SAP 애플리케이션용 Microsoft Sentinel 솔루션에 대한 로그 및 테이블 참조
이 문서에서는 SAP 애플리케이션 및 해당 데이터 커넥터에 대한 Microsoft Sentinel 솔루션의 일부로 사용할 수 있는 로그 및 테이블에 대해 설명합니다.
이 문서에 언급된 일부 로그는 기본적으로 Microsoft Sentinel로 전송되지 않지만 필요에 따라 수동으로 추가할 수 있습니다. 자세한 내용은 Microsoft Sentinel로 전송되는 SAP 로그 정의를 참조 하세요.
이 문서의 콘텐츠는 SAP BASIS 팀을 위한 것입니다.
Important
SAP용 Microsoft Sentinel Threat Monitoring 솔루션의 일부 구성 요소는 현재 미리 보기 상태입니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
기본 로그 또는 테이블 대신 쿼리에서 함수 사용
가능한 경우 기본 로그나 테이블 대신 사용 가능한 함수를 분석의 주체로 사용하는 것이 좋습니다.
SAP 애플리케이션용 Microsoft Sentinel 솔루션과 함께 제공되는 함수는 데이터에 대한 주 사용자 인터페이스 역할을 하기 위한 것입니다. 이는 기본적으로 제공되는 모든 기본 제공 분석 규칙 및 통합 문서의 기초가 됩니다. 함수를 사용하면 사용자가 만든 콘텐츠를 중단하지 않고 함수 아래의 데이터 인프라를 변경할 수 있습니다.
자세한 내용은 AZURE Monitor 로그 쿼리의 함수 참조 및 함수인 SAP 애플리케이션에 대한 Microsoft Sentinel 솔루션을 참조하세요.
로그 검사
SAP 애플리케이션용 Microsoft Sentinel 솔루션은 애플리케이션, OS 및 데이터 계층에서 로그를 수집하여 SAP 시스템에 대한 포괄적인 보호를 제공합니다.
애플리케이션 계층: Microsoft Sentinel은 비즈니스 논리 실행 및 트랜잭션 처리를 담당하는 SAP 시스템의 기본 애플리케이션 계층인 ABAP 계층 내의 활동을 모니터링합니다. 예를 들어 Microsoft Sentinel은 로그인, 암호 변경, 보고서 또는 파일에 대한 액세스와 같은 사용자 작업을 포함하는 로그를 수집합니다.
보안 모니터링 외에도 애플리케이션 계층에서 수집된 로그를 규정 준수 및 감사 목적으로 사용할 수 있습니다.
OS 계층: Microsoft Sentinel은 운영 체제에서 로그를 수집하여 ABAP 서버 및 SAP 애플리케이션이 실행 중인 가상 머신과 같은 OS 수준 활동에 대한 인사이트를 제공합니다.
SAP 애플리케이션용 Microsoft Sentinel 솔루션을 다른 서비스에 대한 보안 콘텐츠 및 데이터 커넥터와 함께 사용하여 포괄적이고 중앙적인 모니터링을 수행하고, 모든 시스템에서 정보를 상호 연결하고, 전반적인 보안 태세를 향상할 수 있습니다.
데이터베이스 계층: 데이터베이스 로그를 Microsoft Sentinel에 수집하여 데이터베이스 관리 활동 및 테이블 데이터 변경과 같은 데이터베이스 활동을 모니터링합니다. SAP 애플리케이션용 Microsoft Sentinel 솔루션은 데이터베이스에 구애받지 않습니다.
데이터 커넥터 에이전트에서 수집한 모든 로그는 먼저 컨테이너 인스턴스의 폴더에 있는 데이터 수집기 에이전트 컴퓨터에 /opt/sapcon/<sid>/log 저장됩니다. 그런 다음 로그를 Log Analytics 작업 영역으로 전달하여 Microsoft Sentinel에서 보고 감사하고 쿼리할 수 있습니다.
감사 로그는 1분마다 수집 및 수집되지만 다른 로그는 덜 자주 수집될 수 있습니다. 또한 Microsoft Sentinel은 데이터 커넥터 에이전트 하트비트를 모니터링하여 로그가 수집되어 Log Analytics 작업 영역으로 전송되는지 확인합니다.
로그 참조
다음 섹션에서는 Microsoft Sentinel의 테이블 이름, 로그 용도 및 자세한 로그 스키마를 포함하여 SAP 애플리케이션 데이터 커넥터용 Microsoft Sentinel 솔루션에서 사용할 수 있는 SAP 로그에 대해 설명합니다.
스키마 필드 설명은 관련 SAP 설명서의 필드 설명을 기반으로 합니다.
- ABAP 애플리케이션 로그
- ABAP 변경 문서 로그
- ABAP CR 로그
- ABAP DB 테이블 데이터 로그(미리 보기)
- ABAP 게이트웨이 로그(미리 보기)
- ABAP ICM 로그(미리 보기)
- ABAP 작업 로그
- ABAP 보안 감사 로그
- ABAP 스풀 로그
- APAB 스풀 출력 로그
- ABAP SysLog
- ABAP 워크플로 로그
- ABAP WorkProcess 로그
- HANA DB 감사 내역
- JAVA 파일
- SAP 하트비트 로그
ABAP 애플리케이션 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPAppLog
관련 SAP 문서: SAP 도움말 포털
로그 용도: 나중에 필요에 따라 재구성할 수 있도록 애플리케이션 실행 진행률을 기록합니다.
표준 SAP 테이블 및 XBP 인터페이스의 표준 서비스를 기반으로 RFC를 사용하여 제공됩니다. 이 로그는 클라이언트별로 생성됩니다.
로그 스키마 ABAPAppLog_CL
| 필드 | 설명 |
|---|---|
| AppLogDateTime | 애플리케이션 로그 날짜 시간 |
| CallbackProgram | 콜백 프로그램 |
| CallbackRoutine | 콜백 루틴 |
| CallbackType | 콜백 유형 |
| ClientID | ABAP 클라이언트 ID(MANDT) |
| ContextDDIC | 컨텍스트 DDIC 구조체 |
| ExternalID | 외부 로그 ID |
| 호스트 | 호스트 |
| 인스턴스 | 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | 일련의 애플리케이션 로그 메시지 |
| LevelofDetail | 세부 수준 |
| LogHandle | 애플리케이션 로그 핸들 |
| LogNumber | 로그 번호 |
| MessageClass | Message 클래스 |
| MessageNumber | 메시지 번호 |
| MessageText | 메시지 텍스트 |
| MessageType | 메시지 유형 |
| Object | 애플리케이션 로그 개체 |
| OperationMode | 작업 모드 |
| ProblemClass | 문제 클래스 |
| ProgramName | 프로그램 이름 |
| SortCriterion | 정렬 기준 |
| StandardText | 표준 텍스트 |
| SubObject | 애플리케이션 로그 하위 개체 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TransactionCode | 트랜잭션 코드 |
| 사용자 | 사용자 |
| UserChange | 사용자 변경 |
ABAP 변경 문서 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPChangeDocsLog
관련 SAP 문서: SAP 도움말 포털
로그 용도: 레코드:
SAP NetWeaver AS(Application Server) ABAP는 변경 문서에서 비즈니스 데이터 개체에 대한 변경 내용을 기록합니다.
SAP 시스템의 다른 엔터티(예: 사용자 데이터, 역할, 주소)
표준 SAP 테이블을 기반으로 RFC를 사용하여 제공됩니다. 이 로그는 클라이언트별로 생성됩니다.
로그 스키마 ABAPChangeDocsLog_CL
| 필드 | 설명 |
|---|---|
| ActualChangeNum | 실제 변경 번호 |
| ChangedTableKey | 변경된 테이블 키 |
| ChangeNumber | 번호 바꾸기 |
| ClientID | ABAP 클라이언트 ID(MANDT) |
| CreatedfromPlannedChange | 다음 구문에서 계획된 변경 내용으로 생성됩니다. (‘X’ , ‘ ‘) |
| CurrencyKeyNew | 통화 키: 새 값 |
| CurrencyKeyOld | 통화 키: 이전 값 |
| FieldName | 필드 이름 |
| FlagText | 텍스트 플래그 지정 |
| 호스트 | 호스트 |
| 인스턴스 | 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR> |
| 언어 | 언어 |
| ObjectClass | 개체 클래스(예: BELEG, , ) BPARPFCGIDENTITY |
| ObjectID | 개체 ID |
| PlannedChangeNum | 계획된 변경 번호 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TableName | 테이블 이름 |
| TransactionCode | 트랜잭션 코드 |
| TypeofChange_Header | 다음을 비롯한 변경의 헤더 형식: U = 변경; I = 삽입; E = 단일 Docu 삭제; D = 삭제; J = 단일 Docu 삽입 |
| TypeofChange_Item | 다음을 비롯한 변경 항목 유형: U = 변경; I = 삽입; E = 단일 Docu 삭제; D = 삭제; J = 단일 Docu 삽입 |
| UOMNew | 측정 단위: 새 값 |
| UOMOld | 측정 단위: 이전 값 |
| 사용자 | 사용자 |
| ValueNew | 필드 콘텐츠: 새 값 |
| ValueOld | 필드 콘텐츠: 이전 값 |
| 버전 | 버전 |
ABAP CR 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPCRLog
관련 SAP 문서: SAP 도움말 포털
로그 용도: 디렉터리 개체 및 변경된 사용자 지정을 포함하여 CTS(변경 및 전송 시스템) 로그를 포함합니다.
표준 테이블 및 표준 SAP 서비스를 기반으로 RFC를 사용하여 제공됩니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
참고 항목
애플리케이션 로깅, 변경 문서 및 테이블 기록 외에도 변경 및 전송 시스템을 사용하여 프로덕션 시스템에 적용한 모든 변경 내용은 CTS 및 TMS 로그에 설명되어 있습니다.
ABAPCRLog_CL 로그 스키마
| 필드 | 설명 |
|---|---|
| 범주 | 범주(Workbench, 사용자 지정) |
| ClientID | ABAP 클라이언트 ID(MANDT) |
| 설명 | 설명 |
| Host | 호스트 |
| 인스턴스 | 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR> |
| ObjectName | Object name |
| ObjectType | Object type |
| 소유자 | 소유자 |
| 요청 | 변경 요청 |
| 상태 | 상태 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TableKey | 테이블 키 |
| TableName | 테이블 이름 |
| ViewName | 보기 이름 |
ABAP DB 테이블 데이터 로그(미리 보기)
이 로그를 Microsoft Sentinel로 보내려면 systemconfig.json 파일에 수동으로 추가해야 합니다. 이 로그는 권장되는 절차를 사용하여 포털에서 데이터 커넥터 에이전트를 설치하는 경우 지원되지 않습니다.
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPTableDataLog
관련 SAP 문서: SAP 도움말 포털
로그 용도: 중요하거나 감사에 취약한 테이블에 대한 로깅을 제공합니다.
사용자 지정 서비스와 함께 RFC를 통해 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
ABAPTableDataLog_CL 로그 스키마
| 필드 | 설명 |
|---|---|
| DBLogID | DB 로그 ID |
| 호스트 | 호스트 |
| 인스턴스 | 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR> |
| 언어 | 언어 |
| LogKey | 로그 키 |
| NewValue | 필드 새 값 |
| OldValue | 필드 이전 값 |
| OperationTypeSQL | 작업 유형, Insert, UpdateDelete |
| 프로그램 | 프로그램 이름 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TableField | 테이블 필드 |
| TableName | 테이블 이름 |
| TransactionCode | 트랜잭션 코드 |
| UserName | 사용자 |
| VersionNumber | 버전 번호 |
ABAP 게이트웨이 로그(미리 보기)
이 로그를 Microsoft Sentinel로 보내려면 systemconfig.json 파일에 수동으로 추가해야 합니다. 이 로그는 권장되는 절차를 사용하여 포털에서 데이터 커넥터 에이전트를 설치하는 경우 지원되지 않습니다.
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPOS_GW
관련 SAP 문서: SAP 도움말 포털
로그 용도: 게이트웨이 활동을 모니터링합니다. SAP Control 웹 서비스에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
ABAPOS_GW_CL 로그 스키마
| 필드 | 설명 |
|---|---|
| Host | 호스트 |
| 인스턴스 | 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR> |
| MessageText | 메시지 텍스트 |
| 심각도 | 메시지 심각도: Debug, Info, Warning, Error |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
ABAP ICM 로그(미리 보기)
이 로그를 Microsoft Sentinel로 보내려면 systemconfig.json 파일에 수동으로 추가해야 합니다. 이 로그는 권장되는 절차를 사용하여 포털에서 데이터 커넥터 에이전트를 설치하는 경우 지원되지 않습니다.
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPOS_ICM
관련 SAP 문서: SAP 도움말 포털
로그 용도: 인바운드 및 아웃바운드 요청을 기록하고 HTTP 요청의 통계를 컴파일합니다.
SAP Control 웹 서비스에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
ABAPOS_ICM_CL 로그 스키마
| 필드 | 설명 |
|---|---|
| Host | 호스트 |
| 인스턴스 | 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR> |
| MessageText | 메시지 텍스트 |
| 심각도 | 메시지 심각도( 포함: Debug, , Info, WarningError |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
ABAP 작업 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPJobLog
관련 SAP 문서: SAP 도움말 포털
로그 용도: 모든 백그라운드 처리 작업 로그(SM37)를 결합합니다.
표준 SAP 테이블 및 XBP 인터페이스의 표준 서비스를 기반으로 RFC를 사용하여 제공됩니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
로그 스키마 ABAPJobLog_CL
| 필드 | 설명 |
|---|---|
| ABAPProgram | ABAP 프로그램 |
| BgdEventParameters | 백그라운드 이벤트 매개 변수 |
| BgdProcessingEvent | 백그라운드 처리 이벤트 |
| ClientID | ABAP 클라이언트 ID(MANDT) |
| DynproNumber | Dynpro 번호 |
| GUIStatus | GUI 상태 |
| 호스트 | 호스트 |
| 인스턴스 | ABAP 인스턴스(HOST_SYSID_SYSNR)는 다음 구문에 있습니다. <HOST>_<SYSID>_<SYSNR> |
| JobClassification | 직군 |
| JobCount | 작업 수 |
| JobGroup | 작업 그룹 |
| JobName | 작업 이름 |
| JobPriority | 작업 우선 순위 |
| MessageClass | Message 클래스 |
| MessageNumber | 메시지 번호 |
| MessageText | 메시지 텍스트 |
| MessageType | 메시지 유형 |
| ReleaseUser | 작업 릴리스 사용자 |
| SchedulingDateTime | 날짜 시간 예약 |
| StartDateTime | 시작 날짜 시간 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TargetServer | 대상 서버 |
| 사용자 | 사용자 |
| UserReleaseInstance | ABAP 인스턴스 - 사용자 릴리스 |
| WorkProcessID | 작업 프로세스 ID |
| WorkProcessNumber | 작업 프로세스 번호 |
ABAP 보안 감사 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPAuditLog
관련 SAP 문서: SAP 도움말 포털
로그 용도: 다음 데이터를 기록합니다.
- SAP 시스템 환경의 보안 관련 변경 내용(예: 주 사용자 레코드 변경)
- 성공 및 실패한 로그인 시도와 같은 더 높은 수준의 데이터를 제공하는 정보
- 성공 또는 실패한 트랜잭션 시작과 같은 일련의 이벤트를 재구성할 수 있도록 하는 정보
RFC XAL/SAL 인터페이스를 사용하여 사용할 수 있습니다. SAL은 버전 기준 7.50부터 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
ABAPAuditLog_CL 로그 스키마
| 필드 | 설명 |
|---|---|
| ABAPProgramName | 프로그램 이름, SAL만 |
| 경고 심각도 | 경고 심각도 |
| AlertSeverityText | 경고 심각도 텍스트, SAL 전용 |
| AlertValue | 경고 값 |
| AuditClassID | 감사 클래스 ID, SAL만 |
| ClientID | ABAP 클라이언트 ID(MANDT) |
| 컴퓨터 | 사용자 컴퓨터, SAL만 |
| 전자 메일 | 사용자 이메일 |
| 호스트 | 호스트 |
| 인스턴스 | 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | Message 클래스 |
| MessageContainerID | 메시지 컨테이너 ID, XAL 전용 |
| MessageId | 메시지 ID(예: ‘AU1’,’AU2’… |
| MessageText | 메시지 텍스트 |
| MonitoringObjectName | MTE Monitor 개체 이름, XAL만 |
| MonitorShortName | MTE 모니터 짧은 이름, XAL만 |
| SAPProcesType | 시스템 로그: SAP 프로세스 유형, SAL만 |
| B* - 백그라운드 처리 중 | |
| D* - 대화 상자 처리 | |
| U* - 작업 업데이트 | |
| SAPWPName | 시스템 로그: 작업 프로세스 번호, SAL만 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TerminalIPv6 | 사용자 컴퓨터 IP, SAL만 |
| TransactionCode | 트랜잭션 코드, SAL만 |
| 사용자 | 사용자 |
| Variable1 | 메시지 변수 1 |
| Variable2 | 메시지 변수 2 |
| Variable3 | 메시지 변수 3 |
| Variable4 | 메시지 변수 4 |
ABAP 스풀 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPSpoolLog
관련 SAP 문서: SAP 도움말 포털
로그 용도: 스풀 요청 기록을 사용하여 SAP 인쇄의 기본 로그 역할을 합니다. (SP01).
표준 SAP 테이블을 기반으로 RFC를 사용하여 제공됩니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
ABAPSpoolLog_CL 로그 스키마
| 필드 | 설명 |
|---|---|
| ArchiveStatus | 보관 상태 |
| ArchiveType | 보관 유형 |
| ArchivingDevice | 디바이스 보관 |
| AutoRereoute | 자동 경로 다시 라우팅 |
| ClientID | ABAP 클라이언트 ID(MANDT) |
| CountryKey | 국가/지역 키 |
| DeleteSpoolRequestAuto | 스풀 요청 자동 삭제 |
| DelFlag | 삭제 플래그 |
| 부서 | 부서 |
| DocumentType | Document type |
| ExternalMode | 외부 모드 |
| FormatType | 형식 유형 |
| 호스트 | 호스트 |
| 인스턴스 | 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | 복사본 수 |
| OutputDevice | 출력 디바이스 |
| PrinterLongName | 프린터 긴 이름 |
| PrintImmediately | 즉시 인쇄 |
| PrintOSCoverPage | OSCover 페이지 인쇄 |
| PrintSAPCoverPage | SAPCover 페이지 인쇄 |
| 우선 순위 | 우선 순위 |
| RecipientofSpoolRequest | 스풀 요청의 수신자 |
| SpoolErrorStatus | 스풀 오류 상태 |
| SpoolRequestCompleted | 스풀 요청이 완료됨 |
| SpoolRequestisALogForAnotherRequest | 스풀 요청은 다른 요청에 대한 로그입니다. |
| SpoolRequestName | 스풀 요청 이름 |
| SpoolRequestNumber | 스풀 요청 번호 |
| SpoolRequestSuffix1 | 스풀 요청 접미사1 |
| SpoolRequestSuffix2 | 스풀 요청 접미사2 |
| SpoolRequestTitle | 스풀 요청 제목 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TelecommunicationsPartner | 통신 파트너 |
| TelecommunicationsPartnerE | 통신 파트너 E |
| TemSeGeneralcounter | Temse 카운터 |
| TemseNumAddProtectionRule | Temse 번호 보호 규칙 추가 |
| TemseNumChangeProtectionRule | Temse 번호 변경 보호 규칙 |
| TemseNumDeleteProtectionRule | Temse 번호 삭제 보호 규칙 |
| TemSeObjectName | Temse 개체 이름 |
| TemSeObjectPart | TemSe 개체 부분 |
| TemseReadProtectionRule | Temse 읽기 방지 규칙 |
| 사용자 | 사용자 |
| ValueAuthCheck | 값 인증 확인 |
APAB 스풀 출력 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPSpoolOutputLog
관련 SAP 문서: SAP 도움말 포털
로그 용도: 스풀 출력 요청 기록을 사용하여 SAP 인쇄의 기본 로그 역할을 합니다. (SP02).
표준 테이블을 기반으로 하는 사용자 지정 서비스와 함께 RFC를 사용하여 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
로그 스키마 ABAPSpoolOutputLog_CL
| 필드 | 설명 |
|---|---|
| AppServer | 애플리케이션 서버 |
| ClientID | ABAP 클라이언트 ID(MANDT) |
| Comment(설명) | Comment(설명) |
| CopyCount | 복사 횟수 |
| CopyCounter | 카운터 복사 |
| 부서 | 부서 |
| ErrorSpoolRequestNumber | 오류 요청 번호 |
| FormatType | 형식 유형 |
| 호스트 | 호스트 |
| HostName | 호스트 이름 |
| HostSpoolerID | 호스트 스풀러 ID |
| 인스턴스 | ABAP 인스턴스 |
| LastPage | 마지막 페이지 |
| NumofCopies | 복사본 수 |
| OutputDevice | 출력 디바이스 |
| OutputRequestNumber | 출력 요청 번호 |
| OutputRequestStatus | 출력 요청 상태 |
| PhysicalFormatType | 물리적 형식 형식 |
| PrinterLongName | 프린터 긴 이름 |
| PrintRequestSize | 인쇄 요청 크기 |
| 우선 순위 | 우선 순위 |
| ReasonforOutputRequest | 출력 요청 이유 |
| RecipientofSpoolRequest | 스풀 요청의 수신자 |
| SpoolNumberofOutputReqProcessed | 출력 요청 수 - 처리됨 |
| SpoolNumberofOutputReqWithErrors | 출력 요청 수 - 오류 발생 |
| SpoolNumberofOutputReqWithProblems | 출력 요청 수 - 문제 |
| SpoolRequestNumber | 스풀 요청 번호 |
| StartPage | 시작 페이지 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TelecommunicationsPartner | 통신 파트너 |
| TemSeGeneralcounter | Temse 카운터 |
| 타이틀 | 타이틀 |
| 사용자 | 사용자 |
ABAP Syslog
이 로그를 Microsoft Sentinel로 보내려면 systemconfig.json 파일에 수동으로 추가해야 합니다. 이 로그는 권장되는 절차를 사용하여 포털에서 데이터 커넥터 에이전트를 설치하는 경우 지원되지 않습니다.
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPOS_Syslog
관련 SAP 문서: SAP 도움말 포털
로그 용도: 모든 SAP NetWeaver AS(SAP NetWeaver Application Server) ABAP 시스템 오류, 경고, 알려진 사용자의 로그인 시도 실패로 인한 사용자 잠금 및 프로세스 메시지를 기록합니다.
SAP Control 웹 서비스에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
ABAPOS_Syslog_CL 로그 스키마
| 필드 | 설명 |
|---|---|
| ClientID | ABAP 클라이언트 ID(MANDT) |
| 호스트 | 호스트 |
| 인스턴스 | 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | 메시지 번호 |
| MessageText | 메시지 텍스트 |
| 심각도 | 메시지 심각도, 다음 값 중 하나: Debug, Info, WarningError |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TransacationCode | 트랜잭션 코드 |
| Type | SAP 프로세스 유형 |
| 사용자 | 사용자 |
ABAP 워크플로 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPWorkflowLog
관련 SAP 문서: SAP 도움말 포털
로그 용도: SAP 비즈니스 워크플로(WebFlow 엔진)를 사용하면 SAP 시스템에 아직 매핑되지 않은 비즈니스 프로세스를 정의할 수 있습니다.
예를 들어 매핑되지 않은 비즈니스 프로세스는 간단한 릴리스 또는 승인 절차 또는 기본 자료를 만든 다음 관련 부서를 조정하는 등 보다 복잡한 비즈니스 프로세스일 수 있습니다.
표준 SAP 테이블을 기반으로 RFC를 사용하여 제공됩니다. 이 로그는 클라이언트별로 생성됩니다.
ABAPWorkflowLog_CL 로그 스키마
| 필드 | 설명 |
|---|---|
| ActualAgent | 실제 에이전트 |
| 주소 | 주소 |
| ApplicationArea | 애플리케이션 영역 |
| CallbackFunction | 콜백 함수 |
| ClientID | ABAP 클라이언트 ID(MANDT) |
| CreationDateTime | 생성 날짜 시간 |
| 작성자 | 작성자 |
| CreatorAddress | 작성자 주소 |
| ErrorType | 오류 유형 |
| ExceptionforMethod | 메서드에 대한 예외 |
| 호스트 | 호스트 |
| 인스턴스 | ABAP 인스턴스(HOST_SYSID_SYSNR)는 다음 구문에 있습니다. <HOST>_<SYSID>_<SYSNR> |
| 언어 | 언어 |
| LogCounter | 로그 카운터 |
| MessageNumber | 메시지 번호 |
| MessageType | 메시지 유형 |
| MethodUser | 메서드 사용자 |
| 우선 순위 | 우선 순위 |
| SimpleContainer | 작업 항목에 대한 키-값 엔터티 목록으로 압축된 간단한 컨테이너 |
| 상태 | 상태 |
| SuperWI | 슈퍼 WI |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TaskID | 작업 ID |
| TasksClassification | 작업 분류 |
| TaskText | 작업 텍스트 |
| TopTaskID | 상위 작업 ID |
| UserCreated | 사용자 생성됨 |
| WIText | 작업 항목 텍스트 |
| WIType | 작업 항목 형식 |
| WorkflowAction | 워크플로 동작 |
| WorkItemID | 작업 항목 ID |
ABAP WorkProcess 로그
이 로그를 Microsoft Sentinel로 보내려면 systemconfig.json 파일에 수동으로 추가해야 합니다. 이 로그는 권장되는 절차를 사용하여 포털에서 데이터 커넥터 에이전트를 설치하는 경우 지원되지 않습니다.
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPOS_WP
관련 SAP 문서: SAP 도움말 포털
로그 용도: 모든 작업 프로세스 로그를 결합합니다. (기본값
dev_*)SAP Control 웹 서비스에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
로그 스키마 ABAPOS_WP_CL
| 필드 | 설명 |
|---|---|
| Host | 호스트 |
| 인스턴스 | 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR> |
| MessageText | 메시지 텍스트 |
| 심각도 | 메시지 심각도: Debug, Info, Warning, Error |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| WPNumber | 작업 프로세스 번호 |
HANA DB 감사 내역
HANA DB 감사 추적 로그 수집은 Microsoft Sentinel이 데이터베이스 계층 활동을 수집하는 방법의 예입니다. 이 로그를 Microsoft Sentinel로 보내려면 AZURE Monitor 에이전트를 배포하여 HANA DB를 실행하는 컴퓨터에서 Syslog 데이터를 수집해야 합니다.
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPSyslog
로그 용도: SAP HANA 데이터베이스에서 사용자 작업 또는 시도된 작업을 기록합니다. 예를 들어 중요한 데이터에 대한 읽기 액세스를 기록하고 모니터링할 수 있습니다.
Syslog용 Microsoft Sentinel Linux 에이전트에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
Syslog 로그 스키마
| 필드 | 설명 |
|---|---|
| 컴퓨터 | 호스트 이름 |
| HostIP | 호스트 IP |
| HostName | 호스트 이름 |
| ProcessID | 프로세스 ID |
| ProcessName | 프로세스 이름: HDB* |
| SeverityLevel | 경고 |
| SourceSystem | 원본 시스템 OS, Linux |
| SyslogMessage | 메시지, 분석되지 않은 감사 내역 메시지 |
JAVA 파일
이 로그를 Microsoft Sentinel로 보내려면 systemconfig.json 파일에 수동으로 추가해야 합니다. 이 로그는 권장되는 절차를 사용하여 포털에서 데이터 커넥터 에이전트를 설치하는 경우 지원되지 않습니다.
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPJAVAFilesLogs
관련 SAP 문서: 일반 | Java 보안 감사 로그
로그 용도: 보안 감사 로그 및 시스템(클러스터 및 서버 프로세스), 성능 및 게이트웨이 로그를 비롯한 모든 Java 파일 기반 로그를 결합합니다. 개발자 추적 및 기본 추적 로그도 포함됩니다.
SAP Control 웹 서비스에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
JavaFilesLogsCL 로그 스키마
| 필드 | 설명 |
|---|---|
| 애플리케이션 | Java 애플리케이션 |
| ClientID | 클라이언트 ID |
| CSNComponent | CSN 구성 요소(예: BC-XI-IBD |
| DCComponent | DC 구성 요소(예: com.sap.xi.util.misc |
| DSRCounter | DSR 카운터 |
| DSRRootContentID | DSR 컨텍스트 GUID |
| DSRTransaction | DSR 트랜잭션 GUID |
| 호스트 | 호스트 |
| 인스턴스 | Java 인스턴스의 구문은 다음과 같습니다. <HOST>_<SYSID>_<SYSNR> |
| 위치 | Java 클래스 |
| LogName | Java logName(예: Available, , defaulttracedev*, security등) |
| MessageText | 메시지 텍스트 |
| MNo | 메시지 번호 |
| Pid | 프로세스 ID |
| 프로그램 | 프로그램 이름 |
| 세션 | 세션 |
| 심각도 | 메시지 심각도(예: Debug,Info,Warning,Error |
| 해결 방법 | 해결 방법 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| ThreadName | 스레드 이름 |
| throw됨 | throw된 예외 |
| TimeZone | 표준 시간대 |
| 사용자 | 사용자 |
SAP 하트비트 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPConnectorHealth
로그 목적: 에이전트와 다른 SAP 시스템 간의 연결에 대한 하트비트 및 기타 상태 정보를 제공합니다.
SAP용 Microsoft Sentinel 데이터 커넥터의 모든 에이전트에 대해 자동으로 만들어집니다.
SAP_HeartBeat_CL log schema
| 필드 | 설명 |
|---|---|
| TimeGenerated | 로그 게시 이벤트 시간 |
| agent_id_s | 에이전트 구성의 에이전트 ID(자동으로 생성됨) |
| agent_ver_s | 에이전트 버전 |
| host_s | 에이전트의 호스트 이름 |
| system_id_s | Netweaver ABAP 시스템 ID/ Netweaver SAPControl 호스트(미리 보기)/ Java SAPControl 호스트(미리 보기) |
| push_timestamp_d | 추출의 타임스탬프(에이전트의 표준 시간대 기준) |
| agent_timezone_s | 에이전트의 표준 시간대 |
SAP 시스템에서 직접 검색된 테이블 참조
이 섹션에서는 SAP 시스템에서 직접 검색되고 Microsoft Sentinel로 수집되는 데이터 테이블을 그대로 나열합니다.
이러한 테이블에서 검색된 데이터는 권한 부여 구조, 그룹 멤버 자격 및 사용자 프로필에 대한 명확한 보기를 제공합니다. 또한 권한 부여 및 해지 프로세스를 추적하고 해당 프로세스와 관련된 위험을 식별하고 제어할 수 있게 해줍니다.
아래에 나열된 테이블은 권한 있는 사용자를 식별하고 사용자를 역할, 그룹 및 권한 부여에 매핑하는 함수를 사용하도록 설정하는 데 필요합니다.
최상의 결과를 보려면 다음 표의 Microsoft Sentinel 함수 이름 열에 있는 이름을 사용하여 다음 테이블을 참조하세요.
| 테이블 이름 | 테이블 설명 | Microsoft Sentinel 함수 이름 |
|---|---|---|
| USR01 | 사용자 마스터 레코드(런타임 데이터) | SAP_USR01 |
| USR02 | 로그인 데이터(커널 쪽 사용) | SAP_USR02 |
| UST04 | 사용자 마스터 프로필에 사용자 매핑 |
SAP_UST04 |
| AGR_USERS | 사용자에게 역할 할당 | SAP_AGR_USERS |
| AGR_1251 | 작업 그룹에 대한 권한 부여 데이터 | SAP_AGR_1251 |
| USGRP_USER | 사용자 그룹에 사용자 할당 | SAP_USGRP_USER |
| USR21 | 사용자 이름/주소 키 할당 | SAP_USR21 |
| ADR6 | 이메일 주소(비즈니스 주소 서비스) | SAP_ADR6 |
| USRSTAMP | 사용자에 대한 모든 변경 내용의 타임스탬프 | SAP_USRSTAMP |
| ADCP | 개인/주소 할당(비즈니스 주소 서비스) | SAP_ADCP |
| USR05 | 사용자 마스터 매개 변수 ID | SAP_USR05 |
| AGR_PROF | 역할의 프로필 이름 | SAP_AGR_PROF |
| AGR_FLAGS | 역할 특성 | SAP_AGR_FLAGS |
| DEVACCESS | 개발 사용자용 테이블 | SAP_DEVACCESS |
| AGR_DEFINE | 역할 정의 | SAP_AGR_DEFINE |
| AGR_AGRS | 복합 역할의 역할 | SAP_AGR_AGRS |
| PAHI | 시스템, 데이터베이스 및 SAP 매개 변수의 기록 | SAP_PAHI |
| SNCSYSACL(미리 보기) | SNC ACL(액세스 제어 목록): 시스템 | SAP_SNCSYSACL |
| USRACL(미리 보기) | SNC ACL(액세스 제어 목록): 사용자 | SAP_USRACL |
관련 콘텐츠
자세한 내용은 다음을 참조하세요.