Freigeben über


Problembehandlung bei der Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen

Dieser Artikel enthält Schritte zur Problembehandlung, mit denen Sie eine genaue und zeitnahe Datenerfassung und -überwachung für Ihre SAP-Umgebung mit Microsoft Sentinel und dem Datenconnector-Agent sicherstellen können.

Ausgewählte Problembehandlungsverfahren sind nur relevant, wenn Ihr Datenconnector-Agent über die Befehlszeile bereitgestellt wird. Wenn Sie das empfohlene Verfahren verwendet haben, um den Agent aus dem Portal bereitzustellen, verwenden Sie das Portal, um Konfigurationsänderungen vorzunehmen.

Hinweis

Dieser Artikel ist nur für den Datenconnector-Agent relevant, nicht für die SAP-Lösung ohne Agent (eingeschränkte Vorschau).

Nützliche Docker-Befehle

Bei der Problembehandlung des Microsoft Sentinel für SAP-Datenconnectors können die folgenden Befehle nützlich sein:

Funktion Befehl
Beenden des Docker-Containers docker stop sapcon-[SID]
Starten des Docker-Containers docker start sapcon-[SID]
Anzeigen von Docker-Systemprotokollen docker logs -f sapcon-[SID]
Aufrufen des Docker-Containers docker exec -it sapcon-[SID] bash

Weitere Informationen finden Sie in der Dokumentation zur Docker CLI.

Überprüfen von Systemprotokollen

Es wird dringend empfohlen, die Systemprotokolle nach dem Installieren oder Zurücksetzen des Datenconnectors zu überprüfen.

Führen Sie Folgendes aus:

docker logs -f sapcon-[SID]

So aktivieren Sie die Debugmodusausgabe

Dieses Verfahren wird nur unterstützt, wenn Sie den Datenconnector-Agent über die Befehlszeile bereitgestellt haben.

  1. Bearbeiten Sie auf Ihrem VM mit dem Container für den Datensammler-Agent die Datei /opt/sapcon/[SID]/systemconfig.json.

  2. Definieren Sie den Abschnitt Allgemein, wenn er zuvor noch nicht definiert wurde. Definieren Sie in diesem Abschnitt logging_debug = True, um die Ausgabe im Debugmodus zu aktivieren, oder logging_debug = False, um sie zu deaktivieren.

    Zum Beispiel:

    [General]
    logging_debug = True
    
  3. Speichern Sie die Datei .

Die Änderung wird etwa zwei Minuten nach dem Speichern der Datei wirksam. Sie brauchen den Docker-Container nicht neu zu starten.

Anzeigen aller Containerausführungsprotokolle

Connectorausführungsprotokolle für die Bereitstellung des Datenconnectors für Ihre Microsoft Sentinel-Lösung für SAP-Anwendungen werden auf Ihrer VM unter /opt/sapcon/[SID]/log/ gespeichert. Der Protokolldateiname lautet OmniLog.log. Es wird ein Verlauf der Protokolldateien mit der Endung .[Zahl] gespeichert, z. B. OmniLog.log.1, OmniLog.log.2 usw.

Überprüfen und Aktualisieren der Konfigurationsdatei des Microsoft Sentinel für SAP-Agent-Connectors

Dieses Verfahren wird nur unterstützt, wenn Sie den Datenconnector-Agent über die Befehlszeile bereitgestellt haben. Wenn Sie Ihren Agent über das Portal bereitgestellt haben, können Sie die Konfigurationseinstellungen weiterhin über das Portal verwalten und ändern.

Wenn Sie über die Befehlszeile bereitgestellt haben, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie auf Ihrer VM die Konfigurationsdatei sapcon/[SID]/systemconfig.json.

  2. Aktualisieren Sie die Konfiguration bei Bedarf und speichern Sie die Datei. Weitere Informationen finden Sie unter Microsoft Sentinel-Lösung für SAP-Anwendungen systemconfig.json Dateireferenz.

Die Änderung wird etwa zwei Minuten nach dem Speichern der Datei wirksam. Sie brauchen den Docker-Container nicht neu zu starten.

Zurückstellen des Microsoft Sentinel für SAP-Datenconnectors

Mit den folgenden Schritten werden der Connector zurückgesetzt und die SAP-Protokolle der letzten 30 Minuten erneut erfasst.

  1. Beenden Sie den Connector. Führen Sie Folgendes aus:

    docker stop sapcon-[SID]
    
  2. Löschen Sie die Datei metadata.db aus dem Verzeichnis /opt/sapcon/[SID]. Führen Sie Folgendes aus:

    cd /opt/sapcon/<SID>
    rm metadata.db
    

    Hinweis

    Die Datei metadata.db enthält den letzten Zeitstempel jedes Protokolls und verhindert Duplizierung.

  3. Starten Sie den Connector neu. Führen Sie Folgendes aus:

    docker start sapcon-[SID]
    

Überprüfen Sie die Systemprotokolle, wenn Sie fertig sind.

Häufige Probleme

Nachdem Sie sowohl den Microsoft Sentinel für SAP-Datenconnector als auch Sicherheitsinhalte bereitgestellt haben, können die folgenden Fehler oder Probleme auftreten:

Beschädigte oder fehlende SAP SDK-Datei

Dieser Fehler tritt möglicherweise auf, wenn der Connector nicht mit PyRfc gestartet werden kann oder ZIP-bezogene Fehlermeldungen angezeigt werden.

  1. Installieren Sie das SAP SDK neu.
  2. Stellen Sie sicher, dass Sie die richtige 64-Bit-Version für Linux verwenden, z. B. nwrfc750P_8-70002752.zip.

Wenn Sie den Datenconnector manuell installiert haben, stellen Sie sicher, dass Sie die SDK-Datei in den Docker-Container kopiert haben.

Führen Sie Folgendes aus:

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

ABAP-Laufzeitfehler werden in großem System gemeldet

Dieses Verfahren wird nur unterstützt, wenn Sie den Datenconnector-Agent über die Befehlszeile bereitgestellt haben.

Wenn ABAP Laufzeitfehler in großen Systemen gemeldet werden, versuchen Sie, eine kleinere Blockgröße festzulegen:

  1. Bearbeiten Sie die Datei /opt/sapcon/[SID]/systemconfig.json, und definieren Sie timechunk = 5 im Abschnitt zur Connectorkonfiguration.

    Zum Beispiel:

    [Connector Configuration]
    timechunk = 5
    
  2. Speichern Sie die Datei .

Die Änderung wird etwa zwei Minuten nach dem Speichern der Datei wirksam. Sie brauchen den Docker-Container nicht neu zu starten.

Hinweis

Die Größe von timechunk wird in Minuten angegeben.

Leeres oder nicht abgerufenes Überwachungsprotokoll ohne spezielle Fehlermeldungen

  1. Prüfen Sie, ob die Überwachungsprotokollierung in SAP aktiviert ist.
  2. Überprüfen Sie die Transaktionen SM19 oder RSAU_CONFIG.
  3. Aktivieren Sie nach Bedarf alle Ereignisse.
  4. Überprüfen Sie, ob Nachrichten in SAP SM20 oder RSAU_READ_LOG eingehen und vorhanden sind, ohne dass im Connectorprotokoll spezielle Fehler angezeigt werden.

Falsche Arbeitsbereichs-ID oder falscher Schlüssel im Schlüsseltresor

Wenn Sie feststellen, dass Sie eine falsche Arbeitsbereichs-ID oder einen falschen Schlüssel in Ihr Bereitstellungsskript eingegeben haben, aktualisieren Sie die in Azure Key Vault gespeicherten Anmeldeinformationen.

Starten Sie den Container neu, nachdem Sie Ihre Anmeldeinformationen in Azure KeyVault überprüft haben:

docker restart sapcon-[SID]

Falsche SAP ABAP-Benutzeranmeldeinformationen in Schlüsseltresor

Überprüfen Sie Ihre Anmeldeinformationen, und korrigieren Sie sie ggf., indem Sie in Azure Key Vault die richtigen Werte für ABAPUSER und ABAPPASS anwenden.

Starten Sie den Container anschließend neu:

docker restart sapcon-[SID]

Falsche SAP ABAP-Benutzeranmeldeinformationen in einer festen Konfiguration

Dieser Abschnitt wird nur unterstützt, wenn Sie den Datenconnector-Agent über die Befehlszeile bereitgestellt haben.

Eine feste Konfiguration liegt vor, wenn das Kennwort direkt in der Konfigurationsdatei systemconfig.json gespeichert wird.

Wenn Ihre Anmeldeinformationen dort falsch sind, überprüfen Sie Ihre Anmeldeinformationen.

Verwenden Sie die base64-Verschlüsselung, um Benutzer und Kennwort zu verschlüsseln. Sie können Tools für die Onlineverschlüsselung verwenden, um Ihre Anmeldeinformationen zu verschlüsseln, beispielsweise https://www.base64encode.org/.

Fehlende Berechtigungen für ABAP (SAP-Benutzer)

Wenn sie eine Fehlermeldung wie die folgende erhalten: ... Fehlende Backend-RFC-Autorisierung..., wurden Ihre SAP-Autorisierungen und Ihre SAP-Rolle nicht ordnungsgemäß zugeordnet.

  1. Stellen Sie sicher, dass die Rolle MSFTSEN/SENTINEL_CONNECTOR im Rahmen eines Change Request-Transports importiert und dem Connectorbenutzer zugeordnet wurde.

  2. Führen Sie den Prozess für Rollengenerierung und Benutzervergleich mithilfe der SAP-Transaktion PFCG aus.

Fehlende Daten in Ihrer Arbeitsmappe oder Ihren Warnungen

Wenn Sie feststellen, dass in Ihren Microsoft Sentinel-Arbeitsmappen oder -Warnungen Daten fehlen, stellen Sie sicher, dass die Auditlog-Richtlinie auf SAP-Seite ordnungsgemäß aktiviert ist und die Protokolldatei des Containers keine Fehler enthält.

Verwenden Sie die Transaktion RSAU_CONFIG_LOG für diesen Schritt.

Weitere Informationen finden Sie in der SAP-Dokumentation und unter Erfassen von SAP HANA-Überwachungsprotokollen in Microsoft Sentinel.

Es wird empfohlen, die Überwachung für alle Nachrichten vom Überwachungsprotokoll statt nur für bestimmte Protokolle zu konfigurieren. Die Kostenunterschiede bei der Erfassung sind im Allgemeinen minimal, die Daten sind aber nützlich für Microsoft Sentinel-Erkennungen und der Untersuchung und dem Hunting nach einer Kompromittierung. Weitere Informationen finden Sie unter Konfigurieren der SAP-Überwachung.

IP-Adress- oder Transaktionscodefelder fehlen im SAP-Überwachungsprotokoll

In SAP-Systemen mit Versionen für SAP BASIS 7.5 SP12 und höher zeigt Microsoft Sentinel möglicherweise zusätzliche Felder in den Tabellen ABAPAuditLog_CL und SAPAuditLog an.

Wenn Sie höhere SAP BASIS-Versionen als 7.5 SP12 verwenden und IP-Adress- oder Transaktionscodefelder im SAP-Überwachungsprotokoll fehlen, überprüfen Sie, ob das SAP-System, aus dem Sie die Daten extrahieren, die relevanten Änderungsanforderungen (Transporte) enthält. Weitere Informationen finden Sie unter Konfigurieren der Unterstützung für zusätzliche Datenabrufe (empfohlen).

Fehlender SAP Change Request

Wenn Fehler angezeigt werden, dass ein erforderlicher SAP Change Request fehlt, stellen Sie sicher, dass Sie den richtigen SAP Change Request für Ihr System importiert haben. Weitere Informationen finden Sie unter SAP-Voraussetzungen und Konfigurieren Ihres SAP-Systems für die Microsoft Sentinel-Lösung.

Im SAP-Tabellendatenprotokoll werden keine Daten angezeigt.

In SAP-Systemen mit Versionen für SAP BASIS 7.5 SP12 und höher zeigt Microsoft Sentinel möglicherweise Protokolländerungen an Tabellendaten in der Tabelle ABAPTableDataLog_CL an.

Wenn in der Tabelle ABAPTableDataLog_CL keine Daten angezeigt werden, überprüfen Sie, ob das SAP-System, aus dem Sie die Daten extrahieren, die relevanten Änderungsanforderungen (Transporte) enthält. Weitere Informationen finden Sie unter Konfigurieren der Unterstützung für zusätzliche Datenabrufe (empfohlen).

Keine Datensätze / verspätete Datensätze

Der Datensammler-Agent benötigt für die korrekte Funktion Zeitzoneninformationen. Wenn Sie feststellen, dass es keine Datensätze in den SAP-Überwachungs- und -Änderungsprotokollen gibt oder wenn Datensätze ständig einige Stunden veraltet sind, überprüfen Sie, ob der SAP-Bericht TZCUSTHELP Fehler enthält. Weitere Informationen finden Sie im SAP-Hinweis 481835.

Es kann auch Probleme mit der Uhr auf der VM geben, auf der der Container mit dem Datensammler-Agent gehostet wird. Jede Abweichung von der Uhr auf der VM von der UTC-Zeit wirkt sich auf die Datensammlung aus. Noch wichtiger ist, dass die Uhren sowohl auf den SAP-Systemcomputern als auch auf den Datensammlercomputern synchron sein müssen.

Es wird empfohlen, die Überwachung für alle Nachrichten vom Überwachungsprotokoll statt nur für bestimmte Protokolle zu konfigurieren. Die Kostenunterschiede bei der Erfassung sind im Allgemeinen minimal, die Daten sind aber nützlich für Microsoft Sentinel-Erkennungen und der Untersuchung und dem Hunting nach einer Kompromittierung. Weitere Informationen finden Sie unter Konfigurieren der SAP-Überwachung.

Probleme mit der Netzwerkkonnektivität

Wenn Probleme mit der Netzwerkkonnektivität mit der SAP-Umgebung oder Microsoft Sentinel auftreten, überprüfen Sie Ihre Netzwerkkonnektivität, um sicherzustellen, dass der Datenfluss den Erwartungen entspricht.

Häufige Probleme sind beispielweise:

  • Firewalls zwischen dem Docker-Container und den SAP-Hosts blockieren möglicherweise den Datenverkehr. Der SAP-Host empfängt Kommunikationen über die folgenden TCP-Ports, die offen sein müssen: 32xx, 5xx13 und 33xx. xx steht hierbei für die SAP-Instanznummer.

  • Für die ausgehende Kommunikation von Ihrem SAP-Agent-Host zur Microsoft Container Registry oder Azure ist eine Proxykonfiguration erforderlich. Dies wirkt sich in der Regel auf die Installation aus und führt dazu, dass Sie die Umgebungsvariablen HTTP_PROXY und HTTPS_PROXY konfigurieren müssen. Sie können Umgebungsvariablen auch bei der Erstellung des Docker-Containers in selbigem erfassen, indem Sie dem Docker-Befehl create / run das Flag -e hinzufügen.

Fehler beim Abrufen eines Überwachungsprotokolls mit Warnungen

Dieser Abschnitt wird nur unterstützt, wenn Sie den Datenconnector-Agent über die Befehlszeile bereitgestellt haben.

Wenn Sie versuchen, ein Überwachungsprotokoll ohne die erforderlichen Konfigurationen abzurufen und der Prozess mit Warnungen fehlschlägt, vergewissern Sie sich, dass des SAP-Überwachungsprotokoll mit einer der folgenden Methoden abgerufen werden kann:

  • Verwenden eines Kompatibilitätsmodus namens XAL in älteren Versionen
  • Verwenden einer Version, die nicht kürzlich gepatcht wurde
  • Ohne Änderungen für die Herstellung einer Verbindung mit dem Microsoft Sentinel-Datenconnector-Agent. Weitere Informationen finden Sie unter Konfigurieren Ihres SAP-Systems für die Microsoft Sentinel-Lösung.

Eigentlich sollte Ihr System bei Bedarf automatisch in den Kompatibilitätsmodus wechseln, aber u. U. müssen Sie die Umstellung manuell vornehmen. So stellen Sie manuell auf den Kompatibilitätsmodus um

  1. Bearbeiten Sie die Datei /opt/sapcon/[SID]/systemconfig.json.

  2. Definieren Sie im Abschnitt Connectorkonfiguration Folgendes: auditlogforcexal = True

    Beispiel:

    [Connector Configuration]
    auditlogforcexal = True
    
  3. Speichern Sie die Datei .

Die Änderung wird etwa zwei Minuten nach dem Speichern der Datei wirksam. Sie brauchen den Docker-Container nicht neu zu starten.

SAPCONTROL- oder JAVA-Subsysteme können keine Verbindung herstellen

Prüfen Sie, ob der Betriebssystembenutzer gültig ist und auf dem SAP-Zielsystem den folgenden Befehl ausführen kann:

sapcontrol -nr <SID> -function GetSystemInstanceList

Wenn Ihr SAPCONTROL- oder JAVA-Subsystem mit einer zeitzonenbezogenen Fehlermeldung ausfällt, z. B.: Überprüfen Sie die Konfiguration und den Netzwerkzugriff auf den SAP-Server – „Etc/NZST“ , stellen Sie sicher, dass Sie Standardcodes für Zeitzonen verwenden.

Verwenden Sie beispielsweise javatz = GMT+12 oder abaptz = GMT-3**.

Überwachungsprotokolldaten werden nach dem ersten Laden nicht erfasst

Wenn die SAP-Überwachungsprotokolldaten aus den Transaktionen RSAU_READ_LOAD oder SM200 nach dem ersten Ladevorgang nicht in Microsoft Sentinel erfasst werden, liegt möglicherweise eine Fehlkonfiguration des SAP-Systems und des SAP-Hostbetriebssystems vor.

  • Die ersten Ladevorgänge werden nach einer Neuinstallation des Microsoft Sentinel für SAP-Datenconnectors oder nach dem Löschen der Datei metadata.db ausgeführt.
  • Eine falsche Konfiguration kann beispielsweise vorliegen, wenn die Zeitzone für Ihr SAP-System in der Transaktion STZAC auf CET festgelegt ist, aber die Zeitzone für das SAP-Hostbetriebssystem UTC lautet.

Führen Sie den Bericht RSDBTIME in der Transaktion SE38 aus, um nach Fehlkonfigurationen zu suchen. Wenn Sie einen Konflikt zwischen dem SAP-System und dem SAP-Hostbetriebssystem feststellen, gehen Sie folgendermaßen vor:

  1. Beenden Sie den Docker-Container. Ausführen

    docker stop sapcon-[SID]
    
  2. Löschen Sie die Datei metadata.db aus dem Verzeichnis /opt/sapcon/[SID]. Führen Sie Folgendes aus:

    rm /opt/sapcon/[SID]/metadata.db
    
  3. Aktualisieren Sie das SAP-System und das SAP-Hostbetriebssystem so, dass ihre Einstellungen (z. B. die Zeitzone) übereinstimmen. Weitere Informationen finden Sie im SAP Community Wiki.

  4. Starten Sie den Container neu. Führen Sie Folgendes aus:

    docker start sapcon-[SID]
    

Sonstige unerwartete Fehler

Wenn unerwartete Probleme auftreten, die in diesem Artikel nicht aufgeführt sind, versuchen Sie Folgendes:

Tipp

Das Zurücksetzen Ihres Connectors und Sicherstellen, dass Sie über die neuesten Upgrades verfügen, wird auch nach größeren Konfigurationsänderungen empfohlen.

Erfahren Sie mehr über die Microsoft Sentinel-Lösung für SAP-Anwendungen:

Referenzdateien:

Weitere Informationen finden Sie unter Microsoft Sentinel-Lösungen.