SAP システムの正常性とロールを監視する
SAP ソリューションをデプロイした後、SAP システムの適切な機能とパフォーマンスを確保し、システムの正常性、接続、パフォーマンスを追跡する必要があります。 この記事では、データ コネクタ ページで接続の正常性を手動で確認し、専用のアラート ルール テンプレートを使用して SAP システムの正常性を監視する方法について説明します。
重要
SAP システムの正常性の監視は現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
この記事の手順を示すデモ動画については、次の動画を参照してください。
前提条件
- この記事の手順を実行する前に、SAP データ コネクタ エージェントをデプロイし、SAP システムに接続する必要があります。 SAP ログは、SAP システムが接続され、Microsoft Sentinel へのデータのストリーミングが開始されるまで、Microsoft Sentinel の [ログ] ページに表示されません。
詳細については、「SAP データ コネクタ エージェントをホストしているコンテナーをデプロイして構成する」を参照してください。
データ コネクタの正常性と接続を確認する
この手順では、Microsoft Sentinel for SAP データ コネクタ ページからデータ コネクタの接続状態を確認する方法について説明します。
Microsoft Sentinel で [データ コネクタ] を選択し、"Microsoft Sentinel for SAP" を探します。
[Microsoft Sentinel for SAP] コネクタを選択し、[コネクタ ページを開く] を選択します。
[構成] > [2. SAP システムを構成してコレクター エージェントに割り当てる] 領域で、SAP システムの正常性に関する詳細を表示します。
次に例を示します。
[SAP システムを構成し、コレクター エージェントに割り当てる] 領域のフィールドの説明は次のとおりです。
[システムの表示名]。 SAP システム ID (SID) とそのクライアント番号。 この値を使用して、SAP システムへの接続を修飾し、SAP BASIS に対してどのシステムに接続するかを定義します。
[システム ロール]。 システムが運用状態であるかどうかを示します。これは課金にも影響します。 詳細については、「ソリューションの価格」を参照してください。 次の値が含まれます。
Value 説明 実稼働 システムは、SAP 管理者によって運用システムとして定義されます。 [不明 (運用)] Microsoft Sentinel がシステムの状態を取得できません。 Microsoft Sentinel は、この種類のシステムを、セキュリティと課金の両方の目的で運用システムと見なします。
このような場合は、SAP システム上の Microsoft Sentinel ロール定義とアクセス許可を確認し、Microsoft Sentinel による T000 テーブルの内容の読み取りをシステムが許可していることを確認することをお勧めします。 次に、最新バージョンに SAP コネクタを更新することを検討します。[非運用環境] 開発中、テスト中、カスタマイズ中などのロールを示します。 [エージェント名]。 インストールされているデータ コネクタ エージェントの一意の ID。
[正常性] : SID が正常かどうかを示します。 正常性の問題をトラブルシューティングするには、コンテナーの実行ログを確認し、その他のトラブルシューティング手順を確認します。 次の値が含まれます。
Value 説明 システムは正常 (緑色のアイコン) Microsoft Sentinel がシステムからのログとハートビートの両方を特定したことを示します。 システム接続 - ロールを収集する権限がない、運用環境を想定 (黄色のアイコン) Microsoft Sentinel には、システムが運用システムであるかどうかを定義するための十分なアクセス許可がありません。 この場合、Microsoft Sentinel はシステムを運用システムとして定義します。
このような場合は、SAP システム上の Microsoft Sentinel ロール定義とアクセス許可を確認し、Microsoft Sentinel による T000 テーブルの内容の読み取りをシステムが許可していることを確認します。 次に、最新バージョンに SAP コネクタを更新することを検討します。エラーありで接続 (黄色のアイコン) 接続は成功しましたが、Microsoft Sentinel がシステムのロールをフェッチするときにエラーを検出し、システムが運用システムであるかどうかの詳細がありません。 システムが接続されていない Microsoft Sentinel は SAP システムに接続できず、システム ロールをフェッチできません。 この場合、Microsoft Sentinel には、システムが運用システムであるかどうかの詳細がありません。 接続の問題に関する詳細を反映するその他の状態 たとえば、"1 日以上システムにアクセスできません"。
Microsoft Sentinel にストリーミングされる SAP ログを表示する
Microsoft Sentinel で、[全般]>[ログ] > [カスタム ログ] を選択して、SAP システムからストリーミングされるログを表示します。 次に例を示します。
![Microsoft Sentinel の [カスタム ログ] 領域にある SAP ABAP ログを示すスクリーンショット。](sap/media/deploy-sap-security-content/sap-logs-in-sentinel.png#lightbox)
詳細については、SAP アプリケーション向け Microsoft Sentinel ソリューションのソリューション ログ リファレンスに関するページを参照してください。
アラート ルール テンプレートを使用して SAP システムの正常性を監視する
Microsoft Sentinel for SAP ソリューションには、SAP エージェントのデータ収集の正常性を分析できるように設計されたアラート ルール テンプレートが含まれています。
ルールでは、さまざまな季節性パターンを検出するために、少なくとも 7 日間の履歴を読み込む必要があります。 週単位のアクティビティ プロファイルを検出できるようにするために、アラート ルールの [Look back](ルックバック) パラメーターの値を 14 日間に設定することをお勧めします。
ルールをアクティブにすると、学習された履歴に従って、ワークスペースで観察された最近のテレメトリとログ ボリュームが評価されます。 その後、ルールによって、潜在的な問題に関するアラートが生成され、問題の範囲に応じて重大度が動的に割り当てられます。
Microsoft Sentinel で分析ルールを有効にするには、[分析] > [ルール テンプレート] を選択し、[SAP - データ収集の正常性チェック] アラート ルールを見つけます。
分析ルールは次のことを行います。
- エージェントから送信されたシグナルが評価されます。
- テレメトリ データが評価されます。
- ログの継続とその他のシステム接続の問題に関するアラート (見つかった場合) が評価されます。
- ログ インジェスト履歴が学習され、時間と共により適切に機能するようになります。
次のスクリーンショットは、[SAP - データ収集の正常性チェック] アラート ルールによって生成されるアラートの例を示しています。
 アラート ルールによってトリガーされたアラートのスクリーンショット。](media/monitor-sap-system-health/alert-rule-example.png)
次の手順
- SAP 向け Microsoft Sentinel ソリューションについて、ご確認ください。
- SAP 向け Microsoft Sentinel ソリューションをデプロイする方法についてご確認ください
- Microsoft Sentinel の他の領域での監査と稼働状況の監視についてご確認ください。