适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序部署故障排除
有用的 Docker 命令
在对适用于 SAP 的 Microsoft Sentinel 数据连接器进行故障排除时,可能会发现以下命令很有用:
函数 | 命令 |
---|---|
停止 Docker 容器 | docker stop sapcon-[SID] |
启动 Docker 容器 | docker start sapcon-[SID] |
查看 Docker 系统日志 | docker logs -f sapcon-[SID] |
输入 Docker 容器 | docker exec -it sapcon-[SID] bash |
有关详细信息,请参阅 Docker CLI 文档。
查看系统日志
强烈建议在安装或者重置数据连接器后查看系统日志。
运行:
docker logs -f sapcon-[SID]
启用/禁用调试模式打印
启用调试模式打印:
在 VM 上,编辑 /opt/sapcon/[SID]/systemconfig.ini 文件。
定义“常规”部分(如果以前未定义)。 在本部分中,定义
logging_debug = True
。例如:
[General] logging_debug = True
保存文件。
更改会在保存文件两分钟后生效。 无需重启 Docker 容器。
禁用调试模式打印:
在 VM 上,编辑 /opt/sapcon/[SID]/systemconfig.ini 文件。
在“常规”部分中,定义
logging_debug = False
。例如:
[General] logging_debug = False
保存文件。
更改会在保存文件两分钟后生效。 无需重启 Docker 容器。
查看所有容器执行日志
适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序数据连接器部署的连接器执行日志存储在 VM 上的 /opt/sapcon/[SID]/log/ 中。 日志文件名为 OmniLog.log。 保留日志文件的历史记录,后缀为.[数字] 如 OMNILOG.LOG.1、OMNILOG.LOG.2 等
查看和更新适用于 SAP 的 Microsoft Sentinel 数据连接器配置
如果要查看适用于 SAP 的 Microsoft Sentinel 数据连接器配置文件并手动进行更新,请执行以下步骤:
在 VM 上,打开配置文件:
- 对于 2023 年 6 月 22 日或之后发布的代理版本,sapcon/[SID]/systemconfig.json。
- 对于 2023 年 6 月 22 日之前发布的代理版本,sapcon/[SID]/systemconfig.ini。
根据需要更新配置,并保存文件。
更改会在保存文件两分钟后生效。 无需重启 Docker 容器。
重置适用于 SAP 的 Microsoft Sentinel 数据连接器
以下步骤将重置连接器并重新引入最近 30 分钟内的 SAP 日志。
停止连接器。 运行:
docker stop sapcon-[SID]
从 /opt/sapcon/[SID] 目录中删除 metadata.db 文件。 运行:
cd /opt/sapcon/<SID> rm metadata.db
注意
metadata.db 文件包含每个日志的最后一个时间戳,可防止重复。
再次启动连接器。 运行:
docker start sapcon-[SID]
完成后确保查看系统日志。
SAP 审核日志中缺少 IP 地址或事务代码字段
通过此解决方案,具有 SAP BASIS 7.5 SP12 及更高版本的 SAP 系统可以反映 ABAPAuditLog_CL
和 SAPAuditLog
表中的其他字段。
如果使用高于 7.5 SP12 的 SAP BASIS 版本,并且 SAP 审核日志中缺少 IP 地址或事务代码字段,请验证要从中提取数据的 SAP 系统是否包含相关的更改请求(传输)。 若要了解详细信息,请查看先决条件中的从 SAP 检索其他信息部分。
SAP 表数据日志中未显示任何数据
通过此解决方案,具有 SAP BASIS 7.5 SP12 及更高版本的 SAP 系统可以反映 ABAPTableDataLog_CL
表中的表数据日志更改。
如果 ABAPTableDataLog_CL
表中未显示任何数据,请验证要从中提取数据的 SAP 系统是否包含相关的更改请求(传输)。 若要了解详细信息,请查看先决条件中的从 SAP 检索其他信息部分。
常见问题
部署适用于 SAP 的 Microsoft Sentinel 数据连接器和安全内容后,你可能会遇到以下错误或问题:
SAP SDK 文件损坏或缺失
如果连接器无法用 PyRfc 启动,或者显示了与 zip 相关的错误消息,则可能发生此错误。
- 重新安装 SAP SDK。
- 验证你的 Linux 64 位版本是否正确。 从当前日期开始,发布文件名为:nwrfc750P_8-70002752.zip。
如果你已手动安装数据连接器,请确保已将 SDK 文件复制到 Docker 容器中。
运行:
Docker cp SDK by running docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/
大型系统上出现 ABAP 运行时错误
如果在大型系统上出现 ABAP 运行时错误,请尝试缩小区域大小:
编辑 /opt/sapcon/[SID]/systemconfig.ini 文件,并在“连接器配置”部分定义
timechunk = 5
。例如:
[Connector Configuration] timechunk = 5
保存文件。
更改会在保存文件两分钟后生效。 无需重启 Docker 容器。
注意
timechunk 大小以分钟为单位定义。
空或未检索审核日志,无特殊错误消息
- 检查是否在 SAP 中启用了审核日志记录。
- 验证 SM19 或 RSAU_CONFIG 事务 。
- 根据需要启用任何事件。
- 验证消息是否到达并存在于 SAP SM20 或 RSAU_READ_LOG 中,连接器日志中不显示任何特殊错误。
Microsoft Sentinel 工作区 ID 或密钥不正确
如果你发现了在部署脚本中输入了不正确的工作区 ID 或密钥,请更新 Azure Key Vault 中存储的凭据。
验证 Azure 密钥保管库中的凭据后,重启容器:
docker restart sapcon-[SID]
固定配置中的 SAP ABAP 用户凭据不正确
固定配置是指密码直接存储在 systemconfig.ini 配置文件中。
如果凭据不正确,请验证凭据。
使用 base64 加密对用户和密码进行加密。 可以使用联机加密工具(例如 https://www.base64encode.org/ )加密凭据。
密钥保管库中 SAP ABAP 用户凭据不正确
检查凭据,并根据需要通过将正确的值应用于 Azure 密钥保管库中的 ABAPUSER 和 ABAPPASS 值来修复凭据 。
然后重启容器:
docker restart sapcon-[SID]
缺失 ABAP(SAP 用户)权限
如果收到了类似于“..缺失后台 RFC 授权..”的错误消息,说明没有恰当应用 SAP 授权和角色。
请确保在更改请求传输过程中,已导入 MSFTSEN/SENTINEL_CONNECTOR 角色并将其应用到连接器用户。
使用 SAP 事务 PFCG 运行角色生成和用户比较。
工作簿或警告中缺失数据
如果发现在 Microsoft Sentinel 工作簿或警告中缺失数据,请确保在 SAP 端恰当启用了审核日志策略,并且日志文件中没有错误。
在此步骤中使用 RSAU_CONFIG_LOG 事务。
SAP 更改请求缺失
如果发现缺少所需的 SAP 更改请求错误,请确保已为系统导入正确的 SAP 更改请求。
有关详细信息,请参阅 ValidateSAP 环境验证步骤。
无记录/延迟记录
代理依赖于时区信息的正确性。 如果 SAP 审核和更改日志中没有记录,或者记录总是滞后几个小时,请检查 SAP 报告 TZCUSTHELP 是否显示任何错误。 有关更多详细信息,请参见 SAP 说明 481835。 此外,托管适用于 SAP 的 Microsoft Sentinel 解决方案®应用程序代理的 VM 上的时钟也可能出现问题。 VM 时钟与 UTC 的任何偏差都会影响数据收集。 更重要的是,SAP VM 的时钟和 Sentinel 代理的 VM 时钟应匹配。
网络连接问题
如果在 SAP 环境或 Microsoft Sentinel 上遇到网络连接问题,请检查你的网络连接,以确保数据按预期方式流动。
常见问题包括:
Docker 容器与 SAP 主机之间的防火墙可能会阻止流量。 SAP 主机通过以下 TCP 端口接收通信,这些端口必须是打开的:32xx、5xx13 和 33xx,其中 xx 是 SAP 实例编号 。
从 SAP 主机到 Microsoft Container Registry 或 Azure 的出站通信需要进行代理配置。 这通常会影响安装并要求配置
HTTP_PROXY
和HTTPS_PROXY
环境变量。 此外,还可以在创建 docker 容器时,通过将-e
标志添加到 dockercreate
/run
命令来将环境变量引入到该容器中。
其他意外问题
如果出现本文未列出的意外问题,请尝试执行以下步骤:
- 重置连接器并重新加载日志
- 将连接器升级到最新版本。
提示
另外还建议在完成任何大的配置更改后,重置连接器并确保已获得最新升级。
检索审核日志失败并出现警告
如果尝试检索审核日志,但未部署所需的更改请求,或使用了较旧/未修补的版本,并且该进程失败并出现警告,请验证是否可以使用下列方法之一来检索 SAP 审核日志:
- 在较旧版本中使用称为 XAL 的兼容性模式
- 使用最近未修补的版本
- 未安装所需的更改请求
尽管系统应在需要时自动切换到兼容模式,但你可能需要手动切换。 手动切换到兼容模式:
编辑 /opt/sapcon/[SID]/systemconfig.ini 文件
在“连接器配置”部分中定义:
auditlogforcexal = True
例如:
[Connector Configuration] auditlogforcexal = True
保存文件。
更改会在保存文件两分钟后生效。 无需重启 Docker 容器。
SAPCONTROL 或 JAVA 子系统无法连接
请检查 OS 用户是否有效,并且是否可以在目标 SAP 系统上运行以下命令:
sapcontrol -nr <SID> -function GetSystemInstanceList
SAPCONTROL 或 JAVA 子系统失败,出现时区相关错误消息
如果 SAPCONTROL 或 JAVA 子系统失败,并出现时区相关的错误消息,例如:请检查 SAP 服务器 'Etc/NZST' 的配置和网络访问,请确保使用的是标准时区代码。
例如,使用 javatz = GMT+12
或 abaptz = GMT-3**
。
无法将更改请求传输导入到 SAP
如果无法导入所需的 SAP 日志更改请求并且收到有关无效组件版本的错误,请在导入更改请求时添加 ignore invalid component version
。
引入初始负载之后未引入审核日志数据
如果在引入初始负载之后,RSAU_READ_LOAD 或 SM200 事务中显示的 SAP 审核日志数据未引入 Microsoft Sentinel 中,则原因可能是错误配置了 SAP 系统和 SAP 主机操作系统。
- 初始负载是在全新安装适用于 SAP 的 Microsoft Sentinel 数据连接器后或者在删除 metadata.db 文件后引入的。
- 示例错误配置:STZAC 事务中的 SAP 系统时区设置为 CET,但 SAP 主机操作系统时区却设置为 UTC 。
若要检查是否存在错误配置,请在事务 SE38 中运行 RSDBTIME 报告 。 如果发现 SAP 系统与 SAP 主机操作系统之间存在不匹配情况,请执行以下操作:
停止 Docker 容器。 运行
docker stop sapcon-[SID]
从 /opt/sapcon/[SID] 目录中删除 metadata.db 文件。 运行:
rm /opt/sapcon/[SID]/metadata.db
更新 SAP 系统和 SAP 主机操作系统,使设置匹配,例如使用相同的时区。 有关详细信息,请参阅 SAP 社区 Wiki。
再次启动容器。 运行:
docker start sapcon-[SID]
SAP 审核日志中缺少 IP 地址或事务代码字段
该解决方案允许 SAP BASIS 7.5 SP12 及以上版本的 SAP 系统在 ABAPAuditLog_CL 和 SAPAuditLog 表中反映附加字段。 如果使用高于 7.5 SP12 的 SAP BASIS 版本,并且 SAP 审核日志中缺少 IP 地址或事务代码字段,请验证要从中提取数据的 SAP 系统是否包含相关的更改请求(传输)。 有关更多详细信息,请参阅从 SAP 检索其他信息(可选)。
SAP 表数据日志中未显示任何数据
通过此解决方案,具有 SAP BASIS 7.5 SP12 及更高版本的 SAP 系统可以反映 ABAPTableDataLog_CL 表中的表数据日志更改。 如果 ABAPTableDataLog_CL 中未显示任何数据,请验证要从中提取数据的 SAP 系统是否包含相关的更改请求(传输)。 有关更多详细信息,请参阅从 SAP 检索其他信息(可选)。
后续步骤
详细了解适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序:
- 部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序
- 部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序的先决条件
- 部署 SAP 更改请求 (CR) 并配置授权
- 从内容中心部署解决方案内容
- 部署并配置托管 SAP 数据连接器代理的容器
- 通过 SNC 部署适用于 SAP 的 Microsoft Sentinel 数据连接器
- 启用并配置 SAP 审核
- 收集 SAP HANA 审核日志
参考文件:
- 适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序解决方案数据参考
- 适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序解决方案:安全内容参考
- Kickstart 脚本参考
- 更新脚本参考
- Systemconfig.ini 文件参考
要了解详情,请参阅 Microsoft Sentinel 解决方案。