Problemen met uw Microsoft Sentinel-oplossing oplossen voor implementatie van SAP-toepassingen
Dit artikel bevat stappen voor probleemoplossing om ervoor te zorgen dat gegevens nauwkeurig en tijdig worden opgenomen en gecontroleerd voor uw SAP-omgeving met Microsoft Sentinel en de agent voor de gegevensconnector.
Geselecteerde procedures voor probleemoplossing zijn alleen relevant wanneer uw gegevensconnectoragent wordt geïmplementeerd via de opdrachtregel. Als u de aanbevolen procedure hebt gebruikt om de agent vanuit de portal te implementeren, gebruikt u de portal om configuratiewijzigingen aan te brengen.
Notitie
Dit artikel is alleen relevant voor de agent van de gegevensconnector en is niet relevant voor de SAP-oplossing zonder agent (beperkte preview).
Nuttige Docker-opdrachten
Bij het oplossen van problemen met uw Microsoft Sentinel voor SAP-gegevensconnector vindt u mogelijk de volgende opdrachten nuttig:
| Functie | Opdracht |
|---|---|
| De Docker-container stoppen | docker stop sapcon-[SID] |
| De Docker-container starten | docker start sapcon-[SID] |
| Docker-systeemlogboeken weergeven | docker logs -f sapcon-[SID] |
| Voer de Docker-container in | docker exec -it sapcon-[SID] bash |
Zie de Docker CLI-documentatie voor meer informatie.
Systeemlogboeken controleren
We raden u ten zeerste aan de systeemlogboeken te bekijken na het installeren of opnieuw instellen van de gegevensconnector.
Run:
docker logs -f sapcon-[SID]
Afdrukken van foutopsporingsmodus in- of uitschakelen
Deze procedure wordt alleen ondersteund als u de gegevensconnectoragent hebt geïmplementeerd vanaf de opdrachtregel.
Bewerk het bestand /opt/sapcon/[SID]/systemconfig.json op de virtuele machine van de gegevensverzamelaaragentcontainer.
Definieer de sectie Algemeen als deze nog niet eerder is gedefinieerd. In deze sectie definieert u
logging_debug = Trueom foutopsporingsmodus in te schakelen oflogging_debug = Falseom deze uit te schakelen.Voorbeeld:
[General] logging_debug = TrueSla het bestand op.
De wijziging wordt circa twee minuten nadat u het bestand hebt opgeslagen van kracht. U hoeft de Docker-container niet opnieuw op te starten.
Alle logboeken voor het uitvoeren van containers weergeven
De uitvoeringslogboeken van de connector voor uw Microsoft Sentinel-oplossing voor implementatie van SAP-toepassingen-gegevensconnector worden opgeslagen op uw VM in /opt/sapcon/[SID]/log/. De bestandsnaam van het logboek wordt OmniLog.log. Een geschiedenis van logboekbestanden wordt bewaard, achtervoegsel met .[ getal] zoals OmniLog.log,1, OmniLog.log,2, enzovoort.
Het configuratiebestand van de Microsoft Sentinel voor SAP-agentconnector controleren en bijwerken
Deze procedure wordt alleen ondersteund als u de gegevensconnectoragent hebt geïmplementeerd vanaf de opdrachtregel. Als u uw agent via de portal hebt geïmplementeerd, blijft u de configuratie-instellingen behouden en wijzigen via de portal.
Als u via de opdrachtregel hebt geïmplementeerd, voert u de volgende stappen uit:
Open het configuratiebestand op uw VM: sapcon/[SID]/systemconfig.json
Werk de configuratie indien nodig bij en sla het bestand op. Zie de Microsoft Sentinel-oplossing voor bestandsreferenties voor SAP-toepassingen
systemconfig.jsonvoor meer informatie.
De wijziging wordt circa twee minuten nadat u het bestand hebt opgeslagen van kracht. U hoeft de Docker-container niet opnieuw op te starten.
De Microsoft Sentinel voor SAP-gegevensconnector opnieuw instellen
Met de volgende stappen stelt u de connector opnieuw in en neemt u SAP-logboeken opnieuw op uit de afgelopen 30 minuten.
Stop de verbindingslijn. Run:
docker stop sapcon-[SID]Verwijder het metadata.db bestand uit de map /opt/sapcon/[SID]. Run:
cd /opt/sapcon/<SID> rm metadata.dbNotitie
Het metadata.db bestand bevat de laatste tijdstempel voor elk van de logboeken en werkt om duplicatie te voorkomen.
Start de connector opnieuw. Run:
docker start sapcon-[SID]
Zorg ervoor dat u systeemlogboeken controleert wanneer u klaar bent.
Algemene problemen
Nadat u zowel de Microsoft Sentinel voor SAP-gegevensconnector als beveiligingsinhoud hebt geïmplementeerd, kunnen de volgende fouten of problemen optreden:
Beschadigd of ontbrekend SAP SDK-bestand
Deze fout kan optreden wanneer de connector niet kan worden opgestart met PyRfc of zip-gerelateerde foutberichten worden weergegeven.
- Installeer de SAP SDK opnieuw.
- Controleer of u de juiste 64-bits Versie van Linux hebt, zoals nwrfc750P_8-70002752.zip.
Als u de gegevensconnector handmatig hebt geïnstalleerd, moet u ervoor zorgen dat u het SDK-bestand naar de Docker-container hebt gekopieerd.
Run:
docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/
ABAP-runtimefouten doen zich voor op een groot systeem
Deze procedure wordt alleen ondersteund als u de gegevensconnectoragent hebt geïmplementeerd vanaf de opdrachtregel.
Als zich ABAP-runtimefouten voordoen op grote systemen, kunt u proberen een kleinere segmentgrootte in te stellen:
Bewerk het bestand /opt/sapcon/[SID]/systemconfig.json en definieer
timechunk = 5in de sectie Connectorconfiguratie .Voorbeeld:
[Connector Configuration] timechunk = 5Sla het bestand op.
De wijziging wordt circa twee minuten nadat u het bestand hebt opgeslagen van kracht. U hoeft de Docker-container niet opnieuw op te starten.
Notitie
De grootte van de timechunk wordt in minuten gedefinieerd.
Leeg of geen auditlogboek opgehaald, zonder speciale foutberichten
- Controleer of auditlogboekregistratie is ingeschakeld in SAP.
- Controleer de SM19 - of RSAU_CONFIG transacties .
- Schakel indien nodig alle gebeurtenissen in.
- Controleer of berichten binnenkomen en bestaan in sap SM20 of RSAU_READ_LOG, zonder speciale fouten die worden weergegeven in het connectorlogboek.
Onjuiste werkruimte-id of -sleutel in sleutelkluis
Als u erachter komt dat u een onjuiste werkruimte-id of -sleutel hebt ingevoerd in uw implementatiescript, moet u de referenties die zijn opgeslagen in Azure Key Vault bijwerken.
Nadat u uw referenties in Azure KeyVault hebt gecontroleerd, start u de container opnieuw op:
docker restart sapcon-[SID]
Onjuiste SAP ABAP-gebruikersreferenties in sleutelkluis
Controleer uw referenties en corrigeer ze indien nodig. Pas de juiste waarden toe op de waarden ABAPUSER en ABAPPASS in Azure Key Vault.
Start de container vervolgens opnieuw op:
docker restart sapcon-[SID]
Onjuiste SAP ABAP-gebruikersreferenties in een vaste configuratie
Dit gedeelte wordt alleen ondersteund als u de gegevensconnectoragent hebt geïmplementeerd vanaf de opdrachtregel.
Een vaste configuratie is wanneer het wachtwoord rechtstreeks in het systemconfig.json configuratiebestand wordt opgeslagen.
Als uw referenties onjuist zijn, controleert u uw referenties.
Gebruik base64-versleuteling om de gebruiker en het wachtwoord te versleutelen. U kunt online versleutelingshulpprogramma's gebruiken om uw referenties te versleutelen, zoals https://www.base64encode.org/.
Ontbrekende ABAP-machtigingen (SAP-gebruiker)
Als u een foutbericht krijgt dat lijkt op: ..Missing Backend RFC Authorization.., zijn uw SAP-machtigingen en -rol niet naar behoren toegepast.
Controleer of de rol MSFTSEN/SENTINEL_CONNECTOR is geïmporteerd als onderdeel van een wijzigingsaanvraag transport en toegepast op de connectorgebruiker.
Voer het proces voor het genereren van rollen en het vergelijken van gebruikers uit met behulp van de SAP-transactie PFCG.
Ontbrekende gegevens in uw werkmappen of waarschuwingen
Als u merkt dat er gegevens ontbreken in uw Microsoft Sentinel-werkmappen of -waarschuwingen, controleert u of het auditlog-beleid correct is ingeschakeld aan de SAP-zijde, zonder fouten in het containerlogboekbestand.
Gebruik de RSAU_CONFIG_LOG transactie voor deze stap.
Zie de SAP-documentatie en verzamel SAP HANA-auditlogboeken in Microsoft Sentinel voor meer informatie.
Het is raadzaam om controle te configureren voor alle berichten uit het auditlogboek, in plaats van alleen specifieke logboeken. Het kostenverschil is doorgaans minimaal en de gegevens zijn nuttig voor detectie door Microsoft Sentinel en voor onderzoek en opsporing na inbreuk. Zie SAP-controle configureren voor meer informatie.
Ontbrekende velden IP-adres of ZTAransactiecode in het SAP-auditlogboek
In SAP-systemen met versies voor SAP BASIS 7.5 SP12 en hoger kan Microsoft Sentinel extra velden in de ABAPAuditLog_CL en SAPAuditLog tabellen weergeven.
Als u SAP BASIS versie 7.5 SP12 of hoger gebruikt en IP-adres- of transactiecodevelden ontbreken in het SAP-auditlogboek, moet u controleren of het SAP-systeem waaruit u de gegevens extraheert de relevante wijzigingsaanvragen (transporten) bevat. Zie Ondersteuning voor het ophalen van extra gegevens (aanbevolen) voor meer informatie.
SAP-wijzigingsaanvraag ontbreekt
Als u een foutmelding ziet dat een vereiste SAP-wijzigingsaanvraag ontbreekt, moet u controleren of u de juiste SAP-wijzigingsaanvraag hebt geïmporteerd voor uw systeem. Zie SAP-vereisten en Uw SAP-systeem configureren voor de Microsoft Sentinel-oplossing voor meer informatie.
Er worden geen gegevens weergegeven in het SAP-tabelgegevenslogboek
In SAP-systemen met versies voor SAP BASIS 7.5 SP12 en hoger kan Microsoft Sentinel wijzigingen in tabelgegevenslogboeken in de ABAPTableDataLog_CL tabel weergeven.
Als er geen gegevens in de ABAPTableDataLog_CL tabel worden weergegeven, controleert u of het SAP-systeem waaruit u de gegevens extraheert de relevante wijzigingsaanvragen (transporten) bevat. Zie Ondersteuning voor het ophalen van extra gegevens (aanbevolen) voor meer informatie.
Geen records / records laat
De gegevensverzamelingsagent is afhankelijk van de juistheid van de tijdzonegegevens. Als u ziet dat er geen records in de SAP-audit- en wijzigingslogboeken staan, of als records voortdurend een paar uur achterblijven, moet u controleren of fouten worden vermeld in het rapport SAP TZCUSTHELP. Raadpleeg SAP-notitie 481835 voor meer informatie.
Er kunnen mogelijk ook problemen zijn met de klok op de virtuele machine waarop de container van de gegevensverzamelingsagent wordt gehost. Elke afwijking van de klok op de VM ten opzichte van UTC heeft gevolgen voor de gegevensverzameling. Bovendien moeten de klokken op de SAP-systeemmachines en de machines van de gegevensverzamelingsagent overeenkomen.
Het is raadzaam om controle te configureren voor alle berichten uit het auditlogboek, in plaats van alleen specifieke logboeken. Het kostenverschil is doorgaans minimaal en de gegevens zijn nuttig voor detectie door Microsoft Sentinel en voor onderzoek en opsporing na inbreuk. Zie SAP-controle configureren voor meer informatie.
Problemen met de netwerkconnectiviteit
Als u problemen ondervindt met de netwerkverbinding met de SAP-omgeving of met Microsoft Sentinel, controleert u de netwerkverbinding om ervoor te zorgen dat de gegevens naar verwachting stromen.
Veelvoorkomende problemen zijn:
Firewalls tussen de Docker-container en de SAP-hosts blokkeren mogelijk verkeer. De SAP-host ontvangt communicatie via de volgende TCP-poorten, die open moeten zijn: 32xx, 5xx13 en 33xx, waarbij xx het SAP-exemplaarnummer is.
Uitgaande communicatie van uw SAP-agenthost naar Microsoft Container Registry of Azure vereist proxyconfiguratie. Dit is doorgaans van invloed op de installatie en vereist dat u de
HTTP_PROXYenHTTPS_PROXYomgevingsvariabelen configureert. U kunt ook omgevingsvariabelen opnemen in de docker-container wanneer u de container maakt door de-evlag toe te voegen aan de docker-opdracht /createrun.
Ophalen van auditlogboek mislukt met waarschuwingen
Dit gedeelte wordt alleen ondersteund als u de gegevensconnectoragent hebt geïmplementeerd vanaf de opdrachtregel.
Als u probeert een auditlogboek op te halen zonder de vereiste configuraties en het proces mislukt met waarschuwingen, controleert u of het SAP Auditlog kan worden opgehaald met een van de volgende methoden:
- Een compatibiliteitsmodus gebruiken met de naam XAL in oudere versies
- Een versie gebruiken die niet onlangs is gepatcht
- Zonder wijzigingen die zijn aangebracht om verbinding te maken met de Microsoft Sentinel-gegevensconnectoragent. Zie Uw SAP-systeem configureren voor de Microsoft Sentinel-oplossing voor meer informatie.
Hoewel uw systeem automatisch naar de compatibiliteitsmodus zou moeten overschakelen wanneer dat nodig is, kan het zijn dat u deze handmatig moet overschakelen. Handmatig overschakelen naar de compatibiliteitsmodus:
Bewerk het bestand /opt/sapcon/[SID]/systemconfig.json.
In de sectie Connectorconfiguratie definieert uefine:
auditlogforcexal = TrueVoorbeeld:
[Connector Configuration] auditlogforcexal = TrueSla het bestand op.
De wijziging wordt circa twee minuten nadat u het bestand hebt opgeslagen van kracht. U hoeft de Docker-container niet opnieuw op te starten.
SAPCONTROL- of JAVA-subsystemen kunnen geen verbinding maken
Controleer of de gebruiker van het besturingssysteem geldig is en de volgende opdracht kan uit voeren op het SAP-doelsysteem:
sapcontrol -nr <SID> -function GetSystemInstanceList
SAPCONTROL- of JAVA-subsysteem faalt met foutbericht dat betrekking heeft op tijdzones
Als uw SAPCONTROL- of JAVA-subsysteem faalt met een foutbericht dat betrekking heeft op tijdzones, zoals: Controleer de configuratie van en netwerktoegang tot de SAP-server - 'Etc/NZST', moet u controleren of standaard tijdzonecodes worden gebruikt.
Gebruik bijvoorbeeld javatz = GMT+12 of abaptz = GMT-3**.
Auditlogboekgegevens die niet zijn opgenomen in het verleden
Als de SAP-auditlogboekgegevens, zichtbaar in de RSAU_READ_LOAD - of SM200-transacties , niet worden opgenomen in Microsoft Sentinel na de eerste belasting, hebt u mogelijk een onjuiste configuratie van het SAP-systeem en het SAP-hostbesturingssysteem.
- Initiële belastingen worden opgenomen na een nieuwe installatie van de Microsoft Sentinel voor SAP-gegevensconnector of nadat het metadata.db bestand is verwijderd.
- Een voorbeeldfoutconfiguratie kan zijn wanneer uw SAP-systeemtijdzone is ingesteld op CET in de STZAC-transactie, maar de tijdzone van het SAP-hostbesturingssysteem is ingesteld op UTC.
Als u wilt controleren op onjuiste configuraties, voert u het RSDBTIME-rapport uit in transactie SE38. Als u merkt dat het SAP-systeem en het SAP-hostbesturingssysteem niet overeenkomen:
Beëindig de Docker-container. Uitvoeren
docker stop sapcon-[SID]Verwijder het metadata.db bestand uit de map /opt/sapcon/[SID]. Run:
rm /opt/sapcon/[SID]/metadata.dbWerk het SAP-systeem en het SAP-hostbesturingssysteem bij zodat ze overeenkomende instellingen hebben, zoals dezelfde tijdzone. Zie de SAP Community Wiki voor meer informatie.
Start de container opnieuw. Run:
docker start sapcon-[SID]
Andere onverwachte problemen
Als u onverwachte problemen ondervindt die niet worden vermeld in dit artikel, voert u de volgende stappen uit:
- De connector opnieuw instellen en uw logboeken opnieuw laden
- Voer een upgrade uit van de connector naar de nieuwste versie.
Tip
Het opnieuw instellen van uw connector en ervoor zorgen dat u over de meest recente upgrades beschikt, wordt ook aanbevolen na belangrijke configuratiewijzigingen.
Gerelateerde inhoud
Meer informatie over de Microsoft Sentinel-oplossing voor SAP-toepassingen:
- Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen
- Vereisten voor het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen
- Uw SAP-systeem configureren voor de Microsoft Sentinel-oplossing
- De inhoud van de oplossing implementeren vanuit de inhoudshub
- Uw SAP-systeem verbinden door de agentcontainer voor de gegevensconnector te implementeren
- SAP HANA-auditlogboeken verzamelen
Referentiebestanden:
- Microsoft Sentinel-oplossing voor gegevensreferenties voor SAP-toepassingen
- Microsoft Sentinel-oplossing voor SAP-toepassingen: naslaginformatie over beveiligingsinhoud
- Naslaginformatie over Kickstart-scripts
- Scriptreferentie bijwerken
-
Microsoft Sentinel-oplossing voor bestandsreferenties voor SAP-toepassingen
systemconfig.json
Zie Microsoft Sentinel-oplossingen voor meer informatie.