Felsöka din Microsoft Sentinel-lösning för distribution av SAP-program

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Den här artikeln innehåller felsökningssteg som hjälper dig att säkerställa korrekt och snabb datainmatning och övervakning för din SAP-miljö med Microsoft Sentinel.

Valda felsökningsprocedurer är bara relevanta när dataanslutningsagenten distribueras via kommandoraden. Om du använde den rekommenderade proceduren för att distribuera agenten från portalen använder du portalen för att göra eventuella konfigurationsändringar.

Användbara Docker-kommandon

När du felsöker Microsoft Sentinel för SAP-dataanslutningen kan följande kommandon vara användbara:

Funktion	Command
Stoppa Docker-containern	docker stop sapcon-[SID]
Starta Docker-containern	docker start sapcon-[SID]
Visa Docker-systemloggar	docker logs -f sapcon-[SID]
Ange Docker-containern	docker exec -it sapcon-[SID] bash

Mer information finns i Docker CLI-dokumentationen.

Granska systemloggar

Vi rekommenderar starkt att du granskar systemloggarna när du har installerat eller återställt dataanslutningen.

Kör:

docker logs -f sapcon-[SID]

Aktivera/inaktivera felsökningslägesutskrift

Den här proceduren stöds bara om du har distribuerat dataanslutningsagenten från kommandoraden.

1. Redigera filen /opt/sapcon/[SID]/systemconfig.json på den virtuella datainsamlaragentens virtuella dator.

2. Definiera avsnittet Allmänt om det inte har definierats tidigare. I det här avsnittet definierar du logging_debug = True för att aktivera felsökningslägesutskrift eller logging_debug = False för att inaktivera det.

   Till exempel:

   [General]
   logging_debug = True
   

3. Spara filen.

Ändringen börjar gälla ungefär två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.

Visa alla containerkörningsloggar

Anslutningsloggar för din Microsoft Sentinel-lösning för distribution av SAP-programdataanslutning lagras på den virtuella datorn i /opt/sapcon/[SID]/log/. Loggfilnamnet är OmniLog.log. En historik över loggfiler behålls, suffixet med .[ tal] som OmniLog.log.1, OmniLog.log.2 och så vidare.

Granska och uppdatera konfigurationsfilen för Microsoft Sentinel för SAP-agentanslutningsappen

Den här proceduren stöds bara om du har distribuerat dataanslutningsagenten från kommandoraden. Om du distribuerade din agent via portalen fortsätter du att underhålla och ändra konfigurationsinställningarna via portalen.

Om du har distribuerat via kommandoraden utför du följande steg:

1. Öppna konfigurationsfilen på den virtuella datorn: sapcon/[SID]/systemconfig.json

2. Uppdatera konfigurationen om det behövs och spara filen. Mer information finns i filreferensen för Microsoft Sentinel-lösningen för SAP-programsystemconfig.json.

Ändringen börjar gälla ungefär två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.

Återställa Microsoft Sentinel för SAP-dataanslutningsappen

Följande steg återställer anslutningsappen och återställer SAP-loggarna från de senaste 30 minuterna.

1. Stoppa anslutningsappen. Kör:

   docker stop sapcon-[SID]
   

2. Ta bort metadata.db-filen från katalogen /opt/sapcon/[SID]. Kör:

   cd /opt/sapcon/<SID>
   rm metadata.db
   

   Kommentar

   Filen metadata.db innehåller den sista tidsstämpeln för var och en av loggarna och fungerar för att förhindra duplicering.

3. Starta anslutningsappen igen. Kör:

   docker start sapcon-[SID]
   

Se till att granska systemloggarna när du är klar.

Vanliga problem

När du har distribuerat både Microsoft Sentinel för SAP-dataanslutning och säkerhetsinnehåll kan det uppstå följande fel eller problem:

Skadad eller saknad SAP SDK-fil

Det här felet kan inträffa när anslutningsappen inte kan startas med PyRfc eller zip-relaterade felmeddelanden visas.

1. Installera om SAP SDK.
2. Kontrollera att du är rätt Linux 64-bitarsversion, till exempel nwrfc750P_8-70002752.zip.

Om du hade installerat dataanslutningsappen manuellt kontrollerar du att du har kopierat SDK-filen till Docker-containern.

Kör:

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

ABAP-körningsfel visas i ett stort system

Den här proceduren stöds bara om du har distribuerat dataanslutningsagenten från kommandoraden.

Om ABAP-körningsfel visas i stora system kan du prova att ange en mindre segmentstorlek:

1. Redigera filen /opt/sapcon/[SID]/systemconfig.json och i avsnittet Anslutningskonfiguration definierar du timechunk = 5.

   Till exempel:

   [Connector Configuration]
   timechunk = 5
   

2. Spara filen.

Ändringen börjar gälla ungefär två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.

Kommentar

Tidskunkstorleken definieras i minuter.

Tom eller ingen granskningslogg hämtad, utan några särskilda felmeddelanden

1. Kontrollera att granskningsloggning är aktiverat i SAP.
2. Kontrollera SM19- eller RSAU_CONFIG-transaktionerna.
3. Aktivera alla händelser efter behov.
4. Kontrollera om meddelanden anländer och finns i SAP SM20 eller RSAU_READ_LOG, utan några särskilda fel som visas i anslutningsloggen.

Felaktigt arbetsyte-ID eller nyckel i nyckelvalvet

Om du inser att du har angett ett felaktigt arbetsyte-ID eller nyckel i distributionsskriptet uppdaterar du autentiseringsuppgifterna som lagras i Azure-nyckelvalvet.

När du har verifierat dina autentiseringsuppgifter i Azure KeyVault startar du om containern:

docker restart sapcon-[SID]

Felaktiga autentiseringsuppgifter för SAP ABAP-användare i nyckelvalvet

Kontrollera dina autentiseringsuppgifter och åtgärda dem efter behov och tillämpa rätt värden på ABAPUSER - och ABAPPASS-värdena i Azure Key Vault.

Starta sedan om containern:

docker restart sapcon-[SID]

Felaktiga autentiseringsuppgifter för SAP ABAP-användare i en fast konfiguration

Det här avsnittet stöds bara om du har distribuerat dataanslutningsagenten från kommandoraden.

En fast konfiguration är när lösenordet lagras direkt i systemconfig.json konfigurationsfilen.

Om dina autentiseringsuppgifter är felaktiga kontrollerar du dina autentiseringsuppgifter.

Använd base64-kryptering för att kryptera användaren och lösenordet. Du kan använda krypteringsverktyg online för att kryptera dina autentiseringsuppgifter, till exempel https://www.base64encode.org/.

ABAP-behörigheter (SAP-användare) saknas

Om du får ett felmeddelande som liknar: .. Serverdels-RFC-auktorisering saknas.., dina SAP-auktoriseringar och din roll tillämpades inte korrekt.

1. Kontrollera att rollen MSFTSEN/SENTINEL_CONNECTOR importerades som en del av en ändringsbegäranstransport och tillämpades på anslutningsanvändaren.

2. Kör rollgenererings- och användarjämförelseprocessen med sap-transaktions-PFCG.

Saknade data i dina arbetsböcker eller aviseringar

Om du upptäcker att du saknar data i dina Microsoft Sentinel-arbetsböcker eller aviseringar kontrollerar du att auditlog-principen är korrekt aktiverad på SAP-sidan, utan fel i containerloggfilen.

Använd den RSAU_CONFIG_LOG transaktionen för det här steget.

Mer information finns i SAP-dokumentationen och Samla in SAP HANA-granskningsloggar i Microsoft Sentinel.

IP-adress- eller transaktionskodfält saknas i SAP-granskningsloggen

I SAP-system med versioner för SAP BASIS 7.5 SP12 och senare kan Microsoft Sentinel återspegla extra fält i tabellerna ABAPAuditLog_CL och SAPAuditLog .

Om du använder SAP BASIS-versioner som är högre än 7,5 SP12 och saknar IP-adress- eller transaktionskodfält i SAP-granskningsloggen kontrollerar du att SAP-systemet som du extraherar data från innehåller relevanta ändringsbegäranden (transporter). Mer information finns i Konfigurera stöd för extra datahämtning (rekommenderas).

SAP-ändringsbegäran saknas

Om du ser fel om att du saknar en obligatorisk SAP-ändringsbegäran kontrollerar du att du har importerat rätt SAP-ändringsbegäran för systemet. Mer information finns i KRAV för SAP och Konfigurera DITT SAP-system för Microsoft Sentinel-lösningen.

Inga data visas i SAP-tabelldataloggen

I SAP-system med versioner för SAP BASIS 7.5 SP12 och senare kan Microsoft Sentinel återspegla ändringar i tabelldataloggen ABAPTableDataLog_CL i tabellen.

Om inga data visas i ABAPTableDataLog_CL tabellen kontrollerar du att SAP-systemet som du extraherar data från innehåller relevanta ändringsbegäranden (transporter). Mer information finns i Konfigurera stöd för extra datahämtning (rekommenderas).

Inga poster/sena poster

Datainsamlaragenten förlitar sig på att tidszonsinformationen är korrekt. Om du ser att det inte finns några poster i SAP-gransknings- och ändringsloggarna, eller om poster ständigt ligger några timmar efter, kontrollerar du om SAP TZCUSTHELP-rapporten visar några fel. Mer information finns i SAP-481835.

Det kan också finnas problem med klockan på den virtuella datorn där datainsamlaragentcontainern finns, och eventuella avvikelser från klockan på den virtuella datorn från UTC påverkar datainsamlingen. Ännu viktigare är att klockorna på både SAP-systemdatorerna och datainsamlaragentdatorerna måste matcha.

Problem med nätverksanslutning

Om du har problem med nätverksanslutningen till SAP-miljön eller Till Microsoft Sentinel kontrollerar du nätverksanslutningen för att se till att data flödar som förväntat.

Vanliga problem:

• Brandväggar mellan Docker-containern och SAP-värdarna kan blockera trafik. SAP-värden tar emot kommunikation via följande TCP-portar, som måste vara öppna: 32xx, 5xx13 och 33xx, där xx är SAP-instansnumret.

• Utgående kommunikation från DIN SAP-agentvärd till Microsoft Container Registry eller Azure kräver proxykonfiguration. Detta påverkar vanligtvis installationen och kräver att du konfigurerar HTTP_PROXY miljövariablerna och HTTPS_PROXY . Du kan också mata in miljövariabler i docker-containern när du skapar containern genom att lägga till -e flaggan i docker-kommandot / createrun.

Det går inte att hämta en granskningslogg med varningar

Det här avsnittet stöds bara om du har distribuerat dataanslutningsagenten från kommandoraden.

Om du försöker hämta en granskningslogg utan nödvändiga konfigurationer och processen misslyckas med varningar kontrollerar du att SAP-granskningsloggen kan hämtas med någon av följande metoder:

• Använda ett kompatibilitetsläge med namnet XAL i äldre versioner
• Använda en version som inte nyligen har korrigerats
• Utan ändringar som gjorts för att ansluta till Microsoft Sentinel-dataanslutningsagenten. Mer information finns i Konfigurera DITT SAP-system för Microsoft Sentinel-lösningen.

Systemet bör automatiskt växla till kompatibilitetsläge om det behövs, men du kan behöva växla det manuellt. Växla till kompatibilitetsläge manuellt:

1. Redigera filen /opt/sapcon/[SID]/systemconfig.json.

2. I avsnittet Konfiguration av anslutningsapp definierar du:auditlogforcexal = True

   Till exempel:

   [Connector Configuration]
   auditlogforcexal = True
   

3. Spara filen.

Ändringen börjar gälla ungefär två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.

SAPCONTROL- eller JAVA-undersystem kan inte ansluta

Kontrollera att OS-användaren är giltig och kan köra följande kommando i SAP-målsystemet:

sapcontrol -nr <SID> -function GetSystemInstanceList

SAPCONTROL- eller JAVA-undersystem misslyckas med tidszonsrelaterat felmeddelande

Om ditt SAPCONTROL- eller JAVA-undersystem misslyckas med ett tidszonsrelaterat felmeddelande, till exempel: Kontrollera konfigurationen och nätverksåtkomsten till SAP-servern – Etc/NZST, kontrollerar du att du använder standardtidszonkoder.

Använd till exempel javatz = GMT+12 eller abaptz = GMT-3**.

Granskningsloggdata matas inte in efter den första inläsningen

Om SAP-granskningsloggdata, som visas i antingen RSAU_READ_LOAD - eller SM200-transaktionerna , inte matas in i Microsoft Sentinel efter den första inläsningen kan du ha en felkonfiguration av SAP-systemet och SAP-värdoperativsystemet.

• Initiala inläsningar matas in efter en ny installation av Microsoft Sentinel för SAP-dataanslutningsappen eller efter att metadata.db-filen har tagits bort.
• Ett exempel på felkonfiguration kan vara när sapsystemets tidszon är inställd på CET i STZAC-transaktionen , men tidszonen för SAP-värdoperativsystemet är inställd på UTC.

Om du vill söka efter felkonfigurationer kör du RSDBTIME-rapporten i transaktionen SE38. Om du hittar ett matchningsfel mellan SAP-systemet och SAP-värdoperativsystemet:

1. Stoppa Docker-containern. Kör

   docker stop sapcon-[SID]
   

2. Ta bort metadata.db-filen från katalogen /opt/sapcon/[SID]. Kör:

   rm /opt/sapcon/[SID]/metadata.db
   

3. Uppdatera SAP-systemet och SAP-värdoperativsystemet så att de har matchande inställningar, till exempel samma tidszon. Mer information finns i SAP Community Wiki.

4. Starta containern igen. Kör:

   docker start sapcon-[SID]
   

Andra oväntade problem

Om du har oväntade problem som inte visas i den här artikeln kan du prova följande steg:

• Återställa anslutningsappen och läsa in loggarna igen
• Uppgradera anslutningsappen till den senaste versionen.

Dricks

Återställa anslutningsappen och se till att du har de senaste uppgraderingarna rekommenderas också efter större konfigurationsändringar.

Relaterat innehåll

Läs mer om Microsoft Sentinel-lösningen för SAP-program:

• Distribuera Microsoft Sentinel-lösning för SAP-program
• Förutsättningar för att distribuera Microsoft Sentinel-lösning för SAP-program
• Konfigurera DITT SAP-system för Microsoft Sentinel-lösningen
• Distribuera lösningsinnehållet från innehållshubben
• Ansluta DITT SAP-system genom att distribuera din dataanslutningsagentcontainer
• Samla in SAP HANA-granskningsloggar

Referensfiler:

• Microsoft Sentinel-lösning för datareferens för SAP-programlösning
• Microsoft Sentinel-lösning för SAP-programlösning: referens för säkerhetsinnehåll
• Referens för Kickstart-skript
• Referens för uppdateringsskript
• Filreferens för Microsoft Sentinel-lösning för SAP-program systemconfig.json

Mer information finns i Microsoft Sentinel-lösningar.