Résolution des problèmes de déploiement des applications Solution Microsoft Sentinel pour SAP®

  • Article

Commandes Docker utiles

Lors de la résolution des problèmes de votre connecteur de données Microsoft Sentinel pour SAP, les commandes suivantes peuvent être utiles :

Function Commande
Arrêter le conteneur Docker docker stop sapcon-[SID]
Démarrer le conteneur Docker docker start sapcon-[SID]
Afficher les journaux système de Docker docker logs -f sapcon-[SID]
Entrer le conteneur Docker docker exec -it sapcon-[SID] bash

Pour plus d’informations, consultez la documentation sur l’interface de ligne de commande de Docker.

Examiner les journaux système

Nous vous recommandons vivement d’examiner les journaux système après l’installation ou la réinitialisation du connecteur de données.

Exécutez :

docker logs -f sapcon-[SID]

Activer/désactiver l’impression en mode débogage

Activer l’impression en mode débogage:

  1. Sur votre machine virtuelle, modifiez le fichier /opt/sapcon/[SID]/systemconfig.ini.

  2. Définissez la section Général si elle n’a pas été définie précédemment. Dans cette section, définissez logging_debug = True.

    Par exemple :

    [General]
logging_debug = True

  3. Enregistrez le fichier .

La modification prend effet deux minutes après l’enregistrement du fichier. Il n’est pas nécessaire de redémarrer le conteneur Docker.

Désactiver l’impression en mode débogage:

  1. Sur votre machine virtuelle, modifiez le fichier /opt/sapcon/[SID]/systemconfig.ini.

  2. Dans la section Général , définissez logging_debug = False.

    Par exemple :

    [General]
logging_debug = False

  3. Enregistrez le fichier .

La modification prend effet deux minutes après l’enregistrement du fichier. Il n’est pas nécessaire de redémarrer le conteneur Docker.

Afficher tous les journaux d’exécution du conteneur

Les journaux d’exécution du connecteur pour votre déploiement de connecteur de données des applications Solution Microsoft Sentinel pour SAP sont stockés sur votre machine virtuelle dans /opt/sapcon/[SID]/log/. Le nom de fichier journal est OmniLog.log. Un historique des fichiers journaux est conservé, avec le suffixe .[number], comme OmniLog.log.1, OmniLog.log.2 , etc.

Examiner et mettre à jour la configuration du connecteur de données Microsoft Sentinel pour SAP

Si vous souhaitez vérifier le fichier de configuration du connecteur de données Microsoft Sentinel pour SAP et effectuer des mises à jour manuelles, procédez comme suit :

  1. Sur votre machine virtuelle, ouvrez le fichier config :

    • sapcon/[SID]/systemconfig.json pour les versions de l’agent publiées à partir du 22 juin 2023.
    • sapcon/[SID]/systemconfig.ini pour les versions de l’agent publiées avant le 22 juin 2023.

  2. Mettez à jour la configuration si nécessaire et enregistrez le fichier.

La modification prend effet deux minutes après l’enregistrement du fichier. Il n’est pas nécessaire de redémarrer le conteneur Docker.

Réinitialiser le connecteur de données Microsoft Sentinel pour SAP

Les étapes suivantes réinitialisent le connecteur et ré-ingèrent les journaux SAP des dernières 30 minutes.

  1. Arrêtez le connecteur. Exécutez :

    docker stop sapcon-[SID]

  2. Supprimez le fichier metadata.db du répertoire /opt/sapcon/[SID]. Exécutez :

    cd /opt/sapcon/<SID>
rm metadata.db

    Notes

    Le fichier metadata.db contient le dernier horodatage de chacun des journaux et fonctionne pour empêcher la duplication.

  3. Redémarrez le connecteur. Exécutez :

    docker start sapcon-[SID]

Quand vous avez terminé, veillez à consulter les journaux système.

Champs d’adresse IP ou de code de transaction manquants dans le journal d’audit SAP

Cette solution permet aux systèmes SAP avec versions de SAP BASIS 7.5 SP12 et ultérieures de refléter des champs supplémentaires dans les tables ABAPAuditLog_CL et SAPAuditLog.

Si vous utilisez des versions SAP BASIS supérieures à 7.5 SP12 et que des champs d’adresse IP ou de code de transaction sont manquants dans le journal d’audit SAP, vérifiez que le système SAP à partir duquel vous extrayez les données contient les requêtes de modification (transports) appropriées. Pour plus d’informations, consultez la section des prérequis Récupérer des informations supplémentaires à partir de SAP.

Le journal de données de la table de SAP ne présente aucune donnée

Cette solution permet aux systèmes SAP avec versions de SAP BASIS 7.5 SP12 et ultérieures de refléter les modifications du journal des données de la table ABAPTableDataLog_CL.

Si aucune donnée n’est présentée dans la table ABAPTableDataLog_CL, vérifiez que le système SAP à partir duquel vous extrayez les données contient les requêtes de modification (transports) appropriées. Pour plus d’informations, consultez la section des prérequis Récupérer des informations supplémentaires à partir de SAP.

Problèmes courants

Une fois le connecteur de données et le contenu de sécurité Microsoft Sentinel pour SAP déployés, il se peut que vous rencontriez les erreurs ou problèmes suivants :

Fichier du SDK SAP endommagé ou manquant

Cette erreur peut se produire quand le connecteur ne parvient pas à démarrer avec PyRfc ou que des messages d’erreur liés au fichier zip s’affichent.

  1. Réinstallez le SDK SAP.
  2. Veillez à disposer de la bonne version Linux 64 bits. À ce jour, le nom de fichier de la version est : nwrfc750P_8-70002752.zip.

Si vous avez installé le connecteur de données manuellement, assurez-vous que vous avez copié le fichier du SDK dans le conteneur Docker.

Exécutez :

Docker cp SDK by running docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

Des erreurs d’exécution ABAP s’affichent sur un grand système

Si des erreurs d’exécution ABAP s’affichent sur de grands systèmes, essayez de définir une taille de bloc plus petite :

  1. Modifiez le fichier /opt/sapcon/[SID]/systemconfig.ini et, dans la section Configuration du connecteur, définissez timechunk = 5.

    Par exemple :

    [Connector Configuration]
timechunk = 5

  2. enregistrez le fichier .

La modification prend effet deux minutes après l’enregistrement du fichier. Il n’est pas nécessaire de redémarrer le conteneur Docker.

Notes

La taille timechunk est définie en minutes.

Journal d’audit vide ou aucun journal d’audit récupéré, sans message d’erreur spécial

  1. Vérifiez que la journalisation d’audit est activée dans SAP.
  2. Vérifiez les transactions SM19 ou RSAU_CONFIG .
  3. Activez les événements en fonction des besoins.
  4. Vérifiez si les messages arrivent et existent dans les transactions SAP SM20 ou RSAU_READ_LOG, sans qu’aucune erreur spéciale n’apparaisse dans le journal du connecteur.

Clé ou ID d’espace de travail Microsoft Sentinel incorrect

Si vous vous rendez compte que vous avez entré une clé ou un ID d’espace de travail incorrect dans votre script de déploiement, mettez à jour les informations d’identification stockées dans Azure Key Vault.

Après avoir vérifié vos informations d’identification dans Azure Key Vault, redémarrez le conteneur :

docker restart sapcon-[SID]

Informations d’identification de l’utilisateur SAP ABAP incorrectes dans une configuration fixe

Le stockage direct du mot de passe dans le fichier de configuration systemconfig.ini est un exemple de configuration fixe.

Si vos informations d’identification y sont incorrectes, vérifiez-les.

Utilisez le chiffrement Base64 pour chiffrer l’utilisateur et le mot de passe. Vous pouvez utiliser les outils de chiffrement en ligne pour chiffrer vos informations d’identification, tels que https://www.base64encode.org/.

Informations d’identification d’utilisateur SAP ABAP incorrectes dans le coffre de clés

Vérifiez vos informations d’identification et corrigez-les au besoin en appliquant les valeurs correctes pour ABAPUSER et ABAPPASS dans Azure Key Vault.

Redémarrez ensuite le conteneur :

docker restart sapcon-[SID]

Autorisations ABAP (utilisateur SAP) manquantes

Si vous recevez un message d’erreur semblable à Autorisation RFC manquante dans le back-end, vos rôle et autorisations SAP n’ont pas été appliqués correctement.

  1. Assurez-vous que le rôle MSFTSEN/SENTINEL_CONNECTOR a été importé dans le cadre d’un transport de demande de modification et appliqué à l’utilisateur du connecteur.

  2. Exécutez le processus de génération de rôle et de comparaison des utilisateurs au moyen de la transaction SAP PFCG.

Données manquantes dans vos workbooks ou alertes

Si certaines données font défaut dans vos workbooks ou alertes Microsoft Sentinel, assurez-vous que la stratégie Auditlog est correctement activée côté SAP, sans erreur dans le fichier journal.

Utilisez la transaction RSAU_CONFIG_LOG pour cette étape.

Demande de modification SAP manquante

Si vous constatez des erreurs selon lesquelles une demande de modification SAP requise fait défaut, vérifiez que vous avez importé la demande de modification SAP appropriée pour votre système.

Pour plus d’informations, consultez Étapes de validation de l’environnement SAP.

Aucun enregistrement / enregistrements tardifs

L’agent s’appuie sur des informations de fuseau horaire à corriger. Si vous constatez l’absence d’enregistrement dans les journaux d’audit et les journaux de modification SAP, ou si les enregistrements sont constamment en retard de quelques heures, vérifiez la présence d’erreur dans le rapport SAP TZCUSTHELP. Pour plus d’informations, consultez la Note SAP 481835. En outre, il peut y avoir des problèmes avec l’horloge sur la machine virtuelle hébergeant la solution Microsoft Sentinel pour l’agent d’applications SAP®. Tout écart de l’horloge de la machine virtuelle par rapport au temps universel coordonné a un impact sur la collecte de données. Plus important encore, l’heure doit être la même sur la machine virtuelle SAP et sur la machine virtuelle de l’agent Sentinel.

Problèmes de connectivité réseau

Si vous rencontrez des problèmes de connectivité réseau avec l’environnement SAP ou Microsoft Sentinel, vérifiez votre connectivité réseau pour vous assurer que les données circulent comme prévu.

Voici quelques problèmes courants :

  • Les pare-feu entre le conteneur de la station d’accueil et les hôtes SAP peuvent bloquer le trafic. L’hôte de l’environnement SAP reçoit des communications via les ports TCP suivants, qui doivent être ouverts : 32xx, 5xx13 et 33xx, où xx est le numéro de l’instance SAP.

  • La communication sortante entre votre hôte SAP et Microsoft Container Registry ou Azure nécessite une configuration du proxy. Cela a généralement un impact sur l’installation et vous oblige à configurer les variables d’environnement HTTP_PROXY et HTTPS_PROXY. Vous pouvez également ingérer des variables d’environnement dans le conteneur d’ancrage lorsque vous créez le conteneur, en ajoutant l'indicateur -e à la commande docker create / run.

Autres problèmes inattendus

Si vous rencontrez des problèmes inattendus non listés dans cet article, essayez les étapes suivantes :

Conseil

Nous vous recommandons également de réinitialiser votre connecteur et de vérifier que vous disposez des dernières mises à niveau après toute modification de configuration majeure.

La récupération d’un journal d’audit échoue avec des avertissements

Si vous tentez de récupérer un journal d’audit, sans que la demande de modification requise soit déployée ou sur une version antérieure ou non corrigée, et que le processus échoue avec des avertissements, vérifiez que le journal d’audit SAP peut être récupéré avec l’une des méthodes suivantes :

  • Utilisation d’un mode de compatibilité appelé XAL sur des versions antérieures
  • Utilisation d’une version non récemment corrigée
  • Sans la demande de modification requise installée

Même si votre système doit automatiquement basculer en mode de compatibilité si cela est nécessaire, vous pouvez être amené à le faire basculer manuellement. Pour basculer en mode de compatibilité manuellement :

  1. Modifiez le fichier /opt/sapcon/[SID]/systemconfig.ini.

  2. Dans la section Configuration du connecteur , définissez : auditlogforcexal = True

    Par exemple :

    [Connector Configuration]
auditlogforcexal = True

  3. enregistrez le fichier .

La modification prend effet deux minutes après l’enregistrement du fichier. Il n’est pas nécessaire de redémarrer le conteneur Docker.

Les sous-systèmes SAPCONTROL ou JAVA ne parviennent pas à se connecter

Vérifiez que l’utilisateur du système d’exploitation est valide et qu’il peut exécuter la commande suivante sur le système SAP cible :

sapcontrol -nr <SID> -function GetSystemInstanceList

Si votre sous-système SAPCONTROL ou JAVA échoue avec un message d’erreur relatif aux fuseaux horaires, par exemple Vérifiez la configuration et l’accès réseau au serveur SAP - « Etc/NZST » , vérifiez que vous utilisez des codes de fuseau horaire standard.

Par exemple, utilisez javatz = GMT+12 ou abaptz = GMT-3**.

Impossible d’importer les transports de demande de modification vers SAP

Si vous n’êtes pas en mesure d’importer les demandes de modification de journal SAP nécessaires et que vous obtenez une erreur concernant une version de composant non valide, ajoutez ignore invalid component version quand vous importez la demande de modification.

Données du journal d’audit non ingérées au-delà de la charge initiale

Si les données du journal d’audit SAP, visibles dans les transactions RSAU_READ_LOAD ou SM200, ne sont pas ingérées dans Microsoft Sentinel après la charge initiale, il se peut que le système SAP et le système d’exploitation hôte SAP soient incorrectement configurés.

  • Les charges initiales sont ingérées après une nouvelle installation du connecteur de données Microsoft Sentinel pour SAP ou après la suppression du fichier metadata.db.
  • La définition du fuseau horaire de votre système SAP sur CET dans la transaction STZAC, alors que le fuseau horaire du système d’exploitation hôte SAP est défini sur UTC est un exemple de configuration incorrecte.

Pour rechercher les configurations incorrectes, exécutez le rapport RSDBTIME dans la transaction SE38. Si vous détectez une différence entre le système SAP et le système d’exploitation hôte SAP :

  1. Arrêtez le conteneur Docker. Exécuter

    docker stop sapcon-[SID]

  2. Supprimez le fichier metadata.db du répertoire /opt/sapcon/[SID]. Exécutez :

    rm /opt/sapcon/[SID]/metadata.db

  3. Mettez à jour le système SAP et le système d’exploitation hôte SAP afin d’utiliser les mêmes paramètres (par exemple, le même fuseau horaire). Pour plus d’informations, consultez la page wiki de la communauté SAP.

  4. Redémarrez le conteneur. Run :

    docker start sapcon-[SID]

Champs d’adresse IP ou de code de transaction manquants dans le journal d’audit SAP

Cette solution permet aux systèmes SAP (avec SAP BASIS 7.5 SP12 et les versions ultérieures) de refléter des champs supplémentaires dans les tables ABAPAuditLog_CL et SAPAuditLog. Si vous utilisez des versions supérieures à SAP BASIS 7.5 SP12, avec des champs d’adresse IP ou du code de transaction manquant dans le journal d’audit SAP, vérifiez que le système SAP d’extraction des données contient les requêtes de modification (transports) appropriées. Pour plus d’informations, consultez Récupérer des informations supplémentaires à partir de SAP (facultatif).

Le journal de données de la table de SAP ne présente aucune donnée

Cette solution permet aux systèmes SAP avec SAP BASIS 7.5 SP12 et les versions ultérieures de refléter les modifications du journal des données de la table ABAPTableDataLog_CL. Si aucune donnée n’est présentée dans la table ABAPTableDataLog_CL, assurez-vous que le système SAP d’extraction des données contient les requêtes de modification (transports) appropriées. Pour plus d’informations, consultez Récupérer des informations supplémentaires à partir de SAP (facultatif).

Étapes suivantes

En savoir plus sur les applications Solution Microsoft Sentinel pour SAP® :

Fichiers de référence :

Pour plus d’informations, consultez Solutions Microsoft Sentinel.