Остановка сбора данных SAP

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Могут возникнуть экземпляры, в которых необходимо остановить сбор данных из приложений SAP microsoft Sentinel, будь то для обслуживания, устранения неполадок или других административных причин.

В этой статье приводятся пошаговые инструкции по остановке приема журналов SAP в Microsoft Sentinel и отключении соединителя данных.

Необходимые компоненты

Прежде чем остановить сбор данных из приложений SAP, убедитесь, что у вас есть административный доступ к:

• Рабочая область Log Analytics, включенная для Microsoft Sentinel. Дополнительные сведения см. в статье "Роли и разрешения" в Microsoft Sentinel.
• Компьютер или контейнер агента соединителя данных SAP.

Остановить прием журналов и отключить соединитель

Чтобы прекратить прием журналов SAP в Корпорацию Майкрософт и остановить поток данных из контейнера Docker, войдите на компьютер агента соединителя данных и выполните следующую команду:

docker stop sapcon-[SID/agent-name]

Контейнер Docker останавливается и больше не отправляет журналы SAP в Microsoft Sentinel. Это останавливает прием и выставление счетов для системы SAP, связанной с соединителем.

Если необходимо повторно создать контейнер Docker, войдите на компьютер агента соединителя данных и выполните следующую команду:

docker start sapcon-[SID]

Чтобы остановить прием определенного идентификатора безопасности для контейнера с несколькими идентификаторами безопасности, убедитесь, что вы также удалите идентификатор безопасности из пользовательского интерфейса страницы соединителя в Microsoft Sentinel. Этот параметр относится только к развертыванию агента через портал.

1. В Microsoft Sentinel выберите соединители данных конфигурации > и найдите Microsoft Sentinel для SAP.
2. Выберите строку соединителя данных и выберите страницу "Открыть соединитель" на боковой панели.
3. В области конфигурации на странице соединителя данных SAP Sentinel найдите агент БЕЗОПАСНОСТИ, который нужно удалить, и нажмите кнопку "Удалить".

Удаление роли пользователя и любого дополнительного ЦР, установленного в системе ABAP

Если вы отключаете агент соединителя данных SAP и останавливаете прием журналов из системы SAP, может потребоваться также удалить роль пользователя и необязательные CR, установленные в системе ABAP.

Для этого импортируйте NPLK900259 удаления CR в систему ABAP. Дополнительные сведения см. в документации по SAP.

Связанный контент

Дополнительные сведения см. в разделе:

• Настройка системы SAP для решения Microsoft Sentinel
• Подключение системы SAP путем развертывания контейнера агента соединителя данных