Dela via

Felsöka din Microsoft Sentinel-lösning för distribution av SAP-program

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Den här artikeln innehåller felsökningssteg som hjälper dig att säkerställa korrekt och snabb datainmatning och övervakning för din SAP-miljö med Microsoft Sentinel och dataanslutningsagenten.

Valda felsökningsprocedurer är bara relevanta när dataanslutningsagenten distribueras via kommandoraden. Om du använde den rekommenderade proceduren för att distribuera agenten från portalen använder du portalen för att göra eventuella konfigurationsändringar.

Kommentar

Den här artikeln är endast relevant för dataanslutningsagenten och är inte relevant för den SAP-agentlösa lösningen (begränsad förhandsversion).

Användbara Docker-kommandon

När du felsöker Microsoft Sentinel för SAP-dataanslutningen kan följande kommandon vara användbara:

Funktion Command
Stoppa Docker-containern docker stop sapcon-[SID]
Starta Docker-containern docker start sapcon-[SID]
Visa Docker-systemloggar docker logs -f sapcon-[SID]
Ange Docker-containern docker exec -it sapcon-[SID] bash

Mer information finns i Docker CLI-dokumentationen.

Granska systemloggar

Vi rekommenderar starkt att du granskar systemloggarna när du har installerat eller återställt dataanslutningen.

Kör:

docker logs -f sapcon-[SID]

Aktivera/inaktivera felsökningslägesutskrift

Den här proceduren stöds bara om du har distribuerat dataanslutningsagent från kommandoraden.

  1. Redigera filen /opt/sapcon/[SID]/systemconfig.json på den virtuella datainsamlaragentens virtuella dator.

  2. Definiera avsnittet Allmänt om det inte har definierats tidigare. I det här avsnittet definierar du logging_debug = True för att aktivera felsökningslägesutskrift eller logging_debug = False för att inaktivera det.

    Till exempel:

    [General]
logging_debug = True

  3. Spara filen.

Ändringen börjar gälla ungefär två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.

Visa alla containerkörningsloggar

Anslutningsloggar för din Microsoft Sentinel-lösning för distribution av SAP-programdataanslutning lagras på den virtuella datorn i /opt/sapcon/[SID]/log/. Loggfilnamnet är OmniLog.log. En historik över loggfiler behålls, suffixet med .[ tal] som OmniLog.log.1, OmniLog.log.2 och så vidare.

Granska och uppdatera konfigurationsfilen för Microsoft Sentinel för SAP-agentanslutningsappen

Den här proceduren stöds bara om du har distribuerat dataanslutningsagent från kommandoraden. Om du distribuerade din agent via portalen fortsätter du att underhålla och ändra konfigurationsinställningarna via portalen.

Om du har distribuerat via kommandoraden utför du följande steg:

  1. Öppna konfigurationsfilen på den virtuella datorn: sapcon/[SID]/systemconfig.json

  2. Uppdatera konfigurationen om det behövs och spara filen. Mer information finns i filreferensen för Microsoft Sentinel-lösningen för SAP-programsystemconfig.json.

Ändringen börjar gälla ungefär två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.

Återställa Microsoft Sentinel för SAP-dataanslutningsappen

Följande steg återställer anslutningsappen och återställer SAP-loggarna från de senaste 30 minuterna.

  1. Stoppa anslutningsappen. Kör:

    docker stop sapcon-[SID]

  2. Ta bort metadata.db-filenfrån katalogen /opt/sapcon/[SID]. Kör:

    cd /opt/sapcon/<SID>
rm metadata.db

    Kommentar

    Filen metadata.db innehåller den sista tidsstämpeln för var och en av loggarna och fungerar för att förhindra duplicering.

  3. Starta anslutningsappen igen. Kör:

    docker start sapcon-[SID]

Se till att granska systemloggarna när du är klar.

Vanliga problem

När du har distribuerat både Microsoft Sentinel för SAP-dataanslutning och säkerhetsinnehåll kan det uppstå följande fel eller problem:

Skadad eller saknad SAP SDK-fil

Det här felet kan uppstå när anslutningsappen inte kan startas med PyRfc eller när zip-relaterade felmeddelanden visas.

  1. Installera om SAP SDK.
  2. Kontrollera att du är rätt Linux 64-bitarsversion, till exempel nwrfc750P_8-70002752.zip.

Om du har installerat dataanslutningsappen manuellt ser du till att du har kopierat SDK-filen till Docker-containern.

Kör:

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

ABAP-körningsfel visas i ett stort system

Den här proceduren stöds bara om du har distribuerat dataanslutningsagent från kommandoraden.

Om ABAP-körningsfel uppstår på stora system, försök att ställa in en mindre segmentstorlek:

  1. Redigera filen /opt/sapcon/[SID]/systemconfig.json och i avsnittet Anslutningskonfiguration definierar du timechunk = 5.

    Till exempel:

    [Connector Configuration]
timechunk = 5

  2. Spara filen.

Ändringen börjar gälla ungefär två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.

Kommentar

Tidskunkstorleken definieras i minuter.

Tom eller ingen granskningslogg hämtad, utan några särskilda felmeddelanden

  1. Kontrollera att granskningsloggning är aktiverat i SAP.
  2. Kontrollera SM19- eller RSAU_CONFIG-transaktionerna.
  3. Aktivera alla händelser efter behov.
  4. Kontrollera om meddelanden anländer och finns i SAP SM20 eller RSAU_READ_LOG, utan några särskilda fel som visas i anslutningsloggen.

Felaktigt arbetsyte-ID eller nyckel i nyckelvalvet

Om du inser att du har angett ett felaktigt arbetsyte-ID eller en felaktig nyckel i distributionsskriptet, uppdatera autentiseringsuppgifterna som lagras i Azure Key Vault.

Starta om containern om du har verifierat dina autentiseringsuppgifter i Azure KeyVault:

docker restart sapcon-[SID]

Felaktiga autentiseringsuppgifter för SAP ABAP-användare i nyckelvalvet

Kontrollera dina autentiseringsuppgifter och åtgärda dem efter behov och tillämpa rätt värden i värdena ABAPUSER och ABAPPASS i Azure Key Vault.

Starta sedan om containern:

docker restart sapcon-[SID]

Felaktiga autentiseringsuppgifter för SAP ABAP-användare i en fast konfiguration

Den här avsnittet stöds bara om du har distribuerat dataanslutningsagent från kommandoraden.

En fast konfiguration är när lösenordet lagras direkt i systemconfig.json konfigurationsfilen.

Om dina autentiseringsuppgifter är felaktiga kontrollerar du dina autentiseringsuppgifter.

Använd base64-kryptering för att kryptera användaren och lösenordet. Du kan använda krypteringsverktyg online för att kryptera dina autentiseringsuppgifter, till exempel https://www.base64encode.org/.

ABAP-behörigheter (SAP-användare) saknas

Om du får ett felmeddelande liknande: ..Saknad auktorisering av serverdels-RFC.. tillämpades inte dina SAP-auktoriseringar och din roll korrekt.

  1. Säkerställ att rollen MSFTSEN/SENTINEL_CONNECTOR importerades som en del av en transport för ändringsbegäran och tillämpades på anslutningsanvändaren.

  2. Kör processen för rollgenerering och användarjämförelse med hjälp av SAP-transaktionen PFCG.

Saknade data i dina arbetsböcker eller aviseringar

Om du upptäcker att du saknar data i dina Microsoft Sentinel-arbetsböcker eller aviseringar kontrollerar du att auditlog-principen är korrekt aktiverad på SAP-sidan, utan fel i containerloggfilen.

Använd den RSAU_CONFIG_LOG transaktionen för det här steget.

Mer information finns i SAP-dokumentationen och Samla in SAP HANA-granskningsloggar i Microsoft Sentinel.

Vi rekommenderar att du konfigurerar granskning för alla meddelanden från granskningsloggen i stället för endast specifika loggar. Skillnader i inmatningskostnader är i allmänhet minimala och data är användbara för Microsoft Sentinel-identifieringar och i undersökningar och jakt efter kompromisser. Mer information finns i Konfigurera SAP för granskning.

IP-adress- eller transaktionskodfält saknas i SAP-granskningsloggen

I SAP-system med versioner för SAP BASIS 7.5 SP12 och senare kan Microsoft Sentinel återspegla extra fält i tabellerna ABAPAuditLog_CL och SAPAuditLog .

Om du använder SAP BASIS-versioner som är högre än 7,5 SP12 och saknar IP-adress- eller transaktionskodfält i SAP-granskningsloggen kontrollerar du att SAP-systemet som du extraherar data från innehåller relevanta ändringsbegäranden (transporter). Mer information finns i Konfigurera stöd för extra datahämtning (rekommenderas).

SAP-ändringsbegäran saknas

Om du ser fel om att du saknar en obligatorisk SAP-ändringsbegäran kontrollerar du att du har importerat rätt SAP-ändringsbegäran för systemet. För ytterligare information, se SAP-förutsättningarna och Konfigurera ditt SAP-system för Microsoft Sentinel-lösningen.

Inga data visas i SAP-tabelldataloggen

I SAP-system med versioner för SAP BASIS 7.5 SP12 och senare kan Microsoft Sentinel återspegla ändringar i tabelldataloggen ABAPTableDataLog_CL i tabellen.

Om inga data visas i ABAPTableDataLog_CL tabellen kontrollerar du att SAP-systemet som du extraherar data från innehåller relevanta ändringsbegäranden (transporter). Mer information finns i Konfigurera stöd för extra datahämtning (rekommenderas).

Inga poster/sena poster

Datainsamlingsagenten är beroende av att tidszonsinformationen är korrekt. Om du ser att det inte finns några poster i SAP-gransknings- och ändringsloggarna, eller om poster ständigt ligger några timmar efter, kontrollerar du om rapporten SAP TZCUSTHELP visar några fel. Mer information finns i SAP-anteckning 481835.

Det kan också uppstå problem med klockan på den virtuella datorn där datainsamlingsagentens container är värd. Eventuella avvikelser från UTC-tiden på den virtuella datorn påverkar datainsamlingen. Ännu viktigare är att klockorna på både SAP-systemdatorerna och datainsamlaragentens datorer måste matcha.

Vi rekommenderar att du konfigurerar granskning för alla meddelanden från granskningsloggen i stället för endast specifika loggar. Skillnader i inmatningskostnader är i allmänhet minimala och data är användbara för Microsoft Sentinel-identifieringar och i undersökningar och jakt efter kompromisser. Mer information finns i Konfigurera SAP för granskning.

Problem med nätverksanslutning

Om du har problem med nätverksanslutningen till SAP-miljön eller Till Microsoft Sentinel kontrollerar du nätverksanslutningen för att se till att data flödar som förväntat.

Vanliga problem:

  • Brandväggar mellan Docker-containern och SAP-värdarna kan blockera trafik. SAP-värden tar emot kommunikation via följande TCP-portar, som måste vara öppna: 32xx, 5xx13 och 33xx, där xx är SAP-instansnumret.

  • Utgående kommunikation från DIN SAP-agentvärd till Microsoft Container Registry eller Azure kräver proxykonfiguration. Detta påverkar vanligtvis installationen och kräver att du konfigurerar HTTP_PROXY miljövariablerna och HTTPS_PROXY . Du kan också mata in miljövariabler i docker-containern när du skapar containern genom att lägga till -e flaggan i docker-kommandot / createrun.

Det går inte att hämta en granskningslogg med varningar

Den här avsnittet stöds bara om du har distribuerat dataanslutningsagent från kommandoraden.

Om du försöker hämta en granskningslogg utan nödvändiga konfigurationer och processen misslyckas med varningar kontrollerar du att SAP-granskningsloggen kan hämtas med någon av följande metoder:

Systemet bör automatiskt växla till kompatibilitetsläge vid behov, men det kan hända att du måste växla det manuellt. Växla till kompatibilitetsläge manuellt:

  1. Redigera filen /opt/sapcon/[SID]/systemconfig.json.

  2. I avsnittet Konfiguration av anslutningsapp definierar du:auditlogforcexal = True

    Till exempel:

    [Connector Configuration]
auditlogforcexal = True

  3. Spara filen.

Ändringen börjar gälla ungefär två minuter efter att du har sparat filen. Du behöver inte starta om Docker-containern.

SAPCONTROL- eller JAVA-undersystem kan inte ansluta

Kontrollera att OS-användaren är giltig och kan köra följande kommando i SAP-målsystemet:

sapcontrol -nr <SID> -function GetSystemInstanceList

Om ditt SAPCONTROL- eller JAVA-delsystem misslyckas med ett tidszonsrelaterat felmeddelande, till exempel: Kontrollera konfigurationen och nätverksåtkomsten till SAP-servern – "Etc/NZST", se till att du använder vanliga tidszonskoder.

Använd till exempel javatz = GMT+12 eller abaptz = GMT-3**.

Granskningsloggdata matas inte in efter den första inläsningen

Om SAP-granskningsloggdata, som visas i antingen RSAU_READ_LOAD - eller SM200-transaktionerna , inte matas in i Microsoft Sentinel efter den första inläsningen kan du ha en felkonfiguration av SAP-systemet och SAP-värdoperativsystemet.

  • Initiala inläsningar matas in efter en ny installation av Microsoft Sentinel för SAP-dataanslutningsappen eller efter att metadata.db-filen har tagits bort.
  • Ett exempel på felkonfiguration kan vara när sapsystemets tidszon är inställd på CET i STZAC-transaktionen , men tidszonen för SAP-värdoperativsystemet är inställd på UTC.

Om du vill söka efter felkonfigurationer kör du RSDBTIME-rapporten i transaktionen SE38. Om du hittar ett matchningsfel mellan SAP-systemet och SAP-värdoperativsystemet:

  1. Stoppa Docker-containern. Kör

    docker stop sapcon-[SID]

  2. Ta bort metadata.db-filenfrån katalogen /opt/sapcon/[SID]. Kör:

    rm /opt/sapcon/[SID]/metadata.db

  3. Uppdatera SAP-systemet och SAP-värdoperativsystemet så att de har matchande inställningar, till exempel samma tidszon. Mer information finns i SAP Community Wiki.

  4. Starta containern igen. Kör:

    docker start sapcon-[SID]

Andra oväntade problem

Om du har oväntade problem som inte visas i den här artikeln kan du prova följande steg:

Dricks

Återställa anslutningsappen och se till att du har de senaste uppgraderingarna rekommenderas också efter större konfigurationsändringar.

Relaterat innehåll

Läs mer om Microsoft Sentinel-lösningen för SAP-program:

Referensfiler:

Mer information finns i Microsoft Sentinel-lösningar.