Logg- och tabellreferens för Microsoft Sentinel-lösningen för SAP-program
I den här artikeln beskrivs de loggar och tabeller som är tillgängliga som en del av Microsoft Sentinel-lösningen för SAP-program och dess dataanslutningsprogram.
Vissa loggar, som anges i den här artikeln, skickas inte till Microsoft Sentinel som standard, men du kan lägga till dem manuellt efter behov. Mer information finns i Definiera DE SAP-loggar som skickas till Microsoft Sentinel
Innehållet i den här artikeln är avsett för dina SAP BASIS-team .
Viktigt!
Vissa komponenter i Microsoft Sentinel Threat Monitoring for SAP-lösningen finns för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Använda funktioner i dina frågor i stället för underliggande loggar eller tabeller
Vi rekommenderar starkt att du använder tillgängliga funktioner som ämne för deras analys när det är möjligt, i stället för de underliggande loggarna eller tabellerna.
Funktioner som tillhandahålls med Microsoft Sentinel-lösningen för SAP-program är avsedda att fungera som huvudanvändargränssnittet för data. De utgör grunden för alla inbyggda analysregler och arbetsböcker som är tillgängliga för dig direkt. Med hjälp av funktioner kan ändringar göras i datainfrastrukturen under funktionerna, utan att användarskapade innehåll bryts.
Mer information finns i Microsoft Sentinel-lösning för SAP-program – funktionsreferens och Funktioner i Azure Monitor-loggfrågor.
Loggtäckning
Microsoft Sentinel-lösningen för SAP-program samlar in loggar från program-, OS- och dataskikten, vilket ger ett omfattande skydd för ditt SAP-system:
Programlager: Microsoft Sentinel övervakar aktiviteter inom ABAP-lagret, som är det primära programskiktet i SAP-system, som ansvarar för att köra affärslogik och bearbeta transaktioner. Microsoft Sentinel samlar till exempel in loggar som innehåller användaråtgärder som inloggningar, lösenordsändringar och åtkomst till rapporter eller filer.
Förutom säkerhetsövervakning kan loggar som samlas in på programnivån också användas i efterlevnads- och granskningssyfte.
OS-lager: Microsoft Sentinel samlar in loggar från operativsystemet för att ge insikter om aktiviteter på OS-nivå, till exempel från ABAP-servern och de virtuella datorer som SAP-programmen körs på.
Använd Microsoft Sentinel-lösningen för SAP-program tillsammans med säkerhetsinnehåll och dataanslutningar för dina andra tjänster för omfattande och central övervakning, korrelera information i alla system och förbättra din övergripande säkerhetsstatus.
Databaslager: Mata in databasloggar i Microsoft Sentinel för att övervaka databasaktiviteter, till exempel aktiviteter för databasadministration och ändringar i tabelldata. Microsoft Sentinel-lösningen för SAP-program är databasagnostisk.
Alla loggar som samlas in av dataanslutningsagenten lagras först på datainsamlarens agentdator, i /opt/sapcon/<sid>/log mappen i containerinstansen. Loggarna vidarebefordras sedan till din Log Analytics-arbetsyta, där du kan visa, granska och fråga dem från Microsoft Sentinel.
Granskningsloggar samlas in och matas in varje minut, medan andra loggar kan matas in mindre ofta. Microsoft Sentinel övervakar även dataanslutningsagentens pulsslag för att säkerställa att loggar samlas in och skickas till Log Analytics-arbetsytan.
Loggreferens
I följande avsnitt beskrivs de SAP-loggar som är tillgängliga från Microsoft Sentinel-lösningen för SAP-programdataanslutningsappen, inklusive tabellnamnen i Microsoft Sentinel, loggsyftena och detaljerade loggscheman.
Beskrivningar av schemafält baseras på fältbeskrivningarna i relevant SAP-dokumentation.
- ABAP-programlogg
- LOGG FÖR ABAP-ändringsdokument
- ABAP CR-logg
- ABAP DB-tabelldatalogg (förhandsversion)
- ABAP Gateway-logg (förhandsversion)
- ABAP ICM-logg (FÖRHANDSVERSION)
- ABAP-jobblogg
- Granskningslogg för ABAP-säkerhet
- ABAP Spool-logg
- APAB Spool-utdatalogg
- ABAP SysLog
- ABAP-arbetsflödeslogg
- ABAP WorkProcess-logg
- HANA DB-spårningslogg
- JAVA-filer
- SAP-pulsslagslogg
ABAP-programlogg
Microsoft Sentinel-funktion för att fråga den här loggen: SAPAppLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Registrerar förloppet för en programkörning så att du kan rekonstruera den senare efter behov.
Tillgänglig med hjälp av RFC baserat på standard-SAP-tabell och standardtjänster i XBP-gränssnittet. Den här loggen genereras per klient.
ABAPAppLog_CL loggschema
| Fält | beskrivning |
|---|---|
| AppLogDateTime | Datumtid för programlogg |
| CallbackProgram | Återanropsprogram |
| CallbackRoutine | Återanropsrutin |
| CallbackType | Motringningstyp |
| ClientID | ABAP-klient-ID (MANDT) |
| ContextDDIC | DDIC-struktur för kontext |
| ExternalID | Externt logg-ID |
| Host | Host |
| Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | Seriellt programloggmeddelande |
| LevelofDetail | Detaljnivå |
| LogHandle | Programlogghandtag |
| LogNumber | Loggnummer |
| MessageClass | Meddelandeklass |
| MessageNumber | Meddelandenummer |
| MessageText | Meddelandetext |
| MessageType | Meddelandetyp |
| Objekt | Programloggobjekt |
| OperationMode | Åtgärdsläge |
| ProblemClass | Problemklass |
| Programnamn | Programnamn |
| SortCriterion | Sorteringsvillkor |
| StandardText | Standardtext |
| SubObject | Underobjekt för programlogg |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TransactionCode | Transaktionskod |
| User | User |
| UserChange | Användarändring |
LOGG FÖR ABAP-ändringsdokument
Microsoft Sentinel-funktion för att fråga den här loggen: SAPChangeDocsLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Poster:
SAP NetWeaver Application Server (AS) ABAP-loggändringar till affärsdataobjekt i ändringsdokument.
Andra entiteter i SAP-systemet, till exempel användardata, roller, adresser.
Tillgänglig med hjälp av RFC baserat på standard-SAP-tabeller. Den här loggen genereras per klient.
ABAPChangeDocsLog_CL loggschema
| Fält | beskrivning |
|---|---|
| ActualChangeNum | Verkligt ändringsnummer |
| ChangedTableKey | Ändrad tabellnyckel |
| ChangeNumber | Ändra nummer |
| ClientID | ABAP-klient-ID (MANDT) |
| CreatedfromPlannedChange | Skapad från planerad ändring i följande syntax: (‘X’ , ‘ ‘) |
| CurrencyKeyNy | Valutanyckel: nytt värde |
| CurrencyKeyOld | Valutanyckel: gammalt värde |
| FieldName | Fältnamn |
| FlagText | Flagga text |
| Host | Host |
| Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| Språk | Språk |
| ObjectClass | Objektklass, till exempel BELEG, BPAR, PFCG, IDENTITY |
| ObjectID | Objekt-ID |
| PlannedChangeNum | Planerat ändringsnummer |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TableName | Tabellnamn |
| TransactionCode | Transaktionskod |
| TypeofChange_Header | Ändringstyp för sidhuvud, inklusive: U = Ändra; I = Infoga; E = Ta bort enskild docu; D = Ta bort; J = Infoga enkel docu |
| TypeofChange_Item | Typ av ändring av objekt, inklusive: U = Ändra; I = Infoga; E = Ta bort enskild docu; D = Ta bort; J = Infoga enkel docu |
| UOMNy | Måttenhet: nytt värde |
| UOMOld | Måttenhet: gammalt värde |
| User | User |
| ValueNew | Fältinnehåll: nytt värde |
| ValueOld | Fältinnehåll: gammalt värde |
| Version | Version |
ABAP CR-logg
Microsoft Sentinel-funktion för att fråga den här loggen: SAPCRLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Innehåller loggarna för ändrings- och transportsystem (CTS), inklusive katalogobjekt och anpassningar där ändringar gjordes.
Tillgänglig med hjälp av RFC baserat på standardtabeller och SAP-standardtjänster. Den här loggen genereras med data för alla klienter.
Kommentar
Förutom programloggning, ändringsdokument och tabellinspelning dokumenteras alla ändringar som du gör i produktionssystemet med ändrings- och transportsystemet i CTS- och TMS-loggarna.
ABAPCRLog_CL loggschema
| Fält | beskrivning |
|---|---|
| Kategori | Kategori (Workbench, Anpassa) |
| ClientID | ABAP-klient-ID (MANDT) |
| beskrivning | beskrivning |
| Host | Host |
| Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| ObjectName | Object name |
| ObjectType | Object type |
| Ägare | Ägare |
| Förfrågan | Ändringsbegäran |
| Status | Status |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TableKey | Tabellnyckel |
| TableName | Tabellnamn |
| ViewName | Vynamn |
ABAP DB-tabelldatalogg (förhandsversion)
Om du vill att loggen ska skickas till Microsoft Sentinel måste du lägga till den manuellt i filen systemconfig.json. Den här loggen stöds inte när du använder den rekommenderade proceduren för att installera dataanslutningsagenten från portalen.
Microsoft Sentinel-funktion för att fråga den här loggen: SAPTableDataLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Tillhandahåller loggning för de tabeller som är kritiska eller känsliga för granskningar.
Tillgänglig med hjälp av RFC med en anpassad tjänst. Den här loggen genereras med data för alla klienter.
ABAPTableDataLog_CL loggschema
| Fält | beskrivning |
|---|---|
| DBLogID | DB-logg-ID |
| Host | Host |
| Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| Språk | Språk |
| LogKey | Loggnyckel |
| NewValue | Nytt fältvärde |
| OldValue | Fältets gamla värde |
| OperationTypeSQL | Åtgärdstyp, Insert, Update, Delete |
| Program | Programnamn |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TableField | Tabellfält |
| TableName | Tabellnamn |
| TransactionCode | Transaktionskod |
| UserName | User |
| Versionsnummer | Versionsnummer |
ABAP Gateway-logg (förhandsversion)
Om du vill att loggen ska skickas till Microsoft Sentinel måste du lägga till den manuellt i filen systemconfig.json. Den här loggen stöds inte när du använder den rekommenderade proceduren för att installera dataanslutningsagenten från portalen.
Microsoft Sentinel-funktion för att fråga den här loggen: SAPOS_GW
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Övervakar gatewayaktiviteter. Tillgänglig av SAP Control-webbtjänsten. Den här loggen genereras med data för alla klienter.
ABAPOS_GW_CL loggschema
| Fält | beskrivning |
|---|---|
| Host | Host |
| Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Meddelandetext |
| Allvarlighet | Allvarlighetsgrad för meddelanden: Debug, Info, Warning, Error |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
ABAP ICM-logg (FÖRHANDSVERSION)
Om du vill att loggen ska skickas till Microsoft Sentinel måste du lägga till den manuellt i filen systemconfig.json. Den här loggen stöds inte när du använder den rekommenderade proceduren för att installera dataanslutningsagenten från portalen.
Microsoft Sentinel-funktionen för att fråga den här loggen: SAPOS_ICM
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Registrerar inkommande och utgående begäranden och sammanställer statistik för HTTP-begäranden.
Tillgänglig av SAP Control-webbtjänsten. Den här loggen genereras med data för alla klienter.
ABAPOS_ICM_CL loggschema
| Fält | beskrivning |
|---|---|
| Host | Host |
| Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Meddelandetext |
| Allvarlighet | Allvarlighetsgrad för meddelanden, inklusive: Debug, Info, Warning, Error |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
ABAP-jobblogg
Microsoft Sentinel-funktion för att fråga den här loggen: SAPJobLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Kombinerar alla jobbloggar för bakgrundsbearbetning (SM37).
Tillgänglig med hjälp av RFC baserat på standard-SAP-tabell och standardtjänster för XBP-gränssnitt. Den här loggen genereras med data för alla klienter.
ABAPJobLog_CL loggschema
| Fält | beskrivning |
|---|---|
| ABAPProgram | ABAP-program |
| BgdEventParameters | Parametrar för bakgrundshändelser |
| BgdProcessingEvent | Bakgrundsbearbetningshändelse |
| ClientID | ABAP-klient-ID (MANDT) |
| DynproNumber | Dynpro-nummer |
| GUIStatus | GUI-status |
| Host | Host |
| Instans | ABAP-instans (HOST_SYSID_SYSNR) i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| JobClassification | Jobbklassificering |
| JobCount | Antal jobb |
| JobGroup | Jobbgrupp |
| JobName | Jobbnamn |
| JobPriority | Jobbprioritet |
| MessageClass | Meddelandeklass |
| MessageNumber | Meddelandenummer |
| MessageText | Meddelandetext |
| MessageType | Meddelandetyp |
| ReleaseUser | Jobbversionsanvändare |
| SchedulingDateTime | Schemaläggning av datumtid |
| StartDateTime | Startdatumtid |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TargetServer | Målserver |
| User | User |
| UserReleaseInstance | ABAP-instans – användarversion |
| WorkProcessID | Arbetsprocess-ID |
| WorkProcessNumber | Arbetsprocessnummer |
Granskningslogg för ABAP-säkerhet
Microsoft Sentinel-funktion för att fråga den här loggen: SAPAuditLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Registrerar följande data:
- Säkerhetsrelaterade ändringar i SAP-systemmiljön, till exempel ändringar i huvudanvändarposter
- Information som ger en högre datanivå, till exempel lyckade och misslyckade inloggningsförsök
- Information som möjliggör återuppbyggnad av en serie händelser, till exempel lyckade eller misslyckade transaktioner startar
Tillgänglig med hjälp av RFC XAL/SAL-gränssnitt. SAL är tillgängligt från version Basis 7.50. Den här loggen genereras med data för alla klienter.
ABAPAuditLog_CL loggschema
| Fält | beskrivning |
|---|---|
| ABAPProgramName | Programnamn, endast SAL |
| AlertSeverity | Allvarlighetsgrad för avisering |
| AlertSeverityText | Varningstext för allvarlighetsgrad, endast SAL |
| AlertValue | Aviseringsvärde |
| AuditClassID | Granskningsklass-ID, endast SAL |
| ClientID | ABAP-klient-ID (MANDT) |
| Dator | Användardator, endast SAL |
| Användarens e-postadress | |
| Host | Host |
| Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | Meddelandeklass |
| MessageContainerID | Meddelandecontainer-ID, endast XAL |
| MessageID | Meddelande-ID, till exempel ‘AU1’,’AU2’… |
| MessageText | Meddelandetext |
| MonitoringObjectName | MTE Monitor-objektnamn, endast XAL |
| MonitorShortName | Kort namn för MTE Monitor, endast XAL |
| SAPProcessType | Systemlogg: SAP-processtyp, endast SAL |
| B* – Bakgrundsbearbetning | |
| D* – Dialogbearbetning | |
| U* – Uppdatera uppgifter | |
| SAPWPName | Systemlogg: Arbetsprocessnummer, endast SAL |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TerminalIPv6 | Ip-adress för användardator, endast SAL |
| TransactionCode | Transaktionskod, endast SAL |
| User | User |
| Variabel 1 | Meddelandevariabel 1 |
| Variabel 2 | Meddelandevariabel 2 |
| Variabel 3 | Meddelandevariabel 3 |
| Variabel 4 | Meddelandevariabel 4 |
ABAP Spool-logg
Microsoft Sentinel-funktion för att fråga den här loggen: SAPSpoolLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Fungerar som huvudlogg för SAP-utskrift med historiken för buffertbegäranden. (SP01).
Tillgänglig med hjälp av RFC baserat på standard-SAP-tabell. Den här loggen genereras med data för alla klienter.
ABAPSpoolLog_CL loggschema
| Fält | beskrivning |
|---|---|
| ArchiveStatus | Arkivstatus |
| ArchiveType | Arkivtyp |
| ArkiveringEnhet | Arkiveringsenhet |
| Återskapa automatiskt | Automatisk omroutning |
| ClientID | ABAP-klient-ID (MANDT) |
| CountryKey | Lands-/regionnyckel |
| DeleteSpoolRequestAuto | Ta bort poolbegäran automatiskt |
| DelFlag | Borttagningsflagga |
| Avdelning | Avdelning |
| DocumentType | Dokumenttyp |
| ExternalMode | Externt läge |
| FormatType | Formattyp |
| Host | Host |
| Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | Antal kopior |
| OutputDevice | Utdataenhet |
| PrinterLongName | Skrivarlångt namn |
| PrintImmediately | Skriv ut direkt |
| PrintOSCoverPage | Skriv ut OSCover-sida |
| PrintSAPCoverPage | Skriv ut SAPCover-sida |
| Prioritet | Prioritet |
| MottagareavSpoolRequest | Mottagare av begäran om buffert |
| SpoolErrorStatus | Status för Spool-fel |
| SpoolRequestCompleted | Poolbegäran har slutförts |
| SpoolRequestisALogForAnotherRequest | Spool-begäran är en logg för en annan begäran |
| SpoolRequestName | Namn på poolbegäran |
| SpoolRequestNumber | Spool-begärandenummer |
| SpoolRequestSuffix1 | Spool-begärandesuffix1 |
| SpoolRequestSuffix2 | Spool request suffix2 |
| SpoolRequestTitle | Namn på Spool-begäran |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TelekommunikationPartner | Telekommunikationspartner |
| TelekommunikationPartnerE | Telekommunikationspartner E |
| TemSeGeneralcounter | Temse-räknare |
| TemseNumAddProtectionRule | Lägg till skyddsregel för Temse-nummer |
| TemseNumChangeProtectionRule | Regel för ändringsskydd för Temse-nummer |
| TemseNumDeleteProtectionRule | Skyddsregel för borttagning av Temse-nummer |
| TemSeObjectName | Temse-objektnamn |
| TemSeObjectPart | TemSe-objektdel |
| TemseReadProtectionRule | Lässkyddsregel för Temse |
| User | User |
| ValueAuthCheck | Värdeautentiseringskontroll |
APAB Spool-utdatalogg
Microsoft Sentinel-funktion för att fråga den här loggen: SAPSpoolOutputLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Fungerar som huvudlogg för SAP-utskrift med historiken för begäranden om buffertutdata. (SP02).
Tillgänglig med hjälp av RFC med en anpassad tjänst baserat på standardtabeller. Den här loggen genereras med data för alla klienter.
ABAPSpoolOutputLog_CL loggschema
| Fält | beskrivning |
|---|---|
| AppServer | Programserver |
| ClientID | ABAP-klient-ID (MANDT) |
| Kommentar | Kommentar |
| CopyCount | Antal kopior |
| CopyCounter | Kopiera räknare |
| Avdelning | Avdelning |
| ErrorSpoolRequestNumber | Felbegäransnummer |
| FormatType | Formattyp |
| Host | Host |
| HostName | Värdnamn |
| HostSpoolerID | Värdspooler-ID |
| Instans | ABAP-instans |
| LastPage | Sista sidan |
| NumofCopies | Antal kopior |
| OutputDevice | Utdataenhet |
| OutputRequestNumber | Nummer för utdatabegäran |
| OutputRequestStatus | Status för utdatabegäran |
| PhysicalFormatType | Typ av fysiskt format |
| PrinterLongName | Skrivarlångt namn |
| PrintRequestSize | Utskriftsförfrågans storlek |
| Prioritet | Prioritet |
| ReasonforOutputRequest | Orsak till utdatabegäran |
| MottagareavSpoolRequest | Mottagare av begäran om buffert |
| SpoolNumberofOutputReqProcessed | Antal utdatabegäranden – bearbetade |
| SpoolNumberofOutputReqWithErrors | Antal utdatabegäranden – med fel |
| SpoolNumberofOutputReqWithProblems | Antal utdatabegäranden – med problem |
| SpoolRequestNumber | Spool-begärandenummer |
| Startsida | Startsida |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TelekommunikationPartner | Telekommunikationspartner |
| TemSeGeneralcounter | Temse-räknare |
| Title | Title |
| User | User |
ABAP Syslog
Om du vill att loggen ska skickas till Microsoft Sentinel måste du lägga till den manuellt i filen systemconfig.json. Den här loggen stöds inte när du använder den rekommenderade proceduren för att installera dataanslutningsagenten från portalen.
Microsoft Sentinel-funktionen för att fråga den här loggen: SAPOS_Syslog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Registrerar alla SAP NetWeaver Application Server(SAP NetWeaver AS) ABAP-systemfel, varningar, användarlås på grund av misslyckade inloggningsförsök från kända användare och processmeddelanden.
Tillgänglig av SAP Control-webbtjänsten. Den här loggen genereras med data för alla klienter.
ABAPOS_Syslog_CL loggschema
| Fält | beskrivning |
|---|---|
| ClientID | ABAP-klient-ID (MANDT) |
| Host | Host |
| Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | Meddelandenummer |
| MessageText | Meddelandetext |
| Allvarlighet | Allvarlighetsgrad för meddelanden, något av följande värden: Debug, Info, Warning, Error |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TransacationCode | Transaktionskod |
| Typ | SAP-processtyp |
| User | User |
ABAP-arbetsflödeslogg
Microsoft Sentinel-funktion för att fråga den här loggen: SAPWorkflowLog
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Med SAP Business Workflow (WebFlow Engine) kan du definiera affärsprocesser som ännu inte har mappats i SAP-systemet.
Ommappade affärsprocesser till exempel kan vara enkla lanserings- eller godkännandeprocedurer, eller mer komplexa affärsprocesser som att skapa basmaterial och sedan samordna de associerade avdelningarna.
Tillgänglig med hjälp av RFC baserat på standard-SAP-tabeller. Den här loggen genereras per klient.
ABAPWorkflowLog_CL loggschema
| Fält | beskrivning |
|---|---|
| ActualAgent | Faktisk agent |
| Adress | Adress |
| ApplicationArea | Programområde |
| CallbackFunction | Återanropsfunktion |
| ClientID | ABAP-klient-ID (MANDT) |
| CreationDateTime | Datum för skapande |
| Utvecklare | Utvecklare |
| CreatorAddress | Skaparadress |
| ErrorType | Typ av fel |
| ExceptionforMethod | Undantag för metod |
| Host | Host |
| Instans | ABAP-instans (HOST_SYSID_SYSNR) i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| Språk | Språk |
| LogCounter | Loggräknare |
| MessageNumber | Meddelandenummer |
| MessageType | Meddelandetyp |
| MethodUser | Metodanvändare |
| Prioritet | Prioritet |
| SimpleContainer | Enkel container, packad som en lista över nyckelvärdesentiteter för arbetsobjektet |
| Status | Status |
| SuperWI | Super WI |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| TaskID | Aktivitets-ID |
| UppgifterKlassificering | Aktivitetsklassificeringar |
| TaskText | Aktivitetstext |
| TopTaskID | Toppaktivitets-ID |
| AnvändareSkapad | Användaren har skapats |
| WIText | Text för arbetsobjekt |
| WIType | Typ av arbetsobjekt |
| WorkflowAction | Arbetsflödesåtgärd |
| WorkItemID | Arbetsobjekts-ID |
ABAP WorkProcess-logg
Om du vill att loggen ska skickas till Microsoft Sentinel måste du lägga till den manuellt i filen systemconfig.json. Den här loggen stöds inte när du använder den rekommenderade proceduren för att installera dataanslutningsagenten från portalen.
Microsoft Sentinel-funktion för att fråga den här loggen: SAPOS_WP
Relaterad SAP-dokumentation: SAP-hjälpportalen
Loggsyfte: Kombinerar alla arbetsprocessloggar. (standard:
dev_*).Tillgänglig av SAP Control-webbtjänsten. Den här loggen genereras med data för alla klienter.
ABAPOS_WP_CL loggschema
| Fält | beskrivning |
|---|---|
| Host | Host |
| Instans | ABAP-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Meddelandetext |
| Allvarlighet | Allvarlighetsgrad för meddelanden: Debug, Info, Warning, Error |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| WPNumber | Arbetsprocessnummer |
HANA DB-spårningslogg
Att samla in HANA DB-spårningsloggen är ett exempel på hur Microsoft Sentinel samlar in databaslageraktiviteter. Om du vill att den här loggen ska skickas till Microsoft Sentinel måste du distribuera Azure Monitor-agenten för att samla in Syslog-data från datorn som kör HANA DB.
Microsoft Sentinel-funktion för att fråga den här loggen: SAPSyslog
Relaterad SAP-dokumentation: Allmän | spårningslogg
Loggsyfte: Registrerar användaråtgärder eller försök till åtgärder i SAP HANA-databasen. Du kan till exempel logga och övervaka läsåtkomst till känsliga data.
Tillgänglig av Microsoft Sentinel Linux-agenten för Syslog. Den här loggen genereras med data för alla klienter.
Syslog-loggschema
| Fält | beskrivning |
|---|---|
| Dator | Värdnamn |
| HostIP | Värd-IP |
| HostName | Värdnamn |
| ProcessID | Process ID |
| ProcessName | Processnamn: HDB* |
| AllvarlighetsgradNivå | Varning |
| SourceSystem | Källsystemsoperativsystem, Linux |
| SyslogMessage | Meddelande, ett oparserat spårningsspårningsmeddelande |
JAVA-filer
Om du vill att loggen ska skickas till Microsoft Sentinel måste du lägga till den manuellt i filen systemconfig.json. Den här loggen stöds inte när du använder den rekommenderade proceduren för att installera dataanslutningsagenten från portalen.
Microsoft Sentinel-funktion för att fråga den här loggen: SAPJAVAFilesLogs
Relaterad SAP-dokumentation: Allmän | Granskningslogg för Java-säkerhet
Loggsyfte: Kombinerar alla Java-filbaserade loggar, inklusive säkerhetsgranskningsloggen och system (kluster- och serverprocess), prestanda- och gatewayloggar. Innehåller även utvecklarspårningar och standardspårningsloggar.
Tillgänglig av SAP Control-webbtjänsten. Den här loggen genereras med data för alla klienter.
Loggschema för JavaFilesLogsCL
| Fält | beskrivning |
|---|---|
| App | Java-program |
| ClientID | Client ID |
| CSNComponent | CSN-komponent, till exempel BC-XI-IBD |
| DCComponent | DC-komponent, till exempel com.sap.xi.util.misc |
| DSRCounter | DSR-räknare |
| DSRRootContentID | GUID för DSR-kontext |
| DSRTransaction | DSR-transaktions-GUID |
| Host | Host |
| Instans | Java-instans i följande syntax: <HOST>_<SYSID>_<SYSNR> |
| Plats | Java-klass |
| LogName | Java logName, till exempel: Available, defaulttrace, dev*, securityoch så vidare |
| MessageText | Meddelandetext |
| MNo | Meddelandenummer |
| Pid | Process ID |
| Program | Programnamn |
| Session | Session |
| Allvarlighet | Allvarlighetsgrad för meddelanden, inklusive: Debug,Info,Warning,Error |
| Lösning | Lösning |
| SystemID | System-ID |
| SystemNumber | Systemnummer |
| ThreadName | Trådnamn |
| Kastas | Undantag utlöses |
| Tidszon | Tidszon |
| User | User |
SAP-pulsslagslogg
Microsoft Sentinel-funktion för att fråga den här loggen: SAPConnectorHealth
Loggsyfte: Ger pulsslag och annan hälsoinformation om anslutningen mellan agenterna och de olika SAP-systemen.
Skapas automatiskt för alla agenter i Microsoft Sentinel för SAP-dataanslutningen.
SAP_HeartBeat_CL loggschema
| Fält | beskrivning |
|---|---|
| TimeGenerated | Tid för loggpubliceringshändelse |
| agent_id_s | Agent-ID i agentens konfiguration (genereras automatiskt) |
| agent_ver_s | Agentversion |
| host_s | Agentens värdnamn |
| system_id_s | Netweaver ABAP System-ID/ Netweaver SAPControl-värd (förhandsversion) / Java SAPControl-värd (förhandsversion) |
| push_timestamp_d | Tidsstämpel för extrahering, enligt agentens tidszon |
| agent_timezone_s | Agentens tidszon |
Referens för tabeller som hämtats direkt från SAP-system
I det här avsnittet visas de datatabeller som hämtas direkt från SAP-systemet och matas in i Microsoft Sentinel precis som de är.
De data som hämtas från dessa tabeller ger en tydlig vy över auktoriseringsstrukturen, gruppmedlemskapet och användarprofilerna. Du kan också spåra processen med auktoriseringsbidrag och återkallanden samt identifiera och styra de risker som är kopplade till dessa processer.
Tabellerna nedan krävs för att aktivera funktioner som identifierar privilegierade användare, mappar användare till roller, grupper och auktoriseringar.
För bästa resultat, se dessa tabeller med hjälp av namnet i kolumnen Microsoft Sentinel-funktionsnamn i följande tabell:
| Tabellnamn | Tabellbeskrivning | Microsoft Sentinel-funktionsnamn |
|---|---|---|
| USR01 | Användarhuvudpost (körningsdata) | SAP_USR01 |
| USR02 | Inloggningsdata (användning på kernelsidan) | SAP_USR02 |
| UST04 | Användarbakgrunder Mappa användare till profiler |
SAP_UST04 |
| AGR_USERS | Tilldelning av roller till användare | SAP_AGR_USERS |
| AGR_1251 | Auktoriseringsdata för aktivitetsgruppen | SAP_AGR_1251 |
| USGRP_USER | Tilldelning av användare till användargrupper | SAP_USGRP_USER |
| USR21 | Användarnamn/Adressnyckeltilldelning | SAP_USR21 |
| ADR6 | E-postadresser (tjänster för företagsadresser) | SAP_ADR6 |
| USRSTAMP | Tidsstämpel för alla ändringar i användaren | SAP_USRSTAMP |
| ADCP | Person-/adresstilldelning (tjänster för företagsadresser) | SAP_ADCP |
| USR05 | Användarhuvudparameter-ID | SAP_USR05 |
| AGR_PROF | Profilnamn för roll | SAP_AGR_PROF |
| AGR_FLAGS | Rollattribut | SAP_AGR_FLAGS |
| DEVACCESS | Tabell för utvecklingsanvändare | SAP_DEVACCESS |
| AGR_DEFINE | Rolldefinition | SAP_AGR_DEFINE |
| AGR_AGRS | Roller i sammansatta roller | SAP_AGR_AGRS |
| PAHI | Historik för parametrarna system, databas och SAP | SAP_PAHI |
| SNCSYSACL (FÖRHANDSVERSION) | SNC-åtkomstkontrollista (ACL): System | SAP_SNCSYSACL |
| USRACL (FÖRHANDSVERSION) | SNC-åtkomstkontrollista (ACL): Användare | SAP_USRACL |
Relaterat innehåll
Mer information finns i: