SAP® 向け Microsoft Sentinel ソリューション アプリケーションのデータ リファレンス
重要
Microsoft Sentinel Threat Monitoring for SAP のソリューションの一部のコンポーネントは、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
下に示す一部のログは、既定では Microsoft Sentinel に送信されませんが、必要に応じて手動で追加できます。 詳細については、「Microsoft Sentinel に送信される SAP ログを定義する」を参照してください。
この記事では、SAP® 向け Microsoft Sentinel ソリューション アプリケーションとそのデータ コネクタの一部として使用できる関数、ログ、テーブルについて説明します。 これは上級 SAP ユーザーを対象にしています。
SAP ソリューションから使用可能な関数
このセクションでは、SAP® 向け Microsoft Sentinel ソリューション アプリケーションをデプロイした後に、ワークスペースで使用できる関数について説明します。 これらの関数は、KQL クエリで使用するために、Microsoft Sentinel ログ ページでワークスペース関数の下に一覧表示され、見つけることが確認できます。
ユーザーは、基になるログまたはテーブルではなく、可能な限り関数を分析の対象として使用することが “強く推奨“ されます。 これらの関数は、データのプリンシパル ユーザー インターフェイスとして機能することを意図しています。 これらは、既定で使用できるすべての組み込みの分析ルールとブックの基礎を形成しています。 これにより、ユーザーが作成したコンテンツを損なうことなく、関数の下にあるデータ インフラストラクチャを変更できます。
- SAPUsersAssignments
- SAPUsersGetPrivileged
- SAPUsersAuthorizations
- SAPConnectorHealth
- SAPConnectorOverview
- SAPUsersEmail
- SAPAuditLogConfiguration
- SAPAuditLogAnomalies
- SAPAuditLogConfigRecommend
- SAPSystems
- SAPUsersGetVIP
- SAPUsersHeader
SAPUsersAssignments
SAPUsersAssignments 関数は、複数の SAP データ ソースからデータを収集し、現在割り当てられているロールとプロファイルを含む、現在のユーザー マスター データのユーザー中心のビューを作成します。
この関数は、ロールとプロファイルへのユーザーの割り当てをまとめて、次のデータを返します。
| フィールド | 説明 | データ ソース/メモ |
|---|---|---|
| User | SAP ユーザー ID | SAL のみ |
| 電子メール | SMTP アドレス | USR21 (SMTP_ADDR) |
| UserType | ユーザー タイプ | USR02 (USTYP) |
| タイム ゾーン | タイム ゾーン | USR02 (TZONE) |
| LockedStatus | ロックの状態 | USR02 (UFLAG) |
| LastSeenDate | 最終表示日 | USR02 (TRDAT) |
| LastSeenTime | 最終表示時刻 | USR02 (LTIME) |
| UserGroupAuth | ユーザー マスター メンテナンスのユーザー グループ | USR02 (CLASS) |
| Profiles | プロファイルのセット (既定の最大セット サイズ = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | 直接割り当てられるロールのセット (既定の最大セット サイズ = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | 間接的に割り当てられるロールのセット (既定の最大セット サイズ = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Client | クライアント ID | |
| SystemID | システム ID | コネクタに定義されているとおり |
SAPUsersGetPrivileged
SAPUsersGetPrivileged 関数は、クライアントおよびシステム ID ごとの特権ユーザーの一覧を返します。
ユーザーは、SAP - 特権ユーザー ウォッチリストに一覧表示されているか、SAP - 機密性の高いプロファイル ウォッチリストに一覧表示されているプロファイルに割り当てられているか、または SAP - 機密性の高いロール ウォッチリストに一覧表示されているロールに追加されている場合に、特権があるとみなされます。
パラメーター:
- TimeAgo
- オプション
- 既定値: 7 日間
TimeAgo値によって定義された時間からnow()値によって定義された時間まで、ユーザー マスター データをシークすることを指定します。
SAPUsersGetPrivileged 関数は、次のデータを返します。
| フィールド | 説明 |
|---|---|
| User | SAP ユーザー ID |
| Client | クライアント ID |
| SystemID | システム ID |
SAPUsersAuthorizations
SAPUsersAuthorizations 関数は、複数のテーブルのデータをまとめて、割り当てられている現在のロールと認可のユーザー中心のビューを生成します。 アクティブなロールと認可の割り当てを持つユーザーのみが返されます。
パラメーター:
- TimeAgo
- オプション
- 既定値: 7 日間
TimeAgo値によって定義された時間からnow()値によって定義された時間まで、ユーザー マスター データをシークすることを指定します。
SAPUsersAuthorizations 関数は、次のデータを返します。
| フィールド | 説明 | Notes |
|---|---|---|
| User | SAP ユーザー ID | |
| ロール | ロールのセット (既定の最大セット サイズ = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | 認可のセット (既定の最大セット サイズ = 100) | {{AuthorizationsDeatils1},{AuthorizationsDeatils2}, ..., {AuthorizationsDeatils100}} |
| Client | クライアント ID | |
| SystemID | システム ID |
SAPConnectorHealth
SAPConnectorHealth 関数には、エージェントと、基になる SAP システムの接続の状態が反映されます。 ハートビート ログ SAP_HeartBeat_CL と他の正常性インジケーターに基づいて、次のデータが返されます。
| フィールド | 説明 |
|---|---|
| エージェント | エージェントの構成内のエージェント ID (自動的に生成) |
| SystemID | SAP システム ID |
| Status | 全体的な接続状態 |
| 詳細 | 接続に関する詳細 |
| ExtendedDetails | 接続の拡張詳細 |
| LastSeen | 最新のアクティビティのタイムスタンプ |
| StatusCode | システムの状態を反映するコード |
SAPConnectorOverview
SAPConnectorOverview 関数は、各 SAP テーブルのシステム ID ごとの行数を表示します。 システム ID ごとのデータ レコードと、その生成時間の一覧を返します。
パラメーター:
- TimeAgo
- オプション
- 既定値: 7 日間
TimeAgo値によって定義された時間からnow()値によって定義された時間まで、ユーザー マスター データをシークすることを指定します。
| フィールド | 説明 |
|---|---|
| TimeGenerated | レコードが生成されたタイムスタンプの datetime 値 |
| SystemID_s | SAP システム ID を表す文字列 |
次の Kusto クエリを使用して、日次傾向分析を実行します。
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
SAPUsersEmail 関数を使用すると、SAP システムとクライアントごとに SAP ユーザーのメール アドレスをパフォーマンス指向で検索できます。通常は、それを Active Directory アカウントに関連付けるために使用されます。 SAP テーブル USR21 (ユーザー名/アドレス キーの割り当て) と ADR6 (メールアドレス) から抽出されたデータを使用して、SAPUsersEmail 関数はメールアドレスを検索します。 見つからない場合は、メール アドレスの代わりにユーザー ID が返されます。 この動作により、多くの場合、メール アドレスに関連付けられていない SAP サービス アカウント (DDIC など) が擬似 AD アカウントとしてログに記録され、一部の UEBA フィーチャーが有効になり、インシデントやハンティング アクティビティの調査に役立ちます。
| フィールド | Description |
|---|---|
| ClientID | SAP クライアント ID |
| SystemID | SAP システム ID |
| User | SAP ユーザー ID |
| SAP ユーザーのメール アドレス |
SAPSystems
SAPSystems 関数は、「SAP - Systems」 ウォッチリストを使用して行われたシステムごとの構成を一元的に表示するために使用されます。
パラメーター:
- SelectedSystems
- オプション
- 既定値: 「すべてのシステム」
- 特定の SAP システムをフィルター処理するために使用されます
- SelectedSystemRoles
- オプション
- 既定値: 「すべてのシステムロール」
- 参照する SAP システムのロールを決定します (「SAP - システム」ウォッチリストで定義されているとおり)
| フィールド | 説明 | データ ソース/メモ |
|---|---|---|
| SearchKey | 検索キー | SAP システム ID のインデックス付きフィールド |
| SystemRole | SAP システムのロール | 運用、UAT |
| SystemUsage | SAP システムの主な使用 | ERP、CRM |
| SystemID | SAP システム ID |
SAPAuditLogConfiguration
SAPAuditLogConfiguration 関数は、Sentinel ワークスペースの SAP 監査ログ アラートのローカル構成を返し、さまざまな SAP 監査ログ関連アラートに使用されます。 「SAP 動的監査ログ モニター構成」 および 「SAP - システム」 ウォッチリストのデータを結合して、システムロールごとの作業量でシステムごとの構成を提供します。
パラメーター:
- SelectedSystems
- オプション
- 既定値: 「すべてのシステム」
- 特定の SAP システムをフィルター処理するために使用され参照します。
- SelectedSystemRoles
- オプション
- 既定値: 「すべてのシステムロール」
- 参照する SAP システムのロールを決定します (「SAP - システム」ウォッチリストで定義されているとおり)。
- SelectedSeverities
- オプション
- 既定値: [「High」、「Medium」]
- 重要度の観点から参照するイベントを決定するために使用されます。 SAP 監査ログ メッセージ ID およびシステム ロールごとの重大度は、「SAP_Dynamic_Audit_Log_Monitor_Configuration」 ウォッチリストで定義されます。
- SelectedRuleTypes
- オプション
- 既定値: 「全てのルール型」
- 異常の検出に関連するイベントを決定します。 SAP 監査ログ メッセージ ID およびシステム ロールごとのルール型は、「SAP_Dynamic_Audit_Log_Monitor_Configuration」 ウォッチリストで定義されます。
| フィールド | 説明 | データ ソース/メモ |
|---|---|---|
| CategoryName | SAP 指定のイベント カテゴリ | 「SAP 動的監査ログ モニターの構成」 ウォッチリスト |
| DestinationEmail | 割り当てられたチームのメール アドレス | 「SAP 動的監査ログ モニターの構成」 ウォッチリスト |
| DetailedDescription | アラートに表示されるマークダウン形式のテキスト メッセージ | 「SAP 動的監査ログ モニターの構成」 ウォッチリスト |
| MessageID | SAP 監査ログ メッセージ ID | 「SAP 動的監査ログ モニターの構成」 ウォッチリスト |
| [MessageText] | サンプル メッセージ テキスト | 「SAP 動的監査ログ モニターの構成」 ウォッチリスト |
| RolesTagsToExclude | ABAP ロール、プロファイル、またはフリー テキスト メッセージ タグ | 「SAP 動的監査ログ モニターの構成」 ウォッチリスト |
| RuleType | 異常または決定論的 | 「SAP 動的監査ログ モニターの構成」 ウォッチリスト |
| 方針 | MITRE ATTA>CK 戦術 | 「SAP 動的監査ログ モニターの構成」 ウォッチリスト |
| TeamsChannelID | Teams チャンネル | 「SAP 動的監査ログ モニターの構成」 ウォッチリスト |
| SystemID | SAP システム ID | 「SAP - システム」 ウォッチリスト |
| SystemRole | SAP システムのロール | 「SAP - システム」 ウォッチリスト |
| SystemUsage | SAP システムの主な使用 | 「SAP - システム」 ウォッチリスト |
| IsProd | 運用システム フラグ | 「SAP - システム」 ウォッチリスト |
| 重大度 | 派生重大度 | システム使用量あたりの重大度 |
| しきい値 | 派生しきい値 | システム使用量あたりのイベント数 |
| BagOfDetails | BagOfDetails | イベント定義の詳細を示すディクショナリ |
SAPAuditLogAnomalies
SAPAuditLogAnomalies は、Sentinel の基になる Kusto データベースの組み込みの機械学習機能を使用して、SAP 監査ログで観察される異常なイベントを検出するのに役立ちます。 「SAP - (試験段階) 動的異常ベースの監査ログ モニター アラート」 アラート ルール用に開発されたこの関数は、最初は最近の異常をアラートするように設計されていましたが、過去の異常を強調表示するのにも役立ちます (以下の例を参照)。
パラメーター:
- 学習時間
- オプション
- 既定値: 14 日
- モデル学習に使用される期間を決定する
- 時間の検出
- オプション
- 既定値: 1 時間
- 異常を検出するために確認する期間を決定します。 検出時間 = 0時間 でこの関数を呼び出すと、学習時間の期間全体の異常が強調表示されます
- SelectedSystems
- オプション
- 既定値: 「すべてのシステム」
- 特定の SAP システムをフィルター処理するために使用され参照します。
- SelectedSystemRoles
- オプション
- 既定値: 「すべてのシステムロール」
- 参照する SAP システムのロールを決定します (「SAP - システム」ウォッチリストで定義されているとおり)。
- SelectedSeverities
- オプション
- 既定値: [「High」、「Medium」]
- 重要度の観点から参照するイベントを決定するために使用されます。 SAP 監査ログ メッセージ ID およびシステム ロールごとの重大度は、「SAP_Dynamic_Audit_Log_Monitor_Configuration」 ウォッチリストで定義されます。
- SelectedPrefixMask
- オプション
- 既定値: 24
- 学習と検出に使用されるサブネット マスク レベルを決定するために使用されます。
- SelectedRuleTypes
- オプション
- 既定値: 「AnomaliesOnly」
- 異常の検出に関連するイベントを決定します。 SAP 監査ログ メッセージ ID およびシステム ロールごとのルール型は、「SAP_Dynamic_Audit_Log_Monitor_Configuration」 ウォッチリストで定義されます。
ロジック
この関数は、ユーザー、ネットワーク属性、システム、季節性、およびアクティビティ レベルで、さまざまな入力パラメーターによって定義された履歴の一部を学習します。 次に、前回の 検出時間 期間内で発生したイベントを学習内容に従って判断し、SAP 監査ログ構成ウォッチリストから取得したしきい値とその他の構成可能な除外条件を適用します。 ユーザー アクティビティのスライディング ウィンドウが異常と見なされると、2 番目のクエリは、決定をサポートする証拠としてユーザー アクティビティ全体を返します。
その他のメモ
他の機械学習ソリューションと同様に、この関数は時間と共に優れたパフォーマンスを発揮します。 さらに調整は、ローカル構成を使用して行うことができます。 使用可能な多くの入力パラメーターを使用して、学習したデータベースのサイズを 1 億レコード以下に制限することをお勧めします。
例: 「SAP_Dynamic_Audit_Log_Monitor_Configuration」 で 「AnomaliesOnly」 とマークされているイベントの種類の実稼働システムで過去 1 時間以内に発生した重大度の高いイベントの異常を探す
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]),
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
例: システム 「BIP」 で過去 14 日間のすべての異常を探す
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
| フィールド | 説明 |
|---|---|
| SAPAuditLog からの複数のフィールド | SAP 監査ログのキー フィールド |
| SAPAuditLogConfiguration からの複数のフィールド | Sentinel for SAP 監査ログ構成のキー フィールド |
| DiscoveredOn | 異常が観察された丸められた時間 |
| EventCount | 返された行ごとにカウントされるイベントの数 |
| AnomalCount | 関連するスライディング ウィンドウ内で観察されたイベントの数 |
| MinTime | 観察された最初のイベントの時刻 |
| MaxTime | 最後に観察されたイベントの時刻 |
| スコア | 異常モデルによって生成される異常スコア |
詳しくは、「SAP 監査ログを監視するための組み込みの SAP 分析ルール」をご覧ください。
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend は、SAP - 動的異常ベースの監査ログ モニター アラート (プレビュー) 分析ルールの構成に関する推奨事項を提供するように設計されたヘルパー関数です。 ルールを構成する方法について説明します。
SAPUsersGetVIP
SAP® アプリケーション用の Microsoft Sentinel ソリューションでは、集中ユーザーのタグ付けと明示的な除外の概念を使用します。これは、最小限の労力で誤検知を減らすのに役立ちます。 SAPUsersGetVIP 関数を使用して、SAP ユーザー ロール、SAP ユーザー関数、またはそれらのユーザーを表すタグを指定して、ユーザーをアラートのトリガーから除外します。 詳細については、「Microsoft Sentinel での擬陽性の処理」を参照してください。
SAPUsersGetVIP 関数の入力として指定されたタグは、SAP_User_Configウォッチリストにリストされているタグを持つすべてのユーザーを除外します。 同じ機能がワイルドカードで動作するように拡張されているため、同じ名前付け構文を持つユーザーのグループに 1 つのタグを割り当てることができます。
SAP_User_Config ウォッチリストのユーザーに次のようにタグ付けします。
さまざまなシナリオに対応するために必要に応じて、SAP_User_Configウォッチリストの各ユーザーに複数のタグを追加します。 各アラート ルールには、関連する独自のタグ (存在する場合) があり、必要に応じてカスタム タグを追加できます。
アスタリスク (*) をワイルドとして使用カード特定の名前付け構文テンプレートを持つユーザーを含めます。
分析ルールに SAPUsersGetVIP 関数を追加して、アラートから除外するように定義したユーザーの一覧を要求します。 関数呼び出しで、除外するタグ、SAP ロール、および SAP プロファイルを含む配列を追加します。
たとえば、分析ルールで次の KQL クエリを使用して、SAP_User_Config ウォッチリストで RunObsoleteProgOK タグで構成されたすべてのユーザー、またはサンプル SAP_BASIS_ADMIN_ROLE ロールまたはサンプル SAP_ADMIN_PROFILE プロファイルを持つユーザーを除外します。
このサンプル関数呼び出しをコピーするときは、SAP_BASIS_ADMIN_ROLEロールとSAP_ADMIN_PROFILEプロファイルを、必要に応じて独自の SAP ロールまたはプロファイルに置き換えます。
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
SAPUsersGetVIP 関数は、確定的および異常な監査ログ モニター アラートでよく使用されます。 タグを SAP 監査ログ メッセージ ID に関連付けるか、組織のニーズに合ったカスタムルールにルール テンプレートを拡張します。
ヒント
SAP_User_Configウォッチリストに含める SAP ユーザー、ロール、プロファイルについては、SAP システム管理者に問い合わせてください。
パラメーター:
| 名前 | Description | 規定値 |
|---|---|---|
| SearchForTags (省略可能) | 等しいAll Tags場合SearchForTags、すべてのユーザーがタグと共に返されます。 それ以外の場合は、指定されたタグ、SAP ロール、または SAP プロファイルを SearchForTags 持つユーザーのみが返されます。 TagsIntersect は、見つかったタグを示し IntersectionSize 、検出されたタグの数を保持します。 |
dynamic('All Tags') |
| SpecialFocusTags (省略可能) | で指定された SpecialFocusTagsタグを持つすべてのユーザーを返し、マークを付けます specialFocusTagged = true。 |
Do not return any in-focus users |
| ソース | フィールド | 説明 | メモ |
|---|---|---|---|
| SAP_User_Configウォッチリスト | SearchKey | 検索キー | |
| SAP_User_Configウォッチリスト | SAPUser | SAP ユーザー | OSS、DDIC |
| SAP_User_Configウォッチリスト | タグ | ユーザーに割り当てられたタグの文字列 | RunObsoleteProgOK |
| SAP_User_Configウォッチリスト | ユーザーの Microsoft Entra オブジェクト ID | Microsoft Entra オブジェクト ID | |
| SAP_User_Configウォッチリスト | ユーザー ID | AD ユーザー ID | |
| SAP_User_Configウォッチリスト | ユーザーのオンプレミス SID | ||
| SAP_User_Configウォッチリスト | ユーザー プリンシパル名 | ||
| SAP_User_Configウォッチリスト | TagsList | ユーザーに割り当てられたタグのリスト | ChangeUserMasterDataOK;RunObsoleteProgOK |
| ロジック | TagsIntersect | SearchForTags と一致したタグのセット | ["ChangeUserMasterDataOK"、"RunObsoleteProgOK"] |
| ロジック | SpecialFocusTagged | 特別なフォーカス表示 | True、False |
| ロジック | IntersectionSize | 交差するタグの数 |
SAPUsersHeader
SAPUsersHeader 関数は、SAP ユーザーの概要を表示するように設計されています。 SAP ユーザー マスター データ テーブルと SAP 監査ログの最近のアクティビティの両方から抽出されたデータを使用して、メールアドレスと IP アドレスを収集します。 その後、最後の既知のメールアドレスと IP アドレスと、プライマリ メールアドレスと IP アドレスが返されます。 パラメーター: SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic(["All Users"]) SelectedUser:string = "All Users"
- SelectedSystems
- オプション
- 既定値: 「すべてのシステム」
- 特定の SAP システムをフィルター処理するために使用され参照します。
- SelectedSystemRoles
- オプション
- 既定値: 「すべてのシステムロール」
- 参照する SAP システムのロールを決定します (「SAP - システム」ウォッチリストで定義されているとおり)。
- SelectedUsers
- オプション
- 既定値: "すべてのユーザー"
- ユーザーのリストを入力できます。
- SelectedUser
- オプション
- 既定値: "すべてのユーザー"
- 1 人のユーザーのみ受け入れます
その他のメモ
パフォーマンスに関する考慮事項として、数日間の監査アクティビティのみが考慮されます。 ユーザー アクティビティの完全な履歴については、SAPAuditLog 関数に対してカスタム KQL クエリを実行します。
| source | フィールド | 説明 | Notes |
|---|---|---|---|
| User | SAP ユーザー | ||
| SAP テーブル ADR6 と USR21 | ユーザーのマスター データから取得 | OSS、DDIC | |
| SAP テーブル USR02 | UserType | ユーザーに割り当てられたタグの文字列 | RunObsoleteProgOK |
| SAP テーブル USR02 | タイム ゾーン | Microsoft Entra オブジェクト ID | |
| SAP テーブル USR02 | LockedStatus | AD ユーザー ID | |
| SAP 監査ログ | LastSeen | タイムスタンプ | ユーザーに対して観察された最後の監査イベント |
| SAP 監査ログ | LastSeenDaysAgo | LastSeen から経過した日数 | |
| SAP 監査ログ | PrimaryIP | 最もよく使用される IP アドレス | ChangeUserMasterDataOK;RunObsoleteProgOK |
| SAP 監査ログ | LastKnownIP | 最近使用した IP アドレス | ["ChangeUserMasterDataOK"、"RunObsoleteProgOK"] |
| SAP 監査ログ | PrimaryEmail | 最近使用した IP アドレス | True、False |
| SAP 監査ログ | KnownIPs | 既知の IP アドレスの一覧 | 最も頻繁に最初に並べ替えられる |
| SAP 監査ログ | KnownEmails | 既知のEmail アドレスの一覧 | 最も頻繁に最初に並べ替えられる |
| Client | SAP クライアント ID | ||
| SystemID | SAP システム ID | ||
| SystemRole | SAP システムのロール | 運用、UAT | |
| SystemUsage | SAP システムの主な使用 | ERP、CRM |
データ コネクタ エージェントによって生成されるログ
このセクションでは、SAP® 向け Microsoft Sentinel ソリューション アプリケーションのデータ コネクタから利用できる SAP ログについて説明します。Microsoft Sentinel でのテーブル名、ログの目的、詳細なログ スキーマが含まれます。 スキーマのフィールドの説明は、関連 SAP ドキュメントにおけるフィールドの説明に準じています。
最良の結果を得るには、以下に示す Microsoft Sentinel 関数を使用して、データの視覚化、アクセス、クエリを実行します。
- ABAP アプリケーション ログ
- ABAP 変更文書ログ
- ABAP CR ログ
- ABAP DB テーブル データ ログ (プレビュー)
- ABAP DB ゲートウェイ データ ログ (プレビュー)
- ABAP ICM ログ (プレビュー)
- ABAP ジョブ ログ
- ABAP セキュリティ監査ログ
- ABAP スプール ログ
- APAB スプール出力ログ
- ABAP SysLog
- ABAP Workflow ログ
- ABAP WorkProcess ログ
- HANA DB 監査証跡
- JAVA ファイル
- SAP ハートビート ログ
ABAP アプリケーション ログ
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPAppLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: 必要に応じて後で再現できるよう、アプリケーション実行の進行状況を記録します。
XBP インターフェイスの標準 SAP テーブルと標準サービスに基づく RFC を使用して利用できます。 このログは、クライアントごとに生成されます。
ABAPAppLog_CL ログ スキーマ
| フィールド | Description |
|---|---|
| AppLogDateTime | アプリケーション ログの日時 |
| CallbackProgram | コールバック プログラム |
| CallbackRoutine | コールバック ルーチン |
| CallbackType | コールバックの種類 |
| ClientID | ABAP クライアント ID (MANDT) |
| ContextDDIC | コンテキストの DDIC 構造 |
| ExternalID | 外部ログ ID |
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | アプリケーション ログ メッセージのシリアル |
| LevelofDetail | 詳細レベル |
| LogHandle | アプリケーション ログのハンドル |
| LogNumber | ログ番号 |
| MessageClass | message クラス |
| MessageNumber | メッセージ番号 |
| [MessageText] | [メッセージ テキスト] |
| MessageType | メッセージの種類 |
| Object | アプリケーション ログ オブジェクト |
| OperationMode | 操作モード |
| ProblemClass | 問題クラス |
| ProgramName | プログラム名 |
| SortCriterion | 並べ替え条件 |
| StandardText | 標準テキスト |
| SubObject | アプリケーション ログのサブオブジェクト |
| SystemID | システム ID |
| SystemNumber | システム数 |
| TransactionCode | トランザクション コード |
| User | User |
| UserChange | ユーザーの変更 |
ABAP 変更文書ログ
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPChangeDocsLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: 次の情報を記録します。
変更文書におけるビジネス データ オブジェクトに対する SAP NetWeaver Application Server (AS) ABAP ログの変更。
SAP システム内のその他のエンティティ (ユーザー データ、ロール、アドレスなど)。
標準 SAP テーブルに基づく RFC を使用して利用できます。 このログは、クライアントごとに生成されます。
ABAPChangeDocsLog_CL ログ スキーマ
| フィールド | Description |
|---|---|
| ActualChangeNum | 実際の変更番号 |
| ChangedTableKey | 変更されたテーブル キー |
| ChangeNumber | 変更番号 |
| ClientID | ABAP クライアント ID (MANDT) |
| CreatedfromPlannedChange | 予定された変更から次の構文で作成されます: (‘X’ , ‘ ‘) |
| CurrencyKeyNew | 通貨キー: 新しい値 |
| CurrencyKeyOld | 通貨キー: 古い値 |
| FieldName | フィールド名 |
| FlagText | フラグ テキスト |
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス: <HOST>_<SYSID>_<SYSNR> |
| 言語 | 言語 |
| ObjectClass | オブジェクト クラス (BELEG、BPAR、PFCG、IDENTITY) |
| ObjectID | オブジェクト ID |
| PlannedChangeNum | 予定された変更番号 |
| SystemID | システム ID |
| SystemNumber | システム数 |
| TableName | テーブル名 |
| TransactionCode | トランザクション コード |
| TypeofChange_Header | 変更のヘッダー タイプ (例): U = 変更、I = 挿入、E = 単一文書の削除、D = 削除、J = 単一文書の挿入 |
| TypeofChange_Item | 変更のアイテム タイプ (例): U = 変更、I = 挿入、E = 単一文書の削除、D = 削除、J = 単一文書の挿入 |
| UOMNew | 測定単位: 新しい値 |
| UOMOld | 測定単位: 古い値 |
| User | User |
| ValueNew | フィールドの内容: 新しい値 |
| ValueOld | フィールドの内容: 古い値 |
| バージョン | バージョン |
ABAP CR ログ
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPCRLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: Change & Transport System (CTS) のログ、たとえば変更が加えられたディレクトリ オブジェクトやカスタマイズを含みます。
標準テーブルと標準 SAP サービスに基づく RFC を使用して利用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
Note
アプリケーション ログ、変更文書、テーブルの記録に加え、Change & Transport System を使用して運用システムに行うあらゆる変更が CTS ログと TMS ログに記録されます。
ABAPCRLog_CL ログ スキーマ
| フィールド | 説明 |
|---|---|
| カテゴリ | カテゴリ (ワークベンチ、カスタマイズ) |
| ClientID | ABAP クライアント ID (MANDT) |
| 説明 | 説明 |
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス: <HOST>_<SYSID>_<SYSNR> |
| ObjectName | オブジェクト名 |
| ObjectType | オブジェクトの種類 |
| 所有者 | 所有者 |
| 要求 | 変更要求 |
| Status | Status |
| SystemID | システム ID |
| SystemNumber | システム数 |
| TableKey | テーブル キー |
| TableName | テーブル名 |
| ViewName | ビューの名前 |
ABAP DB テーブル データ ログ(プレビュー)
このログを Microsoft Sentinel に送信するには、systemconfig.ini ファイルに手動で追加する必要があります。
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPTableDataLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: 監査にとってきわめて重要なテーブルや監査の対象になりやすいテーブルのログ記録に対応します。
カスタム サービスと RFC を併用することで利用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
ABAPTableDataLog_CL ログ スキーマ
| フィールド | Description |
|---|---|
| DBLogID | DB ログ ID |
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス: <HOST>_<SYSID>_<SYSNR> |
| 言語 | 言語 |
| LogKey | ログ キー |
| NewValue | フィールドの新しい値 |
| OldValue | フィールドの古い値 |
| OperationTypeSQL | 操作の種類 (Insert、Update、Delete) |
| プログラム | プログラム名 |
| SystemID | システム ID |
| SystemNumber | システム数 |
| TableField | テーブルのフィールド |
| TableName | テーブル名 |
| TransactionCode | トランザクション コード |
| UserName | User |
| VersionNumber | バージョン番号 |
ABAP ゲートウェイ ログ(プレビュー)
このログを Microsoft Sentinel に送信するには、systemconfig.ini ファイルに手動で追加する必要があります。
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPOS_GW
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: ゲートウェイのアクティビティを監視します。 SAP Control Web サービスによって利用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
ABAPOS_GW_CL ログ スキーマ
| フィールド | 説明 |
|---|---|
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス: <HOST>_<SYSID>_<SYSNR> |
| [MessageText] | [メッセージ テキスト] |
| 重大度 | メッセージの重大度: Debug、Info、Warning、Error |
| SystemID | システム ID |
| SystemNumber | システム数 |
ABAP ICM ログ(プレビュー)
このログを Microsoft Sentinel に送信するには、systemconfig.ini ファイルに手動で追加する必要があります。
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPOS_ICM
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: 受信要求と送信要求を記録し、HTTP 要求の統計情報を集計します。
SAP Control Web サービスによって利用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
ABAPOS_ICM_CL ログ スキーマ
| フィールド | 説明 |
|---|---|
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス: <HOST>_<SYSID>_<SYSNR> |
| [MessageText] | [メッセージ テキスト] |
| 重大度 | メッセージの重大度 (例): Debug、Info、Warning、Error |
| SystemID | システム ID |
| SystemNumber | システム数 |
ABAP ジョブ ログ
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPJobLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: すべてのバックグラウンド処理ジョブ ログ (SM37) を結合します。
XBP インターフェイスの標準 SAP テーブルと標準サービスに基づく RFC を使用して利用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
ABAPJobLog_CL ログ スキーマ
| フィールド | Description |
|---|---|
| ABAPProgram | ABAP プログラム |
| BgdEventParameters | バックグラウンド イベントのパラメーター |
| BgdProcessingEvent | バックグラウンド処理イベント |
| ClientID | ABAP クライアント ID (MANDT) |
| DynproNumber | Dynpro 番号 |
| GUIStatus | GUI の状態 |
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス (HOST_SYSID_SYSNR): <HOST>_<SYSID>_<SYSNR> |
| JobClassification | ジョブ分類 |
| JobCount | ジョブ数 |
| JobGroup | ジョブ グループ |
| JobName | ジョブ名 |
| JobPriority | ジョブの優先順位 |
| MessageClass | message クラス |
| MessageNumber | メッセージ番号 |
| [MessageText] | [メッセージ テキスト] |
| MessageType | メッセージの種類 |
| ReleaseUser | ジョブのリリース ユーザー |
| SchedulingDateTime | スケジューリング日時 |
| StartDateTime | 開始日時 |
| SystemID | システム ID |
| SystemNumber | システム数 |
| TargetServer | ターゲット サーバー |
| User | User |
| UserReleaseInstance | ABAP インスタンス - ユーザー リリース |
| WorkProcessID | 作業プロセス ID |
| WorkProcessNumber | 作業プロセス番号 |
ABAP セキュリティ監査ログ
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPAuditLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: 次のデータを記録します。
- メイン ユーザー レコードの変更など、SAP システム環境に対するセキュリティ関連の変更
- 比較的大まかなデータを提供する情報 (サインイン試行の成功と失敗など)
- 一連のイベントの再構築を可能にする情報 (トランザクション開始の成功、失敗など)
RFC XAL または SAL インターフェイスを介して利用できます。 SAL は、Basis 7.50 バージョン以降で提供されます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
ABAPAuditLog_CL ログ スキーマ
| フィールド | Description |
|---|---|
| ABAPProgramName | プログラム名 (SAL のみ) |
| AlertSeverity | アラートの重大度 |
| AlertSeverityText | アラートの重大度テキスト (SAL のみ) |
| AlertValue | アラートの値 |
| AuditClassID | 監査クラス ID (SAL のみ) |
| ClientID | ABAP クライアント ID (MANDT) |
| Computer | ユーザー マシン (SAL のみ) |
| 電子メール | ユーザーの電子メール |
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | message クラス |
| MessageContainerID | メッセージ コンテナー ID (XAL のみ) |
| MessageID | メッセージ ID (‘AU1’,’AU2’… など) |
| [MessageText] | [メッセージ テキスト] |
| MonitoringObjectName | MTE モニター オブジェクト名 (XAL のみ) |
| MonitorShortName | MTE モニターの短い名前 (XAL のみ) |
| SAPProcesType | システム ログ: SAP プロセス タイプ (SAL のみ) |
| B* - バックグラウンド処理 | |
| D* - ダイアログ処理 | |
| U* - 更新タスク | |
| SAPWPName | システム ログ: 作業プロセス番号 (SAL のみ) |
| SystemID | システム ID |
| SystemNumber | システム数 |
| TerminalIPv6 | ユーザー マシン IP (SAL のみ) |
| TransactionCode | トランザクション コード (SAL のみ) |
| User | User |
| Variable1 | メッセージ変数 1 |
| Variable2 | メッセージ変数 2 |
| Variable3 | メッセージ変数 3 |
| Variable4 | メッセージ変数 4 |
ABAP スプール ログ
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPSpoolLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: スプール要求 (SP01) の履歴を含む SAP 印刷のメイン ログとして機能します。 (SP01)。
標準 SAP テーブルに基づく RFC を使用して利用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
ABAPSpoolLog_CL ログ スキーマ
| フィールド | Description |
|---|---|
| ArchiveStatus | アーカイブ状態 |
| ArchiveType | アーカイブの種類 |
| ArchivingDevice | アーカイブ デバイス |
| AutoRereoute | 自動再ルーティング |
| ClientID | ABAP クライアント ID (MANDT) |
| CountryKey | 国キー |
| DeleteSpoolRequestAuto | スプール要求の自動削除 |
| DelFlag | 削除フラグ |
| 部署 | 部署 |
| DocumentType | ドキュメントの種類 |
| ExternalMode | 外部モード |
| FormatType | 形式の種類 |
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | [部数] |
| OutputDevice | 出力デバイス |
| PrinterLongName | プリンターの長い名前 |
| PrintImmediately | 即時印刷 |
| PrintOSCoverPage | OSCover ページの印刷 |
| PrintSAPCoverPage | SAPCover ページの印刷 |
| 優先度 | 優先度 |
| RecipientofSpoolRequest | スプール要求の受信者 |
| SpoolErrorStatus | スプール エラーの状態 |
| SpoolRequestCompleted | スプール要求完了 |
| SpoolRequestisALogForAnotherRequest | スプール要求が別の要求のログになっている |
| SpoolRequestName | スプール要求の名前 |
| SpoolRequestNumber | スプール要求番号 |
| SpoolRequestSuffix1 | スプール要求のサフィックス 1 |
| SpoolRequestSuffix2 | スプール要求のサフィックス 2 |
| SpoolRequestTitle | スプール要求のタイトル |
| SystemID | システム ID |
| SystemNumber | システム数 |
| TelecommunicationsPartner | 通信パートナー |
| TelecommunicationsPartnerE | 通信パートナー E |
| TemSeGeneralcounter | TemSe カウンター |
| TemseNumAddProtectionRule | TemSe の追加保護ルール番号 |
| TemseNumChangeProtectionRule | TemSe の変更保護ルール番号 |
| TemseNumDeleteProtectionRule | TemSe の削除保護ルール番号 |
| TemSeObjectName | TemSe オブジェクト名 |
| TemSeObjectPart | TemSe オブジェクト パーツ |
| TemseReadProtectionRule | TemSe 読み取り保護ルール |
| User | User |
| ValueAuthCheck | 値承認チェック |
APAB スプール出力ログ
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPSpoolOutputLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: スプール出力要求 (SP02) の履歴を含む SAP 印刷のメイン ログとして機能します。 (SP02)。
標準テーブルに基づくカスタム サービスと RFC を併用することで利用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
ABAPSpoolOutputLog_CL ログ スキーマ
| フィールド | Description |
|---|---|
| AppServer | アプリケーション サーバー |
| ClientID | ABAP クライアント ID (MANDT) |
| コメント | コメント |
| CopyCount | コピー数 |
| CopyCounter | コピー カウンター |
| 部署 | 部署 |
| ErrorSpoolRequestNumber | エラー要求番号 |
| FormatType | 形式の種類 |
| Host | Host |
| HostName | ホスト名 |
| HostSpoolerID | ホスト スプーラー ID |
| インスタンス | ABAP インスタンス |
| LastPage | 最後のページ |
| NumofCopies | [部数] |
| OutputDevice | 出力デバイス |
| OutputRequestNumber | 出力要求番号 |
| OutputRequestStatus | 出力要求の状態 |
| PhysicalFormatType | 物理フォーマット タイプ |
| PrinterLongName | プリンターの長い名前 |
| PrintRequestSize | 印刷要求のサイズ |
| 優先度 | 優先度 |
| ReasonforOutputRequest | 出力要求の理由 |
| RecipientofSpoolRequest | スプール要求の受信者 |
| SpoolNumberofOutputReqProcessed | 出力要求の数 - 処理済み |
| SpoolNumberofOutputReqWithErrors | 出力要求の数 - エラーあり |
| SpoolNumberofOutputReqWithProblems | 出力要求の数 - 問題あり |
| SpoolRequestNumber | スプール要求番号 |
| StartPage | スタート ページ |
| SystemID | システム ID |
| SystemNumber | システム数 |
| TelecommunicationsPartner | 通信パートナー |
| TemSeGeneralcounter | TemSe カウンター |
| タイトル | タイトル |
| User | User |
ABAP Syslog
このログを Microsoft Sentinel に送信するには、systemconfig.ini ファイルに手動で追加する必要があります。
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPOS_Syslog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: SAP NetWeaver Application Server (SAP NetWeaver AS) ABAP システムのエラー、警告、ユーザー ロック (既知のユーザーからのサインイン試行の失敗によるもの)、処理メッセージをすべて記録します。
SAP Control Web サービスによって利用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
ABAPOS_Syslog_CL ログスキーマ
| フィールド | Description |
|---|---|
| ClientID | ABAP クライアント ID (MANDT) |
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | メッセージ番号 |
| [MessageText] | [メッセージ テキスト] |
| 重大度 | メッセージの重大度 (Debug、Info、Warning、Error のいずれかの値)。 |
| SystemID | システム ID |
| SystemNumber | システム数 |
| TransacationCode | トランザクション コード |
| 型 | SAP プロセス タイプ |
| User | User |
ABAP Workflow ログ
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPWorkflowLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: SAP Business Workflow (WebFlow エンジン) では、SAP システムにおけるマッピングが済んでいないビジネス プロセスを定義できます。
マッピングの済んでいないビジネス プロセスとしては、たとえばリリースや承認の単純な手続きのほか、基本資料を作成して関連部署を調整するなど、より複雑なビジネス プロセスが挙げられます。
標準 SAP テーブルに基づく RFC を使用して利用できます。 このログは、クライアントごとに生成されます。
ABAPWorkflowLog_CL ログスキーマ
| フィールド | Description |
|---|---|
| ActualAgent | 実際のエージェント |
| Address | Address |
| ApplicationArea | アプリケーション領域 |
| CallbackFunction | コールバック関数 |
| ClientID | ABAP クライアント ID (MANDT) |
| CreationDateTime | 作成日時 |
| Creator | Creator |
| CreatorAddress | 作成者のアドレス |
| ErrorType | エラーの種類 |
| ExceptionforMethod | メソッドの例外 |
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス (HOST_SYSID_SYSNR): <HOST>_<SYSID>_<SYSNR> |
| 言語 | 言語 |
| LogCounter | ログ カウンター |
| MessageNumber | メッセージ番号 |
| MessageType | メッセージの種類 |
| MethodUser | メソッドのユーザー |
| 優先度 | 優先度 |
| SimpleContainer | キーと値から成る作業項目エンティティのリストとしてパックされた単純なコンテナー。 |
| Status | Status |
| SuperWI | スーパー WI |
| SystemID | システム ID |
| SystemNumber | システム数 |
| TaskID | タスク ID |
| TasksClassification | タスクの分類 |
| TaskText | タスク テキスト |
| TopTaskID | トップ タスク ID |
| UserCreated | User created (ユーザーが作成) |
| WIText | 作業項目のテキスト |
| WIType | 作業項目の種類 |
| WorkflowAction | ワークフロー アクション |
| WorkItemID | 作業アイテム ID |
ABAP WorkProcess ログ
このログを Microsoft Sentinel に送信するには、systemconfig.ini ファイルに手動で追加する必要があります。
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPOS_WP
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: 作業プロセスのログをすべて結合します (既定値:
dev_*)。SAP Control Web サービスによって利用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
ABAPOS_WP_CL ログ スキーマ
| フィールド | 説明 |
|---|---|
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス: <HOST>_<SYSID>_<SYSNR> |
| [MessageText] | [メッセージ テキスト] |
| 重大度 | メッセージの重大度: Debug、Info、Warning、Error |
| SystemID | システム ID |
| SystemNumber | システム数 |
| WPNumber | 作業プロセス番号 |
HANA DB 監査証跡
このログを Microsoft Sentinel に送信させるには、Microsoft 管理エージェントをデプロイして、HANA DB を実行しているマシンから Syslog データを収集する必要があります。
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPSyslog
ログの目的: ユーザーの操作、つまり SAP HANA データベースにおいて試行された操作を記録します。 たとえば、機密データへの読み取りアクセスを記録、監視することができます。
Syslog 用 Sentinel Linux エージェントによって利用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
Syslog ログ スキーマ
| フィールド | 説明 |
|---|---|
| Computer | ホスト名 |
| HostIP | ホストの IP |
| HostName | ホスト名 |
| ProcessID | プロセス ID |
| ProcessName | プロセス名: HDB* |
| SeverityLevel | アラート: |
| SourceSystem | ソース システム OS (Linux) |
| SyslogMessage | メッセージ (未解析の監査証跡メッセージ) |
JAVA ファイル
このログを Microsoft Sentinel に送信するには、systemconfig.ini ファイルに手動で追加する必要があります。
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPJAVAFilesLogs
関連する SAP ドキュメント: 全般 | Java セキュリティ監査ログ
ログの目的: Java ファイルベースのすべてのログ (セキュリティ監査ログを含む) と、システム (クラスターおよびサーバー プロセス)、パフォーマンス、ゲートウェイのログとを結合します。 開発者のトレース ログや既定のトレース ログも含みます。
SAP Control Web サービスによって利用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
JavaFilesLogsCL ログ スキーマ
| フィールド | 説明 |
|---|---|
| Application | Java アプリケーション |
| ClientID | クライアント ID |
| CSNComponent | CSN コンポーネント (BC-XI-IBD など) |
| DCComponent | DC コンポーネント (com.sap.xi.util.misc など) |
| DSRCounter | DSR カウンター |
| DSRRootContentID | DSR コンテキストの GUID |
| DSRTransaction | DSR トランザクションの GUID |
| Host | Host |
| インスタンス | 次の構文の Java インスタンス: <HOST>_<SYSID>_<SYSNR> |
| 場所 | Java クラス |
| LogName | Java のログ名 (Available、defaulttrace、dev*、security など) |
| [MessageText] | [メッセージ テキスト] |
| MNo | メッセージ番号 |
| Pid | プロセス ID |
| プログラム | プログラム名 |
| Session | Session |
| 重大度 | メッセージの重大度 (例): Debug、Info、Warning、Error |
| 解決策 | 解決策 |
| SystemID | システム ID |
| SystemNumber | システム数 |
| ThreadName | スレッド名 |
| Thrown | 例外をスロー |
| TimeZone | タイム ゾーン |
| User | User |
SAP ハートビートログ
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPConnectorHealth
ログの目的: エージェントとさまざまな SAP システム間の接続に関するハートビートおよびその他の正常性情報を提供します。
SAP 向け Microsoft Sentinel データ コネクタのすべてのエージェントに対して自動的に作成されます。
SAP_HeartBeat_CL ログ スキーマ
| フィールド | 説明 |
|---|---|
| TimeGenerated | ログ投稿イベントの時刻 |
| agent_id_s | エージェントの構成内のエージェント ID (自動的に生成) |
| agent_ver_s | エージェントのバージョン |
| host_s | エージェントのホスト名 |
| system_id_s | Netweaver ABAP システム ID / Netweaver SAPControl ホスト (プレビュー) / Java SAPControl ホスト (プレビュー) |
| push_timestamp_d | エージェントのタイム ゾーンに基づく抽出のタイムスタンプ |
| agent_timezone_s | エージェントのタイム ゾーン |
SAP システムから直接取得されるテーブル
このセクションでは、SAP システムから直接取得され、Microsoft Sentinel にそのまま取り込まれるデータ テーブルの一覧を示します。
これらのテーブルのデータが Microsoft Sentinel に取り込まれるようにするには、systemconfig.ini ファイルで関連する設定を構成します。 詳細については、「ユーザー マスターデータ コレクションの構成」を参照してください。
これらのテーブルから取得されたデータにより、認可構造、グループ メンバーシップ、およびユーザー プロファイルが明確にわかります。 また、認可の付与と取り消しのプロセスを追跡し、それらのプロセスに関連するリスクを識別して管理することもできます。
次に示すテーブルは、特権ユーザーを識別する関数を有効にし、ユーザーをロール、グループ、および認可にマップするために必要です。
最良な結果を得るには、下の「Sentinel 関数名」列の名前を使用して、これらのテーブルを参照してください。
| テーブル名 | テーブルの説明 | Sentinel 関数名 |
|---|---|---|
| USR01 | ユーザー マスター レコード (ランタイム データ) | SAP_USR01 |
| USR02 | ログオン データ (カーネル側の使用) | SAP_USR02 |
| UST04 | ユーザー マスター プロファイルへのユーザーのマップ |
SAP_UST04 |
| AGR_USERS | ユーザーへのロールの割り当て | SAP_AGR_USERS |
| AGR_1251 | アクティビティ グループの認可データ | SAP_AGR_1251 |
| USGRP_USER | ユーザー グループへのユーザーの割り当て | SAP_USGRP_USER |
| USR21 | ユーザー名/アドレス キーの割り当て | SAP_USR21 |
| ADR6 | 電子メール アドレス (ビジネス アドレス サービス) | SAP_ADR6 |
| USRSTAMP | ユーザーへのすべての変更のタイム スタンプ | SAP_USRSTAMP |
| ADCP | 個人/アドレスの割り当て (ビジネス アドレス サービス) | SAP_ADCP |
| USR05 | ユーザー マスター パラメーター ID | SAP_USR05 |
| AGR_PROF | ロールのプロファイル名 | SAP_AGR_PROF |
| AGR_FLAGS | ロール属性 | SAP_AGR_FLAGS |
| DEVACCESS | 開発ユーザーのテーブル | SAP_DEVACCESS |
| AGR_DEFINE | ロール定義 | SAP_AGR_DEFINE |
| AGR_AGRS | 複合ロール内のロール | SAP_AGR_AGRS |
| PAHI | システム、データベース、および SAP パラメーターの履歴 | SAP_PAHI |
| SNCSYSACL (プレビュー) | SNC アクセス制御リスト (ACL): システム | SAP_SNCSYSACL |
| USRACL (プレビュー) | SNC アクセス制御リスト (ACL) ユーザー | SAP_USRACL |
次の手順
詳細については、次を参照してください。
- SAP® 向け Microsoft Sentinel ソリューション アプリケーションをデプロイする
- SAP® 向け Microsoft Sentinel ソリューション アプリケーションの詳細な SAP 要件
- SNC を使用して Microsoft Sentinel for SAP データ コネクタをデプロイする
- エキスパートの構成オプション、オンプレミス デプロイ、SAPControl のログ ソース
- SAP® 向け Microsoft Sentinel ソリューション アプリケーション: 組み込みセキュリティ コンテンツ
- SAP システムの正常性を監視する
- SAP® アプリケーション用の Microsoft Sentinel ソリューションのデプロイに関するトラブルシューティング