Partager via


Informations de référence sur les journaux et les tables pour la solution Microsoft Sentinel pour les applications SAP

Cet article décrit les journaux et tables disponibles dans le cadre de la solution Microsoft Sentinel pour les applications SAP et son connecteur de données.

Certains journaux, notés dans cet article, ne sont pas envoyés à Microsoft Sentinel par défaut, mais vous pouvez les ajouter manuellement en fonction des besoins. Pour plus d’informations, consultez Définir les journaux SAP envoyés à Microsoft Sentinel

Le contenu de cet article est destiné à vos équipes SAP BASIS.

Important

Certains composants de la solution Microsoft Sentinel Threat Monitoring for SAP sont actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Utiliser des fonctions dans vos requêtes au lieu de journaux ou de tables sous-jacents

Nous vous recommandons vivement d’utiliser des fonctions disponibles en tant que sujets de leur analyse dans la mesure du possible, au lieu des journaux ou tables sous-jacents.

Les fonctions fournies avec la solution Microsoft Sentinel pour les applications SAP sont destinées à servir d’interface utilisateur principale aux données. Elles constituent la base de l’ensemble des règles et des classeurs d’analytique intégrées disponibles pour une utilisation immédiate. L’utilisation de fonctions permet d’apporter des modifications à l’infrastructure de données sous les fonctions, sans interrompre le contenu créé par l’utilisateur.

Pour plus d’informations, consultez la solution Microsoft Sentinel pour les applications SAP - informations de référence sur les fonctions et Functions dans les requêtes de journal Azure Monitor.

Couverture des journaux

La solution Microsoft Sentinel pour les applications SAP collecte les journaux d’activité à partir des couches application, système d’exploitation et données, offrant une protection complète pour votre système SAP :

  • Couche Application : Microsoft Sentinel surveille les activités au sein de la couche ABAP, qui est la couche d’application principale dans les systèmes SAP, responsable de l’exécution de transactions de logique métier et de traitement. Par exemple, Microsoft Sentinel collecte les journaux d’activité qui incluent des actions utilisateur telles que les connexions, les modifications de mot de passe et l’accès aux rapports ou aux fichiers.

    Outre la surveillance de la sécurité, les journaux collectés au niveau de la couche application peuvent également être utilisés à des fins de conformité et d’audit.

  • Couche du système d’exploitation : Microsoft Sentinel collecte les journaux du système d’exploitation pour fournir des informations sur les activités au niveau du système d’exploitation, telles que depuis le serveur ABAP et les machines virtuelles sur lesquelles les applications SAP s’exécutent.

    Utilisez la solution Microsoft Sentinel pour les applications SAP, ainsi que des connecteurs de contenu de sécurité et de données pour vos autres services pour une surveillance complète et centralisée, en corrélatant des informations sur tous vos systèmes et en améliorant votre posture de sécurité globale.

  • Couche de base de données : ingérer des journaux de base de données dans Microsoft Sentinel pour surveiller les activités de base de données, telles que les activités d’administration de base de données et les modifications apportées aux données de table. La solution Microsoft Sentinel pour les applications SAP est indépendante de la base de données.

Tous les journaux collectés par l’agent de connecteur de données sont stockés en premier sur l’ordinateur de l’agent du collecteur de données, dans /opt/sapcon/<sid>/log le dossier de l’instance de conteneur. Les journaux d’activité sont ensuite transférés à votre espace de travail Log Analytics, où vous pouvez afficher, auditer et interroger ces journaux à partir de Microsoft Sentinel.

Les journaux d’audit sont collectés et ingérés toutes les minutes, tandis que d’autres journaux peuvent être ingérés moins fréquemment. Microsoft Sentinel surveille également la pulsation de l’agent de connecteur de données pour s’assurer que les journaux sont collectés et envoyés à l’espace de travail Log Analytics.

Informations de référence sur le journal

Les sections suivantes décrivent les journaux SAP disponibles à partir de la solution Microsoft Sentinel pour le connecteur de données d’applications SAP, y compris les noms de tables dans Microsoft Sentinel, les objectifs du journal et les schémas de journal détaillés.

Les descriptions des champs de schéma sont basées sur les descriptions des champs de la documentation SAP pertinente.

Journal des applications ABAP

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPAppLog

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : enregistre la progression de l’exécution d’une application afin que vous puissiez la reconstruire ultérieurement si nécessaire.

    Disponible en utilisant RFC basé sur la table SAP standard et les services standard de l’interface XBP. Ce journal est généré par client.

Schéma du journal ABAPAppLog_CL

Champ Description
AppLogDateTime Date et heure du journal des applications
CallbackProgram Programme de rappel
CallbackRoutine Routine de rappel
CallbackType Type de rappel
ClientID ID client ABAP (MANDT)
ContextDDIC Structure DDIC de contexte
ExternalID ID de journal externe
Hôte Hôte
Instance Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
InternalMessageSerial Série de messages du journal des applications
LevelofDetail Niveau de détail
LogHandle Handle du journal des applications
LogNumber Numéro de journal
MessageClass Message, classe
MessageNumber Numéro de message
MessageText Texte du message
MessageType type de message
Object Objet journal des applications
OperationMode Mode de fonctionnement
ProblemClass Classe de problème
ProgramName Nom du programme
SortCriterion Critère de tri
StandardText Texte standard
SubObject Sous-objet du journal des applications
SystemID ID système
SystemNumber Numéro système
TransactionCode Code de transaction
Utilisateur Utilisateur
UserChange Modification de l’utilisateur

Journal des documents de modification ABAP

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPChangeDocsLog

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : enregistre :

    • Le serveur d’applications (AS) SAP NetWeaver ABAP journalise les modifications apportées aux objets de données métier dans les documents de modification.

    • D’autres entités dans le système SAP, comme les données utilisateur, les rôles, les adresses.

    Disponible en utilisant RFC basé sur les tables SAP standard. Ce journal est généré par client.

Schéma de journal ABAPChangeDocsLog_CL

Champ Description
ActualChangeNum Numéro de modification réel
ChangedTableKey Clé de table modifiée
ChangeNumber Numéro de modification
ClientID ID client ABAP (MANDT)
CreatedfromPlannedChange Créé à partir d’une modification planifiée, avec la syntaxe suivante : (‘X’ , ‘ ‘)
CurrencyKeyNew Clé de devise : nouvelle valeur
CurrencyKeyOld Clé de devise : ancienne valeur
FieldName Nom du champ
FlagText Texte d’indicateur
Hôte Hôte
Instance Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
Langage Langage
ObjectClass Classe d’objet, comme BELEG, BPAR, PFCG, IDENTITY
ObjectID ID objet
PlannedChangeNum Numéro de modification planifiée
SystemID ID système
SystemNumber Numéro système
TableName Nom de la table
TransactionCode Code de transaction
TypeofChange_Header Type d’en-tête de modification, y compris :
U = Changer ; I = Insérer ; E = Supprimer un seul doc ; D = Supprimer ; J = Insérer un seul doc
TypeofChange_Item Type d’élément de modification, y compris :
U = Changer ; I = Insérer ; E = Supprimer un seul doc ; D = Supprimer ; J = Insérer un seul doc
UOMNew Unité de mesure : nouvelle valeur
UOMOld Unité de mesure : ancienne valeur
Utilisateur Utilisateur
ValueNew Contenu du champ : nouvelle valeur
ValueOld Contenu du champ : ancienne valeur
Version Version

Journal ABAP CR

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPCRLog

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : inclut les journaux du système de modification et de transport (CTS), y compris les objets d’annuaire et les personnalisations où des modifications ont été apportées.

    Disponible en utilisant RFC basé sur les tables standard et les services SAP standard. Ce journal est généré avec des données de tous les clients.

Remarque

En plus de la journalisation des applications, des documents de modification et de l’enregistrement des tables, toutes les modifications apportées à votre système de production à l’aide du système modification et de transport sont documentées dans les journaux CTS et TMS.

Schéma du journal ABAPCRLog_CL

Champ Description
Category Catégorie (Workbench, personnalisation)
ClientID ID client ABAP (MANDT)
Description Description
Host Hôte
Instance Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
ObjectName Nom d’objet
ObjectType Type d’objet
Propriétaire Propriétaire
Requête Demande de modification
Statut Statut
SystemID ID système
SystemNumber Numéro système
TableKey Clé de table
TableName Nom de la table
NomVue Nom de l’affichage

Journal des données de table ABAP DB (PRÉVERSION)

Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json. Ce journal n’est pas pris en charge lors de l’utilisation de la procédure recommandée pour installer l’agent de connecteur de données à partir du portail.

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPTableDataLog

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : fournit la journalisation pour les tables qui sont critiques ou sensibles aux audits.

    Disponible en utilisant RFC avec un service personnalisé. Ce journal est généré avec des données de tous les clients.

Schéma du journal ABAPTableDataLog_CL

Champ Description
DBLogID ID du journal DB
Hôte Hôte
Instance Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
Langage Langage
LogKey Clé de journal
NewValue Nouvelle valeur du champ
OldValue Ancienne valeur du champ
OperationTypeSQL Type d’opération, Insert, Update, Delete
Programme Nom du programme
SystemID ID système
SystemNumber Numéro système
TableField Champ de table
TableName Nom de la table
TransactionCode Code de transaction
UserName Utilisateur
VersionNumber Numéro de version

Journal de passerelle ABAP (PRÉVERSION)

Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json. Ce journal n’est pas pris en charge lors de l’utilisation de la procédure recommandée pour installer l’agent de connecteur de données à partir du portail.

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPOS_GW

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : supervise les activités de la passerelle. Disponible par le service web SAP Control. Ce journal est généré avec des données de tous les clients.

Schéma du journal ABAPOS_GW_CL

Champ Description
Host Hôte
Instance Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
MessageText Texte du message
Gravité Gravité du message : Debug, Info, Warning, Error
SystemID ID système
SystemNumber Numéro système

Journal ICM ABAP (PRÉVERSION)

Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json. Ce journal n’est pas pris en charge lors de l’utilisation de la procédure recommandée pour installer l’agent de connecteur de données à partir du portail.

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPOS_ICM

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : enregistre les demandes entrantes et sortantes et compile les statistiques des requêtes http.

    Disponible par le service web SAP Control. Ce journal est généré avec des données de tous les clients.

Schéma du journal ABAPOS_ICM_CL

Champ Description
Host Hôte
Instance Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
MessageText Texte du message
Gravité Gravité du message, y compris : Debug, Info, Warning, Error
SystemID ID système
SystemNumber Numéro système

Journal des tâches ABAP

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPJobLog

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : combine tous les journaux des travaux de traitement en arrière-plan (SM37).

    Disponible en utilisant RFC basé sur la table SAP standard et les services standard des interfaces XBP. Ce journal est généré avec des données de tous les clients.

Schéma du journal ABAPJobLog_CL

Champ Description
ABAPProgram Programme ABAP
BgdEventParameters Paramètres d’événement en arrière-plan
BgdProcessingEvent Événement de traitement en arrière-plan
ClientID ID client ABAP (MANDT)
DynproNumber Numéro Dynpro
GUIStatus État GUI
Hôte Hôte
Instance Instance ABAP (HOST_SYSID_SYSNR), avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
JobClassification Classification du travail
JobCount Nombre de travaux
JobGroup Groupe de travaux
JobName Nom du travail
JobPriority priorité de travail
MessageClass Message, classe
MessageNumber Numéro de message
MessageText Texte du message
MessageType type de message
ReleaseUser Utilisateur de validation du travail
SchedulingDateTime Date et heure de la planification
StartDateTime Date et heure de début
SystemID ID système
SystemNumber Numéro système
TargetServer Serveur cible
Utilisateur Utilisateur
UserReleaseInstance Instance ABAP - version utilisateur
WorkProcessID ID du processus de travail
WorkProcessNumber Numéro du processus de travail

Journal d’audit de sécurité ABAP

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPAuditLog

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : enregistre les données suivantes :

    • Modifications relatives à la sécurité dans l’environnement du système SAP, comme les modifications apportées aux enregistrements des utilisateurs principaux
    • Informations qui fournissent un niveau de données plus élevé, comme les tentatives de connexion réussies et infructueuses
    • Informations qui permettent de reconstruire une série d’événements, comme les démarrages de transaction réussis ou ayant échoué

    Disponible à l’aide des interfaces RFC XAL/SAL. SAL est disponible à partir de la version Basis 7.50. Ce journal est généré avec des données de tous les clients.

Schéma du journal ABAPAuditLog_CL

Champ Description
ABAPProgramName Nom du programme, SAL uniquement
AlertSeverity Gravité de l’alerte
AlertSeverityText Texte de gravité d’alerte, SAL uniquement
AlertValue Valeur d’alerte
AuditClassID ID de classe d’audit, SAL uniquement
ClientID ID client ABAP (MANDT)
Computer Ordinateur de l’utilisateur, SAL uniquement
Courrier E-mail de l’utilisateur
Hôte Hôte
Instance Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
MessageClass Message, classe
MessageContainerID ID de conteneur de message, XAL uniquement
MessageID ID de message, tel que ‘AU1’,’AU2’…
MessageText Texte du message
MonitoringObjectName Nom d’objet MTE Monitor, XAL uniquement
MonitorShortName Nom court MTE Monitor, XAL uniquement
SAPProcesType Journal système : type de processus SAP, SAL uniquement
B* - Traitement en arrière-plan
D* - Traitement de dialogue
U* - Mettre à jour les tâches
SAPWPName Journal système : numéro de processus de travail, SAL uniquement
SystemID ID système
SystemNumber Numéro système
TerminalIPv6 Adresse IP de l’ordinateur utilisateur, SAL uniquement
TransactionCode Code de transaction, SAL uniquement
Utilisateur Utilisateur
Variable1 Variable de message 1
Variable2 Variable de message 2
Variable3 Variable de message 3
Variable4 Variable de message 4

Journal ABAP Spool

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPSpoolLog

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : sert de journal principal pour l’impression SAP avec l’historique des demandes de pool. (SP01).

    Disponible en utilisant RFC basé sur la table SAP standard. Ce journal est généré avec des données de tous les clients.

Schéma du journal ABAPSpoolLog_CL

Champ Description
ArchiveStatus État de l’archive
ArchiveType Type d’archive
ArchivingDevice Appareil d’archivage
AutoRereoute Rediriger automatiquement
ClientID ID client ABAP (MANDT)
CountryKey Clé pays/région
DeleteSpoolRequestAuto Supprimer automatiquement la demande de spool
DelFlag Indicateur de suppression
department department
DocumentType ; Type du document
ExternalMode Mode externe
FormatType Type de format
Hôte Hôte
Instance Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
NumofCopies Nombre de copies
OutputDevice Appareil de sortie
PrinterLongName Nom long de l’imprimante
PrintImmediately Imprimer immédiatement
PrintOSCoverPage Imprimer la page OSCover
PrintSAPCoverPage Imprimer la page SAPCover
Priorité Priorité
RecipientofSpoolRequest Destinataire de la demande de spool
SpoolErrorStatus État d’erreur du spool
SpoolRequestCompleted Demande de spool terminée
SpoolRequestisALogForAnotherRequest La demande spool est un journal pour une autre demande
SpoolRequestName Nom de la demande de spool
SpoolRequestNumber Numéro de demande de spool
SpoolRequestSuffix1 Demande de spool, suffixe1
SpoolRequestSuffix2 Demande de spool, suffixe2
SpoolRequestTitle Titre de la demande de spool
SystemID ID système
SystemNumber Numéro système
TelecommunicationsPartner Partenaire de télécommunications
TelecommunicationsPartnerE Partenaire de télécommunications E
TemSeGeneralcounter Compteur Temse
TemseNumAddProtectionRule Temse, numéro d’ajout de règle de protection
TemseNumChangeProtectionRule Temse, numéro de modification de règle de protection
TemseNumDeleteProtectionRule Temse, numéro de suppression de règle de protection
TemSeObjectName Nom d’objet Temse
TemSeObjectPart Partie de l’objet Temse
TemseReadProtectionRule Temse, lecture de règle de protection
Utilisateur Utilisateur
ValueAuthCheck Vérification de l’authentification de la valeur

Journal de sortie APAB Spool

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPSpoolOutputLog

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : sert de journal principal pour l’impression SAP avec l’historique des demandes de sortie de spool. (SP02).

    Disponible en utilisant RFC avec un service personnalisé basé sur les tables standard. Ce journal est généré avec des données de tous les clients.

Schéma du journal ABAPSpoolOutputLog_CL

Champ Description
AppServer Serveur d’applications
ClientID ID client ABAP (MANDT)
Comment Comment
CopyCount Nombre de copies
CopyCounter Compteur de copies
department department
ErrorSpoolRequestNumber Numéro de demande d’erreur
FormatType Type de format
Hôte Hôte
HostName Nom de l’hôte
HostSpoolerID ID du spouleur de l’hôte
Instance Instance ABAP
LastPage Dernière page
NumofCopies Nombre de copies
OutputDevice Appareil de sortie
OutputRequestNumber Numéro de demande de sortie
OutputRequestStatus État de la demande de sortie
PhysicalFormatType Type de format physique
PrinterLongName Nom long de l’imprimante
PrintRequestSize Taille de la demande d’impression
Priorité Priorité
ReasonforOutputRequest Motif de la demande de sortie
RecipientofSpoolRequest Destinataire de la demande de spool
SpoolNumberofOutputReqProcessed Nombre de demandes de sortie traitées
SpoolNumberofOutputReqWithErrors Nombre de demandes de sortie avec des erreurs
SpoolNumberofOutputReqWithProblems Nombre de demandes de sortie avec des problèmes
SpoolRequestNumber Numéro de demande de spool
StartPage Page de démarrage
SystemID ID système
SystemNumber Numéro système
TelecommunicationsPartner Partenaire de télécommunications
TemSeGeneralcounter Compteur Temse
Titre Titre
Utilisateur Utilisateur

ABAP Syslog

Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json. Ce journal n’est pas pris en charge lors de l’utilisation de la procédure recommandée pour installer l’agent de connecteur de données à partir du portail.

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPOS_Syslog

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : enregistre l’ensemble des erreurs système, des avertissements, des verrous utilisateur ABAP SAP NetWeaver AS en raison des échecs de connexion des utilisateurs connus et de traitement des messages.

    Disponible par le service web SAP Control. Ce journal est généré avec des données de tous les clients.

Schéma du journal ABAPOS_Syslog_CL

Champ Description
ClientID ID client ABAP (MANDT)
Hôte Hôte
Instance Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
MessageNumber Numéro de message
MessageText Texte du message
Gravité Gravité du message, l’une des valeurs suivantes : Debug, Info, Warning, Error
SystemID ID système
SystemNumber Numéro système
TransacationCode Code de transaction
Type Type de processus SAP
Utilisateur Utilisateur

Journal ABAP Workflow

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPWorkflowLog

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : SAP Business Workflow (WebFlow Engine) vous permet de définir des processus métier qui ne sont pas encore mappés dans le système SAP.

    Par exemple, les processus métier non mappés peuvent être des procédures de publication ou d’approbation simples, ou des processus métier plus complexes tels que la création de matériel de base, puis la coordination des services associés.

    Disponible en utilisant RFC basé sur les tables SAP standard. Ce journal est généré par client.

Schéma du journal ABAPWorkflowLog_CL

Champ Description
ActualAgent Agent réel
Adresse Adresse
ApplicationArea Domaine d'application
CallbackFunction Fonction de rappel
ClientID ID client ABAP (MANDT)
CreationDateTime Date/heure de création
Creator Creator
CreatorAddress Adresse du créateur
ErrorType Type d’erreur
ExceptionforMethod Exception pour la méthode
Hôte Hôte
Instance Instance ABAP (HOST_SYSID_SYSNR), avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
Langage Langage
LogCounter Compteur du journal
MessageNumber Numéro de message
MessageType type de message
MethodUser Utilisateur de méthode
Priorité Priorité
SimpleContainer Conteneur simple, empaqueté sous la forme d’une liste d’entités clé-valeur pour l’élément de travail
Statut Statut
SuperWI Super WI
SystemID ID système
SystemNumber Numéro système
TaskID ID de la tâche
TasksClassification Classifications des tâches
TaskText Texte de la tâche
TopTaskID ID de la tâche supérieure
UserCreated Créé par l’utilisateur
WIText Texte de l’élément de travail
WIType Type d'élément de travail
WorkflowAction Action workflow
WorkItemID ID d'élément de travail

Journal ABAP WorkProcess

Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json. Ce journal n’est pas pris en charge lors de l’utilisation de la procédure recommandée pour installer l’agent de connecteur de données à partir du portail.

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPOS_WP

  • Documentation SAP associée : Portail d’aide SAP

  • Objectif du journal : combine tous les journaux des processus de travail. (valeur par défaut : dev_*).

    Disponible par le service web SAP Control. Ce journal est généré avec des données de tous les clients.

Schéma du journal ABAPOS_WP_CL

Champ Description
Host Hôte
Instance Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
MessageText Texte du message
Gravité Gravité du message : Debug, Info, Warning, Error
SystemID ID système
SystemNumber Numéro système
WPNumber Numéro du processus de travail

Piste d’audit HANA DB

La collecte du journal de la piste d’audit de base de données HANA est un exemple de la façon dont Microsoft Sentinel collecte les activités de couche de base de données. Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez déployer l’agent Azure Monitor pour collecter des données Syslog à partir de la machine exécutant la base de données HANA.

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPSyslog

  • Documentation SAP associée : Général | Piste d’audit

  • Objectif du journal : enregistre les actions ou les tentatives d’actions des utilisateurs dans la base de données SAP HANA. Par exemple, vous permet d’enregistrer et de superviser l’accès en lecture aux données sensibles.

    Disponible par l’agent Linux Microsoft Sentinel pour Syslog. Ce journal est généré avec des données de tous les clients.

Schéma du journal Syslog

Champ Description
Computer Nom de l’hôte
HostIP Adresse IP hôte
HostName Nom de l’hôte
ProcessID ID du processus
ProcessName Nom du processus : HDB*
SeverityLevel Alerte
SourceSystem SE du système source, Linux
SyslogMessage Message de piste d’audit non analysé

Fichiers JAVA

Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.json. Ce journal n’est pas pris en charge lors de l’utilisation de la procédure recommandée pour installer l’agent de connecteur de données à partir du portail.

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPJAVAFilesLogs

  • Documentation SAP associée : Général | Journal d’audit de sécurité Java

  • Objectif du journal : combine tous les journaux basés sur des fichiers Java, y compris le journal d’audit de sécurité et les journaux Système (processus de cluster et de serveur), Performances et Passerelle. Inclut également les journaux Traces Développeur et Trace par défaut.

    Disponible par le service web SAP Control. Ce journal est généré avec des données de tous les clients.

Schéma du journal JavaFilesLogsCL

Champ Description
Application Application Java
ClientID ID client
CSNComponent Composant CSN, tel que BC-XI-IBD
DCComponent Composant DC, tel que com.sap.xi.util.misc
DSRCounter Compteur DSR
DSRRootContentID GUID du contexte DSR
DSRTransaction GUID de transaction DSR
Hôte Hôte
Instance Instance Java, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR>
Emplacement Classe Java
LogName Nom de journal Java, par exemple : Available, defaulttrace, dev*, security, etc.
MessageText Texte du message
MNo Numéro de message
Pid ID du processus
Programme Nom du programme
session session
Gravité Gravité du message, y compris : Debug, Info, Warning, Error
Solution Solution
SystemID ID système
SystemNumber Numéro système
ThreadName Nom du thread
Thrown Exception levée
TimeZone Fuseau horaire
Utilisateur Utilisateur

Journal des pulsations SAP

  • Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPConnectorHealth

  • Objectif du journal : fournit des informations sur la pulsation et d’autres informations d’intégrité sur la connectivité entre les agents et les différents systèmes SAP.

    Créé automatiquement pour tous les agents du connecteur de données Microsoft Sentinel pour SAP.

Schéma du journal SAP_HeartBeat_CL

Champ Description
TimeGenerated Heure de l’événement de publication de journal
agent_id_s ID d’agent dans la configuration de l’agent (généré automatiquement)
agent_ver_s Version de l’agent
host_s Nom d’hôte de l’agent
system_id_s ID du système Netweaver ABAP /
Hôte NetWeaver SAPControl (préversion) /
Hôte Java SAPControl (préversion)
push_timestamp_d Horodatage de l’extraction, en fonction du fuseau horaire de l’agent
agent_timezone_s Fuseau horaire de l’agent

Référence des tables récupérées directement à partir de systèmes SAP

Cette section répertorie les tables de données qui sont récupérées directement à partir du système SAP et ingérées dans Microsoft Sentinel telles quelles.

Les données récupérées à partir de ces tables fournissent une vue claire de la structure d’autorisation, de l’appartenance aux groupes et des profils utilisateur. Elles vous permettent également de suivre le processus d’octroi et de révocation d’autorisations, ainsi que d’identifier et gouverner les risques associés à ces processus.

Les tables répertoriées ci-dessous sont requises pour activer les fonctions qui identifient les utilisateurs privilégiés, et mappent les utilisateurs à des rôles, groupes et autorisations.

Pour obtenir de meilleurs résultats, reportez-vous à ces tables en utilisant le nom dans la colonne nom de la fonction Microsoft Sentinel dans le tableau suivant :

Nom de table Description de la table Nom de la fonction Microsoft Sentinel
USR01 Enregistrement de référence d’utilisateur (données de runtime) SAP_USR01
USR02 Données de connexion (utilisation côté noyau) SAP_USR02
UST04 Références d’utilisateur
Mappe les utilisateurs à des profils
SAP_UST04
AGR_USERS Attribution de rôles aux utilisateurs SAP_AGR_USERS
AGR_1251 Données d’autorisation pour le groupe d’activités SAP_AGR_1251
USGRP_USER Attribution d’utilisateurs à des groupes d’utilisateurs SAP_USGRP_USER
USR21 Nom d’utilisateur / Affectation de clé d’adresse SAP_USR21
ADR6 Adresses e-mail (services d’adresse professionnelle) SAP_ADR6
USRSTAMP Date et heure pour toutes les modifications apportées à l’utilisateur SAP_USRSTAMP
ADCP Personne / Affectation d’adresse (services d’adresse professionnelle) SAP_ADCP
USR05 ID de paramètre de référence d’utilisateur SAP_USR05
AGR_PROF Nom du profil pour le rôle SAP_AGR_PROF
AGR_FLAGS Attributs de rôle SAP_AGR_FLAGS
DEVACCESS Table pour l’utilisateur de développement SAP_DEVACCESS
AGR_DEFINE Définition de rôle SAP_AGR_DEFINE
AGR_AGRS Rôles dans des rôles composites SAP_AGR_AGRS
PAHI Historique des paramètres du système, de la base de données et de SAP SAP_PAHI
SNCSYSACL (PRÉVERSION) Liste de contrôle d’accès (ACL) SNC : Systèmes SAP_SNCSYSACL
USRACL (PRÉVERSION) Liste de contrôle d’accès (ACL) SNC : Utilisateur SAP_USRACL

Pour plus d’informations, consultez l’article suivant :