SAP 應用程式的 Microsoft Sentinel 解決方案記錄和資料表參考
本文說明 SAP 應用程式和其資料連接器Microsoft Sentinel 解決方案中可用的記錄和數據表。
本文所指出的某些記錄預設不會傳送至Microsoft Sentinel,但您可以視需要手動新增記錄。 如需詳細資訊,請參閱 定義傳送至 Sentinel Microsoft SAP 記錄
本文中的內容適用於您的 SAP BASIS 小組。
重要
Microsoft Sentinel Threat Monitoring for SAP 解決方案的某些元件目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
在查詢中使用函式,而不是基礎記錄或數據表
強烈建議您盡可能使用可用的函式作為其分析的主旨,而不是基礎記錄或數據表。
為 SAP 應用程式提供Microsoft Sentinel 解決方案的函式,旨在做為數據的主要使用者介面。 它們會形成您現成可用的所有內建分析規則和活頁簿的基礎。 使用函式可讓您變更函式底下的數據基礎結構,而不會中斷使用者建立的內容。
如需詳細資訊,請參閱 Microsoft適用於 SAP 應用程式的 Sentinel 解決方案 - Azure 監視器記錄查詢中的函式參考和 Functions。
記錄涵蓋範圍
適用於 SAP 應用程式的 Microsoft Sentinel 解決方案會從應用程式、OS 和資料層收集記錄,為您的 SAP 系統提供完整的保護:
應用層:Microsoft Sentinel 監視 ABAP 層內的活動,這是 SAP 系統中的主要應用層,負責執行商業規則和處理交易。 例如,Microsoft Sentinel 會收集記錄,其中包含用戶動作,例如登入、密碼變更,以及報表或檔案的存取權。
除了安全性監視之外,應用層收集的記錄也可用於合規性和稽核目的。
OS 層:Microsoft Sentinel 會從作業系統收集記錄,以提供 OS 層級活動的深入解析,例如來自 ABAP 伺服器,以及 SAP 應用程式執行所在的虛擬機。
使用適用於 SAP 應用程式的 Microsoft Sentinel 解決方案,搭配其他服務的安全性內容和數據連接器,以全面且集中監視、將所有系統的資訊相互關聯,以及增強整體安全性狀態。
資料庫層:將資料庫記錄內嵌至 Microsoft Sentinel,以監視資料庫活動,例如資料庫管理活動和數據表數據的變更。 適用於 SAP 應用程式的Microsoft Sentinel 解決方案與資料庫無關。
數據連接器代理程式收集的所有記錄都會先儲存在容器實例的資料夾中資料收集器代理程式電腦上 /opt/sapcon/<sid>/log 。 然後,這些記錄會轉送至 Log Analytics 工作區,您可以在其中檢視、稽核及查詢這些記錄,Microsoft Sentinel。
稽核記錄會每分鐘收集並擷取一次,而其他記錄可能會較不常擷取。 Microsoft Sentinel 也會監視數據連接器代理程式活動訊號,以確保記錄會收集並傳送至 Log Analytics 工作區。
記錄參考
下列各節說明 SAP 應用程式資料連接器Microsoft Sentinel 解決方案中可用的 SAP 記錄,包括Microsoft Sentinel 中的數據表名稱、記錄用途和詳細的記錄架構。
架構欄位描述是以相關 SAP 檔中的欄位描述為基礎。
- ABAP 應用程式記錄
- ABAP 變更文件記錄
- ABAP CR 記錄
- ABAP DB 資料表資料記錄 檔 (預覽)
- ABAP 閘道記錄 檔 (預覽)
- ABAP ICM 記錄 檔 (預覽)
- ABAP 作業記錄
- ABAP 安全性稽核記錄
- ABAP 多任務緩衝處理記錄
- APAB 多任務緩衝處理輸出記錄
- ABAP SysLog
- ABAP 工作流程記錄
- ABAP WorkProcess 記錄
- HANA DB 稽核記錄
- JAVA 檔案
- SAP 活動訊號記錄檔
ABAP 應用程式記錄
Microsoft Sentinel 函式來查詢此記錄檔:SAPAppLog
相關 SAP 檔: SAP 說明入口網站
記錄目的:記錄應用程式執行的進度,以便您稍後視需要重新建構它。
根據 XBP 介面的標準 SAP 數據表和標準服務,使用 RFC。 每個客戶端都會產生此記錄檔。
ABAPAppLog_CL記錄架構
| 欄位 | 描述 |
|---|---|
| AppLogDateTime | 應用程式記錄日期時間 |
| CallbackProgram | 回呼程式 |
| CallbackRoutine | 回呼例程 |
| CallbackType | 回撥類型 |
| ClientID | ABAP 用戶端識別碼 (MANDT) |
| ContextDDIC | 內容 DDIC 結構 |
| ExternalID | 外部記錄標識碼 |
| Host | Host |
| 執行個體 | ABAP 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | 應用程式記錄訊息序列 |
| LevelofDetail | 詳細資料層級 |
| LogHandle | 應用程式記錄句柄 |
| LogNumber | 記錄編號 |
| MessageClass | Message 類別 |
| MessageNumber | 訊息編號 |
| MessageText | 訊息文字 |
| MessageType | 訊息類型 |
| Object | 應用程式記錄物件 |
| OperationMode | 作業模式 |
| ProblemClass | 問題類別 |
| ProgramName | 計劃名稱 |
| SortCriterion | 排序準則 |
| StandardText | 標準文字 |
| SubObject | 應用程式記錄子物件 |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| TransactionCode | 交易代碼 |
| User | User |
| UserChange | 用戶變更 |
ABAP 變更文件記錄
Microsoft Sentinel 函式來查詢此記錄檔:SAPChangeDocsLog
相關 SAP 檔: SAP 說明入口網站
記錄用途:記錄:
SAP NetWeaver 應用程式伺服器 (AS) ABAP 會記錄變更變更檔案中的商務數據物件。
SAP 系統中的其他實體,例如用戶數據、角色、位址。
可使用以標準 SAP 數據表為基礎的 RFC。 每個客戶端都會產生此記錄檔。
ABAPChangeDocsLog_CL記錄架構
| 欄位 | 描述 |
|---|---|
| ActualChangeNum | 實際變更編號 |
| ChangedTableKey | 已變更的數據表索引鍵 |
| ChangeNumber | 變更號碼 |
| ClientID | ABAP 用戶端識別碼 (MANDT) |
| CreatedfromPlannedChange | 從計劃性變更建立,語法如下: (‘X’ , ‘ ‘) |
| CurrencyKeyNew | 貨幣索引鍵:新值 |
| CurrencyKeyOld | 貨幣索引鍵:舊值 |
| FieldName | 欄位名稱 |
| FlagText | 標幟文字 |
| Host | Host |
| 執行個體 | ABAP 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| 語言 | 語言 |
| ObjectClass | 物件類別,例如 BELEG、、BPARPFCG、IDENTITY |
| ObjectID | 物件識別碼 |
| PlannedChangeNum | 計劃變更編號 |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| TableName | 資料表名稱 |
| TransactionCode | 交易代碼 |
| TypeofChange_Header | 變更的標頭類型,包括:U = 變更; I = 插入; E = 刪除單一 Docu; D = 刪除; J = 插入單一 Docu |
| TypeofChange_Item | 變更的項目類型,包括:U = 變更; I = 插入; E = 刪除單一 Docu; D = 刪除; J = 插入單一 Docu |
| UOMNew | 量值單位:新值 |
| UOMOld | 測量單位:舊值 |
| User | User |
| ValueNew | 欄位內容:新值 |
| ValueOld | 欄位內容:舊值 |
| 版本 | 版本 |
ABAP CR 記錄
Microsoft Sentinel 函式來查詢此記錄檔:SAPCRLog
相關 SAP 檔: SAP 說明入口網站
記錄目的:包括變更和傳輸系統 (CTS) 記錄,包括進行變更的目錄物件和自定義專案。
可使用以標準數據表和標準 SAP 服務為基礎的 RFC。 此記錄檔會透過所有客戶端的數據產生。
注意
除了應用程式記錄、變更檔和數據表錄製之外,您使用 Change & Transport System 對生產系統所做的所有變更都會記錄在 CTS 和TMS記錄中。
ABAPCRLog_CL記錄架構
| 欄位 | 描述 |
|---|---|
| 類別 | 類別 (Workbench, 自訂) |
| ClientID | ABAP 用戶端識別碼 (MANDT) |
| 描述 | 描述 |
| Host | Host |
| 執行個體 | ABAP 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| ObjectName | 物件名稱 |
| ObjectType | Object type |
| 擁有者 | 擁有者 |
| Request | 變更要求 |
| 狀態 | 狀態 |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| TableKey | 資料表索引鍵 |
| TableName | 資料表名稱 |
| ViewName | 檢視表名稱 |
ABAP DB 資料表資料記錄檔 (預覽)
若要將此記錄傳送至Microsoft Sentinel,您必須 手動將其新增至 systemconfig.json 檔案。 使用建議的程式從入口網站安裝數據連接器代理程式時,不支援此記錄。
Microsoft Sentinel 函式來查詢此記錄檔:SAPTableDataLog
相關 SAP 檔: SAP 說明入口網站
記錄目的:為那些嚴重或容易受到稽核的數據表提供記錄。
透過搭配自定義服務使用 RFC 來取得。 此記錄檔會透過所有客戶端的數據產生。
ABAPTableDataLog_CL記錄架構
| 欄位 | 描述 |
|---|---|
| DBLogID | 資料庫記錄標識碼 |
| Host | Host |
| 執行個體 | ABAP 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| 語言 | 語言 |
| LogKey | 記錄鍵 |
| NewValue | 欄位新值 |
| OldValue | 欄位舊值 |
| OperationTypeSQL | 工作類型、、Insert、 UpdateDelete |
| 程式 | 計劃名稱 |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| TableField | 數據表欄位 |
| TableName | 資料表名稱 |
| TransactionCode | 交易代碼 |
| UserName | User |
| VersionNumber | 版本號碼 |
ABAP 閘道記錄檔 (預覽)
若要將此記錄傳送至Microsoft Sentinel,您必須 手動將其新增至 systemconfig.json 檔案。 使用建議的程式從入口網站安裝數據連接器代理程式時,不支援此記錄。
用於查詢此記錄的 Microsoft Sentinel 函式:SAPOS_GW
相關 SAP 檔: SAP 說明入口網站
記錄用途:監視閘道活動。 SAP Control Web 服務提供。 此記錄檔會透過所有客戶端的數據產生。
ABAPOS_GW_CL記錄架構
| 欄位 | 描述 |
|---|---|
| Host | Host |
| 執行個體 | ABAP 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| MessageText | 訊息文字 |
| 嚴重性 | 訊息嚴重性:Debug、、Info、 WarningError |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
ABAP ICM 記錄檔 (預覽)
若要將此記錄傳送至Microsoft Sentinel,您必須 手動將其新增至 systemconfig.json 檔案。 使用建議的程式從入口網站安裝數據連接器代理程式時,不支援此記錄。
用於查詢此記錄的Microsoft Sentinel 函式:SAPOS_ICM
相關 SAP 檔: SAP 說明入口網站
記錄目的:記錄輸入和輸出要求,並編譯 HTTP 要求的統計數據。
SAP Control Web 服務提供。 此記錄檔會透過所有客戶端的數據產生。
ABAPOS_ICM_CL記錄架構
| 欄位 | 描述 |
|---|---|
| Host | Host |
| 執行個體 | ABAP 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| MessageText | 訊息文字 |
| 嚴重性 | 訊息嚴重性,包括:Debug、、WarningInfo、Error |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
ABAP 作業記錄
Microsoft Sentinel 函式來查詢此記錄檔:SAPJobLog
相關 SAP 檔: SAP 說明入口網站
記錄用途:結合所有背景處理作業記錄 (SM37)。
可使用以 XBP 介面的標準 SAP 數據表和標準服務為基礎的 RFC。 此記錄檔會透過所有客戶端的數據產生。
ABAPJobLog_CL記錄架構
| 欄位 | 描述 |
|---|---|
| ABAPProgram | ABAP 程式 |
| BgdEventParameters | 背景事件參數 |
| BgdProcessingEvent | 背景處理事件 |
| ClientID | ABAP 用戶端識別碼 (MANDT) |
| DynproNumber | Dynpro 數位 |
| GUIStatus | GUI 狀態 |
| Host | Host |
| 執行個體 | ABAP 實例 (HOST_SYSID_SYSNR),語法如下: <HOST>_<SYSID>_<SYSNR> |
| JobClassification | 工作分類 |
| JobCount | 作業計數 |
| JobGroup | 作業群組 |
| JobName | 作業名稱 |
| JobPriority | 作業優先順序 |
| MessageClass | Message 類別 |
| MessageNumber | 訊息編號 |
| MessageText | 訊息文字 |
| MessageType | 訊息類型 |
| ReleaseUser | 作業發行使用者 |
| SchedulingDateTime | 排程日期時間 |
| StartDateTime | 開始日期時間 |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| TargetServer | 目標伺服器 |
| User | User |
| UserReleaseInstance | ABAP 實例 - 用戶發行 |
| WorkProcessID | 工作進程標識碼 |
| WorkProcessNumber | 工作程序號碼 |
ABAP 安全性稽核記錄
Microsoft Sentinel 函式來查詢此記錄檔:SAPAuditLog
相關 SAP 檔: SAP 說明入口網站
記錄目的:記錄下列資料:
- SAP 系統環境的安全性相關變更,例如主要用戶記錄的變更
- 提供較高層級數據的資訊,例如成功和失敗的登入嘗試
- 啟用一系列事件重建的資訊,例如成功或失敗的交易啟動
可使用 RFC XAL/SAL 介面。 SAL 從版本 Basis 7.50 開始提供。 此記錄檔會透過所有客戶端的數據產生。
ABAPAuditLog_CL記錄架構
| 欄位 | 描述 |
|---|---|
| ABAPProgramName | 僅限 SAL 的程式名稱 |
| AlertSeverity | 警示嚴重性 |
| AlertSeverityText | 警示嚴重性文字,僅限 SAL |
| AlertValue | 警示值 |
| AuditClassID | 稽核類別標識碼,僅限 SAL |
| ClientID | ABAP 用戶端識別碼 (MANDT) |
| 電腦 | 僅限用戶電腦、SAL |
| 電子郵件 | 使用者電子郵件 |
| Host | Host |
| 執行個體 | ABAP 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | Message 類別 |
| MessageContainerID | 訊息容器標識碼,僅限 XAL |
| MessageID | 訊息標識碼,例如 ‘AU1’,’AU2’… |
| MessageText | 訊息文字 |
| MonitoringObjectName | MTE 監視器物件名稱,僅限 XAL |
| MonitorShortName | MTE 監視器簡短名稱,僅限 XAL |
| SAPProcesType | 系統記錄檔:SAP 進程類型,僅限 SAL |
| B* - 背景處理 | |
| D* - 對話框處理 | |
| U* - 更新工作 | |
| SAPWPName | 系統記錄:工作進程號碼,僅限 SAL |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| TerminalIPv6 | 僅限用戶電腦IP、SAL |
| TransactionCode | 交易程序代碼,僅限SAL |
| User | User |
| Variable1 | 訊息變數 1 |
| Variable2 | 訊息變數 2 |
| Variable3 | 訊息變數 3 |
| Variable4 | 訊息變數 4 |
ABAP 多任務緩衝處理記錄
Microsoft Sentinel 函式來查詢此記錄檔:SAPSpoolLog
相關 SAP 檔: SAP 說明入口網站
記錄用途:做為 SAP 列印的主要記錄檔,其中包含多任務緩衝處理要求的歷程記錄。 (SP01)。
可使用以標準 SAP 數據表為基礎的 RFC。 此記錄檔會透過所有客戶端的數據產生。
ABAPSpoolLog_CL記錄架構
| 欄位 | 描述 |
|---|---|
| ArchiveStatus | 封存狀態 |
| ArchiveType | 封存類型 |
| ArchivingDevice | 封存裝置 |
| AutoRereoute | 自動重新路由 |
| ClientID | ABAP 用戶端識別碼 (MANDT) |
| CountryKey | 國家/地區金鑰 |
| DeleteSpoolRequestAuto | 刪除多任務緩衝處理要求自動 |
| DelFlag | 刪除旗標 |
| 部門 | 部門 |
| DocumentType | Document type |
| ExternalMode | 外部模式 |
| FormatType | 格式類型 |
| Host | Host |
| 執行個體 | ABAP 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | 份數 |
| OutputDevice | 輸出裝置 |
| PrinterLongName | 印表機長名稱 |
| PrintImmediately | 立即列印 |
| PrintOSCoverPage | 列印OSCover頁面 |
| PrintSAPCoverPage | 列印 SAPCover 頁面 |
| 優先順序 | 優先順序 |
| RecipientofSpoolRequest | 多任務緩衝處理要求的收件者 |
| SpoolErrorStatus | 多任務緩衝處理錯誤狀態 |
| SpoolRequestCompleted | 多任務緩衝處理要求已完成 |
| SpoolRequestisALogForAnotherRequest | 多任務緩衝處理要求是另一個要求的記錄 |
| SpoolRequestName | 多任務緩衝處理要求名稱 |
| SpoolRequestNumber | 多任務緩衝處理要求號碼 |
| SpoolRequestSuffix1 | 多任務緩衝處理要求後綴1 |
| SpoolRequestSuffix2 | 多任務緩衝處理要求後綴2 |
| SpoolRequestTitle | 多任務緩衝處理要求標題 |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| 電信合作夥伴 | 電信合作夥伴 |
| TelecommunicationsPartnerE | 電信合作夥伴 E |
| TemSeGeneralcounter | Temse 計數器 |
| TemseNumAddProtectionRule | Temse 數位新增保護規則 |
| TemseNumChangeProtectionRule | Temse 數字變更保護規則 |
| TemseNumDeleteProtectionRule | Temse 數位刪除保護規則 |
| TemSeObjectName | Temse 物件名稱 |
| TemSeObjectPart | TemSe 物件部分 |
| TemseReadProtectionRule | Temse 讀取保護規則 |
| User | User |
| ValueAuthCheck | 值驗證檢查 |
APAB 多任務緩衝處理輸出記錄
Microsoft Sentinel 函式來查詢此記錄檔:SAPSpoolOutputLog
相關 SAP 檔: SAP 說明入口網站
記錄用途:做為 SAP 列印的主要記錄,具有多任務緩衝處理輸出要求的歷程記錄。 (SP02)。
使用 RFC 搭配以標準數據表為基礎的自訂服務即可使用。 此記錄檔會透過所有客戶端的數據產生。
ABAPSpoolOutputLog_CL記錄架構
| 欄位 | 描述 |
|---|---|
| AppServer | 應用程式伺服器 |
| ClientID | ABAP 用戶端識別碼 (MANDT) |
| 註解 | 註解 |
| CopyCount | 複製計數 |
| CopyCounter | 複製計數器 |
| 部門 | 部門 |
| ErrorSpoolRequestNumber | 錯誤要求號碼 |
| FormatType | 格式類型 |
| Host | Host |
| HostName | 主機名稱 |
| HostSpoolerID | 主機多任務緩衝處理程式標識碼 |
| 執行個體 | ABAP 實例 |
| LastPage | 最後一頁 |
| NumofCopies | 份數 |
| OutputDevice | 輸出裝置 |
| OutputRequestNumber | 輸出要求編號 |
| OutputRequestStatus | 輸出要求狀態 |
| PhysicalFormatType | 實體格式類型 |
| PrinterLongName | 印表機長名稱 |
| PrintRequestSize | 列印要求大小 |
| 優先順序 | 優先順序 |
| ReasonforOutputRequest | 輸出要求的原因 |
| RecipientofSpoolRequest | 多任務緩衝處理要求的收件者 |
| SpoolNumberofOutputReqProcessed | 輸出要求數目 - 已處理 |
| SpoolNumberofOutputReqWithErrors | 輸出要求數目 - 發生錯誤 |
| SpoolNumberofOutputReqWithProblems | 輸出要求數目 - 有問題 |
| SpoolRequestNumber | 多任務緩衝處理要求號碼 |
| StartPage | 開始頁面 |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| 電信合作夥伴 | 電信合作夥伴 |
| TemSeGeneralcounter | Temse 計數器 |
| 標題 | 標題 |
| User | User |
ABAP Syslog
若要將此記錄傳送至Microsoft Sentinel,您必須 手動將其新增至 systemconfig.json 檔案。 使用建議的程式從入口網站安裝數據連接器代理程式時,不支援此記錄。
Microsoft Sentinel 函式來查詢此記錄檔:SAPOS_Syslog
相關 SAP 檔: SAP 說明入口網站
記錄目的:記錄所有 SAP NetWeaver 應用程式伺服器 (SAP NetWeaver AS) ABAP 系統錯誤、警告、使用者鎖定,因為已知使用者的登入嘗試失敗,以及處理訊息。
SAP Control Web 服務提供。 此記錄檔會透過所有客戶端的數據產生。
ABAPOS_Syslog_CL記錄架構
| 欄位 | 描述 |
|---|---|
| ClientID | ABAP 用戶端識別碼 (MANDT) |
| Host | Host |
| 執行個體 | ABAP 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | 訊息編號 |
| MessageText | 訊息文字 |
| 嚴重性 | 訊息嚴重性,下列其中一個值:Debug、、Info、 WarningError |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| TransacationCode | 交易代碼 |
| 類型 | SAP 進程類型 |
| User | User |
ABAP 工作流程記錄
Microsoft Sentinel 函式來查詢此記錄檔:SAPWorkflowLog
相關 SAP 檔: SAP 說明入口網站
記錄用途:SAP Business Workflow (WebFlow Engine) 可讓您定義尚未在 SAP 系統中對應的商務程式。
例如,未對應的商務程式可能是簡單的發行或核准程式,或更複雜的商務程式,例如建立基底材料,然後協調相關聯的部門。
可使用以標準 SAP 數據表為基礎的 RFC。 每個客戶端都會產生此記錄檔。
ABAPWorkflowLog_CL記錄架構
| 欄位 | 描述 |
|---|---|
| ActualAgent | 實際代理程式 |
| 位址 | 位址 |
| ApplicationArea | 應用程式區域 |
| CallbackFunction | 回呼函式 |
| ClientID | ABAP 用戶端識別碼 (MANDT) |
| CreationDateTime | 建立日期時間 |
| 建立者 | 建立者 |
| CreatorAddress | 建立者位址 |
| ErrorType | 錯誤類型 |
| ExceptionforMethod | 方法的例外狀況 |
| Host | Host |
| 執行個體 | ABAP 實例 (HOST_SYSID_SYSNR),語法如下: <HOST>_<SYSID>_<SYSNR> |
| 語言 | 語言 |
| LogCounter | 記錄計數器 |
| MessageNumber | 訊息編號 |
| MessageType | 訊息類型 |
| MethodUser | 方法使用者 |
| 優先順序 | 優先順序 |
| SimpleContainer | 簡單容器,封裝為工作專案的索引鍵/值實體清單 |
| 狀態 | 狀態 |
| SuperWI | 超級WI |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| TaskID | 工作識別碼 |
| TasksClassification | 工作分類 |
| TaskText | 工作文字 |
| TopTaskID | 最上層工作標識碼 |
| UserCreated | 已建立使用者 |
| WIText | 工作項目文字 |
| WIType | 工作項目類型 |
| WorkflowAction | 工作流程動作 |
| WorkItemID | 工作項目識別碼 |
ABAP WorkProcess 記錄
若要將此記錄傳送至Microsoft Sentinel,您必須 手動將其新增至 systemconfig.json 檔案。 使用建議的程式從入口網站安裝數據連接器代理程式時,不支援此記錄。
用於查詢此記錄的 Microsoft Sentinel 函式:SAPOS_WP
相關 SAP 檔: SAP 說明入口網站
記錄目的:結合所有工作進程記錄。 (預設值:
dev_*)。SAP Control Web 服務提供。 此記錄檔會透過所有客戶端的數據產生。
ABAPOS_WP_CL記錄架構
| 欄位 | 描述 |
|---|---|
| Host | Host |
| 執行個體 | ABAP 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| MessageText | 訊息文字 |
| 嚴重性 | 訊息嚴重性:Debug、、Info、 WarningError |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| WPNumber | 工作程序號碼 |
HANA DB 稽核記錄
收集 HANA DB 稽核記錄是 Sentinel Microsoft 如何收集資料庫層活動的範例。 若要將此記錄傳送至 Microsoft Sentinel,您必須 部署 Azure 監視器代理程式 ,從執行 HANA DB 的電腦收集 Syslog 數據。
Microsoft Sentinel 函式來查詢此記錄檔:SAPSyslog
記錄目的:記錄使用者動作,或 SAP HANA 資料庫中的嘗試動作。 例如,可讓您記錄和監視敏感數據的讀取許可權。
Microsoft Sentinel Linux Agent for Syslog 提供。 此記錄檔會透過所有客戶端的數據產生。
Syslog 記錄架構
| 欄位 | 描述 |
|---|---|
| 電腦 | 主機名稱 |
| HostIP | 主機IP |
| HostName | 主機名稱 |
| ProcessID | 處理序識別碼 |
| ProcessName | 行程名稱: HDB* |
| SeverityLevel | Alert |
| SourceSystem | 來源系統 OS、 Linux |
| SyslogMessage | 訊息,未剖析的稽核線索訊息 |
JAVA 檔案
若要將此記錄傳送至Microsoft Sentinel,您必須 手動將其新增至 systemconfig.json 檔案。 使用建議的程式從入口網站安裝數據連接器代理程式時,不支援此記錄。
Microsoft Sentinel 函式來查詢此記錄檔:SAPJAVAFilesLogs
相關 SAP 檔: 一般 | Java 安全性稽核記錄
記錄用途:結合所有以 Java 檔案為基礎的記錄,包括安全性稽核記錄和系統(叢集和伺服器進程)、效能和閘道記錄。 也包含開發人員追蹤和預設追蹤記錄。
SAP Control Web 服務提供。 此記錄檔會透過所有客戶端的數據產生。
JavaFilesLogsCL 記錄架構
| 欄位 | Description |
|---|---|
| 申請 | Java 應用程式 |
| ClientID | Client ID |
| CSNComponent | CSN 元件,例如 BC-XI-IBD |
| DCComponent | DC 元件,例如 com.sap.xi.util.misc |
| DSRCounter | DSR 計數器 |
| DSRRootContentID | DSR 內容 GUID |
| DSRTransaction | DSR 交易 GUID |
| Host | Host |
| 執行個體 | Java 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| Location | Java 類別 |
| LogName | Java logName,例如: Available、 defaulttrace、 dev*、 security、 等等 |
| MessageText | 訊息文字 |
| MNo | 訊息編號 |
| Pid | 處理序識別碼 |
| 程式 | 計劃名稱 |
| 會議 | 會議 |
| 嚴重性 | 訊息嚴重性,包括: Debug、Info、Warning、Error |
| 解決方案 | 解決方案 |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| 執行緒名稱 | 執行緒名稱 |
| 扔 | 擲回例外狀況 |
| 時區 | 時區 |
| User | User |
SAP 活動訊號記錄檔
Microsoft Sentinel 函式來查詢此記錄檔:SAPConnectorHealth
記錄用途:提供代理程式與不同 SAP 系統之間連線的活動訊號和其他健康情況資訊。
針對 SAP 數據連接器Microsoft Sentinel 的任何代理程式自動建立。
SAP_HeartBeat_CL記錄架構
| 欄位 | 描述 |
|---|---|
| TimeGenerated | 記錄張貼事件的時間 |
| agent_id_s | 代理程式設定中的代理程式識別碼 (自動產生) |
| agent_ver_s | 代理程式版本 |
| host_s | 代理程式的主機名 |
| system_id_s | Netweaver ABAP 系統識別碼 / Netweaver SAPControl 主機 (預覽) / Java SAPControl 主機 (預覽) |
| push_timestamp_d | 根據代理程式的時區,擷取的時間戳 |
| agent_timezone_s | 代理程式的時區 |
直接從 SAP 系統擷取的數據表參考
本節會列出直接從 SAP 系統擷取並內嵌至Microsoft Sentinel 的數據表。
從這些數據表擷取的數據可清楚檢視授權結構、群組成員資格和使用者配置檔。 它也可讓您追蹤授權授與和撤銷的程式,並識別及控管與這些程式相關聯的風險。
下表是啟用可識別具特殊許可權使用者、將用戶對應至角色、群組和授權的函式的必要條件。
如需最佳結果,請使用下表中Microsoft Sentinel 函式名稱數據行中的名稱來參考這些數據表:
| 資料表名稱 | 數據表描述 | Microsoft Sentinel 函式名稱 |
|---|---|---|
| USR01 | 使用者主要記錄 (執行時間資料) | SAP_USR01 |
| USR02 | 登入資料 (內核端使用) | SAP_USR02 |
| UST04 | 用戶主圖形 將用戶對應至配置檔 |
SAP_UST04 |
| AGR_USERS | 將角色指派給使用者 | SAP_AGR_USERS |
| AGR_1251 | 活動群組的授權數據 | SAP_AGR_1251 |
| USGRP_USER | 將使用者指派給使用者群組 | SAP_USGRP_USER |
| USR21 | 使用者名稱/位址金鑰指派 | SAP_USR21 |
| ADR6 | 電子郵件地址(商務地址服務) | SAP_ADR6 |
| USRSTAMP | 使用者所有變更的時間戳 | SAP_USRSTAMP |
| ADCP | 人員/位址指派(商務地址服務) | SAP_ADCP |
| USR05 | 使用者主要參數標識碼 | SAP_USR05 |
| AGR_PROF | 角色的配置檔名稱 | SAP_AGR_PROF |
| AGR_FLAGS | 角色屬性 | SAP_AGR_FLAGS |
| DEVACCESS | 開發用戶的數據表 | SAP_DEVACCESS |
| AGR_DEFINE | 角色定義 | SAP_AGR_DEFINE |
| AGR_AGRS | 複合角色中的角色 | SAP_AGR_AGRS |
| PAHI | 系統、資料庫和 SAP 參數的歷程記錄 | SAP_PAHI |
| SNCSYSACL (預覽) | SNC 存取控制 列表 (ACL): 系統 | SAP_SNCSYSACL |
| USRACL (預覽) | SNC 存取控制 清單 (ACL): 使用者 | SAP_USRACL |
相關內容
如需詳細資訊,請參閱