监视 SAP 系统的运行状况和角色
部署 SAP 解决方案后,你需要确保 SAP 系统的正常运行和性能,并跟踪系统的运行状况、连接和性能。 本文介绍如何使用以下功能,这些功能使你可以从 Microsoft Sentinel 中执行监视:
- 使用 SAP 数据连接器页。 查看适用于 SAP 的 Microsoft Sentinel 连接器下的“系统运行状况”区域,获取有关所连接 SAP 系统的运行状况的信息。
- 使用数据收集运行状况检查警报规则。 获取针对 SAP 代理的数据收集运行状况的主动警报。
重要
监视 SAP 系统运行状况的功能目前以预览版提供。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
使用 SAP 数据连接器
在 Microsoft Sentinel 门户中,选择“数据连接器”。
在搜索栏中键入“适用于 SAP 的 Microsoft Sentinel”。
选择“适用于 SAP 的 Microsoft Sentinel”连接器,然后选择“打开连接器页”。
在“配置”中,配置一个 SAP 系统并将其分配给收集器代理 > 区域,查看有关 SAP 系统的运行状况的详细信息。 例如:
有关详细信息,请参阅部署和配置托管 SAP 数据连接器代理的容器。
系统运行状况状态和详细信息
下表描述了“配置 SAP 系统并将其分配给收集器代理”区域中的不同字段。
字段 | 说明 | 值 | 备注 |
---|---|---|---|
SID | 连接的 SAP 系统 ID (SID) 的名称。 | ||
系统角色 | 指示系统是否能够维持工作效率。 数据连接器代理通过读取 SAP T000 表来检索值。 此值也会影响计费。 若要更改角色,SAP 管理员需要更改 SAP 系统中的配置。 | • 生产。 SAP 管理员已将系统定义为生产系统。 • 未知(生产)。 Microsoft Sentinel 无法检索系统状态。 出于安全和计费目的,Microsoft Sentinel 将此类系统视为生产系统。 • 非生产。 指示开发、测试和自定义等角色。 • 代理更新可用。 与运行状况一起显示,指示存在更新的 SAP 连接器版本。 在这种情况下,我们建议更新连接器。 |
如果系统角色是“生产(未知)”,请检查 SAP 系统上的 Microsoft Sentinel 角色定义和权限,并验证系统是否允许 Microsoft Sentinel 读取 T000 表的内容。 接下来,考虑将 SAP 连接器更新到最新版本。 |
代理名称 | 安装的数据连接器代理的唯一 ID。 | ||
健康产业 | 指示 SID 是否正常。 若要排查运行状况问题,请查看容器执行日志并查看其他故障排除步骤。 | • 系统正常(绿色图标):指示 Microsoft Sentinel 已识别日志和来自系统的检测信号。 • 系统已连接 - 未授权收集角色,假定生产系统(黄色图标):Microsoft Sentinel 没有足够的权限,无法定义系统是否是生产系统。 在这种情况下,Microsoft Sentinel 将系统定义为生产系统。 若要允许 Microsoft Sentinel 接收系统状态,请查看“备注”列。 • 已连接但出现错误(黄色图标):Microsoft Sentinel 在提取系统角色时检测到错误。 在这种情况下,Microsoft Sentinel 接收了有关系统是否为生产系统的数据。 • 系统未连接:Microsoft Sentinel 无法连接到 SAP 系统,并且无法提取系统角色。 在这种情况下,Microsoft Sentinel 接收了有关系统是否为生产系统的数据。 其他状态(例如“有 1 天以上无法访问系统”)指示连接状态。 |
如果系统运行状况状态是“系统已连接 - 未授权收集角色,假定生产系统”,请检查 SAP 系统上的 Microsoft Sentinel 角色定义和权限,并验证系统是否允许 Microsoft Sentinel 读取 T000 表的内容。 接下来,考虑将 SAP 连接器更新到最新版本。 |
使用警报规则模板
适用于 SAP 的 Microsoft Sentinel 解决方案包含警报规则模板,旨在让你深入了解 SAP 代理的数据收集运行状况。 若要启用分析规则,请执行以下操作:
- 在 Microsoft Sentinel 门户中,选择“分析”。
- 在“规则模板”下,找到“SAP - 数据收集运行状况检查”警报规则。
分析规则:
- 评估从代理发送的信号。
- 评估遥测数据。
- 评估针对日志连续性和其他系统连接问题(如果找到任何问题)的警报。
- 获知日志引入历史记录,从而不断改善工作性能。
该规则需要至少 7 天的加载历史记录才能检测不同的季节性模式。 对于警报规则“回溯”参数,建议指定 14 天作为值,以便能够检测每周活动配置文件。
激活后,该规则将根据获知的历史记录判断在工作区上观察到的最新遥测数据和日志量。 然后,该规则针对潜在问题发出警报,并根据问题范围动态分配严重性。
此屏幕截图显示了“SAP - 数据收集运行状况检查”警报规则生成的警报示例。
后续步骤
- 详细了解适用于 SAP 的 Microsoft Sentinel 解决方案。
- 了解如何部署适用于 SAP 的 Microsoft Sentinel 解决方案
- 了解 Microsoft Sentinel 其他领域的审核和运行状况监视。