你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍作为 SAP 应用程序及其数据连接器Microsoft Sentinel解决方案的一部分提供的日志和表。
默认情况下,某些日志不会发送到Microsoft Sentinel,但可以根据需要手动添加它们。 有关详细信息,请参阅定义发送到 Microsoft Sentinel
本文中的内容适用于 SAP BASIS 团队。
重要
已注意到的功能目前为 预览版。 Azure预览版补充条款包括适用于处于 beta 版、预览版或其他尚未正式发布的Azure功能的其他法律条款。
在查询中使用函数,而不是基础日志或表
强烈建议尽可能使用可用函数作为其分析的主题,而不是基础日志或表。
SAP 应用程序Microsoft Sentinel解决方案随附的函数旨在充当数据的主要用户界面。 它们构成了所有现成可用的内置分析规则和工作簿的基础。 使用函数可以更改函数下的数据基础结构,而不会中断用户创建的内容。
有关详细信息,请参阅 sap 应用程序的Microsoft Sentinel解决方案 - AzureMonitor 日志查询中的函数参考和函数。
日志覆盖范围
适用于 SAP 应用程序的Microsoft Sentinel解决方案从应用程序、OS 和数据层收集日志,为 SAP 系统提供全面的保护:
应用程序层:Microsoft Sentinel监视 ABAP 层中的活动,ABAP 层是 SAP 系统中的主要应用层,负责执行业务逻辑和处理事务。 例如,Microsoft Sentinel收集包括用户操作(例如登录、密码更改和对报表或文件的访问权限)的日志。
除了安全监视之外,在应用程序层收集的日志还可用于合规性和审核目的。
OS 层:Microsoft Sentinel从操作系统收集日志,以提供 OS 级活动的见解,例如从 ABAP 服务器和运行 SAP 应用程序的虚拟机。
将 SAP 应用程序的 Microsoft Sentinel 解决方案与其他服务的安全内容和数据连接器结合使用,以便进行全面和集中的监视、关联所有系统的信息以及增强整体安全态势。
数据库层:将数据库日志引入Microsoft Sentinel,以监视数据库活动,例如数据库管理活动和对表数据的更改。 SAP 应用程序的Microsoft Sentinel解决方案与数据库无关。
数据连接器代理收集的所有日志首先存储在数据收集器代理计算机上的 /opt/sapcon/<sid>/log 容器实例的 文件夹中。 然后将日志转发到 Log Analytics 工作区,你可以在其中查看、审核和查询Microsoft Sentinel。
审核日志每分钟收集和引入一次,而其他日志的引入频率可能较低。 Microsoft Sentinel还会监视数据连接器代理检测信号,以确保收集日志并将其发送到 Log Analytics 工作区。
无代理数据连接器收集的日志
无代理数据连接器收集以下内置 Log Analytics 表:
数据连接器代理的日志参考
以下部分介绍 sap 应用程序数据连接器的 Microsoft Sentinel 解决方案提供的 SAP 日志,包括Microsoft Sentinel中的表名、日志用途和详细的日志架构。
架构字段说明基于相关 SAP 文档中的字段说明。
- ABAP 应用程序日志
- ABAP 更改文档日志
- ABAP CR 日志
- ABAP DB 表数据日志 (PREVIEW)
- ABAP 网关日志 (PREVIEW)
- ABAP ICM 日志 (预览版)
- ABAP 作业日志
- ABAP 安全审核日志
- ABAP 假脱机日志
- APAB 后台处理程序输出日志
- ABAP SysLog
- ABAP 工作流日志
- ABAP WorkProcess 日志
- HANA DB 审核跟踪
- JAVA 文件
- SAP 检测信号日志
ABAP 应用程序日志
用于查询此日志的Microsoft Sentinel函数:SAPAppLog
相关 SAP 文档: SAP 帮助门户
日志用途:记录应用程序执行的进度,以便稍后可以根据需要重新构造它。
通过使用基于标准 SAP 表的 RFC 和 XBP 接口的标准服务提供。 此日志按客户端生成。
此日志仅通过数据连接器代理引入。
ABAPAppLog_CL日志架构
| 字段 | 说明 |
|---|---|
| AppLogDateTime | 应用程序日志日期时间 |
| CallbackProgram | 回调程序 |
| CallbackRoutine | 回调例程 |
| CallbackType | 回调类型 |
| ClientID | ABAP 客户端 ID (MANDT) |
| ContextDDIC | 上下文 DDIC 结构 |
| ExternalID | 外部日志 ID |
| 主机 | 主机 |
| 实例 | ABAP 实例,使用以下语法: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | 应用程序日志消息串行 |
| LevelofDetail | 详细信息级别 |
| LogHandle | 应用程序日志句柄 |
| LogNumber | 日志编号 |
| MessageClass | 邮件类 |
| MessageNumber | 消息编号 |
| MessageText | 邮件文本 |
| MessageType | 消息类型 |
| Object | 应用程序日志对象 |
| OperationMode | 操作模式 |
| ProblemClass | 问题类 |
| ProgramName | 程序名称 |
| SortCriterion | 排序条件 |
| StandardText | Standard文本 |
| SubObject | 应用程序日志子对象 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TransactionCode | 事务代码 |
| 用户 | 用户 |
| UserChange | 用户更改 |
ABAP 更改文档日志
用于查询此日志的Microsoft Sentinel函数:SAPChangeDocsLog
相关 SAP 文档: SAP 帮助门户
日志用途:记录:
SAP NetWeaver Application Server (AS) ABAP 记录更改文档中的业务数据对象的更改。
SAP 系统中的其他实体,例如用户数据、角色、地址。
可以使用基于标准 SAP 表的 RFC。 此日志按客户端生成。
ABAPChangeDocsLog_CL日志架构
| 字段 | 说明 |
|---|---|
| ActualChangeNum | 实际更改编号 |
| ChangedTableKey | 更改了表键 |
| ChangeNumber | 更改编号 |
| ClientID | ABAP 客户端 ID (MANDT) |
| CreatedfromPlannedChange | 根据计划的更改创建,语法如下: (‘X’ , ‘ ‘) |
| CurrencyKeyNew | 货币键:新值 |
| CurrencyKeyOld | 货币键:旧值 |
| FieldName | 字段名 |
| FlagText | 标志文本 |
| 主机 | 主机 |
| 实例 | ABAP 实例,使用以下语法: <HOST>_<SYSID>_<SYSNR> |
| 语言 | 语言 |
| ObjectClass | 对象类,例如 BELEG、BPAR、、 PFCGIDENTITY |
| ObjectID | 对象 ID |
| PlannedChangeNum | 计划的更改编号 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TableName | 表名 |
| TransactionCode | 事务代码 |
| TypeofChange_Header | 标头更改类型,包括: U = 更改; I = Insert; E = 删除单个 Docu; D = Delete; J = 插入单个 Docu |
| TypeofChange_Item | 项更改类型,包括: U = 更改; I = Insert; E = 删除单个 Docu; D = Delete; J = 插入单个 Docu |
| UOMNew | 度量单位:新值 |
| UOMOld | 度量单位:旧值 |
| 用户 | 用户 |
| ValueNew | 字段内容:新值 |
| ValueOld | 字段内容:旧值 |
| 版本 | 版本 |
ABAP CR 日志
用于查询此日志的Microsoft Sentinel函数:SAPCRLog
相关 SAP 文档: SAP 帮助门户
日志用途:包括更改 & 传输系统 (CTS) 日志,包括进行更改的目录对象和自定义项。
可以使用基于标准表和标准 SAP 服务的 RFC。 此日志使用跨所有客户端的数据生成。
注意
除了应用程序日志记录、更改文档和表记录外,使用更改 & 传输系统对生产系统所做的所有更改都记录在 CTS 和 TMS 日志中。
ABAPCRLog_CL日志架构
| 字段 | 说明 |
|---|---|
| 类别 | 类别 (Workbench,自定义) |
| ClientID | ABAP 客户端 ID (MANDT) |
| 说明 | 说明 |
| 主机 | 主机 |
| 实例 | ABAP 实例,使用以下语法: <HOST>_<SYSID>_<SYSNR> |
| ObjectName | 对象名称 |
| ObjectType | 对象类型 |
| 所有者 | 所有者 |
| 请求 | 更改请求 |
| 状态 | 状态 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TableKey | 表键 |
| TableName | 表名 |
| ViewName | 视图名称 |
ABAP DB 表数据日志 (PREVIEW)
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.json 文件。 使用建议的过程 从门户安装数据连接器代理时,不支持此日志。
用于查询此日志的Microsoft Sentinel函数:SAPTableDataLog
相关 SAP 文档: SAP 帮助门户
日志用途:为那些关键或容易受到审核的表提供日志记录。
可通过将 RFC 与自定义服务配合使用。 此日志使用跨所有客户端的数据生成。
ABAPTableDataLog_CL日志架构
| 字段 | 说明 |
|---|---|
| DBLogID | 数据库日志 ID |
| 主机 | 主机 |
| 实例 | ABAP 实例,使用以下语法: <HOST>_<SYSID>_<SYSNR> |
| 语言 | 语言 |
| LogKey | 日志键 |
| NewValue | 字段新值 |
| OldValue | 字段旧值 |
| OperationTypeSQL | 操作类型、Insert、、 UpdateDelete |
| 程序 | 程序名称 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TableField | 表字段 |
| TableName | 表名 |
| TransactionCode | 事务代码 |
| UserName | 用户 |
| VersionNumber | 版本号 |
ABAP 网关日志 (PREVIEW)
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.json 文件。 使用建议的过程 从门户安装数据连接器代理时,不支持此日志。
用于查询此日志的Microsoft Sentinel函数:SAPOS_GW
相关 SAP 文档: SAP 帮助门户
日志用途:监视网关活动。 由 SAP 控制 Web 服务提供。 此日志使用跨所有客户端的数据生成。
ABAPOS_GW_CL日志架构
| 字段 | 说明 |
|---|---|
| 主机 | 主机 |
| 实例 | ABAP 实例,使用以下语法: <HOST>_<SYSID>_<SYSNR> |
| MessageText | 邮件文本 |
| Severity | 消息严重性: Debug、 Info、 Warning、 Error |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
ABAP ICM 日志 (PREVIEW)
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.json 文件。 使用建议的过程 从门户安装数据连接器代理时,不支持此日志。
用于查询此日志的Microsoft Sentinel函数:SAPOS_ICM
相关 SAP 文档: SAP 帮助门户
日志用途:记录入站和出站请求,并编译 HTTP 请求的统计信息。
由 SAP 控制 Web 服务提供。 此日志使用跨所有客户端的数据生成。
ABAPOS_ICM_CL日志架构
| 字段 | 说明 |
|---|---|
| 主机 | 主机 |
| 实例 | ABAP 实例,使用以下语法: <HOST>_<SYSID>_<SYSNR> |
| MessageText | 邮件文本 |
| Severity | 消息严重性,包括: Debug、 Info、 Warning、 Error |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
ABAP 作业日志
用于查询此日志的Microsoft Sentinel函数:SAPJobLog
相关 SAP 文档: SAP 帮助门户
日志用途:将 SM37) (所有后台处理作业日志合并在一起。
可以使用基于标准 SAP 表和 XBP 接口的标准服务的 RFC。 此日志使用跨所有客户端的数据生成。
ABAPJobLog_CL日志架构
| 字段 | 说明 |
|---|---|
| ABAPProgram | ABAP 计划 |
| BgdEventParameters | 后台事件参数 |
| BgdProcessingEvent | 后台处理事件 |
| ClientID | ABAP 客户端 ID (MANDT) |
| DynproNumber | Dynpro 编号 |
| GUIStatus | GUI 状态 |
| 主机 | 主机 |
| 实例 | ABAP 实例 (HOST_SYSID_SYSNR) ,语法如下: <HOST>_<SYSID>_<SYSNR> |
| JobClassification | 作业分类 |
| JobCount | 作业计数 |
| JobGroup | 作业组 |
| JobName | 作业名称 |
| JobPriority | 作业优先级 |
| MessageClass | 邮件类 |
| MessageNumber | 消息编号 |
| MessageText | 邮件文本 |
| MessageType | 消息类型 |
| ReleaseUser | 作业发布用户 |
| SchedulingDateTime | 计划日期时间 |
| StartDateTime | 开始日期时间 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TargetServer | 目标服务器 |
| 用户 | 用户 |
| UserReleaseInstance | ABAP 实例 - 用户发布 |
| WorkProcessID | 工作流程 ID |
| WorkProcessNumber | 工作流程编号 |
ABAP 安全审核日志
用于查询此日志的Microsoft Sentinel函数:SAPAuditLog
相关 SAP 文档: SAP 帮助门户
日志用途:记录以下数据:
- 与安全相关的 SAP 系统环境更改,例如对主用户记录的更改
- 提供更高级别数据的信息,例如成功和不成功的登录尝试
- 支持重建一系列事件的信息,例如成功或不成功的事务启动
可以使用 RFC XAL/SAL 接口。 SAL 从版本 Basis 7.50 开始提供。 此日志使用跨所有客户端的数据生成。
ABAPAuditLog_CL日志架构
| 字段 | 说明 |
|---|---|
| ABAPProgramName | 程序名称,仅限 SAL |
| AlertSeverity | 警报严重性 |
| AlertSeverityText | 警报严重性文本,仅限 SAL |
| AlertValue | 警报值 |
| AuditClassID | 审核类 ID,仅限 SAL |
| ClientID | ABAP 客户端 ID (MANDT) |
| 计算机 | 用户计算机,仅限 SAL |
| 电子邮件 | 用户电子邮件 |
| 主机 | 主机 |
| 实例 | ABAP 实例,使用以下语法: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | 邮件类 |
| MessageContainerID | 消息容器 ID,仅限 XAL |
| MessageID | 消息 ID,例如 ‘AU1’,’AU2’… |
| MessageText | 邮件文本 |
| MonitoringObjectName | MTE Monitor 对象名称,仅 XAL |
| MonitorShortName | MTE 监视器短名称,仅 XAL |
| SAPProcessType | 系统日志:SAP 进程类型,仅限 SAL |
| B* - 后台处理 | |
| D* - 对话框处理 | |
| U* - 更新任务 | |
| SAPWPName | 系统日志:工作进程编号,仅限 SAL |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TerminalIPv6 | 用户计算机 IP,仅限 SAL |
| TransactionCode | 事务代码,仅限 SAL |
| 用户 | 用户 |
| Variable1 | 消息变量 1 |
| Variable2 | 消息变量 2 |
| Variable3 | 消息变量 3 |
| Variable4 | 消息变量 4 |
ABAP 假脱机日志
用于查询此日志的Microsoft Sentinel函数:SAPSpoolLog
相关 SAP 文档: SAP 帮助门户
日志用途:用作 SAP 打印的主日志,其中包含后台处理程序请求的历史记录。 (SP01) 。
可以使用基于标准 SAP 表的 RFC。 此日志使用跨所有客户端的数据生成。
ABAPSpoolLog_CL日志架构
| 字段 | 说明 |
|---|---|
| ArchiveStatus | 存档状态 |
| ArchiveType | 存档类型 |
| ArchivingDevice | 存档设备 |
| AutoRereoute | 自动重新路由 |
| ClientID | ABAP 客户端 ID (MANDT) |
| CountryKey | 国家/地区键 |
| DeleteSpoolRequestAuto | 自动删除后台处理程序请求 |
| DelFlag | 删除标志 |
| Department | Department |
| DocumentType | 文档类型 |
| ExternalMode | 外部模式 |
| FormatType | 格式类型 |
| 主机 | 主机 |
| 实例 | ABAP 实例,使用以下语法: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | 副本数 |
| OutputDevice | 输出设备 |
| PrinterLongName | 打印机长名称 |
| PrintImmediately | 立即打印 |
| PrintOSCoverPage | “打印 OSCover”页 |
| PrintSAPCoverPage | 打印 SAPCover 页 |
| 优先级 | 优先级 |
| RecipientofSpoolRequest | 后台处理程序请求的收件人 |
| SpoolErrorStatus | 后台处理程序错误状态 |
| SpoolRequestCompleted | 假脱机请求已完成 |
| SpoolRequestisALogForAnotherRequest | 假脱机请求是另一个请求的日志 |
| SpoolRequestName | 假脱机请求名称 |
| SpoolRequestNumber | 假脱机请求编号 |
| SpoolRequestSuffix1 | Spool 请求后缀1 |
| SpoolRequestSuffix2 | Spool 请求后缀2 |
| SpoolRequestTitle | 假脱机请求标题 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TelecommunicationsPartner | 电信合作伙伴 |
| TelecommunicationsPartnerE | 电信合作伙伴 E |
| TemSeGeneralcounter | Temse 计数器 |
| TemseNumAddProtectionRule | Temse 编号添加保护规则 |
| TemseNumChangeProtectionRule | Temse 编号更改保护规则 |
| TemseNumDeleteProtectionRule | Temse 编号删除保护规则 |
| TemSeObjectName | Temse 对象名称 |
| TemSeObjectPart | TemSe 对象部件 |
| TemseReadProtectionRule | Temse 读取保护规则 |
| 用户 | 用户 |
| ValueAuthCheck | 值身份验证检查 |
APAB 后台处理程序输出日志
用于查询此日志的Microsoft Sentinel函数:SAPSpoolOutputLog
相关 SAP 文档: SAP 帮助门户
日志用途:用作 SAP 打印的主日志,其中包含假脱机输出请求的历史记录。 (SP02) 。
可通过将 RFC 与基于标准表的自定义服务配合使用。 此日志使用跨所有客户端的数据生成。
ABAPSpoolOutputLog_CL日志架构
| 字段 | 说明 |
|---|---|
| AppServer | 应用程序服务器 |
| ClientID | ABAP 客户端 ID (MANDT) |
| 评论 | 评论 |
| CopyCount | 复制计数 |
| CopyCounter | 复制计数器 |
| Department | Department |
| ErrorSpoolRequestNumber | 错误请求编号 |
| FormatType | 格式类型 |
| 主机 | 主机 |
| HostName | 主机名 |
| HostSpoolerID | 主机后台处理程序 ID |
| 实例 | ABAP 实例 |
| LastPage | 最后一页 |
| NumofCopies | 副本数 |
| OutputDevice | 输出设备 |
| OutputRequestNumber | 输出请求编号 |
| OutputRequestStatus | 输出请求状态 |
| PhysicalFormatType | 物理格式类型 |
| PrinterLongName | 打印机长名称 |
| PrintRequestSize | 打印请求大小 |
| 优先级 | 优先级 |
| ReasonforOutputRequest | 输出请求的原因 |
| RecipientofSpoolRequest | 后台处理程序请求的收件人 |
| SpoolNumberofOutputReqProcessed | 输出请求数 - 已处理 |
| SpoolNumberofOutputReqWithErrors | 输出请求数 - 包含错误 |
| SpoolNumberofOutputReqWithProblems | 输出请求数 - 有问题 |
| SpoolRequestNumber | 假脱机请求编号 |
| StartPage | 开始页 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TelecommunicationsPartner | 电信合作伙伴 |
| TemSeGeneralcounter | Temse 计数器 |
| 标题 | 标题 |
| 用户 | 用户 |
ABAP Syslog
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.json 文件。 使用建议的过程 从门户安装数据连接器代理时,不支持此日志。
用于查询此日志的Microsoft Sentinel函数:SAPOS_Syslog
相关 SAP 文档: SAP 帮助门户
日志用途:记录所有 SAP NetWeaver Application Server (SAP NetWeaver AS) ABAP 系统错误、警告、由于已知用户的登录尝试失败导致的用户锁定,以及处理消息。
由 SAP 控制 Web 服务提供。 此日志使用跨所有客户端的数据生成。
ABAPOS_Syslog_CL日志架构
| 字段 | 说明 |
|---|---|
| ClientID | ABAP 客户端 ID (MANDT) |
| 主机 | 主机 |
| 实例 | ABAP 实例,使用以下语法: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | 消息编号 |
| MessageText | 邮件文本 |
| Severity | 消息严重性,以下值之一: Debug、 Info、 Warning、 Error |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TransacationCode | 事务代码 |
| 类型 | SAP 进程类型 |
| 用户 | 用户 |
ABAP 工作流日志
用于查询此日志的Microsoft Sentinel函数:SAPWorkflowLog
相关 SAP 文档: SAP 帮助门户
日志用途:使用 SAP 业务工作流 (WebFlow 引擎) ,可以定义尚未在 SAP 系统中映射的业务流程。
例如,未映射的业务流程可能是简单的发布或审批过程,或者更复杂的业务流程,例如创建基本材料,然后协调相关部门。
可以使用基于标准 SAP 表的 RFC。 此日志按客户端生成。
ABAPWorkflowLog_CL日志架构
| 字段 | 说明 |
|---|---|
| ActualAgent | 实际代理 |
| 地址 | 地址 |
| ApplicationArea | 应用程序区域 |
| CallbackFunction | 回调函数 |
| ClientID | ABAP 客户端 ID (MANDT) |
| CreationDateTime | 创建日期时间 |
| Creator | Creator |
| CreatorAddress | 创建者地址 |
| ErrorType | 错误类型 |
| ExceptionforMethod | 方法的异常 |
| 主机 | 主机 |
| 实例 | ABAP 实例 (HOST_SYSID_SYSNR) ,语法如下: <HOST>_<SYSID>_<SYSNR> |
| 语言 | 语言 |
| LogCounter | 日志计数器 |
| MessageNumber | 消息编号 |
| MessageType | 消息类型 |
| MethodUser | 方法用户 |
| 优先级 | 优先级 |
| SimpleContainer | 简单容器,打包为工作项的键值实体列表 |
| 状态 | 状态 |
| SuperWI | 超级 WI |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TaskID | 任务 ID |
| TasksClassification | 任务分类 |
| TaskText | 任务文本 |
| TopTaskID | 排名靠前的任务 ID |
| UserCreated | 用户创建 |
| WIText | 工作项文本 |
| WIType | 工作项类型 |
| WorkflowAction | 工作流操作 |
| WorkItemID | 工作项 ID |
ABAP WorkProcess 日志
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.json 文件。 使用建议的过程 从门户安装数据连接器代理时,不支持此日志。
用于查询此日志的Microsoft Sentinel函数:SAPOS_WP
相关 SAP 文档: SAP 帮助门户
日志用途:合并所有工作进程日志。 (默认值:
dev_*) 。由 SAP 控制 Web 服务提供。 此日志使用跨所有客户端的数据生成。
ABAPOS_WP_CL日志架构
| 字段 | 说明 |
|---|---|
| 主机 | 主机 |
| 实例 | ABAP 实例,使用以下语法: <HOST>_<SYSID>_<SYSNR> |
| MessageText | 邮件文本 |
| Severity | 消息严重性: Debug、 Info、 Warning、 Error |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| WPNumber | 工作流程编号 |
HANA DB 审核跟踪
收集 HANA DB Audit Trail 日志是Microsoft Sentinel如何收集数据库层活动的示例。 若要将此日志发送到 Microsoft Sentinel,必须部署 Azure Monitor 代理,以从运行 HANA DB 的计算机收集 Syslog 数据。
用于查询此日志的Microsoft Sentinel函数:SAPSyslog
日志用途:记录 SAP HANA 数据库中的用户操作或尝试的操作。 例如, 允许记录和监视对敏感数据的读取访问权限。
由 Microsoft Sentinel Linux Agent for Syslog 提供。 此日志使用跨所有客户端的数据生成。
Syslog 日志架构
| 字段 | 说明 |
|---|---|
| 计算机 | 主机名 |
| HostIP | 主机 IP |
| HostName | 主机名 |
| ProcessID | 进程 ID |
| ProcessName | 进程名称: HDB* |
| SeverityLevel | 通知 |
| SourceSystem | 源系统 OS、 Linux |
| SyslogMessage | 消息,未分析的审核线索消息 |
JAVA 文件
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.json 文件。 使用建议的过程 从门户安装数据连接器代理时,不支持此日志。
用于查询此日志的Microsoft Sentinel函数:SAPJAVAFilesLogs
相关 SAP 文档: 常规 | Java 安全审核日志
日志用途:合并所有基于 Java 文件的日志,包括安全审核日志、系统 (群集和服务器进程) 、性能和网关日志。 还包括开发人员跟踪和默认跟踪日志。
由 SAP 控制 Web 服务提供。 此日志使用跨所有客户端的数据生成。
JavaFilesLogsCL 日志架构
| 字段 | 说明 |
|---|---|
| 应用程序 | Java 应用程序 |
| ClientID | 客户端 ID |
| CSNComponent | CSN 组件,例如 BC-XI-IBD |
| DCComponent | DC 组件,例如 com.sap.xi.util.misc |
| DSRCounter | DSR 计数器 |
| DSRRootContentID | DSR 上下文 GUID |
| DSRTransaction | DSR 事务 GUID |
| 主机 | 主机 |
| 实例 | Java 实例,使用以下语法: <HOST>_<SYSID>_<SYSNR> |
| 位置 | Java 类 |
| LogName | Java logName,例如:Available、defaulttrace、dev*security、 等 |
| MessageText | 邮件文本 |
| MNo | 消息编号 |
| Pid | 进程 ID |
| 程序 | 程序名称 |
| 会话 | 会话 |
| Severity | 消息严重性,包括: Debug、Info、Warning、Error |
| 解决方案 | 解决方案 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| ThreadName | 线程名称 |
| 扔 | 引发异常 |
| TimeZone | 时区 |
| 用户 | 用户 |
SAP 检测信号日志
用于查询此日志的Microsoft Sentinel函数:SAPConnectorHealth
日志用途:提供有关代理与不同 SAP 系统之间的连接的检测信号和其他运行状况信息。
为 SAP 数据连接器Microsoft Sentinel的任何代理自动创建。
SAP_HeartBeat_CL日志架构
| 字段 | 说明 |
|---|---|
| TimeGenerated | 日志发布事件的时间 |
| agent_id_s | 代理配置中的代理 ID (自动生成) |
| agent_ver_s | 代理版本 |
| host_s | 代理的主机名 |
| system_id_s | Netweaver ABAP 系统 ID / Netweaver SAPControl 主机 (预览版) / Java SAPControl 主机 (预览版) |
| push_timestamp_d | 根据代理的时区提取的时间戳 |
| agent_timezone_s | 代理的时区 |
直接从 SAP 系统检索的表的引用
本部分列出了直接从 SAP 系统检索并完全按原样引入到Microsoft Sentinel的数据表。
从这些表检索的数据提供了授权结构、组成员身份和用户配置文件的清晰视图。 它还允许跟踪授权授权和撤销过程,以及识别和管理与这些流程相关的风险。
下面列出的表是启用标识特权用户、将用户映射到角色、组和授权的函数所必需的。
为了获得最佳结果,请使用下表Microsoft Sentinel函数名称列中的名称引用这些表:
| 表名 | 表格描述 | Microsoft Sentinel函数名称 |
|---|---|---|
| USR01 | 用户主记录 (运行时数据) | SAP_USR01 |
| USR02 | 登录数据 (内核端使用) | SAP_USR02 |
| UST04 | 用户主控形状 将用户映射到配置文件 |
SAP_UST04 |
| AGR_USERS | 向用户分配角色 | SAP_AGR_USERS |
| AGR_1251 | 活动组的授权数据 | SAP_AGR_1251 |
| USGRP_USER | 将用户分配到用户组 | SAP_USGRP_USER |
| USR21 | 用户名/地址密钥分配 | SAP_USR21 |
| ADR6 | Email地址 (业务地址服务) | SAP_ADR6 |
| USRSTAMP | 对用户所做的所有更改的时间戳 | SAP_USRSTAMP |
| Adcp | 人员/地址分配 (业务地址服务) | SAP_ADCP |
| USR05 | 用户主参数 ID | SAP_USR05 |
| AGR_PROF | 角色的配置文件名称 | SAP_AGR_PROF |
| AGR_FLAGS | 角色属性 | SAP_AGR_FLAGS |
| DEVACCESS | 开发用户的表 | SAP_DEVACCESS |
| AGR_DEFINE | 角色定义 | SAP_AGR_DEFINE |
| AGR_AGRS | 复合角色中的角色 | SAP_AGR_AGRS |
| PAHI | 系统、数据库和 SAP 参数的历史记录 | SAP_PAHI |
| SNCSYSACL (PREVIEW) | SNC 访问控制列表 (ACL) :系统 | SAP_SNCSYSACL |
| USRACL (PREVIEW) | SNC 访问控制列表 (ACL) :用户 | SAP_USRACL |
相关内容
有关更多信息,请参阅: