Naslaginformatie over logboeken en tabellen voor de Microsoft Sentinel-oplossing voor SAP-toepassingen
In dit artikel worden de logboeken en tabellen beschreven die beschikbaar zijn als onderdeel van de Microsoft Sentinel-oplossing voor SAP-toepassingen en de bijbehorende gegevensconnector.
Sommige logboeken, die in dit artikel worden vermeld, worden niet standaard naar Microsoft Sentinel verzonden, maar u kunt ze indien nodig handmatig toevoegen. Zie De SAP-logboeken definiëren die naar Microsoft Sentinel worden verzonden voor meer informatie
Inhoud in dit artikel is bedoeld voor uw SAP BASIS-teams .
Belangrijk
Sommige onderdelen van de Microsoft Sentinel Threat Monitoring voor SAP-oplossing zijn momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Functies gebruiken in uw query's in plaats van onderliggende logboeken of tabellen
We raden u ten zeerste aan om waar mogelijk beschikbare functies te gebruiken als onderwerp van hun analyse, in plaats van de onderliggende logboeken of tabellen.
Functies die worden geleverd met de Microsoft Sentinel-oplossing voor SAP-toepassingen zijn bedoeld als de principal-gebruikersinterface voor de gegevens. Ze vormen de basis voor alle ingebouwde analyseregels en werkmappen die u standaard beschikbaar hebt. Door functies te gebruiken, kunnen wijzigingen in de gegevensinfrastructuur onder de functies worden aangebracht, zonder dat de door de gebruiker gemaakte inhoud wordt onderbroken.
Zie de Microsoft Sentinel-oplossing voor SAP-toepassingen - naslaginformatie over functies en Functies in Azure Monitor-logboekquery's voor meer informatie.
Logboekdekking
De Microsoft Sentinel-oplossing voor SAP-toepassingen verzamelt logboeken van de toepassing, het besturingssysteem en de gegevenslagen, die uitgebreide beveiliging bieden voor uw SAP-systeem:
Toepassingslaag: Microsoft Sentinel bewaakt activiteiten binnen de ABAP-laag, de primaire toepassingslaag in SAP-systemen, die verantwoordelijk is voor het uitvoeren van bedrijfslogica en -verwerking van transacties. Microsoft Sentinel verzamelt bijvoorbeeld logboeken die gebruikersacties bevatten, zoals aanmeldingen, wachtwoordwijzigingen en toegang tot rapporten of bestanden.
Naast beveiligingsbewaking kunnen logboeken die op de toepassingslaag worden verzameld, ook worden gebruikt voor nalevings- en controledoeleinden.
Besturingssysteemlaag: Microsoft Sentinel verzamelt logboeken van het besturingssysteem om inzicht te krijgen in activiteiten op besturingssysteemniveau, zoals van de ABAP-server en de virtuele machines waarop de SAP-toepassingen worden uitgevoerd.
Gebruik de Microsoft Sentinel-oplossing voor SAP-toepassingen samen met beveiligingsinhoud en gegevensconnectors voor uw andere services voor uitgebreide en centrale bewaking, waarbij informatie in al uw systemen wordt gecorcorreert en uw algehele beveiligingspostuur wordt verbeterd.
Databaselaag: databaselogboeken opnemen in Microsoft Sentinel om databaseactiviteiten te bewaken, zoals activiteiten voor databasebeheer en wijzigingen in tabelgegevens. De Microsoft Sentinel-oplossing voor SAP-toepassingen is databaseneutraal.
Alle logboeken die door de gegevensconnectoragent worden verzameld, worden eerst opgeslagen op de machine van de gegevensverzamelaaragent, in /opt/sapcon/<sid>/log de map in het containerexemplaar. De logboeken worden vervolgens doorgestuurd naar uw Log Analytics-werkruimte, waar u ze vanuit Microsoft Sentinel kunt bekijken, controleren en er query's op kunt uitvoeren.
Auditlogboeken worden elke minuut verzameld en opgenomen, terwijl andere logboeken mogelijk minder vaak worden opgenomen. Microsoft Sentinel bewaakt ook de heartbeat van de gegevensconnectoragent om ervoor te zorgen dat logboeken worden verzameld en verzonden naar de Log Analytics-werkruimte.
Naslaginformatie over logboeken
In de volgende secties worden de SAP-logboeken beschreven die beschikbaar zijn vanuit de Microsoft Sentinel-oplossing voor sap-toepassingen voor gegevensconnector, inclusief de tabelnamen in Microsoft Sentinel, de logboekdoeleinden en gedetailleerde logboekschema's.
Beschrijvingen van schemavelden zijn gebaseerd op de veldbeschrijvingen in de relevante SAP-documentatie.
- ABAP-toepassingslogboek
- ABAP-logboek documenten wijzigen
- ABAP CR-logboek
- ABAP DB-tabelgegevenslogboek (PREVIEW)
- ABAP Gateway-logboek (PREVIEW)
- ABAP ICM-logboek (PREVIEW)
- ABAP-taaklogboek
- ABAP-beveiligingscontrolelogboek
- ABAP Spool-logboek
- APAB Spool-uitvoerlogboek
- ABAP SysLog
- ABAP-werkstroomlogboek
- ABAP WorkProcess-logboek
- Audittrail van HANA DB
- JAVA-bestanden
- SAP-heartbeatlogboek
ABAP-toepassingslogboek
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPAppLog
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: registreert de voortgang van de uitvoering van een toepassing, zodat u deze later naar behoefte kunt reconstrueren.
Beschikbaar met behulp van RFC op basis van standaard SAP-tabel en standaardservices van de XBP-interface. Dit logboek wordt per client gegenereerd.
ABAPAppLog_CL logboekschema
| Veld | Beschrijving |
|---|---|
| AppLogDateTime | Datum/tijd van toepassingslogboek |
| CallbackProgram | Callback-programma |
| CallbackRoutine | Terugbelroutine |
| CallbackType | Type callback |
| ClientID | ABAP-client-id (MANDT) |
| ContextDDIC | Context DDIC-structuur |
| ExternalID | Externe logboek-id |
| Host | Host |
| Exemplaar | ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | Toepassingslogboekbericht serieel |
| LevelofDetail | Detailniveau |
| LogHandle | Handle van toepassingslogboek |
| LogNumber | Logboeknummer |
| MessageClass | Berichtklasse |
| MessageNumber | Berichtnummer |
| MessageText | Berichttekst |
| MessageType | Berichttype |
| Object | Toepassingslogboekobject |
| OperationMode | Bewerkingsmodus |
| ProblemClass | Probleemklasse |
| ProgramName | Programmanaam |
| SortCriterion | Sorteercriterium |
| StandardText | Standaardtekst |
| SubObject | Subobject toepassingslogboek |
| SystemID | Systeem-id |
| SystemNumber | Systeemnummer |
| TransactionCode | Transactiecode |
| User | User |
| UserChange | Gebruikerswijziging |
ABAP-logboek documenten wijzigen
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPChangeDocsLog
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: Records:
SAP NetWeaver Application Server (AS) ABAP-logboekwijzigingen in zakelijke gegevensobjecten in wijzigingsdocumenten.
Andere entiteiten in het SAP-systeem, zoals gebruikersgegevens, rollen, adressen.
Beschikbaar met RFC op basis van standaard SAP-tabellen. Dit logboek wordt per client gegenereerd.
ABAPChangeDocsLog_CL logboekschema
| Veld | Beschrijving |
|---|---|
| ActualChangeNum | Werkelijke wijzigingsnummer |
| ChangedTableKey | Tabelsleutel gewijzigd |
| ChangeNumber | Nummer wijzigen |
| ClientID | ABAP-client-id (MANDT) |
| CreatedfromPlannedChange | Gemaakt op basis van geplande wijziging, in de volgende syntaxis: (‘X’ , ‘ ‘) |
| CurrencyKeyNew | Valutasleutel: nieuwe waarde |
| CurrencyKeyOld | Valutasleutel: oude waarde |
| FieldName | Veldnaam |
| FlagText | Vlagtekst |
| Host | Host |
| Exemplaar | ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
| Taal | Taal |
| ObjectClass | Objectklasse, zoals BELEG, BPAR, , PFCGIDENTITY |
| ObjectID | Object-id |
| PlannedChangeNum | Gepland wijzigingsnummer |
| SystemID | Systeem-id |
| SystemNumber | Systeemnummer |
| TableName | Tabelnaam |
| TransactionCode | Transactiecode |
| TypeofChange_Header | Kopteksttype van wijziging, waaronder: U = Wijzigen; I = Invoegen; E = Enkele docu verwijderen; D = Verwijderen; J = Enkele docu invoegen |
| TypeofChange_Item | Itemtype van wijziging, waaronder: U = Wijzigen; I = Invoegen; E = Enkele docu verwijderen; D = Verwijderen; J = Enkele docu invoegen |
| UOMNew | Maateenheid: nieuwe waarde |
| UOMOld | Maateenheid: oude waarde |
| User | User |
| ValueNew | Veldinhoud: nieuwe waarde |
| ValueOld | Veldinhoud: oude waarde |
| Versie | Versie |
ABAP CR-logboek
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPCRLog
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: bevat de CTS-logboeken (Change & Transport System), inclusief de mapobjecten en aanpassingen waar wijzigingen zijn aangebracht.
Beschikbaar met rfc op basis van standaardtabellen en standaard SAP-services. Dit logboek wordt gegenereerd met gegevens voor alle clients.
Notitie
Naast toepassingslogboekregistratie, wijzigingsdocumenten en tabelopname, worden alle wijzigingen die u aanbrengt in uw productiesysteem met behulp van het Change & Transport System gedocumenteerd in de CTS- en TMS-logboeken.
ABAPCRLog_CL logboekschema
| Veld | Beschrijving |
|---|---|
| Categorie | Categorie (Workbench, aanpassen) |
| ClientID | ABAP-client-id (MANDT) |
| Beschrijving | Beschrijving |
| Host | Host |
| Exemplaar | ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
| ObjectName | Object name |
| ObjectType | Object type |
| Eigenaar | Eigenaar |
| Aanvraag | Wijzigingsaanvraag |
| Status | Status |
| SystemID | Systeem-id |
| SystemNumber | Systeemnummer |
| TableKey | Tabelsleutel |
| TableName | Tabelnaam |
| ViewName | Weergavenaam |
ABAP DB-tabelgegevenslogboek (PREVIEW)
Als u wilt dat dit logboek naar Microsoft Sentinel wordt verzonden, moet u het handmatig toevoegen aan het systemconfig.json-bestand. Dit logboek wordt niet ondersteund wanneer u de aanbevolen procedure gebruikt om de agent voor de gegevensconnector te installeren vanuit de portal.
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPTableDataLog
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: biedt logboekregistratie voor tabellen die kritiek of vatbaar zijn voor controles.
Beschikbaar met RFC met een aangepaste service. Dit logboek wordt gegenereerd met gegevens voor alle clients.
ABAPTableDataLog_CL logboekschema
| Veld | Beschrijving |
|---|---|
| DBLogID | DB-logboek-id |
| Host | Host |
| Exemplaar | ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
| Taal | Taal |
| LogKey | Logboeksleutel |
| NewValue | Nieuwe waarde voor veld |
| OldValue | Oude waarde van veld |
| OperationTypeSQL | Bewerkingstype, Insert, UpdateDelete |
| Programma | Programmanaam |
| SystemID | Systeem-id |
| SystemNumber | Systeemnummer |
| TableField | Tabelveld |
| TableName | Tabelnaam |
| TransactionCode | Transactiecode |
| Gebruikersnaam | User |
| VersionNumber | Versienummer |
ABAP Gateway-logboek (PREVIEW)
Als u wilt dat dit logboek naar Microsoft Sentinel wordt verzonden, moet u het handmatig toevoegen aan het systemconfig.json-bestand. Dit logboek wordt niet ondersteund wanneer u de aanbevolen procedure gebruikt om de agent voor de gegevensconnector te installeren vanuit de portal.
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPOS_GW
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: bewaakt gatewayactiviteiten. Beschikbaar door de SAP Control-webservice. Dit logboek wordt gegenereerd met gegevens voor alle clients.
ABAPOS_GW_CL logboekschema
| Veld | Beschrijving |
|---|---|
| Host | Host |
| Exemplaar | ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Berichttekst |
| Ernst | Ernst van bericht: Debug, Info, , WarningError |
| SystemID | Systeem-id |
| SystemNumber | Systeemnummer |
ABAP ICM-logboek (PREVIEW)
Als u wilt dat dit logboek naar Microsoft Sentinel wordt verzonden, moet u het handmatig toevoegen aan het systemconfig.json-bestand. Dit logboek wordt niet ondersteund wanneer u de aanbevolen procedure gebruikt om de agent voor de gegevensconnector te installeren vanuit de portal.
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPOS_ICM
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: registreert inkomende en uitgaande aanvragen en compileert statistieken van de HTTP-aanvragen.
Beschikbaar door de SAP Control-webservice. Dit logboek wordt gegenereerd met gegevens voor alle clients.
ABAPOS_ICM_CL logboekschema
| Veld | Beschrijving |
|---|---|
| Host | Host |
| Exemplaar | ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Berichttekst |
| Ernst | Ernst van bericht, waaronder: Debug, Info, WarningError |
| SystemID | Systeem-id |
| SystemNumber | Systeemnummer |
ABAP-taaklogboek
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPJobLog
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: combineert alle achtergrondverwerkingstaaklogboeken (SM37).
Beschikbaar met behulp van RFC op basis van standaard SAP-tabel en standaardservices van XBP-interfaces. Dit logboek wordt gegenereerd met gegevens voor alle clients.
ABAPJobLog_CL logboekschema
| Veld | Beschrijving |
|---|---|
| ABAPProgram | ABAP-programma |
| BgdEventParameters | Parameters voor achtergrondevenementen |
| BgdProcessingEvent | Gebeurtenis achtergrondverwerking |
| ClientID | ABAP-client-id (MANDT) |
| DynproNumber | Dynpro-nummer |
| GUIStatus | GUI-status |
| Host | Host |
| Exemplaar | ABAP-exemplaar (HOST_SYSID_SYSNR), in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
| JobClassification | Taakclassificatie |
| JobCount | Aantal taken |
| JobGroup | Taakgroep |
| JobName | Taaknaam |
| JobPriority | Jobprioriteit |
| MessageClass | Berichtklasse |
| MessageNumber | Berichtnummer |
| MessageText | Berichttekst |
| MessageType | Berichttype |
| ReleaseUser | Taakreleasegebruiker |
| SchedulingDateTime | Planningsdatumstijd |
| StartDateTime | Begindatumtijd |
| SystemID | Systeem-id |
| SystemNumber | Systeemnummer |
| TargetServer | Doelserver |
| User | User |
| UserReleaseInstance | ABAP-exemplaar - gebruikersrelease |
| WorkProcessID | Werkproces-id |
| WorkProcessNumber | Nummer van werkproces |
ABAP-beveiligingscontrolelogboek
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPAuditLog
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: registreert de volgende gegevens:
- Beveiligingsgerelateerde wijzigingen in de SAP-systeemomgeving, zoals wijzigingen in hoofdgebruikersrecords
- Informatie die een hoger gegevensniveau biedt, zoals geslaagde en mislukte aanmeldingspogingen
- Informatie die de wederopbouw van een reeks gebeurtenissen mogelijk maakt, zoals een geslaagde of mislukte transactie, begint
Beschikbaar met RFC XAL/SAL-interfaces. SAL is beschikbaar vanaf versie 7.50. Dit logboek wordt gegenereerd met gegevens voor alle clients.
ABAPAuditLog_CL logboekschema
| Veld | Beschrijving |
|---|---|
| ABAPProgramName | Programmanaam, alleen SAL |
| AlertSeverity | Ernst van waarschuwing |
| AlertSeverityText | Tekst voor ernst van waarschuwing, alleen SAL |
| AlertValue | Waarschuwingswaarde |
| AuditClassID | Klasse-id controleren, alleen SAL |
| ClientID | ABAP-client-id (MANDT) |
| Computer | Gebruikersmachine, alleen SAL |
| E-mailen | E-mail van gebruiker |
| Host | Host |
| Exemplaar | ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | Berichtklasse |
| MessageContainerID | Berichtcontainer-id, alleen XAL |
| MessageID | Bericht-id, zoals ‘AU1’,’AU2’… |
| MessageText | Berichttekst |
| MonitoringObjectName | MTE Monitor-objectnaam, alleen XAL |
| MonitorShortName | Korte naam van MTE Monitor, alleen XAL |
| SAPProcesType | Systeemlogboek: SAP-procestype, alleen SAL |
| B* - Achtergrondverwerking | |
| D* - Dialoogvensterverwerking | |
| U* - Taken bijwerken | |
| SAPWPName | Systeemlogboek: werkprocesnummer, alleen SAL |
| SystemID | Systeem-id |
| SystemNumber | Systeemnummer |
| TerminalIPv6 | IP van gebruikerscomputer, alleen SAL |
| TransactionCode | Transactiecode, alleen SAL |
| User | User |
| Variabele1 | Berichtvariabele 1 |
| Variabele2 | Berichtvariabele 2 |
| Variabele3 | Berichtvariabele 3 |
| Variabele4 | Berichtvariabele 4 |
ABAP Spool-logboek
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPSpoolLog
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: fungeert als het hoofdlogboek voor SAP-afdrukken met de geschiedenis van spoolaanvragen. (SP01).
Beschikbaar met RFC op basis van standaard SAP-tabel. Dit logboek wordt gegenereerd met gegevens voor alle clients.
ABAPSpoolLog_CL logboekschema
| Veld | Beschrijving |
|---|---|
| ArchiveStatus | Archiefstatus |
| ArchiveType | Archieftype |
| ArchivingDevice | Apparaat archiveren |
| AutoRereoute | Automatisch omleiden |
| ClientID | ABAP-client-id (MANDT) |
| CountryKey | Land-/regiosleutel |
| DeleteSpoolRequestAuto | Aanvraag voor spool automatisch verwijderen |
| DelFlag | Verwijderingsvlag |
| Afdeling | Kostenplaats |
| DocumentType | Documenttype |
| ExternalMode | Externe modus |
| FormatType | Indelingstype |
| Host | Host |
| Exemplaar | ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | Aantal exemplaren |
| OutputDevice | Uitvoerapparaat |
| PrinterLongName | Lange printernaam |
| PrintImmediately | Direct afdrukken |
| PrintOSCoverPage | OsCover-pagina afdrukken |
| PrintSAPCoverPage | SAPCover-pagina afdrukken |
| Prioriteit | Prioriteit |
| RecipientofSpoolRequest | Ontvanger van spoolaanvraag |
| SpoolErrorStatus | Status van Spool-fout |
| SpoolRequestCompleted | Voltooide Spool-aanvraag |
| SpoolRequestisALogForAnotherRequest | Spool-aanvraag is een logboek voor een andere aanvraag |
| SpoolRequestName | Naam van Spool-aanvraag |
| SpoolRequestNumber | Aanvraagnummer voor spool |
| SpoolRequestSuffix1 | Achtervoegsel van de spoolaanvraag1 |
| SpoolRequestSuffix2 | Achtervoegsel van spoolaanvraag2 |
| SpoolRequestTitle | Titel van Spool-aanvraag |
| SystemID | Systeem-id |
| SystemNumber | Systeemnummer |
| Telecommunicatiepartner | Telecommunicatiepartner |
| Telecommunicatiepartnere | Telecommunicatiepartner E |
| TemSeGeneralcounter | Temse-teller |
| TemseNumAddProtectionRule | Temse-nummer beveiligingsregel toevoegen |
| TemseNumChangeProtectionRule | Beveiligingsregel voor temse-nummerwijziging |
| TemseNumDeleteProtectionRule | Beveiligingsregel voor verwijderen van Temse-nummer |
| TemSeObjectName | Temse-objectnaam |
| TemSeObjectPart | TemSe-objectonderdeel |
| TemseReadProtectionRule | Temse-regel voor leesbeveiliging |
| User | User |
| ValueAuthCheck | Verificatiecontrole voor waarde |
APAB Spool-uitvoerlogboek
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPSpoolOutputLog
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: fungeert als het hoofdlogboek voor SAP-afdrukken met de geschiedenis van spool-uitvoeraanvragen. (SP02).
Beschikbaar met behulp van RFC met een aangepaste service op basis van standaardtabellen. Dit logboek wordt gegenereerd met gegevens voor alle clients.
ABAPSpoolOutputLog_CL logboekschema
| Veld | Beschrijving |
|---|---|
| AppServer | Toepassingsserver |
| ClientID | ABAP-client-id (MANDT) |
| Opmerking | Opmerking |
| CopyCount | Aantal kopieën |
| CopyCounter | Teller kopiëren |
| Afdeling | Kostenplaats |
| ErrorSpoolRequestNumber | Foutaanvraagnummer |
| FormatType | Indelingstype |
| Host | Host |
| HostName | Hostnaam |
| HostSpoolerID | Host-spooler-id |
| Exemplaar | ABAP-exemplaar |
| LastPage | Laatste pagina |
| NumofCopies | Aantal exemplaren |
| OutputDevice | Uitvoerapparaat |
| OutputRequestNumber | Uitvoeraanvraagnummer |
| OutputRequestStatus | Status van uitvoeraanvraag |
| PhysicalFormatType | Type fysieke indeling |
| PrinterLongName | Lange printernaam |
| PrintRequestSize | Grootte van afdrukaanvraag |
| Prioriteit | Prioriteit |
| ReasonforOutputRequest | Reden voor uitvoeraanvraag |
| RecipientofSpoolRequest | Ontvanger van spoolaanvraag |
| SpoolNumberofOutputReqProcessed | Aantal uitvoeraanvragen - verwerkt |
| SpoolNumberofOutputReqWithErrors | Aantal uitvoeraanvragen - met fouten |
| SpoolNumberofOutputReqWithProblems | Aantal uitvoeraanvragen - met problemen |
| SpoolRequestNumber | Aanvraagnummer voor spool |
| Startpagina | Startpagina |
| SystemID | Systeem-id |
| SystemNumber | Systeemnummer |
| Telecommunicatiepartner | Telecommunicatiepartner |
| TemSeGeneralcounter | Temse-teller |
| Titel | Titel |
| User | User |
ABAP Syslog
Als u wilt dat dit logboek naar Microsoft Sentinel wordt verzonden, moet u het handmatig toevoegen aan het systemconfig.json-bestand. Dit logboek wordt niet ondersteund wanneer u de aanbevolen procedure gebruikt om de agent voor de gegevensconnector te installeren vanuit de portal.
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPOS_Syslog
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: registreert alle SAP NetWeaver Application Server (SAP NetWeaver AS) ABAP-systeemfouten, waarschuwingen, gebruikersvergrendelingen vanwege mislukte aanmeldingspogingen van bekende gebruikers en procesberichten.
Beschikbaar door de SAP Control-webservice. Dit logboek wordt gegenereerd met gegevens voor alle clients.
ABAPOS_Syslog_CL logboekschema
| Veld | Beschrijving |
|---|---|
| ClientID | ABAP-client-id (MANDT) |
| Host | Host |
| Exemplaar | ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | Berichtnummer |
| MessageText | Berichttekst |
| Ernst | Ernst van bericht, een van de volgende waarden: Debug, Info, , WarningError |
| SystemID | Systeem-id |
| SystemNumber | Systeemnummer |
| TransacationCode | Transactiecode |
| Type | SAP-procestype |
| User | User |
ABAP-werkstroomlogboek
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPWorkflowLog
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: Met de SAP Business Workflow (WebFlow Engine) kunt u bedrijfsprocessen definiëren die nog niet zijn toegewezen in het SAP-systeem.
Niet-toegewezen bedrijfsprocessen kunnen bijvoorbeeld eenvoudige procedures voor vrijgave of goedkeuring zijn, of complexere bedrijfsprocessen, zoals het maken van basismateriaal en vervolgens het coördineren van de bijbehorende afdelingen.
Beschikbaar met RFC op basis van standaard SAP-tabellen. Dit logboek wordt per client gegenereerd.
ABAPWorkflowLog_CL logboekschema
| Veld | Beschrijving |
|---|---|
| ActualAgent | Werkelijke agent |
| Adres | Adres |
| ApplicationArea | Toepassingsgebied |
| CallbackFunction | Callback, functie |
| ClientID | ABAP-client-id (MANDT) |
| CreationDateTime | Aanmaakdatumtijd |
| Maker | Maker |
| CreatorAddress | Adres van maker |
| ErrorType | Fouttype |
| ExceptionforMethod | Uitzondering voor methode |
| Host | Host |
| Exemplaar | ABAP-exemplaar (HOST_SYSID_SYSNR), in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
| Taal | Taal |
| LogCounter | Logboekteller |
| MessageNumber | Berichtnummer |
| MessageType | Berichttype |
| MethodUser | Methodegebruiker |
| Prioriteit | Prioriteit |
| SimpleContainer | Eenvoudige container, verpakt als een lijst met sleutel-waarde-entiteiten voor het werkitem |
| Status | Status |
| SuperWI | Super WI |
| SystemID | Systeem-id |
| SystemNumber | Systeemnummer |
| TaskID | Taak-id |
| TasksClassification | Taakclassificaties |
| TaskText | Taaktekst |
| TopTaskID | Belangrijkste taak-id |
| UserCreated | Gebruiker gemaakt |
| WIText | Tekst van werkitem |
| WIType | Type werkitem |
| WorkflowAction | Werkstroomactie |
| WorkItemID | Werkitem-id |
ABAP WorkProcess-logboek
Als u wilt dat dit logboek naar Microsoft Sentinel wordt verzonden, moet u het handmatig toevoegen aan het systemconfig.json-bestand. Dit logboek wordt niet ondersteund wanneer u de aanbevolen procedure gebruikt om de agent voor de gegevensconnector te installeren vanuit de portal.
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPOS_WP
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: combineert alle werkproceslogboeken. (standaard:
dev_*).Beschikbaar door de SAP Control-webservice. Dit logboek wordt gegenereerd met gegevens voor alle clients.
ABAPOS_WP_CL logboekschema
| Veld | Beschrijving |
|---|---|
| Host | Host |
| Exemplaar | ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Berichttekst |
| Ernst | Ernst van bericht: Debug, Info, , WarningError |
| SystemID | Systeem-id |
| SystemNumber | Systeemnummer |
| WPNumber | Nummer van werkproces |
Audittrail van HANA DB
Het verzamelen van het audittraillogboek van HANA DB is een voorbeeld van hoe Microsoft Sentinel activiteiten in de databaselaag verzamelt. Als u dit logboek wilt laten verzenden naar Microsoft Sentinel, moet u De Azure Monitor-agent implementeren om Syslog-gegevens te verzamelen van de computer waarop HANA DB wordt uitgevoerd.
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPSyslog
Verwante SAP-documentatie: Algemene | audittrail
Logboekdoel: registreert gebruikersacties of geprobeerde acties in de SAP HANA-database. Hiermee kunt u bijvoorbeeld de leestoegang tot gevoelige gegevens registreren en bewaken.
Beschikbaar door de Microsoft Sentinel Linux-agent voor Syslog. Dit logboek wordt gegenereerd met gegevens voor alle clients.
Syslog-logboekschema
| Veld | Beschrijving |
|---|---|
| Computer | Hostnaam |
| HostIP | HOST-IP |
| HostName | Hostnaam |
| ProcessID | Process ID |
| ProcessName | Procesnaam: HDB* |
| SeverityLevel | Waarschuwing |
| SourceSystem | Besturingssysteem van bronsysteem, Linux |
| SyslogMessage | Bericht, een niet-geparseerd audittrailbericht |
JAVA-bestanden
Als u wilt dat dit logboek naar Microsoft Sentinel wordt verzonden, moet u het handmatig toevoegen aan het systemconfig.json-bestand. Dit logboek wordt niet ondersteund wanneer u de aanbevolen procedure gebruikt om de agent voor de gegevensconnector te installeren vanuit de portal.
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPJAVAFilesLogs
Gerelateerde SAP-documentatie: Algemeen | Java-beveiligingscontrolelogboek
Logboekdoel: combineert alle Java-logboeken op basis van bestanden, waaronder het beveiligingscontrolelogboek en het systeem (cluster- en serverproces), prestaties en gatewaylogboeken. Bevat ook developer-traceringen en standaardtraceringslogboeken.
Beschikbaar door de SAP Control-webservice. Dit logboek wordt gegenereerd met gegevens voor alle clients.
JavaFilesLogsCL-logboekschema
| Veld | Beschrijving |
|---|---|
| Aanvraag | Java-toepassing |
| ClientID | Client ID |
| CSNComponent | CSN-onderdeel, zoals BC-XI-IBD |
| DCComponent | DC-onderdeel, zoals com.sap.xi.util.misc |
| DSRCounter | DSR-teller |
| DSRRootContentID | DSR-context-GUID |
| DSRTransaction | GUID van DSR-transactie |
| Host | Host |
| Exemplaar | Java-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
| Locatie | Java-klasse |
| LogName | Java logName, zoals: Available, defaulttrace, dev*, enzovoort security |
| MessageText | Berichttekst |
| MNo | Berichtnummer |
| Pid | Process ID |
| Programma | Programmanaam |
| Sessie | Sessie |
| Ernst | Ernst van bericht, waaronder: Debug,Info,Warning,Error |
| Oplossing | Oplossing |
| SystemID | Systeem-id |
| SystemNumber | Systeemnummer |
| ThreadName | Threadnaam |
| Gegooid | Uitzondering opgetreden |
| TimeZone | Tijdzone |
| User | User |
SAP-heartbeatlogboek
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPConnectorHealth
Logboekdoel: biedt heartbeat en andere statusinformatie over de connectiviteit tussen de agents en de verschillende SAP-systemen.
Automatisch gemaakt voor agents van de Microsoft Sentinel voor SAP-gegevensconnector.
SAP_HeartBeat_CL logboekschema
| Veld | Beschrijving |
|---|---|
| TimeGenerated | Tijd van het posten van logboeken |
| agent_id_s | Agent-id in de configuratie van de agent (automatisch gegenereerd) |
| agent_ver_s | Agentversie |
| host_s | De hostnaam van de agent |
| system_id_s | Netweaver ABAP-systeem-id / Netweaver SAPControl Host (preview) / Java SAPControl-host (preview) |
| push_timestamp_d | Tijdstempel van de extractie, volgens de tijdzone van de agent |
| agent_timezone_s | Tijdzone van agent |
Verwijzing naar tabellen die rechtstreeks uit SAP-systemen zijn opgehaald
In deze sectie worden de gegevenstabellen weergegeven die rechtstreeks uit het SAP-systeem worden opgehaald en die precies zoals ze zijn opgenomen in Microsoft Sentinel.
De gegevens die uit deze tabellen worden opgehaald, bieden een duidelijk overzicht van de autorisatiestructuur, groepslidmaatschap en gebruikersprofielen. Hiermee kunt u ook het proces van autorisatietoekenningen bijhouden en intrekken, en de risico's identificeren en beheren die aan deze processen zijn gekoppeld.
De onderstaande tabellen zijn vereist om functies in te schakelen waarmee bevoegde gebruikers worden geïdentificeerd, gebruikers worden toegewezen aan rollen, groepen en autorisaties.
Raadpleeg deze tabellen met de naam in de kolom Microsoft Sentinel-functienaam in de volgende tabel voor de beste resultaten:
| Tabelnaam | Tabelbeschrijving | Naam van de functie Microsoft Sentinel |
|---|---|---|
| USR01 | Hoofdrecord van gebruiker (runtimegegevens) | SAP_USR01 |
| USR02 | Aanmeldingsgegevens (gebruik aan de kernelzijde) | SAP_USR02 |
| UST04 | Gebruikersmodellen Gebruikers toewijzen aan profielen |
SAP_UST04 |
| AGR_USERS | Toewijzing van rollen aan gebruikers | SAP_AGR_USERS |
| AGR_1251 | Autorisatiegegevens voor de activiteitsgroep | SAP_AGR_1251 |
| USGRP_USER | Toewijzing van gebruikers aan gebruikersgroepen | SAP_USGRP_USER |
| USR21 | Gebruikersnaam/adressleuteltoewijzing | SAP_USR21 |
| ADR6 | E-mailadressen (services voor zakelijke adressen) | SAP_ADR6 |
| USRSTAMP | Tijdstempel voor alle wijzigingen in de gebruiker | SAP_USRSTAMP |
| ADCP | Persoon/adrestoewijzing (services voor bedrijfsadressen) | SAP_ADCP |
| USR05 | Parameter-id van gebruikershoofd | SAP_USR05 |
| AGR_PROF | Profielnaam voor rol | SAP_AGR_PROF |
| AGR_FLAGS | Rolkenmerken | SAP_AGR_FLAGS |
| DEVACCESS | Tabel voor ontwikkelingsgebruiker | SAP_DEVACCESS |
| AGR_DEFINE | Roldefinitie | SAP_AGR_DEFINE |
| AGR_AGRS | Rollen in samengestelde rollen | SAP_AGR_AGRS |
| PAHI | Geschiedenis van de systeem-, database- en SAP-parameters | SAP_PAHI |
| SNCSYSACL (PREVIEW) | SNC Access Control List (ACL): Systemen | SAP_SNCSYSACL |
| USRACL (PREVIEW) | SNC Access Control List (ACL): Gebruiker | SAP_USRACL |
Gerelateerde inhoud
Zie voor meer informatie: