Rozwiązywanie problemów z rozwiązaniem Microsoft Sentinel na potrzeby wdrażania aplikacji SAP®

Przydatne polecenia platformy Docker

Podczas rozwiązywania problemów z łącznikiem danych sap usługi Microsoft Sentinel przydatne mogą być następujące polecenia:

Function	Polecenie
Zatrzymywanie kontenera platformy Docker	docker stop sapcon-[SID]
Uruchamianie kontenera platformy Docker	docker start sapcon-[SID]
Wyświetlanie dzienników systemu platformy Docker	docker logs -f sapcon-[SID]
Wprowadź kontener platformy Docker	docker exec -it sapcon-[SID] bash

Aby uzyskać więcej informacji, zobacz dokumentację interfejsu wiersza polecenia platformy Docker.

Przeglądanie dzienników systemowych

Zdecydowanie zalecamy przejrzenie dzienników systemowych po zainstalowaniu lub zresetowaniu łącznika danych.

Uruchom:

docker logs -f sapcon-[SID]

Włączanie/wyłączanie drukowania w trybie debugowania

Włącz drukowanie w trybie debugowania:

1. Na maszynie wirtualnej zmodyfikuj plik /opt/sapcon/[SID]/systemconfig.ini .

2. Zdefiniuj sekcję Ogólne , jeśli nie została ona wcześniej zdefiniowana. W tej sekcji zdefiniuj wartość logging_debug = True.

   Na przykład:

   [General]
   logging_debug = True
   

3. Zapisz plik.

Zmiana zostanie w życie dwie minuty po zapisaniu pliku. Nie musisz ponownie uruchamiać kontenera platformy Docker.

Wyłącz drukowanie w trybie debugowania:

1. Na maszynie wirtualnej zmodyfikuj plik /opt/sapcon/[SID]/systemconfig.ini .

2. W sekcji Ogólne zdefiniuj wartość logging_debug = False.

   Na przykład:

   [General]
   logging_debug = False
   

3. Zapisz plik.

Zmiana zostanie w życie dwie minuty po zapisaniu pliku. Nie musisz ponownie uruchamiać kontenera platformy Docker.

Wyświetlanie wszystkich dzienników wykonywania kontenera

Połączenie dzienniki wykonywania rozwiązania Microsoft Sentinel dla wdrożenia łącznika danych aplikacji SAP® są przechowywane na maszynie wirtualnej w katalogu /opt/sapcon/[SID]/log/. Nazwa pliku dziennika jest OmniLog.log. Historia plików dziennika jest przechowywana z sufiksem .[ liczba] takich jak OmniLog.log.1, OmniLog.log.2 itp.

Przejrzyj i zaktualizuj konfigurację łącznika danych sap sentinel

Jeśli chcesz sprawdzić plik konfiguracji łącznika danych SAP w usłudze Microsoft Sentinel i wprowadzić aktualizacje ręczne, wykonaj następujące kroki:

1. Na maszynie wirtualnej otwórz plik konfiguracji:

   • sapcon/[SID]/systemconfig.json dla wersji agenta wydanych 22 czerwca 2023 r.
   • sapcon/[SID]/systemconfig.ini dla wersji agenta wydanych przed 22 czerwca 2023 r.

2. Zaktualizuj konfigurację w razie potrzeby i zapisz plik.

Zmiana zostanie w życie dwie minuty po zapisaniu pliku. Nie musisz ponownie uruchamiać kontenera platformy Docker.

Resetowanie łącznika danych rozwiązania Microsoft Sentinel dla oprogramowania SAP

Poniższe kroki umożliwiają zresetowanie łącznika i ponowne pozyskiwanie dzienników SAP z ostatnich 30 minut.

1. Zatrzymaj łącznik. Uruchom:

   docker stop sapcon-[SID]
   

2. Usuń plik metadata.db z katalogu /opt/sapcon/[SID]. Uruchom:

   cd /opt/sapcon/<SID>
   rm metadata.db
   

   Uwaga

   Plik metadata.db zawiera znacznik czasu ostatniego dla każdego z dzienników i działa w celu zapobiegania duplikowaniu.

3. Uruchom ponownie łącznik. Uruchom:

   docker start sapcon-[SID]
   

Pamiętaj, aby przejrzeć dzienniki systemowe po zakończeniu.

Brak pól adresu IP lub kodu transakcji w dzienniku inspekcji SAP

To rozwiązanie umożliwia systemom SAP z wersjami oprogramowania SAP BASIS 7.5 z dodatkiem SP12 lub nowszym, aby odzwierciedlić dodatkowe pola w ABAPAuditLog_CL tabelach i SAPAuditLog .

Jeśli używasz wersji SAP BASIS wyższej niż 7.5 z dodatkiem SP12 i brakuje pól adresu IP lub kodu transakcji w dzienniku inspekcji SAP, sprawdź, czy system SAP, z którego wyodrębniasz dane, zawiera odpowiednie żądania zmiany (transporty). Aby dowiedzieć się więcej, zapoznaj się z sekcją Pobieranie dodatkowych informacji z oprogramowania SAP w wymaganiach wstępnych.

W dzienniku danych tabeli SAP nie są wyświetlane żadne dane

To rozwiązanie umożliwia systemom SAP z wersjami oprogramowania SAP BASIS 7.5 z dodatkiem SP12 lub nowszym w celu odzwierciedlenia ABAPTableDataLog_CL zmian dziennika danych tabeli w tabeli.

Jeśli w tabeli nie są wyświetlane ABAPTableDataLog_CL żadne dane, sprawdź, czy system SAP, z którego wyodrębniasz dane, zawiera odpowiednie żądania zmiany (transporty). Aby dowiedzieć się więcej, zapoznaj się z sekcją Pobieranie dodatkowych informacji z oprogramowania SAP w wymaganiach wstępnych.

Typowe problemy

Po wdrożeniu zarówno usługi Microsoft Sentinel dla łącznika danych SAP, jak i zawartości zabezpieczeń, mogą wystąpić następujące błędy lub problemy:

Uszkodzony lub brakujący plik zestawu SAP SDK

Ten błąd może wystąpić, gdy nie można uruchomić łącznika za pomocą narzędzia PyRfc lub są wyświetlane komunikaty o błędach związane z plikiem zip.

1. Zainstaluj ponownie zestaw SAP SDK.
2. Sprawdź, czy jesteś poprawną wersją 64-bitową systemu Linux. Od bieżącej daty nazwa pliku wydania to: nwrfc750P_8-70002752.zip.

Jeśli łącznik danych został zainstalowany ręcznie, upewnij się, że plik zestawu SDK został skopiowany do kontenera platformy Docker.

Uruchom:

Docker cp SDK by running docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

Błędy środowiska uruchomieniowego ABAP są wyświetlane w dużym systemie

Jeśli w dużych systemach występują błędy czasu wykonywania abAP, spróbuj ustawić mniejszy rozmiar fragmentu:

1. Edytuj plik /opt/sapcon/[SID]/systemconfig.ini, a w sekcji konfiguracja Połączenie or zdefiniuj wartość timechunk = 5.

   Na przykład:

   [Connector Configuration]
   timechunk = 5
   

2. zapisz plik.

Zmiana zostanie w życie dwie minuty po zapisaniu pliku. Nie musisz ponownie uruchamiać kontenera platformy Docker.

Uwaga

Rozmiar fragmentu czasu jest definiowany w minutach.

Pusty lub brak pobranego dziennika inspekcji bez specjalnych komunikatów o błędach

1. Sprawdź, czy rejestrowanie inspekcji jest włączone w oprogramowaniu SAP.
2. Sprawdź transakcje SM19 lub RSAU_CONFIG .
3. Włącz wszystkie zdarzenia zgodnie z potrzebami.
4. Sprawdź, czy komunikaty docierają i istnieją w programie SAP SM20 lub RSAU_READ_LOG, bez żadnych specjalnych błędów występujących w dzienniku łącznika.

Nieprawidłowy identyfikator lub klucz obszaru roboczego usługi Microsoft Sentinel

Jeśli zdajesz sobie sprawę, że w skrypce wdrożenia wprowadzono nieprawidłowy identyfikator obszaru roboczego lub klucz, zaktualizuj poświadczenia przechowywane w usłudze Azure Key Vault.

Po zweryfikowaniu poświadczeń w usłudze Azure KeyVault uruchom ponownie kontener:

docker restart sapcon-[SID]

Nieprawidłowe poświadczenia użytkownika protokołu SAP ABAP w stałej konfiguracji

Stała konfiguracja polega na tym, że hasło jest przechowywane bezpośrednio w pliku konfiguracji systemconfig.ini .

Jeśli poświadczenia są nieprawidłowe, sprawdź swoje poświadczenia.

Użyj szyfrowania base64, aby zaszyfrować użytkownika i hasło. Możesz użyć narzędzi szyfrowania online do szyfrowania poświadczeń, takich jak https://www.base64encode.org/.

Nieprawidłowe poświadczenia użytkownika protokołu SAP ABAP w magazynie kluczy

Sprawdź poświadczenia i popraw je zgodnie z potrzebami, stosując poprawne wartości do wartości ABAPUSER i ABAPPASS w usłudze Azure Key Vault.

Następnie uruchom ponownie kontener:

docker restart sapcon-[SID]

Brakujące uprawnienia ABAP (użytkownik SAP)

Jeśli zostanie wyświetlony komunikat o błędzie podobny do: .. Brak autoryzacji RFC zaplecza. Autoryzacje i rola SAP nie zostały prawidłowo zastosowane.

1. Upewnij się, że rola MSFTSEN/SENTINEL_CONNECTOR została zaimportowana w ramach transportu żądania zmiany i zastosowana do użytkownika łącznika.

2. Uruchom proces generowania ról i porównania użytkowników przy użyciu transakcji SAP PFCG.

Brak danych w skoroszytach lub alertach

Jeśli okaże się, że brakuje danych w skoroszytach lub alertach usługi Microsoft Sentinel, upewnij się, że zasady dziennika inspekcji są prawidłowo włączone po stronie systemu SAP bez błędów w pliku dziennika.

W tym kroku użyj transakcji RSAU_CONFIG_LOG.

Brak żądania zmiany sap

Jeśli widzisz błędy, których brakuje wymaganego żądania zmiany SAP, upewnij się, że zaimportowano poprawne żądanie zmiany sap dla systemu.

Aby uzyskać więcej informacji, zobacz ValidateSAP environment validation steps (Kroki weryfikacji środowiska ValidateSAP).

Brak rekordów /późnych rekordów

Agent opiera się na informacjach o strefie czasowej, aby być poprawne. Jeśli widzisz, że w dziennikach inspekcji i zmian sap nie ma żadnych rekordów lub jeśli rekordy są stale za kilka godzin, sprawdź, czy raport SAP TZCUSTHELP przedstawia błędy. Aby uzyskać więcej informacji, postępuj zgodnie z informacjami dotyczącymi oprogramowania SAP 481835 . Ponadto na maszynie wirtualnej mogą występować problemy z zegarem, na którym jest hostowane rozwiązanie Microsoft Sentinel dla agenta aplikacji SAP®. Każde odchylenie zegara maszyny wirtualnej z czasu UTC będzie miało wpływ na zbieranie danych. Co ważniejsze, zegar maszyny wirtualnej SAP i zegar maszyny wirtualnej agenta usługi Sentinel powinny być zgodne.

Problemy z łącznością sieciową

Jeśli masz problemy z łącznością sieciową ze środowiskiem SAP lub z usługą Microsoft Sentinel, sprawdź łączność sieciową, aby upewnić się, że dane przepływają zgodnie z oczekiwaniami.

Typowe problemy są następujące:

• Zapory między kontenerem platformy Docker i hostami SAP mogą blokować ruch. Host SAP odbiera komunikację za pośrednictwem następujących portów TCP, które muszą być otwarte: 32xx, 5xx13 i 33xx, gdzie xx jest numerem wystąpienia SAP.

• Komunikacja wychodząca z hosta SAP do usługi Microsoft Container Registry lub platformy Azure wymaga konfiguracji serwera proxy. Zwykle ma to wpływ na instalację i wymaga skonfigurowania HTTP_PROXY zmiennych środowiskowych i HTTPS_PROXY . Zmienne środowiskowe można również pozyskiwać do kontenera platformy Docker podczas tworzenia kontenera, dodając flagę -e do polecenia platformy Docker create / run .

Inne nieoczekiwane problemy

Jeśli masz nieoczekiwane problemy, które nie zostały wymienione w tym artykule, spróbuj wykonać następujące czynności:

• Resetowanie łącznika i ponowne ładowanie dzienników
• Uaktualnij łącznik do najnowszej wersji.

Napiwek

Zresetowanie łącznika i upewnienie się, że masz najnowsze uaktualnienia, są również zalecane po wszelkich poważnych zmianach konfiguracji.

Pobieranie dziennika inspekcji kończy się niepowodzeniem z ostrzeżeniami

Jeśli spróbujesz pobrać dziennik inspekcji, bez wymaganego żądania zmiany wdrożonego lub w starszej/niezaznaczonej wersji, a proces zakończy się niepowodzeniem z ostrzeżeniami, sprawdź, czy dziennik inspekcji SAP można pobrać przy użyciu jednej z następujących metod:

• Korzystanie z trybu zgodności o nazwie XAL w starszych wersjach
• Używanie wersji, która nie została ostatnio poprawiona
• Bez zainstalowanego wymaganego żądania zmiany

W razie potrzeby system powinien automatycznie przełączać się do trybu zgodności, ale może być konieczne ręczne przełączenie go. Aby ręcznie przełączyć się do trybu zgodności:

1. Edytowanie pliku /opt/sapcon/[SID]/systemconfig.ini

2. W sekcji konfiguracja Połączenie or defineefine:auditlogforcexal = True

   Na przykład:

   [Connector Configuration]
   auditlogforcexal = True
   

3. zapisz plik.

Zmiana zostanie w życie dwie minuty po zapisaniu pliku. Nie musisz ponownie uruchamiać kontenera platformy Docker.

Podsystemy SAPCONTROL lub JAVA nie mogą nawiązać połączenia

Sprawdź, czy użytkownik systemu operacyjnego jest prawidłowy i może uruchomić następujące polecenie w docelowym systemie SAP:

sapcontrol -nr <SID> -function GetSystemInstanceList

Podsystem SAPCONTROL lub JAVA kończy się niepowodzeniem z komunikatem o błędzie związanym z strefą czasową

Jeśli podsystem SAPCONTROL lub JAVA zakończy się niepowodzeniem z komunikatem o błędzie związanym z strefą czasową, na przykład: Sprawdź konfigurację i dostęp sieciowy do serwera SAP — "Etc/NZST", upewnij się, że używasz standardowych kodów strefy czasowej.

Użyj na przykład nazwy javatz = GMT+12 lub abaptz = GMT-3**.

Nie można zaimportować transportu żądania zmiany do systemu SAP

Jeśli nie możesz zaimportować wymaganych żądań zmiany dziennika SAP i występuje błąd dotyczący nieprawidłowej wersji składnika, dodaj ignore invalid component version podczas importowania żądania zmiany.

Dane dziennika inspekcji, które nie zostały pozyskane podczas początkowego ładowania

Jeśli dane dziennika inspekcji SAP widoczne w transakcjach RSAU_READ_LOAD lub SM200 nie są pozyskiwane do usługi Microsoft Sentinel po początkowym obciążeniu, może wystąpić błędna konfiguracja systemu SAP i systemu operacyjnego hosta SAP.

• Początkowe obciążenia są pozyskiwane po nowej instalacji usługi Microsoft Sentinel dla łącznika danych SAP lub po usunięciu pliku metadata.db .
• Przykładowa błędna konfiguracja może być wtedy, gdy strefa czasowa systemu SAP jest ustawiona na CET w transakcji STZAC , ale strefa czasowa systemu operacyjnego hosta SAP jest ustawiona na UTC.

Aby sprawdzić błędy konfiguracji, uruchom raport RSDBTIME w transakcji SE38. Jeśli znajdziesz niezgodność między systemem SAP i systemem operacyjnym hosta SAP:

1. Zatrzymaj kontener platformy Docker. Uruchom

   docker stop sapcon-[SID]
   

2. Usuń plik metadata.db z katalogu /opt/sapcon/[SID]. Uruchom:

   rm /opt/sapcon/[SID]/metadata.db
   

3. Zaktualizuj system SAP i system operacyjny hosta SAP, aby mieć zgodne ustawienia, takie jak ta sama strefa czasowa. Aby uzyskać więcej informacji, zobacz witrynę SAP Community Wiki.

4. Uruchom ponownie kontener. Uruchom:

   docker start sapcon-[SID]
   

Brak pól adresu IP lub kodu transakcji w dzienniku inspekcji SAP

To rozwiązanie umożliwia systemom SAP z wersjami oprogramowania SAP BASIS 7.5 z dodatkiem SP12 lub nowszym, aby odzwierciedlić dodatkowe pola w tabelach ABAPAuditLog_CL i SAPAuditLog. Jeśli używasz wersji SAP BASIS wyższej niż 7.5 SP12 i brakuje pól adresu IP lub kodu transakcji w dzienniku inspekcji SAP, sprawdź, czy system SAP, z którego wyodrębniasz dane, zawiera odpowiednie żądania zmian (transporty). Aby uzyskać więcej informacji, zobacz Pobieranie dodatkowych informacji z oprogramowania SAP (opcjonalnie ).

W dzienniku danych tabeli SAP nie są wyświetlane żadne dane

To rozwiązanie umożliwia systemom SAP z wersjami oprogramowania SAP BASIS 7.5 z dodatkiem SP12 lub nowszym w celu odzwierciedlenia zmian dziennika danych tabeli w tabeli ABAPTableDataLog_CL. Jeśli w ABAPTableDataLog_CL nie są wyświetlane żadne dane, sprawdź, czy system SAP, z którego wyodrębniasz dane, zawiera odpowiednie żądania zmiany (transporty). Aby uzyskać więcej informacji, zobacz Pobieranie dodatkowych informacji z oprogramowania SAP (opcjonalnie ).

Następne kroki

Dowiedz się więcej o rozwiązaniu Microsoft Sentinel dla aplikacji SAP®:

• Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP®
• Wymagania wstępne dotyczące wdrażania rozwiązania Microsoft Sentinel dla aplikacji SAP®
• Wdrażanie żądań zmian (CRS) sap i konfigurowanie autoryzacji
• Wdrażanie zawartości rozwiązania z centrum zawartości
• Wdrażanie i konfigurowanie kontenera hostowania agenta łącznika danych SAP
• Wdrażanie usługi Microsoft Sentinel dla łącznika danych SAP za pomocą protokołu SNC
• Włączanie i konfigurowanie inspekcji sap
• Zbieranie dzienników inspekcji oprogramowania SAP HANA

Pliki referencyjne:

• Dokumentacja danych rozwiązania microsoft Sentinel dla aplikacji SAP®
• Rozwiązanie Usługi Microsoft Sentinel dla rozwiązań SAP® Applications: dokumentacja zawartości zabezpieczeń
• Dokumentacja skryptu Kickstart
• Aktualizowanie odwołania do skryptu
• dokumentacja pliku Systemconfig.ini

Aby uzyskać więcej informacji, zobacz Rozwiązania usługi Microsoft Sentinel.