适用于 SAP 的 Microsoft Sentinel 解决方案应用程序的日志和表参考
本文介绍适用于 SAP 的 Microsoft Sentinel 解决方案应用程序及其数据连接器中提供的日志和表。
本文中提到的某些日志默认不会发送到 Microsoft Sentinel,但你可以根据需要手动添加它们。 有关详细信息,请参阅定义发送到 Microsoft Sentinel 的 SAP 日志
本文的内容适用于 SAP BASIS 团队。
重要
适用于 SAP 的 Microsoft Sentinel 威胁监视解决方案的某些组件目前处于预览阶段。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
在查询中使用函数,而不是基础日志或表
强烈建议尽可能使用可用的函数作为分析的主题,而不是基础日志或表。
适用于 SAP 的 Microsoft Sentinel 解决方案应用程序提供的函数旨在充当数据的主体用户界面。 它们构成了所有现成的内置分析规则和工作簿的基础。 使用函数可以对函数下的数据基础结构进行更改,而不会破坏用户创建的内容。
有关详细信息,请参阅适用于 SAP 的 Microsoft Sentinel 解决方案应用程序 - 函数参考和 Azure Monitor 日志查询中的函数。
日志覆盖率
适用于 SAP 的 Microsoft Sentinel 解决方案应用程序从应用程序、操作系统和数据层收集日志,为 SAP 系统提供全面的保护:
应用层:Microsoft Sentinel 监视 ABAP 层中的活动,这是 SAP 系统中的主要应用层,负责执行业务逻辑和处理事务。 例如,Microsoft Sentinel 收集包含用户操作(如登录、密码更改以及对报表或文件的访问)的日志。
除了安全监视之外,在应用层收集的日志还可用于合规性和审核目的。
操作系统层:Microsoft Sentinel 从操作系统收集日志,以提供对操作系统级活动的见解,例如来自 ABAP 服务器和运行 SAP 应用程序的虚拟机的日志。
将适用于 SAP 的 Microsoft Sentinel 解决方案应用程序与其他服务的安全内容和数据连接器结合使用,以便全面集中监视、关联所有系统的信息以及增强整体安全状况。
数据库层:将数据库日志引入 Microsoft Sentinel 以监视数据库活动,例如数据库管理活动和表数据更改。 适用于 SAP 的 Microsoft Sentinel 解决方案应用程序与数据库无关。
数据连接器代理收集的所有日志首先存储在数据收集器代理计算机上,位于容器实例中的 /opt/sapcon/<sid>/log 文件夹中。 然后,日志将转发到 Log Analytics 工作区,可在其中从 Microsoft Sentinel 查看、审核和查询它们。
审核日志每分钟收集和引入一次,而其他日志的引入频率可能较低。 Microsoft Sentinel 还监视数据连接器代理程序检测信号,以确保收集日志并将其发送到 Log Analytics 工作区。
日志参考
以下部分介绍适用于 SAP 的 Microsoft Sentinel 解决方案应用程序数据连接器中提供的 SAP 日志,包括 Microsoft Sentinel 中的表名、日志用途和详细的日志架构。
架构字段说明基于相关 SAP 文档 中的字段说明。
- ABAP 应用程序日志
- ABAP 更改文档日志
- ABAP CR 日志
- ABAP DB 表数据日志(预览版)
- ABAP 网关日志(预览版)
- ABAP ICM 日志(预览版)
- ABAP 作业日志
- ABAP 安全审核日志
- ABAP Spool 日志
- APAB Spool 输出日志
- ABAP SysLog
- ABAP 工作流日志
- ABAP WorkProcess 日志
- HANA DB 审核线索
- JAVA 文件
- SAP 检测信号日志
ABAP 应用程序日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPAppLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:记录应用程序执行的进度,以便以后根据需要重新构造。
使用基于标准 SAP 表和 XBP 接口标准服务的 RFC 提供。 此日志是按客户端生成的。
ABAPAppLog_CL 日志架构
| 字段 | 说明 |
|---|---|
| AppLogDateTime | 应用程序日志日期时间 |
| CallbackProgram | 回调程序 |
| CallbackRoutine | 回调例程 |
| CallbackType | 回调类型 |
| ClientID | ABAP 客户端 ID (MANDT) |
| ContextDDIC | 上下文 DDIC 结构 |
| ExternalID | 外部日志 ID |
| 主机 | 主机 |
| 实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | 应用程序日志消息串行 |
| LevelofDetail | 详细级别 |
| LogHandle | 应用程序日志句柄 |
| LogNumber | 日志编号 |
| MessageClass | Message 类 |
| MessageNumber | 消息号 |
| MessageText | 消息正文 |
| MessageType | 消息类型 |
| 对象 | 应用程序日志对象 |
| OperationMode | 操作模式 |
| ProblemClass | 问题类 |
| programName | 程序名 |
| SortCriterion | 排序条件 |
| StandardText | 标准文本 |
| SubObject | 应用程序日志子对象 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TransactionCode | 事务代码 |
| 用户 | 用户 |
| UserChange | 用户更改 |
ABAP 更改文档日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPChangeDocsLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:记录:
对业务数据对象的 SAP NetWeaver 应用程序服务器 (AS) ABAP 日志更改于更改文档中。
SAP 系统中的其他实体,例如用户数据、角色、地址。
使用基于标准 SAP 表的 RFC 提供。 此日志是按客户端生成的。
ABAPChangeDocsLog_CL 日志架构
| 字段 | 说明 |
|---|---|
| ActualChangeNum | 实际更改编号 |
| ChangedTableKey | 已更改表键 |
| ChangeNumber | 更改编号 |
| ClientID | ABAP 客户端 ID (MANDT) |
| CreatedfromPlannedChange | 从计划的更改创建,采用以下语法:(‘X’ , ‘ ‘) |
| CurrencyKeyNew | 货币键:新值 |
| CurrencyKeyOld | 货币键:旧值 |
| FieldName | 字段名称 |
| FlagText | 标志文本 |
| 主机 | 主机 |
| 实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| 语言 | 语言 |
| ObjectClass | 对象类,如 BELEG、BPAR、PFCG、IDENTITY |
| ObjectID | 对象 ID |
| PlannedChangeNum | 计划的更改编号 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TableName | 表名称 |
| TransactionCode | 事务代码 |
| TypeofChange_Header | 更改标头类型,包括:U = 更改;I = 插入;E = 删除单个文档;D = 删除;J = 插入单个文档 |
| TypeofChange_Item | 更改项目类型,包括:U = 更改;I = 插入;E = 删除单个文档;D = 删除;J = 插入单个文档 |
| UOMNew | 度量单位:新值 |
| UOMOld | 度量单位:旧值 |
| 用户 | 用户 |
| ValueNew | 字段内容:新值 |
| ValueOld | 字段内容:旧值 |
| 版本 | 版本 |
ABAP CR 日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPCRLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:包括更改和传输系统 (CTS) 日志,包括进行了更改的 Directory 对象和自定义项。
使用基于标准表和标准 SAP 服务的 RFC 提供。 此日志使用所有客户端中的数据生成。
注意
除了应用程序日志记录、更改文档和表记录外,使用更改和传输系统对生产系统进行的所有更改都记录在 CTS 和 TMS 日志中。
ABAPCRLog_CL 日志架构
| 字段 | 说明 |
|---|---|
| 类别 | 类别(工作台,自定义) |
| ClientID | ABAP 客户端 ID (MANDT) |
| 说明 | 说明 |
| 主机 | 主机 |
| 实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| ObjectName | 对象名称 |
| ObjectType | 对象类型 |
| “所有者” | “所有者” |
| 请求 | 更改请求 |
| 状态 | 状态 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TableKey | 表键 |
| TableName | 表名称 |
| 视图名 | 视图名称 |
ABAP DB 表数据日志(预览版)
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.json 文件。 使用建议的过程从门户安装数据连接器代理时,不支持此日志。
用于查询以下日志的 Microsoft Sentinel 函数:SAPTableDataLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:为那些对审核至关重要或容易受到审核的表提供日志记录。
可通过将 RFC 与自定义服务一起使用获得。 此日志使用所有客户端中的数据生成。
ABAPTableDataLog_CL 日志架构
| 字段 | 说明 |
|---|---|
| DBLogID | DB 日志 ID |
| 主机 | 主机 |
| 实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| 语言 | 语言 |
| LogKey | 日志键 |
| NewValue | 字段新值 |
| OldValue | 字段旧值 |
| OperationTypeSQL | 操作类型,Insert、Update、Delete |
| 节目 | 程序名 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TableField | 表字段 |
| TableName | 表名称 |
| TransactionCode | 事务代码 |
| UserName | 用户 |
| VersionNumber | 版本号 |
ABAP 网关日志(预览版)
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.json 文件。 使用建议的过程从门户安装数据连接器代理时,不支持此日志。
用于查询以下日志的 Microsoft Sentinel 函数:SAPOS_GW
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:监视网关活动。 可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。
ABAPOS_GW_CL 日志架构
| 字段 | 说明 |
|---|---|
| 主机 | 主机 |
| 实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| MessageText | 消息正文 |
| 严重性 | 消息严重性:Debug、Info、Warning、Error |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
ABAP ICM 日志(预览版)
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.json 文件。 使用建议的过程从门户安装数据连接器代理时,不支持此日志。
用于查询以下日志的 Microsoft Sentinel 函数:SAPOS_ICM
“相关 SAP 文档”:SAP 帮助门户
“日志目的”:记录入站和出站请求,并编译 HTTP 请求的统计信息。
可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。
ABAPOS_ICM_CL 日志架构
| 字段 | 说明 |
|---|---|
| 主机 | 主机 |
| 实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| MessageText | 消息正文 |
| 严重性 | 消息严重性,包括:Debug、Info、Warning、Error |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
ABAP 作业日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPJobLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:合并所有后台处理作业日志 (SM37)。
使用基于标准 SAP 表和 XBP 接口标准服务的 RFC 可用。 此日志使用所有客户端中的数据生成。
ABAPJobLog_CL 日志架构
| 字段 | 说明 |
|---|---|
| ABAPProgram | ABAP 程序 |
| BgdEventParameters | 后台事件参数 |
| BgdProcessingEvent | 后台处理事件 |
| ClientID | ABAP 客户端 ID (MANDT) |
| DynproNumber | Dynpro 编号 |
| GUIStatus | GUI 状态 |
| 主机 | 主机 |
| 实例 | ABAP 实例 (HOST_SYSID_SYSNR),采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| JobClassification | 作业分类 |
| JobCount | 作业计数 |
| JobGroup | 作业组 |
| JobName | 作业名称 |
| JobPriority | 作业优先级 |
| MessageClass | Message 类 |
| MessageNumber | 消息号 |
| MessageText | 消息正文 |
| MessageType | 消息类型 |
| ReleaseUser | 作业发布用户 |
| SchedulingDateTime | 计划日期时间 |
| StartDateTime | 开始日期时间 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TargetServer | 目标服务器 |
| 用户 | 用户 |
| UserReleaseInstance | ABAP 实例 - 用户发布 |
| WorkProcessID | 工作进程 ID |
| WorkProcessNumber | 工作进程编号 |
ABAP 安全审核日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPAuditLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:记录以下数据:
- SAP 系统环境的安全相关更改,例如主用户记录的更改
- 提供更高级别数据的信息,例如成功和失败的登录尝试
- 启用一系列事件重建的信息,例如成功或失败的事务启动
可通过使用 RFC XAL/SAL 接口获得。 版本 Basis 7.50 及更高版本支持此功能。 此日志使用所有客户端中的数据生成。
ABAPAuditLog_CL 日志架构
| 字段 | 说明 |
|---|---|
| ABAPProgramName | 程序名,仅 SAL |
| AlertSeverity | 警报严重性 |
| AlertSeverityText | 警报严重性文本,仅 SAL |
| AlertValue | 警报值 |
| AuditClassID | 审核类 ID,仅 SAL |
| ClientID | ABAP 客户端 ID (MANDT) |
| Computer | 用户计算机,仅 SAL |
| 电子邮件 | 用户电子邮件 |
| 主机 | 主机 |
| 实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| MessageClass | Message 类 |
| MessageContainerID | 消息容器 ID,仅 XAL |
| 消息 ID | 消息 ID,如 ‘AU1’,’AU2’… |
| MessageText | 消息正文 |
| MonitoringObjectName | MTE 监视器对象名称,仅 XAL |
| MonitorShortName | MTE 监视器短名称,仅 XAL |
| SAPProcesType | 系统日志: SAP 进程类型,仅 SAL |
| B* - 后台处理 | |
| D* - 对话处理 | |
| U* - 更新任务 | |
| SAPWPName | 系统日志:工作进程编号,仅 SAL |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TerminalIPv6 | 用户计算机 IP,仅 SAL |
| TransactionCode | 事务代码,仅 SAL |
| 用户 | 用户 |
| Variable1 | 消息变量 1 |
| Variable2 | 消息变量 2 |
| Variable3 | 消息变量 3 |
| Variable4 | 消息变量 4 |
ABAP Spool 日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPSpoolLog
“相关 SAP 文档”:SAP 帮助门户
日志用途:用作 SAP 打印的主日志,包含 spool 请求的历史记录。 (SP01)。
使用基于标准 SAP 表的 RFC 提供。 此日志使用所有客户端中的数据生成。
ABAPSpoolLog_CL 日志架构
| 字段 | 说明 |
|---|---|
| ArchiveStatus | 存档状态 |
| ArchiveType | 存档类型 |
| ArchivingDevice | 存档设备 |
| AutoRereoute | 自动重新路由 |
| ClientID | ABAP 客户端 ID (MANDT) |
| CountryKey | 国家/地区密钥 |
| DeleteSpoolRequestAuto | 自动删除 spool 请求 |
| DelFlag | 删除标志 |
| 部门 | 部门 |
| DocumentType | 文档类型 |
| ExternalMode | 外部模式 |
| FormatType | 格式类型 |
| 主机 | 主机 |
| 实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| NumofCopies | 份数 |
| OutputDevice | 输出设备 |
| PrinterLongName | 打印机长名称 |
| PrintImmediately | 立即打印 |
| PrintOSCoverPage | 打印 OSCover 页 |
| PrintSAPCoverPage | 打印 SAPCover 页 |
| 优先级 | 优先级 |
| RecipientofSpoolRequest | spool 请求的收件人 |
| SpoolErrorStatus | Spool 错误状态 |
| SpoolRequestCompleted | spool 请求已完成 |
| SpoolRequestisALogForAnotherRequest | Spool 请求是另一个请求的日志 |
| SpoolRequestName | spool 请求名称 |
| SpoolRequestNumber | spool 请求编号 |
| SpoolRequestSuffix1 | Spool 请求后缀 1 |
| SpoolRequestSuffix2 | Spool 请求后缀 2 |
| SpoolRequestTitle | spool 请求标题 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TelecommunicationsPartner | 电信合作伙伴 |
| TelecommunicationsPartnerE | 电信合作伙伴 E |
| TemSeGeneralcounter | Temse 计数器 |
| TemseNumAddProtectionRule | Temse 编号添加保护规则 |
| TemseNumChangeProtectionRule | Temse 编号更改保护规则 |
| TemseNumDeleteProtectionRule | Temse 编号删除保护规则 |
| TemSeObjectName | Temse 对象名称 |
| TemSeObjectPart | TemSe 对象部分 |
| TemseReadProtectionRule | Temse 读取保护规则 |
| 用户 | 用户 |
| ValueAuthCheck | 值身份验证检查 |
APAB Spool 输出日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPSpoolOutputLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:用作 SAP 打印的主日志,包含 spool 输出请求的历史记录。 (SP02)。
可通过将 RFC 与基于标准表的自定义服务一起使用获得。 此日志使用所有客户端中的数据生成。
ABAPSpoolOutputLog_CL 日志架构
| 字段 | 说明 |
|---|---|
| AppServer | 应用程序服务器 |
| ClientID | ABAP 客户端 ID (MANDT) |
| 注释 | 注释 |
| CopyCount | 复制计数 |
| CopyCounter | 复制计数器 |
| 部门 | 部门 |
| ErrorSpoolRequestNumber | 错误请求编号 |
| FormatType | 格式类型 |
| 主机 | 主机 |
| HostName | 主机名 |
| HostSpoolerID | 主机 spooler ID |
| 实例 | ABAP 实例 |
| LastPage | 最后一页 |
| NumofCopies | 份数 |
| OutputDevice | 输出设备 |
| OutputRequestNumber | 输出请求编号 |
| OutputRequestStatus | 获取请求状态 |
| PhysicalFormatType | 物理格式类型 |
| PrinterLongName | 打印机长名称 |
| PrintRequestSize | 打印请求大小 |
| 优先级 | 优先级 |
| ReasonforOutputRequest | 输出请求的原因 |
| RecipientofSpoolRequest | spool 请求的收件人 |
| SpoolNumberofOutputReqProcessed | 输出请求数 - 已处理 |
| SpoolNumberofOutputReqWithErrors | 输出请求数 - 有错误 |
| SpoolNumberofOutputReqWithProblems | 输出请求数 - 有问题 |
| SpoolRequestNumber | spool 请求编号 |
| StartPage | 起始页 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TelecommunicationsPartner | 电信合作伙伴 |
| TemSeGeneralcounter | Temse 计数器 |
| Title | Title |
| 用户 | 用户 |
ABAP Syslog
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.json 文件。 使用建议的过程从门户安装数据连接器代理时,不支持此日志。
用于查询以下日志的 Microsoft Sentinel 函数:SAPOS_Syslog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:记录所有 SAP NetWeaver 应用程序服务器 (SAP NetWeaver AS) ABAP 系统错误、警告、由于已知用户的登录尝试失败而锁定的用户锁、进程消息。
可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。
ABAPOS_Syslog_CL 日志架构
| 字段 | 说明 |
|---|---|
| ClientID | ABAP 客户端 ID (MANDT) |
| 主机 | 主机 |
| 实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| MessageNumber | 消息号 |
| MessageText | 消息正文 |
| 严重性 | 消息严重性,以下值之一:Debug、Info、Warning、Error |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TransacationCode | 事务代码 |
| 类型 | SAP 进程类型 |
| 用户 | 用户 |
ABAP 工作流日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPWorkflowLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:使用 SAP Business Workflow (WebFlow Engine),可以定义尚未映射到 SAP 系统中的业务进程。
例如,未映射的业务进程可能是简单的发布或审批过程,或者是更复杂的业务进程,如创建基本材料,然后协调关联的部门。
使用基于标准 SAP 表的 RFC 提供。 此日志是按客户端生成的。
ABAPWorkflowLog_CL 日志架构
| 字段 | 说明 |
|---|---|
| ActualAgent | 实际代理 |
| 地址 | 地址 |
| ApplicationArea | 应用程序区域 |
| CallbackFunction | 回调函数 |
| ClientID | ABAP 客户端 ID (MANDT) |
| CreationDateTime | 创建日期时间 |
| 创建者 | 创建者 |
| CreatorAddress | 创建者地址 |
| ErrorType | 错误类型 |
| ExceptionforMethod | 方法的异常 |
| 主机 | 主机 |
| 实例 | ABAP 实例 (HOST_SYSID_SYSNR),采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| 语言 | 语言 |
| LogCounter | 日志计数器 |
| MessageNumber | 消息号 |
| MessageType | 消息类型 |
| MethodUser | 方法用户 |
| 优先级 | 优先级 |
| SimpleContainer | 简单容器,打包为工作项键值实体列表 |
| 状态 | 状态 |
| SuperWI | 超级 WI |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TaskID | 任务 ID |
| TasksClassification | 任务分类 |
| TaskText | 任务文本 |
| TopTaskID | 最高任务 ID |
| UserCreated | 创建者用户 |
| WIText | 工作项文本 |
| WIType | 工作项类型 |
| WorkflowAction | Workflow 操作 |
| WorkItemID | 工作项 ID |
ABAP WorkProcess 日志
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.json 文件。 使用建议的过程从门户安装数据连接器代理时,不支持此日志。
用于查询以下日志的 Microsoft Sentinel 函数:SAPOS_WP
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:合并所有工作进程日志。 (默认:
dev_*)。可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。
ABAPOS_WP_CL 日志架构
| 字段 | 说明 |
|---|---|
| 主机 | 主机 |
| 实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| MessageText | 消息正文 |
| 严重性 | 消息严重性:Debug、Info、Warning、Error |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| WPNumber | 工作进程编号 |
HANA DB 审核线索
收集 HANA DB 审核跟踪日志是 Microsoft sentinel 如何收集数据库层活动的一个示例。 若要将此日志发送到 Microsoft Sentinel,必须部署 Azure Monitor 代理以从运行 HANA DB 的计算机收集 Syslog 数据。
用于查询以下日志的 Microsoft Sentinel 函数:SAPSyslog
“日志用途”:记录 SAP HANA 数据库中的用户操作或尝试的操作。 例如,能够实现记录和监视对敏感数据的读取访问。
可通过 Syslog 的 Microsoft Sentinel Linux 代理获得。 此日志使用所有客户端中的数据生成。
Syslog 日志架构
| 字段 | 说明 |
|---|---|
| Computer | 主机名 |
| HostIP | 主机 IP |
| HostName | 主机名 |
| ProcessID | 进程 ID |
| ProcessName | 进程名称:HDB* |
| SeverityLevel | 警报 |
| SourceSystem | 源系统 OS,Linux |
| SyslogMessage | 消息,未分析的审核线索消息 |
JAVA 文件
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.json 文件。 使用建议的过程从门户安装数据连接器代理时,不支持此日志。
用于查询以下日志的 Microsoft Sentinel 函数:SAPJAVAFilesLogs
“相关 SAP 文档”:常规 | Java 安全审核日志
“日志用途”:合并所有基于 Java 文件的日志,包括安全审核日志和系统(群集和服务器进程)、性能和网关日志。 还包括开发人员跟踪和默认跟踪日志。
可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。
JavaFilesLogsCL 日志架构
| 字段 | 说明 |
|---|---|
| 应用程序 | Java 应用程序 |
| ClientID | 客户端 ID |
| CSNComponent | CSN 组件,例如 BC-XI-IBD |
| DCComponent | DC 组件,例如 com.sap.xi.util.misc |
| DSRCounter | DSR 计数器 |
| DSRRootContentID | DSR 上下文 GUID |
| DSRTransaction | DSR 事务 GUID |
| 主机 | 主机 |
| 实例 | Java 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| 位置 | Java 类 |
| LogName | Java logName,例如:Available、defaulttrace、dev*、security 等 |
| MessageText | 消息正文 |
| MNo | 消息号 |
| Pid | 进程 ID |
| 节目 | 程序名 |
| 会话 | 会话 |
| 严重性 | 消息严重性,包括:Debug、Info、Warning、Error |
| 解决方案 | 解决方案 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| ThreadName | 线程名 |
| 引发 | 引发异常 |
| TimeZone | 时区 |
| 用户 | 用户 |
SAP 检测信号日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPConnectorHealth
日志用途:提供有关代理与不同 SAP 系统之间的连接性的检测信号和其他运行状况信息。
自动为适用于 SAP 的 Microsoft Sentinel 连接器的任何代理创建。
SAP_HeartBeat_CL 日志架构
| 字段 | 说明 |
|---|---|
| TimeGenerated | 日志发布事件的时间 |
| agent_id_s | 代理配置中的代理 ID(自动生成) |
| agent_ver_s | 代理版本 |
| host_s | 代理的主机名 |
| system_id_s | Netweaver ABAP 系统 ID/ Netweaver SAPControl 主机(预览版)/ Java SAPControl 主机(预览版) |
| push_timestamp_d | 提取操作的时间戳,具体取决于代理的时区 |
| agent_timezone_s | 代理的时区 |
直接从 SAP 系统检索的表参考
本部分列出了直接从 SAP 系统检索并按原样引入 Microsoft Sentinel 的数据表。
从这些表中检索的数据提供了授权结构、组成员身份和用户配置文件的清晰视图。 还可以通过这些数据跟踪授权的授予和撤销过程,并识别和控制与这些过程相关的风险。
下面列出了启用识别特权用户、将用户映射到角色、组和授权的功能所需的表。
为获得最佳结果,请使用下表中的“Microsoft Sentinel 函数名称”列中的名称来引用这些表:
| 表名 | 表说明 | Microsoft Sentinel 函数名称 |
|---|---|---|
| USR01 | 用户主记录(运行时数据) | SAP_USR01 |
| USR02 | 登录数据(内核端使用) | SAP_USR02 |
| UST04 | 用户主数据 将用户映射到配置文件 |
SAP_UST04 |
| AGR_USERS | 为用户分配角色 | SAP_AGR_USERS |
| AGR_1251 | 活动组的授权数据 | SAP_AGR_1251 |
| USGRP_USER | 将用户分配到用户组 | SAP_USGRP_USER |
| USR21 | 用户名/地址键分配 | SAP_USR21 |
| ADR6 | 电子邮件地址(业务地址服务) | SAP_ADR6 |
| USRSTAMP | 对用户进行的所有更改的时间戳 | SAP_USRSTAMP |
| ADCP | 人员/地址分配(业务地址服务) | SAP_ADCP |
| USR05 | 用户主参数 ID | SAP_USR05 |
| AGR_PROF | 角色的配置文件名称 | SAP_AGR_PROF |
| AGR_FLAGS | 角色属性 | SAP_AGR_FLAGS |
| DEVACCESS | 开发用户的表 | SAP_DEVACCESS |
| AGR_DEFINE | 角色定义 | SAP_AGR_DEFINE |
| AGR_AGRS | 复合角色中的角色 | SAP_AGR_AGRS |
| PAHI | 系统、数据库和 SAP 参数的历史记录 | SAP_PAHI |
| SNCSYSACL(预览版) | SNC 访问控制列表 (ACL):系统 | SAP_SNCSYSACL |
| USRACL(预览版) | SNC 访问控制列表 (ACL):用户 | SAP_USRACL |
相关内容
有关详细信息,请参阅: