Solución de problemas de implementación de la solución Microsoft Sentinel para aplicaciones SAP®
Comandos útiles de Docker
Para solucionar problemas del conector de datos de Microsoft Sentinel para SAP, puede que le resulten útiles los siguientes comandos:
| Función | Comando |
|---|---|
| Detención del contenedor de Docker | docker stop sapcon-[SID] |
| Inicio del contenedor de Docker | docker start sapcon-[SID] |
| Visualización de los registros del sistema de Docker | docker logs -f sapcon-[SID] |
| Especificación del contenedor de Docker | docker exec -it sapcon-[SID] bash |
Para más información, consulte la documentación sobre la CLI de Docker.
Revisión de registros del sistema
Es muy recomendable que revise los registros del sistema después de instalar o restablecer el conector de datos.
Ejecute:
docker logs -f sapcon-[SID]
Habilitación o deshabilitación de la impresión en modo de depuración
Habilitación de la impresión en modo de depuración:
En la máquina virtual, edite el archivo /opt/sapcon/[SID]/systemconfig.ini.
Defina la sección General si no se definió anteriormente. En esta sección, defina
logging_debug = True.Por ejemplo:
[General] logging_debug = TrueGuarde el archivo.
El cambio surte efecto dos minutos después de guardar el archivo. No necesita reiniciar el contenedor Docker.
Deshabilitación de la impresión en modo de depuración:
En la máquina virtual, edite el archivo /opt/sapcon/[SID]/systemconfig.ini.
En la sección General, defina
logging_debug = False.Por ejemplo:
[General] logging_debug = FalseGuarde el archivo.
El cambio surte efecto dos minutos después de guardar el archivo. No necesita reiniciar el contenedor Docker.
Ver todos los registros de ejecución de contenedores
Los registros de ejecución del conector para la implementación del conector de datos de Microsoft Sentinel para aplicaciones SAP® se almacenan en la máquina virtual en /opt/sapcon/[SID]/log/. El nombre de archivo de registro es OmniLog.log. Se mantiene un historial de archivos de registro, con sufijo .[number] como OmniLog.log.1, OmniLog.log.2, etc.
Revise y actualice la configuración del conector de datos de Microsoft Sentinel para SAP
Si quiere comprobar el archivo de configuración del conector de datos de Microsoft Sentinel para SAP y llevar a cabo actualizaciones manuales, realice los pasos siguientes:
En la máquina virtual, abra el archivo de configuración:
- sapcon/[SID]/systemconfig.json para las versiones del agente publicadas el 22 de junio de 2023 o después.
- sapcon/[SID]/systemconfig.ini para las versiones del agente publicadas antes del 22 de junio de 2023.
Actualice la configuración si es necesario y guarde el archivo.
El cambio surte efecto dos minutos después de guardar el archivo. No necesita reiniciar el contenedor Docker.
Restablecer el conector de datos de Microsoft Sentinel para SAP
En los siguientes pasos se restablece el conector y se vuelven a ingerir los registros de SAP de los últimos 30 minutos.
Detenga el conector. Ejecute:
docker stop sapcon-[SID]Elimine el archivo metadata.db del directorio /opt/sapcon/[SID]. Ejecute:
cd /opt/sapcon/<SID> rm metadata.dbNota
El archivo metadata.db contiene la última marca de tiempo de cada uno de los registros y su cometido es evitar que se dupliquen.
Inicie de nuevo el conector. Ejecute:
docker start sapcon-[SID]
Asegúrese de revisar los registros del sistema cuando haya terminado.
Faltan campos de dirección IP o código de transacción en el registro de auditoría de SAP
Esta solución permite que los sistemas SAP con versiones de SAP BASIS 7.5 SP12 y versiones posteriores reflejen campos adicionales en las tablas ABAPAuditLog_CL y SAPAuditLog.
Si usa versiones de SAP BASIS superiores a la versión 7.5 SP12 y faltan campos de dirección IP o código de transacción en el registro de auditoría de SAP, compruebe que el sistema SAP desde el que extrae los datos contiene las solicitudes de cambio pertinentes (transportes). Para obtener más información, consulte la sección Recuperación de información adicional de SAP en los requisitos previos.
No se muestra ningún dato en el registro de datos de la tabla de SAP
Esta solución permite que los sistemas SAP con versiones de SAP BASIS 7.5 SP12 y versiones posteriores reflejen los cambios del registro de datos de tabla en la tabla ABAPTableDataLog_CL.
Si no se muestran datos en la tabla ABAPTableDataLog_CL, compruebe que el sistema SAP desde el que va a extraer los datos contiene las solicitudes de cambio pertinentes (transportes). Para obtener más información, consulte la sección Recuperación de información adicional de SAP en los requisitos previos.
Problemas comunes
Después de implementar el conector de datos de Microsoft Sentinel para SAP y el contenido de seguridad, puede experimentar los siguientes errores o problemas:
No se encuentra un archivo del SDK de SAP o está dañado
Este error puede producirse cuando el conector no arranca con PyRfc, o bien se muestran mensajes de error relacionados con ZIP.
- Vuelva a instalar el SDK de SAP.
- Compruebe que sea la versión correcta de 64 bits de Linux. A partir de la fecha en curso, el nombre de archivo de la versión es el siguiente: nwrfc750P_8-70002752.zip.
Si había instalado manualmente el conector de datos, asegúrese de haber copiado el archivo del SDK en el contenedor de Docker.
Ejecute:
Docker cp SDK by running docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/
Errores en tiempo de ejecución de ABAP en un sistema grande
Si se producen errores en tiempo de ejecución de ABAP en sistemas grandes, intente definir un tamaño de fragmento más pequeño:
Edite el archivo /opt/sapcon/[SID]/systemconfig.ini y, en la sección Configuración del conector, defina
timechunk = 5.Por ejemplo:
[Connector Configuration] timechunk = 5guarde el archivo.
El cambio surte efecto dos minutos después de guardar el archivo. No necesita reiniciar el contenedor Docker.
Nota
El tamaño de timechunk se define en minutos.
Registro de auditoría vacío o no recuperado, sin mensajes de error especiales
- Compruebe que el registro de auditoría esté habilitado en SAP.
- Compruebe las transacciones SM19 o RSAU_CONFIG.
- Habilite los eventos necesarios.
- Compruebe si llegan y hay mensajes en SAP SM20 o RSAU_READ_LOG, sin que aparezcan errores especiales en el registro del conector.
Identificador o clave incorrectos del área de trabajo de Microsoft Sentinel
Si se da cuenta de que ha indicado una clave o un identificador de área de trabajo incorrectos en el script de implementación, actualice las credenciales almacenadas en Azure Key Vault.
Después de comprobar las credenciales en Azure Key Vault, reinicie el contenedor:
docker restart sapcon-[SID]
Credenciales de usuario de SAP ABAP incorrectas en una configuración fija
Hablamos de "configuración fija" cuando la contraseña se almacena directamente en el archivo de configuración systemconfig.ini.
Si las credenciales del archivo no son correctas, compruébelas.
Aplique cifrado base64 al usuario y la contraseña. Puede usar herramientas de cifrado en línea para cifrar las credenciales, como https://www.base64encode.org/.
Credenciales de usuario de SAP ABAP incorrectas
Compruebe sus credenciales y corríjalas, si es necesario, aplicando los valores correctos a los valores ABAPUSER y ABAPPASS en Azure Key Vault.
A continuación, reinicie el contenedor:
docker restart sapcon-[SID]
No se encuentran permisos de (usuario de SAP) ABAP
Si recibe un mensaje de error similar a Falta la autorización RFC de back-end, sus autorizaciones de SAP y el rol no se han aplicado correctamente.
Asegúrese de que el rol MSFTSEN/SENTINEL_CONNECTOR se haya importado como parte de un transporte de solicitud de cambio y aplicado al usuario del conector.
Ejecute el proceso de generación de roles y comparación de usuarios usando la transacción PFCG de SAP.
Faltan datos en sus libros o alertas
Si descubre que faltan datos en sus libros o alertas de Microsoft Sentinel, asegúrese de que la directiva Auditlog esté habilitada correctamente en SAP, sin errores en el archivo de registro.
Use la transacción RSAU_CONFIG_LOG para este paso.
Falta una solicitud de cambio de SAP
Si ve errores de que le falta una solicitud de cambio de SAP necesaria, asegúrese de haber importado la solicitud correcta para el sistema.
Para más información, consulte Pasos de validación del entorno ValidateSAP.
No hay registros o registros retrasados
El agente se basa en que la información de zona horaria es correcta. Si ve que no hay registros en los registros de cambios y auditoría de SAP, o si los registros están constantemente unas horas por detrás, compruebe si el informe TZCUSTHELP de SAP presenta errores. Consulte la nota de SAP 481835 para más obtener información. Además, puede haber problemas con el reloj en la máquina virtual en la que se hospeda el agente de aplicaciones de Solución Microsoft Sentinel para SAP®. Cualquier desviación del reloj de la máquina virtual respecto a la hora universal coordinada (UTC) afectará a la recopilación de datos. Lo más importante es que el reloj de la máquina virtual de SAP y el reloj de la máquina virtual del agente de Sentinel deben coincidir.
Problemas de conectividad de red
Si tiene problemas de conectividad de red con el entorno de SAP o con Microsoft Sentinel, compruebe la conectividad de red para asegurarse de que los datos fluyan según lo previsto.
Algunos problemas comunes son:
Los firewalls entre el contenedor de Docker y los hosts de SAP pueden estar bloqueando el tráfico. El host de SAP recibe comunicación a través de los siguientes puertos TCP, los cuales deben estar abiertos: 32xx, 5xx13 y 33xx, donde xx es el número de instancia de SAP.
La comunicación saliente desde el host de SAP a Microsoft Container Registry o Azure requiere la configuración del proxy. Esto suele afectar a la instalación y requiere que configure las variables de entorno
HTTP_PROXYyHTTPS_PROXY. También puede ingerir variables de entorno en el contenedor de Docker al crear el contenedor, agregando la marca-eal comandocreate/runde Docker.
Otras incidencias inesperadas
Si tiene incidencias inesperadas que no aparecen en este artículo, pruebe los siguientes pasos:
- Restablezca el conector y vuelva a cargar los registros.
- Actualice el conector con la versión más reciente.
Sugerencia
También se recomienda restablecer el conector y asegurarse de tener las actualizaciones más recientes después de cambios importantes en la configuración.
Error al recuperar un registro de auditoría, con advertencias
Si intenta recuperar un registro de auditoría sin haber implementado la solicitud de cambio necesaria o en una versión anterior o sin revisión y se produce un error en el proceso con advertencias, compruebe que el registro de auditoría de SAP se pueda recuperar usando uno de los siguientes métodos:
- Usando un modo de compatibilidad llamado XAL en versiones anteriores
- Usando una versión que no se haya actualizado recientemente
- Sin la solicitud de cambio necesaria instalada
Aunque el sistema debería cambiar automáticamente al modo de compatibilidad si es necesario, es posible que tenga que hacerlo usted manualmente. Para cambiar al modo de compatibilidad manualmente, haga lo siguiente:
Edite el archivo /opt/sapcon/[SID]/systemconfig.ini.
En la sección Configuración del conector, defina
auditlogforcexal = True.Por ejemplo:
[Connector Configuration] auditlogforcexal = Trueguarde el archivo.
El cambio surte efecto dos minutos después de guardar el archivo. No necesita reiniciar el contenedor Docker.
Los subsistemas SAPCONTROL o JAVA no se pueden conectar
Compruebe que el usuario del sistema operativo sea válido y pueda ejecutar el siguiente comando en el sistema SAP de destino:
sapcontrol -nr <SID> -function GetSystemInstanceList
Error de los subsistemas SAPCONTROL o JAVA con un mensaje de error relacionado con la zona horaria
Si se produce un error de los subsistemas SAPCONTROL o JAVA con un mensaje de error relacionado con la zona horaria, como Compruebe la configuración y el acceso de red al servidor SAP - "Etc/NZST" , asegúrese de estar usando códigos de zona horaria estándar.
Por ejemplo, use javatz = GMT+12 o abaptz = GMT-3**.
No se pueden importar transportes de solicitud de cambio a SAP
Si no puede importar las solicitudes de cambio de registro de SAP necesarias y recibe un error sobre una versión de componente no válida, agregue ignore invalid component version al importar la solicitud de cambio.
Datos del registro de auditoría que no se ingieren después de la carga inicial
Si los datos del registro de auditoría de SAP, visibles en las transacciones RSAU_READ_LOAD o SM200, no se ingieren en Microsoft Sentinel después de la carga inicial, es posible que se produzca un error de configuración en el sistema SAP y el sistema operativo host de SAP.
- Las cargas iniciales se ingieren después de una instalación nueva del conector de datos de Microsoft Sentinel para SAP o después de eliminar el archivo metadata.db.
- Un error de configuración de muestra podría producirse cuando la zona horaria del sistema SAP esté establecida en CET en la transacción STZAC, pero la zona horaria del sistema operativo host de SAP esté establecida en UTC.
Para comprobar si hay errores de configuración, ejecute el informe RSDBTIME en la transacción SE38. Si encuentra un error de coincidencia entre el sistema SAP y el sistema operativo host de SAP, haga lo siguiente:
Detenga el contenedor de Docker. Ejecutar
docker stop sapcon-[SID]Elimine el archivo metadata.db del directorio /opt/sapcon/[SID]. Ejecute:
rm /opt/sapcon/[SID]/metadata.dbActualice el sistema SAP y el sistema operativo host de SAP para que tengan una configuración coincidente, como la misma zona horaria. Para obtener más información, consulte la wiki de la comunidad de SAP.
Vuelva a iniciar el contenedor. Ejecute:
docker start sapcon-[SID]
Faltan campos de dirección IP o código de transacción en el registro de auditoría de SAP
Esta solución permite que los sistemas SAP con versiones de SAP BASIS 7.5 SP12 y versiones posteriores reflejen campos adicionales en las tablas ABAPAuditLog_CL y SAPAuditLog. Si usa versiones de SAP BASIS superiores a la versión 7.5 SP12 y faltan campos de dirección IP o código de transacción en el registro de auditoría de SAP, compruebe que el sistema SAP desde el que extrae los datos contiene las solicitudes de cambio pertinentes (transportes). Para obtener más información, consulte Recuperación de información adicional de SAP (opcional).
No se muestra ningún dato en el registro de datos de la tabla de SAP
Esta solución permite que los sistemas SAP con versiones de SAP BASIS 7.5 SP12 y versiones posteriores reflejen los cambios del registro de datos de tabla en la tabla ABAPTableDataLog_CL. Si no se muestran datos en la tabla ABAPTableDataLog_CL, compruebe que el sistema SAP desde el que extrae los datos contiene las solicitudes de cambio pertinentes (transportes). Para obtener más información, consulte Recuperación de información adicional de SAP (opcional).
Pasos siguientes
Obtenga más información sobre la solución Microsoft Sentinel para aplicaciones SAP®:
- Implementación de la solución Microsoft Sentinel para aplicaciones SAP®
- Requisitos previos para la implementación de la solución Microsoft Sentinel para aplicaciones de SAP®
- Implementación de solicitudes de cambio de SAP y configuración de la autorización
- Implementar el contenido de la solución desde el centro de contenido
- Implementación y configuración del contenedor del agente de conector de datos de SAP
- Implementación del conector de datos de Microsoft Sentinel para SAP con SNC
- Habilitación y configuración de la auditoría para SAP para Microsoft Sentinel
- Recopilación de registros de auditoría de SAP HANA
Archivos de referencia:
- Referencia de datos de la solución Microsoft Sentinel para aplicaciones SAP®
- Referencia de contenido de seguridad de la solución Microsoft Sentinel para aplicaciones SAP®
- Referencia de scripts de kickstart
- Referencia del script de actualización
- Referencia del archivo systemconfig.ini
Para obtener más información, consulte soluciones de Microsoft Sentinel.