Устранение неполадок с решением Microsoft Sentinel для развертывания приложений SAP®
Полезные команды Docker
При устранении неполадок с соединителем данных Microsoft Sentinel для SAP могут оказаться полезными следующие команды:
Function | Команда |
---|---|
Остановка контейнера Docker | docker stop sapcon-[SID] |
Запуск контейнера Docker | docker start sapcon-[SID] |
Просмотр системных журналов Docker | docker logs -f sapcon-[SID] |
Ввод контейнера Docker | docker exec -it sapcon-[SID] bash |
Дополнительные сведения см. в документации по интерфейсу командной строки Docker.
Просмотра системных журналов
Мы настоятельно рекомендуем вам просмотреть системные журналы после установки или сброса коннектора данных.
Запустить:
docker logs -f sapcon-[SID]
Включение/отключение печати в режиме отладки
Включение печати в режиме отладки:
На виртуальной машине измените файл /opt/sapcon/[SID]/systemconfig.ini .
Определите раздел Общие, если он не был определен ранее. В этом разделе определите
logging_debug = True
.Например:
[General] logging_debug = True
Сохраните файл.
Изменение вступит в силу через две минуты после сохранения файла. Перезапускать контейнер Docker не требуется.
Отключение печати в режиме отладки:
На виртуальной машине измените файл /opt/sapcon/[SID]/systemconfig.ini .
В разделе Общие определите
logging_debug = False
.Например:
[General] logging_debug = False
Сохраните файл.
Изменение вступит в силу через две минуты после сохранения файла. Перезапускать контейнер Docker не требуется.
Просмотр всех журналов выполнения контейнера
журналы выполнения Подключение для решения Microsoft Sentinel для развертывания соединителя данных приложений SAP® хранятся на виртуальной машине в файле /opt/sapcon/[SID]/log/. Имя файла журнала OmniLog.log. Журнал файлов журнала хранится, суффиксирован с .[ number] например , OmniLog.log.1, OmniLog.log.2 и т. д.
Просмотр и обновление конфигурации соединителя данных Microsoft Sentinel для SAP
Если вы хотите проверить файл конфигурации соединителя данных Microsoft Sentinel для SAP и применить обновление вручную, выполните следующие действия:
На виртуальной машине откройте файл конфигурации:
- sapcon/[SID]/systemconfig.json для версий агента, выпущенных или после 22 июня 2023 г.
- sapcon/[SID]/systemconfig.ini для версий агента, выпущенных до 22 июня 2023 г.
При необходимости обновите конфигурацию и сохраните файл.
Изменение вступит в силу через две минуты после сохранения файла. Перезапускать контейнер Docker не требуется.
Сброс соединителя данных Microsoft Sentinel для SAP
Следующие шаги сбрасывают коннектор и повторно используют журналы SAP за последние 30 минут.
Остановите соединитель. Запустить:
docker stop sapcon-[SID]
Удалите файл metadata.db из каталога /opt/sapcon/[SID]. Запустить:
cd /opt/sapcon/<SID> rm metadata.db
Примечание.
Файл metadata.db содержит последнюю метку времени для каждого журнала и необходим для предотвращения дублирования.
Повторно запустите соединитель. Запустить:
docker start sapcon-[SID]
Когда все будет готово, обязательно просмотрите системные журналы.
Отсутствующие поля IP-адреса или кода транзакции в журнале аудита SAP
Это решение позволяет системам SAP с версиями SAP BASIS 7.5 с пакетом обновления 12 (SP12) и выше отражать дополнительные поля в ABAPAuditLog_CL
таблицах и SAPAuditLog
таблицах.
Если вы используете версии SAP BASIS выше 7.5 с пакетом обновления 12 (SP12) и отсутствуют поля IP-адресов или кода транзакций в журнале аудита SAP, убедитесь, что система SAP, из которой вы извлекаете данные, содержит соответствующие запросы на изменение (транспорты). Дополнительные сведения см . в разделе "Получение дополнительных сведений из раздела SAP " в предварительных требованиях.
Данные не отображаются в журнале данных таблицы SAP
Это решение позволяет системам SAP с версиями SAP BASIS 7.5 с пакетом обновления 12 (SP12) и выше отражать изменения ABAPTableDataLog_CL
в журнале данных таблицы.
Если данные не отображаются в ABAPTableDataLog_CL
таблице, убедитесь, что система SAP, из которой вы извлекаете данные, содержит соответствующие запросы на изменение (транспорты). Дополнительные сведения см . в разделе "Получение дополнительных сведений из раздела SAP " в предварительных требованиях.
Распространенные проблемы
После развертывания соединителя данных Microsoft Sentinel SAP и содержимого системы безопасности могут возникать следующие ошибки или проблемы:
Поврежден или отсутствует файл пакета SDK для SAP
Эта ошибка может возникать, когда соединитель не загружается с PyRfc или отображаются сообщения об ошибках, связанных с zip.
- Переустановите пакет SDK для SAP.
- Убедитесь, что вы используете правильную версию для 64-разрядного выпуска Linux. Имя файла текущего выпуска: nwrfc750P_8-70002752.zip.
Если вы установили коннектор данных вручную, убедитесь, что вы скопировали файл SDK в контейнер Docker.
Запустить:
Docker cp SDK by running docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/
Ошибки времени выполнения ABAP в большой системе
Если в больших системах отображаются ошибки времени выполнения ABAP, попробуйте задать меньший размер блока.
Измените файл /opt/sapcon/[SID]/systemconfig.ini и в разделе
timechunk = 5
конфигурации Подключение or.Например:
[Connector Configuration] timechunk = 5
сохраните файл.
Изменение вступит в силу через две минуты после сохранения файла. Перезапускать контейнер Docker не требуется.
Примечание.
Размер timechunk определяется в минутах.
Журнал аудита пуст или не получен, а специальные сообщения об ошибках отсутствуют
- Убедитесь, что в SAP включено ведение журнала аудита.
- Проверьте транзакции SM19 или RSAU_CONFIG.
- При необходимости включите все события.
- Убедитесь, что сообщения поступают и существуют в SM20 или RSAU_READ_LOG в SAP, а в журнале соединителя нет каких-либо специальных ошибок.
Неправильный идентификатор или ключ рабочей области Microsoft Sentinel
Если вы поняли, что ввели неправильный идентификатор или ключ рабочей области в сценарии развертывания, обновите учетные данные, хранящиеся в Azure Key Vault.
После проверки учетных данных в Azure KeyVault перезапустите контейнер:
docker restart sapcon-[SID]
Неправильная конфигурация учетных данных пользователя ABAP для SAP в фиксированной конфигурации
Фиксированная конфигурация означает, что пароль хранится непосредственно в файле конфигурации systemconfig.ini.
Если учетные данные указаны неправильно, проверьте их.
Используйте шифрование Base64 для имени пользователя и пароля. Вы можете использовать онлайн-инструменты шифрования для шифрования ваших учетных данных, например https://www.base64encode.org/.
Неправильные учетные данные пользователя ABAP для SAP в хранилище ключей
Проверьте свои учетные данные и исправьте их при необходимости, применив правильные значения к значениям ABAPUSER и ABAPPASS в Azure Key Vault.
Затем перезапустите контейнер:
docker restart sapcon-[SID]
Отсутствуют разрешения ABAP (пользователя SAP)
Если появляется сообщение об ошибке вида Missing Backend RFC Authorization (Отсутствует авторизация RFC в серверной части), то ваши разрешения и роли SAP были применены неправильно.
Убедитесь, что роль MSFTSEN/SENTINEL_CONNECTOR была импортирована при передаче запроса на изменение и применена к пользователю соединителя.
Запустите процесс создания ролей и сравнения пользователей с помощью транзакции PFCG в SAP.
Отсутствуют данные в книгах или оповещениях
Если вы обнаружили, что в книгах или оповещениях Microsoft Sentinel отсутствуют данные, убедитесь, что политика AuditLog правильно включена на стороне SAP, а в файле журнала нет ошибок.
Используйте для этого шага транзакцию RSAU_CONFIG_LOG.
Отсутствие запроса на изменение SAP
Если вы видите ошибки из-за отсутствия необходимого запроса на изменение SAP, убедитесь, что вы импортировали правильный запрос на изменение SAP для своей системы.
Дополнительные сведения см. в разделе Действия проверки в среде SAP.
Нет записей / поздних записей
Агент полагается на правильность сведений часового пояса. Если вы видите, что в журналах аудита и изменений SAP отсутствуют записи или записи постоянно находятся в нескольких часах позади, проверка если отчет SAP TZCUSTHELP представляет какие-либо ошибки. Дополнительные сведения см. в 481835 заметки SAP. Кроме того, могут возникнуть проблемы с часами на виртуальной машине, где размещено решение Microsoft Sentinel для агента приложений SAP®. Любое отклонение часов виртуальной машины от UTC влияет на сбор данных. Более важно, что часы виртуальной машины SAP и часы виртуальной машины Sentinel агента должны совпадать.
Проблемы, связанные с подключением к сети
Если у вас возникли проблемы с сетевым подключением к среде SAP или к Microsoft Sentinel, проверьте подключение к сети и убедитесь, что данные передаются должным образом.
Общие проблемы:
Брандмауэры между контейнером Docker и узлами SAP могут блокировать трафик. Узел среды SAP обменивается данными через следующие TCP-порты, которые должны быть всегда открыты: 32xx, 5xx13 и 33xx, где XX обозначает номер экземпляра SAP.
Для исходящих подключений с узла SAP к Microsoft Container Registry или к Azure необходимо настроить прокси-сервер. Обычно это влияет на процесс установки, в которой вам нужно задать переменные среды
HTTP_PROXY
иHTTPS_PROXY
. Вы также можете принимать переменные среды в контейнер Docker при создании контейнера, добавив флаг-e
в команду DOCKERcreate
/run
.
Другие непредвиденные ошибки
Если у вас возникли непредвиденные проблемы, не перечисленные в этой статье, попробуйте выполнить следующие действия:
- Сбросьте соединитель и повторно загрузите журналы.
- Обновите соединитель до последней версии.
Совет
Сброс соединителя и установка последних обновлений также рекомендуются после внесения каких либо существенных изменений в конфигурацию.
Получение журнала аудита завершается сбоем с предупреждениями
Если вы пытаетесь получить журнал аудита без развернутого необходимого запроса на изменение или в более старой/непатентованной версии и процесс завершается ошибкой с предупреждениями, убедитесь, что SAP Auditlog может быть получен одним из следующих методов.
- используйте режим совместимости XAL в предыдущих версиях;
- используйте версию, которая не была недавно обновлена;
- выполните процесс без установленного обязательного запроса на изменение.
Хотя система должна автоматически переключаться в режим совместимости при необходимости, может потребоваться переключить ее вручную. Чтобы переключиться в режим совместимости вручную, выполните следующие действия.
Изменение файла /opt/sapcon/[SID]/systemconfig.ini
В разделе Конфигурация соединителя определите следующее:
auditlogforcexal = True
.Например:
[Connector Configuration] auditlogforcexal = True
сохраните файл.
Изменение вступит в силу через две минуты после сохранения файла. Перезапускать контейнер Docker не требуется.
Не удается подключиться к подсистемам SAPCONTROL или JAVA
Убедитесь, что пользователь ОС является допустимым и может выполнить следующую команду в целевой системе SAP:
sapcontrol -nr <SID> -function GetSystemInstanceList
Сбой подсистемы SAPCONTROL или JAVA с сообщением об ошибке, связанной с часовым поясом
Если подсистема SAPCONTROL или JAVA завершается сбоем с сообщением об ошибке часового пояса, например: Please check the configuration and network access to the SAP server - 'Etc/NZST' (Проверьте конфигурацию и сетевой доступ к серверу SAP: Etc/NZST), убедитесь, что вы используете стандартные коды часовых поясов.
Например, воспользуйтесь javatz = GMT+12
или abaptz = GMT-3**
.
Не удалось импортировать запросы на изменение в SAP
Если не удается импортировать необходимые запросы на изменение журналов SAP и отображается сообщение об ошибке из-за недопустимой версии компонента, добавьте ignore invalid component version
при импорте запроса на изменение.
Данные журнала аудита не были загружены после начальной загрузки
Если данные журнала аудита SAP, видимые в транзакциях RSAU_READ_LOAD или SM200, не загружаются в Microsoft Sentinel после начальной загрузки, возможно, у вас неправильная конфигурация системы SAP и операционной системы узла SAP.
- Первоначальные загрузки принимаются после новой установки соединителя данных Microsoft Sentinel для SAP или после удаления файла metadata.db.
- Примером неправильной конфигурации может быть случай, когда часовой пояс вашей системы SAP установлен на CET в транзакции STZAC, но часовой пояс операционной системы хоста SAP установлен на UTC.
Чтобы проверить неправильную конфигурацию, запустите отчет RSDBTIME в транзакции SE38. Если вы обнаружите несоответствие между системой SAP и основной операционной системой SAP
Остановите контейнер Docker. Выполнить
docker stop sapcon-[SID]
Удалите файл metadata.db из каталога /opt/sapcon/[SID]. Запустить:
rm /opt/sapcon/[SID]/metadata.db
Обновите систему SAP и операционную систему хоста SAP, чтобы иметь совпадающие настройки, например один и тот же часовой пояс. Для получения дополнительной информации см. SAP Community Wiki.
Снова запустите контейнер. Запустить:
docker start sapcon-[SID]
Отсутствующие поля IP-адреса или кода транзакции в журнале аудита SAP
Это решение позволяет системам SAP с версиями SAP BASIS 7.5 с пакетом обновления 12 (SP12) и выше отражать дополнительные поля в таблицах ABAPAuditLog_CL и SAPAuditLog. Если вы используете версии SAP BASIS выше 7.5 с пакетом обновления 12 (SP12) и отсутствуют поля IP-адреса или кода транзакций в журнале аудита SAP, убедитесь, что система SAP, из которой извлекаются данные, содержат соответствующие запросы на изменение (транспорты). Дополнительные сведения см. в статье о получении дополнительных сведений из SAP (необязательно ).
Данные не отображаются в журнале данных таблицы SAP
Это решение позволяет системам SAP с версиями SAP BASIS 7.5 с пакетом обновления 12 (SP12) и выше отражать изменения журнала данных таблицы в таблице ABAPTableDataLog_CL. Если данные не отображаются в ABAPTableDataLog_CL, убедитесь, что система SAP, из которой вы извлекаете данные, содержит соответствующие запросы на изменение (транспорты). Дополнительные сведения см. в статье о получении дополнительных сведений из SAP (необязательно ).
Следующие шаги
Дополнительные сведения о решении Microsoft Sentinel для приложений SAP®:
- Развертывание решения Microsoft Sentinel для приложений SAP®
- Предварительные требования для развертывания решения Microsoft Sentinel для приложений SAP®
- Развертывание запросов на изменение (CR) SAP и настройка авторизации
- Развертывание содержимого решения из концентратора содержимого
- Развертывание и настройка контейнера для размещения агента соединителя данных SAP
- Развертывание соединителя данных Microsoft Sentinel для SAP с помощью SNC
- Включение и настройка аудита SAP
- Сбор журналов аудита SAP HANA
Справочные файлы:
- Справочник по данным решения для приложений SAP® в Microsoft Sentinel
- Решение Microsoft Sentinel для решения приложений SAP®: справочник по содержимому безопасности
- Справочные материалы по скрипту Kickstart
- Справочные материалы по обновлению скриптов
- Справочные материалы по файлу systemconfig.ini
Дополнительные сведения см. в статье Решения Microsoft Sentinel.