Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
重要
注意:根据世纪互联发布的公告,所有 Microsoft Sentinel 功能将于 2026 年 8 月 18 日在中国地区的 Azure 中正式停用。
本文介绍如何从客户托管环境中的SAP HANA数据库中收集审核日志。
该文章中的内容旨在为您的安全性、基础结构和SAP BASIS团队提供参考。
重要
Microsoft Sentinel SAP HANA支持目前为预览版。 Azure预览版补充条款包括适用于 beta 版、预览版或尚未正式发布的Azure功能的其他法律条款。
先决条件
SAP HANA日志通过 Syslog 发送。 确保 Azure Monitor 代理被配置为收集 Syslog 文件。 有关详细信息,请参阅 使用 Azure Monitor Agent 将 syslog 和 CEF 消息引入到Microsoft Sentinel。
收集SAP HANA审核日志
确保SAP HANA审核日志跟踪配置为使用 Syslog,如 SAP Note 0002624117 中所述,可从 SAP Launchpad 支持站点访问。 有关详细信息,请参阅:
查看操作系统 Syslog 文件,了解任何相关的 HANA 数据库事件。
以具有 sudo 权限的用户身份登录 HANA 数据库操作系统。
在计算机上安装代理并确认计算机已连接。 有关详细信息,请参阅 Install 和管理 Azure Monitor Agent。
配置代理以收集 Syslog 数据。 有关详细信息,请参阅 通过 Azure Monitor Agent 收集 Syslog 事件。
提示
由于保存 HANA 数据库事件的设施可以在不同的分发版之间更改,因此建议添加所有设施。 根据 Syslog 日志检查它们,然后移除任何不相关的内容。
验证配置
使用 Microsoft Sentinel 和 SAP HANA 数据库中的以下步骤验证系统是否按预期配置。
Microsoft Sentinel
在 Microsoft Sentinel 的 Logs 页中,检查以确认 HANA 数据库事件现在显示在引入的日志中。 例如,运行下列查询:
//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];
let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')
有关上述示例中使用的以下项目的详细信息,请参阅 Kusto 文档:
- let 语句
- 数据表 运算符
- where 运算符
- project 运算符
- union 运算符
- column_ifexists() 函数
有关 KQL 的更多信息,请参阅 Kusto 查询语言 (KQL) 概述。
其他资源:
SAP HANA
在SAP HANA数据库中,检查配置的审核策略。 有关所需 SQL 语句的详细信息,请参阅 SAP 说明 3016478。
在Microsoft Sentinel中添加用于SAP HANA的分析规则
使用以下内置分析规则,让 Microsoft Sentinel 开始触发与 SAP HANA 活动相关的警报:
- SAP -(预览版)HANA DB - 分配管理员授权
- SAP -(预览版)HANA DB - 审计轨迹策略更改
- SAP -(预览版)HANA DB - 停用审核线索
- SAP -(预览版)HANA DB - 用户管理员操作
有关详细信息,请参阅 SAP 应用程序的 Microsoft Sentinel 解决方案:安全内容参考。
相关内容
详细了解 SAP 应用程序的Microsoft Sentinel解决方案:
- 部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案