Aracılığıyla paylaş

SAP uygulamaları dağıtımı için Microsoft Sentinel çözümünüzün sorunlarını giderme

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Bu makale, Microsoft Sentinel ve veri bağlayıcısı aracısı ile SAP ortamınız için doğru ve zamanında veri alımı ve izlemesi sağlamanıza yardımcı olacak sorun giderme adımlarını içerir.

Seçilen sorun giderme yordamları yalnızca veri bağlayıcısı aracınız komut satırı aracılığıyla dağıtıldığında geçerlidir. Aracıyı portaldan dağıtmak için önerilen yordamı kullandıysanız, yapılandırma değişikliklerini yapmak için portalı kullanın.

Not

Bu makale yalnızca veri bağlayıcısı aracısı için geçerlidir ve SAP aracısız çözümü (sınırlı önizleme) ile ilgili değildir.

Yararlı Docker komutları

SAP veri bağlayıcısı için Microsoft Sentinel'inizin sorunlarını giderirken aşağıdaki komutları yararlı bulabilirsiniz:

İşlev Command
Docker kapsayıcısını durdurma docker stop sapcon-[SID]
Docker kapsayıcısını başlatma docker start sapcon-[SID]
Docker sistem günlüklerini görüntüleme docker logs -f sapcon-[SID]
Docker kapsayıcısını girin docker exec -it sapcon-[SID] bash

Daha fazla bilgi için Docker CLI belgelerine bakın.

Sistem günlüklerini gözden geçirme

Veri bağlayıcısını yükledikten veya sıfırladıktan sonra sistem günlüklerini gözden geçirmenizi kesinlikle öneririz.

Çalıştır:

docker logs -f sapcon-[SID]

Hata ayıklama modunu yazdırmayı etkinleştirme/devre dışı bırakma

Bu yordam yalnızca veri bağlayıcısı aracısını komut satırından dağıttıysanız desteklenir.

  1. Veri toplayıcı aracısı kapsayıcı sanal makinenizde /opt/sapcon/[SID]/systemconfig.json dosyasını düzenleyin.

  2. Daha önce tanımlanmamışsa Genel bölümünü tanımlayın. Bu bölümde, hata ayıklama modunu yazdırmayı etkinleştirmek veya logging_debug = False devre dışı bırakmak için tanımlayınlogging_debug = True.

    Örneğin:

    [General]
logging_debug = True

  3. Dosyayı kaydedin.

Değişiklik, dosyayı kaydettikten yaklaşık iki dakika sonra geçerli olur. Docker kapsayıcısını yeniden başlatmanız gerekmez.

Tüm kapsayıcı yürütme günlüklerini görüntüleme

SAP uygulamaları için Microsoft Sentinel çözümünüz için bağlayıcı yürütme günlükleri veri bağlayıcısı dağıtımı VM'nizde /opt/sapcon/[SID]/log/ içinde depolanır. Günlük dosya adı OmniLog.log. Logfiles geçmişi tutulur, .[ ile soneki eklenir number] örneğin OmniLog.log.1, OmniLog.log.2 vb.

SAP aracısı bağlayıcısı yapılandırma dosyası için Microsoft Sentinel'i gözden geçirin ve güncelleştirin

Bu yordam yalnızca veri bağlayıcısı aracısını komut satırından dağıttıysanız desteklenir. Aracınızı portal aracılığıyla dağıttıysanız , portal aracılığıyla yapılandırma ayarlarını korumaya ve değiştirmeye devam edin.

Komut satırı aracılığıyla dağıttıysanız aşağıdaki adımları gerçekleştirin:

  1. VM'nizde şu yapılandırma dosyasını açın: sapcon/[SID]/systemconfig.json

  2. Gerekirse yapılandırmayı güncelleştirin ve dosyayı kaydedin. Daha fazla bilgi için bkz . SAP uygulamaları systemconfig.json için Microsoft Sentinel çözümü dosya başvurusu.

Değişiklik, dosyayı kaydettikten yaklaşık iki dakika sonra geçerli olur. Docker kapsayıcısını yeniden başlatmanız gerekmez.

SAP veri bağlayıcısı için Microsoft Sentinel'i sıfırlama

Aşağıdaki adımlar bağlayıcıyı sıfırlar ve son 30 dakikadaki SAP günlüklerini yeniden oluşturur.

  1. Bağlayıcıyı durdurun. Çalıştır:

    docker stop sapcon-[SID]

  2. /opt/sapcon/[SID] dizininden metadata.db dosyasını silin. Çalıştır:

    cd /opt/sapcon/<SID>
rm metadata.db

    Not

    metadata.db dosyası günlüklerin her biri için son zaman damgasını içerir ve yinelenenleri önlemeye çalışır.

  3. Bağlayıcıyı yeniden başlatın. Çalıştır:

    docker start sapcon-[SID]

İşiniz bittiğinde Sistem günlüklerini gözden geçirmeyi unutmayın.

Genel sorunlar

SAP için Microsoft Sentinel veri bağlayıcısını ve güvenlik içeriğini dağıttıktan sonra aşağıdaki hatalarla veya sorunlarla karşılaşabilirsiniz:

SAP SDK dosyası bozuk veya eksik

Bu hata, bağlayıcı PyRfc ile önyükleme yapamadığında veya zip ile ilgili hata iletileri gösterildiğinde ortaya çıkabilir.

  1. SAP SDK'yı yeniden yükleyin.
  2. nwrfc750P_8-70002752.zip gibi doğru Linux 64 bit sürümü olduğunuzu doğrulayın.

Veri bağlayıcısını el ile yüklediyseniz SDK dosyasını Docker kapsayıcısına kopyaladığınızdan emin olun.

Çalıştır:

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

Büyük bir sistemde ABAP çalışma zamanı hataları görünüyor

Bu yordam yalnızca veri bağlayıcısı aracısını komut satırından dağıttıysanız desteklenir.

Büyük sistemlerde ABAP çalışma zamanı hataları görünüyorsa daha küçük bir öbek boyutu ayarlamayı deneyin:

  1. /opt/sapcon/[SID]/systemconfig.json dosyasını düzenleyin ve Bağlayıcı Yapılandırması bölümünde öğesini tanımlayıntimechunk = 5.

    Örneğin:

    [Connector Configuration]
timechunk = 5

  2. Dosyayı kaydedin.

Değişiklik, dosyayı kaydettikten yaklaşık iki dakika sonra geçerli olur. Docker kapsayıcısını yeniden başlatmanız gerekmez.

Not

Timechunk boyutu dakika cinsinden tanımlanır.

Özel hata iletileri olmadan boş veya hiç denetim günlüğü alınmadı

  1. SAP'de denetim günlüğünün etkinleştirilip etkinleştirilmediğini denetleyin.
  2. SM19 veya RSAU_CONFIG işlemlerini doğrulayın.
  3. Gerektiğinde tüm olayları etkinleştirin.
  4. bağlayıcı günlüğünde özel bir hata görünmeden iletilerin SAP SM20 veya RSAU_READ_LOG ulaşıp ulaşmadığını doğrulayın.

Anahtar kasasında yanlış çalışma alanı kimliği veya anahtarı

Dağıtım betiğinizde yanlış bir çalışma alanı kimliği veya anahtarı girdiğinizi fark ederseniz Azure anahtar kasasında depolanan kimlik bilgilerini güncelleştirin.

Azure KeyVault'ta kimlik bilgilerinizi doğruladıktan sonra kapsayıcıyı yeniden başlatın:

docker restart sapcon-[SID]

Anahtar kasasında yanlış SAP ABAP kullanıcı kimlik bilgileri

Azure Key Vault'taki ABAPUSER ve ABAPPASS değerlerine doğru değerleri uygulayarak kimlik bilgilerinizi denetleyin ve gerektiğinde düzeltin.

Ardından kapsayıcıyı yeniden başlatın:

docker restart sapcon-[SID]

Sabit bir yapılandırmada yanlış SAP ABAP kullanıcı kimlik bilgileri

Bu bölüm yalnızca veri bağlayıcısı aracısını komut satırından dağıttıysanız desteklenir.

Sabit yapılandırma, parolanın doğrudan systemconfig.json yapılandırma dosyasında depolanmasıdır.

Kimlik bilgileriniz yanlışsa, kimlik bilgilerinizi doğrulayın.

Kullanıcı ve parolayı şifrelemek için base64 şifrelemesini kullanın. Kimlik bilgilerinizi şifrelemek için çevrimiçi şifreleme araçlarını kullanabilirsiniz, örneğin https://www.base64encode.org/.

Eksik ABAP (SAP kullanıcısı) izinleri

..Arka Uç RFC Yetkilendirmesi eksik.. benzeri bir hata iletisi alırsanız SAP yetkilendirmeleriniz ve rolünüz düzgün uygulanmamıştır.

  1. MSFTSEN/SENTINEL_CONNECTOR rolünün bir değişiklik isteği aktarımının parçası olarak içeri aktarıldığından ve bağlayıcı kullanıcısına uygulandığından emin olun.

  2. SAP işlemi PFCG'sini kullanarak rol oluşturma ve kullanıcı karşılaştırma işlemini çalıştırın.

Çalışma kitaplarınızda veya uyarılarınızda eksik veriler

Microsoft Sentinel çalışma kitaplarınızda veya uyarılarınızda veri eksik olduğunu fark ederseniz, Denetim günlüğü ilkesinin SAP tarafında düzgün bir şekilde etkinleştirildiğinden ve kapsayıcı günlüğü dosyasında hata olmadığından emin olun.

Bu adım için RSAU_CONFIG_LOG işlemini kullanın.

Daha fazla bilgi için SAP belgelerine ve Microsoft Sentinel'de SAP HANA denetim günlüklerini toplama bölümüne bakın.

Yalnızca belirli günlükler yerine denetim günlüğündeki tüm iletiler için denetimi yapılandırmanızı öneririz. Alım maliyeti farklılıkları genellikle en düşük düzeydedir ve veriler Microsoft Sentinel algılamaları ve güvenlik ihlalleri sonrası araştırmalarda ve tehdit avcılığında kullanışlıdır. Daha fazla bilgi için bkz. SAP denetimini yapılandırma.

SAP denetim günlüğünde eksik IP adresi veya işlem kodu alanları

SAP BASIS 7.5 SP12 ve üzeri sürümleri olan SAP sistemlerinde, Microsoft Sentinel ve SAPAuditLog tablolarındaki ABAPAuditLog_CL ek alanları yansıtabilir.

7.5 SP12'den yüksek SAP BASIS sürümlerini kullanıyorsanız ve SAP denetim günlüğünde IP adresi veya işlem kodu alanları eksikse verileri ayıkladığınız SAP sisteminin ilgili değişiklik isteklerini (aktarımları) içerdiğini doğrulayın. Daha fazla bilgi için Ek veri alma desteğinin yapılandırılması (önerilir) bölümüne bakın.

Eksik SAP değişiklik isteği

Gerekli bir SAP değişiklik isteğinin eksik olduğunu belirten hatalar görürseniz sisteminiz için doğru SAP değişiklik isteğini içeri aktardığınızdan emin olun. Daha fazla bilgi için SAP önkoşulları ve SAP sisteminizi Microsoft Sentinel çözümü için yapılandırma bölümlerine bakın.

SAP tablosu veri günlüğünde hiçbir veri gösteril mi?

SAP BASIS 7.5 SP12 ve üzeri sürümleri olan SAP sistemlerinde Microsoft Sentinel tablodaki ABAPTableDataLog_CL tablo veri günlüğü değişikliklerini yansıtabilir.

Tabloda veri gösterilmiyorsa ABAPTableDataLog_CL , verileri ayıkladığınız SAP sisteminin ilgili değişiklik isteklerini (aktarımları) içerdiğini doğrulayın. Daha fazla bilgi için Ek veri alma desteğinin yapılandırılması (önerilir) bölümüne bakın.

Kayıt yok/geç kayıt

Veri toplayıcı aracısı, saat dilimi bilgilerinin doğruluğuna güvenir. SAP denetim ve değişiklik günlüklerinde kayıt olmadığını görürseniz veya kayıtlar sürekli olarak birkaç saat gerideyse, SAP TZCUSTHELP raporunda herhangi bir hata olup olmadığını denetleyin. Daha fazla bilgi için bkz. SAP notu 481835.

Ayrıca veri toplayıcı aracı kapsayıcısının barındırıldığı sanal makinedeki saatle ilgili sorunlar olabilir ve VM üzerindeki UTC saatinden her türlü sapma, veri toplamayı etkiler. Daha da önemlisi, hem SAP sistem makinelerindeki hem de veri toplayıcı aracı makinelerindeki saatler eşleşmelidir.

Yalnızca belirli günlükler yerine denetim günlüğündeki tüm iletiler için denetimi yapılandırmanızı öneririz. Alım maliyeti farklılıkları genellikle en düşük düzeydedir ve veriler Microsoft Sentinel algılamaları ve güvenlik ihlalleri sonrası araştırmalarda ve tehdit avcılığında kullanışlıdır. Daha fazla bilgi için bkz. SAP denetimini yapılandırma.

Ağ bağlantısı sorunları

SAP ortamına veya Microsoft Sentinel'e ağ bağlantısı sorunları yaşıyorsanız verilerin beklendiği gibi akıp aktığından emin olmak için ağ bağlantınızı denetleyin.

Sık karşılaşılan sorunlar şunlardır:

  • Docker kapsayıcısı ile SAP konakları arasındaki güvenlik duvarları trafiği engelliyor olabilir. SAP konağı, açık olması gereken şu TCP bağlantı noktaları aracılığıyla iletişim alır: 32xx, 5xx13 ve 33xx; burada xx , SAP örnek numarasıdır.

  • SAP aracısı ana bilgisayarınızdan Microsoft Container Registry veya Azure'a giden iletişim proxy yapılandırması gerektirir. Bu genellikle yüklemeyi etkiler ve ve HTTPS_PROXY ortam değişkenlerini yapılandırmanızı HTTP_PROXY gerektirir. Ayrıca kapsayıcıyı oluştururken docker komutuna bayrağını ekleyerek -e ortam değişkenlerini docker create / run kapsayıcısına alabilirsiniz.

Denetim günlüğünü alma işlemi uyarılarla başarısız oluyor

Bu bölüm yalnızca veri bağlayıcısı aracısını komut satırından dağıttıysanız desteklenir.

Gerekli yapılandırmalar olmadan bir denetim günlüğü almayı denerseniz ve işlem uyarılarla başarısız olursa, SAP Auditlog'un aşağıdaki yöntemlerden biri kullanılarak alınabildiğini doğrulayın:

Sisteminizin gerektiğinde otomatik olarak uyumluluk moduna geçmesi gerekse de bunu el ile değiştirmeniz gerekebilir. Uyumluluk moduna el ile geçmek için:

  1. /opt/sapcon/[SID]/systemconfig.json dosyasını düzenleyin.

  2. Bağlayıcı Yapılandırması bölümünde defineefine:auditlogforcexal = True

    Örneğin:

    [Connector Configuration]
auditlogforcexal = True

  3. Dosyayı kaydedin.

Değişiklik, dosyayı kaydettikten yaklaşık iki dakika sonra geçerli olur. Docker kapsayıcısını yeniden başlatmanız gerekmez.

SAPCONTROL veya JAVA alt sistemleri bağlanamıyor

İşletim sistemi kullanıcısının geçerli olduğunu ve hedef SAP sisteminde aşağıdaki komutu çalıştırabildiğini doğrulayın:

sapcontrol -nr <SID> -function GetSystemInstanceList

SAPCONTROL veya JAVA alt sisteminiz saat dilimiyle ilgili bir hata iletisiyle başarısız olursa, örneğin: Lütfen SAP sunucusuna yönelik yapılandırmayı ve ağ erişimini denetleyin - 'Etc/NZST', standart saat dilimi kodlarını kullandığınızdan emin olun.

Örneğin javatz = GMT+12 veya abaptz = GMT-3** kullanın.

Denetim günlüğü verileri ilk yüklemeden sonra alınmadı

RSAU_READ_LOAD veya SM200 işlemlerinde görünen SAP denetim günlüğü verileri ilk yüklemeden sonra Microsoft Sentinel'e alınmazsa SAP sistemi ve SAP ana bilgisayar işletim sistemi yanlış yapılandırılmış olabilir.

  • İlk yükler, SAP veri bağlayıcısı için Microsoft Sentinel'in yeni bir yüklemesinin ardından veya metadata.db dosyası silindikten sonra alınıyor.
  • Sap sistem saat diliminiz STZAC işleminde CETolarak ayarlandığında, ancak SAP ana bilgisayar işletim sistemi saat dilimi UTC olarak ayarlandığında örnek bir yanlış yapılandırma olabilir.

Yanlış yapılandırmaları denetlemek için SE38 işlemindeki RSDBTIME raporunu çalıştırın. SAP sistemi ile SAP ana bilgisayar işletim sistemi arasında bir uyuşmazlık bulursanız:

  1. Docker kapsayıcısını durdurun. Çalıştır

    docker stop sapcon-[SID]

  2. /opt/sapcon/[SID] dizininden metadata.db dosyasını silin. Çalıştır:

    rm /opt/sapcon/[SID]/metadata.db

  3. SAP sistemini ve SAP ana bilgisayar işletim sistemini aynı saat dilimi gibi eşleşen ayarlara sahip olacak şekilde güncelleştirin. Daha fazla bilgi için bkz . SAP Community Wiki.

  4. Kapsayıcıyı yeniden başlatın. Çalıştır:

    docker start sapcon-[SID]

Diğer beklenmeyen sorunlar

Bu makalede listelenmeyen beklenmeyen sorunlarınız varsa aşağıdaki adımları deneyin:

İpucu

Bağlayıcınızı sıfırlama ve en son yükseltmelere sahip olduğunuzdan emin olmak, tüm önemli yapılandırma değişikliklerinden sonra da önerilir.

İlgili içerik

SAP uygulamaları için Microsoft Sentinel çözümü hakkında daha fazla bilgi edinin:

Başvuru dosyaları:

Daha fazla bilgi için bkz . Microsoft Sentinel çözümleri.