Compartir a través de

Solución de problemas de implementación de aplicaciones de Solución Microsoft Sentinel para SAP

  • Artículo
  • Se aplica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

En este artículo se incluyen los pasos de solución de problemas que le ayudarán a garantizar la ingesta y supervisión oportunas de datos para su entorno de SAP con Microsoft Sentinel y el agente del conector de datos.

Los procedimientos de solución de problemas seleccionados solo son pertinentes cuando el agente del conector de datos se implementa a través de la línea de comandos. Si ha usado el procedimiento recomendado para implementar el agente desde el portal, use el portal para realizar cambios de configuración.

Nota:

Este artículo solo es relevante para el agente del conector de datos y no es relevante para la solución sin agente de SAP (versión preliminar limitada).

Comandos útiles de Docker

Para solucionar problemas del conector de datos de Microsoft Sentinel para SAP, puede que le resulten útiles los siguientes comandos:

Función Comando
Detención del contenedor de Docker docker stop sapcon-[SID]
Inicio del contenedor de Docker docker start sapcon-[SID]
Visualización de los registros del sistema de Docker docker logs -f sapcon-[SID]
Especificación del contenedor de Docker docker exec -it sapcon-[SID] bash

Para más información, consulte la documentación sobre la CLI de Docker.

Revisión de registros del sistema

Es muy recomendable que revise los registros del sistema después de instalar o restablecer el conector de datos.

Ejecute:

docker logs -f sapcon-[SID]

Habilitación o deshabilitación de la impresión en modo de depuración

Este procedimiento solo se admite si ha implementado el agente del conector de datos desde la línea de comandos.

  1. En la máquina virtual contenedora del agente del recopilador de datos, edite el archivo /opt/sapcon/[SID]/systemconfig.json.

  2. Defina la sección General si no se definió anteriormente. En esta sección, defina logging_debug = True para habilitar la impresión en modo de depuración o logging_debug = False para deshabilitarla.

    Por ejemplo:

    [General]
logging_debug = True

  3. Guarde el archivo.

El cambio surte efecto aproximadamente dos minutos después de guardar el archivo. No necesita reiniciar el contenedor Docker.

Ver todos los registros de ejecución de contenedores

Los registros de ejecución del conector para la implementación del conector de datos de Solución Microsoft Sentinel para SAP se almacenan en la máquina virtual en /opt/sapcon/[SID]/log/. El nombre de archivo de registro es OmniLog.log. Se mantiene un historial de archivos de registro, con sufijo .[número] como OmniLog.log.1, OmniLog.log.2, etc.

Revisión y actualización del archivo de configuración del conector del agente de SAP para Microsoft Sentinel

Este procedimiento solo se admite si ha implementado el agente del conector de datos desde la línea de comandos. Si ha implementado el agente a través del portal, puede seguir manteniendo y cambiando las opciones de configuración a través del portal.

Si ha implementado a través de la línea de comandos, realice los pasos siguientes:

  1. En la máquina virtual, abra el archivo de configuración: sapcon/[SID]/systemconfig.json

  2. Actualice la configuración si es necesario y guarde el archivo. Para obtener más información, consulte la referencia de archivos systemconfig.json de aplicaciones de Solución Microsoft Sentinel para SAP.

El cambio surte efecto aproximadamente dos minutos después de guardar el archivo. No necesita reiniciar el contenedor Docker.

Restablecer el conector de datos de Microsoft Sentinel para SAP

En los siguientes pasos se restablece el conector y se vuelven a ingerir los registros de SAP de los últimos 30 minutos.

  1. Detenga el conector. Ejecute:

    docker stop sapcon-[SID]

  2. Elimine el archivo metadata.db del directorio /opt/sapcon/[SID]. Ejecute:

    cd /opt/sapcon/<SID>
rm metadata.db

    Nota

    El archivo metadata.db contiene la última marca de tiempo de cada uno de los registros y su cometido es evitar que se dupliquen.

  3. Inicie de nuevo el conector. Ejecute:

    docker start sapcon-[SID]

Asegúrese de revisar los registros del sistema cuando haya terminado.

Problemas comunes

Después de implementar el conector de datos de Microsoft Sentinel para SAP y el contenido de seguridad, puede experimentar los siguientes errores o problemas:

No se encuentra un archivo del SDK de SAP o está dañado

Este error puede producirse cuando el conector no arranca con PyRfc, o bien se muestran mensajes de error relacionados con ZIP.

  1. Vuelva a instalar el SDK de SAP.
  2. Compruebe que es la versión correcta de Linux de 64 bits, como nwrfc750P_8-70002752.zip.

Si había instalado manualmente el conector de datos, asegúrese de haber copiado el archivo del SDK en el contenedor de Docker.

Ejecute:

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

Errores en tiempo de ejecución de ABAP en un sistema grande

Este procedimiento solo se admite si ha implementado el agente del conector de datos desde la línea de comandos.

Si se producen errores en tiempo de ejecución de ABAP en sistemas grandes, intente definir un tamaño de fragmento más pequeño:

  1. Edite el archivo /opt/sapcon/[SID]/systemconfig.json y, en la sección Configuración del conector, defina timechunk = 5.

    Por ejemplo:

    [Connector Configuration]
timechunk = 5

  2. Guarde el archivo.

El cambio surte efecto aproximadamente dos minutos después de guardar el archivo. No necesita reiniciar el contenedor Docker.

Nota

El tamaño de timechunk se define en minutos.

Registro de auditoría vacío o no recuperado, sin mensajes de error especiales

  1. Compruebe que el registro de auditoría esté habilitado en SAP.
  2. Compruebe las transacciones SM19 o RSAU_CONFIG.
  3. Habilite los eventos necesarios.
  4. Compruebe si llegan y hay mensajes en SAP SM20 o RSAU_READ_LOG, sin que aparezcan errores especiales en el registro del conector.

Identificador o clave incorrectos del área de trabajo en el almacén de claves

Si se da cuenta de que ha indicado una clave o un identificador de área de trabajo incorrectos en el script de implementación, actualice las credenciales almacenadas en Azure Key Vault.

Después de comprobar las credenciales en Azure Key Vault, reinicie el contenedor:

docker restart sapcon-[SID]

Credenciales de usuario de SAP ABAP incorrectas

Compruebe sus credenciales y corríjalas, si es necesario, aplicando los valores correctos a los valores ABAPUSER y ABAPPASS en Azure Key Vault.

A continuación, reinicie el contenedor:

docker restart sapcon-[SID]

Credenciales de usuario de SAP ABAP incorrectas en una configuración fija

Esta sección solo se admite si ha implementado el agente del conector de datos desde la línea de comandos.

Hablamos de configuración fija cuando la contraseña se almacena directamente en el archivo de configuración systemconfig.json.

Si las credenciales del archivo no son correctas, compruébelas.

Aplique cifrado base64 al usuario y la contraseña. Puede usar herramientas de cifrado en línea para cifrar las credenciales, como https://www.base64encode.org/.

No se encuentran permisos de (usuario de SAP) ABAP

Si recibe un mensaje de error similar a Falta la autorización RFC de back-end, sus autorizaciones de SAP y el rol no se han aplicado correctamente.

  1. Asegúrese de que el rol MSFTSEN/SENTINEL_CONNECTOR se haya importado como parte de un transporte de solicitud de cambio y aplicado al usuario del conector.

  2. Ejecute el proceso de generación de roles y comparación de usuarios usando la transacción PFCG de SAP.

Faltan datos en sus libros o alertas

Si descubre que faltan datos en sus libros o alertas de Microsoft Sentinel, asegúrese de que la directiva Auditlog esté habilitada correctamente en SAP, sin errores en el archivo de registro del contenedor.

Use la transacción RSAU_CONFIG_LOG para este paso.

Para obtener más información, consulte la documentación de SAP y Recopilar registros de auditoría de SAP HANA en Microsoft Sentinel.

Se recomienda configurar la auditoría para todos los mensajes del registro de auditoría, en lugar de solo registros específicos. Las diferencias de costos de ingesta suelen ser mínimas y los datos son útiles para las detecciones de Microsoft Sentinel y en las investigaciones y la búsqueda posteriores al compromiso. Para más información, vea Configuración de la auditoría de SAP.

Faltan campos de dirección IP o código de transacción en el registro de auditoría de SAP

En los sistemas SAP con versiones de SAP BASIS 7.5 SP12 y versiones posteriores, Microsoft Sentinel puede reflejar campos adicionales en las tablas ABAPAuditLog_CL y SAPAuditLog.

Si usa versiones de SAP BASIS superiores a la versión 7.5 SP12 y faltan campos de dirección IP o de código de transacción en el registro de auditoría de SAP, compruebe que el sistema SAP desde el que extrae los datos contiene las solicitudes de cambio pertinentes (transportes). Para obtener más información, consulte Configuración de la compatibilidad con la recuperación de datos extra (recomendado).

Falta una solicitud de cambio de SAP

Si ve errores de que le falta una solicitud de cambio de SAP necesaria, asegúrese de haber importado la solicitud correcta para el sistema. Para obtener más información, consulte Requisitos previos de SAP y Configurar su sistema SAP para la solución Microsoft Sentinel.

No se muestra ningún dato en el registro de datos de la tabla de SAP

En los sistemas SAP con versiones de SAP BASIS 7.5 SP12 y versiones posteriores, Microsoft Sentinel puede reflejar los cambios del registro de datos de tabla en la tabla ABAPTableDataLog_CL.

Si no se muestran datos en la tabla ABAPTableDataLog_CL, compruebe que el sistema SAP desde el que va a extraer los datos contiene las solicitudes de cambio pertinentes (transportes). Para obtener más información, consulte Configuración de la compatibilidad con la recuperación de datos extra (recomendado).

No hay registros o registros retrasados

El agente del recopilador de datos se basa en la información de zona horaria para que sea correcta. Si ve que no hay registros en la auditoría de SAP y registros de cambios, o si los registros están constantemente unas horas atrás, compruebe si el informe de SAP TZCUSTHELP presenta errores. Para más información, consulte la nota de SAP 481835.

También puede haber problemas con el reloj en la máquina virtual donde se hospeda el contenedor del agente del recopilador de datos y cualquier desviación del reloj de la máquina virtual de UTC afecta a la recopilación de datos. Aún más importante: los relojes de las máquinas del sistema SAP y las máquinas del agente del recopilador de datos deben coincidir.

Se recomienda configurar la auditoría para todos los mensajes del registro de auditoría, en lugar de solo registros específicos. Las diferencias de costos de ingesta suelen ser mínimas y los datos son útiles para las detecciones de Microsoft Sentinel y en las investigaciones y la búsqueda posteriores al compromiso. Para más información, vea Configuración de la auditoría de SAP.

Problemas de conectividad de red

Si tiene problemas de conectividad de red con el entorno de SAP o con Microsoft Sentinel, compruebe la conectividad de red para asegurarse de que los datos fluyan según lo previsto.

Algunos problemas comunes son:

  • Es posible que los firewalls entre el contenedor de Docker y los hosts de SAP bloqueen el tráfico. El host de SAP recibe comunicación a través de los siguientes puertos TCP, los cuales deben estar abiertos: 32xx, 5xx13 y 33xx, donde xx es el número de instancia de SAP.

  • La comunicación saliente desde el host de agente de SAP a Microsoft Container Registry o Azure requiere la configuración del proxy. Esto suele afectar a la instalación y requiere que configure las variables de entorno HTTP_PROXY y HTTPS_PROXY. También puede ingerir variables de entorno en el contenedor de Docker al crear el contenedor, agregando la marca -e al comando create / run de Docker.

Error al recuperar un registro de auditoría, con advertencias

Esta sección solo se admite si ha implementado el agente del conector de datos desde la línea de comandos.

Si intenta recuperar un registro de auditoría sin las configuraciones necesarias y el proceso produce un error con advertencias, compruebe que el registro de auditoría de SAP se puede recuperar mediante uno de los métodos siguientes:

  • Usando un modo de compatibilidad llamado XAL en versiones anteriores
  • Usando una versión que no se haya actualizado recientemente
  • Sin cambios realizados para conectarse al agente del conector de datos de Microsoft Sentinel. Para obtener más información, consulte Configuración del sistema SAP para la solución Microsoft Sentinel.

Aunque el sistema debería cambiar automáticamente al modo de compatibilidad si es necesario, es posible que tenga que hacerlo usted manualmente. Para cambiar al modo de compatibilidad manualmente, haga lo siguiente:

  1. Edite el archivo /opt/sapcon/[SID]/systemconfig.json.

  2. En la sección Configuración del conector, defina auditlogforcexal = True.

    Por ejemplo:

    [Connector Configuration]
auditlogforcexal = True

  3. Guarde el archivo.

El cambio surte efecto aproximadamente dos minutos después de guardar el archivo. No necesita reiniciar el contenedor Docker.

Los subsistemas SAPCONTROL o JAVA no se pueden conectar

Compruebe que el usuario del sistema operativo sea válido y pueda ejecutar el siguiente comando en el sistema SAP de destino:

sapcontrol -nr <SID> -function GetSystemInstanceList

Si se produce un error de los subsistemas SAPCONTROL o JAVA con un mensaje de error relacionado con la zona horaria, como Compruebe la configuración y el acceso de red al servidor SAP - "Etc/NZST" , asegúrese de estar usando códigos de zona horaria estándar.

Por ejemplo, use javatz = GMT+12 o abaptz = GMT-3**.

Datos del registro de auditoría que no se ingieren después de la carga inicial

Si los datos del registro de auditoría de SAP, visibles en las transacciones RSAU_READ_LOAD o SM200, no se ingieren en Microsoft Sentinel después de la carga inicial, es posible que se produzca un error de configuración en el sistema SAP y el sistema operativo host de SAP.

  • Las cargas iniciales se ingieren después de una instalación nueva del conector de datos de Microsoft Sentinel para SAP o después de eliminar el archivo metadata.db.
  • Un error de configuración de muestra podría producirse cuando la zona horaria del sistema SAP esté establecida en CET en la transacción STZAC, pero la zona horaria del sistema operativo host de SAP esté establecida en UTC.

Para comprobar si hay errores de configuración, ejecute el informe RSDBTIME en la transacción SE38. Si encuentra un error de coincidencia entre el sistema SAP y el sistema operativo host de SAP, haga lo siguiente:

  1. Detenga el contenedor de Docker. Ejecutar

    docker stop sapcon-[SID]

  2. Elimine el archivo metadata.db del directorio /opt/sapcon/[SID]. Ejecute:

    rm /opt/sapcon/[SID]/metadata.db

  3. Actualice el sistema SAP y el sistema operativo host de SAP para que tengan la configuración coincidente, como la misma zona horaria. Para obtener más información, consulte la wiki de la comunidad de SAP.

  4. Vuelva a iniciar el contenedor. Ejecute:

    docker start sapcon-[SID]

Otras incidencias inesperadas

Si tiene incidencias inesperadas que no aparecen en este artículo, pruebe los siguientes pasos:

Sugerencia

También se recomienda restablecer el conector y asegurarse de tener las actualizaciones más recientes después de cambios importantes en la configuración.

Contenido relacionado

Obtenga más información sobre las aplicaciones de Solución Microsoft Sentinel para SAP:

Archivos de referencia:

Para obtener más información, consulte soluciones de Microsoft Sentinel.