Bagikan melalui

Memecahkan masalah solusi Microsoft Azure Sentinel Anda untuk penyebaran aplikasi SAP

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Artikel ini mencakup langkah-langkah pemecahan masalah untuk membantu Anda memastikan penyerapan dan pemantauan data yang akurat dan tepat waktu untuk lingkungan SAP Anda dengan Microsoft Sentinel dan agen konektor data.

Prosedur pemecahan masalah yang dipilih hanya relevan saat agen konektor data Anda disebarkan melalui baris perintah. Jika Anda menggunakan prosedur yang direkomendasikan untuk menyebarkan agen dari portal, gunakan portal untuk membuat perubahan konfigurasi apa pun.

Catatan

Artikel ini hanya relevan untuk agen konektor data, dan tidak relevan untuk solusi tanpa agen SAP (pratinjau terbatas).

Perintah Docker yang berguna

Saat memecahkan masalah konektor data Microsoft Azure Sentinel untuk SAP, Anda mungkin menemukan perintah berikut berguna:

Fungsi Perintah
Menghentikan kontainer Docker. docker stop sapcon-[SID]
Memulai kontainer Docker docker start sapcon-[SID]
Melihat log sistem Docker docker logs -f sapcon-[SID]
Memasukkan kontainer Docker docker exec -it sapcon-[SID] bash

Untuk informasi selengkapnya, lihat Dokumentasi CLI Docker.

Meninjau log sistem

Sebaiknya Anda meninjau log sistem setelah menginstal atau mengatur ulang konektor data.

Jalankan:

docker logs -f sapcon-[SID]

Mengaktifkan/menonaktifkan pencetakan mode debug

Prosedur ini hanya didukung jika Anda telah menyebarkan agen konektor data dari baris perintah.

  1. Pada komputer virtual kontainer agen pengumpul data Anda, edit file /opt/sapcon/[SID]/systemconfig.json.

  2. Tentukan bagian Umum jika sebelumnya tidak ditentukan. Di bagian ini, tentukan logging_debug = True untuk mengaktifkan pencetakan mode debug, atau logging_debug = False untuk menonaktifkannya.

    Contohnya:

    [General]
logging_debug = True

  3. Simpan file.

Perubahan berlaku sekitar dua menit setelah Anda menyimpan file. Anda tidak perlu menghidupkan ulang kontainer Docker.

Menampilkan semua log eksekusi kontainer

Log eksekusi konektor untuk solusi Microsoft Azure Sentinel Anda untuk penyebaran konektor data aplikasi SAP disimpan di VM Anda di /opt/sapcon/[SID]/log/. Nama file log OmniLog.log. Riwayat logfiles disimpan, ditampung dengan .[ angka] seperti OmniLog.log.1, OmniLog.log.2, dan sebagainya.

Meninjau dan memperbarui file konfigurasi konektor agen Microsoft Azure Sentinel untuk SAP

Prosedur ini hanya didukung jika Anda telah menyebarkan agen konektor data dari baris perintah. Jika Anda menyebarkan agen melalui portal, terus pertahankan dan ubah pengaturan konfigurasi melalui portal.

Jika Anda menyebarkan melalui baris perintah, lakukan langkah-langkah berikut:

  1. Pada VM Anda, buka file konfigurasi: sapcon/[SID]/systemconfig.json

  2. Perbarui konfigurasi jika diperlukan, dan simpan file. Untuk informasi selengkapnya, lihat solusi Microsoft Azure Sentinel untuk referensi file aplikasi systemconfig.json SAP.

Perubahan berlaku sekitar dua menit setelah Anda menyimpan file. Anda tidak perlu menghidupkan ulang kontainer Docker.

Setel ulang konektor data Microsoft Sentinel untuk SAP

Langkah-langkah berikut akan menyetel ulang konektor dan menyerap ulang log SAP dari periode 30 menit terakhir.

  1. Hentikan konektor. Jalankan:

    docker stop sapcon-[SID]

  2. Hapus file metadata.db dari direktori /opt/sapcon/[SID]. Jalankan:

    cd /opt/sapcon/<SID>
rm metadata.db

    Catatan

    File metadata.db berisi tanda waktu terakhir untuk setiap log, dan akan mencegah terjadinya duplikasi.

  3. Mulai instans konektor kembali. Jalankan:

    docker start sapcon-[SID]

Pastikan untuk Meninjau log sistem setelah Anda selesai.

Masalah umum

Setelah menyebarkan konektor data dan konten keamanan Microsoft Azure Sentinel untuk SAP, Anda mungkin mengalami kesalahan atau masalah berikut:

File SDK SAP yang rusak atau hilang

Kesalahan ini mungkin terjadi ketika konektor gagal melakukan booting dengan PyRfc, atau pesan kesalahan terkait zip ditampilkan.

  1. Pasang kembali SDK SAP.
  2. Verifikasi bahwa Anda adalah versi Linux 64-bit yang benar, seperti nwrfc750P_8-70002752.zip.

Jika Anda telah menginstal konektor data secara manual, pastikan bahwa Anda telah menyalin file{i>

Jalankan:

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

Kesalahan runtime ABAP muncul pada sistem yang besar

Prosedur ini hanya didukung jika Anda telah menyebarkan agen konektor data dari baris perintah.

Jika kesalahan runtime ABAP muncul pada sistem yang besar, coba atur ukuran gugus yang lebih kecil:

  1. Edit file /opt/sapcon/[SID]/systemconfig.json dan di bagian Konfigurasi Konektor tentukan timechunk = 5.

    Contohnya:

    [Connector Configuration]
timechunk = 5

  2. Simpan file.

Perubahan berlaku sekitar dua menit setelah Anda menyimpan file. Anda tidak perlu menghidupkan ulang kontainer Docker.

Catatan

Ukuran timechunk ditentukan dalam menit.

Tidak ada log audit yang diambil kosong, tanpa pesan kesalahan khusus

  1. Periksa apakah log audit sudah diaktifkan di SAP.
  2. Verifikasi transaksi SM19 atau RSAU_CONFIG.
  3. Aktifkan kejadian apa pun sesuai kebutuhan.
  4. Verifikasikan apakah pesan sampai dan ada di SAP SM20 atau RSAU_READ_LOG, tanpa kesalahan khusus apa pun pada log konektor.

ID atau kunci ruang kerja yang salah di brankas kunci

Jika Anda menyadari bahwa Anda memasukkan ID ruang kerja atau kunci yang salah dalam skrip penyebaran Anda, perbarui kredensial yang disimpan di brankas kunci Azure.

Setelah memverifikasi informasi masuk Anda di Azure KeyVault, hidupkan ulang kontainer:

docker restart sapcon-[SID]

Informasi masuk pengguna SAP ABAP salah di brankas kunci

Periksa kredensial Anda dan lakukan perbaikan sesuai kebutuhan dengan menerapkan nilai yang benar ke nilai ABAPUSER dan ABAPPASS di Azure Key Vault.

Kemudian, hidupkan ulang kontainer:

docker restart sapcon-[SID]

Informasi pengguna SAP ABAP yang salah dalam konfigurasi tetap

Bagian ini hanya didukung jika Anda telah menyebarkan agen konektor data dari baris perintah.

Konfigurasi tetap adalah ketika kata sandi disimpan langsung dalam file konfigurasi systemconfig.json .

Jika informasi masuk Anda salah, verifikasi informasi masuk Anda.

Gunakan enkripsi base64 untuk mengenkripsi pengguna dan kata sandi. Anda dapat menggunakan alat enkripsi online untuk mengenkripsi informasi masuk Anda, seperti https://www.base64encode.org/.

Izin ABAP (pengguna SAP) yang hilang

Jika Anda mendapatkan pesan kesalahan yang mirip dengan: ..Tidak ada Otorisasi RFC Backend.., artinya otorisasi SAP dan peran Anda tidak diterapkan dengan benar.

  1. Pastikan bahwa peran MSFTSEN/SENTINEL_CONNECTOR diimpor sebagai bagian dari transportasi ubah permintaan, dan terapkan ke pengguna konektor.

  2. Jalankan proses pembuatan peran dan perbandingan pengguna dengan menggunakan PFCG transaksi SAP.

Data yang hilang di buku kerja atau pemberitahuan Anda

Jika Anda menemukan bahwa Anda kehilangan data di buku kerja atau pemberitahuan Microsoft Azure Sentinel, pastikan bahwa kebijakan Auditlog diaktifkan dengan benar di sisi SAP, tanpa kesalahan dalam file log kontainer.

Gunakan transaksi RSAU_CONFIG_LOG untuk langkah ini.

Untuk informasi selengkapnya, lihat dokumentasi SAP dan Mengumpulkan log audit SAP Hana di Microsoft Azure Sentinel.

Kami menyarankan agar Anda mengonfigurasi audit untuk semua pesan dari log audit, bukan hanya log tertentu. Perbedaan biaya penyerapan umumnya minimal dan data berguna untuk deteksi Microsoft Azure Sentinel dan dalam penyelidikan dan perburuan pasca-kompromi. Untuk informasi selengkapnya, lihat Mengonfigurasi audit SAP.

Alamat IP atau bidang kode transaksi yang hilang di log audit SAP

Dalam sistem SAP dengan versi untuk SAP BASIS 7.5 SP12 ke atas, Microsoft Sentinel dapat mencerminkan bidang tambahan dalam ABAPAuditLog_CL tabel dan SAPAuditLog .

Jika Anda menggunakan versi SAP BASIS yang lebih tinggi dari 7,5 SP12 dan tidak memiliki alamat IP atau bidang kode transaksi di log audit SAP, verifikasi bahwa sistem SAP tempat Anda mengekstrak data berisi permintaan perubahan (transportasi) yang relevan. Untuk informasi selengkapnya, lihat Mengonfigurasi dukungan untuk pengambilan data tambahan (disarankan).

Permintaan perubahan SAP yang hilang

Jika Anda melihat kesalahan permintaan ubah SAP yang diperlukan, pastikan bahwa Anda telah mengimpor permintaan perubahan SAP yang benar untuk sistem Anda. Untuk informasi selengkapnya, lihat prasyarat SAP dan Mengonfigurasi sistem SAP Anda untuk solusi Microsoft Azure Sentinel.

Tidak ada data yang ditampilkan dalam log data tabel SAP

Dalam sistem SAP dengan versi untuk SAP BASIS 7.5 SP12 ke atas, Microsoft Sentinel dapat mencerminkan perubahan log data tabel dalam ABAPTableDataLog_CL tabel.

Jika tidak ada data yang ditampilkan dalam ABAPTableDataLog_CL tabel, verifikasi bahwa sistem SAP tempat Anda mengekstrak data berisi permintaan perubahan (transportasi) yang relevan. Untuk informasi selengkapnya, lihat Mengonfigurasi dukungan untuk pengambilan data tambahan (disarankan).

Tidak ada rekaman / rekaman yang terlambat

Agen pengumpul data bergantung pada informasi zona waktu agar benar. Jika Anda melihat bahwa tidak ada catatan dalam audit SAP dan log perubahan, atau jika rekaman terus-menerus beberapa jam di belakang, periksa apakah laporan SAP TZCUSTHELP menyajikan kesalahan apa pun. Untuk informasi selengkapnya, lihat catatan SAP 481835.

Mungkin juga ada masalah dengan jam pada komputer virtual tempat kontainer agen pengumpul data dihosting, dan penyimpangan apa pun dari jam pada VM dari UTC berdampak pada pengumpulan data. Yang lebih penting lagi, jam pada mesin sistem SAP dan mesin agen pengumpul data harus cocok.

Kami menyarankan agar Anda mengonfigurasi audit untuk semua pesan dari log audit, bukan hanya log tertentu. Perbedaan biaya penyerapan umumnya minimal dan data berguna untuk deteksi Microsoft Azure Sentinel dan dalam penyelidikan dan perburuan pasca-kompromi. Untuk informasi selengkapnya, lihat Mengonfigurasi audit SAP.

Masalah konektivitas jaringan

Jika Anda mengalami masalah konektivitas jaringan ke lingkungan SAP atau ke Microsoft Sentinel, periksa konektivitas jaringan Anda untuk memastikan bahwa data mengalir seperti yang diharapkan.

Masalah umum mencakup:

  • Firewall antara kontainer docker dan host SAP mungkin memblokir lalu lintas. Host SAP menerima komunikasi melalui port TCP berikut, yang harus terbuka: 32xx,5xx13, dan 33xx, dengan xx merupakan nomor instans SAP.

  • Komunikasi keluar dari host agen SAP Anda ke Microsoft Container Registry atau Azure memerlukan konfigurasi proksi. Hal ini biasanya berdampak pada penginstalan dan mengharuskan Anda mengonfigurasi variabel lingkungan HTTP_PROXY dan HTTPS_PROXY. Anda juga dapat melakukan ingest variabel lingkungan ke dalam kontainer docker saat membuat kontainer, dengan menambahkan bendera -e ke perintah create / run docker.

Pengambilan log audit gagal dengan peringatan

Bagian ini hanya didukung jika Anda telah menyebarkan agen konektor data dari baris perintah.

Jika Anda mencoba mengambil log audit tanpa konfigurasi yang diperlukan dan proses gagal dengan peringatan, verifikasi bahwa Auditlog SAP dapat diambil menggunakan salah satu metode berikut:

  • Menggunakan mode kompatibilitas yang disebut sebagai XAL pada versi yang lebih lama
  • Menggunakan versi yang belum lama ini di-patch
  • Tanpa perubahan apa pun yang dibuat untuk menyambungkan ke agen konektor data Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Mengonfigurasi sistem SAP Anda untuk solusi Microsoft Azure Sentinel.

Meskipun sistem Anda harus secara otomatis beralih ke mode kompatibilitas jika diperlukan, Anda mungkin perlu mengalihkannya secara manual. Untuk beralih ke mode kompatibilitas secara manual:

  1. Edit file /opt/sapcon/[SID]/systemconfig.json.

  2. Di bagian Konfigurasi Konektor tentukan: auditlogforcexal = True

    Contohnya:

    [Connector Configuration]
auditlogforcexal = True

  3. Simpan file.

Perubahan berlaku sekitar dua menit setelah Anda menyimpan file. Anda tidak perlu menghidupkan ulang kontainer Docker.

Subsistem SAPCONTROL atau JAVA tidak dapat tersambung

Periksa apakah pengguna OS valid dan dapat menjalankan perintah berikut pada sistem SAP target:

sapcontrol -nr <SID> -function GetSystemInstanceList

Jika subsistem SAPCONTROL atau JAVA Anda gagal dengan pesan kesalahan terkait zona waktu, seperti: Periksa konfigurasi dan akses jaringan ke server SAP - 'Etc/NZST' , pastikan bahwa Anda menggunakan kode zona waktu standar.

Misalnya, gunakan javatz = GMT+12 atau abaptz = GMT-3** .

Data log audit tidak terserap melewati muatan awal

Jika data log audit SAP, terlihat dalam transaksi RSAU_READ_LOAD atau SM200 , tidak diserap ke Microsoft Azure Sentinel melewati beban awal, Anda mungkin memiliki kesalahan konfigurasi sistem SAP dan sistem operasi host SAP.

  • Beban awal diserap setelah penginstalan baru Microsoft Sentinel untuk konektor data SAP, atau setelah file metadata.db dihapus.
  • Contoh kesalahan konfigurasi mungkin terjadi ketika zona waktu sistem SAP Anda diatur ke CET dalam transaksi STZAC, tetapi zona waktu sistem operasi host SAP diatur ke UTC.

Untuk memeriksa kesalahan konfigurasi, jalankan laporan RSDBTIME dalam transaksi SE38. Jika Anda menemukan ketidakcocokan antara sistem SAP dan sistem operasi host SAP:

  1. Hentikan kontainer Docker. jalankan

    docker stop sapcon-[SID]

  2. Hapus file metadata.db dari direktori /opt/sapcon/[SID]. Jalankan:

    rm /opt/sapcon/[SID]/metadata.db

  3. Perbarui sistem SAP dan sistem operasi host SAP sehingga mereka memiliki pengaturan yang cocok, seperti zona waktu yang sama. Untuk informasi selengkapnya, lihat Wiki Komunitas SAP.

  4. Jalankan kembali kontainer. Jalankan:

    docker start sapcon-[SID]

Kesalahan tak terduga lainnya

Jika Anda memiliki masalah tak terduga yang tidak tercantum dalam artikel ini, coba lakukan langkah berikut:

Tip

Mengatur ulang konektor Anda dan memastikan bahwa Anda memiliki peningkatan terbaru juga direkomendasikan setelah terjadi sejumlah perubahan konfigurasi apa pun.

Konten terkait

Pelajari selengkapnya tentang solusi Microsoft Azure Sentinel untuk aplikasi SAP:

File referensi:

Untuk mengetahui informasi selengkapnya, lihat Solusi Microsoft Sentinel.