停止 SAP 数据收集
在某些情况下,出于维护、故障排除或其他管理原因,你可能需要让 Microsoft Sentinel 停止从 SAP 应用程序收集数据。
本文提供有关如何阻止 SAP 日志引入 Microsoft Sentinel 和禁用数据连接器的分步说明。
先决条件
在阻止从 SAP 应用程序收集数据之前,请确保你对以下位置拥有管理访问权限:
- 为 Microsoft Sentinel 启用的 Log Analytics 工作区。 有关详细信息,请参阅 Microsoft Sentinel 中的角色和权限。
- SAP 数据连接器代理计算机或容器。
停止日志引入并禁用连接器
若要阻止 SAP 日志引入 Microsoft 并阻止来自 Docker 容器的数据流,请登录到你的数据连接器代理计算机,然后运行:
docker stop sapcon-[SID/agent-name]
Docker 容器将停止,并且不会再将任何 SAP 日志发送到 Microsoft Sentinel。 这会停止与连接器相关的 SAP 系统的引入和计费。
如果需要重新启用 Docker 容器,请登录到数据连接器代理计算机,然后运行:
docker start sapcon-[SID]
若要停止引入多 SID 容器的特定 SID,另请确保从 Microsoft Sentinel 的连接器页面 UI 中删除该 SID。 仅当通过门户部署了代理时,此选项才有作用。
- 在 Microsoft Sentinel 中,选择“配置”>“数据连接器”,并搜索“适用于 SAP 的 Microsoft Sentinel”。
- 选择数据连接器行,然后在边侧窗格中选择“打开连接器页面”。
- 在“适用于 SAP 的 Microsoft Sentinel”数据连接器页面的“配置”区域中,找到你要删除的 SID 代理,然后选择“删除”。
删除用户角色以及安装在 ABAP 系统上的任何可选 CR
如果你要关闭 SAP 数据连接器代理并阻止从 SAP 系统引入日志,则还可能需要删除用户角色以及安装在 ABAP 系统上的可选 CR。
为此,请将删除 CR“NPLK900259”导入 ABAP 系统中。 有关详细信息,请参阅 SAP 文档。
相关内容
有关详细信息,请参阅: