04 | Master utente Esegue il mapping degli utenti ai profili |
SAP_UST04 |
AGR_USERS | Assegnazione di ruoli agli utenti | SAP_AGR_USERS |
AGR_1251 | Dati di autorizzazione per il gruppo di attività | SAP_AGR_1251 |
USGRP_USER | Assegnazione di utenti a gruppi di utenti | SAP_USGRP_USER |
USR21 | Assegnazione della chiave dell'indirizzo/nome utente | SAP_USR21 |
ADR6 | Indirizzi di posta elettronica (servizi di indirizzi aziendali) | SAP_ADR6 |
USRSTAMP | Timestamp per tutte le modifiche apportate all'utente | SAP_USRSTAMP |
ADCP | Assegnazione di persona/indirizzo (servizi di indirizzi aziendali) | SAP_ADCP |
USR05 | ID parametro master utente | SAP_USR05 |
AGR_PROF | Nome del profilo per il ruolo | SAP_AGR_PROF |
AGR_FLAGS | Attributi del ruolo | SAP_AGR_FLAGS |
DEVACCESS | Tabella per l'utente di sviluppo | SAP_DEVACCESS |
AGR_DEFINE | Definizione del ruolo | SAP_AGR_DEFINE |
AGR_AGRS | Ruoli nei ruoli compositi | SAP_AGR_AGRS |
PAHI | Cronologia dei parametri di sistema, database e SAP | SAP_PAHI |
SNCSYSACL (ANTEPRIMA) | Elenco Controllo di accesso SNC (ACL): Sistemi | SAP_SNCSYSACL |
USRACL (ANTEPRIMA) | Elenco Controllo di accesso SNC (ACL): Utente | SAP_USRACL |
Contenuto correlato
Per altre informazioni, vedi: