Řešení potíží s řešením Microsoft Sentinel pro nasazení aplikací SAP
Tento článek obsahuje kroky pro řešení potíží, které vám pomůžou zajistit přesný a včasný příjem a monitorování dat pro vaše prostředí SAP pomocí služby Microsoft Sentinel a agenta datového konektoru.
Vybrané postupy řešení potíží jsou relevantní pouze při nasazení agenta datového konektoru přes příkazový řádek. Pokud jste k nasazení agenta z portálu použili doporučený postup, proveďte všechny změny konfigurace pomocí portálu.
Poznámka:
Tento článek je relevantní jenom pro agenta datového konektoru a není relevantní pro řešení bez agentů SAP (limited Preview).
Užitečné příkazy Dockeru
Při řešení potíží s datovým konektorem Microsoft Sentinel pro SAP můžou být užitečné následující příkazy:
Function | Příkaz |
---|---|
Zastavení kontejneru Dockeru | docker stop sapcon-[SID] |
Spuštění kontejneru Dockeru | docker start sapcon-[SID] |
Zobrazení systémových protokolů Dockeru | docker logs -f sapcon-[SID] |
Zadejte kontejner Dockeru. | docker exec -it sapcon-[SID] bash |
Další informace najdete v dokumentaci k rozhraní příkazového řádku Dockeru.
Kontrola systémových protokolů
Důrazně doporučujeme po instalaci nebo resetování datového konektoru zkontrolovat systémové protokoly.
Run (Spuštění):
docker logs -f sapcon-[SID]
Povolení nebo zakázání tisku v režimu ladění
Tento postup se podporuje jenom v případě, že jste agenta datového konektoru nasadili z příkazového řádku.
Na virtuálním počítači kontejneru agenta kolektoru dat upravte soubor /opt/sapcon/[SID]/systemconfig.json .
Definujte oddíl Obecné, pokud nebyl dříve definován. V této části definujte
logging_debug = True
, jestli chcete povolit tisk v režimu ladění nebologging_debug = False
zakázat.Příklad:
[General] logging_debug = True
Uložte soubor.
Změna se projeví přibližně dvě minuty po uložení souboru. Kontejner Dockeru nemusíte restartovat.
Zobrazení všech protokolů spuštění kontejneru
Protokoly spouštění konektorů pro řešení Microsoft Sentinel pro nasazení datového konektoru aplikací SAP se ukládají na virtuálním počítači v /opt/sapcon/[SID]/log/. Název souboru protokolu je OmniLog.log. Historie souborů protokolu se uchovává s příponou .[ number] například OmniLog.log.1, OmniLog.log.2 atd.
Kontrola a aktualizace konfiguračního souboru konektoru agenta SAP pro Microsoft Sentinel
Tento postup se podporuje jenom v případě, že jste agenta datového konektoru nasadili z příkazového řádku. Pokud jste agenta nasadili přes portál, pokračujte v údržbě a změně nastavení konfigurace prostřednictvím portálu.
Pokud jste nasadili přes příkazový řádek, proveďte následující kroky:
Na virtuálním počítači otevřete konfigurační soubor: sapcon/[SID]/systemconfig.json
V případě potřeby aktualizujte konfiguraci a uložte soubor. Další informace najdete v řešení Microsoft Sentinel pro referenční informace k souborům aplikací
systemconfig.json
SAP.
Změna se projeví přibližně dvě minuty po uložení souboru. Kontejner Dockeru nemusíte restartovat.
Resetování datového konektoru Microsoft Sentinelu pro SAP
Následující kroky resetují konektor a obnovují protokoly SAP z posledních 30 minut.
Zastavte konektor. Run (Spuštění):
docker stop sapcon-[SID]
Odstraňte soubor metadata.db z adresáře /opt/sapcon/[SID]. Run (Spuštění):
cd /opt/sapcon/<SID> rm metadata.db
Poznámka:
Soubor metadata.db obsahuje poslední časové razítko pro každý protokol a funguje tak, aby se zabránilo duplikaci.
Znovu spusťte konektor. Run (Spuštění):
docker start sapcon-[SID]
Po dokončení zkontrolujte systémové protokoly .
Běžné problémy
Po nasazení microsoft Sentinelu pro datový konektor SAP i obsahu zabezpečení může docházet k následujícím chybám nebo problémům:
Poškozený nebo chybějící soubor SADY SAP SDK
K této chybě může dojít v případě, že se konektoru nepodaří spustit s PyRfc nebo se zobrazí chybové zprávy související se zipem.
- Přeinstalujte sadu SAP SDK.
- Ověřte, že používáte správnou 64bitovou verzi Linuxu, například nwrfc750P_8-70002752.zip.
Pokud byste datový konektor nainstalovali ručně, ujistěte se, že jste zkopírovali soubor SADY SDK do kontejneru Dockeru.
Run (Spuštění):
docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/
Chyby modulu runtime ABAP se zobrazují ve velkém systému
Tento postup se podporuje jenom v případě, že jste agenta datového konektoru nasadili z příkazového řádku.
Pokud se ve velkých systémech zobrazí chyby modulu runtime ABAP, zkuste nastavit menší velikost bloku dat:
Upravte soubor /opt/sapcon/[SID]/systemconfig.json a v části Konfigurace konektoru definujte
timechunk = 5
.Příklad:
[Connector Configuration] timechunk = 5
Uložte soubor.
Změna se projeví přibližně dvě minuty po uložení souboru. Kontejner Dockeru nemusíte restartovat.
Poznámka:
Velikost časového intervalu je definována v minutách.
Prázdné nebo žádné načtené protokoly auditu bez speciálních chybových zpráv
- Zkontrolujte, jestli je v SAP povolené protokolování auditu.
- Ověřte transakce SM19 nebo RSAU_CONFIG.
- Podle potřeby povolte všechny události.
- Ověřte, jestli zprávy přicházejí a existují v SAP SM20 nebo RSAU_READ_LOG, bez jakýchkoli zvláštních chyb zobrazených v protokolu konektoru.
Nesprávné ID pracovního prostoru nebo klíč v trezoru klíčů
Pokud zjistíte, že jste do skriptu nasazení zadali nesprávné ID nebo klíč pracovního prostoru, aktualizujte přihlašovací údaje uložené ve službě Azure Key Vault.
Po ověření přihlašovacích údajů v Azure KeyVault restartujte kontejner:
docker restart sapcon-[SID]
Nesprávné přihlašovací údaje uživatele SAP ABAP v trezoru klíčů
Zkontrolujte přihlašovací údaje a podle potřeby je opravte a použijte správné hodnoty na hodnoty ABAPUSER a ABAPPASS ve službě Azure Key Vault.
Pak restartujte kontejner:
docker restart sapcon-[SID]
Nesprávné přihlašovací údaje uživatele SAP ABAP v pevné konfiguraci
Tato část se podporuje jenom v případě, že jste nasadili agenta datového konektoru z příkazového řádku.
Pevná konfigurace spočívá v tom, že heslo je uložené přímo v konfiguračním souboru systemconfig.json .
Pokud jsou vaše přihlašovací údaje nesprávné, ověřte své přihlašovací údaje.
Šifrování base64 slouží k šifrování uživatele a hesla. K šifrování přihlašovacích údajů můžete použít nástroje pro online šifrování, například https://www.base64encode.org/.
Chybějící oprávnění ABAP (uživatel SAP)
Pokud se zobrazí chybová zpráva podobná této: .. Chybí back-end RFC Authorization.., vaše autorizace a role SAP se nepoužádaly správně.
Ujistěte se, že se role MSFTSEN/SENTINEL_CONNECTOR importovala jako součást přenosu žádosti o změnu a použila se pro uživatele konektoru.
Spusťte proces generování rolí a porovnání uživatelů pomocí transakce SAP PFCG.
Chybějící data v sešitech nebo upozorněních
Pokud zjistíte, že v sešitech nebo upozorněních Microsoft Sentinelu chybí data, ujistěte se, že jsou na straně SAP správně povolené zásady Auditlogu bez chyb v souboru protokolu kontejneru.
Pro tento krok použijte RSAU_CONFIG_LOG transakci.
Další informace najdete v dokumentaci k SAP a shromažďování protokolů auditu SAP HANA v Microsoft Sentinelu.
Doporučujeme nakonfigurovat auditování pro všechny zprávy z protokolu auditu, ne jenom pro konkrétní protokoly. Rozdíly v nákladech na příjem dat jsou obecně minimální a data jsou užitečná pro detekce Microsoft Sentinelu a při vyšetřování a proaktivního vyhledávání po ohrožení. Další informace najdete v tématu Konfigurace auditování SAP.
Chybějící pole IP adresy nebo kódu transakce v protokolu auditu SAP
V systémech SAP s verzemi pro SAP BASIS 7.5 SP12 a vyšší může Microsoft Sentinel odrážet další pole v tabulkách ABAPAuditLog_CL
a SAPAuditLog
tabulkách.
Pokud používáte verze SAP BASIS vyšší než 7.5 SP12 a v protokolu auditu SAP chybí pole IP adresy nebo kódu transakce, ověřte, že systém SAP, ze kterého extrahujete data, obsahuje příslušné žádosti o změnu (přenosy). Další informace najdete v tématu Konfigurace podpory pro dodatečné načítání dat (doporučeno).
Chybějící žádost o změnu SAP
Pokud se zobrazí chyby, že chybí požadovaná žádost o změnu SAP, ujistěte se, že jste naimportovali správnou žádost o změnu SAP pro váš systém. Další informace najdete v tématu Požadavky na SAP a konfigurace systému SAP pro řešení Microsoft Sentinel.
V protokolu dat tabulky SAP se nezobrazují žádná data
V systémech SAP s verzemi pro SAP BASIS 7.5 SP12 a vyšší může Microsoft Sentinel odrážet změny protokolu tabulkových dat v ABAPTableDataLog_CL
tabulce.
Pokud se v ABAPTableDataLog_CL
tabulce nezobrazují žádná data, ověřte, že systém SAP, ze kterého data extrahujete, obsahuje příslušné žádosti o změnu (přenosy). Další informace najdete v tématu Konfigurace podpory pro dodatečné načítání dat (doporučeno).
Žádné záznamy / zpožděné záznamy
Agent kolektoru dat spoléhá na správné informace o časovém pásmu. Pokud zjistíte, že v protokolech auditu a změn SAP nejsou žádné záznamy nebo jestli jsou záznamy neustále za sebou, zkontrolujte, jestli sestava SAP TZCUSTHELP neobsahuje nějaké chyby. Další informace najdete v 481835 poznámky SAP.
Mohou se také vyskytovat problémy s hodinami na virtuálním počítači, kde je hostovaný kontejner agenta kolektoru dat, a případné odchylky od hodin na virtuálním počítači od UTC ovlivňují shromažďování dat. Ještě důležitější je, že hodiny na systémových počítačích SAP i na počítačích agentů kolektoru dat se musí shodovat.
Doporučujeme nakonfigurovat auditování pro všechny zprávy z protokolu auditu, ne jenom pro konkrétní protokoly. Rozdíly v nákladech na příjem dat jsou obecně minimální a data jsou užitečná pro detekce Microsoft Sentinelu a při vyšetřování a proaktivního vyhledávání po ohrožení. Další informace najdete v tématu Konfigurace auditování SAP.
Problémy se síťovým připojením
Pokud máte problémy se síťovým připojením k prostředí SAP nebo Microsoft Sentinelu, zkontrolujte síťové připojení a ujistěte se, že data proudí podle očekávání.
Časté problémy zahrnují:
Brány firewall mezi kontejnerem Dockeru a hostiteli SAP můžou blokovat provoz. Hostitel SAP přijímá komunikaci přes následující porty TCP, které musí být otevřené: 32xx, 5xx13 a 33xx, kde xx je číslo instance SAP.
Odchozí komunikace z hostitele agenta SAP do služby Microsoft Container Registry nebo Azure vyžaduje konfiguraci proxy serveru. To obvykle ovlivňuje instalaci a vyžaduje, abyste nakonfigurovali
HTTP_PROXY
proměnné prostředí aHTTPS_PROXY
prostředí. Proměnné prostředí můžete také ingestovat do kontejneru Dockeru při vytváření kontejneru přidáním-e
příznaku do příkazu dockeru /create
run
.
Načtení protokolu auditu selže s upozorněními
Tato část se podporuje jenom v případě, že jste nasadili agenta datového konektoru z příkazového řádku.
Pokud se pokusíte načíst protokol auditu bez požadovaných konfigurací a proces selže s upozorněními, pomocí jedné z následujících metod ověřte, že se protokol AUDITU SAP dá načíst:
- Použití režimu kompatibility nazvaného XAL ve starších verzích
- Použití nedávno opravené verze
- Bez jakýchkoli změn provedených pro připojení k agentu datového konektoru Microsoft Sentinelu. Další informace najdete v tématu Konfigurace systému SAP pro řešení Microsoft Sentinel.
I když by měl systém v případě potřeby automaticky přepnout do režimu kompatibility, možná ho budete muset přepnout ručně. Ruční přepnutí do režimu kompatibility:
V části Konfigurace konektoru definujete definici:
auditlogforcexal = True
Příklad:
[Connector Configuration] auditlogforcexal = True
Uložte soubor.
Změna se projeví přibližně dvě minuty po uložení souboru. Kontejner Dockeru nemusíte restartovat.
Subsystémy SAPCONTROL nebo JAVA se nemůžou připojit
Zkontrolujte, jestli je uživatel operačního systému platný a může v cílovém systému SAP spustit následující příkaz:
sapcontrol -nr <SID> -function GetSystemInstanceList
Selhání subsystému SAPCONTROL nebo JAVA s chybovou zprávou související s časovým pásmem
Pokud váš subsystém SAPCONTROL nebo JAVA selže s chybovou zprávou související s časovým pásmem, například: Zkontrolujte konfiguraci a síťový přístup k serveru SAP – Etc/NZST, ujistěte se, že používáte standardní kódy časového pásma.
Můžete například použít javatz = GMT+12
nebo abaptz = GMT-3**
.
Data protokolu auditu, která se neingestují po počátečním načtení
Pokud se data protokolu auditu SAP, která jsou viditelná v transakcích RSAU_READ_LOAD nebo SM200 , neingestují do Microsoft Sentinelu po počátečním zatížení, pravděpodobně máte chybnou konfiguraci systému SAP a hostitelského operačního systému SAP.
- Počáteční načtení se ingestuje po nové instalaci Microsoft Sentinelu pro datový konektor SAP nebo po odstranění souboru metadata.db .
- Ukázková chybná konfigurace může být, když je vaše systémové časové pásmo SAP nastavené na CET v transakci STZAC , ale časové pásmo hostitelského operačního systému SAP je nastavené na UTC.
Pokud chcete zkontrolovat chybné konfigurace, spusťte sestavu RSDBTIME v transakci SE38. Pokud zjistíte neshodu mezi systémem SAP a hostitelským operačním systémem SAP:
Zastavte kontejner Dockeru. Spustit
docker stop sapcon-[SID]
Odstraňte soubor metadata.db z adresáře /opt/sapcon/[SID]. Run (Spuštění):
rm /opt/sapcon/[SID]/metadata.db
Aktualizujte systém SAP a hostitelský operační systém SAP tak, aby měly odpovídající nastavení, například stejné časové pásmo. Další informace najdete na wikiwebu komunity SAP.
Znovu spusťte kontejner. Run (Spuštění):
docker start sapcon-[SID]
Další neočekávané problémy
Pokud v tomto článku nejsou uvedené neočekávané problémy, vyzkoušejte následující kroky:
- Resetování konektoru a opětovné načtení protokolů
- Upgradujte konektor na nejnovější verzi.
Tip
Resetování konektoru a zajištění, že máte nejnovější upgrady, se také doporučuje po jakýchkoli zásadních změnách konfigurace.
Související obsah
Další informace o řešení Microsoft Sentinel pro aplikace SAP:
- Nasazení řešení Microsoft Sentinel pro aplikace SAP
- Požadavky pro nasazení řešení Microsoft Sentinel pro aplikace SAP
- Konfigurace systému SAP pro řešení Microsoft Sentinel
- Nasazení obsahu řešení z centra obsahu
- Připojení systému SAP nasazením kontejneru agenta datového konektoru
- Shromažďování protokolů auditu SAP HANA
Referenční soubory:
- Referenční informace k datům řešení microsoft Sentinel pro aplikace SAP
- Řešení Microsoft Sentinel pro řešení aplikací SAP: Referenční informace k obsahu zabezpečení
- Úvodní referenční informace ke skriptu
- Referenční informace k aktualizačnímu skriptu
- Referenční informace k řešení Microsoft Sentinel pro soubory aplikací
systemconfig.json
SAP
Další informace najdete v tématu Řešení Microsoft Sentinel.