針對 SAP 應用程式部署Microsoft Sentinel 解決方案進行疑難解答
本文包含疑難解答步驟,可協助您使用 Microsoft Sentinel 和數據連接器代理程式,確保 SAP 環境的準確且及時的數據擷取和監視。
只有在數據連接器代理程式 透過命令行部署時,選取的疑難解答程式才會相關。 如果您使用建議的程式 從入口網站部署代理程式,請使用入口網站進行任何設定變更。
注意
本文僅與數據連接器代理程序相關,且與 SAP 無代理程式解決方案無關(有限預覽)。
實用的 Docker 命令
針對 SAP 資料連接器Microsoft Sentinel 進行疑難解答時,您可能會發現下列命令很有用:
| 函式 | Command |
|---|---|
| 停止 Docker 容器 | docker stop sapcon-[SID] |
| 啟動 Docker 容器 | docker start sapcon-[SID] |
| 檢視 Docker 系統記錄 | docker logs -f sapcon-[SID] |
| 輸入 Docker 容器 | docker exec -it sapcon-[SID] bash |
如需詳細資訊,請參閱 Docker CLI 檔。
檢閱系統記錄
強烈建議您在安裝或 重設數據連接器之後檢閱系統記錄。
請執行:
docker logs -f sapcon-[SID]
啟用/停用偵錯模式列印
只有在您已從命令列部署數據連接器代理程式時,才支援此程式。
在您的數據收集器代理程式容器虛擬機上 ,編輯 /opt/sapcon/[SID]/systemconfig.json 檔案。
如果先前未定義,請定義 [一般] 區段。 在本節中,定義
logging_debug = True以啟用偵錯模式列印,或logging_debug = False將其停用。例如:
[General] logging_debug = True儲存檔案。
變更會在您儲存盤案大約兩分鐘後生效。 您不需要重新啟動 Docker 容器。
檢視所有容器執行記錄
SAP 應用程式資料連接器部署Microsoft Sentinel 解決方案的連接器執行記錄會儲存在 VM 上,並儲存在 /opt/sapcon/[SID]/log/。 記錄檔名OmniLog.log。 記錄檔的歷程記錄會保留,後綴為 。[number] 例如 OmniLog.log.1、 OmniLog.log.2 等等。
檢閱並更新 SAP 代理程式連接器組態檔Microsoft Sentinel
只有在您已從命令列部署數據連接器代理程式時,才支援此程式。 如果您 透過入口網站部署代理程式,請繼續透過入口網站維護和變更組態設定。
如果您透過命令行部署,請執行下列步驟:
在您的 VM 上,開啟組態檔: sapcon/[SID]/systemconfig.json
視需要更新組態,並儲存盤案。 如需詳細資訊,請參閱 適用於 SAP 應用程式
systemconfig.json檔案參考的 Microsoft Sentinel 解決方案。
變更會在您儲存盤案大約兩分鐘後生效。 您不需要重新啟動 Docker 容器。
重設適用於 SAP 資料連接器Microsoft Sentinel
下列步驟會重設連接器,並從過去 30 分鐘內重新擷取 SAP 記錄。
停止連接器。 請執行:
docker stop sapcon-[SID]從 /opt/sapcon/[SID] 目錄中刪除metadata.db檔案。 請執行:
cd /opt/sapcon/<SID> rm metadata.db注意
metadata.db檔案包含每個記錄檔的最後一個時間戳,而且可避免重複。
再次啟動連接器。 請執行:
docker start sapcon-[SID]
當您完成時, 請務必檢閱系統記錄 。
常見問題
部署適用於 SAP 資料連接器和安全性內容的 Microsoft Sentinel 之後,您可能會遇到下列錯誤或問題:
損毀或遺失 SAP SDK 檔案
當連接器無法使用 PyRfc 開機,或顯示 zip 相關的錯誤訊息時,可能會發生此錯誤。
- 重新安裝 SAP SDK。
- 確認您是正確的 Linux 64 位版本,例如 nwrfc750P_8-70002752.zip。
如果您手動安裝資料連接器,請確定您已將 SDK 檔案複製到 Docker 容器。
請執行:
docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/
ABAP 運行時間錯誤會出現在大型系統上
只有在您已從命令列部署數據連接器代理程式時,才支援此程式。
如果大型系統上出現 ABAP 執行時間錯誤,請嘗試設定較小的區塊大小:
編輯 /opt/sapcon/[SID]/systemconfig.json 檔案,並在 [連接器組態] 區段中定義 。
timechunk = 5例如:
[Connector Configuration] timechunk = 5儲存檔案。
變更會在您儲存盤案大約兩分鐘後生效。 您不需要重新啟動 Docker 容器。
注意
timechunk 大小是以分鐘為單位定義。
擷取空白或沒有擷取稽核記錄,沒有特殊錯誤訊息
- 檢查 SAP 中是否已啟用稽核記錄。
- 確認 SM19 或RSAU_CONFIG交易。
- 視需要啟用任何事件。
- 確認訊息送達並存在於 SAP SM20 或 RSAU_READ_LOG中,而不會在連接器記錄檔上出現任何特殊錯誤。
金鑰保存庫中的工作區識別碼或金鑰不正確
如果您發現您在部署文本中輸入了不正確的工作區標識碼或密鑰,請更新儲存在 Azure 金鑰保存庫中的認證。
在 Azure KeyVault 中驗證您的認證之後,請重新啟動容器:
docker restart sapcon-[SID]
金鑰保存庫中的 SAP ABAP 使用者認證不正確
檢查您的認證,並視需要加以修正,將正確的值套用至 Azure 金鑰保存庫 中的 ABAPUSER 和 ABAPPASS 值。
然後,重新啟動容器:
docker restart sapcon-[SID]
固定組態中的不正確 SAP ABAP 用戶認證
只有在您已從命令列部署數據連接器代理程式時,才支援本節。
固定組態是當密碼直接儲存在systemconfig.json組態檔時。
如果您的認證不正確,請確認您的認證。
使用base64加密來加密用戶和密碼。 您可以使用線上加密工具來加密您的認證,例如 https://www.base64encode.org/。
遺漏 ABAP (SAP 使用者) 許可權
如果您收到類似: .的錯誤訊息。遺漏後端 RFC Authorization..,您的 SAP 授權和角色未正確套用。
確定 MSFTSEN/SENTINEL_CONNECTOR 角色已匯入為變更要求傳輸的一部分,並套用至連接器使用者。
使用SAP交易 PFCG 執行角色產生和用戶比較程式。
活頁簿或警示中遺失數據
如果您發現Microsoft Sentinel 活頁簿或警示中遺失數據,請確定 SAP 端已啟用 Auditlog 原則,且容器記錄檔中沒有任何錯誤。
針對此步驟使用 RSAU_CONFIG_LOG 交易。
如需詳細資訊,請參閱 SAP 檔和收集 Microsoft Sentinel 中的 SAP HANA 稽核記錄。
建議您設定 稽核記錄中所有 訊息的稽核,而不只是特定記錄。 擷取成本差異通常最少,數據對於Microsoft Sentinel 偵測和入侵後調查和搜捕很有用。 如需詳細資訊,請參閱 設定 SAP 稽核。
SAP 稽核記錄檔中遺漏 IP 位址或交易碼欄位
在 SAP BASIS 7.5 SP12 和更新版本的 SAP 系統中,Microsoft Sentinel 可以反映 和 SAPAuditLog 數據表中的ABAPAuditLog_CL額外字段。
如果您使用高於 7.5 SP12 的 SAP BASIS 版本,而且 SAP 稽核記錄檔中遺漏 IP 位址或交易碼字段,請確認您要從中擷取數據的 SAP 系統包含相關的變更要求(傳輸)。 如需詳細資訊,請參閱設定額外數據擷取的支持(建議)。
遺漏 SAP 變更要求
如果您看到遺漏必要 SAP 變更要求的錯誤,請確定您已匯入系統的正確 SAP 變更要求。 如需詳細資訊,請參閱 SAP 必要條件 和 為 Microsoft Sentinel 解決方案設定 SAP 系統。
SAP 資料表數據記錄檔中未顯示任何數據
在 SAP BASIS 7.5 SP12 和更新版本的 SAP 系統中,Microsoft Sentinel 可以反映數據表中的數據 ABAPTableDataLog_CL 記錄變更。
如果數據表中 ABAPTableDataLog_CL 未顯示任何數據,請確認您要從中擷取數據的 SAP 系統包含相關的變更要求(傳輸)。 如需詳細資訊,請參閱設定額外數據擷取的支持(建議)。
沒有記錄/延遲記錄
數據收集器代理程式依賴時區資訊正確無誤。 如果您看到 SAP 稽核和變更記錄中沒有任何記錄,或記錄持續落後數小時,請檢查 SAP TZCUSTHELP 報告是否有任何錯誤。 如需詳細資訊,請參閱 SAP 附注481835。
在裝載數據收集器代理程式容器的虛擬機上,時鐘也可能有問題,而且 VM 上的時鐘與 UTC 的任何偏差都會影響數據收集。 更重要的是,SAP 系統機器和數據收集器代理程式機器上的時鐘必須相符。
建議您設定 稽核記錄中所有 訊息的稽核,而不只是特定記錄。 擷取成本差異通常最少,數據對於Microsoft Sentinel 偵測和入侵後調查和搜捕很有用。 如需詳細資訊,請參閱 設定 SAP 稽核。
網路連線問題
如果您對 SAP 環境或Microsoft Sentinel 發生網路連線問題,請檢查您的網路連線,以確定數據如預期般流動。
常見問題包括:
Docker 容器與 SAP 主機之間的防火牆可能會封鎖流量。 SAP 主機會透過下列必須開啟的 TCP 連接埠接收通訊:32xx、5xx13 和 33xx,其中 xx 是 SAP 實例號碼。
從 SAP 代理程式主機到 Microsoft Container Registry 或 Azure 的輸出通訊需要 Proxy 設定。 這通常會影響安裝,並要求您設定
HTTP_PROXY和HTTPS_PROXY環境變數。 您也可以在建立容器時將環境變數內嵌至 Docker 容器,方法是將旗標新增-e至 dockercreate/run命令。
擷取稽核記錄失敗,並出現警告
只有在您已從命令列部署數據連接器代理程式時,才支援本節。
如果您嘗試在沒有必要設定的情況下擷取稽核記錄,且程式失敗並出現警告,請確認可以使用下列其中一種方法來擷取 SAP Auditlog:
- 在舊版上使用稱為 XAL 的相容性模式
- 使用最近未修補的版本
- 未進行任何變更即可連線到 Microsoft Sentinel 數據連接器代理程式。 如需詳細資訊,請參閱 為Microsoft Sentinel 解決方案設定 SAP 系統。
雖然系統應該視需要自動切換至相容性模式,但您可能需要手動切換。 若要手動切換至相容性模式:
在[ 連接器組態 ] 區段中定義定義:
auditlogforcexal = True例如:
[Connector Configuration] auditlogforcexal = True儲存檔案。
變更會在您儲存盤案大約兩分鐘後生效。 您不需要重新啟動 Docker 容器。
SAPCONTROL 或 JAVA 子系統無法連線
檢查 OS 使用者是否有效,而且可以在目標 SAP 系統上執行下列命令:
sapcontrol -nr <SID> -function GetSystemInstanceList
SAPCONTROL 或 JAVA 子系統失敗,並出現時區相關錯誤訊息
如果您的 SAPCONTROL 或 JAVA 子系統失敗,並出現時區相關的錯誤訊息,例如: 請檢查 SAP 伺服器的組態和網路存取 - 'Etc/NZST',請確定您使用的是標準時區代碼。
例如,使用 javatz = GMT+12 或 abaptz = GMT-3**。
稽核未擷取過去初始載入的記錄數據
如果 SAP 稽核記錄數據顯示在RSAU_READ_LOAD或 SM200 交易中,未內嵌至Microsoft Sentinel 超過初始負載,您可能設定 SAP 系統和 SAP 主機操作系統錯誤。
- 初始載入會在全新安裝 Microsoft Sentinel for SAP 資料連接器之後擷取,或在刪除metadata.db檔案之後擷取。
- 範例設定錯誤可能是當您的 SAP 系統時區在 STZAC 交易中設定為 CET,但 SAP 主機作業系統時區設定為 UTC 時。
若要檢查設定錯誤,請在交易 SE38 中執行 RSDBTIME 報告。 如果您發現 SAP 系統與 SAP 主機作業系統不符:
停止 Docker 容器。 Run
docker stop sapcon-[SID]從 /opt/sapcon/[SID] 目錄中刪除metadata.db檔案。 請執行:
rm /opt/sapcon/[SID]/metadata.db更新 SAP 系統和 SAP 主機作業系統,使其具有相符的設定,例如相同的時區。 如需詳細資訊,請參閱 SAP 社群 Wiki。
再次啟動容器。 請執行:
docker start sapcon-[SID]
其他非預期的問題
如果您在本文中未列出非預期的問題,請嘗試下列步驟:
- 重設連接器並重載您的記錄
- 將連接器 升級至最新版本。
提示
重設連接器,並確保在任何重大設定變更之後,也建議您進行最新的升級。
相關內容
深入瞭解 SAP 應用程式的 Microsoft Sentinel 解決方案:
- 為 SAP 應用程式部署Microsoft Sentinel 解決方案
- 部署 SAP 應用程式Microsoft Sentinel 解決方案的必要條件
- 為 Microsoft Sentinel 解決方案設定 SAP 系統
- 從內容中樞部署解決方案內容
- 藉由部署數據連接器代理程式容器來連線 SAP 系統
- 收集 SAP HANA 稽核記錄
參考檔案:
- 適用於 SAP 應用程式解決方案資料參考的 Microsoft Sentinel 解決方案
- Microsoft適用於 SAP 應用程式解決方案的 Sentinel 解決方案:安全性內容參考
- 快速啟動指令碼參考
- 更新指令碼參考
- 適用於 SAP 應用程式
systemconfig.json檔案參考的 Microsoft Sentinel 解決方案
如需詳細資訊,請參閱 Microsoft Sentinel 解決方案。