适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案数据参考

重要

适用于 SAP 的 Microsoft Sentinel 威胁监视解决方案的某些组件目前处于预览阶段。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

如下所述,某些日志默认不会发送给 Microsoft Sentinel,但你可以根据需要手动添加这些日志。 有关详细信息,请参阅定义发送到 Microsoft Sentinel 的 SAP 日志

本文介绍适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案及其数据连接器中提供的函数、日志和表。 本文适用于高级 SAP 用户。

SAP 解决方案中提供的函数

本部分介绍在部署适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案后可在工作区中使用的函数。 Microsoft Sentinel“日志”页中的“工作区函数”下面列出了可在 KQL 查询中使用的函数。

强烈建议用户尽可能使用函数作为分析的主题,而不是使用基础日志或表。 这些函数旨在用作数据的主要用户接口。 它们构成了所有现成的内置分析规则和工作簿的基础。 这样就可以对函数下的数据基础结构进行更改,而不会破坏用户创建的内容。

SAPUsersAssignments

SAPUsersAssignments 函数从多个 SAP 数据源收集数据,并为当前用户主数据(包括当前分配的角色和配置文件)创建以用户为中心的视图。

此函数汇总用户的角色分配和配置文件,并返回以下数据:

字段 说明 数据源/备注
用户 SAP 用户 ID 仅限 SAL
电子邮件 SMTP 地址 USR21 (SMTP_ADDR)
UserType 用户类型 USR02 (USTYP)
时区 时区 USR02 (TZONE)
LockedStatus 锁定状态 USR02 (UFLAG)
LastSeenDate 上次查看日期 USR02 (TRDAT)
LastSeenTime 上次查看时间 USR02 (LTIME)
UserGroupAuth 用户主数据维护中的用户组 USR02 (CLASS)
配置文件 配置文件集(默认最大集大小 = 50) ["Profile 1", "Profile 2",...,"profile 50"]
DirectRoles 直接分配的角色集(默认最大集大小 = 50) ["Role 1", "Role 2",...,"”"Role 50"]
ChildRoles 间接分配的角色集(默认最大集大小 = 50) ["Role 1", "Role 2",...,"”"Role 50"]
客户端 客户端 ID
SystemID 系统 ID 在连接器中定义

SAPUsersGetPrivileged

SAPUsersGetPrivileged 函数返回每个客户端和系统 ID 的特权用户列表。

如果用户已列在“SAP - 特权用户”监视列表中、已分配到“SAP - 敏感配置文件”监视列表中列出的配置文件,或已添加到“SAP - 敏感角色”监视列表中列出的角色,则将其视为特权用户。

参数:

  • TimeAgo
    • 可选
    • 默认值:七天
    • 确定函数是否搜寻从 TimeAgo 值定义的时间到 now() 值定义的时间范围内的用户主数据。

SAPUsersGetPrivileged 函数返回以下数据:

字段 说明
用户 SAP 用户 ID
客户端 客户端 ID
SystemID 系统 ID

SAPUsersAuthorizations

SAPUsersAuthorizations 函数将多个表中的数据汇集在一起,以生成当前的所分配角色和授权的以用户为中心的视图。 仅返回具有活动角色和授权分配的用户。

参数:

  • TimeAgo
    • 可选
    • 默认值:七天
    • 确定函数是否搜寻从 TimeAgo 值定义的时间到 now() 值定义的时间范围内的用户主数据。

SAPUsersAuthorizations 函数返回以下数据:

字段 说明 说明
用户 SAP 用户 ID
角色 角色集(默认最大集大小 = 50) ["Role 1", "Role 2",...,"Role 50"]
AuthorizationsDetails 授权集(默认最大集大小 = 100) {{AuthorizationsDeatils1}
{AuthorizationsDeatils2}
...、
{AuthorizationsDeatils100}}
客户端 客户端 ID
SystemID 系统 ID

SAPConnectorHealth

SAPConnectorHealth 函数反映代理的和基础 SAP 系统的连接的状态。 它根据检测信号日志 SAP_HeartBeat_CL 和其他运行状况指示器返回以下数据:

字段 说明
Agent 代理配置中的代理 ID(自动生成)
SystemID SAP 系统 ID
状态 总体连接状态
详细信息 连接性详细信息
ExtendedDetails 连接性扩展详细信息
LastSeen 最新活动的时间戳
StatusCode 反映系统状态的代码

SAPConnectorOverview

SAPConnectorOverview 函数显示每个系统 ID 的每个 SAP 表的行计数。 它返回每个系统 ID 的数据记录及其生成时间的列表。

参数:

  • TimeAgo
    • 可选
    • 默认值:七天
    • 确定函数是否搜寻从 TimeAgo 值定义的时间到 now() 值定义的时间范围内的用户主数据。
字段 说明
TimeGenerated 记录生成时间戳的日期/时间值
SystemID_s 一个表示 SAP 系统 ID 的字符串

使用以下 Kusto 查询执行每日趋势分析:

SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s

SAPUsersEmail

SAPUsersEmail 函数允许针对每个 SAP 系统和客户端的 SAP 用户电子邮件地址进行面向性能的查找,通常用于将其与 Active Directory 帐户相关联。 SAPUsersEmail 函数使用从 SAP 表 USR21(用户名/地址键分配)和 ADR6(电子邮件地址)中提取的数据查找电子邮件地址。 如果未找到,则返回用户 ID 而不是电子邮件地址。 此行为可确保通常未关联电子邮件地址的 SAP 服务帐户(如 DDIC)记录为伪 AD 帐户,从而启用一些 UEBA 功能,帮助调查事件和搜寻活动。

字段 说明
ClientID SAP 客户端 ID
SystemID SAP 系统 ID
用户 SAP 用户 ID
电子邮件 SAP 用户的电子邮件地址

SAPSystems

SAPSystems 函数用于集中展示使用“SAP - 系统”监视列表进行的每系统配置。

参数:

  • SelectedSystems
    • 可选
    • 默认值:“所有系统”
    • 用于筛选特定 SAP 系统
  • SelectedSystemRoles
    • 可选
    • 默认值:“所有系统角色”
    • 确定要查看的 SAP 系统的角色(如“SAP - 系统”监视列表中所定义)
字段 说明 数据源/备注
SearchKey 搜索关键字 SAP 系统 ID 的索引字段
SystemRole SAP 系统的角色 生产、UAT
SystemUsage SAP 系统的主要用法 ERP、CRM
SystemID SAP 系统 ID

SAPAuditLogConfiguration

SAPAuditLogConfiguration 函数返回 Sentinel 工作区的 SAP 审核日志警报的本地配置,用于不同的 SAP 审核日志相关警报。 它将“SAP 动态审核日志监视器配置”和“SAP - 系统”监视列表中的数据联接起来,以按系统角色提供每系统配置。

参数:

  • SelectedSystems
    • 可选
    • 默认值:“所有系统”
    • 用于筛选要查看的特定 SAP 系统。
  • SelectedSystemRoles
    • 可选
    • 默认值:“所有系统角色”
    • 确定要查看的 SAP 系统的角色(如“SAP - 系统”监视列表中所定义)。
  • SelectedSeverities
    • 可选
    • 默认值:["High", "Medium"]
    • 用于根据严重性确定要查看的事件。 每个 SAP 审核日志消息 ID 和系统角色的严重性在“SAP_Dynamic_Audit_Log_Monitor_Configuration”监视列表中定义。
  • SelectedRuleTypes
    • 可选
    • 默认值:“所有规则类型”
    • 确定哪些事件与检测异常相关。 每个 SAP 审核日志消息 ID 和系统角色的规则类型在“SAP_Dynamic_Audit_Log_Monitor_Configuration”监视列表中定义。
字段 说明 数据源/备注
CategoryName SAP 给定事件类别 “SAP 动态审核日志监视器配置”监视列表
DestinationEmail 指派团队的电子邮件地址 “SAP 动态审核日志监视器配置”监视列表
DetailedDescription 要在警报上显示的 Markdown 格式文本 “SAP 动态审核日志监视器配置”监视列表
消息 ID SAP 审核日志消息 ID “SAP 动态审核日志监视器配置”监视列表
MessageText 消息文本示例 “SAP 动态审核日志监视器配置”监视列表
RolesTagsToExclude ABAP 角色、配置文件或自定义文本标记 “SAP 动态审核日志监视器配置”监视列表
RuleType 异常或确定性 “SAP 动态审核日志监视器配置”监视列表
策略 MITRE ATTA&CK 策略 “SAP 动态审核日志监视器配置”监视列表
TeamsChannelID Teams 通道 “SAP 动态审核日志监视器配置”监视列表
SystemID SAP 系统 ID “SAP - 系统”监视列表
SystemRole SAP 系统的角色 “SAP - 系统”监视列表
SystemUsage SAP 系统的主要用法 “SAP - 系统”监视列表
IsProd 生产系统标志 “SAP - 系统”监视列表
严重性 推导出的严重性 按系统使用情况的严重性
阈值 推导出的阈值 按系统使用情况的事件计数
BagOfDetails 详细信息包 详细描述事件定义的字典

SAPAuditLogAnomalies

SAPAuditLogAnomalies 使用 Sentinel 的基础 Kusto 数据库的内置机器学习功能,帮助检测在 SAP 审核日志中观察到的异常事件。 此函数针对“SAP -(实验性)基于动态异常的审核日志监视器警报”警报规则开发,最初旨在针对最近的异常发出警报,但它也有助于突出显示历史异常(请参阅以下示例)。

参数:

  • LearningTime
    • 可选
    • 默认值:14 天
    • 确定用于模型学习的时间跨度
  • DetectingTime
    • 可选
    • 默认值:一小时
    • 确定要查看的检测异常的时间跨度。 使用 DetectingTime = 0h 调用此函数将突出显示整个 LearningTime 时间跨度中的异常
  • SelectedSystems
    • 可选
    • 默认值:“所有系统”
    • 用于筛选要查看的特定 SAP 系统。
  • SelectedSystemRoles
    • 可选
    • 默认值:“所有系统角色”
    • 确定要查看的 SAP 系统的角色(如“SAP - 系统”监视列表中所定义)。
  • SelectedSeverities
    • 可选
    • 默认值:["High", "Medium"]
    • 用于根据严重性确定要查看的事件。 每个 SAP 审核日志消息 ID 和系统角色的严重性在“SAP_Dynamic_Audit_Log_Monitor_Configuration”监视列表中定义。
  • SelectedPrefixMask
    • 可选
    • 默认值:24
    • 用于确定学习和检测所用的子网掩码级别。
  • SelectedRuleTypes
    • 可选
    • 默认值:“AnomaliesOnly”
    • 确定哪些事件与检测异常相关。 每个 SAP 审核日志消息 ID 和系统角色的规则类型在“SAP_Dynamic_Audit_Log_Monitor_Configuration”监视列表中定义。

逻辑

该函数学习在用户、网络属性、系统、季节性和活动级别由不同输入参数定义的历史记录切片。 然后,它根据学到的内容判断在最后一个 DetectingTime 时间跨度内发生的事件,并应用从 SAP 审核日志配置监视列表中获得的阈值和其他可配置的排除标准。 一旦用户活动的滑动窗口被视为异常,第二个查询将返回整个用户活动作为支持该决策的证据。

附加说明

与任何机器学习解决方案一样,此函数随时间推移表现得更好。 可以使用本地配置进行进一步调整。 建议使用许多可用的输入参数将学习数据库的大小限制在 1 亿条记录以下。

示例:针对在“SAP_Dynamic_Audit_Log_Monitor_Configuration”中标记为“AnomaliesOnly”的事件类型,在生产系统上查找过去一小时内发生的高严重性事件的异常情况

SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), 
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))

示例:在系统“BIP”中查找过去 14 天的所有异常情况

SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
字段 说明
SAPAuditLog 中的多个字段 SAP 审核日志中的关键字段
SAPAuditLogConfiguration 中的多个字段 Sentinel for SAP 审核日志配置中的关键字段
DiscoveredOn 观察到异常的整点时间
EventCount 按返回的行计数的事件数
AnomalCount 相关滑动窗口中观察到的事件数
MinTime 观察到的第一个事件的时间
MaxTime 观察到的最后一个事件的时间
分数 异常模型生成的异常分数

有关详细信息,请参阅用于监视 SAP 审核日志的内置 SAP 分析规则

SAPAuditLogConfigRecommend

SAPAuditLogConfigRecommend 是一个帮助器函数,旨在为基于 SAP - 动态异常的审核日志监视器警报(预览版)分析规则的配置提供建议。 了解如何配置规则

SAPUsersGetVIP

适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案使用中心用户标记和显式排除的概念,旨在帮助你轻松减少误报。 使用 SAPUsersGetVIP 函数通过指定 SAP 用户角色、SAP 用户功能或代表用户的标记将这些用户从触发警报的操作中排除。 有关详细信息,请参阅在 Microsoft Sentinel 中处理误报

如果已将标记指定为 SAPUsersGetVIP 函数的输入,则这些标记会排除其标记已在 SAP_User_Config 监视列表中列出的所有用户。 相同的功能已扩展为使用通配符,允许你将单个标记分配给命名语法相同的一组用户。

  1. 将 SAP_User_Config 监视列表中的用户标记如下:

    • 根据需要向 SAP_User_Config 监视列表中的每个用户添加多个标记,以涵盖各种情况。 每个预警规则都有自己的相关标记(如果有),你可以根据需要添加自定义标记。

    • 使用星号 (*) 作为通配符来包含使用特定命名语法模板的用户。

  2. 在分析规则中添加 SAPUsersGetVIP 函数,以请求你已定义的要从警报中排除的用户列表。 在函数调用中添加一个数组,其中包含要排除的标记、SAP 角色和 SAP 配置文件。

例如,在分析规则中使用以下 KQL 查询来排除 SAP_User_Config 监视列表中配置有 RunObsoleteProgOK 标记的任何用户,或排除具有示例 SAP_BASIS_ADMIN_ROLE 角色或示例 SAP_ADMIN_PROFILE 配置文件的任何用户。

复制此示例函数调用时,请根据需要将 SAP_BASIS_ADMIN_ROLE 角色和 SAP_ADMIN_PROFILE 配置文件替换为你自己的 SAP 角色或配置文件。

// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude

SAPUsersGetVIP 函数通常用在确定性和异常审核日志监视器警报中。 将标记与 SAP 审核日志消息 ID 相关联,或将规则模板扩展为符合组织需求的自定义规则。

提示

建议联系 SAP 系统管理员,了解要在 SAP_User_Config 监视列表中包含哪些 SAP 用户、角色和配置文件。

参数:

名称 说明 默认值
SearchForTags(可选) SearchForTags 等于 All Tags 时,将返回所有用户及其标记。

否则仅返回具有 SearchForTags 中指定的标记、SAP 角色或 SAP 配置文件的用户。 TagsIntersect 显示找到的标记,IntersectionSize 保存找到的标记的数量。
dynamic('All Tags')
SpecialFocusTags(可选) 返回带有 SpecialFocusTags 中指定的标记的所有用户,用 specialFocusTagged = true 标记这些用户。 Do not return any in-focus users
Source 字段 说明 备注
SAP_User_Config 监视列表 SearchKey 搜索关键字
SAP_User_Config 监视列表 SAPUser SAP 用户 OSS、DDIC
SAP_User_Config 监视列表 标记 分配给用户的标记字符串 RunObsoleteProgOK
SAP_User_Config 监视列表 用户的 Microsoft Entra 对象 ID Microsoft Entra 对象 ID
SAP_User_Config 监视列表 用户标识符 AD 用户标识符
SAP_User_Config 监视列表 用户本地 SID
SAP_User_Config 监视列表 用户主体名称
SAP_User_Config 监视列表 TagsList 分配给用户的标记列表 ChangeUserMasterDataOK;RunObsoleteProgOK
逻辑 TagsIntersect 与 SearchForTags 匹配的一组标记 ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
逻辑 SpecialFocusTagged 特殊焦点指示 True、False
逻辑 IntersectionSize 相交标记的数目

SAPUsersHeader

SAPUsersHeader 函数旨在提供 SAP 用户的概要视图。 它使用从 SAP 用户主数据表和 SAP 审核日志中的最近活动中提取的数据来收集电子邮件和 IP 地址。 然后返回最后已知的电子邮件和 IP 地址以及主要电子邮件和 IP 地址。 参数:SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"

  • SelectedSystems
    • 可选
    • 默认值:“所有系统”
    • 用于筛选要查看的特定 SAP 系统。
  • SelectedSystemRoles
    • 可选
    • 默认值:“所有系统角色”
    • 确定要查看的 SAP 系统的角色(如“SAP - 系统”监视列表中所定义)。
  • SelectedUsers
    • 可选
    • 默认值:“所有用户”
    • 可以输入用户列表。
  • SelectedUser
    • 可选
    • 默认值:“所有用户”
    • 仅接受单个用户

附加说明

出于性能考虑,仅考虑几天的审核活动。 有关用户活动的完整历史记录,请针对 SAPAuditLog 函数运行自定义 KQL 查询。

字段 说明 说明
用户 SAP 用户
SAP 表 ADR6 和 USR21 电子邮件 从用户的主数据中获取 OSS、DDIC
SAP 表 USR02 UserType 分配给用户的标记字符串 RunObsoleteProgOK
SAP 表 USR02 时区 Microsoft Entra 对象 ID
SAP 表 USR02 LockedStatus AD 用户标识符
SAP 审核日志 LastSeen 时间戳 为用户观察到的最后一个审核事件
SAP 审核日志 LastSeenDaysAgo 自 LastSeen 以来经过的天数
SAP 审核日志 PrimaryIP 最常用的 IP 地址 ChangeUserMasterDataOK;RunObsoleteProgOK
SAP 审核日志 LastKnownIP 最近使用的 IP 地址 ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
SAP 审核日志 PrimaryEmail 最常用的电子邮件地址 True、False
SAP 审核日志 KnownIPs 已知 IP 地址列表 按最频繁的优先排序
SAP 审核日志 KnownEmails 已知电子邮件地址列表 按最频繁的优先排序
客户端 SAP 客户端 ID
SystemID SAP 系统 ID
SystemRole SAP 系统的角色 生产、UAT
SystemUsage SAP 系统的主要用法 ERP、CRM

数据连接器代理生成的日志

此部分介绍适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案数据连接器中提供的 SAP 日志,包括 Microsoft Sentinel 中的表名、日志用途和详细的日志架构。 架构字段说明基于相关 SAP 文档 中的字段说明。

为获得最佳结果,请使用下面列出的 Microsoft Sentinel 函数来可视化、访问和查询数据。

ABAP 应用程序日志

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPAppLog

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:记录应用程序执行的进度,以便以后根据需要重新构造。

    使用基于标准 SAP 表和 XBP 接口标准服务的 RFC 提供。 此日志是按客户端生成的。

ABAPAppLog_CL 日志架构

字段 说明
AppLogDateTime 应用程序日志日期时间
CallbackProgram 回调程序
CallbackRoutine 回调例程
CallbackType 回调类型
ClientID ABAP 客户端 ID (MANDT)
ContextDDIC 上下文 DDIC 结构
ExternalID 外部日志 ID
主机 主机
实例 ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
InternalMessageSerial 应用程序日志消息串行
LevelofDetail 详细级别
LogHandle 应用程序日志句柄
LogNumber 日志编号
MessageClass Message 类
MessageNumber 消息号
MessageText 消息正文
MessageType 消息类型
对象 应用程序日志对象
OperationMode 操作模式
ProblemClass 问题类
programName 程序名
SortCriterion 排序条件
StandardText 标准文本
SubObject 应用程序日志子对象
SystemID 系统 ID
SystemNumber 系统编号
TransactionCode 事务代码
用户 用户
UserChange 用户更改

ABAP 更改文档日志

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPChangeDocsLog

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:记录:

    • 对业务数据对象的 SAP NetWeaver 应用程序服务器 (AS) ABAP 日志更改于更改文档中。

    • SAP 系统中的其他实体,例如用户数据、角色、地址。

    使用基于标准 SAP 表的 RFC 提供。 此日志是按客户端生成的。

ABAPChangeDocsLog_CL 日志架构

字段 说明
ActualChangeNum 实际更改编号
ChangedTableKey 已更改表键
ChangeNumber 更改编号
ClientID ABAP 客户端 ID (MANDT)
CreatedfromPlannedChange 从计划的更改创建,采用以下语法:(‘X’ , ‘ ‘)
CurrencyKeyNew 货币键:新值
CurrencyKeyOld 货币键:旧值
FieldName 字段名称
FlagText 标志文本
主机 主机
实例 ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
语言 语言
ObjectClass 对象类,如 BELEGBPARPFCGIDENTITY
ObjectID 对象 ID
PlannedChangeNum 计划的更改编号
SystemID 系统 ID
SystemNumber 系统编号
TableName 表名称
TransactionCode 事务代码
TypeofChange_Header 更改标头类型,包括:
U = 更改;I = 插入;E = 删除单个文档;D = 删除;J = 插入单个文档
TypeofChange_Item 更改项目类型,包括:
U = 更改;I = 插入;E = 删除单个文档;D = 删除;J = 插入单个文档
UOMNew 度量单位:新值
UOMOld 度量单位:旧值
用户 用户
ValueNew 字段内容:新值
ValueOld 字段内容:旧值
版本 版本

ABAP CR 日志

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPCRLog

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:包括更改和传输系统 (CTS) 日志,包括进行了更改的 Directory 对象和自定义项。

    使用基于标准表和标准 SAP 服务的 RFC 提供。 此日志使用所有客户端中的数据生成。

注意

除了应用程序日志记录、更改文档和表记录外,使用更改和传输系统对生产系统进行的所有更改都记录在 CTS 和 TMS 日志中。

ABAPCRLog_CL 日志架构

字段 说明
类别 类别(工作台,自定义)
ClientID ABAP 客户端 ID (MANDT)
说明 说明
主机 主机
实例 ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
ObjectName 对象名称
ObjectType 对象类型
“所有者” “所有者”
请求 更改请求
状态 状态
SystemID 系统 ID
SystemNumber 系统编号
TableKey 表键
TableName 表名称
视图名 视图名称

ABAP DB 表数据日志(预览版)

若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.ini 文件

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPTableDataLog

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:为那些对审核至关重要或容易受到审核的表提供日志记录。

    可通过将 RFC 与自定义服务一起使用获得。 此日志使用所有客户端中的数据生成。

ABAPTableDataLog_CL 日志架构

字段 说明
DBLogID DB 日志 ID
主机 主机
实例 ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
语言 语言
LogKey 日志键
NewValue 字段新值
OldValue 字段旧值
OperationTypeSQL 操作类型,InsertUpdateDelete
节目 程序名
SystemID 系统 ID
SystemNumber 系统编号
TableField 表字段
TableName 表名称
TransactionCode 事务代码
UserName 用户
VersionNumber 版本号

ABAP 网关日志(预览版)

若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.ini 文件

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPOS_GW

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:监视网关活动。 可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。

ABAPOS_GW_CL 日志架构

字段 说明
主机 主机
实例 ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
MessageText 消息正文
严重性 消息严重性:DebugInfoWarningError
SystemID 系统 ID
SystemNumber 系统编号

ABAP ICM 日志(预览版)

若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.ini 文件

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPOS_ICM

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志目的”:记录入站和出站请求,并编译 HTTP 请求的统计信息。

    可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。

ABAPOS_ICM_CL 日志架构

字段 说明
主机 主机
实例 ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
MessageText 消息正文
严重性 消息严重性,包括:DebugInfoWarningError
SystemID 系统 ID
SystemNumber 系统编号

ABAP 作业日志

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPJobLog

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:合并所有后台处理作业日志 (SM37)。

    使用基于标准 SAP 表和 XBP 接口标准服务的 RFC 可用。 此日志使用所有客户端中的数据生成。

ABAPJobLog_CL 日志架构

字段 说明
ABAPProgram ABAP 程序
BgdEventParameters 后台事件参数
BgdProcessingEvent 后台处理事件
ClientID ABAP 客户端 ID (MANDT)
DynproNumber Dynpro 编号
GUIStatus GUI 状态
主机 主机
实例 ABAP 实例 (HOST_SYSID_SYSNR),采用以下语法:<HOST>_<SYSID>_<SYSNR>
JobClassification 作业分类
JobCount 作业计数
JobGroup 作业组
JobName 作业名称
JobPriority 作业优先级
MessageClass Message 类
MessageNumber 消息号
MessageText 消息正文
MessageType 消息类型
ReleaseUser 作业发布用户
SchedulingDateTime 计划日期时间
StartDateTime 开始日期时间
SystemID 系统 ID
SystemNumber 系统编号
TargetServer 目标服务器
用户 用户
UserReleaseInstance ABAP 实例 - 用户发布
WorkProcessID 工作进程 ID
WorkProcessNumber 工作进程编号

ABAP 安全审核日志

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPAuditLog

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:记录以下数据:

    • SAP 系统环境的安全相关更改,例如主用户记录的更改
    • 提供更高级别数据的信息,例如成功和失败的登录尝试
    • 启用一系列事件重建的信息,例如成功或失败的事务启动

    可通过使用 RFC XAL/SAL 接口获得。 版本 Basis 7.50 及更高版本支持此功能。 此日志使用所有客户端中的数据生成。

ABAPAuditLog_CL 日志架构

字段 说明
ABAPProgramName 程序名,仅 SAL
AlertSeverity 警报严重性
AlertSeverityText 警报严重性文本,仅 SAL
AlertValue 警报值
AuditClassID 审核类 ID,仅 SAL
ClientID ABAP 客户端 ID (MANDT)
Computer 用户计算机,仅 SAL
电子邮件 用户电子邮件
主机 主机
实例 ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
MessageClass Message 类
MessageContainerID 消息容器 ID,仅 XAL
消息 ID 消息 ID,如 ‘AU1’,’AU2’…
MessageText 消息正文
MonitoringObjectName MTE 监视器对象名称,仅 XAL
MonitorShortName MTE 监视器短名称,仅 XAL
SAPProcesType 系统日志: SAP 进程类型,仅 SAL
B* - 后台处理
D* - 对话处理
U* - 更新任务
SAPWPName 系统日志:工作进程编号,仅 SAL
SystemID 系统 ID
SystemNumber 系统编号
TerminalIPv6 用户计算机 IP,仅 SAL
TransactionCode 事务代码,仅 SAL
用户 用户
Variable1 消息变量 1
Variable2 消息变量 2
Variable3 消息变量 3
Variable4 消息变量 4

ABAP Spool 日志

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPSpoolLog

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:用作 SAP 打印的主日志,包含 spool 请求的历史记录。 (SP01)。

    使用基于标准 SAP 表的 RFC 提供。 此日志使用所有客户端中的数据生成。

ABAPSpoolLog_CL 日志架构

字段 说明
ArchiveStatus 存档状态
ArchiveType 存档类型
ArchivingDevice 存档设备
AutoRereoute 自动重新路由
ClientID ABAP 客户端 ID (MANDT)
CountryKey 国家/地区键
DeleteSpoolRequestAuto 自动删除 spool 请求
DelFlag 删除标志
部门 部门
DocumentType 文档类型
ExternalMode 外部模式
FormatType 格式类型
主机 主机
实例 ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
NumofCopies 份数
OutputDevice 输出设备
PrinterLongName 打印机长名称
PrintImmediately 立即打印
PrintOSCoverPage 打印 OSCover 页
PrintSAPCoverPage 打印 SAPCover 页
优先级 优先级
RecipientofSpoolRequest spool 请求的收件人
SpoolErrorStatus Spool 错误状态
SpoolRequestCompleted spool 请求已完成
SpoolRequestisALogForAnotherRequest Spool 请求是另一个请求的日志
SpoolRequestName spool 请求名称
SpoolRequestNumber spool 请求编号
SpoolRequestSuffix1 Spool 请求后缀 1
SpoolRequestSuffix2 Spool 请求后缀 2
SpoolRequestTitle spool 请求标题
SystemID 系统 ID
SystemNumber 系统编号
TelecommunicationsPartner 电信合作伙伴
TelecommunicationsPartnerE 电信合作伙伴 E
TemSeGeneralcounter Temse 计数器
TemseNumAddProtectionRule Temse 编号添加保护规则
TemseNumChangeProtectionRule Temse 编号更改保护规则
TemseNumDeleteProtectionRule Temse 编号删除保护规则
TemSeObjectName Temse 对象名称
TemSeObjectPart TemSe 对象部分
TemseReadProtectionRule Temse 读取保护规则
用户 用户
ValueAuthCheck 值身份验证检查

APAB Spool 输出日志

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPSpoolOutputLog

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:用作 SAP 打印的主日志,包含 spool 输出请求的历史记录。 (SP02)。

    可通过将 RFC 与基于标准表的自定义服务一起使用获得。 此日志使用所有客户端中的数据生成。

ABAPSpoolOutputLog_CL 日志架构

字段 说明
AppServer 应用程序服务器
ClientID ABAP 客户端 ID (MANDT)
注释 注释
CopyCount 复制计数
CopyCounter 复制计数器
部门 部门
ErrorSpoolRequestNumber 错误请求编号
FormatType 格式类型
主机 主机
HostName 主机名
HostSpoolerID 主机 spooler ID
实例 ABAP 实例
LastPage 最后一页
NumofCopies 份数
OutputDevice 输出设备
OutputRequestNumber 输出请求编号
OutputRequestStatus 获取请求状态
PhysicalFormatType 物理格式类型
PrinterLongName 打印机长名称
PrintRequestSize 打印请求大小
优先级 优先级
ReasonforOutputRequest 输出请求的原因
RecipientofSpoolRequest spool 请求的收件人
SpoolNumberofOutputReqProcessed 输出请求数 - 已处理
SpoolNumberofOutputReqWithErrors 输出请求数 - 有错误
SpoolNumberofOutputReqWithProblems 输出请求数 - 有问题
SpoolRequestNumber spool 请求编号
StartPage 起始页
SystemID 系统 ID
SystemNumber 系统编号
TelecommunicationsPartner 电信合作伙伴
TemSeGeneralcounter Temse 计数器
Title Title
用户 用户

ABAP Syslog

若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.ini 文件

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPOS_Syslog

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:记录所有 SAP NetWeaver 应用程序服务器 (SAP NetWeaver AS) ABAP 系统错误、警告、由于已知用户的登录尝试失败而锁定的用户锁、进程消息。

    可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。

ABAPOS_Syslog_CL 日志架构

字段 说明
ClientID ABAP 客户端 ID (MANDT)
主机 主机
实例 ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
MessageNumber 消息号
MessageText 消息正文
严重性 消息严重性,以下值之一:DebugInfoWarningError
SystemID 系统 ID
SystemNumber 系统编号
TransacationCode 事务代码
类型 SAP 进程类型
用户 用户

ABAP 工作流日志

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPWorkflowLog

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:使用 SAP Business Workflow (WebFlow Engine),可以定义尚未映射到 SAP 系统中的业务进程。

    例如,未映射的业务进程可能是简单的发布或审批过程,或者是更复杂的业务进程,如创建基本材料,然后协调关联的部门。

    使用基于标准 SAP 表的 RFC 提供。 此日志是按客户端生成的。

ABAPWorkflowLog_CL 日志架构

字段 说明
ActualAgent 实际代理
地址 地址
ApplicationArea 应用程序区域
CallbackFunction 回调函数
ClientID ABAP 客户端 ID (MANDT)
CreationDateTime 创建日期时间
创建者 创建者
CreatorAddress 创建者地址
ErrorType 错误类型
ExceptionforMethod 方法的异常
主机 主机
实例 ABAP 实例 (HOST_SYSID_SYSNR),采用以下语法:<HOST>_<SYSID>_<SYSNR>
语言 语言
LogCounter 日志计数器
MessageNumber 消息号
MessageType 消息类型
MethodUser 方法用户
优先级 优先级
SimpleContainer 简单容器,打包为工作项键值实体列表
状态 状态
SuperWI 超级 WI
SystemID 系统 ID
SystemNumber 系统编号
TaskID 任务 ID
TasksClassification 任务分类
TaskText 任务文本
TopTaskID 最高任务 ID
UserCreated 创建者用户
WIText 工作项文本
WIType 工作项类型
WorkflowAction Workflow 操作
WorkItemID 工作项 ID

ABAP WorkProcess 日志

若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.ini 文件

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPOS_WP

  • “相关 SAP 文档”:SAP 帮助门户

  • “日志用途”:合并所有工作进程日志。 (默认:dev_*)。

    可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。

ABAPOS_WP_CL 日志架构

字段 说明
主机 主机
实例 ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
MessageText 消息正文
严重性 消息严重性:DebugInfoWarningError
SystemID 系统 ID
SystemNumber 系统编号
WPNumber 工作进程编号

HANA DB 审核线索

若要将此日志发送到 Microsoft Sentinel,必须部署 Microsoft 管理代理以从运行 HANA DB 的计算机收集 Syslog 数据。

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPSyslog

  • “相关 SAP 文档”:常规 | 审核线索

  • “日志用途”:记录 SAP HANA 数据库中的用户操作或尝试的操作。 例如,能够实现记录和监视对敏感数据的读取访问。

    可通过 Syslog 的 Sentinel Linux 代理获得。 此日志使用所有客户端中的数据生成。

Syslog 日志架构

字段 说明
Computer 主机名
HostIP 主机 IP
HostName 主机名
ProcessID 进程 ID
ProcessName 进程名称:HDB*
SeverityLevel 警报
SourceSystem 源系统 OS,Linux
SyslogMessage 消息,未分析的审核线索消息

JAVA 文件

若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.ini 文件

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPJAVAFilesLogs

  • “相关 SAP 文档”:常规 | Java 安全审核日志

  • “日志用途”:合并所有基于 Java 文件的日志,包括安全审核日志和系统(群集和服务器进程)、性能和网关日志。 还包括开发人员跟踪和默认跟踪日志。

    可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。

JavaFilesLogsCL 日志架构

字段 说明
应用程序 Java 应用程序
ClientID 客户端 ID
CSNComponent CSN 组件,例如 BC-XI-IBD
DCComponent DC 组件,例如 com.sap.xi.util.misc
DSRCounter DSR 计数器
DSRRootContentID DSR 上下文 GUID
DSRTransaction DSR 事务 GUID
主机 主机
实例 Java 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR>
位置 Java 类
LogName Java logName,例如:Availabledefaulttracedev*security
MessageText 消息正文
MNo 消息号
Pid 进程 ID
节目 程序名
会话 会话
严重性 消息严重性,包括:DebugInfoWarningError
解决方案 解决方案
SystemID 系统 ID
SystemNumber 系统编号
ThreadName 线程名
引发 引发异常
TimeZone 时区
用户 用户

SAP 检测信号日志

  • 用于查询以下日志的 Microsoft Sentinel 函数:SAPConnectorHealth

  • 日志用途:提供有关代理与不同 SAP 系统之间的连接性的检测信号和其他运行状况信息。

    自动为适用于 SAP 的 Microsoft Sentinel 连接器的任何代理创建。

SAP_HeartBeat_CL 日志架构

字段 说明
TimeGenerated 日志发布事件的时间
agent_id_s 代理配置中的代理 ID(自动生成)
agent_ver_s 代理版本
host_s 代理的主机名
system_id_s Netweaver ABAP 系统 ID/
Netweaver SAPControl 主机(预览版)/
Java SAPControl 主机(预览版)
push_timestamp_d 提取操作的时间戳,具体取决于代理的时区
agent_timezone_s 代理的时区

直接从 SAP 系统检索的表

本部分列出了直接从 SAP 系统检索并按原样引入 Microsoft Sentinel 的数据表。

若要将这些表中的数据引入 Microsoft Sentinel,请在 systemconfig.ini 文件中配置相关设置。 有关详细信息,请参阅配置用户主数据收集

从这些表中检索的数据提供了授权结构、组成员身份和用户配置文件的清晰视图。 还可以通过这些数据跟踪授权的授予和撤销过程,并识别和控制与这些过程相关的风险。

下面列出了启用识别特权用户、将用户映射到角色、组和授权的功能所需的表。

为获得最佳结果,请使用下面的“Sentinel 函数名称”列中的名称来引用这些表:

表名 表说明 Sentinel 函数名称
USR01 用户主记录(运行时数据) SAP_USR01
USR02 登录数据(内核端使用) SAP_USR02
UST04 用户主数据
将用户映射到配置文件
SAP_UST04
AGR_USERS 为用户分配角色 SAP_AGR_USERS
AGR_1251 活动组的授权数据 SAP_AGR_1251
USGRP_USER 将用户分配到用户组 SAP_USGRP_USER
USR21 用户名/地址密钥分配 SAP_USR21
ADR6 电子邮件地址(业务地址服务) SAP_ADR6
USRSTAMP 对用户进行的所有更改的时间戳 SAP_USRSTAMP
ADCP 人员/地址分配(业务地址服务) SAP_ADCP
USR05 用户主参数 ID SAP_USR05
AGR_PROF 角色的配置文件名称 SAP_AGR_PROF
AGR_FLAGS 角色属性 SAP_AGR_FLAGS
DEVACCESS 开发用户的表 SAP_DEVACCESS
AGR_DEFINE 角色定义 SAP_AGR_DEFINE
AGR_AGRS 复合角色中的角色 SAP_AGR_AGRS
PAHI 系统、数据库和 SAP 参数的历史记录 SAP_PAHI
SNCSYSACL(预览版) SNC 访问控制列表 (ACL):系统 SAP_SNCSYSACL
USRACL(预览版) SNC 访问控制列表 (ACL):用户 SAP_USRACL

后续步骤

有关详细信息,请参阅: