Compartir a través de

适用于 SAP 的 Microsoft Sentinel 解决方案应用程序的日志和表参考

本文介绍适用于 SAP 的 Microsoft Sentinel 解决方案应用程序及其数据连接器中提供的日志和表。

本文中提到的某些日志默认不会发送到 Microsoft Sentinel,但你可以根据需要手动添加它们。 有关详细信息,请参阅定义发送到 Microsoft Sentinel 的 SAP 日志

本文的内容适用于 SAP BASIS 团队

重要

适用于 SAP 的 Microsoft Sentinel 威胁监视解决方案的某些组件目前处于预览阶段。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

在查询中使用函数,而不是基础日志或表

强烈建议尽可能使用可用的函数作为分析的主题,而不是基础日志或表。

适用于 SAP 的 Microsoft Sentinel 解决方案应用程序提供的函数旨在充当数据的主体用户界面。 它们构成了所有现成的内置分析规则和工作簿的基础。 使用函数可以对函数下的数据基础结构进行更改,而不会破坏用户创建的内容。

有关详细信息,请参阅适用于 SAP 的 Microsoft Sentinel 解决方案应用程序 - 函数参考Azure Monitor 日志查询中的函数

日志覆盖率

适用于 SAP 的 Microsoft Sentinel 解决方案应用程序从应用程序、操作系统和数据层收集日志,为 SAP 系统提供全面的保护:

  • 应用层:Microsoft Sentinel 监视 ABAP 层中的活动,这是 SAP 系统中的主要应用层,负责执行业务逻辑和处理事务。 例如,Microsoft Sentinel 收集包含用户操作(如登录、密码更改以及对报表或文件的访问)的日志。

    除了安全监视之外,在应用层收集的日志还可用于合规性和审核目的。

  • 操作系统层:Microsoft Sentinel 从操作系统收集日志,以提供对操作系统级活动的见解,例如来自 ABAP 服务器和运行 SAP 应用程序的虚拟机的日志。

    将适用于 SAP 的 Microsoft Sentinel 解决方案应用程序与其他服务的安全内容和数据连接器结合使用,以便全面集中监视、关联所有系统的信息以及增强整体安全状况。

  • 数据库层:将数据库日志引入 Microsoft Sentinel 以监视数据库活动,例如数据库管理活动和表数据更改。 适用于 SAP 的 Microsoft Sentinel 解决方案应用程序与数据库无关。

数据连接器代理收集的所有日志首先存储在数据收集器代理计算机上,位于容器实例中的 /opt/sapcon/<sid>/log 文件夹中。 然后,日志将转发到 Log Analytics 工作区,可在其中从 Microsoft Sentinel 查看、审核和查询它们。

审核日志每分钟收集和引入一次,而其他日志的引入频率可能较低。 Microsoft Sentinel 还监视数据连接器代理程序检测信号,以确保收集日志并将其发送到 Log Analytics 工作区。

日志参考

以下部分介绍适用于 SAP 的 Microsoft Sentinel 解决方案应用程序数据连接器中提供的 SAP 日志,包括 Microsoft Sentinel 中的表名、日志用途和详细的日志架构。

架构字段说明基于相关 SAP 文档 中的字段说明。

ABAP 应用程序日志

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPAppLog

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:记录应用程序执行的进度,以便以后根据需要重新构造。

    使用基于标准 SAP 表和 XBP 接口标准服务的 RFC 提供。 此日志是按客户端生成的。

ABAPAppLog_CL 日志架构

字段 说明
AppLogDateTime 应用程序日志日期时间
CallbackProgram 回调程序
CallbackRoutine 回调例程
CallbackType 回调类型
ClientID ABAP 客户端 ID (MANDT)
ContextDDIC 上下文 DDIC 结构
ExternalID 外部日志 ID
主机 主机
实例 ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
InternalMessageSerial 应用程序日志消息串行
LevelofDetail 详细级别
LogHandle 应用程序日志句柄
LogNumber 日志编号
MessageClass Message 类
MessageNumber 消息号
MessageText 消息正文
MessageType 消息类型
对象 应用程序日志对象
OperationMode 操作模式
ProblemClass 问题类
programName 程序名
SortCriterion 排序条件
StandardText 标准文本
SubObject 应用程序日志子对象
SystemID 系统 ID
SystemNumber 系统编号
TransactionCode 事务代码
用户 用户
UserChange 用户更改

ABAP 更改文档日志

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPChangeDocsLog

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:记录:

    • 对业务数据对象的 SAP NetWeaver 应用程序服务器 (AS) ABAP 日志更改于更改文档中。

    • SAP 系统中的其他实体,例如用户数据、角色、地址。

    使用基于标准 SAP 表的 RFC 提供。 此日志是按客户端生成的。

ABAPChangeDocsLog_CL 日志架构

字段 说明
ActualChangeNum 实际更改编号
ChangedTableKey 已更改表键
ChangeNumber 更改编号
ClientID ABAP 客户端 ID (MANDT)
CreatedfromPlannedChange 从计划的更改创建,采用以下语法:(‘X’ , ‘ ‘)
CurrencyKeyNew 货币键:新值
CurrencyKeyOld 货币键:旧值
FieldName 字段名称
FlagText 标志文本
主机 主机
实例 ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
语言 语言
ObjectClass 对象类,如 BELEGBPARPFCGIDENTITY
ObjectID 对象 ID
PlannedChangeNum 计划的更改编号
SystemID 系统 ID
SystemNumber 系统编号
TableName 表名称
TransactionCode 事务代码
TypeofChange_Header 更改标头类型,包括:
U = 更改;I = 插入;E = 删除单个文档;D = 删除;J = 插入单个文档
TypeofChange_Item 更改项目类型,包括:
U = 更改;I = 插入;E = 删除单个文档;D = 删除;J = 插入单个文档
UOMNew 度量单位:新值
UOMOld 度量单位:旧值
用户 用户
ValueNew 字段内容:新值
ValueOld 字段内容:旧值
版本 版本

ABAP CR 日志

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPCRLog

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:包括更改和传输系统 (CTS) 日志,包括进行了更改的 Directory 对象和自定义项。

    使用基于标准表和标准 SAP 服务的 RFC 提供。 此日志使用所有客户端中的数据生成。

注意

除了应用程序日志记录、更改文档和表记录外,使用更改和传输系统对生产系统进行的所有更改都记录在 CTS 和 TMS 日志中。

ABAPCRLog_CL 日志架构

字段 说明
类别 类别(工作台,自定义)
ClientID ABAP 客户端 ID (MANDT)
说明 说明
主机 主机
实例 ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
ObjectName 对象名称
ObjectType 对象类型
“所有者” “所有者”
请求 更改请求
状态 状态
SystemID 系统 ID
SystemNumber 系统编号
TableKey 表键
TableName 表名称
视图名 视图名称

ABAP DB 表数据日志(预览版)

若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.json 文件。 使用建议的过程从门户安装数据连接器代理时,不支持此日志。

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPTableDataLog

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:为那些对审核至关重要或容易受到审核的表提供日志记录。

    可通过将 RFC 与自定义服务一起使用获得。 此日志使用所有客户端中的数据生成。

ABAPTableDataLog_CL 日志架构

字段 说明
DBLogID DB 日志 ID
主机 主机
实例 ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
语言 语言
LogKey 日志键
NewValue 字段新值
OldValue 字段旧值
OperationTypeSQL 操作类型,InsertUpdateDelete
节目 程序名
SystemID 系统 ID
SystemNumber 系统编号
TableField 表字段
TableName 表名称
TransactionCode 事务代码
UserName 用户
VersionNumber 版本号

ABAP 网关日志(预览版)

若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.json 文件。 使用建议的过程从门户安装数据连接器代理时,不支持此日志。

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPOS_GW

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:监视网关活动。 可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。

ABAPOS_GW_CL 日志架构

字段 说明
主机 主机
实例 ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
MessageText 消息正文
严重性 消息严重性:DebugInfoWarningError
SystemID 系统 ID
SystemNumber 系统编号

ABAP ICM 日志(预览版)

若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.json 文件。 使用建议的过程从门户安装数据连接器代理时,不支持此日志。

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPOS_ICM

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志目的”:记录入站和出站请求,并编译 HTTP 请求的统计信息。

    可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。

ABAPOS_ICM_CL 日志架构

字段 说明
主机 主机
实例 ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
MessageText 消息正文
严重性 消息严重性,包括:DebugInfoWarningError
SystemID 系统 ID
SystemNumber 系统编号

ABAP 作业日志

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPJobLog

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:合并所有后台处理作业日志 (SM37)。

    使用基于标准 SAP 表和 XBP 接口标准服务的 RFC 可用。 此日志使用所有客户端中的数据生成。

ABAPJobLog_CL 日志架构

字段 说明
ABAPProgram ABAP 程序
BgdEventParameters 后台事件参数
BgdProcessingEvent 后台处理事件
ClientID ABAP 客户端 ID (MANDT)
DynproNumber Dynpro 编号
GUIStatus GUI 状态
主机 主机
实例 ABAP 实例 (HOST_SYSID_SYSNR),采用以下语法:<HOST>_<SYSID>_<SYSNR>
JobClassification 作业分类
JobCount 作业计数
JobGroup 作业组
JobName 作业名称
JobPriority 作业优先级
MessageClass Message 类
MessageNumber 消息号
MessageText 消息正文
MessageType 消息类型
ReleaseUser 作业发布用户
SchedulingDateTime 计划日期时间
StartDateTime 开始日期时间
SystemID 系统 ID
SystemNumber 系统编号
TargetServer 目标服务器
用户 用户
UserReleaseInstance ABAP 实例 - 用户发布
WorkProcessID 工作进程 ID
WorkProcessNumber 工作进程编号

ABAP 安全审核日志

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPAuditLog

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:记录以下数据:

    • SAP 系统环境的安全相关更改,例如主用户记录的更改
    • 提供更高级别数据的信息,例如成功和失败的登录尝试
    • 启用一系列事件重建的信息,例如成功或失败的事务启动

    可通过使用 RFC XAL/SAL 接口获得。 版本 Basis 7.50 及更高版本支持此功能。 此日志使用所有客户端中的数据生成。

ABAPAuditLog_CL 日志架构

字段 说明
ABAPProgramName 程序名,仅 SAL
AlertSeverity 警报严重性
AlertSeverityText 警报严重性文本,仅 SAL
AlertValue 警报值
AuditClassID 审核类 ID,仅 SAL
ClientID ABAP 客户端 ID (MANDT)
Computer 用户计算机,仅 SAL
电子邮件 用户电子邮件
主机 主机
实例 ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
MessageClass Message 类
MessageContainerID 消息容器 ID,仅 XAL
消息 ID 消息 ID,如 ‘AU1’,’AU2’…
MessageText 消息正文
MonitoringObjectName MTE 监视器对象名称,仅 XAL
MonitorShortName MTE 监视器短名称,仅 XAL
SAPProcesType 系统日志: SAP 进程类型,仅 SAL
B* - 后台处理
D* - 对话处理
U* - 更新任务
SAPWPName 系统日志:工作进程编号,仅 SAL
SystemID 系统 ID
SystemNumber 系统编号
TerminalIPv6 用户计算机 IP,仅 SAL
TransactionCode 事务代码,仅 SAL
用户 用户
Variable1 消息变量 1
Variable2 消息变量 2
Variable3 消息变量 3
Variable4 消息变量 4

ABAP Spool 日志

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPSpoolLog

  • “相关 SAP 文档”:SAP 帮助门户

  • 日志用途:用作 SAP 打印的主日志,包含 spool 请求的历史记录。 (SP01)。

    使用基于标准 SAP 表的 RFC 提供。 此日志使用所有客户端中的数据生成。

ABAPSpoolLog_CL 日志架构

字段 说明
ArchiveStatus 存档状态
ArchiveType 存档类型
ArchivingDevice 存档设备
AutoRereoute 自动重新路由
ClientID ABAP 客户端 ID (MANDT)
CountryKey 国家/地区密钥
DeleteSpoolRequestAuto 自动删除 spool 请求
DelFlag 删除标志
部门 部门
DocumentType 文档类型
ExternalMode 外部模式
FormatType 格式类型
主机 主机
实例 ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
NumofCopies 份数
OutputDevice 输出设备
PrinterLongName 打印机长名称
PrintImmediately 立即打印
PrintOSCoverPage 打印 OSCover 页
PrintSAPCoverPage 打印 SAPCover 页
优先级 优先级
RecipientofSpoolRequest spool 请求的收件人
SpoolErrorStatus Spool 错误状态
SpoolRequestCompleted spool 请求已完成
SpoolRequestisALogForAnotherRequest Spool 请求是另一个请求的日志
SpoolRequestName spool 请求名称
SpoolRequestNumber spool 请求编号
SpoolRequestSuffix1 Spool 请求后缀 1
SpoolRequestSuffix2 Spool 请求后缀 2
SpoolRequestTitle spool 请求标题
SystemID 系统 ID
SystemNumber 系统编号
TelecommunicationsPartner 电信合作伙伴
TelecommunicationsPartnerE 电信合作伙伴 E
TemSeGeneralcounter Temse 计数器
TemseNumAddProtectionRule Temse 编号添加保护规则
TemseNumChangeProtectionRule Temse 编号更改保护规则
TemseNumDeleteProtectionRule Temse 编号删除保护规则
TemSeObjectName Temse 对象名称
TemSeObjectPart TemSe 对象部分
TemseReadProtectionRule Temse 读取保护规则
用户 用户
ValueAuthCheck 值身份验证检查

APAB Spool 输出日志

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPSpoolOutputLog

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:用作 SAP 打印的主日志,包含 spool 输出请求的历史记录。 (SP02)。

    可通过将 RFC 与基于标准表的自定义服务一起使用获得。 此日志使用所有客户端中的数据生成。

ABAPSpoolOutputLog_CL 日志架构

字段 说明
AppServer 应用程序服务器
ClientID ABAP 客户端 ID (MANDT)
注释 注释
CopyCount 复制计数
CopyCounter 复制计数器
部门 部门
ErrorSpoolRequestNumber 错误请求编号
FormatType 格式类型
主机 主机
HostName 主机名
HostSpoolerID 主机 spooler ID
实例 ABAP 实例
LastPage 最后一页
NumofCopies 份数
OutputDevice 输出设备
OutputRequestNumber 输出请求编号
OutputRequestStatus 获取请求状态
PhysicalFormatType 物理格式类型
PrinterLongName 打印机长名称
PrintRequestSize 打印请求大小
优先级 优先级
ReasonforOutputRequest 输出请求的原因
RecipientofSpoolRequest spool 请求的收件人
SpoolNumberofOutputReqProcessed 输出请求数 - 已处理
SpoolNumberofOutputReqWithErrors 输出请求数 - 有错误
SpoolNumberofOutputReqWithProblems 输出请求数 - 有问题
SpoolRequestNumber spool 请求编号
StartPage 起始页
SystemID 系统 ID
SystemNumber 系统编号
TelecommunicationsPartner 电信合作伙伴
TemSeGeneralcounter Temse 计数器
Title Title
用户 用户

ABAP Syslog

若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.json 文件。 使用建议的过程从门户安装数据连接器代理时,不支持此日志。

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPOS_Syslog

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:记录所有 SAP NetWeaver 应用程序服务器 (SAP NetWeaver AS) ABAP 系统错误、警告、由于已知用户的登录尝试失败而锁定的用户锁、进程消息。

    可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。

ABAPOS_Syslog_CL 日志架构

字段 说明
ClientID ABAP 客户端 ID (MANDT)
主机 主机
实例 ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
MessageNumber 消息号
MessageText 消息正文
严重性 消息严重性,以下值之一:DebugInfoWarningError
SystemID 系统 ID
SystemNumber 系统编号
TransacationCode 事务代码
类型 SAP 进程类型
用户 用户

ABAP 工作流日志

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPWorkflowLog

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:使用 SAP Business Workflow (WebFlow Engine),可以定义尚未映射到 SAP 系统中的业务进程。

    例如,未映射的业务进程可能是简单的发布或审批过程,或者是更复杂的业务进程,如创建基本材料,然后协调关联的部门。

    使用基于标准 SAP 表的 RFC 提供。 此日志是按客户端生成的。

ABAPWorkflowLog_CL 日志架构

字段 说明
ActualAgent 实际代理
地址 地址
ApplicationArea 应用程序区域
CallbackFunction 回调函数
ClientID ABAP 客户端 ID (MANDT)
CreationDateTime 创建日期时间
创建者 创建者
CreatorAddress 创建者地址
ErrorType 错误类型
ExceptionforMethod 方法的异常
主机 主机
实例 ABAP 实例 (HOST_SYSID_SYSNR),采用以下语法:<HOST>_<SYSID>_<SYSNR>
语言 语言
LogCounter 日志计数器
MessageNumber 消息号
MessageType 消息类型
MethodUser 方法用户
优先级 优先级
SimpleContainer 简单容器,打包为工作项键值实体列表
状态 状态
SuperWI 超级 WI
SystemID 系统 ID
SystemNumber 系统编号
TaskID 任务 ID
TasksClassification 任务分类
TaskText 任务文本
TopTaskID 最高任务 ID
UserCreated 创建者用户
WIText 工作项文本
WIType 工作项类型
WorkflowAction Workflow 操作
WorkItemID 工作项 ID

ABAP WorkProcess 日志

若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.json 文件。 使用建议的过程从门户安装数据连接器代理时,不支持此日志。

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPOS_WP

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:合并所有工作进程日志。 (默认:dev_*)。

    可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。

ABAPOS_WP_CL 日志架构

字段 说明
主机 主机
实例 ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
MessageText 消息正文
严重性 消息严重性:DebugInfoWarningError
SystemID 系统 ID
SystemNumber 系统编号
WPNumber 工作进程编号

HANA DB 审核线索

收集 HANA DB 审核跟踪日志是 Microsoft sentinel 如何收集数据库层活动的一个示例。 若要将此日志发送到 Microsoft Sentinel,必须部署 Azure Monitor 代理以从运行 HANA DB 的计算机收集 Syslog 数据。

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPSyslog

  • “相关 SAP 文档”:常规 | 审核线索

  • “日志用途”:记录 SAP HANA 数据库中的用户操作或尝试的操作。 例如,能够实现记录和监视对敏感数据的读取访问。

    可通过 Syslog 的 Microsoft Sentinel Linux 代理获得。 此日志使用所有客户端中的数据生成。

Syslog 日志架构

字段 说明
Computer 主机名
HostIP 主机 IP
HostName 主机名
ProcessID 进程 ID
ProcessName 进程名称:HDB*
SeverityLevel 警报
SourceSystem 源系统 OS,Linux
SyslogMessage 消息,未分析的审核线索消息

JAVA 文件

若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.json 文件。 使用建议的过程从门户安装数据连接器代理时,不支持此日志。

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPJAVAFilesLogs

  • “相关 SAP 文档”:常规 | Java 安全审核日志

  • “日志用途”:合并所有基于 Java 文件的日志,包括安全审核日志和系统(群集和服务器进程)、性能和网关日志。 还包括开发人员跟踪和默认跟踪日志。

    可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。

JavaFilesLogsCL 日志架构

字段 说明
应用程序 Java 应用程序
ClientID 客户端 ID
CSNComponent CSN 组件,例如 BC-XI-IBD
DCComponent DC 组件,例如 com.sap.xi.util.misc
DSRCounter DSR 计数器
DSRRootContentID DSR 上下文 GUID
DSRTransaction DSR 事务 GUID
主机 主机
实例 Java 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
位置 Java 类
LogName Java logName,例如:Availabledefaulttracedev*security
MessageText 消息正文
MNo 消息号
Pid 进程 ID
节目 程序名
会话 会话
严重性 消息严重性,包括:DebugInfoWarningError
解决方案 解决方案
SystemID 系统 ID
SystemNumber 系统编号
ThreadName 线程名
引发 引发异常
TimeZone 时区
用户 用户

SAP 检测信号日志

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPConnectorHealth

  • 日志用途:提供有关代理与不同 SAP 系统之间的连接性的检测信号和其他运行状况信息。

    自动为适用于 SAP 的 Microsoft Sentinel 连接器的任何代理创建。

SAP_HeartBeat_CL 日志架构

字段 说明
TimeGenerated 日志发布事件的时间
agent_id_s 代理配置中的代理 ID(自动生成)
agent_ver_s 代理版本
host_s 代理的主机名
system_id_s Netweaver ABAP 系统 ID/
Netweaver SAPControl 主机(预览版)/
Java SAPControl 主机(预览版)
push_timestamp_d 提取操作的时间戳,具体取决于代理的时区
agent_timezone_s 代理的时区

直接从 SAP 系统检索的表参考

本部分列出了直接从 SAP 系统检索并按原样引入 Microsoft Sentinel 的数据表。

从这些表中检索的数据提供了授权结构、组成员身份和用户配置文件的清晰视图。 还可以通过这些数据跟踪授权的授予和撤销过程,并识别和控制与这些过程相关的风险。

下面列出了启用识别特权用户、将用户映射到角色、组和授权的功能所需的表。

为获得最佳结果,请使用下表中的“Microsoft Sentinel 函数名称”列中的名称来引用这些表:

表名 表说明 Microsoft Sentinel 函数名称
USR01 用户主记录(运行时数据) SAP_USR01
USR02 登录数据(内核端使用) SAP_USR02
UST04 用户主数据
将用户映射到配置文件
SAP_UST04
AGR_USERS 为用户分配角色 SAP_AGR_USERS
AGR_1251 活动组的授权数据 SAP_AGR_1251
USGRP_USER 将用户分配到用户组 SAP_USGRP_USER
USR21 用户名/地址键分配 SAP_USR21
ADR6 电子邮件地址(业务地址服务) SAP_ADR6
USRSTAMP 对用户进行的所有更改的时间戳 SAP_USRSTAMP
ADCP 人员/地址分配(业务地址服务) SAP_ADCP
USR05 用户主参数 ID SAP_USR05
AGR_PROF 角色的配置文件名称 SAP_AGR_PROF
AGR_FLAGS 角色属性 SAP_AGR_FLAGS
DEVACCESS 开发用户的表 SAP_DEVACCESS
AGR_DEFINE 角色定义 SAP_AGR_DEFINE
AGR_AGRS 复合角色中的角色 SAP_AGR_AGRS
PAHI 系统、数据库和 SAP 参数的历史记录 SAP_PAHI
SNCSYSACL(预览版) SNC 访问控制列表 (ACL):系统 SAP_SNCSYSACL
USRACL(预览版) SNC 访问控制列表 (ACL):用户 SAP_USRACL

有关详细信息,请参阅: