Rozwiązywanie problemów z rozwiązaniem Microsoft Sentinel na potrzeby wdrażania aplikacji SAP

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ten artykuł zawiera kroki rozwiązywania problemów, które ułatwiają zapewnienie dokładnego i terminowego pozyskiwania i monitorowania danych w środowisku SAP za pomocą usługi Microsoft Sentinel.

Wybrane procedury rozwiązywania problemów są istotne tylko wtedy, gdy agent łącznika danych jest wdrażany za pośrednictwem wiersza polecenia. Jeśli użyto zalecanej procedury do wdrożenia agenta z portalu, użyj portalu, aby wprowadzić zmiany konfiguracji.

Przydatne polecenia platformy Docker

Podczas rozwiązywania problemów z usługą Microsoft Sentinel dla łącznika danych SAP przydatne mogą być następujące polecenia:

Function	Polecenie
Zatrzymywanie kontenera platformy Docker	docker stop sapcon-[SID]
Uruchamianie kontenera platformy Docker	docker start sapcon-[SID]
Wyświetlanie dzienników systemu platformy Docker	docker logs -f sapcon-[SID]
Wprowadź kontener platformy Docker	docker exec -it sapcon-[SID] bash

Aby uzyskać więcej informacji, zobacz dokumentację interfejsu wiersza polecenia platformy Docker.

Przeglądanie dzienników systemowych

Zdecydowanie zalecamy przejrzenie dzienników systemowych po zainstalowaniu lub zresetowaniu łącznika danych.

Uruchom:

docker logs -f sapcon-[SID]

Włączanie/wyłączanie drukowania w trybie debugowania

Ta procedura jest obsługiwana tylko w przypadku wdrożenia agenta łącznika danych z poziomu wiersza polecenia.

1. Na maszynie wirtualnej kontenera agenta modułu zbierającego dane zmodyfikuj plik /opt/sapcon/[SID]/systemconfig.json .

2. Zdefiniuj sekcję Ogólne , jeśli nie została ona wcześniej zdefiniowana. W tej sekcji zdefiniuj logging_debug = True , aby włączyć drukowanie w trybie debugowania lub logging_debug = False wyłączyć go.

   Na przykład:

   [General]
   logging_debug = True
   

3. Zapisz plik.

Zmiana zostanie w życie około dwie minuty po zapisaniu pliku. Nie musisz ponownie uruchamiać kontenera platformy Docker.

Wyświetlanie wszystkich dzienników wykonywania kontenera

Dzienniki wykonywania łącznika dla rozwiązania Microsoft Sentinel dla wdrożenia łącznika danych aplikacji SAP są przechowywane na maszynie wirtualnej w katalogu /opt/sapcon/[SID]/log/. Nazwa pliku dziennika jest OmniLog.log. Historia plików dziennika jest przechowywana z sufiksem .[ liczba] takich jak OmniLog.log.1, OmniLog.log.2 itd.

Przejrzyj i zaktualizuj plik konfiguracji łącznika agenta SAP Sentinel dla usługi Microsoft Sentinel

Ta procedura jest obsługiwana tylko w przypadku wdrożenia agenta łącznika danych z poziomu wiersza polecenia. Jeśli agent został wdrożony za pośrednictwem portalu, kontynuuj konserwację i zmienianie ustawień konfiguracji za pośrednictwem portalu.

Jeśli wdrożono za pośrednictwem wiersza polecenia, wykonaj następujące kroki:

1. Na maszynie wirtualnej otwórz plik konfiguracji: sapcon/[SID]/systemconfig.json

2. Zaktualizuj konfigurację w razie potrzeby i zapisz plik. Aby uzyskać więcej informacji, zobacz dokumentację pliku rozwiązania Microsoft Sentinel dla aplikacji systemconfig.json SAP.

Zmiana zostanie w życie około dwie minuty po zapisaniu pliku. Nie musisz ponownie uruchamiać kontenera platformy Docker.

Resetowanie łącznika danych rozwiązania Microsoft Sentinel dla oprogramowania SAP

Poniższe kroki umożliwiają zresetowanie łącznika i ponowne pozyskiwanie dzienników SAP z ostatnich 30 minut.

1. Zatrzymaj łącznik. Uruchom:

   docker stop sapcon-[SID]
   

2. Usuń plik metadata.db z katalogu /opt/sapcon/[SID]. Uruchom:

   cd /opt/sapcon/<SID>
   rm metadata.db
   

   Uwaga

   Plik metadata.db zawiera znacznik czasu ostatniego dla każdego z dzienników i działa w celu zapobiegania duplikowaniu.

3. Uruchom ponownie łącznik. Uruchom:

   docker start sapcon-[SID]
   

Pamiętaj, aby przejrzeć dzienniki systemowe po zakończeniu.

Typowe problemy

Po wdrożeniu usługi Microsoft Sentinel dla łącznika danych SAP i zawartości zabezpieczeń mogą wystąpić następujące błędy lub problemy:

Uszkodzony lub brakujący plik zestawu SAP SDK

Ten błąd może wystąpić, gdy nie można uruchomić łącznika za pomocą narzędzia PyRfc lub są wyświetlane komunikaty o błędach związane z plikiem zip.

1. Zainstaluj ponownie zestaw SAP SDK.
2. Sprawdź, czy jesteś poprawną wersją 64-bitową systemu Linux, taką jak nwrfc750P_8-70002752.zip.

Jeśli łącznik danych został zainstalowany ręcznie, upewnij się, że plik zestawu SDK został skopiowany do kontenera platformy Docker.

Uruchom:

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

Błędy środowiska uruchomieniowego ABAP są wyświetlane w dużym systemie

Ta procedura jest obsługiwana tylko w przypadku wdrożenia agenta łącznika danych z poziomu wiersza polecenia.

Jeśli w dużych systemach występują błędy czasu wykonywania abAP, spróbuj ustawić mniejszy rozmiar fragmentu:

1. Edytuj plik /opt/sapcon/[SID]/systemconfig.json i w sekcji Konfiguracja łącznika zdefiniuj wartość timechunk = 5.

   Na przykład:

   [Connector Configuration]
   timechunk = 5
   

2. Zapisz plik.

Zmiana zostanie w życie około dwie minuty po zapisaniu pliku. Nie musisz ponownie uruchamiać kontenera platformy Docker.

Uwaga

Rozmiar fragmentu czasu jest definiowany w minutach.

Pusty lub brak pobranego dziennika inspekcji bez specjalnych komunikatów o błędach

1. Sprawdź, czy rejestrowanie inspekcji jest włączone w oprogramowaniu SAP.
2. Sprawdź transakcje SM19 lub RSAU_CONFIG .
3. Włącz wszystkie zdarzenia zgodnie z potrzebami.
4. Sprawdź, czy komunikaty docierają i istnieją w programie SAP SM20 lub RSAU_READ_LOG, bez żadnych specjalnych błędów występujących w dzienniku łącznika.

Nieprawidłowy identyfikator lub klucz obszaru roboczego w magazynie kluczy

Jeśli zauważysz, że w skrypce wdrożenia wprowadzono nieprawidłowy identyfikator obszaru roboczego lub klucz, zaktualizuj poświadczenia przechowywane w usłudze Azure Key Vault.

Po zweryfikowaniu poświadczeń w usłudze Azure KeyVault uruchom ponownie kontener:

docker restart sapcon-[SID]

Nieprawidłowe poświadczenia użytkownika protokołu SAP ABAP w magazynie kluczy

Sprawdź poświadczenia i popraw je zgodnie z potrzebami, stosując poprawne wartości do wartości ABAPUSER i ABAPPASS w usłudze Azure Key Vault.

Następnie uruchom ponownie kontener:

docker restart sapcon-[SID]

Nieprawidłowe poświadczenia użytkownika protokołu SAP ABAP w stałej konfiguracji

Ta sekcja jest obsługiwana tylko w przypadku wdrożenia agenta łącznika danych z poziomu wiersza polecenia.

Stała konfiguracja polega na tym, że hasło jest przechowywane bezpośrednio w pliku konfiguracji systemconfig.json.

Jeśli poświadczenia są nieprawidłowe, sprawdź swoje poświadczenia.

Użyj szyfrowania base64, aby zaszyfrować użytkownika i hasło. Możesz użyć narzędzi szyfrowania online do szyfrowania poświadczeń, takich jak https://www.base64encode.org/.

Brakujące uprawnienia ABAP (użytkownik SAP)

Jeśli zostanie wyświetlony komunikat o błędzie podobny do: .. Brak autoryzacji RFC zaplecza. Autoryzacje i rola SAP nie zostały prawidłowo zastosowane.

1. Upewnij się, że rola MSFTSEN/SENTINEL_CONNECTOR została zaimportowana w ramach transportu żądania zmiany i zastosowana do użytkownika łącznika.

2. Uruchom proces generowania ról i porównania użytkowników przy użyciu transakcji SAP PFCG.

Brak danych w skoroszytach lub alertach

Jeśli okaże się, że brakuje danych w skoroszytach lub alertach usługi Microsoft Sentinel, upewnij się, że zasady dziennika inspekcji są prawidłowo włączone po stronie systemu SAP bez błędów w pliku dziennika kontenera.

W tym kroku użyj transakcji RSAU_CONFIG_LOG.

Aby uzyskać więcej informacji, zobacz dokumentację sap i zbieranie dzienników inspekcji sap HANA w usłudze Microsoft Sentinel.

Brak pól adresu IP lub kodu transakcji w dzienniku inspekcji SAP

W systemach SAP z wersjami programu SAP BASIS 7.5 z dodatkiem SP12 lub nowszym usługa Microsoft Sentinel może odzwierciedlać dodatkowe pola w ABAPAuditLog_CL tabelach i SAPAuditLog .

Jeśli używasz wersji SAP BASIS wyższej niż 7.5 z dodatkiem SP12 i brakuje pól adresu IP lub kodu transakcji w dzienniku inspekcji SAP, sprawdź, czy system SAP, z którego wyodrębniasz dane, zawiera odpowiednie żądania zmiany (transporty). Aby uzyskać więcej informacji, zobacz Konfigurowanie obsługi dodatkowego pobierania danych (zalecane).

Brak żądania zmiany sap

Jeśli widzisz błędy, których brakuje wymaganego żądania zmiany SAP, upewnij się, że zaimportowano poprawne żądanie zmiany sap dla systemu. Aby uzyskać więcej informacji, zobacz Wymagania wstępne sap i Konfigurowanie systemu SAP dla rozwiązania Microsoft Sentinel.

W dzienniku danych tabeli SAP nie są wyświetlane żadne dane

W systemach SAP z wersjami programu SAP BASIS 7.5 z dodatkiem SP12 lub nowszym usługa Microsoft Sentinel może odzwierciedlać zmiany dziennika danych tabeli w ABAPTableDataLog_CL tabeli.

Jeśli w tabeli nie są wyświetlane ABAPTableDataLog_CL żadne dane, sprawdź, czy system SAP, z którego wyodrębniasz dane, zawiera odpowiednie żądania zmiany (transporty). Aby uzyskać więcej informacji, zobacz Konfigurowanie obsługi dodatkowego pobierania danych (zalecane).

Brak rekordów /późnych rekordów

Agent modułu zbierającego dane opiera się na informacjach o strefie czasowej, które mają być poprawne. Jeśli widzisz, że w dziennikach inspekcji i zmian sap nie ma żadnych rekordów lub czy rekordy są stale za kilka godzin, sprawdź, czy raport SAP TZCUSTHELP przedstawia jakiekolwiek błędy. Aby uzyskać więcej informacji, zobacz 481835 uwagi SAP.

Mogą również występować problemy z zegarem na maszynie wirtualnej, na której jest hostowany kontener agenta modułu zbierającego dane, a wszelkie odchylenia od zegara na maszynie wirtualnej z czasu UTC wpływają na zbieranie danych. Co ważniejsze, zegary na maszynach systemowych SAP i maszynach agenta modułu zbierającego dane muszą być zgodne.

Problemy z łącznością sieciową

Jeśli masz problemy z łącznością sieciową ze środowiskiem SAP lub z usługą Microsoft Sentinel, sprawdź łączność sieciową, aby upewnić się, że dane przepływają zgodnie z oczekiwaniami.

Typowe problemy są następujące:

• Zapory między kontenerem platformy Docker i hostami SAP mogą blokować ruch. Host SAP odbiera komunikację za pośrednictwem następujących portów TCP, które muszą być otwarte: 32xx, 5xx13 i 33xx, gdzie xx jest numerem wystąpienia SAP.

• Komunikacja wychodząca z hosta agenta SAP do usługi Microsoft Container Registry lub platformy Azure wymaga konfiguracji serwera proxy. Zwykle ma to wpływ na instalację i wymaga skonfigurowania HTTP_PROXY zmiennych środowiskowych i HTTPS_PROXY . Zmienne środowiskowe można również pozyskiwać do kontenera platformy Docker podczas tworzenia kontenera, dodając flagę -e do polecenia platformy Docker create / run .

Pobieranie dziennika inspekcji kończy się niepowodzeniem z ostrzeżeniami

Ta sekcja jest obsługiwana tylko w przypadku wdrożenia agenta łącznika danych z poziomu wiersza polecenia.

Jeśli spróbujesz pobrać dziennik inspekcji bez wymaganych konfiguracji i proces zakończy się niepowodzeniem z ostrzeżeniami, sprawdź, czy dziennik inspekcji SAP można pobrać przy użyciu jednej z następujących metod:

• Korzystanie z trybu zgodności o nazwie XAL w starszych wersjach
• Używanie wersji, która nie została ostatnio poprawiona
• Bez żadnych zmian wprowadzonych w celu nawiązania połączenia z agentem łącznika danych usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Konfigurowanie systemu SAP dla rozwiązania Microsoft Sentinel.

W razie potrzeby system powinien automatycznie przełączyć się do trybu zgodności, ale może być konieczne ręczne przełączenie go. Aby ręcznie przełączyć się do trybu zgodności:

1. Edytuj plik /opt/sapcon/[SID]/systemconfig.json.

2. W sekcji Konfiguracja łącznika zdefiniuj:auditlogforcexal = True

   Na przykład:

   [Connector Configuration]
   auditlogforcexal = True
   

3. Zapisz plik.

Zmiana zostanie w życie około dwie minuty po zapisaniu pliku. Nie musisz ponownie uruchamiać kontenera platformy Docker.

Podsystemy SAPCONTROL lub JAVA nie mogą nawiązać połączenia

Sprawdź, czy użytkownik systemu operacyjnego jest prawidłowy i może uruchomić następujące polecenie w docelowym systemie SAP:

sapcontrol -nr <SID> -function GetSystemInstanceList

Podsystem SAPCONTROL lub JAVA kończy się niepowodzeniem z komunikatem o błędzie związanym z strefą czasową

Jeśli podsystem SAPCONTROL lub JAVA zakończy się niepowodzeniem z komunikatem o błędzie związanym z strefą czasową, na przykład: Sprawdź konfigurację i dostęp sieciowy do serwera SAP — "Etc/NZST", upewnij się, że używasz standardowych kodów strefy czasowej.

Użyj na przykład nazwy javatz = GMT+12 lub abaptz = GMT-3**.

Dane dziennika inspekcji, które nie zostały pozyskane podczas początkowego ładowania

Jeśli dane dziennika inspekcji SAP widoczne w transakcjach RSAU_READ_LOAD lub SM200 nie są pozyskiwane do usługi Microsoft Sentinel po początkowym obciążeniu, może wystąpić błędna konfiguracja systemu SAP i systemu operacyjnego hosta SAP.

• Początkowe obciążenia są pozyskiwane po nowej instalacji usługi Microsoft Sentinel dla łącznika danych SAP lub po usunięciu pliku metadata.db .
• Przykładowa błędna konfiguracja może być wtedy, gdy strefa czasowa systemu SAP jest ustawiona na CET w transakcji STZAC , ale strefa czasowa systemu operacyjnego hosta SAP jest ustawiona na UTC.

Aby sprawdzić błędy konfiguracji, uruchom raport RSDBTIME w transakcji SE38. Jeśli znajdziesz niezgodność między systemem SAP i systemem operacyjnym hosta SAP:

1. Zatrzymaj kontener platformy Docker. Uruchom

   docker stop sapcon-[SID]
   

2. Usuń plik metadata.db z katalogu /opt/sapcon/[SID]. Uruchom:

   rm /opt/sapcon/[SID]/metadata.db
   

3. Zaktualizuj system SAP i system operacyjny hosta SAP, aby mieć zgodne ustawienia, takie jak ta sama strefa czasowa. Aby uzyskać więcej informacji, zobacz witrynę SAP Community Wiki.

4. Uruchom ponownie kontener. Uruchom:

   docker start sapcon-[SID]
   

Inne nieoczekiwane problemy

Jeśli masz nieoczekiwane problemy, które nie zostały wymienione w tym artykule, spróbuj wykonać następujące czynności:

• Resetowanie łącznika i ponowne ładowanie dzienników
• Uaktualnij łącznik do najnowszej wersji.

Napiwek

Zresetowanie łącznika i upewnienie się, że masz najnowsze uaktualnienia, są również zalecane po wszelkich poważnych zmianach konfiguracji.

Powiązana zawartość

Dowiedz się więcej o rozwiązaniu Microsoft Sentinel dla aplikacji SAP:

• Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP
• Wymagania wstępne dotyczące wdrażania rozwiązania Microsoft Sentinel dla aplikacji SAP
• Konfigurowanie systemu SAP dla rozwiązania Microsoft Sentinel
• Wdrażanie zawartości rozwiązania z centrum zawartości
• Łączenie systemu SAP przez wdrożenie kontenera agenta łącznika danych
• Zbieranie dzienników inspekcji oprogramowania SAP HANA

Pliki referencyjne:

• Dokumentacja danych rozwiązania microsoft Sentinel dla aplikacji SAP
• Rozwiązanie Usługi Microsoft Sentinel dla rozwiązań SAP Applications: dokumentacja zawartości zabezpieczeń
• Dokumentacja skryptu Kickstart
• Aktualizowanie odwołania do skryptu
• Dokumentacja pliku aplikacji systemconfig.json SAP dla rozwiązania Microsoft Sentinel

Aby uzyskać więcej informacji, zobacz Rozwiązania usługi Microsoft Sentinel.