Dela via

Felsöka din Microsoft Sentinel-lösning för distribution av SAP-program

  • Gäller för: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Den här artikeln innehåller felsökningssteg som hjälper dig att säkerställa korrekt och snabb datainmatning och övervakning för din SAP-miljö med Microsoft Sentinel.

När du arbetar med den agentlösa dataanslutningsappen utförs de flesta felsökningarna direkt i SAP Integration Suite, där meddelandeloggen visar fel som anger arten av det påträffade problemet.

Viktigt!

Dataanslutningsagenten för SAP är under avveckling. Vi rekommenderar att du migrerar till den agentlösa dataanslutningen.

Börja med att undersöka loggarna för meddelandebearbetning. Mer information finns i SAP-dokumentationen. Felmeddelandena där kan hjälpa dig att diagnostisera problem med saknade behörigheter, anslutningsfel och andra felkonfigurationer.

Om du inte ser något relaterat fel i problemet aktiverar du spårningsloggning för mer djupgående felsökning. Mer information finns i SAP-dokumentationen.

Sök efter förutsättningar

Det agentlösa dataanslutningspaketet, som distribuerades när den inledande anslutningskonfigurationen utfördes, innehåller ett verktyg som hjälper SAP-administratörer att diagnostisera och åtgärda problem som rör KONFIGURATIONen av SAP-miljön.

Så här kör du verktyget:

  1. Öppna integrationspaketet, gå till fliken artefakter och välj iflow> Konfigurera för kravkontroll.

  2. Ange målmålnamnet för fjärrfunktionsanropet (RFC) till det SAP-system som du vill kontrollera. Till exempel A4H-100-Sentinel-RFC.

  3. Distribuera iflow som du annars skulle göra för dina SAP-system.

  4. Utlös iflow från valfri REST-klient. Använd till exempel följande PowerShell-exempelskript och ändra exempelplatshållarvärdena för din miljö:

    $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
$credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
$serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
$serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)

$credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
$headers = @{
    "Authorization" = "Basic $credentials"
    "Content-Type"  = "application/json"
}
$authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
    -Method Post `
    -Headers $headers
$token = ($authResponse.Content | ConvertFrom-Json).access_token
$path = "/http/checkSAP"
$param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
$headers = @{
    "Authorization"      = "Bearer $token"
    "Content-Type"       = "application/json"
}
$response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
Write-Host $response.RawContent

Kontrollera att kravkontrollen körs (statuskod 200) utan varningar om svarsutdata innan du ansluter till Microsoft Sentinel.

Om det finns några resultat kan du läsa svarsinformationen för vägledning om reparationssteg. Äldre SAP-system kräver ofta extra SAP-anteckningar. Mer information om vanliga problem och lösningar finns i felsökningsavsnittet .

Funktioner som saknas i äldre SAP-system

Vissa äldre SAP-system kanske saknar nödvändiga funktioner för RFC_READ_TABLE-funktionsmodulen. Kontrollera att SAP-administratören har granskat SAP-anteckningar 3390051 och 382318 och har korrigerat systemet i enlighet med detta.

Mer information finns i Konfigurera INSTÄLLNINGAR för SAP Cloud Connector.

Felet "Distribuera nödvändiga Azure-resurser" när du konfigurerar dataanslutningen

När du konfigurerar Microsoft Sentinel för SAP – agentlös dataanslutning under Inledande anslutningskonfiguration steg 1: Aktivera automatisk distribution av nödvändiga Azure-resurser / SOC Engineer >, kan du se felet "Distribuera nödvändiga Azure-resurser" eller liknande efter att du har valt Distribuera nödvändiga resurser. Det här felet kan tyda på att du saknar de behörigheter som krävs för entra-ID-appregistreringen.

Om du inte har rollen Programutvecklare för Entra-ID eller senare måste du arbeta med en kollega som har den här behörigheten för att slutföra konfigurationen av Azure-resurserna. Om du vill ha mer information följer du proceduren i anslutningssteget för dataanslutningsagenten .

"Senaste adress har dirigerats" saknas

Om du ser ett fel i säkerhetsgranskningsloggen att du saknar den senast dirigerade adressen (en IP-adress), följer du instruktionerna i SAP-anteckningen 3566290.

Ofullständiga SAP-användarhuvuddata

Om du ser ett fel om att du har ofullständiga SAP-användarhuvuddata eller inga data i MICROSOFT Sentinel-tabellen ABAPAuthorizationDetails gör du följande:

  1. Bekräfta att SIAG_ROLE_GET_AUTH SAP-funktionsmodulen finns i SAP-källsystemet.
  2. Följ riktlinjerna i SAP-3088309 för den relevanta lösningen.

Statuskod 500 på SAP-systemanslutning på Sentinel

Om du ser ett fel med statuskoden 500 under anslutningsprocessen från Sentinel till SAP Cloud Integration kontaktar du din SAP-kollega som övervakar integrationsflödet "Data Collector" i SAP Cloud Integration. Av naturen är informationen om felmeddelandet endast tillgänglig i SAP:s meddelandebearbetningslogg.

Långa bearbetningstider för meddelanden eller avvikelser i meddelandevolymer i SAP Cloud Integration

Om du ser plötsliga toppar i meddelandevolymer och bearbetningstider för SAP Cloud Integration kan du överväga att filtrera ansvarsfulla källor på NetWeaver-sidan. Det finns två tillgängliga alternativ.

  1. Använd transaktion SM19 och SAP:s bästa praxis, för att tillämpa filterinställningar på användare och meddelandeklasser som orsakar toppbelastning.
  2. Använd filterfunktionerna i Sentinel-paketet i SAP Cloud Integration för att tillämpa filtrering på loggläsning. Parametern max-rows är förifylld för att avsiktligt skydda integrationsflödet från meddelandeöverflöd.

Observera att loggfilter på NetWeaver påverkar vad som skrivs till granskningsloggen på källan medan ett filter på SAP Cloud Integration bara väljer att inte läsa de problematiska posterna.

Valda felsökningsprocedurer är bara relevanta när dataanslutningsagenten distribueras via kommandoraden. Om du använde den rekommenderade proceduren för att distribuera agenten från portalen använder du portalen för att göra eventuella konfigurationsändringar.

Användbara Docker-kommandon

När du felsöker Microsoft Sentinel för SAP-dataanslutningen kan följande kommandon vara användbara:

Funktion Kommando
Stoppa den Docker-container docker stop sapcon-[SID]
Starta Docker-containern docker start sapcon-[SID]
Visa Docker-systemloggar docker logs -f sapcon-[SID]
Gå in i Docker-containern docker exec -it sapcon-[SID] bash

Mer information finns i Docker CLI-dokumentationen.

Granska systemloggar

Vi rekommenderar starkt att du granskar systemloggarna när du har installerat eller återställt dataanslutningen.

Kör:

docker logs -f sapcon-[SID]

Aktivera/inaktivera felsökningslägesutskrift

Den här proceduren stöds bara om du har distribuerat dataanslutningsagenten från kommandoraden.

  1. Redigera filen /opt/sapcon/[SID]/systemconfig.json på den virtuella datainsamlaragentens virtuella dator.

  2. Definiera avsnittet Allmänt om det inte har definierats tidigare. I det här avsnittet definierar du logging_debug = True för att aktivera felsökningslägesutskrift eller logging_debug = False för att inaktivera det.

    Till exempel:

    [General]
logging_debug = True

  3. Spara filen.

Ändringen börjar gälla ungefär två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.

Visa alla containerkörningsloggar

Anslutningsloggar för din Microsoft Sentinel-lösning för distribution av SAP-programdataanslutning lagras på den virtuella datorn i /opt/sapcon/[SID]/log/. Loggfilnamnet är OmniLog.log. En historik över loggfiler behålls, suffixet med .[ tal] som OmniLog.log.1, OmniLog.log.2 och så vidare.

Granska och uppdatera konfigurationsfilen för Microsoft Sentinel för SAP-agentanslutningsappen

Den här proceduren stöds bara om du har distribuerat dataanslutningsagenten från kommandoraden. Om du distribuerade din agent via portalen fortsätter du att underhålla och ändra konfigurationsinställningarna via portalen.

Om du har distribuerat via kommandoraden utför du följande steg:

  1. Öppna konfigurationsfilen på den virtuella datorn: sapcon/[SID]/systemconfig.json

  2. Uppdatera konfigurationen om det behövs och spara filen. Mer information finns i filreferensen systemconfig.jsonför Microsoft Sentinel-lösningen för SAP-program.

Ändringen börjar gälla ungefär två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.

Återställa Microsoft Sentinel för SAP-dataanslutningsappen

Följande steg återställer anslutningsappen och återställer SAP-loggarna från de senaste 30 minuterna.

  1. Stoppa anslutningsappen. Kör:

    docker stop sapcon-[SID]

  2. Ta bort metadata.db-filen från katalogen /opt/sapcon/[SID]. Kör:

    cd /opt/sapcon/<SID>
rm metadata.db

    Kommentar

    Filen metadata.db innehåller den sista tidsstämpeln för var och en av loggarna och fungerar för att förhindra duplicering.

  3. Starta anslutningsappen igen. Kör:

    docker start sapcon-[SID]

Se till att granska systemloggarna när du är klar.

Vanliga problem

När du har distribuerat både Microsoft Sentinel för SAP-dataanslutning och säkerhetsinnehåll kan det uppstå följande fel eller problem:

Skadad eller saknad SAP SDK-fil

Det här felet kan uppstå när anslutningsappen inte kan startas med PyRfc eller när zip-relaterade felmeddelanden visas.

  1. Installera om SAP SDK.
  2. Kontrollera att du är rätt Linux 64-bitarsversion, till exempel nwrfc750P_8-70002752.zip.

Om du har installerat dataanslutningsappen manuellt ser du till att du har kopierat SDK-filen till Docker-containern.

Kör:

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

ABAP-körningsfel visas i ett stort system

Den här proceduren stöds bara om du har distribuerat dataanslutningsagenten från kommandoraden.

Om ABAP-körningsfel uppstår på stora system, försök att ställa in en mindre segmentstorlek:

  1. Redigera filen /opt/sapcon/[SID]/systemconfig.json och definiera i avsnittet timechunk = 5 .

    Till exempel:

    [Connector Configuration]
timechunk = 5

  2. Spara filen.

Ändringen börjar gälla ungefär två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.

Kommentar

Tidskunkstorleken definieras i minuter.

Tom eller ingen granskningslogg hämtad, utan några särskilda felmeddelanden

  1. Kontrollera att granskningsloggning är aktiverat i SAP.
  2. Verifiera SM19- eller RSAU_CONFIG-transaktionerna .
  3. Aktivera alla händelser efter behov.
  4. Kontrollera om meddelanden anländer och finns i SAP SM20 eller RSAU_READ_LOG, utan några särskilda fel som visas i anslutningsloggen.

Felaktigt arbetsyte-ID eller nyckel i nyckelvalvet

Om du inser att du har angett ett felaktigt arbetsyte-ID eller nyckel i distributionsskriptet uppdaterar du autentiseringsuppgifterna som lagras i Azure Key Vault.

Starta om containern om du har verifierat dina autentiseringsuppgifter i Azure KeyVault:

docker restart sapcon-[SID]

Felaktiga autentiseringsuppgifter för SAP ABAP-användare i nyckelvalvet

Kontrollera dina autentiseringsuppgifter och åtgärda dem efter behov och tillämpa rätt värden på ABAPUSER - och ABAPPASS-värdena i Azure Key Vault.

Starta sedan om containern:

docker restart sapcon-[SID]

Felaktiga autentiseringsuppgifter för SAP ABAP-användare i en fast konfiguration

Det här avsnittet stöds bara om du har distribuerat dataanslutningsagenten från kommandoraden.

En fast konfiguration är när lösenordet lagras direkt i systemconfig.json konfigurationsfilen.

Om dina autentiseringsuppgifter är felaktiga kontrollerar du dina autentiseringsuppgifter.

Använd base64-kryptering för att kryptera användaren och lösenordet. Du kan använda krypteringsverktyg online för att kryptera dina autentiseringsuppgifter, till exempel https://www.base64encode.org/.

ABAP-behörigheter (SAP-användare) saknas

Om du får ett felmeddelande som liknar: .. Serverdels-RFC-auktorisering saknas.., dina SAP-auktoriseringar och din roll tillämpades inte korrekt.

  1. Kontrollera att rollen MSFTSEN/SENTINEL_CONNECTOR importerades som en del av en ändringsbegäranstransport och tillämpades på anslutningsanvändaren.

  2. Kör processen för rollgenerering och användarjämförelse med hjälp av SAP-transaktionen PFCG.

Saknade data i dina arbetsböcker eller aviseringar

Om du upptäcker att du saknar data i dina Microsoft Sentinel-arbetsböcker eller aviseringar kontrollerar du att auditlog-principen är korrekt aktiverad på SAP-sidan, utan fel i containerloggfilen.

Använd RSAU_CONFIG_LOG transaktionen för det här steget.

Mer information finns i SAP-dokumentationen och Samla in SAP HANA-granskningsloggar i Microsoft Sentinel.

Vi rekommenderar att du konfigurerar granskning för alla meddelanden från granskningsloggen i stället för endast specifika loggar. Skillnader i inmatningskostnader är i allmänhet minimala och data är användbara för Microsoft Sentinel-identifieringar och i undersökningar och jakt efter kompromisser. Mer information finns i Konfigurera SAP-granskning.

IP-adress- eller transaktionskodfält saknas i SAP-granskningsloggen

I SAP-system med versioner för SAP BASIS 7.5 SP12 och senare kan Microsoft Sentinel återspegla extra fält i tabellerna ABAPAuditLog_CL och SAPAuditLog .

Om du använder SAP BASIS-versioner som är högre än 7,5 SP12 och saknar IP-adress- eller transaktionskodfält i SAP-granskningsloggen kontrollerar du att SAP-systemet som du extraherar data från innehåller relevanta ändringsbegäranden (transporter). Mer information finns i Konfigurera stöd för extra datahämtning (rekommenderas).

SAP-ändringsbegäran saknas

Om du ser fel om att du saknar en obligatorisk SAP-ändringsbegäran kontrollerar du att du har importerat rätt SAP-ändringsbegäran för systemet. Mer information finns i KRAV för SAP och Konfigurera DITT SAP-system för Microsoft Sentinel-lösningen.

Inga data visas i SAP-tabelldataloggen

I SAP-system med versioner för SAP BASIS 7.5 SP12 och senare kan Microsoft Sentinel återspegla ändringar i tabelldataloggen ABAPTableDataLog_CL i tabellen.

Om inga data visas i ABAPTableDataLog_CL tabellen kontrollerar du att SAP-systemet som du extraherar data från innehåller relevanta ändringsbegäranden (transporter). Mer information finns i Konfigurera stöd för extra datahämtning (rekommenderas).

Inga poster/sena poster

Datainsamlingsagenten är beroende av att tidszonsinformationen är korrekt. Om du ser att det inte finns några poster i SAP-gransknings- och ändringsloggarna, eller om poster ständigt ligger några timmar efter, kontrollerar du om SAP TZCUSTHELP-rapporten visar några fel. Mer information finns i SAP-481835.

Det kan också uppstå problem med klockan på den virtuella datorn där datainsamlingsagentens container är värd. Eventuella avvikelser från UTC-tiden på den virtuella datorn påverkar datainsamlingen. Ännu viktigare är att klockorna på både SAP-systemdatorerna och datainsamlaragentens datorer måste matcha.

Vi rekommenderar att du konfigurerar granskning för alla meddelanden från granskningsloggen i stället för endast specifika loggar. Skillnader i inmatningskostnader är i allmänhet minimala och data är användbara för Microsoft Sentinel-identifieringar och i undersökningar och jakt efter kompromisser. Mer information finns i Konfigurera SAP-granskning.

Problem med nätverksanslutning

Om du har problem med nätverksanslutningen till SAP-miljön eller Till Microsoft Sentinel kontrollerar du nätverksanslutningen för att se till att data flödar som förväntat.

Vanliga problem:

  • Brandväggar mellan Docker-containern och SAP-värdarna kan blockera trafik. SAP-värd tar emot kommunikation via följande TCP-portar, som måste vara öppna: 32xx, 5xx13 och 33xx, där xx är SAP-instansens nummer.

  • Utgående kommunikation från DIN SAP-agentvärd till Microsoft Container Registry eller Azure kräver proxykonfiguration. Detta påverkar vanligtvis installationen och kräver att du konfigurerar HTTP_PROXY miljövariablerna och HTTPS_PROXY . Du kan också mata in miljövariabler i docker-containern när du skapar containern genom att lägga till -e flaggan i docker-kommandotcreate / run.

Det går inte att hämta en granskningslogg med varningar

Det här avsnittet stöds bara om du har distribuerat dataanslutningsagenten från kommandoraden.

Om du försöker hämta en granskningslogg utan nödvändiga konfigurationer och processen misslyckas med varningar kontrollerar du att SAP-granskningsloggen kan hämtas med någon av följande metoder:

Systemet bör automatiskt växla till kompatibilitetsläge vid behov, men det kan hända att du måste växla det manuellt. Växla till kompatibilitetsläge manuellt:

  1. Redigera filen /opt/sapcon/[SID]/systemconfig.json .

  2. I avsnittet Anslutningskonfiguration definiera: auditlogforcexal = True

    Till exempel:

    [Connector Configuration]
auditlogforcexal = True

  3. Spara filen.

Ändringen börjar gälla ungefär två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.

SAPCONTROL- eller JAVA-undersystem kan inte ansluta

Kontrollera att OS-användaren är giltig och kan köra följande kommando i SAP-målsystemet:

sapcontrol -nr <SID> -function GetSystemInstanceList

Om ditt SAPCONTROL- eller JAVA-undersystem misslyckas med ett tidszonsrelaterat felmeddelande, till exempel: Se över konfigurationen och nätverksåtkomsten till SAP-servern – Etc/NZST, se till att du använder standardtidszonkoder.

Använd till exempel javatz = GMT+12 eller abaptz = GMT-3**.

Granskningsloggdata matas inte in efter den första inläsningen

Om SAP-granskningsloggdata, som visas i antingen RSAU_READ_LOAD - eller SM200-transaktionerna , inte matas in i Microsoft Sentinel efter den första belastningen kan du ha en felkonfiguration av SAP-systemet och SAP-värdoperativsystemet.

  • Initiala inläsningar matas in efter en ny installation av Microsoft Sentinel för SAP-dataanslutningsappen eller efter att metadata.db-filen har tagits bort.
  • Ett exempel på felkonfiguration kan vara när sapsystemets tidszon är inställd på CET i STZAC-transaktionen , men tidszonen för SAP-värdoperativsystemet är inställd på UTC.

Om du vill söka efter felkonfigurationer kör du RSDBTIME-rapporten i transaktionen SE38. Om du hittar ett matchningsfel mellan SAP-systemet och SAP-värdoperativsystemet:

  1. Stoppa Docker-containern. Kör

    docker stop sapcon-[SID]

  2. Ta bort metadata.db-filen från katalogen /opt/sapcon/[SID]. Kör:

    rm /opt/sapcon/[SID]/metadata.db

  3. Uppdatera SAP-systemet och SAP-värdoperativsystemet så att de har matchande inställningar, till exempel samma tidszon. Mer information finns i SAP Community Wiki.

  4. Starta containern igen. Kör:

    docker start sapcon-[SID]

Andra oväntade problem

Om du har oväntade problem som inte visas i den här artikeln kan du prova följande steg:

Dricks

Återställa anslutningsappen och se till att du har de senaste uppgraderingarna rekommenderas också efter större konfigurationsändringar.

Relaterat innehåll

Läs mer om Microsoft Sentinel-lösningen för SAP-program:

Referensfiler:

Mer information finns i Microsoft Sentinel-lösningar.