Referência de log e tabela para a solução Microsoft Sentinel para aplicativos SAP
Este artigo descreve os logs e tabelas disponíveis como parte da solução Microsoft Sentinel para aplicativos SAP e seu conector de dados.
Alguns logs, observados neste artigo, não são enviados para o Microsoft Sentinel por padrão, mas você pode adicioná-los manualmente conforme necessário. Para obter mais informações, consulte Definir os logs SAP enviados ao Microsoft Sentinel
O conteúdo deste artigo destina-se às suas equipas SAP BASIS .
Importante
Alguns componentes da solução Microsoft Sentinel Threat Monitoring for SAP estão atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Use funções em suas consultas em vez de logs ou tabelas subjacentes
É altamente recomendável que você use as funções disponíveis como os assuntos de sua análise sempre que possível, em vez dos logs ou tabelas subjacentes.
As funções fornecidas com a solução Microsoft Sentinel para aplicativos SAP destinam-se a servir como a principal interface do usuário para os dados. Eles formam a base para todas as regras de análise internas e pastas de trabalho disponíveis para você prontamente. O uso de funções permite que alterações sejam feitas na infraestrutura de dados abaixo das funções, sem interromper o conteúdo criado pelo usuário.
Para obter mais informações, consulte Solução Microsoft Sentinel para aplicativos SAP - referência de funções e Funções em consultas de log do Azure Monitor.
Cobertura de log
A solução Microsoft Sentinel para aplicativos SAP coleta logs das camadas de aplicativos, SO e dados, fornecendo proteção abrangente para seu sistema SAP:
Camada de aplicação: o Microsoft Sentinel monitora as atividades dentro da camada ABAP, que é a principal camada de aplicação em sistemas SAP, responsável pela execução da lógica de negócios e processamento de transações. Por exemplo, o Microsoft Sentinel coleta logs que incluem ações do usuário, como entradas, alterações de senha e acesso a relatórios ou arquivos.
Além do monitoramento de segurança, os logs coletados na camada de aplicativo também podem ser usados para fins de conformidade e auditoria.
Camada do SO: o Microsoft Sentinel reúne logs do sistema operacional para fornecer informações sobre as atividades no nível do sistema operacional, como do servidor ABAP e das máquinas virtuais nas quais os aplicativos SAP estão sendo executados.
Use a solução Microsoft Sentinel para aplicativos SAP juntamente com conteúdo de segurança e conectores de dados para seus outros serviços para monitoramento abrangente e central, correlacionando informações em todos os seus sistemas e aprimorando sua postura geral de segurança.
Camada de banco de dados: ingerir logs de banco de dados no Microsoft Sentinel para monitorar atividades de banco de dados, como atividades de administração de banco de dados e alterações em dados de tabela. A solução Microsoft Sentinel para aplicativos SAP é independente de banco de dados.
Todos os logs coletados pelo agente do conector de dados são armazenados primeiro na máquina do agente coletor de dados, na /opt/sapcon/<sid>/log pasta na instância do contêiner. Os logs são encaminhados para o espaço de trabalho do Log Analytics, onde você pode exibi-los, auditá-los e consultá-los a partir do Microsoft Sentinel.
Os logs de auditoria são coletados e ingeridos a cada minuto, enquanto outros logs podem ser ingeridos com menos frequência. O Microsoft Sentinel também monitora a pulsação do agente do conector de dados para garantir que os logs estejam sendo coletados e enviados para o espaço de trabalho do Log Analytics.
Referência de log
As seções a seguir descrevem os logs SAP disponíveis no conector de dados da solução Microsoft Sentinel para aplicativos SAP, incluindo os nomes das tabelas no Microsoft Sentinel, as finalidades do log e os esquemas de log detalhados.
As descrições dos campos do esquema baseiam-se nas descrições dos campos na documentação SAP relevante.
- Log do aplicativo ABAP
- Registo de Alteração de Documentos ABAP
- Log CR ABAP
- Log de dados da tabela ABAP DB (VISUALIZAÇÃO)
- Log do gateway ABAP (VISUALIZAÇÃO)
- Log ABAP ICM (VISUALIZAÇÃO)
- Registro de trabalhos ABAP
- Log de auditoria de segurança ABAP
- Log de spool ABAP
- Log de saída do APAB Spool
- ABAP SysLog
- Log de fluxo de trabalho ABAP
- Log do ABAP WorkProcess
- Trilha de auditoria HANA DB
- Arquivos JAVA
- Registro de pulsação SAP
Log do aplicativo ABAP
Função Microsoft Sentinel para consultar este log: SAPAppLog
Documentação SAP relacionada: SAP Help Portal
Finalidade do log: registra o progresso da execução de um aplicativo para que você possa reconstruí-lo posteriormente, conforme necessário.
Disponível usando RFC baseado em tabela SAP padrão e serviços padrão de interface XBP. Este log é gerado por cliente.
ABAPAppLog_CL esquema de log
| Campo | Descrição |
|---|---|
| AppLogDateTime | Data e hora do log do aplicativo |
| Programa de retorno de chamada | Programa de retorno de chamada |
| CallbackRotina | Rotina de retorno de chamada |
| Tipo de retorno de chamada | Tipo de retorno de chamada |
| ID do Cliente | ID do cliente ABAP (MANDT) |
| ContextoDDIC | Estrutura DDIC de contexto |
| ID Externo | ID de registo externo |
| Host | Host |
| Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | Mensagem de log do aplicativo serial |
| Nível de Detalhe | Nível de detalhe |
| LogHandle | Identificador de log do aplicativo |
| Número de registo | Número do registo |
| MessageClass | Classe da mensagem |
| MessageNumber | Número da mensagem |
| MessageText | Texto da mensagem |
| Tipo de mensagem | Tipo de mensagem |
| Object | Objeto de log do aplicativo |
| Modo de operação | Modo de operação |
| ProblemClass | Classe de problema |
| ProgramName | Nome do programa |
| SortCriterion | Critério de ordenação |
| Texto padrão | Texto normalizado |
| Subobjeto | Subobjeto de log do aplicativo |
| ID do Sistema | ID do Sistema |
| Número do sistema | Número do sistema |
| Código de transação | Código da transação |
| User | User |
| UserChange | Alteração de utilizador |
Registo de Alteração de Documentos ABAP
Função Microsoft Sentinel para consultar este log: SAPChangeDocsLog
Documentação SAP relacionada: SAP Help Portal
Finalidade do registo: Registos:
O SAP NetWeaver Application Server (AS) ABAP registra alterações em objetos de dados corporativos em documentos de alteração.
Outras entidades no sistema SAP, como dados do usuário, funções, endereços.
Disponível usando RFC com base em tabelas SAP padrão. Este log é gerado por cliente.
ABAPChangeDocsLog_CL esquema de log
| Campo | Descrição |
|---|---|
| ActualChangeNum | Número da alteração real |
| ChangedTableKey | Chave de tabela alterada |
| AlterarNúmero | Alterar número |
| ID do Cliente | ID do cliente ABAP (MANDT) |
| CreatedfromPlannedChange | Criado a partir da alteração planejada, na seguinte sintaxe: (‘X’ , ‘ ‘) |
| CurrencyKeyNew | Chave de moeda: novo valor |
| MoedaKeyOld | Chave de moeda: valor antigo |
| Nome do campo | Nome do campo |
| FlagText | Texto da bandeira |
| Host | Host |
| Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| Linguagem | Linguagem |
| ObjectClass | Classe de objeto, como BELEG, BPAR, PFCG, , IDENTITY |
| ObjectID | ID do Objeto |
| PlannedChangeNum | Número de alteração planeada |
| ID do Sistema | ID do Sistema |
| Número do sistema | Número do sistema |
| TableName | Nome da tabela |
| Código de transação | Código da transação |
| TypeofChange_Header | Tipo de alteração de cabeçalho, incluindo: U = Mudança; I = Inserir; E = Excluir documento único; D = Eliminar; J = Inserir documento único |
| TypeofChange_Item | Tipo de alteração de item, incluindo: U = Mudança; I = Inserir; E = Excluir documento único; D = Eliminar; J = Inserir documento único |
| UOMNew | Unidade de medida: novo valor |
| UOMOld | Unidade de medida: valor antigo |
| User | User |
| ValorNovo | Conteúdo do campo: novo valor |
| ValorAntigo | Conteúdo do campo: valor antigo |
| Versão | Versão |
Log CR ABAP
Função Microsoft Sentinel para consultar este log: SAPCRLog
Documentação SAP relacionada: SAP Help Portal
Finalidade do log: Inclui os logs Change & Transport System (CTS), incluindo os objetos de diretório e personalizações onde as alterações foram feitas.
Disponível usando RFC com base em tabelas padrão e serviços SAP padrão. Esse log é gerado com dados em todos os clientes.
Nota
Além do registro em log do aplicativo, documentos de alteração e gravação de tabelas, todas as alterações feitas no sistema de produção usando o Change & Transport System são documentadas nos logs CTS e TMS.
ABAPCRLog_CL esquema de log
| Campo | Descrição |
|---|---|
| Categoria | Categoria (Workbench, Customizing) |
| ID do Cliente | ID do cliente ABAP (MANDT) |
| Description | Description |
| Host | Host |
| Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| ObjectName | Object name |
| Tipo de objeto | Object type |
| Proprietário | Proprietário |
| Pedir | Pedido de alteração |
| Status | Status |
| ID do Sistema | ID do Sistema |
| Número do sistema | Número do sistema |
| Chave de tabela | Tecla da tabela |
| TableName | Nome da tabela |
| ViewName | View name |
Log de dados da tabela ABAP DB (VISUALIZAÇÃO)
Para que esse log seja enviado ao Microsoft Sentinel, você deve adicioná-lo manualmente ao arquivo systemconfig.json. Esse log não é suportado ao usar o procedimento recomendado para instalar o agente do conector de dados do portal.
Função Microsoft Sentinel para consultar este log: SAPTableDataLog
Documentação SAP relacionada: SAP Help Portal
Finalidade do log: fornece registro em log para as tabelas que são críticas ou suscetíveis a auditorias.
Disponível usando RFC com um serviço personalizado. Esse log é gerado com dados em todos os clientes.
ABAPTableDataLog_CL esquema de log
| Campo | Descrição |
|---|---|
| DBLogID | ID de log do banco de dados |
| Host | Host |
| Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| Linguagem | Linguagem |
| Chave de registo | Chave de registo |
| NovoValor | Novo valor de campo |
| OldValue | Valor antigo do campo |
| OperationTypeSQL | Tipo de operação, Insert, Update, Delete |
| Programa | Nome do programa |
| ID do Sistema | ID do Sistema |
| Número do sistema | Número do sistema |
| Campo de tabela | Campo Tabela |
| TableName | Nome da tabela |
| Código de transação | Código da transação |
| Nome de utilizador | User |
| VersionNumber | Número de versão |
Log do gateway ABAP (VISUALIZAÇÃO)
Para que esse log seja enviado ao Microsoft Sentinel, você deve adicioná-lo manualmente ao arquivo systemconfig.json. Esse log não é suportado ao usar o procedimento recomendado para instalar o agente do conector de dados do portal.
Função Microsoft Sentinel para consultar este log: SAPOS_GW
Documentação SAP relacionada: SAP Help Portal
Finalidade do log: Monitora as atividades do Gateway. Disponível pelo serviço Web SAP Control. Esse log é gerado com dados em todos os clientes.
ABAPOS_GW_CL esquema de log
| Campo | Descrição |
|---|---|
| Host | Host |
| Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Texto da mensagem |
| Gravidade | Severidade da mensagem: Debug, Info, Warning, Error |
| ID do Sistema | ID do Sistema |
| Número do sistema | Número do sistema |
Log ABAP ICM (VISUALIZAÇÃO)
Para que esse log seja enviado ao Microsoft Sentinel, você deve adicioná-lo manualmente ao arquivo systemconfig.json. Esse log não é suportado ao usar o procedimento recomendado para instalar o agente do conector de dados do portal.
Função do Microsoft Sentinel para consultar este log: SAPOS_ICM
Documentação SAP relacionada: SAP Help Portal
Finalidade do log: Registra solicitações de entrada e saída e compila estatísticas das solicitações HTTP.
Disponível pelo serviço Web SAP Control. Esse log é gerado com dados em todos os clientes.
ABAPOS_ICM_CL esquema de log
| Campo | Descrição |
|---|---|
| Host | Host |
| Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Texto da mensagem |
| Gravidade | Gravidade da mensagem, incluindo: Debug, Info, Warning, Error |
| ID do Sistema | ID do Sistema |
| Número do sistema | Número do sistema |
Registro de trabalhos ABAP
Função Microsoft Sentinel para consultar este log: SAPJobLog
Documentação SAP relacionada: SAP Help Portal
Finalidade do log: Combina todos os logs de trabalho de processamento em segundo plano (SM37).
Disponível usando RFC baseado em tabela SAP padrão e serviços padrão de interfaces XBP. Esse log é gerado com dados em todos os clientes.
ABAPJobLog_CL esquema de log
| Campo | Descrição |
|---|---|
| ABAPProgram | Programa ABAP |
| BgdEventParameters | Parâmetros de evento em segundo plano |
| BgdProcessingEvent | Evento de processamento em segundo plano |
| ID do Cliente | ID do cliente ABAP (MANDT) |
| DynproNumber | Número Dynpro |
| GUIStatus | Status da GUI |
| Host | Host |
| Instância | Instância ABAP (HOST_SYSID_SYSNR), na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| Classificação Profissional | Classificação das funções |
| JobCount | Contagem de empregos |
| Grupo JobGroup | Grupo de trabalho |
| Nome do Emprego | Nome da tarefa |
| JobPriority | Prioridade dos trabalhos |
| MessageClass | Classe da mensagem |
| MessageNumber | Número da mensagem |
| MessageText | Texto da mensagem |
| Tipo de mensagem | Tipo de mensagem |
| ReleaseUser | Usuário de liberação de trabalho |
| AgendamentoDataHora | Agendamento da hora da data |
| StartDateTime | Data de início, hora |
| ID do Sistema | ID do Sistema |
| Número do sistema | Número do sistema |
| TargetServer | Servidor de destino |
| User | User |
| UserReleaseInstance | Instância ABAP - liberação do usuário |
| WorkProcessID | ID do processo de trabalho |
| Número do Processo de Trabalho | Número do processo de trabalho |
Log de auditoria de segurança ABAP
Função Microsoft Sentinel para consultar este log: SAPAuditLog
Documentação SAP relacionada: SAP Help Portal
Finalidade do registo: Regista os seguintes dados:
- Alterações relacionadas à segurança no ambiente do sistema SAP, como alterações nos principais registros de usuários
- Informações que fornecem um nível mais alto de dados, como tentativas de entrada bem-sucedidas e malsucedidas
- Informações que permitem a reconstrução de uma série de eventos, como inícios de transações bem-sucedidas ou malsucedidas
Disponível usando interfaces RFC XAL/SAL. O SAL está disponível a partir da versão Basis 7.50. Esse log é gerado com dados em todos os clientes.
ABAPAuditLog_CL esquema de log
| Campo | Descrição |
|---|---|
| ABAPProgramName | Nome do programa, apenas SAL |
| AlertSeverity | Gravidade do alerta |
| AlertSeverityText | Texto de gravidade do alerta, apenas SAL |
| Valor de alerta | Valor de alerta |
| AuditClassID | ID da classe de auditoria, apenas SAL |
| ID do Cliente | ID do cliente ABAP (MANDT) |
| Computador | Máquina de utilizador, apenas SAL |
| E-mail de utilizador | |
| Host | Host |
| Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | Classe da mensagem |
| MessageContainerID | ID do contêiner de mensagens, somente XAL |
| ID da mensagem | ID da mensagem, como ‘AU1’,’AU2’… |
| MessageText | Texto da mensagem |
| MonitoringObjectName | Nome do objeto MTE Monitor, somente XAL |
| MonitorShortName | Nome curto do Monitor MTE, apenas XAL |
| SAPProcessType | Log do sistema: tipo de processo SAP, apenas SAL |
| B* - Processamento em segundo plano | |
| D* - Processamento de diálogos | |
| U* - Tarefas de atualização | |
| SAPWPName | Log do sistema: Número do processo de trabalho, apenas SAL |
| ID do Sistema | ID do Sistema |
| Número do sistema | Número do sistema |
| TerminalIPv6 | IP da máquina do utilizador, apenas SAL |
| Código de transação | Código de transação, apenas SAL |
| User | User |
| Variável1 | Variável de mensagem 1 |
| Variável2 | Variável de mensagem 2 |
| Variável3 | Variável de mensagem 3 |
| Variável4 | Variável de mensagem 4 |
Log de spool ABAP
Função Microsoft Sentinel para consultar este log: SAPSpoolLog
Documentação SAP relacionada: SAP Help Portal
Finalidade do log: Serve como o log principal para impressão SAP com o histórico de solicitações de spool. (SP01).
Disponível usando RFC com base na tabela SAP padrão. Esse log é gerado com dados em todos os clientes.
ABAPSpoolLog_CL esquema de log
| Campo | Descrição |
|---|---|
| ArquivamentoStatus | Estado do arquivo |
| Tipo de Arquivo | Tipo de arquivo |
| ArquivamentoDispositivo | Dispositivo de arquivamento |
| AutoRereoute | Reencaminhamento automático |
| ID do Cliente | ID do cliente ABAP (MANDT) |
| Chave do País | Chave de país/região |
| DeleteSpoolRequestAuto | Excluir solicitação de spool automática |
| DelFlag | Sinalizador de exclusão |
| Departamento | Departamento |
| DocumentType | Document type |
| Modo Externo | Modo externo |
| FormatType | Tipo de formato |
| Host | Host |
| Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | Número de exemplares |
| Dispositivo de saída | Dispositivo de saída |
| PrinterLongName | Nome longo da impressora |
| ImprimirImediatamente | Imprima imediatamente |
| PrintOSCoverPage | Imprimir página OSCover |
| PrintSAPCoverPage | Imprimir página SAPCover |
| Prioridade | Prioridade |
| RecipientofSpoolRequest | Destinatário da solicitação de spool |
| SpoolErrorStatus | Status de erro do spool |
| SpoolRequestCompleted | Pedido de spool concluído |
| SpoolRequestisALogForAnotherRequest | A solicitação de spool é um log para outra solicitação |
| SpoolRequestName | Nome da solicitação de spool |
| SpoolRequestNumber | Número de solicitação de spool |
| SpoolRequestSuffix1 | Sufixo de solicitação de spool1 |
| SpoolRequestSuffix2 | Sufixo de solicitação de spool2 |
| SpoolRequestTitle | Título da solicitação de spool |
| ID do Sistema | ID do Sistema |
| Número do sistema | Número do sistema |
| TelecomunicaçõesParceiro | Parceiro de telecomunicações |
| TelecomunicaçõesPartnerE | Parceiro de telecomunicações E |
| TemSeGeneralcounter | Contador Temse |
| TemseNumAddProtectionRule | Regra de adição de proteção de número Temse |
| TemseNumChangeProtectionRule | Regra de proteção contra alteração de número Temse |
| TemseNumDeleteProtectionRule | Regra de proteção de exclusão de número Temse |
| TemSeObjectName | Nome do objeto Temse |
| TemSeObjectPart | Parte do objeto TemSe |
| TemseReadProtectionRule | Regra de proteção de leitura Temse |
| User | User |
| ValueAuthCheck | Verificação de autenticação de valor |
Log de saída do APAB Spool
Função Microsoft Sentinel para consultar este log: SAPSpoolOutputLog
Documentação SAP relacionada: SAP Help Portal
Finalidade do log: Serve como o log principal para a impressão SAP com o histórico de solicitações de saída de spool. (SP02).
Disponível usando RFC com um serviço personalizado baseado em tabelas padrão. Esse log é gerado com dados em todos os clientes.
ABAPSpoolOutputLog_CL esquema de log
| Campo | Descrição |
|---|---|
| AppServer | Servidor aplicacional |
| ID do Cliente | ID do cliente ABAP (MANDT) |
| Comentário | Comentário |
| Contagem de Cópias | Contagem de cópias |
| CopyCounter | Contador de cópias |
| Departamento | Departamento |
| ErrorSpoolRequestNumber | Número da solicitação de erro |
| FormatType | Tipo de formato |
| Host | Host |
| Nome do Anfitrião | Nome do anfitrião |
| HostSpoolerID | Host spooler ID |
| Instância | Instância ABAP |
| Última Página | Última página |
| NumofCopies | Número de exemplares |
| Dispositivo de saída | Dispositivo de saída |
| OutputRequestNumber | Número da solicitação de saída |
| OutputRequestStatus | Status da solicitação de saída |
| PhysicalFormatType | Tipo de formato físico |
| PrinterLongName | Nome longo da impressora |
| PrintRequestSize | Tamanho do pedido de impressão |
| Prioridade | Prioridade |
| ReasonforOutputRequest | Motivo do pedido de saída |
| RecipientofSpoolRequest | Destinatário da solicitação de spool |
| SpoolNumberofOutputReqProcessed | Número de solicitações de saída - processadas |
| SpoolNumberofOutputReqWithErrors | Número de solicitações de saída - com erros |
| SpoolNumberofOutputReqWithProblems | Número de solicitações de saída - com problemas |
| SpoolRequestNumber | Número de solicitação de spool |
| Página inicial | Página inicial |
| ID do Sistema | ID do Sistema |
| Número do sistema | Número do sistema |
| TelecomunicaçõesParceiro | Parceiro de telecomunicações |
| TemSeGeneralcounter | Contador Temse |
| Título | Título |
| User | User |
ABAP Syslog
Para que esse log seja enviado ao Microsoft Sentinel, você deve adicioná-lo manualmente ao arquivo systemconfig.json. Esse log não é suportado ao usar o procedimento recomendado para instalar o agente do conector de dados do portal.
Função Microsoft Sentinel para consultar este log: SAPOS_Syslog
Documentação SAP relacionada: SAP Help Portal
Finalidade do log: Registra todos os erros do sistema ABAP do SAP NetWeaver Application Server (SAP NetWeaver AS), avisos, bloqueios de usuário devido a tentativas de login com falha de usuários conhecidos e mensagens de processo.
Disponível pelo serviço Web SAP Control. Esse log é gerado com dados em todos os clientes.
ABAPOS_Syslog_CL esquema de log
| Campo | Descrição |
|---|---|
| ID do Cliente | ID do cliente ABAP (MANDT) |
| Host | Host |
| Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | Número da mensagem |
| MessageText | Texto da mensagem |
| Gravidade | Gravidade da mensagem, um dos seguintes valores: Debug, Info, Warning, Error |
| ID do Sistema | ID do Sistema |
| Número do sistema | Número do sistema |
| TransacationCode | Código da transação |
| Type | Tipo de processo SAP |
| User | User |
Log de fluxo de trabalho ABAP
Função Microsoft Sentinel para consultar este log: SAPWorkflowLog
Documentação SAP relacionada: SAP Help Portal
Finalidade do log: O SAP Business Workflow (WebFlow Engine) permite definir processos de negócios que ainda não estão mapeados no sistema SAP.
Por exemplo, os processos de negócios não mapeados podem ser procedimentos simples de liberação ou aprovação, ou processos de negócios mais complexos, como a criação de material de base e, em seguida, a coordenação dos departamentos associados.
Disponível usando RFC com base em tabelas SAP padrão. Este log é gerado por cliente.
ABAPWorkflowLog_CL esquema de log
| Campo | Descrição |
|---|---|
| Agente Atual | Agente real |
| Endereço | Endereço |
| Área de Aplicação | Área de aplicação |
| Função de retorno de chamada | Função de retorno de chamada |
| ID do Cliente | ID do cliente ABAP (MANDT) |
| CriaçãoDataHora | Data de criação, hora |
| Criador | Criador |
| Endereço do criador | Endereço do criador |
| Tipo de erro | Tipo de erro |
| ExceptionforMethod | Exceção para o método |
| Host | Host |
| Instância | Instância ABAP (HOST_SYSID_SYSNR), na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| Linguagem | Linguagem |
| LogCounter | Contador de logs |
| MessageNumber | Número da mensagem |
| Tipo de mensagem | Tipo de mensagem |
| MethodUser | Utilizador do método |
| Prioridade | Prioridade |
| SimpleContainer | Contêiner simples, embalado como uma lista de entidades chave-valor para o item de trabalho |
| Status | Status |
| SuperWI | Super WI |
| ID do Sistema | ID do Sistema |
| Número do sistema | Número do sistema |
| TaskID | ID de tarefa |
| TarefasClassificação | Classificações de tarefas |
| Texto da tarefa | Texto da tarefa |
| TopTaskID | ID da tarefa principal |
| UserCreated | Usuário criado |
| WIText | Texto do item de trabalho |
| WITipe | Tipo de item de trabalho |
| WorkflowAction | Acão de Fluxo de Trabalho |
| WorkItemID | ID do item de trabalho |
Log do ABAP WorkProcess
Para que esse log seja enviado ao Microsoft Sentinel, você deve adicioná-lo manualmente ao arquivo systemconfig.json. Esse log não é suportado ao usar o procedimento recomendado para instalar o agente do conector de dados do portal.
Função do Microsoft Sentinel para consultar este log: SAPOS_WP
Documentação SAP relacionada: SAP Help Portal
Objetivo do log: Combina todos os logs do processo de trabalho. (padrão:
dev_*).Disponível pelo serviço Web SAP Control. Esse log é gerado com dados em todos os clientes.
ABAPOS_WP_CL esquema de log
| Campo | Descrição |
|---|---|
| Host | Host |
| Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Texto da mensagem |
| Gravidade | Severidade da mensagem: Debug, Info, Warning, Error |
| ID do Sistema | ID do Sistema |
| Número do sistema | Número do sistema |
| WPNumber | Número do processo de trabalho |
Trilha de auditoria HANA DB
A coleta do log da trilha de auditoria do banco de dados HANA é um exemplo de como o Microsoft Sentinel coleta atividades da camada de banco de dados. Para que esse log seja enviado para o Microsoft Sentinel, você deve implantar o Azure Monitor Agent para coletar dados Syslog da máquina que executa o banco de dados HANA.
Função Microsoft Sentinel para consultar este log: SAPSyslog
Documentação SAP relacionada: Trilha de auditoria geral |
Finalidade do log: registra ações do usuário ou tentativas de ações no banco de dados SAP HANA. Por exemplo, permite registrar e monitorar o acesso de leitura a dados confidenciais.
Disponível pelo Microsoft Sentinel Linux Agent for Syslog. Esse log é gerado com dados em todos os clientes.
Esquema de log do Syslog
| Campo | Descrição |
|---|---|
| Computador | Nome do anfitrião |
| HostIP | Host IP |
| Nome do Anfitrião | Nome do anfitrião |
| ProcessID | Process ID |
| ProcessName | Nome do processo: HDB* |
| Nível de Gravidade | Alerta |
| SourceSystem | SO do sistema de origem, Linux |
| SyslogMessage | Mensagem, uma mensagem de trilha de auditoria não analisada |
Arquivos JAVA
Para que esse log seja enviado ao Microsoft Sentinel, você deve adicioná-lo manualmente ao arquivo systemconfig.json. Esse log não é suportado ao usar o procedimento recomendado para instalar o agente do conector de dados do portal.
Função Microsoft Sentinel para consultar este log: SAPJAVAFilesLogs
Documentação SAP relacionada: General | Java Security Audit Log
Finalidade do log: Combina todos os logs baseados em arquivos Java, incluindo o Log de Auditoria de Segurança e os logs do Sistema (cluster e processo do servidor), Desempenho e Gateway. Também inclui rastreamentos de desenvolvedor e logs de rastreamento padrão.
Disponível pelo serviço Web SAP Control. Esse log é gerado com dados em todos os clientes.
Esquema de log JavaFilesLogsCL
| Campo | Descrição |
|---|---|
| Aplicação | Aplicação Java |
| ID do Cliente | ID de Cliente |
| CSNComponent | Componente CSN, como BC-XI-IBD |
| DCComponent | Componente DC, como com.sap.xi.util.misc |
| DSRCounter | Contador DSR |
| DSRRootContentID | GUID de contexto DSR |
| DSRTransaction | GUID da transação DSR |
| Host | Host |
| Instância | Instância Java, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
| Location | Classe Java |
| Nome do Log | Java logName, como: Available, defaulttrace, , dev*security, e assim por diante |
| MessageText | Texto da mensagem |
| MNo | Número da mensagem |
| Pid | Process ID |
| Programa | Nome do programa |
| Sessão | Sessão |
| Gravidade | Gravidade da mensagem, incluindo: Debug,Info,Warning,Error |
| Solução | Solução |
| ID do Sistema | ID do Sistema |
| Número do sistema | Número do sistema |
| ThreadName | Nome do thread |
| Jogado | Exceção lançada |
| TimeZone | Fuso horário |
| User | User |
Registro de pulsação SAP
Função Microsoft Sentinel para consultar este log: SAPConnectorHealth
Finalidade do log: Fornece pulsação e outras informações de integridade sobre a conectividade entre os agentes e os diferentes sistemas SAP.
Criado automaticamente para qualquer agente do conector de dados do Microsoft Sentinel for SAP.
SAP_HeartBeat_CL esquema de log
| Campo | Descrição |
|---|---|
| TimeGenerated | Hora do evento de lançamento de log |
| agent_id_s | ID do agente na configuração do agente (gerado automaticamente) |
| agent_ver_s | Versão do agente |
| host_s | O nome do host do agente |
| system_id_s | ID do sistema Netweaver ABAP / Netweaver SAPControl Host (visualização) / Host Java SAPControl (visualização) |
| push_timestamp_d | Carimbo de data/hora da extração, de acordo com o fuso horário do agente |
| agent_timezone_s | Fuso horário do agente |
Referência de tabelas recuperadas diretamente de sistemas SAP
Esta seção lista as tabelas de dados que são recuperadas diretamente do sistema SAP e ingeridas no Microsoft Sentinel exatamente como estão.
Os dados recuperados dessas tabelas fornecem uma visão clara da estrutura de autorização, associação de grupo e perfis de usuário. Ele também permite que você acompanhe o processo de concessões e revogações de autorização, e identifique e governe os riscos associados a esses processos.
As tabelas listadas abaixo são necessárias para habilitar funções que identificam usuários privilegiados, mapeiam usuários para funções, grupos e autorizações.
Para obter melhores resultados, consulte estas tabelas usando o nome na coluna Nome da função do Microsoft Sentinel na tabela a seguir:
| Nome da tabela | Descrição da tabela | Nome da função Microsoft Sentinel |
|---|---|---|
| USR01 | Registro mestre do usuário (dados de tempo de execução) | SAP_USR01 |
| USR02 | Dados de entrada (uso do kernel) | SAP_USR02 |
| UST04 | Mestres de usuários Mapeia usuários para perfis |
SAP_UST04 |
| AGR_USERS | Atribuição de funções aos usuários | SAP_AGR_USERS |
| AGR_1251 | Dados de autorização para o grupo de atividades | SAP_AGR_1251 |
| USGRP_USER | Atribuição de usuários a grupos de usuários | SAP_USGRP_USER |
| USR21 | Nome de utilizador / Atribuição de chave de endereço | SAP_USR21 |
| RAM6 | Endereços de e-mail (serviços de endereços comerciais) | SAP_ADR6 |
| USRSTAMP | Carimbo de data/hora para todas as alterações feitas no usuário | SAP_USRSTAMP |
| ADCP | Atribuição de pessoa / endereço (serviços de endereço comercial) | SAP_ADCP |
| USR05 | ID do parâmetro mestre do usuário | SAP_USR05 |
| AGR_PROF | Nome do perfil para a função | SAP_AGR_PROF |
| AGR_FLAGS | Atributos de função | SAP_AGR_FLAGS |
| DEVACCESS | Tabela para usuário de desenvolvimento | SAP_DEVACCESS |
| AGR_DEFINE | Definição da função | SAP_AGR_DEFINE |
| AGR_AGRS | Funções em funções compostas | SAP_AGR_AGRS |
| PAHI | Histórico do sistema, banco de dados e parâmetros SAP | SAP_PAHI |
| SNCSYSACL (VISUALIZAÇÃO) | Lista de Controle de Acesso SNC (ACL): Sistemas | SAP_SNCSYSACL |
| USRACL (VISUALIZAÇÃO) | Lista de Controle de Acesso SNC (ACL): Usuário | SAP_USRACL |
Conteúdos relacionados
Para obter mais informações, consulte: