Megosztás a következőn keresztül:


Microsoft Sentinel-megoldás hibaelhárítása AZ SAP-alkalmazások üzembe helyezéséhez

Ez a cikk hibaelhárítási lépéseket tartalmaz az SAP-környezet pontos és időben történő adatbetöltésének és monitorozásának biztosításához a Microsoft Sentinel és az adatösszekötő-ügynök használatával.

A kiválasztott hibaelhárítási eljárások csak akkor relevánsak, ha az adatösszekötő-ügynököt a parancssoron keresztül telepítik. Ha az ajánlott eljárást használta az ügynök portálról való üzembe helyezéséhez, a portál használatával végezze el a konfigurációs módosításokat.

Feljegyzés

Ez a cikk csak az adatösszekötő-ügynökre vonatkozik, és nem releváns az SAP ügynök nélküli megoldásához (korlátozott előzetes verzió).

Hasznos Docker-parancsok

Az SAP-adatösszekötőhöz készült Microsoft Sentinel hibaelhárítása során a következő parancsok lehetnek hasznosak:

Függvény Parancs
A Docker-tároló leállítása docker stop sapcon-[SID]
A Docker-tároló indítása docker start sapcon-[SID]
Docker-rendszernaplók megtekintése docker logs -f sapcon-[SID]
Adja meg a Docker-tárolót docker exec -it sapcon-[SID] bash

További információkért tekintse meg a Docker CLI dokumentációját.

Rendszernaplók áttekintése

Javasoljuk, hogy az adatösszekötő telepítése vagy alaphelyzetbe állítása után tekintse át a rendszernaplókat.

Futtatás:

docker logs -f sapcon-[SID]

Hibakeresési mód nyomtatásának engedélyezése/letiltása

Ez az eljárás csak akkor támogatott, ha a parancssorból telepítette az adatösszekötő ügynököt.

  1. Az adatgyűjtő ügynök tároló virtuális gépén szerkessze az /opt/sapcon/[SID]/systemconfig.json fájlt.

  2. Adja meg az Általános szakaszt, ha korábban még nem volt definiálva. Ebben a szakaszban definiálja logging_debug = True a hibakeresési módú nyomtatás engedélyezését vagy logging_debug = False letiltását.

    Példa:

    [General]
    logging_debug = True
    
  3. Mentse a fájlt.

A módosítás körülbelül két perccel a fájl mentése után lép érvénybe. Nem kell újraindítania a Docker-tárolót.

Az összes tárolóvégrehajtási napló megtekintése

Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás összekötő-végrehajtási naplói az /opt/sapcon/[SID]/log/ fájlban vannak tárolva a virtuális gépen. A naplófájl neve OmniLog.log. A naplófájlok előzményei megmaradnak, utótagja a .[ szám] például OmniLog.log.1, OmniLog.log.2 stb.

Tekintse át és frissítse a Microsoft Sentinel for SAP-ügynök-összekötő konfigurációs fájlját

Ez az eljárás csak akkor támogatott, ha a parancssorból telepítette az adatösszekötő ügynököt. Ha az ügynököt a portálon keresztül telepítette, továbbra is fenntarthatja és módosíthatja a konfigurációs beállításokat a portálon keresztül.

Ha a parancssoron keresztül telepítette, hajtsa végre a következő lépéseket:

  1. Nyissa meg a virtuális gépen a következő konfigurációs fájlt: sapcon/[SID]/systemconfig.json

  2. Szükség esetén frissítse a konfigurációt, és mentse a fájlt. További információ: Microsoft Sentinel megoldás SAP-alkalmazások systemconfig.json fájlhivatkozásához.

A módosítás körülbelül két perccel a fájl mentése után lép érvénybe. Nem kell újraindítania a Docker-tárolót.

Az SAP-adatösszekötőhöz készült Microsoft Sentinel alaphelyzetbe állítása

Az alábbi lépések visszaállítják az összekötőt, és az SAP-naplókat az elmúlt 30 percből betöltik.

  1. Állítsa le az összekötőt. Futtatás:

    docker stop sapcon-[SID]
    
  2. Törölje a metadata.db fájlt az /opt/sapcon/[SID] könyvtárból. Futtatás:

    cd /opt/sapcon/<SID>
    rm metadata.db
    

    Feljegyzés

    A metadata.db fájl az egyes naplók utolsó időbélyegét tartalmazza, és a duplikációk elkerülése érdekében működik.

  3. Indítsa újra az összekötőt. Futtatás:

    docker start sapcon-[SID]
    

Ha elkészült, ellenőrizze a rendszernaplókat .

Gyakori problémák

Miután üzembe helyezte a Microsoft Sentinelt az SAP-adatösszekötőhöz és a biztonsági tartalmakhoz, a következő hibákat vagy problémákat tapasztalhatja:

Sérült vagy hiányzó SAP SDK-fájl

Ez a hiba akkor fordulhat elő, ha az összekötő nem indul el a PyRfc használatával, vagy a zippel kapcsolatos hibaüzenetek jelennek meg.

  1. Telepítse újra az SAP SDK-t.
  2. Győződjön meg arról, hogy Ön a megfelelő 64 bites Linux-verzió, például nwrfc750P_8-70002752.zip.

Ha manuálisan telepítette az adatösszekötőt, győződjön meg arról, hogy az SDK-fájlt átmásolta a Docker-tárolóba.

Futtatás:

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

Az ABAP futtatókörnyezet nagy rendszereken megjelenő hibái

Ez az eljárás csak akkor támogatott, ha a parancssorból telepítette az adatösszekötő ügynököt.

Ha nagy rendszereken esetén az ABAP futtatókörnyezet hibái jelennek meg, próbáljon meg kisebb adattömbméretet beállítani:

  1. Szerkessze az /opt/sapcon/[SID]/systemconfig.json fájlt, és az Összekötő konfigurációja szakaszban határozza meg.timechunk = 5

    Példa:

    [Connector Configuration]
    timechunk = 5
    
  2. Mentse a fájlt.

A módosítás körülbelül két perccel a fájl mentése után lép érvénybe. Nem kell újraindítania a Docker-tárolót.

Feljegyzés

Az időkorlát mérete percekben van meghatározva.

Üres vagy nem lekért napló, speciális hibaüzenetek nélkül

  1. Ellenőrizze, hogy a naplózás engedélyezve van-e az SAP-ban.
  2. Ellenőrizze az SM19 vagy RSAU_CONFIG tranzakciókat.
  3. Szükség szerint engedélyezze az eseményeket.
  4. Ellenőrizze, hogy érkeznek-e üzenetek és léteznek-e az SAP SM20-ban vagy RSAU_READ_LOG, anélkül, hogy az összekötő naplójában speciális hibák jelennek meg.

Helytelen munkaterület-azonosító vagy kulcs a Key Vaultban

Ha észreveszi, hogy helytelen munkaterület-azonosítót vagy kulcsot adott meg az üzembehelyezési szkriptben, frissítse az Azure Key Vaultban tárolt hitelesítő adatokat.

Miután ellenőrizte hitelesítő adatait az Azure KeyVaultban, indítsa újra a tárolót:

docker restart sapcon-[SID]

Helytelen SAP ABAP-felhasználói hitelesítő adatok a Key Vaultban

Ellenőrizze a hitelesítő adatait, és szükség szerint javítsa ki őket, és alkalmazza a megfelelő értékeket az Azure Key VaultABAPUSER és ABAPPASS értékeire.

Ezután indítsa újra a tárolót:

docker restart sapcon-[SID]

Helytelen SAP ABAP-felhasználói hitelesítő adatok rögzített konfigurációban

Ez a szakasz csak akkor támogatott, ha a parancssorból telepítette az adatösszekötő ügynököt.

A rögzített konfiguráció az, amikor a jelszó közvetlenül a systemconfig.json konfigurációs fájlban van tárolva.

Ha a hitelesítő adatai helytelenek, ellenőrizze a hitelesítő adatait.

Használja a base64 titkosítást a felhasználó és a jelszó titkosításához. Az online titkosítási eszközökkel titkosíthatja a hitelesítő adatait, például https://www.base64encode.org/.

Hiányzó ABAP- (SAP-felhasználó) engedélyek

Ha a következőhöz hasonló hibaüzenetet kap: .. Hiányzó háttérbeli RFC-engedélyezés.., az SAP-engedélyek és a szerepkör nem lett megfelelően alkalmazva.

  1. Győződjön meg arról, hogy az MSFTSEN/SENTINEL_CONNECTOR szerepkör importálása egy módosításikérelem-átvitel részeként történt, és az összekötő felhasználóra lett alkalmazva.

  2. Futtassa a szerepkör-létrehozási és a felhasználó-összehasonlító folyamatot az SAP-tranzakcióhoz kapcsolódó PFCG használatával.

Hiányzó adatok a munkafüzetekben vagy riasztásokban

Ha úgy találja, hogy hiányoznak az adatok a Microsoft Sentinel-munkafüzetekben vagy -riasztásokban, győződjön meg arról, hogy a naplószabályzat megfelelően engedélyezve van az SAP oldalán, a tároló naplófájljában hiba nélkül.

Ehhez a lépéshez használja a RSAU_CONFIG_LOG tranzakciót.

További információkért tekintse meg az SAP dokumentációját és az SAP HANA-naplók gyűjtését a Microsoft Sentinelben.

Azt javasoljuk, hogy csak adott naplók helyett konfigurálja a naplózást a napló összes üzenetéhez. A betöltési költség különbségei általában minimálisak, és az adatok a Microsoft Sentinel észleléseihez, valamint a behatolás utáni vizsgálatokhoz és a veszélyforrás-kereséshez hasznosak. További információkért lásd: SAP-szabályok naplózása.

Hiányzó IP-cím vagy tranzakciókód mező az SAP auditnaplójában

Az SAP BASIS 7.5 SP12 és újabb verzióival rendelkező SAP-rendszerekben a Microsoft Sentinel további mezőket tükrözhet a táblákban és SAPAuditLog a ABAPAuditLog_CL táblákban.

Ha 7.5 SP12-nél magasabb verziójú SAP BASIS-t használ, és hiányzik az IP-cím vagy a tranzakciókód mezője az SAP auditnaplójában, ellenőrizze, hogy az az SAP-rendszer, amelyből az adatokat kinyeri, tartalmazza-e a vonatkozó változáskéréseket (átviteleket). További információt a További adatlekérés támogatásának konfigurálása (ajánlott) című témakörben talál.

Hiányzó SAP-módosítási kérelem

Ha hibaüzenet jelenik meg, hogy hiányzik egy szükséges SAP-módosítási kérelem, győződjön meg arról, hogy a megfelelő SAP-módosítási kérelmet importálta a rendszeréhez. További információkért lásd: SAP-előfeltételek és Az SAP-rendszer konfigurálása a Microsoft Sentinel-megoldáshoz.

Az SAP-tábla adatnaplójában nem jelennek meg adatok

Az SAP BASIS 7.5 SP12 és újabb verzióival rendelkező SAP-rendszerekben a Microsoft Sentinel képes tükrözni a tábla adatnaplójának változásait a ABAPTableDataLog_CL táblában.

Ha a táblában ABAPTableDataLog_CL nem jelennek meg adatok, ellenőrizze, hogy az az SAP-rendszer, amelyből az adatokat kinyeri, tartalmazza-e a vonatkozó változáskéréseket (átviteleket). További információt a További adatlekérés támogatásának konfigurálása (ajánlott) című témakörben talál.

Nincs rekord / késői rekordok

Az adatgyűjtő ügynök helyes időzóna-információkra támaszkodik. Ha azt látja, hogy nincsenek rekordok az SAP-auditnaplóban és a változásnaplókban, vagy ha a rekordok folyamatosan néhány órát késnek, ellenőrizze, hogy az SAP TZCUSTHELP jelentés hibát jelez-e. További információkért lásd az 481835. számú SAP-jegyzetet.

A problémát az adatgyűjtő ügynök tárolóját futtató virtuális gép órája is okozhatja, és a virtuális gépen az UTC-időtől való eltérés hatással van az adatgyűjtésre. Még ennél is fontosabb, hogy az SAP-rendszert és az adatgyűjtő ügynököt futtató gépeken az óráknak egyezniük kell.

Azt javasoljuk, hogy csak adott naplók helyett konfigurálja a naplózást a napló összes üzenetéhez. A betöltési költség különbségei általában minimálisak, és az adatok a Microsoft Sentinel észleléseihez, valamint a behatolás utáni vizsgálatokhoz és a veszélyforrás-kereséshez hasznosak. További információkért lásd: SAP-szabályok naplózása.

Hálózati kapcsolati problémák

Ha hálózati csatlakozási problémákat tapasztal az SAP-környezethez vagy a Microsoft Sentinelhez, ellenőrizze, hogy az adatok a várt módon haladnak-e.

A gyakori problémák a következők:

  • A Docker-tároló és az SAP-gazdagépek közötti tűzfalak blokkolhatják a forgalmat. Az SAP-gazdagép a következő TCP-portokon keresztül fogadja a kommunikációt, amelynek nyitva kell lennie: 32xx, 5xx13 és 33xx, ahol xx az SAP-példány száma.

  • Az SAP-ügynök gazdagépéről a Microsoft Container Registrybe vagy az Azure-ba irányuló kimenő kommunikáció proxykonfigurációt igényel. Ez általában hatással van a telepítésre, és megköveteli a környezeti és HTTPS_PROXY környezeti HTTP_PROXY változók konfigurálását. A környezeti változókat a tároló létrehozásakor a docker-tárolóba is betöltheti, ha hozzáadja a -e jelölőt a docker create / run parancshoz.

A napló lekérése figyelmeztetésekkel meghiúsul

Ez a szakasz csak akkor támogatott, ha a parancssorból telepítette az adatösszekötő ügynököt.

Ha a szükséges konfigurációk nélkül próbál naplót lekérni, és a folyamat figyelmeztetésekkel meghiúsul, ellenőrizze, hogy az SAP auditnaplója lekérhető-e az alábbi módszerek egyikével:

  • XAL nevű kompatibilitási mód használata a régebbi verziókon
  • Nem a közelmúltban javított verzió használata
  • A Microsoft Sentinel adatcsatlakozó-ügynökhöz való csatlakozáshoz végrehajtott változtatások nélkül. További információkért lásd: SAP-rendszer konfigurálása a Microsoft Sentinel-megoldáshoz.

Bár a rendszernek szükség esetén automatikusan kompatibilitási módra kell váltania, előfordulhat, hogy manuálisan kell váltania. Manuális váltás a kompatibilitási módra:

  1. Szerkessze az /opt/sapcon/[SID]/systemconfig.json fájlt.

  2. Az Összekötő konfigurációja szakaszban definiálja a következőket:auditlogforcexal = True

    Példa:

    [Connector Configuration]
    auditlogforcexal = True
    
  3. Mentse a fájlt.

A módosítás körülbelül két perccel a fájl mentése után lép érvénybe. Nem kell újraindítania a Docker-tárolót.

Az SAPCONTROL vagy a JAVA alrendszerek nem tudnak csatlakozni

Ellenőrizze, hogy az operációs rendszer felhasználója érvényes-e, és futtathatja-e a következő parancsot a cél SAP-rendszeren:

sapcontrol -nr <SID> -function GetSystemInstanceList

Ha az SAPCONTROL vagy a JAVA-alrendszer időzónával kapcsolatos hibaüzenettel meghiúsul, például: Ellenőrizze az SAP-kiszolgáló konfigurációját és hálózati hozzáférését - 'Etc/NZST', győződjön meg arról, hogy szabványos időzónakódokat használ.

Például használhatja a következőket: javatz = GMT+12 vagy abaptz = GMT-3**.

A naplózási napló adatai nem töltik be a korábbi kezdeti terhelést

Ha a RSAU_READ_LOAD- vagy SM200-tranzakciókban látható SAP-naplóadatok nem kerülnek be a Microsoft Sentinelbe a kezdeti terhelésnél, előfordulhat, hogy helytelenül konfigurálja az SAP-rendszert és az SAP-gazdagép operációs rendszerét.

  • A kezdeti betöltést a rendszer a Microsoft Sentinel for SAP-adatösszekötő friss telepítése vagy a metadata.db fájl törlése után tölti be.
  • A minta helytelen konfigurációja lehet, ha az SAP-rendszer időzónája CET értékre van állítva az STZAC-tranzakcióban, de az SAP-gazdagép operációs rendszer időzónája UTC értékre van állítva.

A helytelen konfigurációk ellenőrzéséhez futtassa az RSDBTIME jelentést a SE38 tranzakcióban. Ha eltérést talál az SAP-rendszer és az SAP-gazdagép operációs rendszere között:

  1. Állítsa le a Docker-tárolót. Futtatás

    docker stop sapcon-[SID]
    
  2. Törölje a metadata.db fájlt az /opt/sapcon/[SID] könyvtárból. Futtatás:

    rm /opt/sapcon/[SID]/metadata.db
    
  3. Frissítse az SAP-rendszert és az SAP-gazdagép operációs rendszerét, hogy egyező beállításokkal rendelkezzenek, például ugyanazzal az időzónával. További információ: SAP Community Wiki.

  4. Indítsa újra a tárolót. Futtatás:

    docker start sapcon-[SID]
    

Egyéb váratlan problémák

Ha a cikkben nem szereplő váratlan problémákat tapasztal, próbálkozzon az alábbi lépésekkel:

Tipp.

Az összekötő alaphelyzetbe állítása és annak biztosítása, hogy a legújabb frissítésekkel rendelkezik, a nagyobb konfigurációs módosítások után is ajánlott.

További információ az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldásról:

Referenciafájlok:

További információ: Microsoft Sentinel-megoldások.