Problembehandlung bei der Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen
Dieser Artikel enthält Schritte zur Problembehandlung, mit denen Sie eine genaue und zeitnahe Datenerfassung und -überwachung für Ihre SAP-Umgebung mit Microsoft Sentinel und dem Datenconnector-Agent sicherstellen können.
Ausgewählte Problembehandlungsverfahren sind nur relevant, wenn Ihr Datenconnector-Agent über die Befehlszeile bereitgestellt wird. Wenn Sie das empfohlene Verfahren verwendet haben, um den Agent aus dem Portal bereitzustellen, verwenden Sie das Portal, um Konfigurationsänderungen vorzunehmen.
Hinweis
Dieser Artikel ist nur für den Datenconnector-Agent relevant, nicht für die SAP-Lösung ohne Agent (eingeschränkte Vorschau).
Nützliche Docker-Befehle
Bei der Problembehandlung des Microsoft Sentinel für SAP-Datenconnectors können die folgenden Befehle nützlich sein:
Funktion | Befehl |
---|---|
Beenden des Docker-Containers | docker stop sapcon-[SID] |
Starten des Docker-Containers | docker start sapcon-[SID] |
Anzeigen von Docker-Systemprotokollen | docker logs -f sapcon-[SID] |
Aufrufen des Docker-Containers | docker exec -it sapcon-[SID] bash |
Weitere Informationen finden Sie in der Dokumentation zur Docker CLI.
Überprüfen von Systemprotokollen
Es wird dringend empfohlen, die Systemprotokolle nach dem Installieren oder Zurücksetzen des Datenconnectors zu überprüfen.
Führen Sie Folgendes aus:
docker logs -f sapcon-[SID]
So aktivieren Sie die Debugmodusausgabe
Dieses Verfahren wird nur unterstützt, wenn Sie den Datenconnector-Agent über die Befehlszeile bereitgestellt haben.
Bearbeiten Sie auf Ihrem VM mit dem Container für den Datensammler-Agent die Datei /opt/sapcon/[SID]/systemconfig.json.
Definieren Sie den Abschnitt Allgemein, wenn er zuvor noch nicht definiert wurde. Definieren Sie in diesem Abschnitt
logging_debug = True
, um die Ausgabe im Debugmodus zu aktivieren, oderlogging_debug = False
, um sie zu deaktivieren.Zum Beispiel:
[General] logging_debug = True
Speichern Sie die Datei .
Die Änderung wird etwa zwei Minuten nach dem Speichern der Datei wirksam. Sie brauchen den Docker-Container nicht neu zu starten.
Anzeigen aller Containerausführungsprotokolle
Connectorausführungsprotokolle für die Bereitstellung des Datenconnectors für Ihre Microsoft Sentinel-Lösung für SAP-Anwendungen werden auf Ihrer VM unter /opt/sapcon/[SID]/log/ gespeichert. Der Protokolldateiname lautet OmniLog.log. Es wird ein Verlauf der Protokolldateien mit der Endung .[Zahl] gespeichert, z. B. OmniLog.log.1, OmniLog.log.2 usw.
Überprüfen und Aktualisieren der Konfigurationsdatei des Microsoft Sentinel für SAP-Agent-Connectors
Dieses Verfahren wird nur unterstützt, wenn Sie den Datenconnector-Agent über die Befehlszeile bereitgestellt haben. Wenn Sie Ihren Agent über das Portal bereitgestellt haben, können Sie die Konfigurationseinstellungen weiterhin über das Portal verwalten und ändern.
Wenn Sie über die Befehlszeile bereitgestellt haben, führen Sie die folgenden Schritte aus:
Öffnen Sie auf Ihrer VM die Konfigurationsdatei sapcon/[SID]/systemconfig.json.
Aktualisieren Sie die Konfiguration bei Bedarf und speichern Sie die Datei. Weitere Informationen finden Sie unter Microsoft Sentinel-Lösung für SAP-Anwendungen
systemconfig.json
Dateireferenz.
Die Änderung wird etwa zwei Minuten nach dem Speichern der Datei wirksam. Sie brauchen den Docker-Container nicht neu zu starten.
Zurückstellen des Microsoft Sentinel für SAP-Datenconnectors
Mit den folgenden Schritten werden der Connector zurückgesetzt und die SAP-Protokolle der letzten 30 Minuten erneut erfasst.
Beenden Sie den Connector. Führen Sie Folgendes aus:
docker stop sapcon-[SID]
Löschen Sie die Datei metadata.db aus dem Verzeichnis /opt/sapcon/[SID]. Führen Sie Folgendes aus:
cd /opt/sapcon/<SID> rm metadata.db
Hinweis
Die Datei metadata.db enthält den letzten Zeitstempel jedes Protokolls und verhindert Duplizierung.
Starten Sie den Connector neu. Führen Sie Folgendes aus:
docker start sapcon-[SID]
Überprüfen Sie die Systemprotokolle, wenn Sie fertig sind.
Häufige Probleme
Nachdem Sie sowohl den Microsoft Sentinel für SAP-Datenconnector als auch Sicherheitsinhalte bereitgestellt haben, können die folgenden Fehler oder Probleme auftreten:
Beschädigte oder fehlende SAP SDK-Datei
Dieser Fehler tritt möglicherweise auf, wenn der Connector nicht mit PyRfc gestartet werden kann oder ZIP-bezogene Fehlermeldungen angezeigt werden.
- Installieren Sie das SAP SDK neu.
- Stellen Sie sicher, dass Sie die richtige 64-Bit-Version für Linux verwenden, z. B. nwrfc750P_8-70002752.zip.
Wenn Sie den Datenconnector manuell installiert haben, stellen Sie sicher, dass Sie die SDK-Datei in den Docker-Container kopiert haben.
Führen Sie Folgendes aus:
docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/
ABAP-Laufzeitfehler werden in großem System gemeldet
Dieses Verfahren wird nur unterstützt, wenn Sie den Datenconnector-Agent über die Befehlszeile bereitgestellt haben.
Wenn ABAP Laufzeitfehler in großen Systemen gemeldet werden, versuchen Sie, eine kleinere Blockgröße festzulegen:
Bearbeiten Sie die Datei /opt/sapcon/[SID]/systemconfig.json, und definieren Sie
timechunk = 5
im Abschnitt zur Connectorkonfiguration.Zum Beispiel:
[Connector Configuration] timechunk = 5
Speichern Sie die Datei .
Die Änderung wird etwa zwei Minuten nach dem Speichern der Datei wirksam. Sie brauchen den Docker-Container nicht neu zu starten.
Hinweis
Die Größe von timechunk wird in Minuten angegeben.
Leeres oder nicht abgerufenes Überwachungsprotokoll ohne spezielle Fehlermeldungen
- Prüfen Sie, ob die Überwachungsprotokollierung in SAP aktiviert ist.
- Überprüfen Sie die Transaktionen SM19 oder RSAU_CONFIG.
- Aktivieren Sie nach Bedarf alle Ereignisse.
- Überprüfen Sie, ob Nachrichten in SAP SM20 oder RSAU_READ_LOG eingehen und vorhanden sind, ohne dass im Connectorprotokoll spezielle Fehler angezeigt werden.
Falsche Arbeitsbereichs-ID oder falscher Schlüssel im Schlüsseltresor
Wenn Sie feststellen, dass Sie eine falsche Arbeitsbereichs-ID oder einen falschen Schlüssel in Ihr Bereitstellungsskript eingegeben haben, aktualisieren Sie die in Azure Key Vault gespeicherten Anmeldeinformationen.
Starten Sie den Container neu, nachdem Sie Ihre Anmeldeinformationen in Azure KeyVault überprüft haben:
docker restart sapcon-[SID]
Falsche SAP ABAP-Benutzeranmeldeinformationen in Schlüsseltresor
Überprüfen Sie Ihre Anmeldeinformationen, und korrigieren Sie sie ggf., indem Sie in Azure Key Vault die richtigen Werte für ABAPUSER und ABAPPASS anwenden.
Starten Sie den Container anschließend neu:
docker restart sapcon-[SID]
Falsche SAP ABAP-Benutzeranmeldeinformationen in einer festen Konfiguration
Dieser Abschnitt wird nur unterstützt, wenn Sie den Datenconnector-Agent über die Befehlszeile bereitgestellt haben.
Eine feste Konfiguration liegt vor, wenn das Kennwort direkt in der Konfigurationsdatei systemconfig.json gespeichert wird.
Wenn Ihre Anmeldeinformationen dort falsch sind, überprüfen Sie Ihre Anmeldeinformationen.
Verwenden Sie die base64-Verschlüsselung, um Benutzer und Kennwort zu verschlüsseln. Sie können Tools für die Onlineverschlüsselung verwenden, um Ihre Anmeldeinformationen zu verschlüsseln, beispielsweise https://www.base64encode.org/.
Fehlende Berechtigungen für ABAP (SAP-Benutzer)
Wenn sie eine Fehlermeldung wie die folgende erhalten: ... Fehlende Backend-RFC-Autorisierung..., wurden Ihre SAP-Autorisierungen und Ihre SAP-Rolle nicht ordnungsgemäß zugeordnet.
Stellen Sie sicher, dass die Rolle MSFTSEN/SENTINEL_CONNECTOR im Rahmen eines Change Request-Transports importiert und dem Connectorbenutzer zugeordnet wurde.
Führen Sie den Prozess für Rollengenerierung und Benutzervergleich mithilfe der SAP-Transaktion PFCG aus.
Fehlende Daten in Ihrer Arbeitsmappe oder Ihren Warnungen
Wenn Sie feststellen, dass in Ihren Microsoft Sentinel-Arbeitsmappen oder -Warnungen Daten fehlen, stellen Sie sicher, dass die Auditlog-Richtlinie auf SAP-Seite ordnungsgemäß aktiviert ist und die Protokolldatei des Containers keine Fehler enthält.
Verwenden Sie die Transaktion RSAU_CONFIG_LOG für diesen Schritt.
Weitere Informationen finden Sie in der SAP-Dokumentation und unter Erfassen von SAP HANA-Überwachungsprotokollen in Microsoft Sentinel.
Es wird empfohlen, die Überwachung für alle Nachrichten vom Überwachungsprotokoll statt nur für bestimmte Protokolle zu konfigurieren. Die Kostenunterschiede bei der Erfassung sind im Allgemeinen minimal, die Daten sind aber nützlich für Microsoft Sentinel-Erkennungen und der Untersuchung und dem Hunting nach einer Kompromittierung. Weitere Informationen finden Sie unter Konfigurieren der SAP-Überwachung.
IP-Adress- oder Transaktionscodefelder fehlen im SAP-Überwachungsprotokoll
In SAP-Systemen mit Versionen für SAP BASIS 7.5 SP12 und höher zeigt Microsoft Sentinel möglicherweise zusätzliche Felder in den Tabellen ABAPAuditLog_CL
und SAPAuditLog
an.
Wenn Sie höhere SAP BASIS-Versionen als 7.5 SP12 verwenden und IP-Adress- oder Transaktionscodefelder im SAP-Überwachungsprotokoll fehlen, überprüfen Sie, ob das SAP-System, aus dem Sie die Daten extrahieren, die relevanten Änderungsanforderungen (Transporte) enthält. Weitere Informationen finden Sie unter Konfigurieren der Unterstützung für zusätzliche Datenabrufe (empfohlen).
Fehlender SAP Change Request
Wenn Fehler angezeigt werden, dass ein erforderlicher SAP Change Request fehlt, stellen Sie sicher, dass Sie den richtigen SAP Change Request für Ihr System importiert haben. Weitere Informationen finden Sie unter SAP-Voraussetzungen und Konfigurieren Ihres SAP-Systems für die Microsoft Sentinel-Lösung.
Im SAP-Tabellendatenprotokoll werden keine Daten angezeigt.
In SAP-Systemen mit Versionen für SAP BASIS 7.5 SP12 und höher zeigt Microsoft Sentinel möglicherweise Protokolländerungen an Tabellendaten in der Tabelle ABAPTableDataLog_CL
an.
Wenn in der Tabelle ABAPTableDataLog_CL
keine Daten angezeigt werden, überprüfen Sie, ob das SAP-System, aus dem Sie die Daten extrahieren, die relevanten Änderungsanforderungen (Transporte) enthält. Weitere Informationen finden Sie unter Konfigurieren der Unterstützung für zusätzliche Datenabrufe (empfohlen).
Keine Datensätze / verspätete Datensätze
Der Datensammler-Agent benötigt für die korrekte Funktion Zeitzoneninformationen. Wenn Sie feststellen, dass es keine Datensätze in den SAP-Überwachungs- und -Änderungsprotokollen gibt oder wenn Datensätze ständig einige Stunden veraltet sind, überprüfen Sie, ob der SAP-Bericht TZCUSTHELP Fehler enthält. Weitere Informationen finden Sie im SAP-Hinweis 481835.
Es kann auch Probleme mit der Uhr auf der VM geben, auf der der Container mit dem Datensammler-Agent gehostet wird. Jede Abweichung von der Uhr auf der VM von der UTC-Zeit wirkt sich auf die Datensammlung aus. Noch wichtiger ist, dass die Uhren sowohl auf den SAP-Systemcomputern als auch auf den Datensammlercomputern synchron sein müssen.
Es wird empfohlen, die Überwachung für alle Nachrichten vom Überwachungsprotokoll statt nur für bestimmte Protokolle zu konfigurieren. Die Kostenunterschiede bei der Erfassung sind im Allgemeinen minimal, die Daten sind aber nützlich für Microsoft Sentinel-Erkennungen und der Untersuchung und dem Hunting nach einer Kompromittierung. Weitere Informationen finden Sie unter Konfigurieren der SAP-Überwachung.
Probleme mit der Netzwerkkonnektivität
Wenn Probleme mit der Netzwerkkonnektivität mit der SAP-Umgebung oder Microsoft Sentinel auftreten, überprüfen Sie Ihre Netzwerkkonnektivität, um sicherzustellen, dass der Datenfluss den Erwartungen entspricht.
Häufige Probleme sind beispielweise:
Firewalls zwischen dem Docker-Container und den SAP-Hosts blockieren möglicherweise den Datenverkehr. Der SAP-Host empfängt Kommunikationen über die folgenden TCP-Ports, die offen sein müssen: 32xx, 5xx13 und 33xx. xx steht hierbei für die SAP-Instanznummer.
Für die ausgehende Kommunikation von Ihrem SAP-Agent-Host zur Microsoft Container Registry oder Azure ist eine Proxykonfiguration erforderlich. Dies wirkt sich in der Regel auf die Installation aus und führt dazu, dass Sie die Umgebungsvariablen
HTTP_PROXY
undHTTPS_PROXY
konfigurieren müssen. Sie können Umgebungsvariablen auch bei der Erstellung des Docker-Containers in selbigem erfassen, indem Sie dem Docker-Befehlcreate
/run
das Flag-e
hinzufügen.
Fehler beim Abrufen eines Überwachungsprotokolls mit Warnungen
Dieser Abschnitt wird nur unterstützt, wenn Sie den Datenconnector-Agent über die Befehlszeile bereitgestellt haben.
Wenn Sie versuchen, ein Überwachungsprotokoll ohne die erforderlichen Konfigurationen abzurufen und der Prozess mit Warnungen fehlschlägt, vergewissern Sie sich, dass des SAP-Überwachungsprotokoll mit einer der folgenden Methoden abgerufen werden kann:
- Verwenden eines Kompatibilitätsmodus namens XAL in älteren Versionen
- Verwenden einer Version, die nicht kürzlich gepatcht wurde
- Ohne Änderungen für die Herstellung einer Verbindung mit dem Microsoft Sentinel-Datenconnector-Agent. Weitere Informationen finden Sie unter Konfigurieren Ihres SAP-Systems für die Microsoft Sentinel-Lösung.
Eigentlich sollte Ihr System bei Bedarf automatisch in den Kompatibilitätsmodus wechseln, aber u. U. müssen Sie die Umstellung manuell vornehmen. So stellen Sie manuell auf den Kompatibilitätsmodus um
Bearbeiten Sie die Datei /opt/sapcon/[SID]/systemconfig.json.
Definieren Sie im Abschnitt Connectorkonfiguration Folgendes:
auditlogforcexal = True
Beispiel:
[Connector Configuration] auditlogforcexal = True
Speichern Sie die Datei .
Die Änderung wird etwa zwei Minuten nach dem Speichern der Datei wirksam. Sie brauchen den Docker-Container nicht neu zu starten.
SAPCONTROL- oder JAVA-Subsysteme können keine Verbindung herstellen
Prüfen Sie, ob der Betriebssystembenutzer gültig ist und auf dem SAP-Zielsystem den folgenden Befehl ausführen kann:
sapcontrol -nr <SID> -function GetSystemInstanceList
Fehler beim SAPCONTROL- oder JAVA-Subsystem mit zeitzonenbezogener Fehlermeldung
Wenn Ihr SAPCONTROL- oder JAVA-Subsystem mit einer zeitzonenbezogenen Fehlermeldung ausfällt, z. B.: Überprüfen Sie die Konfiguration und den Netzwerkzugriff auf den SAP-Server – „Etc/NZST“ , stellen Sie sicher, dass Sie Standardcodes für Zeitzonen verwenden.
Verwenden Sie beispielsweise javatz = GMT+12
oder abaptz = GMT-3**
.
Überwachungsprotokolldaten werden nach dem ersten Laden nicht erfasst
Wenn die SAP-Überwachungsprotokolldaten aus den Transaktionen RSAU_READ_LOAD oder SM200 nach dem ersten Ladevorgang nicht in Microsoft Sentinel erfasst werden, liegt möglicherweise eine Fehlkonfiguration des SAP-Systems und des SAP-Hostbetriebssystems vor.
- Die ersten Ladevorgänge werden nach einer Neuinstallation des Microsoft Sentinel für SAP-Datenconnectors oder nach dem Löschen der Datei metadata.db ausgeführt.
- Eine falsche Konfiguration kann beispielsweise vorliegen, wenn die Zeitzone für Ihr SAP-System in der Transaktion STZAC auf CET festgelegt ist, aber die Zeitzone für das SAP-Hostbetriebssystem UTC lautet.
Führen Sie den Bericht RSDBTIME in der Transaktion SE38 aus, um nach Fehlkonfigurationen zu suchen. Wenn Sie einen Konflikt zwischen dem SAP-System und dem SAP-Hostbetriebssystem feststellen, gehen Sie folgendermaßen vor:
Beenden Sie den Docker-Container. Ausführen
docker stop sapcon-[SID]
Löschen Sie die Datei metadata.db aus dem Verzeichnis /opt/sapcon/[SID]. Führen Sie Folgendes aus:
rm /opt/sapcon/[SID]/metadata.db
Aktualisieren Sie das SAP-System und das SAP-Hostbetriebssystem so, dass ihre Einstellungen (z. B. die Zeitzone) übereinstimmen. Weitere Informationen finden Sie im SAP Community Wiki.
Starten Sie den Container neu. Führen Sie Folgendes aus:
docker start sapcon-[SID]
Sonstige unerwartete Fehler
Wenn unerwartete Probleme auftreten, die in diesem Artikel nicht aufgeführt sind, versuchen Sie Folgendes:
- Zurücksetzen des Connectors und erneutes Laden der Protokolle
- Upgraden Sie den Connector auf die aktuelle Version.
Tipp
Das Zurücksetzen Ihres Connectors und Sicherstellen, dass Sie über die neuesten Upgrades verfügen, wird auch nach größeren Konfigurationsänderungen empfohlen.
Zugehöriger Inhalt
Erfahren Sie mehr über die Microsoft Sentinel-Lösung für SAP-Anwendungen:
- Microsoft Sentinel-Lösung für SAP-Anwendungen bereitstellen
- Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen
- Konfigurieren Ihres SAP-Systems für die Microsoft Sentinel-Lösung
- Bereitstellen des Lösungsinhalts aus dem Inhaltshub
- Verbinden Ihres SAP-Systems durch Bereitstellen des Containers mit dem Datenconnector-Agent
- Erfassen von SAP HANA-Überwachungsprotokollen
Referenzdateien:
- Lösungsdatenreferenz für die Microsoft Sentinel-Lösung für SAP-Anwendungen
- Microsoft Sentinel-Lösung für SAP-Anwendungen: Referenz zu Sicherheitsinhalten
- Referenz zum Kickstartskript
- Referenz zum Updateskript
- Microsoft Sentinel-Lösung für SAP-Anwendungen
systemconfig.json
Dateireferenz
Weitere Informationen finden Sie unter Microsoft Sentinel-Lösungen.