Compartir a través de


Referencia de registro y tabla para la solución Microsoft Sentinel para aplicaciones SAP

En este artículo se describen los registros y tablas disponibles como parte de la solución microsoft Sentinel para aplicaciones de SAP y su conector de datos.

Algunos registros, que se indican en este artículo, no se envían a Microsoft Sentinel de forma predeterminada, pero puede agregarlos manualmente según sea necesario. Para obtener más información, consulte Definición de los registros de SAP que se envían a Microsoft Sentinel.

El contenido de este artículo está destinado a los equipos de SAP BASIS.

Importante

Algunos componentes de la solución de supervisión de amenazas de Microsoft Sentinel para SAP están actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Uso de funciones en las consultas en lugar de registros o tablas subyacentes

Se recomienda encarecidamente usar funciones disponibles como temas de su análisis siempre que sea posible, en lugar de los registros o tablas subyacentes.

Las funciones proporcionadas con la solución Microsoft Sentinel para aplicaciones SAP están diseñadas para servir como interfaz de usuario principal para los datos. Conforman la base de todas las reglas y libros de análisis integrados disponibles de forma integrada. El uso de funciones permite realizar cambios en la infraestructura de datos debajo de las funciones, sin interrumpir el contenido creado por el usuario.

Para más información, consulte Solución de Microsoft Sentinel para aplicaciones sap: referencia de funciones y Funciones en consultas de registro de Azure Monitor.

Cobertura de registros

La solución Microsoft Sentinel para aplicaciones sap recopila registros de las capas de aplicación, sistema operativo y datos, lo que proporciona una protección completa para el sistema SAP:

  • Capa de aplicación: Microsoft Sentinel supervisa las actividades dentro de la capa de ABAP, que es la capa de aplicación principal de los sistemas SAP, responsable de ejecutar la lógica de negocios y procesar transacciones. Por ejemplo, Microsoft Sentinel recopila registros que incluyen acciones de usuario como inicios de sesión, cambios de contraseña y acceso a informes o archivos.

    Además de la supervisión de seguridad, los registros recopilados en el nivel de aplicación también se pueden usar con fines de cumplimiento y auditoría.

  • Capa de sistema operativo: Microsoft Sentinel recopila registros del sistema operativo para proporcionar información sobre las actividades de nivel de sistema operativo, como desde el servidor ABAP y las máquinas virtuales en las que se ejecutan las aplicaciones de SAP.

    Use la solución Microsoft Sentinel para aplicaciones SAP junto con conectores de datos y contenido de seguridad para otros servicios para una supervisión completa y central, correlacionando información en todos los sistemas y mejorando la posición general de seguridad.

  • Capa de base de datos: ingiere registros de base de datos en Microsoft Sentinel para supervisar las actividades de base de datos, como las actividades de administración de bases de datos y los cambios en los datos de la tabla. La solución Microsoft Sentinel para aplicaciones SAP es independiente de la base de datos.

Todos los registros recopilados por el agente del conector de datos se almacenan primero en la máquina del agente del recopilador de datos, en /opt/sapcon/<sid>/log la carpeta de la instancia del contenedor. A continuación, los registros se reenvieron al área de trabajo de Log Analytics, donde puede ver, auditar y consultarlos desde Microsoft Sentinel.

Los registros de auditoría se recopilan e ingieren cada minuto, mientras que otros registros se pueden ingerir con menos frecuencia. Microsoft Sentinel también supervisa el latido del agente del conector de datos para asegurarse de que los registros se recopilan y envían al área de trabajo de Log Analytics.

Referencia de registro

En las secciones siguientes se describen los registros de SAP disponibles en la solución microsoft Sentinel para el conector de datos de aplicaciones de SAP, incluidos los nombres de tabla de Microsoft Sentinel, los propósitos de registro y los esquemas de registro detallados.

Las descripciones de los campos de los esquemas se basan en las descripciones de los campos de la documentación de SAP pertinente.

Registro de aplicaciones de ABAP

  • Función de Microsoft Sentinel para consultar este registro: SAPAppLog

  • Documentación de SAP relacionada: portal de ayuda de SAP

  • Fin del registro: registra el progreso de la ejecución de una aplicación para que pueda reconstruirla más adelante si fuera necesario.

    Disponible mediante RFC según la tabla SAP y los servicios estándar de la interfaz de XBP. Este registro se genera por cliente.

Esquema del registro ABAPAppLog_CL

Campo Descripción
AppLogDateTime Fecha y hora del registro de aplicaciones
CallbackProgram Programa de devolución de llamada
CallbackRoutine Rutina de devolución de llamada
CallbackType Tipo de devolución de llamada
ClientID Identificador de cliente de ABAP (MANDT)
ContextDDIC Estructura de DDIC de contexto
ExternalID Identificador de registro externo
administrador de flujos de trabajo administrador de flujos de trabajo
Instancia Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR>
InternalMessageSerial Serie de mensajes de registro de aplicaciones
LevelofDetail Nivel de detalle
LogHandle Manipulador de registro de aplicaciones
LogNumber Número de registro
MessageClass Clase Message
MessageNumber Número de mensaje
MessageText Texto del mensaje
MessageType Tipo de mensaje
Object Objeto registro de aplicaciones
OperationMode Modo de operación
ProblemClass Clase de problema
ProgramName Nombre de programa
SortCriterion Criterio de ordenación
StandardText Texto estándar
SubObject Objeto secundario del registro de aplicaciones
SystemID Identificador del sistema
SystemNumber Número del sistema
TransactionCode Código de transacción
Usuario Usuario
UserChange Cambio de usuario

Registro de documentos de cambio de ABAP

  • Función de Microsoft Sentinel para consultar este registro: SAPChangeDocsLog

  • Documentación de SAP relacionada: portal de ayuda de SAP

  • Fin del registro: registros:

    • ABAP del servidor de aplicaciones de SAP NetWeaver registra en los cambios en los objetos de datos empresariales en los documentos de los cambios.

    • Otras entidades del sistema SAP, como datos de usuario, roles o direcciones.

    Disponible mediante RFC según las tablas SAP estándar. Este registro se genera por cliente.

Esquema de registro ABAPChangeDocsLog_CL

Campo Descripción
ActualChangeNum Número de cambio real
ChangedTableKey Clave de tabla cambiada
ChangeNumber Número de cambio
ClientID Identificador de cliente de ABAP (MANDT)
CreatedfromPlannedChange Creado a partir de un cambio planeado, con la siguiente sintaxis: (‘X’ , ‘ ‘)
CurrencyKeyNew Clave de moneda: nuevo valor
CurrencyKeyOld Clave de moneda: valor anterior
FieldName Nombre del campo
FlagText Texto de la marca
administrador de flujos de trabajo administrador de flujos de trabajo
Instancia Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR>
Lenguaje Lenguaje
ObjectClass Clase de objeto, como BELEG, BPAR, PFCG, IDENTITY
ObjectID Identificador de objeto
PlannedChangeNum Número de cambio planeado
SystemID Identificador del sistema
SystemNumber Número del sistema
TableName Nombre de la tabla
TransactionCode Código de transacción
TypeofChange_Header Tipo de encabezado del cambio, lo que incluye:
U = Cambiar; I = Insertar; E = Eliminar documento individual; D = Eliminar; J = Insertar documento individual
TypeofChange_Item Tipo de elemento del cambio, lo que incluye:
U = Cambiar; I = Insertar; E = Eliminar documento individual; D = Eliminar; J = Insertar documento individual
UOMNew Unidad de medida: nuevo valor
UOMOld Unidad de medida: valor anterior
Usuario Usuario
ValueNew Contenido del campo: nuevo valor
ValueOld Contenido del campo: valor anterior
Versión Versión

Registro de CR de ABAP

  • Función de Microsoft Sentinel para consultar este registro: SAPCRLog

  • Documentación de SAP relacionada: portal de ayuda de SAP

  • Fin del registro: incluye los registros de Change & Transport System (CTS), incluidos los objetos de directorio y las personalizaciones en que se realizaron los cambios.

    Disponible mediante RFC según las tablas y los servicios SAP estándar. Este registro se genera con datos en todos los clientes.

Nota:

Además del registro de aplicaciones, los documentos de cambio y la grabación de tablas, todos los cambios que realice en el sistema de producción mediante Change & Transport System se documentan en los registros de CTS y TMS.

Esquema de registro ABAPCRLog_CL

Campo Descripción
Categoría Categoría (Workbench, Personalización)
ClientID Identificador de cliente de ABAP (MANDT)
Descripción Descripción
Host administrador de flujos de trabajo
Instancia Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR>
ObjectName Nombre del objeto
ObjectType Tipo de objeto
Propietario Propietario
Solicitud Solicitud de cambio
Estado Estado
SystemID Identificador del sistema
SystemNumber Número del sistema
TableKey Clave de tabla
TableName Nombre de la tabla
ViewName Nombre de la vista

Registro de datos de tabla de base de datos de ABAP (VERSIÓN PRELIMINAR)

Para que este registro se envíe a Microsoft Sentinel, debe agregarlo manualmente al archivo systemconfig.json. Este registro no se admite cuando se usa el procedimiento recomendado para instalar el agente del conector de datos desde el portal.

  • Función de Microsoft Sentinel para consultar este registro: SAPTableDataLog

  • Documentación de SAP relacionada: portal de ayuda de SAP

  • Fin del registro: proporciona registro para las tablas que son críticas o susceptibles a auditorías.

    Disponible mediante RFC con un servicio personalizado. Este registro se genera con datos en todos los clientes.

Esquema de registro ABAPTableDataLog_CL

Campo Descripción
DBLogID Id. de registro de base de datos
administrador de flujos de trabajo administrador de flujos de trabajo
Instancia Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR>
Lenguaje Lenguaje
LogKey Clave de registro
NewValue Nuevo valor del campo
OldValue Valor anterior del campo
OperationTypeSQL Tipo de operación, Insert, Update, Delete
Programa Nombre de programa
SystemID Identificador del sistema
SystemNumber Número del sistema
TableField Campo de tabla
TableName Nombre de la tabla
TransactionCode Código de transacción
UserName Usuario
VersionNumber Número de la versión

Registro de puerta de enlace de ABAP (VERSIÓN PRELIMINAR)

Para que este registro se envíe a Microsoft Sentinel, debe agregarlo manualmente al archivo systemconfig.json. Este registro no se admite cuando se usa el procedimiento recomendado para instalar el agente del conector de datos desde el portal.

  • Función de Microsoft Sentinel para consultar este registro: SAPOS_GW

  • Documentación de SAP relacionada: portal de ayuda de SAP

  • Fin del registro: supervisa las actividades de la puerta de enlace. Disponible por el servicio web de control de SAP. Este registro se genera con datos en todos los clientes.

Esquema de registro ABAPOS_GW_CL

Campo Descripción
Host administrador de flujos de trabajo
Instancia Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR>
MessageText Texto del mensaje
severity Gravedad del mensaje: Debug, Info, Warning, Error
SystemID Identificador del sistema
SystemNumber Número del sistema

Registro de ICM de ABAP (VERSIÓN PRELIMINAR)

Para que este registro se envíe a Microsoft Sentinel, debe agregarlo manualmente al archivo systemconfig.json. Este registro no se admite cuando se usa el procedimiento recomendado para instalar el agente del conector de datos desde el portal.

  • Función de Microsoft Sentinel para consultar este registro: SAPOS_ICM

  • Documentación de SAP relacionada: portal de ayuda de SAP

  • Fin del registro: registra las solicitudes entrantes y salientes, y compila las estadísticas de las solicitudes HTTP.

    Disponible por el servicio web de control de SAP. Este registro se genera con datos en todos los clientes.

Esquema de registro ABAPOS_ICM_CL

Campo Descripción
Host administrador de flujos de trabajo
Instancia Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR>
MessageText Texto del mensaje
severity Gravedad del mensaje, se incluyen: Debug, Info, Warning, Error
SystemID Identificador del sistema
SystemNumber Número del sistema

Registro de trabajos de ABAP

  • Función de Microsoft Sentinel para consultar este registro: SAPJobLog

  • Documentación de SAP relacionada: portal de ayuda de SAP

  • Propósito del registro: combina todos los registros de trabajos de procesamiento en segundo plano (SM37).

    Disponible mediante RFC según la tabla SAP y los servicios estándar de las interfaces de XBP. Este registro se genera con datos en todos los clientes.

Esquema de registro ABAPJobLog_CL

Campo Descripción
ABAPProgram Programa ABAP
BgdEventParameters Parámetros de eventos en segundo plano
BgdProcessingEvent Evento de procesamiento en segundo plano
ClientID Identificador de cliente de ABAP (MANDT)
DynproNumber Número de Dynpro
GUIStatus Estado de GUI
administrador de flujos de trabajo administrador de flujos de trabajo
Instancia Instancia de ABAP(HOST_SYSID_SYSNR), con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR>
JobClassification Clasificación del trabajo
JobCount Recuento de trabajos
JobGroup Grupo de trabajo
JobName Nombre del trabajo
JobPriority Prioridad del trabajo
MessageClass Clase Message
MessageNumber Número de mensaje
MessageText Texto del mensaje
MessageType Tipo de mensaje
ReleaseUser Usuario de versión del trabajo
SchedulingDateTime Fecha y hora de programación
StartDateTime Fecha y hora de inicio
SystemID Identificador del sistema
SystemNumber Número del sistema
TargetServer Servidor de destino
Usuario Usuario
UserReleaseInstance Instancia de ABAP: versión del usuario
WorkProcessID Identificador de proceso de trabajo
WorkProcessNumber Número de proceso de trabajo

Registro de auditoría de seguridad de ABAP

  • Función de Microsoft Sentinel para consultar este registro: SAPAuditLog

  • Documentación de SAP relacionada: portal de ayuda de SAP

  • Fin del registro: registra los siguientes datos:

    • Cambios relacionados con la seguridad en el entorno del sistema SAP, como por ejemplo, los cambios en los registros del usuario principal
    • Información que proporciona un mayor nivel de datos, como los intentos de inicio de sesión correctos e infructuosos
    • Información que permite la reconstrucción de una serie de eventos, como los inicios de transacciones correctos o incorrectos

    Disponible mediante el uso de interfaces XAL/SAL de RFC. SAL está disponible a partir de la versión Basis 7.50. Este registro se genera con datos en todos los clientes.

Esquema de registro ABAPAuditLog_CL

Campo Descripción
ABAPProgramName Nombre del programa, solo SAL
AlertSeverity Gravedad de la alerta
AlertSeverityText Texto de gravedad de alerta, solo SAL
AlertValue Valor de alerta
AuditClassID ID de clase de auditoría, solo SAL
ClientID Identificador de cliente de ABAP (MANDT)
Computer Equipo de usuario, solo SAL
Correo electrónico Correo electrónico del usuario
administrador de flujos de trabajo administrador de flujos de trabajo
Instancia Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR>
MessageClass Clase Message
MessageContainerID Identificador de contenedor de mensajes, solo XAL
MessageID Identificador de mensaje, como ‘AU1’,’AU2’…
MessageText Texto del mensaje
MonitoringObjectName Nombre de objeto MTE Monitor, solo XAL
MonitorShortName Nombre corto de MTE Monitor, solo XAL
SAPProcessType Registro del sistema: tipo de proceso de SAP, solo SAL
B*: procesamiento en segundo plano
D*: procesamiento de cuadros de diálogo
U*: Actualizar tareas
SAPWPName Registro del sistema: número de proceso de trabajo, solo SAL
SystemID Identificador del sistema
SystemNumber Número del sistema
TerminalIPv6 IP de la máquina del usuario, solo SAL
TransactionCode Código de transacción, solo SAL
Usuario Usuario
Variable1 Variable de mensaje 1
Variable2 Variable de mensaje 2
Variable3 Variable de mensaje 3
Variable4 Variable de mensaje 4

Registro de spool de ABAP

  • Función de Microsoft Sentinel para consultar este registro: SAPSpoolLog

  • Documentación de SAP relacionada: portal de ayuda de SAP

  • Propósito del registro: actúa como registro principal para la impresión de SAP con el historial de solicitudes de cola. (SP01).

    Disponible mediante RFC según la tabla SAP estándar. Este registro se genera con datos en todos los clientes.

Esquema de registro ABAPSpoolLog_CL

Campo Descripción
ArchiveStatus Estado de archivo
ArchiveType Tipo de archivo
ArchivingDevice Dispositivo de archivo
AutoRereoute Reenrutamiento automático
ClientID Identificador de cliente de ABAP (MANDT)
CountryKey Clave de país o región
DeleteSpoolRequestAuto Eliminación automática de la solicitud de spool
DelFlag Marca de eliminación
department department
DocumentType Tipo de documento
ExternalMode Modo externo
Tipo de formato Tipo de formato
administrador de flujos de trabajo administrador de flujos de trabajo
Instancia Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR>
NumofCopies Número de copias
OutputDevice Dispositivo de salida
PrinterLongName Nombre largo de impresora
PrintImmediately Imprimir inmediatamente
PrintOSCoverPage Imprimir página de OSCover
PrintSAPCoverPage Imprimir página de SAPCover
Priority Priority
RecipientofSpoolRequest Destinatario de solicitud de spool
SpoolErrorStatus Estado de error de spool
SpoolRequestCompleted Solicitud de spool completada
SpoolRequestisALogForAnotherRequest La solicitud de spool es un registro para otra solicitud
SpoolRequestName Nombre de solicitud de spool
SpoolRequestNumber Número de solicitud de spool
SpoolRequestSuffix1 Sufijo 1 de solicitud de spool
SpoolRequestSuffix2 Sufijo 2 de solicitud de spool
SpoolRequestTitle Título de solicitud de spool
SystemID Identificador del sistema
SystemNumber Número del sistema
TelecommunicationsPartner Asociado de telecomunicaciones
TelecommunicationsPartnerE Asociado de telecomunicaciones E
TemSeGeneralcounter Contador de Temse
TemseNumAddProtectionRule Regla de protección de adición de número de Temse
TemseNumChangeProtectionRule Regla de protección de cambio de número de Temse
TemseNumDeleteProtectionRule Regla de protección de eliminación de número de Temse
TemSeObjectName Nombre de objeto de Temse
TemSeObjectPart Parte de objeto de TemSe
TemseReadProtectionRule Regla de protección de lectura de Temse
Usuario Usuario
ValueAuthCheck Comprobación de autenticación de valor

Registro de salida de spool de APAB

  • Función de Microsoft Sentinel para consultar este registro: SAPSpoolOutputLog

  • Documentación de SAP relacionada: portal de ayuda de SAP

  • Fin del registro: sirve como registro principal para la impresión de SAP con el historial de solicitudes de salida del spool. (SP02).

    Disponible mediante RFC con un servicio personalizado basado en tablas estándar. Este registro se genera con datos en todos los clientes.

Esquema de registro ABAPSpoolOutputLog_CL

Campo Descripción
AppServer Servidor de aplicaciones
ClientID Identificador de cliente de ABAP (MANDT)
Comentario Comentario
CopyCount Número de copias
CopyCounter Contador de copias
department department
ErrorSpoolRequestNumber Número de solicitud de error
Tipo de formato Tipo de formato
administrador de flujos de trabajo administrador de flujos de trabajo
HostName Nombre de host
HostSpoolerID Identificador de spooler de host
Instancia Instancia de ABAP
LastPage Última página
NumofCopies Número de copias
OutputDevice Dispositivo de salida
OutputRequestNumber Número de solicitud de salida
OutputRequestStatus Estado de solicitud de salida
PhysicalFormatType Tipo de formato físico
PrinterLongName Nombre largo de impresora
PrintRequestSize Tamaño de solicitud de impresión
Priority Priority
ReasonforOutputRequest Razón de solicitud de salida
RecipientofSpoolRequest Destinatario de solicitud de spool
SpoolNumberofOutputReqProcessed Número de solicitudes de salida: procesadas
SpoolNumberofOutputReqWithErrors Número de solicitudes de salida: con errores
SpoolNumberofOutputReqWithProblems Número de solicitudes de salida: con problemas
SpoolRequestNumber Número de solicitud de spool
StartPage Página de inicio
SystemID Identificador del sistema
SystemNumber Número del sistema
TelecommunicationsPartner Asociado de telecomunicaciones
TemSeGeneralcounter Contador de Temse
Título Título
Usuario Usuario

Syslog de ABAP

Para que este registro se envíe a Microsoft Sentinel, debe agregarlo manualmente al archivo systemconfig.json. Este registro no se admite cuando se usa el procedimiento recomendado para instalar el agente del conector de datos desde el portal.

  • Función de Microsoft Sentinel para consultar este registro: SAPOS_Syslog

  • Documentación de SAP relacionada: portal de ayuda de SAP

  • Fin del registro: registra todos los errores del sistema ABAP, advertencias, bloqueos de usuario debido a intentos de inicio de sesión con errores de usuarios conocidos y mensajes de proceso del servidor de aplicaciones de SAP NetWeaver (SAP NetWeaver AS).

    Disponible por el servicio web de control de SAP. Este registro se genera con datos en todos los clientes.

Esquema de registro ABAPOS_Syslog_CL

Campo Descripción
ClientID Identificador de cliente de ABAP (MANDT)
administrador de flujos de trabajo administrador de flujos de trabajo
Instancia Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR>
MessageNumber Número de mensaje
MessageText Texto del mensaje
severity Gravedad del mensaje, uno de los siguientes valores: Debug, Info, Warning, Error
SystemID Identificador del sistema
SystemNumber Número del sistema
TransactionCode Código de transacción
Tipo Tipo de proceso de SAP
Usuario Usuario

Registro de flujo de trabajo de ABAP

  • Función de Microsoft Sentinel para consultar este registro: SAPWorkflowLog

  • Documentación de SAP relacionada: portal de ayuda de SAP

  • Fin del registro: SAP Business Workflow (motor de WebFlow) permite definir procesos empresariales que aún no están asignados en el sistema SAP.

    Por ejemplo, los procesos empresariales no asignados pueden ser procedimientos de aprobación o liberación sencillos, o procesos empresariales más complejos, como crear material base y, a continuación, coordinar los departamentos asociados.

    Disponible mediante RFC según las tablas SAP estándar. Este registro se genera por cliente.

Esquema de registro ABAPWorkflowLog_CL

Campo Descripción
ActualAgent Agente real
Dirección Dirección
ApplicationArea Área de aplicación
CallbackFunction Función de devolución de llamada
ClientID Identificador de cliente de ABAP (MANDT)
CreationDateTime Fecha y hora de creación
Creador Creador
CreatorAddress Dirección de creador
ErrorType Tipo de error
ExceptionforMethod Excepción del método
administrador de flujos de trabajo administrador de flujos de trabajo
Instancia Instancia de ABAP(HOST_SYSID_SYSNR), con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR>
Lenguaje Lenguaje
LogCounter Contador de registros
MessageNumber Número de mensaje
MessageType Tipo de mensaje
MethodUser Usuario del método
Priority Priority
SimpleContainer Contenedor simple, empaquetado como una lista de entidades clave-valor para el elemento de trabajo
Estado Estado
SuperWI Súper elemento de trabajo
SystemID Identificador del sistema
SystemNumber Número del sistema
TaskID Identificador de tarea
TasksClassification Clasificaciones de tareas
TaskText Texto de tarea
TopTaskID Identificador de tarea principal
UserCreated Creado por el usuario
WIText Texto de elemento de trabajo
WIType Tipo de elemento de trabajo
WorkflowAction Acción Workflow
WorkItemID Id. de elemento de trabajo

Registro de proceso de trabajo de ABAP

Para que este registro se envíe a Microsoft Sentinel, debe agregarlo manualmente al archivo systemconfig.json. Este registro no se admite cuando se usa el procedimiento recomendado para instalar el agente del conector de datos desde el portal.

  • Función de Microsoft Sentinel para consultar este registro: SAPOS_WP

  • Documentación de SAP relacionada: portal de ayuda de SAP

  • Fin del registro: combina todos los registros de procesos de trabajo. (valor predeterminado: dev_*).

    Disponible por el servicio web de control de SAP. Este registro se genera con datos en todos los clientes.

Esquema de registro ABAPOS_WP_CL

Campo Descripción
Host administrador de flujos de trabajo
Instancia Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR>
MessageText Texto del mensaje
severity Gravedad del mensaje: Debug, Info, Warning, Error
SystemID Identificador del sistema
SystemNumber Número del sistema
WPNumber Número de proceso de trabajo

Registro de auditoría de base de datos de HANA

Recopilar el registro de seguimiento de auditoría de base de datos de HANA es un ejemplo de cómo Microsoft Sentinel recopila actividades de capa de base de datos. Para que este registro se envíe a Microsoft Sentinel, debe implementar el agente de Azure Monitor para recopilar datos de Syslog de la máquina que ejecuta HANA DB.

  • Función de Microsoft Sentinel para consultar este registro: SAPSyslog

  • Documentación de SAP relacionada: General | Registro de auditoría

  • Fin del registro: registra las acciones del usuario o las acciones intentadas en la base de datos de SAP HANA. Por ejemplo, permite registrar y supervisar el acceso de lectura a datos confidenciales.

    Disponible por el agente linux de Microsoft Sentinel para Syslog. Este registro se genera con datos en todos los clientes.

Esquema de registro de Syslog

Campo Descripción
Computer Nombre de host
HostIP IP de host
HostName Nombre de host
ProcessID Identificador del proceso
ProcessName Nombre del proceso: HDB*
SeverityLevel Alerta
SourceSystem Sistema operativo del sistema de origen, Linux
SyslogMessage Mensaje, un mensaje de registro de auditoría no analizado

Archivos JAVA

Para que este registro se envíe a Microsoft Sentinel, debe agregarlo manualmente al archivo systemconfig.json. Este registro no se admite cuando se usa el procedimiento recomendado para instalar el agente del conector de datos desde el portal.

  • Función de Microsoft Sentinel para consultar este registro: SAPJAVAFilesLogs

  • Documentación de SAP relacionada: General | Registro de auditoría de seguridad de Java

  • Fin del registro: combina todos los registros basados en archivos de Java, incluidos el registro de auditoría de seguridad y los registros del sistema (proceso de clúster y servidor), de rendimiento y de puerta de enlace. También incluye los registros de seguimientos para desarrolladores y de seguimiento predeterminado.

    Disponible por el servicio web de control de SAP. Este registro se genera con datos en todos los clientes.

Esquema de registro de JavaFilesLogsCL

Campo Descripción
Application Aplicación Java
ClientID Id. de cliente
CSNComponent Componente CSN, como BC-XI-IBD
DCComponent Componente DC, como com.sap.xi.util.misc
DSRCounter Contador de DSR
DSRRootContentID GUID de contexto de DSR
DSRTransaction GUID de transacción de DSR
administrador de flujos de trabajo administrador de flujos de trabajo
Instancia Instancia de Java, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR>
Location Clase de Java
LogName LogName de Java, como: Available,defaulttrace, dev*, security, etc.
MessageText Texto del mensaje
MNo Número de mensaje
Pid Identificador del proceso
Programa Nombre de programa
Sesión Sesión
severity Gravedad del mensaje, se incluyen: Debug, Info, Warning, Error
Solución Solución
SystemID Identificador del sistema
SystemNumber Número del sistema
ThreadName Nombre del subproceso
Thrown Se inicia una excepción
TimeZone Zona horaria
Usuario Usuario

Registro de latidos de SAP

  • Función de Microsoft Sentinel para consultar este registro: SAPConnectorHealth

  • Propósito del registro: proporciona información de los latidos y otros datos de estado sobre la conectividad entre los agentes y los distintos sistemas de SAP.

    Se crea automáticamente para cualquier agente del conector de datos de Microsoft Sentinel para SAP.

Esquema de registro SAP_HeartBeat_CL

Campo Descripción
TimeGenerated Hora del evento de publicación del registro
agent_id_s Identificador de agente en la configuración del agente (generado automáticamente)
agent_ver_s Versión del agente
host_s Nombre de host del agente
system_id_s Id. del sistema Netweaver ABAP /
Host Netweaver SAPControl (versión preliminar) /
Host Java SAPControl (versión preliminar)
push_timestamp_d Marca de tiempo de la extracción, según la zona horaria del agente
agent_timezone_s Zona horaria del agente

Referencia de tablas recuperadas directamente desde sistemas SAP

En esta sección se enumeran las tablas de datos que se recuperan directamente del sistema SAP y se ingieren en Microsoft Sentinel exactamente como están.

Los datos recuperados de estas tablas proporcionan una vista clara de la estructura de autorización, la pertenencia a grupos y los perfiles de usuario. También permiten supervisar el proceso de concesiones y revocaciones de autorización, e identificar y controlar los riesgos asociados a esos procesos.

Las tablas presentadas a continuación son necesarias para habilitar las funciones que identifican a los usuarios con privilegios y asignan usuarios a roles, grupos y autorizaciones.

Para obtener los mejores resultados, consulte estas tablas con el nombre de la columna nombre de función de Microsoft Sentinel en la tabla siguiente:

Nombre de la tabla Descripción de la tabla Nombre de la función de Microsoft Sentinel
USR01 Registro maestro de usuario (datos de runtime) SAP_USR01
USR02 Datos de inicio de sesión (uso del lado kernel) SAP_USR02
UST04 Maestros de usuario
Asigna usuarios a perfiles
SAP_UST04
AGR_USERS Asignación de roles a usuarios SAP_AGR_USERS
AGR_1251 Datos de autorización para el grupo de actividad SAP_AGR_1251
USGRP_USER Asignación de usuarios a grupos de usuarios SAP_USGRP_USER
USR21 Asignación de clave de nombre de usuario/dirección SAP_USR21
ADR6 Direcciones de correo electrónico (servicios de direcciones empresariales) SAP_ADR6
USRSTAMP Marca de tiempo para todos los cambios en el usuario SAP_USRSTAMP
ADCP Asignación de persona/dirección (servicios de dirección empresarial) SAP_ADCP
USR05 Identificador del parámetro maestro de usuario SAP_USR05
AGR_PROF Nombre del perfil para el rol SAP_AGR_PROF
AGR_FLAGS Atributos de rol SAP_AGR_FLAGS
DEVACCESS Tabla para el usuario de desarrollo SAP_DEVACCESS
AGR_DEFINE Definición de roles SAP_AGR_DEFINE
AGR_AGRS Roles en roles compuestos SAP_AGR_AGRS
PAHI Historial de los parámetros de SAP, el sistema y la base de datos SAP_PAHI
SNCSYSACL (PREVIEW) Lista de control de acceso (ACL) de SNC: Sistemas SAP_SNCSYSACL
USRACL (PREVIEW) Lista de control de acceso (ACL) de SNC: Usuario SAP_USRACL

Para más información, vea: