监视 SAP 系统的运行状况和角色

部署 SAP 解决方案后,你需要确保 SAP 系统的正常运行和性能,并跟踪系统的运行状况、连接和性能。 本文介绍如何在数据连接器页上手动检查连接运行状况,并使用专用预警规则模板来监视 SAP 系统的运行状况。

重要

监视 SAP 系统运行状况的功能目前以预览版提供。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

先决条件

  • 在执行本文中的过程之前,需要部署 SAP 数据连接器代理并将其连接到 SAP 系统。 在 SAP 系统进行连接且数据开始流式传输到 Microsoft Sentinel 中之前,SAP 日志不会显示在 Microsoft Sentinel 的“日志”页中。

有关详细信息,请参阅部署和配置托管 SAP 数据连接器代理的容器

检查数据连接器的运行状况和连接性

此过程介绍了如何从适用于 SAP 的 Microsoft Sentinel 数据连接器页检查数据连接器的连接状态。

  1. 在 Microsoft Sentinel 中,选择“数据连接器”并搜索“适用于 SAP 的 Microsoft Sentinel”

  2. 选择“适用于 SAP 的 Microsoft Sentinel”连接器,然后选择“打开连接器页”。

  3. 在“配置 > 2.配置 SAP 系统并将其分配给收集器代理”区域中,查看有关 SAP 系统的运行状况的详细信息。

    例如:

    屏幕截图显示适用于 SAP 应用程序的 Microsoft Sentinel 的运行状况表。

    “配置 SAP 系统并将其分配给收集器代理”区域中的字段描述如下:

    • 系统显示名称。 SAP 系统 ID (SID) 及其客户端编号。 该值限定与 SAP 系统的连接,并为 SAP BASIS 定义你要连接到哪个系统。

    • 系统角色。 指示系统是否为生产状态,这也会影响计费。 有关详细信息,请参阅解决方案定价。 值包括:

      说明
      生产 SAP 管理员已将系统定义为生产系统。
      未知(生产) Microsoft Sentinel 无法检索系统状态。 出于安全和计费目的,Microsoft Sentinel 将此类系统视为生产系统。

      在这种情况下,建议检查 SAP 系统上的 Microsoft Sentinel 角色定义和权限,并验证系统是否允许 Microsoft Sentinel 读取 T000 表的内容。 接下来,考虑将 SAP 连接器更新到最新版本。
      非生产 指示开发、测试和自定义等角色。
    • 代理名称。 安装的数据连接器代理的唯一 ID。

    • 运行状况。 指示 SID 是否正常。 若要排查运行状况问题,请查看容器执行日志并查看其他故障排除步骤。 值包括:

      说明
      系统正常(绿色图标) 指示 Microsoft Sentinel 已识别日志和来自系统的检测信号。
      系统已连接 - 未授权收集角色,假定为生产系统(黄色图标) Microsoft Sentinel 没有足够的权限,无法定义系统是否是生产系统。 在这种情况下,Microsoft Sentinel 将系统定义为生产系统。

      在这种情况下,请检查 SAP 系统上的 Microsoft Sentinel 角色定义和权限,并验证系统是否允许 Microsoft Sentinel 读取 T000 表的内容。 接下来,考虑将 SAP 连接器更新到最新版本。
      已连接但出现错误(黄色图标) 连接成功,但 Microsoft Sentinel 在提取系统角色时检测到错误,并且没有有关系统是否为生产系统的详细信息。
      系统未连接 Microsoft Sentinel 无法连接到 SAP 系统,并且无法提取系统角色。 在这种情况下,Microsoft Sentinel 没有有关系统是否为生产系统的详细信息。
      反映有关连接性问题的更多详细信息的其他状态 例如,系统处于无法访问状态超过 1 天

查看流式传输到 Microsoft Sentinel 中的 SAP 日志

在 Microsoft Sentinel 中,选择“常规”>“日志”>“自定义日志”,以查看从 SAP 系统流式传输进来的日志。 例如:

屏幕截图显示了 Microsoft Sentinel 中的“自定义日志”区域中的 SAP ABAP 日志。

有关详细信息,请参阅适用于 SAP 应用程序的 Microsoft Sentinel 解决方案的解决方案日志参考

使用预警规则模板监视 SAP 系统的运行状况

适用于 SAP 的 Microsoft Sentinel 解决方案包含警报规则模板,旨在让你深入了解 SAP 代理的数据收集运行状况。

该规则需要至少 7 天的加载历史记录才能检测不同的季节性模式。 对于警报规则“回溯”参数,建议指定 14 天作为值,以便能够检测每周活动配置文件。

激活后,该规则将根据获知的历史记录判断在工作区上观察到的最新遥测数据和日志量。 然后,该规则针对潜在问题发出警报,并根据问题范围动态分配严重性。

若要在 Microsoft Sentinel 中启用分析规则,请选择“分析”>“规则模板”,然后找到“SAP - 数据收集运行状况检查”预警规则。

分析规则执行以下操作:

  • 评估从代理发送的信号。
  • 评估遥测数据。
  • 评估针对日志连续性和其他系统连接问题(如果找到任何问题)的警报。
  • 获知日志引入历史记录,从而不断改善工作性能。

以下屏幕截图显示了“SAP - 数据收集运行状况检查”预警规则生成的警报示例

“SAP - 数据收集运行状况检查”警报规则触发的警报的屏幕截图。

后续步骤