Поделиться через

Устранение неполадок с решением Microsoft Sentinel для развертывания приложений SAP®

  • Статья

Полезные команды Docker

При устранении неполадок с соединителем данных Microsoft Sentinel для SAP могут оказаться полезными следующие команды:

Function Команда
Остановка контейнера Docker docker stop sapcon-[SID]
Запуск контейнера Docker docker start sapcon-[SID]
Просмотр системных журналов Docker docker logs -f sapcon-[SID]
Ввод контейнера Docker docker exec -it sapcon-[SID] bash

Дополнительные сведения см. в документации по интерфейсу командной строки Docker.

Просмотра системных журналов

Мы настоятельно рекомендуем вам просмотреть системные журналы после установки или сброса коннектора данных.

Запустить:

docker logs -f sapcon-[SID]

Включение/отключение печати в режиме отладки

Включение печати в режиме отладки:

  1. На виртуальной машине измените файл /opt/sapcon/[SID]/systemconfig.ini .

  2. Определите раздел Общие, если он не был определен ранее. В этом разделе определите logging_debug = True.

    Например:

    [General]
logging_debug = True

  3. Сохраните файл.

Изменение вступит в силу через две минуты после сохранения файла. Перезапускать контейнер Docker не требуется.

Отключение печати в режиме отладки:

  1. На виртуальной машине измените файл /opt/sapcon/[SID]/systemconfig.ini .

  2. В разделе Общие определите logging_debug = False.

    Например:

    [General]
logging_debug = False

  3. Сохраните файл.

Изменение вступит в силу через две минуты после сохранения файла. Перезапускать контейнер Docker не требуется.

Просмотр всех журналов выполнения контейнера

журналы выполнения Подключение для решения Microsoft Sentinel для развертывания соединителя данных приложений SAP® хранятся на виртуальной машине в файле /opt/sapcon/[SID]/log/. Имя файла журнала OmniLog.log. Журнал файлов журнала хранится, суффиксирован с .[ number] например , OmniLog.log.1, OmniLog.log.2 и т. д.

Просмотр и обновление конфигурации соединителя данных Microsoft Sentinel для SAP

Если вы хотите проверить файл конфигурации соединителя данных Microsoft Sentinel для SAP и применить обновление вручную, выполните следующие действия:

  1. На виртуальной машине откройте файл конфигурации:

    • sapcon/[SID]/systemconfig.json для версий агента, выпущенных или после 22 июня 2023 г.
    • sapcon/[SID]/systemconfig.ini для версий агента, выпущенных до 22 июня 2023 г.

  2. При необходимости обновите конфигурацию и сохраните файл.

Изменение вступит в силу через две минуты после сохранения файла. Перезапускать контейнер Docker не требуется.

Сброс соединителя данных Microsoft Sentinel для SAP

Следующие шаги сбрасывают коннектор и повторно используют журналы SAP за последние 30 минут.

  1. Остановите соединитель. Запустить:

    docker stop sapcon-[SID]

  2. Удалите файл metadata.db из каталога /opt/sapcon/[SID]. Запустить:

    cd /opt/sapcon/<SID>
rm metadata.db

    Примечание.

    Файл metadata.db содержит последнюю метку времени для каждого журнала и необходим для предотвращения дублирования.

  3. Повторно запустите соединитель. Запустить:

    docker start sapcon-[SID]

Когда все будет готово, обязательно просмотрите системные журналы.

Отсутствующие поля IP-адреса или кода транзакции в журнале аудита SAP

Это решение позволяет системам SAP с версиями SAP BASIS 7.5 с пакетом обновления 12 (SP12) и выше отражать дополнительные поля в ABAPAuditLog_CL таблицах и SAPAuditLog таблицах.

Если вы используете версии SAP BASIS выше 7.5 с пакетом обновления 12 (SP12) и отсутствуют поля IP-адресов или кода транзакций в журнале аудита SAP, убедитесь, что система SAP, из которой вы извлекаете данные, содержит соответствующие запросы на изменение (транспорты). Дополнительные сведения см . в разделе "Получение дополнительных сведений из раздела SAP " в предварительных требованиях.

Данные не отображаются в журнале данных таблицы SAP

Это решение позволяет системам SAP с версиями SAP BASIS 7.5 с пакетом обновления 12 (SP12) и выше отражать изменения ABAPTableDataLog_CL в журнале данных таблицы.

Если данные не отображаются в ABAPTableDataLog_CL таблице, убедитесь, что система SAP, из которой вы извлекаете данные, содержит соответствующие запросы на изменение (транспорты). Дополнительные сведения см . в разделе "Получение дополнительных сведений из раздела SAP " в предварительных требованиях.

Распространенные проблемы

После развертывания соединителя данных Microsoft Sentinel SAP и содержимого системы безопасности могут возникать следующие ошибки или проблемы:

Поврежден или отсутствует файл пакета SDK для SAP

Эта ошибка может возникать, когда соединитель не загружается с PyRfc или отображаются сообщения об ошибках, связанных с zip.

  1. Переустановите пакет SDK для SAP.
  2. Убедитесь, что вы используете правильную версию для 64-разрядного выпуска Linux. Имя файла текущего выпуска: nwrfc750P_8-70002752.zip.

Если вы установили коннектор данных вручную, убедитесь, что вы скопировали файл SDK в контейнер Docker.

Запустить:

Docker cp SDK by running docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

Ошибки времени выполнения ABAP в большой системе

Если в больших системах отображаются ошибки времени выполнения ABAP, попробуйте задать меньший размер блока.

  1. Измените файл /opt/sapcon/[SID]/systemconfig.ini и в разделе timechunk = 5конфигурации Подключение or.

    Например:

    [Connector Configuration]
timechunk = 5

  2. сохраните файл.

Изменение вступит в силу через две минуты после сохранения файла. Перезапускать контейнер Docker не требуется.

Примечание.

Размер timechunk определяется в минутах.

Журнал аудита пуст или не получен, а специальные сообщения об ошибках отсутствуют

  1. Убедитесь, что в SAP включено ведение журнала аудита.
  2. Проверьте транзакции SM19 или RSAU_CONFIG.
  3. При необходимости включите все события.
  4. Убедитесь, что сообщения поступают и существуют в SM20 или RSAU_READ_LOG в SAP, а в журнале соединителя нет каких-либо специальных ошибок.

Неправильный идентификатор или ключ рабочей области Microsoft Sentinel

Если вы поняли, что ввели неправильный идентификатор или ключ рабочей области в сценарии развертывания, обновите учетные данные, хранящиеся в Azure Key Vault.

После проверки учетных данных в Azure KeyVault перезапустите контейнер:

docker restart sapcon-[SID]

Неправильная конфигурация учетных данных пользователя ABAP для SAP в фиксированной конфигурации

Фиксированная конфигурация означает, что пароль хранится непосредственно в файле конфигурации systemconfig.ini.

Если учетные данные указаны неправильно, проверьте их.

Используйте шифрование Base64 для имени пользователя и пароля. Вы можете использовать онлайн-инструменты шифрования для шифрования ваших учетных данных, например https://www.base64encode.org/.

Неправильные учетные данные пользователя ABAP для SAP в хранилище ключей

Проверьте свои учетные данные и исправьте их при необходимости, применив правильные значения к значениям ABAPUSER и ABAPPASS в Azure Key Vault.

Затем перезапустите контейнер:

docker restart sapcon-[SID]

Отсутствуют разрешения ABAP (пользователя SAP)

Если появляется сообщение об ошибке вида Missing Backend RFC Authorization (Отсутствует авторизация RFC в серверной части), то ваши разрешения и роли SAP были применены неправильно.

  1. Убедитесь, что роль MSFTSEN/SENTINEL_CONNECTOR была импортирована при передаче запроса на изменение и применена к пользователю соединителя.

  2. Запустите процесс создания ролей и сравнения пользователей с помощью транзакции PFCG в SAP.

Отсутствуют данные в книгах или оповещениях

Если вы обнаружили, что в книгах или оповещениях Microsoft Sentinel отсутствуют данные, убедитесь, что политика AuditLog правильно включена на стороне SAP, а в файле журнала нет ошибок.

Используйте для этого шага транзакцию RSAU_CONFIG_LOG.

Отсутствие запроса на изменение SAP

Если вы видите ошибки из-за отсутствия необходимого запроса на изменение SAP, убедитесь, что вы импортировали правильный запрос на изменение SAP для своей системы.

Дополнительные сведения см. в разделе Действия проверки в среде SAP.

Нет записей / поздних записей

Агент полагается на правильность сведений часового пояса. Если вы видите, что в журналах аудита и изменений SAP отсутствуют записи или записи постоянно находятся в нескольких часах позади, проверка если отчет SAP TZCUSTHELP представляет какие-либо ошибки. Дополнительные сведения см. в 481835 заметки SAP. Кроме того, могут возникнуть проблемы с часами на виртуальной машине, где размещено решение Microsoft Sentinel для агента приложений SAP®. Любое отклонение часов виртуальной машины от UTC влияет на сбор данных. Более важно, что часы виртуальной машины SAP и часы виртуальной машины Sentinel агента должны совпадать.

Проблемы, связанные с подключением к сети

Если у вас возникли проблемы с сетевым подключением к среде SAP или к Microsoft Sentinel, проверьте подключение к сети и убедитесь, что данные передаются должным образом.

Общие проблемы:

  • Брандмауэры между контейнером Docker и узлами SAP могут блокировать трафик. Узел среды SAP обменивается данными через следующие TCP-порты, которые должны быть всегда открыты: 32xx, 5xx13 и 33xx, где XX обозначает номер экземпляра SAP.

  • Для исходящих подключений с узла SAP к Microsoft Container Registry или к Azure необходимо настроить прокси-сервер. Обычно это влияет на процесс установки, в которой вам нужно задать переменные среды HTTP_PROXY и HTTPS_PROXY. Вы также можете принимать переменные среды в контейнер Docker при создании контейнера, добавив флаг -e в команду DOCKER create / run.

Другие непредвиденные ошибки

Если у вас возникли непредвиденные проблемы, не перечисленные в этой статье, попробуйте выполнить следующие действия:

Совет

Сброс соединителя и установка последних обновлений также рекомендуются после внесения каких либо существенных изменений в конфигурацию.

Получение журнала аудита завершается сбоем с предупреждениями

Если вы пытаетесь получить журнал аудита без развернутого необходимого запроса на изменение или в более старой/непатентованной версии и процесс завершается ошибкой с предупреждениями, убедитесь, что SAP Auditlog может быть получен одним из следующих методов.

  • используйте режим совместимости XAL в предыдущих версиях;
  • используйте версию, которая не была недавно обновлена;
  • выполните процесс без установленного обязательного запроса на изменение.

Хотя система должна автоматически переключаться в режим совместимости при необходимости, может потребоваться переключить ее вручную. Чтобы переключиться в режим совместимости вручную, выполните следующие действия.

  1. Изменение файла /opt/sapcon/[SID]/systemconfig.ini

  2. В разделе Конфигурация соединителя определите следующее: auditlogforcexal = True.

    Например:

    [Connector Configuration]
auditlogforcexal = True

  3. сохраните файл.

Изменение вступит в силу через две минуты после сохранения файла. Перезапускать контейнер Docker не требуется.

Не удается подключиться к подсистемам SAPCONTROL или JAVA

Убедитесь, что пользователь ОС является допустимым и может выполнить следующую команду в целевой системе SAP:

sapcontrol -nr <SID> -function GetSystemInstanceList

Если подсистема SAPCONTROL или JAVA завершается сбоем с сообщением об ошибке часового пояса, например: Please check the configuration and network access to the SAP server - 'Etc/NZST' (Проверьте конфигурацию и сетевой доступ к серверу SAP: Etc/NZST), убедитесь, что вы используете стандартные коды часовых поясов.

Например, воспользуйтесь javatz = GMT+12 или abaptz = GMT-3**.

Не удалось импортировать запросы на изменение в SAP

Если не удается импортировать необходимые запросы на изменение журналов SAP и отображается сообщение об ошибке из-за недопустимой версии компонента, добавьте ignore invalid component version при импорте запроса на изменение.

Данные журнала аудита не были загружены после начальной загрузки

Если данные журнала аудита SAP, видимые в транзакциях RSAU_READ_LOAD или SM200, не загружаются в Microsoft Sentinel после начальной загрузки, возможно, у вас неправильная конфигурация системы SAP и операционной системы узла SAP.

  • Первоначальные загрузки принимаются после новой установки соединителя данных Microsoft Sentinel для SAP или после удаления файла metadata.db.
  • Примером неправильной конфигурации может быть случай, когда часовой пояс вашей системы SAP установлен на CET в транзакции STZAC, но часовой пояс операционной системы хоста SAP установлен на UTC.

Чтобы проверить неправильную конфигурацию, запустите отчет RSDBTIME в транзакции SE38. Если вы обнаружите несоответствие между системой SAP и основной операционной системой SAP

  1. Остановите контейнер Docker. Выполнить

    docker stop sapcon-[SID]

  2. Удалите файл metadata.db из каталога /opt/sapcon/[SID]. Запустить:

    rm /opt/sapcon/[SID]/metadata.db

  3. Обновите систему SAP и операционную систему хоста SAP, чтобы иметь совпадающие настройки, например один и тот же часовой пояс. Для получения дополнительной информации см. SAP Community Wiki.

  4. Снова запустите контейнер. Запустить:

    docker start sapcon-[SID]

Отсутствующие поля IP-адреса или кода транзакции в журнале аудита SAP

Это решение позволяет системам SAP с версиями SAP BASIS 7.5 с пакетом обновления 12 (SP12) и выше отражать дополнительные поля в таблицах ABAPAuditLog_CL и SAPAuditLog. Если вы используете версии SAP BASIS выше 7.5 с пакетом обновления 12 (SP12) и отсутствуют поля IP-адреса или кода транзакций в журнале аудита SAP, убедитесь, что система SAP, из которой извлекаются данные, содержат соответствующие запросы на изменение (транспорты). Дополнительные сведения см. в статье о получении дополнительных сведений из SAP (необязательно ).

Данные не отображаются в журнале данных таблицы SAP

Это решение позволяет системам SAP с версиями SAP BASIS 7.5 с пакетом обновления 12 (SP12) и выше отражать изменения журнала данных таблицы в таблице ABAPTableDataLog_CL. Если данные не отображаются в ABAPTableDataLog_CL, убедитесь, что система SAP, из которой вы извлекаете данные, содержит соответствующие запросы на изменение (транспорты). Дополнительные сведения см. в статье о получении дополнительных сведений из SAP (необязательно ).

Следующие шаги

Дополнительные сведения о решении Microsoft Sentinel для приложений SAP®:

Справочные файлы:

Дополнительные сведения см. в статье Решения Microsoft Sentinel.