Microsoft Sentinel-megoldás hibaelhárítása AZ SAP-alkalmazások üzembe helyezéséhez
Ez a cikk hibaelhárítási lépéseket tartalmaz az SAP-környezet pontos és időben történő adatbetöltésének és monitorozásának biztosításához a Microsoft Sentinel és az adatösszekötő-ügynök használatával.
A kiválasztott hibaelhárítási eljárások csak akkor relevánsak, ha az adatösszekötő-ügynököt a parancssoron keresztül telepítik. Ha az ajánlott eljárást használta az ügynök portálról való üzembe helyezéséhez, a portál használatával végezze el a konfigurációs módosításokat.
Feljegyzés
Ez a cikk csak az adatösszekötő-ügynökre vonatkozik, és nem releváns az SAP ügynök nélküli megoldásához (korlátozott előzetes verzió).
Hasznos Docker-parancsok
Az SAP-adatösszekötőhöz készült Microsoft Sentinel hibaelhárítása során a következő parancsok lehetnek hasznosak:
Függvény | Parancs |
---|---|
A Docker-tároló leállítása | docker stop sapcon-[SID] |
A Docker-tároló indítása | docker start sapcon-[SID] |
Docker-rendszernaplók megtekintése | docker logs -f sapcon-[SID] |
Adja meg a Docker-tárolót | docker exec -it sapcon-[SID] bash |
További információkért tekintse meg a Docker CLI dokumentációját.
Rendszernaplók áttekintése
Javasoljuk, hogy az adatösszekötő telepítése vagy alaphelyzetbe állítása után tekintse át a rendszernaplókat.
Futtatás:
docker logs -f sapcon-[SID]
Hibakeresési mód nyomtatásának engedélyezése/letiltása
Ez az eljárás csak akkor támogatott, ha a parancssorból telepítette az adatösszekötő ügynököt.
Az adatgyűjtő ügynök tároló virtuális gépén szerkessze az /opt/sapcon/[SID]/systemconfig.json fájlt.
Adja meg az Általános szakaszt, ha korábban még nem volt definiálva. Ebben a szakaszban definiálja
logging_debug = True
a hibakeresési módú nyomtatás engedélyezését vagylogging_debug = False
letiltását.Példa:
[General] logging_debug = True
Mentse a fájlt.
A módosítás körülbelül két perccel a fájl mentése után lép érvénybe. Nem kell újraindítania a Docker-tárolót.
Az összes tárolóvégrehajtási napló megtekintése
Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás összekötő-végrehajtási naplói az /opt/sapcon/[SID]/log/ fájlban vannak tárolva a virtuális gépen. A naplófájl neve OmniLog.log. A naplófájlok előzményei megmaradnak, utótagja a .[ szám] például OmniLog.log.1, OmniLog.log.2 stb.
Tekintse át és frissítse a Microsoft Sentinel for SAP-ügynök-összekötő konfigurációs fájlját
Ez az eljárás csak akkor támogatott, ha a parancssorból telepítette az adatösszekötő ügynököt. Ha az ügynököt a portálon keresztül telepítette, továbbra is fenntarthatja és módosíthatja a konfigurációs beállításokat a portálon keresztül.
Ha a parancssoron keresztül telepítette, hajtsa végre a következő lépéseket:
Nyissa meg a virtuális gépen a következő konfigurációs fájlt: sapcon/[SID]/systemconfig.json
Szükség esetén frissítse a konfigurációt, és mentse a fájlt. További információ: Microsoft Sentinel megoldás SAP-alkalmazások
systemconfig.json
fájlhivatkozásához.
A módosítás körülbelül két perccel a fájl mentése után lép érvénybe. Nem kell újraindítania a Docker-tárolót.
Az SAP-adatösszekötőhöz készült Microsoft Sentinel alaphelyzetbe állítása
Az alábbi lépések visszaállítják az összekötőt, és az SAP-naplókat az elmúlt 30 percből betöltik.
Állítsa le az összekötőt. Futtatás:
docker stop sapcon-[SID]
Törölje a metadata.db fájlt az /opt/sapcon/[SID] könyvtárból. Futtatás:
cd /opt/sapcon/<SID> rm metadata.db
Feljegyzés
A metadata.db fájl az egyes naplók utolsó időbélyegét tartalmazza, és a duplikációk elkerülése érdekében működik.
Indítsa újra az összekötőt. Futtatás:
docker start sapcon-[SID]
Ha elkészült, ellenőrizze a rendszernaplókat .
Gyakori problémák
Miután üzembe helyezte a Microsoft Sentinelt az SAP-adatösszekötőhöz és a biztonsági tartalmakhoz, a következő hibákat vagy problémákat tapasztalhatja:
Sérült vagy hiányzó SAP SDK-fájl
Ez a hiba akkor fordulhat elő, ha az összekötő nem indul el a PyRfc használatával, vagy a zippel kapcsolatos hibaüzenetek jelennek meg.
- Telepítse újra az SAP SDK-t.
- Győződjön meg arról, hogy Ön a megfelelő 64 bites Linux-verzió, például nwrfc750P_8-70002752.zip.
Ha manuálisan telepítette az adatösszekötőt, győződjön meg arról, hogy az SDK-fájlt átmásolta a Docker-tárolóba.
Futtatás:
docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/
Az ABAP futtatókörnyezet nagy rendszereken megjelenő hibái
Ez az eljárás csak akkor támogatott, ha a parancssorból telepítette az adatösszekötő ügynököt.
Ha nagy rendszereken esetén az ABAP futtatókörnyezet hibái jelennek meg, próbáljon meg kisebb adattömbméretet beállítani:
Szerkessze az /opt/sapcon/[SID]/systemconfig.json fájlt, és az Összekötő konfigurációja szakaszban határozza meg.
timechunk = 5
Példa:
[Connector Configuration] timechunk = 5
Mentse a fájlt.
A módosítás körülbelül két perccel a fájl mentése után lép érvénybe. Nem kell újraindítania a Docker-tárolót.
Feljegyzés
Az időkorlát mérete percekben van meghatározva.
Üres vagy nem lekért napló, speciális hibaüzenetek nélkül
- Ellenőrizze, hogy a naplózás engedélyezve van-e az SAP-ban.
- Ellenőrizze az SM19 vagy RSAU_CONFIG tranzakciókat.
- Szükség szerint engedélyezze az eseményeket.
- Ellenőrizze, hogy érkeznek-e üzenetek és léteznek-e az SAP SM20-ban vagy RSAU_READ_LOG, anélkül, hogy az összekötő naplójában speciális hibák jelennek meg.
Helytelen munkaterület-azonosító vagy kulcs a Key Vaultban
Ha észreveszi, hogy helytelen munkaterület-azonosítót vagy kulcsot adott meg az üzembehelyezési szkriptben, frissítse az Azure Key Vaultban tárolt hitelesítő adatokat.
Miután ellenőrizte hitelesítő adatait az Azure KeyVaultban, indítsa újra a tárolót:
docker restart sapcon-[SID]
Helytelen SAP ABAP-felhasználói hitelesítő adatok a Key Vaultban
Ellenőrizze a hitelesítő adatait, és szükség szerint javítsa ki őket, és alkalmazza a megfelelő értékeket az Azure Key VaultABAPUSER és ABAPPASS értékeire.
Ezután indítsa újra a tárolót:
docker restart sapcon-[SID]
Helytelen SAP ABAP-felhasználói hitelesítő adatok rögzített konfigurációban
Ez a szakasz csak akkor támogatott, ha a parancssorból telepítette az adatösszekötő ügynököt.
A rögzített konfiguráció az, amikor a jelszó közvetlenül a systemconfig.json konfigurációs fájlban van tárolva.
Ha a hitelesítő adatai helytelenek, ellenőrizze a hitelesítő adatait.
Használja a base64 titkosítást a felhasználó és a jelszó titkosításához. Az online titkosítási eszközökkel titkosíthatja a hitelesítő adatait, például https://www.base64encode.org/.
Hiányzó ABAP- (SAP-felhasználó) engedélyek
Ha a következőhöz hasonló hibaüzenetet kap: .. Hiányzó háttérbeli RFC-engedélyezés.., az SAP-engedélyek és a szerepkör nem lett megfelelően alkalmazva.
Győződjön meg arról, hogy az MSFTSEN/SENTINEL_CONNECTOR szerepkör importálása egy módosításikérelem-átvitel részeként történt, és az összekötő felhasználóra lett alkalmazva.
Futtassa a szerepkör-létrehozási és a felhasználó-összehasonlító folyamatot az SAP-tranzakcióhoz kapcsolódó PFCG használatával.
Hiányzó adatok a munkafüzetekben vagy riasztásokban
Ha úgy találja, hogy hiányoznak az adatok a Microsoft Sentinel-munkafüzetekben vagy -riasztásokban, győződjön meg arról, hogy a naplószabályzat megfelelően engedélyezve van az SAP oldalán, a tároló naplófájljában hiba nélkül.
Ehhez a lépéshez használja a RSAU_CONFIG_LOG tranzakciót.
További információkért tekintse meg az SAP dokumentációját és az SAP HANA-naplók gyűjtését a Microsoft Sentinelben.
Azt javasoljuk, hogy csak adott naplók helyett konfigurálja a naplózást a napló összes üzenetéhez. A betöltési költség különbségei általában minimálisak, és az adatok a Microsoft Sentinel észleléseihez, valamint a behatolás utáni vizsgálatokhoz és a veszélyforrás-kereséshez hasznosak. További információkért lásd: SAP-szabályok naplózása.
Hiányzó IP-cím vagy tranzakciókód mező az SAP auditnaplójában
Az SAP BASIS 7.5 SP12 és újabb verzióival rendelkező SAP-rendszerekben a Microsoft Sentinel további mezőket tükrözhet a táblákban és SAPAuditLog
a ABAPAuditLog_CL
táblákban.
Ha 7.5 SP12-nél magasabb verziójú SAP BASIS-t használ, és hiányzik az IP-cím vagy a tranzakciókód mezője az SAP auditnaplójában, ellenőrizze, hogy az az SAP-rendszer, amelyből az adatokat kinyeri, tartalmazza-e a vonatkozó változáskéréseket (átviteleket). További információt a További adatlekérés támogatásának konfigurálása (ajánlott) című témakörben talál.
Hiányzó SAP-módosítási kérelem
Ha hibaüzenet jelenik meg, hogy hiányzik egy szükséges SAP-módosítási kérelem, győződjön meg arról, hogy a megfelelő SAP-módosítási kérelmet importálta a rendszeréhez. További információkért lásd: SAP-előfeltételek és Az SAP-rendszer konfigurálása a Microsoft Sentinel-megoldáshoz.
Az SAP-tábla adatnaplójában nem jelennek meg adatok
Az SAP BASIS 7.5 SP12 és újabb verzióival rendelkező SAP-rendszerekben a Microsoft Sentinel képes tükrözni a tábla adatnaplójának változásait a ABAPTableDataLog_CL
táblában.
Ha a táblában ABAPTableDataLog_CL
nem jelennek meg adatok, ellenőrizze, hogy az az SAP-rendszer, amelyből az adatokat kinyeri, tartalmazza-e a vonatkozó változáskéréseket (átviteleket). További információt a További adatlekérés támogatásának konfigurálása (ajánlott) című témakörben talál.
Nincs rekord / késői rekordok
Az adatgyűjtő ügynök helyes időzóna-információkra támaszkodik. Ha azt látja, hogy nincsenek rekordok az SAP-auditnaplóban és a változásnaplókban, vagy ha a rekordok folyamatosan néhány órát késnek, ellenőrizze, hogy az SAP TZCUSTHELP jelentés hibát jelez-e. További információkért lásd az 481835. számú SAP-jegyzetet.
A problémát az adatgyűjtő ügynök tárolóját futtató virtuális gép órája is okozhatja, és a virtuális gépen az UTC-időtől való eltérés hatással van az adatgyűjtésre. Még ennél is fontosabb, hogy az SAP-rendszert és az adatgyűjtő ügynököt futtató gépeken az óráknak egyezniük kell.
Azt javasoljuk, hogy csak adott naplók helyett konfigurálja a naplózást a napló összes üzenetéhez. A betöltési költség különbségei általában minimálisak, és az adatok a Microsoft Sentinel észleléseihez, valamint a behatolás utáni vizsgálatokhoz és a veszélyforrás-kereséshez hasznosak. További információkért lásd: SAP-szabályok naplózása.
Hálózati kapcsolati problémák
Ha hálózati csatlakozási problémákat tapasztal az SAP-környezethez vagy a Microsoft Sentinelhez, ellenőrizze, hogy az adatok a várt módon haladnak-e.
A gyakori problémák a következők:
A Docker-tároló és az SAP-gazdagépek közötti tűzfalak blokkolhatják a forgalmat. Az SAP-gazdagép a következő TCP-portokon keresztül fogadja a kommunikációt, amelynek nyitva kell lennie: 32xx, 5xx13 és 33xx, ahol xx az SAP-példány száma.
Az SAP-ügynök gazdagépéről a Microsoft Container Registrybe vagy az Azure-ba irányuló kimenő kommunikáció proxykonfigurációt igényel. Ez általában hatással van a telepítésre, és megköveteli a környezeti és
HTTPS_PROXY
környezetiHTTP_PROXY
változók konfigurálását. A környezeti változókat a tároló létrehozásakor a docker-tárolóba is betöltheti, ha hozzáadja a-e
jelölőt a dockercreate
/run
parancshoz.
A napló lekérése figyelmeztetésekkel meghiúsul
Ez a szakasz csak akkor támogatott, ha a parancssorból telepítette az adatösszekötő ügynököt.
Ha a szükséges konfigurációk nélkül próbál naplót lekérni, és a folyamat figyelmeztetésekkel meghiúsul, ellenőrizze, hogy az SAP auditnaplója lekérhető-e az alábbi módszerek egyikével:
- XAL nevű kompatibilitási mód használata a régebbi verziókon
- Nem a közelmúltban javított verzió használata
- A Microsoft Sentinel adatcsatlakozó-ügynökhöz való csatlakozáshoz végrehajtott változtatások nélkül. További információkért lásd: SAP-rendszer konfigurálása a Microsoft Sentinel-megoldáshoz.
Bár a rendszernek szükség esetén automatikusan kompatibilitási módra kell váltania, előfordulhat, hogy manuálisan kell váltania. Manuális váltás a kompatibilitási módra:
Szerkessze az /opt/sapcon/[SID]/systemconfig.json fájlt.
Az Összekötő konfigurációja szakaszban definiálja a következőket:
auditlogforcexal = True
Példa:
[Connector Configuration] auditlogforcexal = True
Mentse a fájlt.
A módosítás körülbelül két perccel a fájl mentése után lép érvénybe. Nem kell újraindítania a Docker-tárolót.
Az SAPCONTROL vagy a JAVA alrendszerek nem tudnak csatlakozni
Ellenőrizze, hogy az operációs rendszer felhasználója érvényes-e, és futtathatja-e a következő parancsot a cél SAP-rendszeren:
sapcontrol -nr <SID> -function GetSystemInstanceList
Az SAPCONTROL vagy a JAVA alrendszer egy időzónával kapcsolatos hibaüzenettel meghiúsul
Ha az SAPCONTROL vagy a JAVA-alrendszer időzónával kapcsolatos hibaüzenettel meghiúsul, például: Ellenőrizze az SAP-kiszolgáló konfigurációját és hálózati hozzáférését - 'Etc/NZST', győződjön meg arról, hogy szabványos időzónakódokat használ.
Például használhatja a következőket: javatz = GMT+12
vagy abaptz = GMT-3**
.
A naplózási napló adatai nem töltik be a korábbi kezdeti terhelést
Ha a RSAU_READ_LOAD- vagy SM200-tranzakciókban látható SAP-naplóadatok nem kerülnek be a Microsoft Sentinelbe a kezdeti terhelésnél, előfordulhat, hogy helytelenül konfigurálja az SAP-rendszert és az SAP-gazdagép operációs rendszerét.
- A kezdeti betöltést a rendszer a Microsoft Sentinel for SAP-adatösszekötő friss telepítése vagy a metadata.db fájl törlése után tölti be.
- A minta helytelen konfigurációja lehet, ha az SAP-rendszer időzónája CET értékre van állítva az STZAC-tranzakcióban, de az SAP-gazdagép operációs rendszer időzónája UTC értékre van állítva.
A helytelen konfigurációk ellenőrzéséhez futtassa az RSDBTIME jelentést a SE38 tranzakcióban. Ha eltérést talál az SAP-rendszer és az SAP-gazdagép operációs rendszere között:
Állítsa le a Docker-tárolót. Futtatás
docker stop sapcon-[SID]
Törölje a metadata.db fájlt az /opt/sapcon/[SID] könyvtárból. Futtatás:
rm /opt/sapcon/[SID]/metadata.db
Frissítse az SAP-rendszert és az SAP-gazdagép operációs rendszerét, hogy egyező beállításokkal rendelkezzenek, például ugyanazzal az időzónával. További információ: SAP Community Wiki.
Indítsa újra a tárolót. Futtatás:
docker start sapcon-[SID]
Egyéb váratlan problémák
Ha a cikkben nem szereplő váratlan problémákat tapasztal, próbálkozzon az alábbi lépésekkel:
- Az összekötő alaphelyzetbe állítása és a naplók újbóli betöltése
- Frissítse az összekötőt a legújabb verzióra.
Tipp.
Az összekötő alaphelyzetbe állítása és annak biztosítása, hogy a legújabb frissítésekkel rendelkezik, a nagyobb konfigurációs módosítások után is ajánlott.
Kapcsolódó tartalom
További információ az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldásról:
- Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz
- A Microsoft Sentinel-megoldás SAP-alkalmazásokhoz való üzembe helyezésének előfeltételei
- SAP-rendszer konfigurálása a Microsoft Sentinel-megoldáshoz
- A megoldás tartalmának üzembe helyezése a tartalomközpontból
- Az SAP-rendszer csatlakoztatása az adatösszekötő-ügynök tároló üzembe helyezésével
- SAP HANA-naplózási naplók gyűjtése
Referenciafájlok:
- Microsoft Sentinel-megoldás SAP-alkalmazásokhoz – megoldásadatok referenciája
- Microsoft Sentinel-megoldás SAP-alkalmazásokhoz: biztonsági tartalom referenciája
- Indítási szkript referenciája
- Szkripthivatkozás frissítése
-
Microsoft Sentinel-megoldás SAP-alkalmazások
systemconfig.json
fájlhivatkozásához
További információ: Microsoft Sentinel-megoldások.