Condividi tramite


Informazioni di riferimento su log e tabelle per la soluzione Microsoft Sentinel per le applicazioni SAP

Questo articolo descrive i log e le tabelle disponibili come parte della soluzione Microsoft Sentinel per le applicazioni SAP e il relativo connettore dati.

Alcuni log, annotati in questo articolo, non vengono inviati a Microsoft Sentinel per impostazione predefinita, ma è possibile aggiungerli manualmente in base alle esigenze. Per altre informazioni, vedere Definire i log SAP inviati a Microsoft Sentinel

Il contenuto di questo articolo è destinato ai team SAP BASIS .

Importante

Alcuni componenti della soluzione Microsoft Sentinel Threat Monitoring per SAP sono attualmente disponibili in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Usare le funzioni nelle query anziché i log o le tabelle sottostanti

È consigliabile usare le funzioni disponibili come soggetti dell'analisi, quando possibile, anziché i log o le tabelle sottostanti.

Le funzioni fornite con la soluzione Microsoft Sentinel per le applicazioni SAP sono destinate a fungere da interfaccia utente principale per i dati. Costituiscono la base per tutte le regole di analisi predefinite e le cartelle di lavoro disponibili per l'utente. L'uso delle funzioni consente di apportare modifiche all'infrastruttura dati sotto le funzioni, senza interrompere il contenuto creato dall'utente.

Per altre informazioni, vedere La soluzione Microsoft Sentinel per le applicazioni SAP - Informazioni di riferimento sulle funzioni e Funzioni nelle query di log di Monitoraggio di Azure.

Copertura dei log

La soluzione Microsoft Sentinel per le applicazioni SAP raccoglie i log dai livelli di dati, del sistema operativo e dell'applicazione, offrendo una protezione completa per il sistema SAP:

  • Livello applicazione: Microsoft Sentinel monitora le attività all'interno del livello ABAP, ovvero il livello applicazione principale nei sistemi SAP, responsabile dell'esecuzione della logica di business e dell'elaborazione delle transazioni. Ad esempio, Microsoft Sentinel raccoglie i log che includono azioni utente come accessi, modifiche alle password e accesso a report o file.

    Oltre al monitoraggio della sicurezza, i log raccolti a livello di applicazione possono essere usati anche a scopo di conformità e controllo.

  • Livello del sistema operativo: Microsoft Sentinel raccoglie i log dal sistema operativo per fornire informazioni dettagliate sulle attività a livello di sistema operativo, ad esempio dal server ABAP e dalle macchine virtuali in cui sono in esecuzione le applicazioni SAP.

    Usare la soluzione Microsoft Sentinel per le applicazioni SAP insieme ai connettori di sicurezza e dati per gli altri servizi per il monitoraggio completo e centrale, correlando le informazioni in tutti i sistemi e migliorando il comportamento di sicurezza complessivo.

  • Livello database: inserire i log del database in Microsoft Sentinel per monitorare le attività del database, ad esempio le attività di amministrazione del database e le modifiche ai dati delle tabelle. La soluzione Microsoft Sentinel per le applicazioni SAP è indipendente dal database.

Tutti i log raccolti dall'agente connettore dati vengono archiviati prima nel computer agente dell'agente di raccolta dati, nella /opt/sapcon/<sid>/log cartella nell'istanza del contenitore. I log vengono quindi inoltrati all'area di lavoro Log Analytics, in cui è possibile visualizzare, controllare ed eseguire query su di essi da Microsoft Sentinel.

I log di controllo vengono raccolti e inseriti ogni minuto, mentre altri log potrebbero essere inseriti meno frequentemente. Microsoft Sentinel monitora anche l'heartbeat dell'agente del connettore dati per assicurarsi che i log vengano raccolti e inviati all'area di lavoro Log Analytics.

Informazioni di riferimento sul log

Le sezioni seguenti descrivono i log SAP disponibili nella soluzione Microsoft Sentinel per il connettore dati delle applicazioni SAP, inclusi i nomi delle tabelle in Microsoft Sentinel, gli scopi del log e gli schemi di log dettagliati.

Le descrizioni dei campi dello schema sono basate sulle descrizioni dei campi nella documentazione SAP pertinente.

Registro applicazioni ABAP

  • Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPAppLog

  • Documentazione SAP correlata: Portale della Guida di SAP

  • Scopo del log: registra lo stato di avanzamento di un'esecuzione dell'applicazione in modo da poterlo ricostruire in un secondo momento in base alle esigenze.

    Disponibile usando RFC basato su tabelle SAP standard e servizi standard dell'interfaccia XBP. Questo log viene generato per ogni client.

schema del log ABAPAppLog_CL

Campo Descrizione
AppLogDateTime Data e ora del log applicazioni
CallbackProgram Programma di callback
CallbackRoutine Routine di callback
CallbackType Tipo di callback
ClientID ID client ABAP (MANDT)
ContextDDIC Struttura DDIC del contesto
ExternalID ID log esterno
Host Host
Istanza Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR>
InternalMessageSerial Seriale del messaggio del log applicazioni
LevelofDetail Livello di dettaglio
LogHandle Handle del log applicazioni
LogNumber Numero di log
MessageClass Classe Message
MessageNumber Numero di messaggio
MessageText Testo del messaggio
MessageType Tipo di messaggio
Object Oggetto log applicazioni
OperationMode Modalità operativa
ProblemClass Classe Problem
ProgramName Nome del programma
SortCriterion Criterio di ordinamento
StandardText Testo standard
SubObject Oggetto secondario del log applicazioni
SystemID ID sistema
SystemNumber Numero di sistema
TransactionCode Codice transazione
User User
UserChange Modifica utente

Log dei documenti di modifica ABAP

  • Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPChangeDocsLog

  • Documentazione SAP correlata: Portale della Guida di SAP

  • Scopo del log: Record:

    • Modifiche al log ABAP di SAP NetWeaver Application Server (AS) apportate agli oggetti dati aziendali nei documenti delle modifiche.

    • Altre entità nel sistema SAP, ad esempio dati utente, ruoli, indirizzi.

    Disponibile usando RFC basato su tabelle SAP standard. Questo log viene generato per ogni client.

schema del log ABAPChangeDocsLog_CL

Campo Descrizione
ActualChangeNum Numero di modifica effettivo
ChangedTableKey Chiave di tabella modificata
ChangeNumber Cambia numero
ClientID ID client ABAP (MANDT)
CreatedfromPlannedChange Creato dalla modifica pianificata, nella sintassi seguente: (‘X’ , ‘ ‘)
CurrencyKeyNew Chiave di valuta: nuovo valore
CurrencyKeyOld Chiave di valuta: valore precedente
FieldName Nome del campo
FlagText Contrassegna testo
Host Host
Istanza Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR>
Lingua Lingua
ObjectClass Classe oggetto, ad esempio BELEG, BPAR, PFCG, IDENTITY
ObjectID ID dell'oggetto.
PlannedChangeNum Numero di modifica pianificata
SystemID ID sistema
SystemNumber Numero di sistema
TableName Nome tabella
TransactionCode Codice transazione
TypeofChange_Header Tipo di intestazione di modifica, tra cui:
U = Modifica; I = Inserisci; E = Delete Single Docu; D = Elimina; J = Inserisci docu singolo
TypeofChange_Item Tipo di elemento di modifica, tra cui:
U = Modifica; I = Inserisci; E = Delete Single Docu; D = Elimina; J = Inserisci docu singolo
UOMNew Unità di misura: nuovo valore
UOMOld Unità di misura: valore precedente
User User
ValueNew Contenuto del campo: nuovo valore
ValueOld Contenuto del campo: valore precedente
Versione Versione

Log ABAP CR

  • Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPCRLog

  • Documentazione SAP correlata: Portale della Guida di SAP

  • Scopo del log: include i log di Change & Transport System (CTS), inclusi gli oggetti directory e le personalizzazioni in cui sono state apportate modifiche.

    Disponibile usando RFC basato su tabelle standard e servizi SAP standard. Questo log viene generato con i dati in tutti i client.

Nota

Oltre alla registrazione delle applicazioni, alla modifica dei documenti e alla registrazione delle tabelle, tutte le modifiche apportate al sistema di produzione tramite change &transport system sono documentate nei log CTS e TMS.

schema del log ABAPCRLog_CL

Campo Descrizione
Categoria Categoria (Workbench, personalizzazione)
ClientID ID client ABAP (MANDT)
Descrizione Descrizione
Host Host
Istanza Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR>
ObjectName Object name
ObjectType Tipo object
Proprietario Proprietario
Richiedi Richiesta di modifica
Status Status
SystemID ID sistema
SystemNumber Numero di sistema
TableKey Chiave tabella
TableName Nome tabella
ViewName Nome visualizzazione

Log dei dati della tabella ABAP DB (ANTEPRIMA)

Per fare in modo che questo log venga inviato a Microsoft Sentinel, è necessario aggiungerlo manualmente al file di systemconfig.json. Questo log non è supportato quando si usa la procedura consigliata per installare l'agente del connettore dati dal portale.

  • Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPTableDataLog

  • Documentazione SAP correlata: Portale della Guida di SAP

  • Scopo del log: fornisce la registrazione per le tabelle critiche o soggette ai controlli.

    Disponibile tramite RFC con un servizio personalizzato. Questo log viene generato con i dati in tutti i client.

schema del log ABAPTableDataLog_CL

Campo Descrizione
DBLogID ID log del database
Host Host
Istanza Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR>
Lingua Lingua
LogKey Chiave del log
NewValue Campo nuovo valore
OldValue Valore precedente del campo
OperationTypeSQL Tipo di operazione, Insert, Update, Delete
Programma Nome del programma
SystemID ID sistema
SystemNumber Numero di sistema
TableField Campo Tabella
TableName Nome tabella
TransactionCode Codice transazione
UserName User
VersionNumber Numero versione

Log del gateway ABAP (ANTEPRIMA)

Per fare in modo che questo log venga inviato a Microsoft Sentinel, è necessario aggiungerlo manualmente al file di systemconfig.json. Questo log non è supportato quando si usa la procedura consigliata per installare l'agente del connettore dati dal portale.

  • Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPOS_GW

  • Documentazione SAP correlata: Portale della Guida di SAP

  • Scopo del log: monitora le attività del gateway. Disponibile dal servizio Web Di controllo SAP. Questo log viene generato con i dati in tutti i client.

schema del log ABAPOS_GW_CL

Campo Descrizione
Host Host
Istanza Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR>
MessageText Testo del messaggio
Gravità Gravità del messaggio: Debug, Info, Warning, Error
SystemID ID sistema
SystemNumber Numero di sistema

Log ABAP ICM (ANTEPRIMA)

Per fare in modo che questo log venga inviato a Microsoft Sentinel, è necessario aggiungerlo manualmente al file di systemconfig.json. Questo log non è supportato quando si usa la procedura consigliata per installare l'agente del connettore dati dal portale.

  • Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPOS_ICM

  • Documentazione SAP correlata: Portale della Guida di SAP

  • Scopo del log: registra le richieste in ingresso e in uscita e compila le statistiche delle richieste HTTP.

    Disponibile dal servizio Web Di controllo SAP. Questo log viene generato con i dati in tutti i client.

schema del log ABAPOS_ICM_CL

Campo Descrizione
Host Host
Istanza Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR>
MessageText Testo del messaggio
Gravità Gravità del messaggio, tra cui: Debug, Info, Warning, Error
SystemID ID sistema
SystemNumber Numero di sistema

Log processo ABAP

  • Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPJobLog

  • Documentazione SAP correlata: Portale della Guida di SAP

  • Scopo del log: combina tutti i log dei processi di elaborazione in background (SM37).

    Disponibile usando RFC basato su tabelle SAP standard e servizi standard di interfacce XBP. Questo log viene generato con i dati in tutti i client.

schema del log ABAPJobLog_CL

Campo Descrizione
ABAPProgram Programma ABAP
BgdEventParameters Parametri dell'evento in background
BgdProcessingEvent Evento di elaborazione in background
ClientID ID client ABAP (MANDT)
DynproNumber Numero Dynpro
GUIStatus Stato dell'interfaccia utente grafica
Host Host
Istanza Istanza ABAP (HOST_SYSID_SYSNR), nella sintassi seguente: <HOST>_<SYSID>_<SYSNR>
JobClassification Classificazione processo
JobCount Conteggio processi
JobGroup Gruppo di processi
JobName Nome processo
JobPriority Priorità del processo
MessageClass Classe Message
MessageNumber Numero di messaggio
MessageText Testo del messaggio
MessageType Tipo di messaggio
ReleaseUser Utente della versione del processo
SchedulingDateTime Pianificazione dell'ora di data
StartDateTime Data di inizio
SystemID ID sistema
SystemNumber Numero di sistema
TargetServer Server di destinazione
User User
UserReleaseInstance Istanza di ABAP - Versione utente
WorkProcessID ID processo di lavoro
WorkProcessNumber Numero processo di lavoro

Log di controllo della sicurezza ABAP

  • Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPAuditLog

  • Documentazione SAP correlata: Portale della Guida di SAP

  • Scopo del log: registra i dati seguenti:

    • Modifiche correlate alla sicurezza nell'ambiente di sistema SAP, ad esempio modifiche ai record utente principali
    • Informazioni che forniscono un livello superiore di dati, ad esempio tentativi di accesso riusciti e non riusciti
    • Informazioni che consentono la ricostruzione di una serie di eventi, ad esempio l'avvio di una transazione riuscita o non riuscita

    Disponibile usando le interfacce XAL/SAL RFC. SAL è disponibile a partire dalla versione Base 7.50. Questo log viene generato con i dati in tutti i client.

schema del log ABAPAuditLog_CL

Campo Descrizione
ABAPProgramName Nome programma, solo SAL
AlertSeverity Gravità dell'avviso
AlertSeverityText Testo di gravità dell'avviso, solo SAL
AlertValue Valore avviso
AuditClassID ID classe audit, solo SAL
ClientID ID client ABAP (MANDT)
Computer Computer utente, solo SAL
E-mail Indirizzo e-mail dell'utente
Host Host
Istanza Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR>
MessageClass Classe Message
MessageContainerID ID contenitore messaggi, solo XAL
MessageID ID messaggio, ad esempio ‘AU1’,’AU2’…
MessageText Testo del messaggio
MonitoringObjectName Nome dell'oggetto monitor MTE, solo XAL
MonitorShortName Nome breve di MTE Monitor, solo XAL
SAPProcessType Log di sistema: tipo di processo SAP, solo SAL
B* - Elaborazione in background
D* - Elaborazione dei dialoghi
U* - Aggiorna attività
SAPWPName Log di sistema: numero di processo di lavoro, solo SAL
SystemID ID sistema
SystemNumber Numero di sistema
TerminalIPv6 IP del computer utente, solo SAL
TransactionCode Codice transazione, solo SAL
User User
Variabile 1 Variabile messaggio 1
Variabile 2 Variabile messaggio 2
Variabile3 Variabile messaggio 3
Variabile4 Variabile messaggio 4

Log di ABAP Spool

  • Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPSpoolLog

  • Documentazione SAP correlata: Portale della Guida di SAP

  • Scopo del log: funge da log principale per la stampa SAP con la cronologia delle richieste di spooling. (SP01).

    Disponibile usando RFC basato sulla tabella SAP standard. Questo log viene generato con i dati in tutti i client.

schema del log ABAPSpoolLog_CL

Campo Descrizione
ArchiveStatus Stato archivio
ArchiveType Tipo di archivio
ArchiviazioneDispositivi Dispositivo di archiviazione
AutoRereoute Reindirizzamento automatico
ClientID ID client ABAP (MANDT)
CountryKey Chiave paese/area geografica
DeleteSpoolRequestAuto Eliminare automaticamente la richiesta di spooling
DelFlag Flag di eliminazione
Reparto Reparto
DocumentType Tipo di documento
ExternalMode Modalità esterna
FormatType Tipo di formato
Host Host
Istanza Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR>
NumofCopies Numero di copie
OutputDevice Dispositivo di output
PrinterLongName Nome lungo stampante
PrintImmediately Stampa immediatamente
PrintOSCoverPage Pagina Stampa osCover
PrintSAPCoverPage Stampare la pagina SAPCover
Priorità Priorità
RecipientofSpoolRequest Destinatario della richiesta di spooling
SpoolErrorStatus Stato errore Spool
SpoolRequestCompleted Richiesta di Spool completata
SpoolRequestisALogForAnotherRequest La richiesta di Spool è un log per un'altra richiesta
SpoolRequestName Nome della richiesta di Spool
SpoolRequestNumber Numero di richiesta Spool
SpoolRequestSuffix1 Suffisso della richiesta Spool1
SpoolRequestSuffix2 Suffisso di richiesta Spool2
SpoolRequestTitle Titolo richiesta Spool
SystemID ID sistema
SystemNumber Numero di sistema
TelecommunicationsPartner Partner di telecomunicazioni
TelecommunicationsPartnerE Partner delle telecomunicazioni E
TemSeGeneralcounter Contatore Temse
TemseNumAddProtectionRule Numero temse aggiungere la regola di protezione
TemseNumChangeProtectionRule Regola di protezione della modifica del numero di Temse
TemseNumDeleteProtectionRule Regola di protezione per l'eliminazione del numero di temse
TemSeObjectName Nome dell'oggetto Temse
TemSeObjectPart Parte dell'oggetto TemSe
TemseReadProtectionRule Regola di protezione di temse read
User User
ValueAuthCheck Verifica autenticazione valore

Log di output di Spooling APAB

  • Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPSpoolOutputLog

  • Documentazione SAP correlata: Portale della Guida di SAP

  • Scopo del log: funge da log principale per la stampa SAP con la cronologia delle richieste di output di spooling. (SP02).

    Disponibile usando RFC con un servizio personalizzato basato su tabelle standard. Questo log viene generato con i dati in tutti i client.

schema del log ABAPSpoolOutputLog_CL

Campo Descrizione
AppServer Server applicazioni
ClientID ID client ABAP (MANDT)
Commento Commento
CopyCount Numero di copie
CopyCounter Copia contatore
Reparto Reparto
ErrorSpoolRequestNumber Numero richiesta di errore
FormatType Tipo di formato
Host Host
HostName Nome host
HostSpoolerID Host spooler ID
Istanza Istanza di ABAP
UltimaPagina Ultima pagina
NumofCopies Numero di copie
OutputDevice Dispositivo di output
OutputRequestNumber Numero di richiesta di output
OutputRequestStatus Stato della richiesta di output
PhysicalFormatType Tipo di formato fisico
PrinterLongName Nome lungo stampante
PrintRequestSize Stampare le dimensioni delle richieste
Priorità Priorità
ReasonforOutputRequest Motivo della richiesta di output
RecipientofSpoolRequest Destinatario della richiesta di spooling
SpoolNumberofOutputReqProcessed Numero di richieste di output - elaborate
SpoolNumberofOutputReqWithErrors Numero di richieste di output- con errori
SpoolNumberofOutputReqWithProblems Numero di richieste di output- con problemi
SpoolRequestNumber Numero di richiesta Spool
StartPage Pagina iniziale
SystemID ID sistema
SystemNumber Numero di sistema
TelecommunicationsPartner Partner di telecomunicazioni
TemSeGeneralcounter Contatore Temse
Titolo Titolo
User User

ABAP Syslog

Per fare in modo che questo log venga inviato a Microsoft Sentinel, è necessario aggiungerlo manualmente al file di systemconfig.json. Questo log non è supportato quando si usa la procedura consigliata per installare l'agente del connettore dati dal portale.

  • Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPOS_Syslog

  • Documentazione SAP correlata: Portale della Guida di SAP

  • Scopo del log: registra tutti gli errori di sistema ABAP di SAP NetWeaver Application Server (SAP NetWeaver AS), avvisi, blocchi utente a causa di tentativi di accesso non riusciti da utenti noti ed elaborare messaggi.

    Disponibile dal servizio Web Di controllo SAP. Questo log viene generato con i dati in tutti i client.

schema del log ABAPOS_Syslog_CL

Campo Descrizione
ClientID ID client ABAP (MANDT)
Host Host
Istanza Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR>
MessageNumber Numero di messaggio
MessageText Testo del messaggio
Gravità Gravità del messaggio, uno dei valori seguenti: Debug, Info, Warning, Error
SystemID ID sistema
SystemNumber Numero di sistema
TransacationCode Codice transazione
Type Tipo di processo SAP
User User

Log del flusso di lavoro ABAP

  • Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPWorkflowLog

  • Documentazione SAP correlata: Portale della Guida di SAP

  • Scopo del log: il flusso di lavoro aziendale SAP (motore WebFlow) consente di definire processi aziendali non ancora mappati nel sistema SAP.

    Ad esempio, i processi aziendali non mappati possono essere semplici procedure di rilascio o approvazione o processi aziendali più complessi, ad esempio la creazione di materiale di base e il coordinamento dei reparti associati.

    Disponibile usando RFC basato su tabelle SAP standard. Questo log viene generato per ogni client.

schema del log ABAPWorkflowLog_CL

Campo Descrizione
ActualAgent Agente effettivo
Address Address
ApplicationArea Area dell'applicazione
CallbackFunction Funzione di callback
ClientID ID client ABAP (MANDT)
CreationDateTime Data di creazione
Creator Creator
CreatorAddress Indirizzo creatore
ErrorType Tipo di errore
ExceptionforMethod Eccezione per il metodo
Host Host
Istanza Istanza ABAP (HOST_SYSID_SYSNR), nella sintassi seguente: <HOST>_<SYSID>_<SYSNR>
Lingua Lingua
LogCounter Contatore log
MessageNumber Numero di messaggio
MessageType Tipo di messaggio
MethodUser Utente del metodo
Priorità Priorità
SimpleContainer Contenitore semplice, compresso come elenco di entità chiave-valore per l'elemento di lavoro
Status Status
SuperWI Super WI
SystemID ID sistema
SystemNumber Numero di sistema
TaskID ID attività
TasksClassification Classificazioni delle attività
TaskText Testo attività
TopTaskID ID attività principale
UserCreated Utente creato
WIText Testo dell'elemento di lavoro
WIType Tipo di elemento di lavoro
WorkflowAction Azione flusso di lavoro
WorkItemID ID elemento di lavoro

Log di ABAP WorkProcess

Per fare in modo che questo log venga inviato a Microsoft Sentinel, è necessario aggiungerlo manualmente al file di systemconfig.json. Questo log non è supportato quando si usa la procedura consigliata per installare l'agente del connettore dati dal portale.

  • Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPOS_WP

  • Documentazione SAP correlata: Portale della Guida di SAP

  • Scopo del log: combina tutti i log dei processi di lavoro. (impostazione predefinita: dev_*).

    Disponibile dal servizio Web Di controllo SAP. Questo log viene generato con i dati in tutti i client.

schema del log ABAPOS_WP_CL

Campo Descrizione
Host Host
Istanza Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR>
MessageText Testo del messaggio
Gravità Gravità del messaggio: Debug, Info, Warning, Error
SystemID ID sistema
SystemNumber Numero di sistema
WPNumber Numero processo di lavoro

Audit Trail del database HANA

La raccolta del log audit trail del database HANA è un esempio di come Microsoft Sentinel raccoglie le attività a livello di database. Per fare in modo che questo log venga inviato a Microsoft Sentinel, è necessario distribuire l'agente di Monitoraggio di Azure per raccogliere dati Syslog dal computer che esegue HANA DB.

  • Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPSyslog

  • Documentazione SAP correlata: Audit Trail generale |

  • Scopo del log: registra le azioni dell'utente o tenta azioni nel database SAP HANA. Ad esempio, consente di registrare e monitorare l'accesso in lettura ai dati sensibili.

    Disponibile dall'agente Linux di Microsoft Sentinel per Syslog. Questo log viene generato con i dati in tutti i client.

Schema del log syslog

Campo Descrizione
Computer Nome host
HostIP Host IP
HostName Nome host
ProcessID Process ID
ProcessName Nome processo: HDB*
SeverityLevel Alert
SourceSystem Sistema operativo di origine, Linux
SyslogMessage Messaggio, messaggio di audit trail non analizzato

File JAVA

Per fare in modo che questo log venga inviato a Microsoft Sentinel, è necessario aggiungerlo manualmente al file di systemconfig.json. Questo log non è supportato quando si usa la procedura consigliata per installare l'agente del connettore dati dal portale.

  • Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPJAVAFilesLogs

  • Documentazione SAP correlata: Log | di controllo generale della sicurezza Java

  • Scopo del log: combina tutti i log basati su file Java, inclusi il log di controllo della sicurezza e il sistema (processo cluster e server), i log delle prestazioni e del gateway. Include anche tracce per sviluppatori e log di traccia predefiniti.

    Disponibile dal servizio Web Di controllo SAP. Questo log viene generato con i dati in tutti i client.

Schema del log JavaFilesLogsCL

Campo Descrizione
Applicazione Applicazione Java
ClientID ID client
CSNComponent Componente CSN, ad esempio BC-XI-IBD
DCComponent Componente del controller di dominio, ad esempio com.sap.xi.util.misc
DSRCounter Contatore DSR
DSRRootContentID GUID del contesto DSR
DSRTransaction GUID transazione DSR
Host Host
Istanza Istanza java, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR>
Ufficio Classe Java
LogName Java logName, ad esempio: Available, defaulttracedev*, , securitye così via
MessageText Testo del messaggio
MNo Numero di messaggio
Pid Process ID
Programma Nome del programma
Sessione Sessione
Gravità Gravità del messaggio, tra cui: Debug,Info,,WarningError
Soluzione Soluzione
SystemID ID sistema
SystemNumber Numero di sistema
ThreadName Nome del thread
Gettato Generazione di eccezione
TimeZone FusoOrario
User User

SAP Heartbeat Log

  • Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPConnectorHealth

  • Scopo del log: fornisce heartbeat e altre informazioni sull'integrità sulla connettività tra gli agenti e i diversi sistemi SAP.

    Creato automaticamente per qualsiasi agente di Microsoft Sentinel per il connettore dati SAP.

schema del log SAP_HeartBeat_CL

Campo Descrizione
TimeGenerated Ora dell'evento di registrazione
agent_id_s ID agente nella configurazione dell'agente (generato automaticamente)
agent_ver_s Versione agente
host_s Nome host dell'agente
system_id_s NETweaver ABAP SYSTEM ID /Netweaver ABAP System ID /
Netweaver SAPControl Host (anteprima) /
Host SAPControl Java (anteprima)
push_timestamp_d Timestamp dell'estrazione, in base al fuso orario dell'agente
agent_timezone_s Fuso orario dell'agente

Riferimento alle tabelle recuperate direttamente dai sistemi SAP

Questa sezione elenca le tabelle dati recuperate direttamente dal sistema SAP e inserite in Microsoft Sentinel esattamente come sono.

I dati recuperati da queste tabelle offrono una visualizzazione chiara della struttura di autorizzazione, dell'appartenenza ai gruppi e dei profili utente. Consente inoltre di tenere traccia del processo di concessione e revoca dell'autorizzazione e di identificare e gestire i rischi associati a tali processi.

Le tabelle elencate di seguito sono necessarie per abilitare le funzioni che identificano gli utenti con privilegi, eseguono il mapping degli utenti a ruoli, gruppi e autorizzazioni.

Per ottenere risultati ottimali, fare riferimento a queste tabelle usando il nome nella colonna del nome della funzione di Microsoft Sentinel nella tabella seguente:

Nome tabella Descrizione tabella Nome della funzione di Microsoft Sentinel
USR01 Record master utente (dati di runtime) SAP_USR01
USR02 Dati di accesso (uso lato kernel) SAP_USR02
UST04 Master utente
Esegue il mapping degli utenti ai profili
SAP_UST04
AGR_USERS Assegnazione di ruoli agli utenti SAP_AGR_USERS
AGR_1251 Dati di autorizzazione per il gruppo di attività SAP_AGR_1251
USGRP_USER Assegnazione di utenti a gruppi di utenti SAP_USGRP_USER
USR21 Assegnazione della chiave dell'indirizzo/nome utente SAP_USR21
ADR6 Indirizzi di posta elettronica (servizi di indirizzi aziendali) SAP_ADR6
USRSTAMP Timestamp per tutte le modifiche apportate all'utente SAP_USRSTAMP
ADCP Assegnazione di persona/indirizzo (servizi di indirizzi aziendali) SAP_ADCP
USR05 ID parametro master utente SAP_USR05
AGR_PROF Nome del profilo per il ruolo SAP_AGR_PROF
AGR_FLAGS Attributi del ruolo SAP_AGR_FLAGS
DEVACCESS Tabella per l'utente di sviluppo SAP_DEVACCESS
AGR_DEFINE Definizione del ruolo SAP_AGR_DEFINE
AGR_AGRS Ruoli nei ruoli compositi SAP_AGR_AGRS
PAHI Cronologia dei parametri di sistema, database e SAP SAP_PAHI
SNCSYSACL (ANTEPRIMA) Elenco Controllo di accesso SNC (ACL): Sistemi SAP_SNCSYSACL
USRACL (ANTEPRIMA) Elenco Controllo di accesso SNC (ACL): Utente SAP_USRACL

Per altre informazioni, vedi: