Referência de log e tabela para a solução do Microsoft Sentinel para aplicativos SAP
Este artigo descreve os logs e as tabelas disponíveis como parte da solução do Microsoft Sentinel para aplicativos SAP e seu conector de dados.
Alguns logs, observados neste artigo, não são enviados ao Microsoft Sentinel por padrão, mas você pode adicioná-los manualmente conforme necessário. Para obter mais informações, consulte Definir os logs do SAP enviados ao Microsoft Sentinel
O conteúdo deste artigo é destinado às suas equipes de SAP BASIS.
Importante
No momento, alguns componentes da solução de Monitoramento de Ameaças do Microsoft Sentinel para SAP estão em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Usar funções em suas consultas em vez de logs ou tabelas subjacentes
É altamente recomendável que você use as funções disponíveis como os assuntos de sua análise sempre que possível, em vez dos logs ou tabelas subjacentes.
As funções fornecidas com a solução do Microsoft Sentinel para aplicativos SAP destinam-se a servir como a interface do usuário principal para os dados. Elas formam a base de todas as regras de análise e pastas de trabalho internas disponíveis para você. O uso de funções permite que alterações sejam feitas na infraestrutura de dados abaixo das funções, sem interromper o conteúdo criado pelo usuário.
Para obter mais informações, consulte Solução do Microsoft Sentinel para aplicativos SAP – referência de funções e Funções em consultas de log do Azure Monitor.
Cobertura de log
A solução do Microsoft Sentinel para aplicativos SAP coleta logs do aplicativo, do sistema operacional e das camadas de dados, fornecendo proteção abrangente para seu sistema SAP:
Camada de aplicativo: o Microsoft Sentinel monitora as atividades na camada ABAP, que é a camada de aplicativo principal em sistemas SAP, responsável pela execução da lógica de negócios e pelo processamento de transações. Por exemplo, o Microsoft Sentinel coleta logs que incluem ações do usuário, como entradas, alterações de senha e acesso a relatórios ou arquivos.
Além do monitoramento de segurança, os logs coletados na camada de aplicativo também podem ser usados para fins de conformidade e auditoria.
Camada do sistema operacional: o Microsoft Sentinel coleta logs do sistema operacional para fornecer insights sobre atividades no nível do sistema operacional, como do servidor ABAP e das máquinas virtuais nas quais os aplicativos SAP estão em execução.
Use a solução do Microsoft Sentinel para aplicativos SAP junto com conteúdo de segurança e conectores de dados para seus outros serviços para monitoramento abrangente e central, correlacionando informações em todos os seus sistemas e aprimorando sua postura geral de segurança.
Camada de banco de dados: ingira logs de banco de dados no Microsoft Sentinel para monitorar atividades de banco de dados, como atividades de administração de banco de dados e alterações nos dados da tabela. A solução do Microsoft Sentinel para aplicativos SAP é independente de banco de dados.
Todos os logs coletados pelo agente do conector de dados são armazenados primeiro no computador do agente coletor de dados, na /opt/sapcon/<sid>/log pasta na instância de contêiner. Em seguida, os logs são encaminhados para o workspace do Log Analytics, onde você pode exibi-los, auditá-los e consultá-los no Microsoft Sentinel.
Os logs de auditoria são coletados e ingeridos a cada minuto, enquanto outros logs podem ser ingeridos com menos frequência. O Microsoft Sentinel também monitora a pulsação do agente do conector de dados para garantir que os logs estejam sendo coletados e enviados para o workspace do Log Analytics.
Referência de log
As seções a seguir descrevem os logs SAP disponíveis no conector de dados da solução do Microsoft Sentinel para aplicativos SAP, incluindo os nomes de tabela no Microsoft Sentinel, as finalidades do log e os esquemas de log detalhados.
As descrições do campo do esquema são baseadas nas descrições de campo na documentação do SAP relevante.
- Log do aplicativo ABAP
- Log de documentos de alteração ABAP
- Log do ABAP CR
- Log de dados de tabela do ABAP DB (VERSÃO PRÉVIA)
- Log do Gateway ABAP (VERSÃO PRÉVIA)
- Log do ICM ABAP (VERSÃO PRÉVIA)
- Log de trabalho ABAP
- Log de auditoria de segurança ABAP
- Log do Spool ABAP
- Log de saída do Spool do APAB
- ABAP SysLog
- Log de fluxo de trabalho do ABAP
- Log WorkProcess do ABAP
- Trilha de auditoria do HANA DB
- Arquivos JAVA
- Log de pulsação do SAP
Log do aplicativo ABAP
Função do Microsoft Sentinel para consultar este log: SAPAppLog
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: registra o progresso de uma execução de aplicativo para que você possa reconstruí-lo mais tarde, se for necessário.
Disponível usando RFC com base na tabela SAP padrão e nos serviços padrão da interface XBP. Esse log é gerado por cliente.
Esquema de log de ABAPAppLog_CL
| Campo | Descrição |
|---|---|
| AppLogDateTime | Data e hora do log do aplicativo |
| CallbackProgram | Programa de retorno de chamada |
| CallbackRoutine | Rotina de retorno de chamada |
| CallbackType | Tipo de retorno de chamada |
| ClientID | ID do cliente ABAP (MANDT) |
| ContextDDIC | Estrutura de DDIC de contexto |
| ExternalId | ID de log externo |
| Host | Host |
| Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | Serial da mensagem de log do aplicativo |
| LevelofDetail | Nível de detalhes |
| LogHandle | Identificador de log do aplicativo |
| LogNumber | Número de log |
| MessageClass | Classe de mensagens |
| MessageNumber | Número da mensagem |
| MessageText | Texto da mensagem |
| MessageType | Tipo de mensagem |
| Objeto | Objeto do log do aplicativo |
| OperationMode | Modo de operação |
| ProblemClass | Classe de problema |
| ProgramName | Nome do programa |
| SortCriterion | Critério de classificação |
| StandardText | Texto padrão |
| SubObject | Subobjeto de log do aplicativo |
| SystemID | ID do sistema |
| SystemNumber | Número do sistema |
| TransactionCode | Código da transação |
| Usuário | Usuário |
| UserChange | Alteração do usuário |
Log de documentos de alteração ABAP
Função do Microsoft Sentinel para consultar este log: SAPChangeDocsLog
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: registros:
Alterações de log ABAP do servidor de aplicativo (AS) SAP NetWeaver em objetos de dados de negócios em documentos de alteração.
Outras entidades no sistema SAP, como dados de usuário, funções, endereços.
Disponível usando RFC com base em tabelas SAP padrão. Esse log é gerado por cliente.
Esquema de log ABAPChangeDocsLog_CL
| Campo | Descrição |
|---|---|
| ActualChangeNum | Número de alteração real |
| ChangedTableKey | Chave de tabela alterada |
| ChangeNumber | Número de alteração |
| ClientID | ID do cliente ABAP (MANDT) |
| CreatedfromPlannedChange | Criado a partir da alteração planejada, na seguinte sintaxe: (‘X’ , ‘ ‘) |
| CurrencyKeyNew | Chave de moeda: novo valor |
| CurrencyKeyOld | Chave de moeda: valor antigo |
| FieldName | Nome do campo |
| FlagText | Texto do sinalizador |
| Host | Host |
| Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| Idioma | Idioma |
| ObjectClass | Classe de objeto, como BELEG, BPAR, PFCG, IDENTITY |
| ObjectID | ID de objeto |
| PlannedChangeNum | Número de alteração planejada |
| SystemID | ID do sistema |
| SystemNumber | Número do sistema |
| TableName | Nome da tabela |
| TransactionCode | Código da transação |
| TypeofChange_Header | Cabeçalho do tipo de alteração, incluindo: U = Alterar; I = Inserir; E = Excluir documento único; D = Excluir; J = Inserir documento único |
| TypeofChange_Item | Tipo de alteração de item, incluindo: U = Alterar; I = Inserir; E = Excluir documento único; D = Excluir; J = Inserir documento único |
| UOMNew | Unidade de medida: novo valor |
| UOMOld | Unidade de medida: valor antigo |
| Usuário | Usuário |
| ValueNew | Conteúdo do campo: novo valor |
| ValueOld | Conteúdo do campo: valor antigo |
| Versão | Versão |
Log do ABAP CR
Função do Microsoft Sentinel para consultar este log: SAPCRLog
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: inclui os logs de CTS (Sistema de transporte e alteração), incluindo os objetos de diretório e as personalizações em que as alterações foram feitas.
Disponível usando RFC com base em tabelas padrão e serviços SAP padrão. Esse log é gerado com dados em todos os clientes.
Observação
Além do registro em log do aplicativo, da alteração de documentos e da gravação de tabela, todas as alterações feitas no sistema de produção usando o sistema de transporte e alteração são documentadas nos logs CTS e TMS.
Esquema de log de ABAPCRLog_CL
| Campo | Descrição |
|---|---|
| Categoria | Categoria (Workbench, Personalização) |
| ClientID | ID do cliente ABAP (MANDT) |
| DESCRIÇÃO | Descrição |
| Host | Host |
| Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| ObjectName | Nome do objeto |
| ObjectType | Tipo de objeto |
| Proprietário | Proprietário |
| Solicitação | Solicitação de alteração |
| Status | Status |
| SystemID | ID do sistema |
| SystemNumber | Número do sistema |
| TableKey | Legenda da tabela |
| TableName | Nome da tabela |
| ViewName | Nome da exibição |
Log de dados de tabela do ABAP DB (VERSÃO PRÉVIA)
Para que esse log seja enviado ao Microsoft Sentinel, você deve adicioná-lo manualmente ao arquivo systemconfig.json. Não há suporte para esse log ao usar o procedimento recomendado para instalar o agente do conector de dados do portal.
Função do Microsoft Sentinel para consultar este log: SAPTableDataLog
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: fornece o registro em log para as tabelas que são essenciais ou suscetíveis a auditorias.
Disponível com o uso da RFC com um serviço personalizado. Esse log é gerado com dados em todos os clientes.
Esquema de log de ABAPTableDataLog_CL
| Campo | Descrição |
|---|---|
| DBLogID | ID do log do DB |
| Host | Host |
| Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| Idioma | Idioma |
| LogKey | Chave de log |
| NewValue | Novo valor do campo |
| OldValue | Valor antigo do campo |
| OperationTypeSQL | Tipo de operação, Insert, Update, Delete |
| Programa | Nome do programa |
| SystemID | ID do sistema |
| SystemNumber | Número do sistema |
| TableField | Campo de tabela |
| TableName | Nome da tabela |
| TransactionCode | Código da transação |
| UserName | Usuário |
| VersionNumber | Número de versão |
Log do Gateway ABAP (VERSÃO PRÉVIA)
Para que esse log seja enviado ao Microsoft Sentinel, você deve adicioná-lo manualmente ao arquivo systemconfig.json. Não há suporte para esse log ao usar o procedimento recomendado para instalar o agente do conector de dados do portal.
Função do Microsoft Sentinel para consultar este log: SAPOS_GW
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: monitora as atividades do Gateway. Disponível pelo serviço Web SAP Control. Esse log é gerado com dados em todos os clientes.
Esquema de log ABAPOS_GW_CL
| Campo | Descrição |
|---|---|
| Host | Host |
| Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Texto da mensagem |
| Severity | Nível de severidade da mensagem: Debug, Info, Warning, Error |
| SystemID | ID do sistema |
| SystemNumber | Número do sistema |
Log do ICM ABAP (VERSÃO PRÉVIA)
Para que esse log seja enviado ao Microsoft Sentinel, você deve adicioná-lo manualmente ao arquivo systemconfig.json. Não há suporte para esse log ao usar o procedimento recomendado para instalar o agente do conector de dados do portal.
Função do Microsoft Sentinel para consultar este log: SAPOS_ICM
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: registra solicitações de entrada e saída e compila estatísticas das solicitações HTTP.
Disponível pelo serviço Web SAP Control. Esse log é gerado com dados em todos os clientes.
Esquema de log ABAPOS_ICM_CL
| Campo | Descrição |
|---|---|
| Host | Host |
| Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Texto da mensagem |
| Severity | Severidade da mensagem, incluindo: Debug, Info, Warning, Error |
| SystemID | ID do sistema |
| SystemNumber | Número do sistema |
Log de trabalho ABAP
Função do Microsoft Sentinel para consultar este log: SAPJobLog
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: combina todos os logs de trabalho de processamento em segundo plano (SM37).
Disponível usando RFC com base na tabela SAP padrão e nos serviços padrão das interfaces XBP. Esse log é gerado com dados em todos os clientes.
Esquema de log de ABAPJobLog_CL
| Campo | Descrição |
|---|---|
| ABAPProgram | Programa ABAP |
| BgdEventParameters | Parâmetros de evento em segundo plano |
| BgdProcessingEvent | Evento de processamento em segundo plano |
| ClientID | ID do cliente ABAP (MANDT) |
| DynproNumber | Número de Dynpro |
| GUIStatus | Status da GUI |
| Host | Host |
| Instância | Instância ABAP (HOST_SYSID_SYSNR), na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| JobClassification | Classificação de trabalho |
| JobCount | Contagem de trabalhos |
| JobGroup | Grupo de trabalho |
| JobName | Nome do trabalho |
| JobPriority | prioridade de trabalho |
| MessageClass | Classe de mensagens |
| MessageNumber | Número da mensagem |
| MessageText | Texto da mensagem |
| MessageType | Tipo de mensagem |
| ReleaseUser | Usuário de liberação de trabalho |
| SchedulingDateTime | Agendamento de data e hora |
| StartDateTime | Data e hora de início |
| SystemID | ID do sistema |
| SystemNumber | Número do sistema |
| TargetServer | Servidor de destino |
| Usuário | Usuário |
| UserReleaseInstance | Instância ABAP – versão do usuário |
| WorkProcessID | ID do processo de trabalho |
| WorkProcessNumber | Número do processo de trabalho |
Log de auditoria de segurança ABAP
Função do Microsoft Sentinel para consultar este log: SAPAuditLog
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: registra os seguintes dados:
- Alterações relacionadas à segurança no ambiente do sistema SAP, como alterações nos registros de usuário principais
- Informações que fornecem um nível mais alto de dados, como tentativas de login com ou sem êxito
- Informações que permitem a reconstrução de uma série de eventos, como inícios de transação com ou sem êxito
Disponível usando interfaces XAL/SAL RFC. O SAL está disponível a partir da versão Base 7.50. Esse log é gerado com dados em todos os clientes.
Esquema de log de ABAPAuditLog_CL
| Campo | Descrição |
|---|---|
| ABAPProgramName | Nome do programa, somente SAL |
| AlertSeverity | Severidade do alerta |
| AlertSeverityText | Texto de severidade do alerta, somente SAL |
| AlertValue | Valor do alerta |
| AuditClassID | ID de classe de auditoria, somente SAL |
| ClientID | ID do cliente ABAP (MANDT) |
| Computador | Computador do usuário, somente SAL |
| Email do usuário | |
| Host | Host |
| Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | Classe de mensagens |
| MessageContainerID | ID do contêiner de mensagens, somente XAL |
| MessageID | ID da mensagem, como ‘AU1’,’AU2’… |
| MessageText | Texto da mensagem |
| MonitoringObjectName | Nome do objeto monitor MTE, somente XAL |
| MonitorShortName | Nome curto do monitor MTE, somente XAL |
| SAPProcessType | Log do sistema: tipo de processo SAP, somente SAL |
| B* - Processamento em segundo plano | |
| D* – Processamento de caixa de diálogo | |
| U* - Atualizar tarefas | |
| SAPWPName | Log do Sistema: número do processo de trabalho, somente SAL |
| SystemID | ID do sistema |
| SystemNumber | Número do sistema |
| TerminalIPv6 | IP do computador do usuário, somente SAL |
| TransactionCode | Código de transação, somente SAL |
| Usuário | Usuário |
| Variable1 | Variável de mensagem 1 |
| Variable2 | Variável de mensagem 2 |
| Variable3 | Variável de mensagem 3 |
| Variable4 | Variável de mensagem 4 |
Log do Spool ABAP
Função do Microsoft Sentinel para consultar este log: SAPSpoolLog
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: serve como o log principal para impressão SAP com o histórico de solicitações de spool. (SP01).
Disponível usando RFC com base na tabela SAP padrão. Esse log é gerado com dados em todos os clientes.
Esquema de log de ABAPSpoolLog_CL
| Campo | Descrição |
|---|---|
| ArchiveStatus | Status do arquivo |
| ArchiveType | Tipo de arquivo |
| ArchivingDevice | Dispositivo de arquivamento |
| AutoRereoute | Redirecionar automaticamente |
| ClientID | ID do cliente ABAP (MANDT) |
| CountryKey | Chave de país/região |
| DeleteSpoolRequestAuto | Excluir solicitação de spool automaticamente |
| DelFlag | Sinalizador de exclusão |
| department | department |
| DocumentType | Tipo de documento |
| ExternalMode | Modo externo |
| FormatType | Tipo de formato |
| Host | Host |
| Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | Número de cópias |
| OutputDevice | Dispositivo de saída |
| PrinterLongName | Nome longo da impressora |
| PrintImmediately | Imprimir imediatamente |
| PrintOSCoverPage | Imprimir a página OSCover |
| PrintSAPCoverPage | Imprimir página SAPCover |
| Prioridade | Prioridade |
| RecipientofSpoolRequest | Destinatário da solicitação de spool |
| SpoolErrorStatus | Status do erro de spool |
| SpoolRequestCompleted | A solicitação de spool foi concluída |
| SpoolRequestisALogForAnotherRequest | A solicitação de spool é um log para outra solicitação |
| SpoolRequestName | Nome da solicitação de spool |
| SpoolRequestNumber | Número da solicitação de spool |
| SpoolRequestSuffix1 | Suffix1 da solicitação de spool |
| SpoolRequestSuffix2 | Suffix2 da solicitação de spool |
| SpoolRequestTitle | Título da solicitação de spool |
| SystemID | ID do sistema |
| SystemNumber | Número do sistema |
| TelecommunicationsPartner | Parceiro de telecomunicações |
| TelecommunicationsPartnerE | Parceiro de telecomunicações E |
| TemSeGeneralcounter | Contador de Temse |
| TemseNumAddProtectionRule | Regra de proteção de adição de número Temse |
| TemseNumChangeProtectionRule | Regra de proteção de alteração de número Temse |
| TemseNumDeleteProtectionRule | Regra de proteção de exclusão de número Temse |
| TemSeObjectName | Nome de objeto Temse |
| TemSeObjectPart | Parte de objeto TemSe |
| TemseReadProtectionRule | Regra de proteção de leitura Temse |
| Usuário | Usuário |
| ValueAuthCheck | Verificação de auth de valor |
Log de saída do Spool do APAB
Função do Microsoft Sentinel para consultar este log: SAPSpoolOutputLog
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: serve como o log principal para Impressão SAP com o histórico de solicitações de saída de spool. (SP02).
Disponível com o uso da RFC com um serviço personalizado com base nas tabelas padrão. Esse log é gerado com dados em todos os clientes.
Esquema de log de ABAPSpoolOutputLog_CL
| Campo | Descrição |
|---|---|
| AppServer | Servidor de aplicativos |
| ClientID | ID do cliente ABAP (MANDT) |
| Comentário | Comentário |
| CopyCount | Contagem de cópia |
| CopyCounter | Contador de cópia |
| department | department |
| ErrorSpoolRequestNumber | Número da solicitação de erro |
| FormatType | Tipo de formato |
| Host | Host |
| HostName | Nome do host |
| HostSpoolerID | ID do spooler de host |
| Instância | Instância de ABAP |
| LastPage | Última página |
| NumofCopies | Número de cópias |
| OutputDevice | Dispositivo de saída |
| OutputRequestNumber | Número da solicitação de saída |
| OutputRequestStatus | Status da solicitação de saída |
| PhysicalFormatType | Tipo de formato físico |
| PrinterLongName | Nome longo da impressora |
| PrintRequestSize | Tamanho da solicitação de impressão |
| Prioridade | Prioridade |
| ReasonforOutputRequest | Motivo da solicitação de saída |
| RecipientofSpoolRequest | Destinatário da solicitação de spool |
| SpoolNumberofOutputReqProcessed | Número de solicitações de saída – processadas |
| SpoolNumberofOutputReqWithErrors | Número de solicitações de saída – com erros |
| SpoolNumberofOutputReqWithProblems | Número de solicitações de saída – com problemas |
| SpoolRequestNumber | Número da solicitação de spool |
| StartPage | Página inicial |
| SystemID | ID do sistema |
| SystemNumber | Número do sistema |
| TelecommunicationsPartner | Parceiro de telecomunicações |
| TemSeGeneralcounter | Contador de Temse |
| Título | Título |
| Usuário | Usuário |
ABAP SysLog
Para que esse log seja enviado ao Microsoft Sentinel, você deve adicioná-lo manualmente ao arquivo systemconfig.json. Não há suporte para esse log ao usar o procedimento recomendado para instalar o agente do conector de dados do portal.
Função do Microsoft Sentinel para consultar este log: SAPOS_Syslog
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: registra todos os erros de sistema ABAP do Servidor de Aplicativos SAP NetWeaver (SAP NetWeaver AS), avisos, bloqueios de usuário devido a tentativas de entrada com falha de usuários conhecidos e mensagens de processo.
Disponível pelo serviço Web SAP Control. Esse log é gerado com dados em todos os clientes.
Esquema de log ABAPOS_Syslog_CL
| Campo | Descrição |
|---|---|
| ClientID | ID do cliente ABAP (MANDT) |
| Host | Host |
| Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | Número da mensagem |
| MessageText | Texto da mensagem |
| Severity | Severidade da mensagem, um dos seguintes valores: Debug, Info, Warning, Error |
| SystemID | ID do sistema |
| SystemNumber | Número do sistema |
| TransacationCode | Código da transação |
| Tipo | Tipo de processo SAP |
| Usuário | Usuário |
Log de fluxo de trabalho do ABAP
Função do Microsoft Sentinel para consultar este log: SAPWorkflowLog
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: o SAP Business Workflow (mecanismo webflow) permite que você defina processos de negócios que ainda não estão mapeados no sistema SAP.
Por exemplo, processos de negócios não mapeados podem ser procedimentos simples de liberação ou aprovação, ou processos de negócios mais complexos, como a criação de material de base e a coordenação dos departamentos associados.
Disponível usando RFC com base em tabelas SAP padrão. Esse log é gerado por cliente.
Esquema de log de ABAPWorkflowLog_CL
| Campo | Descrição |
|---|---|
| ActualAgent | Agente real |
| Endereço | Endereço |
| ApplicationArea | Área do aplicativo |
| CallbackFunction | Função de retorno de chamada |
| ClientID | ID do cliente ABAP (MANDT) |
| CreationDateTime | Data e hora de criação |
| Criador | Criador |
| CreatorAddress | Endereço do criador |
| ErrorType | Tipo de erro |
| ExceptionforMethod | Exceção para o método |
| Host | Host |
| Instância | Instância ABAP (HOST_SYSID_SYSNR), na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| Idioma | Idioma |
| LogCounter | Contador de log |
| MessageNumber | Número da mensagem |
| MessageType | Tipo de mensagem |
| MethodUser | Usuário do método |
| Prioridade | Prioridade |
| SimpleContainer | Contêiner simples, empacotado como uma lista de entidades de valor-chave para o item de trabalho |
| Status | Status |
| SuperWI | Super WI |
| SystemID | ID do sistema |
| SystemNumber | Número do sistema |
| TaskID | ID da Tarefa |
| TasksClassification | Classificações de tarefa |
| TaskText | Texto da tarefa |
| TopTaskID | ID da tarefa principal |
| UserCreated | Criado pelo usuário |
| WIText | Texto do item de trabalho |
| WIType | Tipo de item de trabalho |
| WorkflowAction | Ação do fluxo de trabalho |
| WorkItemID | {1>ID<1} do item de trabalho |
Log WorkProcess do ABAP
Para que esse log seja enviado ao Microsoft Sentinel, você deve adicioná-lo manualmente ao arquivo systemconfig.json. Não há suporte para esse log ao usar o procedimento recomendado para instalar o agente do conector de dados do portal.
Função do Microsoft Sentinel para consultar este log: SAPOS_WP
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: combina todos os logs de processo de trabalho. (padrão:
dev_*).Disponível pelo serviço Web SAP Control. Esse log é gerado com dados em todos os clientes.
Esquema de log ABAPOS_WP_CL
| Campo | Descrição |
|---|---|
| Host | Host |
| Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Texto da mensagem |
| Severity | Nível de severidade da mensagem: Debug, Info, Warning, Error |
| SystemID | ID do sistema |
| SystemNumber | Número do sistema |
| WPNumber | Número do processo de trabalho |
Trilha de auditoria do HANA DB
A coleta do log da Trilha de Auditoria do Banco de Dados do HANA é um exemplo de como o Microsoft Sentinel coleta atividades da camada de banco de dados. Para que esse log seja enviado ao Microsoft Sentinel, você deve implantar o Agente do Azure Monitor para coletar dados do Syslog do computador que executa o banco de dados do HANA.
Função do Microsoft Sentinel para consultar este log: SAPSyslog
Documentação relacionada do SAP: Geral | - Trilha de auditoria
Finalidade do log: registra ações do usuário ou tentativas de ações no banco de dados do SAP HANA. Por exemplo, permite que você registre e monitore o acesso de leitura a dados confidenciais.
Disponível pelo Agente Linux do Microsoft Sentinel para Syslog. Esse log é gerado com dados em todos os clientes.
Esquema de log de Syslog
| Campo | Descrição |
|---|---|
| Computador | Nome do host |
| HostIP | IP do host |
| HostName | Nome do host |
| ProcessID | ID do Processo |
| ProcessName | Nome do processo: HDB* |
| SeverityLevel | Alerta |
| SourceSystem | Sistema operacional de origem, Linux |
| SyslogMessage | Mensagem, uma mensagem de trilha de auditoria não analisada |
Arquivos JAVA
Para que esse log seja enviado ao Microsoft Sentinel, você deve adicioná-lo manualmente ao arquivo systemconfig.json. Não há suporte para esse log ao usar o procedimento recomendado para instalar o agente do conector de dados do portal.
Função do Microsoft Sentinel para consultar este log: SAPJAVAFilesLogs
Documentação do SAP relacionada: Geral | - Log de auditoria de segurança do Java
Finalidade do log: combina todos os logs baseados em arquivos Java, incluindo o log de auditoria de segurança e o sistema (processo de cluster e servidor), desempenho e logs de gateway. Também inclui rastreamentos de desenvolvedor e logs de rastreamento padrão.
Disponível pelo serviço Web SAP Control. Esse log é gerado com dados em todos os clientes.
Esquema de log de JavaFilesLogsCL
| Campo | Descrição |
|---|---|
| Aplicativo | Aplicativo Java |
| ClientID | ID do Cliente |
| CSNComponent | Componente CSN, como BC-XI-IBD |
| DCComponent | Componente DC, como com.sap.xi.util.misc |
| DSRCounter | Contador DSR |
| DSRRootContentID | GUID de contexto de DSR |
| DSRTransaction | GUID da transação DSR |
| Host | Host |
| Instância | Instância Java, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| Localização | Classe Java |
| LogName | Java logName, como: Available, defaulttrace, dev*, security e assim por diante |
| MessageText | Texto da mensagem |
| MNo | Número da mensagem |
| Pid | ID do Processo |
| Programa | Nome do programa |
| Sessão | Sessão |
| Severity | Severidade da mensagem, incluindo: Debug, Info, Warning, Error |
| Solução | Solução |
| SystemID | ID do sistema |
| SystemNumber | Número do sistema |
| ThreadName | Nome do thread |
| Lançada | Exceção lançada |
| TimeZone | Fuso horário |
| Usuário | Usuário |
Log de pulsação do SAP
Função do Microsoft Sentinel para consultar este log: SAPConnectorHealth
Finalidade do log: fornece pulsação e outras informações de saúde sobre a conectividade entre os agentes e os diferentes sistemas SAP.
Criado automaticamente para agentes do conector de dados do Microsoft Sentinel para SAP.
SAP_HeartBeat_CL de log
| Campo | Descrição |
|---|---|
| TimeGenerated | Hora do evento de postagem de log |
| agent_id_s | ID do agente na configuração do agente (gerada automaticamente) |
| agent_ver_s | Versão do agente |
| host_s | O nome do host do agente |
| system_id_s | Netweaver ABAP ID do Sistema / Host SAPControl do Netweaver (versão prévia) / Host SAPControl Java (versão prévia) |
| push_timestamp_d | Timestamp da extração, de acordo com o fuso horário do agente |
| agent_timezone_s | Fuso horário do agente |
Referência de tabelas recuperadas diretamente dos sistemas SAP
Esta seção lista as tabelas de dados que são recuperadas diretamente do sistema SAP e ingeridas no Microsoft Sentinel exatamente como se apresentam.
Os dados recuperados dessas tabelas fornecem uma exibição clara da estrutura de autorização, da associação de grupo e dos perfis de usuário. Ele também permite que você acompanhe o processo de concessões e revogações de autorização, além de identificar e controlar os riscos associados a esses processos.
As tabelas listadas abaixo são necessárias para habilitar funções que identificam usuários privilegiados, mapeiam usuários para funções, grupos e autorizações.
Para obter melhores resultados, consulte estas tabelas usando o nome na coluna Nome da função do Microsoft Sentinel na tabela a seguir:
| Nome da tabela | Descrição da tabela | Nome da função do Microsoft Sentinel |
|---|---|---|
| USR01 | Registro mestre do usuário (dados de runtime) | SAP_USR01 |
| USR02 | Dados de entrada (uso do lado do kernel) | SAP_USR02 |
| UST04 | Mestres do usuário Mapeia usuários para perfis |
SAP_UST04 |
| AGR_USERS | Atribuição de funções aos usuários | SAP_AGR_USERS |
| AGR_1251 | Dados de autorização para o grupo de atividades | SAP_AGR_1251 |
| USGRP_USER | Atribuição de usuários a grupos de usuários | SAP_USGRP_USER |
| USR21 | Nome de usuário / Atribuição de chave de endereço | SAP_USR21 |
| ADR6 | Endereços de email (serviços de endereço comercial) | SAP_ADR6 |
| USRSTAMP | Carimbo de data/hora para todas as alterações no usuário | SAP_USRSTAMP |
| ADCP | Atribuição de pessoa/endereço (serviços de endereço comercial) | SAP_ADCP |
| USR05 | ID do parâmetro mestre do usuário | SAP_USR05 |
| AGR_PROF | Nome do perfil para a função | SAP_AGR_PROF |
| AGR_FLAGS | Atributos da função | SAP_AGR_FLAGS |
| DEVACCESS | Tabela para usuário de desenvolvimento | SAP_DEVACCESS |
| AGR_DEFINE | Definição de função | SAP_AGR_DEFINE |
| AGR_AGRS | Funções em funções compostas | SAP_AGR_AGRS |
| PAHI | Histórico dos parâmetros do sistema, do banco de dados e do SAP | SAP_PAHI |
| SNCSYSACL (VERSÃO PRÉVIA) | ACL (Lista de controle de acesso) do SNC: sistemas | SAP_SNCSYSACL |
| USRACL (VERSÃO PRÉVIA) | ACL (Lista de controle de acesso) do SNC: usuário | SAP_USRACL |
Conteúdo relacionado
Para saber mais, veja: