Fejlfinding af din Microsoft Sentinel-løsning til installation af SAP-programmer

Når du arbejder med den agentløse dataconnector, udføres de fleste fejlfinding direkte i SAP Integration Suite, hvor der vises fejl i meddelelsesloggen, der angiver arten af det opståede problem.

Start med at undersøge logfilerne for behandling af meddelelsen. Du kan få flere oplysninger i SAP-dokumentationen. Fejlmeddelelserne der kan hjælpe dig med at diagnosticere problemer med manglende tilladelser, forbindelsesfejl og andre fejlkonfigurationer.

Hvis du ikke kan se en relateret fejl i forbindelse med dit problem, kan du slå logføring af sporing til for at få mere detaljeret fejlfinding. Du kan få flere oplysninger i SAP-dokumentationen.

Kontrollér, om der er forudsætninger

Den agentløse dataconnectorpakke, der installeres under den indledende connectorkonfiguration, indeholder et værktøj, der kan hjælpe SAP-administratorer med at diagnosticere og løse problemer, der er relateret til konfigurationen af SAP-miljøet.

Sådan kører du værktøjet:

1. Åbn integrationspakken, naviger til fanen artefakter, og vælg iflowet >ForudsætningskontrolKonfigurer.

2. Angiv destinationsnavnet for fjernfunktionskald (RFC) til det SAP-system, du vil kontrollere. Det kunne f.eks. være A4H-100-Sentinel-RFC.

3. Udrul iflowet, som du ellers ville gøre for dine SAP-systemer.

4. Udløs iflowet fra en hvilken som helst REST-klient. Brug f.eks. følgende PowerShell-eksempelscript, og rediger eksempelpladsholderværdierne for dit miljø:

   $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
   $credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
   $serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
   $serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)
   
   $credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
   $headers = @{
       "Authorization" = "Basic $credentials"
       "Content-Type"  = "application/json"
   }
   $authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
       -Method Post `
       -Headers $headers
   $token = ($authResponse.Content | ConvertFrom-Json).access_token
   $path = "/http/checkSAP"
   $param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
   $headers = @{
       "Authorization"      = "Bearer $token"
       "Content-Type"       = "application/json"
   }
   $response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
   Write-Host $response.RawContent
   

Sørg for, at kontrol af forudsætninger kører korrekt (statuskode 200) uden advarsler om svaroutputtet, før der oprettes forbindelse til Microsoft Sentinel.

Hvis der findes resultater, kan du se oplysningerne i svaret for at få vejledning i afhjælpningstrinnene. Ældre SAP-systemer kræver ofte ekstra SAP-noter. Desuden kan du se afsnittet om fejlfinding for almindelige problemer og løsninger.

Manglende funktionalitet i ældre SAP-systemer

Nogle ældre SAP-systemer mangler muligvis påkrævede funktioner til modulet med RFC_READ_TABLE-funktioner . Sørg for, at din SAP-administrator har gennemgået SAP-noter 3390051 og 382318 og har repareret systemet i overensstemmelse hermed.

Du kan få flere oplysninger under Konfigurer indstillingerne for SAP Cloud Connector.

Fejlmeddelelsen "Installer påkrævede Azure ressourcer" ved konfiguration af dataconnectoren

Når du konfigurerer Microsoft Sentinel til SAP - agentløs dataconnector, kan du under konfigurationen > af den indledende connector trin 1: Udløs automatisk udrulning af påkrævede Azure ressourcer/SOC-tekniker, når du har valgt Udrul påkrævede ressourcer, få vist fejlen "Udrul påkrævede Azure ressourcer" eller lignende (fejl kan variere). Denne fejl kan indikere, at du mangler de nødvendige tilladelser til registreringen af Entra-id-appen.

Hvis du ikke har rollen Entra-id-programudvikler eller nyere, skal du arbejde sammen med en kollega, der har denne tilladelse, for at fuldføre indstillingerne af de Azure ressourcer. Du kan få flere oplysninger ved at følge proceduren i forbindelsestrinnet for dataconnectoragenten .

Manglende "Sidste adresse, der er distribueret"

Hvis du får vist en fejl i sikkerhedsovervågningsloggen, hvor du mangler den sidste adresse, der distribueres (en IP-adresse), skal du følge vejledningen i SAP-noten 3566290.

Ufuldstændige SAP-brugermasterdata

Hvis du får vist en fejl om, at du har ufuldstændige SAP-brugermasterdata eller ingen data i tabellen ABAPAuthorizationDetails Microsoft Sentinel, skal du gøre følgende:

1. Bekræft, at modulet med SIAG_ROLE_GET_AUTH SAP-funktion findes i SAP-kildesystemet.
2. Følg vejledningen i SAP-note 3088309 for den relevante løsning.

Statuskode 500 på SAP-systemet opretter forbindelse på Sentinel

Hvis du får vist en fejl med statuskoden 500 under forbindelsesprocessen fra Sentinel til SAP Cloud Integration, skal du kontakte din SAP-kollega, der overvåger integrationsflowet "Data Collector" på SAP Cloud Integration. Oplysningerne om fejlmeddelelsen er som udgangspunkt kun tilgængelige i SAP's meddelelsesbehandlingslog.

Lange behandlingstider for meddelelser eller uregelmæssigheder i meddelelsesmængden i SAP Cloud Integration

Hvis du ser pludselige stigninger i meddelelsesmængder og behandlingstider i SAP Cloud Integration, kan du overveje at filtrere ansvarlige kilder på NetWeaver-siden. Der er to muligheder.

1. Brug transaktionen SM19 og SAP's bedste praksis til at anvende filterindstillinger på brugere og meddelelsesklasser, der forårsager belastningen
2. Brug filterfunktionerne i Sentinel-pakken på SAP Cloud Integration til at anvende filtrering ved læsning af logfil. Parameterens maksimale antal rækker er udfyldt på forhånd for at beskytte integrationsflowet mod design for oversvømmelser af meddelelser.

Bemærk, at logfiltre på NetWeaver påvirker det, der skrives til overvågningsloggen på kilden, mens et filter på SAP Cloud Integration kun vælger ikke at læse de problematiske poster.

Valgte fejlfindingsprocedurer er kun relevante, når dataconnectoragenten installeres via kommandolinjen. Hvis du har brugt den anbefalede procedure til at installere agenten fra portalen, skal du bruge portalen til at foretage konfigurationsændringer.

Nyttige Docker-kommandoer

Når du foretager fejlfinding af din Microsoft Sentinel for SAP-dataconnector, kan følgende kommandoer være nyttige:

Funktion	Kommando
Stop Docker-objektbeholderen	docker stop sapcon-[SID]
Start Docker-objektbeholderen	docker start sapcon-[SID]
Vis Docker-systemlogge	docker logs -f sapcon-[SID]
Angiv Docker-objektbeholderen	docker exec -it sapcon-[SID] bash

Du kan få flere oplysninger i dokumentationen til Docker CLI.

Gennemse systemlogge

Det anbefales på det kraftigste, at du gennemser systemlogfilerne efter installation eller nulstilling af dataconnectoren.

Køre:

docker logs -f sapcon-[SID]

Aktivér/deaktiver udskrivning af fejlfindingstilstand

Denne procedure understøttes kun, hvis du har installeret dataconnectoragenten fra kommandolinjen.

1. Rediger filen /opt/sapcon/[SID]/systemconfig.json på den virtuelle maskine til dataindsamleragenten.

2. Definer sektionen Generelt , hvis den ikke tidligere er defineret. I dette afsnit skal du definere logging_debug = True for at aktivere udskrivning i fejlfindingstilstand eller logging_debug = False for at deaktivere den.

   Det kan f.eks. være:

   [General]
   logging_debug = True
   

3. Gem filen.

Ændringen træder i kraft ca. to minutter efter, at du har gemt filen. Du behøver ikke at genstarte Docker-objektbeholderen.

Få vist alle logge for udførelse af objektbeholdere

Connectorkørselslogge for din Microsoft Sentinel løsning til installation af dataconnectorer til SAP-programmer gemmes på din VM i /opt/sapcon/[SID]/log/. Logfilnavnet er OmniLog.log. En oversigt over logfiler bevares, suffikset med .[ tal] , f.eks. OmniLog.log.1, OmniLog.log.2 osv.

Gennemse og opdater konfigurationsfilen til Microsoft Sentinel for SAP Agent Connector

Denne procedure understøttes kun, hvis du har installeret dataconnectoragenten fra kommandolinjen. Hvis du har installeret din agent via portalen, skal du fortsætte med at vedligeholde og ændre konfigurationsindstillingerne via portalen.

Hvis du har installeret via kommandolinjen, skal du udføre følgende trin:

1. Åbn konfigurationsfilen: sapcon/[SID]/systemconfig.json

2. Opdater konfigurationen, hvis det er nødvendigt, og gem filen. Du kan få flere oplysninger i filreferencen til Microsoft Sentinel til SAP-programmersystemconfig.json.

Ændringen træder i kraft ca. to minutter efter, at du har gemt filen. Du behøver ikke at genstarte Docker-objektbeholderen.

Nulstil Microsoft Sentinel for SAP-dataconnectoren

Følgende trin nulstiller connectoren og genbruger SAP-logge fra de sidste 30 minutter.

1. Stop connectoren. Køre:

   docker stop sapcon-[SID]
   

2. Slet filen metadata.db fra mappen /opt/sapcon/[SID]. Køre:

   cd /opt/sapcon/<SID>
   rm metadata.db
   

   Bemærk!

   Den metadata.db fil indeholder det sidste tidsstempel for hver af logfilerne og arbejder på at forhindre duplikering.

3. Start connectoren igen. Køre:

   docker start sapcon-[SID]
   

Sørg for at gennemse systemlogge , når du er færdig.

Almindelige problemer

Når du har installeret både Microsoft Sentinel til SAP-dataconnector og sikkerhedsindhold, kan du opleve følgende fejl eller problemer:

Beskadiget eller mangler SAP SDK-fil

Denne fejl kan opstå, når connectoren ikke kan starte med PyRfc, eller zip-relaterede fejlmeddelelser vises.

1. Geninstaller SAP SDK.
2. Kontrollér, at du har den korrekte Linux 64-bit version, f.eks .nwrfc750P_8-70002752.zip.

Hvis du har installeret dataconnectoren manuelt, skal du sørge for, at du har kopieret SDK-filen til Docker-objektbeholderen.

Køre:

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

ABAP-kørselsfejl vises på et stort system

Denne procedure understøttes kun, hvis du har installeret dataconnectoragenten fra kommandolinjen.

Hvis der vises ABAP-kørselsfejl på store systemer, kan du prøve at angive en mindre afsnitsstørrelse:

1. Rediger filen /opt/sapcon/[SID]/systemconfig.json og definer timechunk = 5i afsnittet Connectorkonfiguration .

   Det kan f.eks. være:

   [Connector Configuration]
   timechunk = 5
   

2. Gem filen.

Ændringen træder i kraft ca. to minutter efter, at du har gemt filen. Du behøver ikke at genstarte Docker-objektbeholderen.

Der blev hentet en tom eller ingen overvågningslog uden særlige fejlmeddelelser

1. Kontrollér, at logføring af overvågning er aktiveret i SAP.
2. Kontrollér SM19 - eller RSAU_CONFIG-transaktionerne .
3. Aktivér alle hændelser efter behov.
4. Kontrollér, om meddelelser ankommer og findes i SAP SM20 eller RSAU_READ_LOG, uden at der vises særlige fejl i connectorloggen.

Forkert arbejdsområde-id eller nøgle i key vault

Hvis du er klar over, at du har angivet et forkert arbejdsområde-id eller en forkert nøgle i installationsscriptet, skal du opdatere de legitimationsoplysninger, der er gemt i Azure Key Vault.

Når du har bekræftet dine legitimationsoplysninger i Azure KeyVault, skal du genstarte objektbeholderen:

docker restart sapcon-[SID]

Forkerte SAP ABAP-brugerlegitimationsoplysninger i key vault

Kontrollér dine legitimationsoplysninger, og ret dem efter behov, og anvend de korrekte værdier på værdierne ABAPUSER og ABAPPASS i Azure Key Vault.

Genstart derefter objektbeholderen:

docker restart sapcon-[SID]

Forkerte SAP ABAP-brugerlegitimationsoplysninger i en fast konfiguration

Denne sektion understøttes kun, hvis du har installeret dataconnectoragenten fra kommandolinjen.

En fast konfiguration er, når adgangskoden gemmes direkte i systemconfig.json konfigurationsfilen.

Hvis dine legitimationsoplysninger er forkerte, skal du bekræfte dine legitimationsoplysninger.

Brug base64-kryptering til at kryptere brugeren og adgangskoden. Du kan bruge onlinekrypteringsværktøjer til at kryptere dine legitimationsoplysninger, f.eks https://www.base64encode.org/. .

Manglende ABAP-tilladelser (SAP-bruger)

Hvis du får vist en fejlmeddelelse, der ligner: .. Manglende Backend RFC Authorization.., dine SAP-godkendelser og din rolle blev ikke anvendt korrekt.

1. Sørg for, at rollen MSFTSEN/SENTINEL_CONNECTOR blev importeret som en del af en ændringsanmodningstransport og anvendt på connectorbrugeren.

2. Kør rolleoprettelses- og brugersammenligningsprocessen ved hjælp af SAP-transaktions-PFCG.

Manglende data i dine projektmapper eller beskeder

Hvis du oplever, at du mangler data i dine Microsoft Sentinel projektmapper eller beskeder, skal du sørge for, at politikken Auditlog er aktiveret korrekt på SAP-siden uden fejl i objektbeholderlogfilen.

Brug RSAU_CONFIG_LOG transaktion til dette trin.

Du kan finde flere oplysninger i SAP-dokumentationen og Indsaml SAP HANA-overvågningslogge i Microsoft Sentinel.

Vi anbefaler, at du konfigurerer overvågning for alle meddelelser fra overvågningsloggen i stedet for kun specifikke logge. Forskelle i indtagelsesomkostninger er generelt minimale, og dataene er nyttige til Microsoft Sentinel opdagelser og i undersøgelser og jagt efter kompromiser. Du kan få flere oplysninger under Konfigurer SAP-overvågning.

Manglende IP-adresse- eller transaktionskodefelter i SAP-overvågningsloggen

I SAP-systemer med versioner til SAP BASIS 7.5 SP12 og nyere kan Microsoft Sentinel afspejle ekstra felter i tabellerne ABAPAuditLog_CL og SAPAuditLog .

Hvis du bruger SAP BASIS-versioner, der er nyere end 7.5 SP12 og mangler IP-adresse- eller transaktionskodefelter i SAP-overvågningsloggen, skal du kontrollere, at det SAP-system, du udtrækker dataene fra, indeholder de relevante ændringsanmodninger (transporter). Du kan finde flere oplysninger under Konfigurer understøttelse af ekstra datahentning (anbefales).

Manglende anmodning om SAP-ændring

Hvis du får vist fejl om, at du mangler en påkrævet SAP-ændringsanmodning, skal du kontrollere, at du har importeret den korrekte SAP-ændringsanmodning for dit system. Du kan få flere oplysninger under SAP-forudsætninger og Konfigurer dit SAP-system til Microsoft Sentinel-løsningen.

Der vises ingen data i SAP-tabeldataloggen

I SAP-systemer med versioner til SAP BASIS 7.5 SP12 og nyere kan Microsoft Sentinel afspejle ændringer i tabeldataloggen i tabellenABAPTableDataLog_CL.

Hvis der ikke vises nogen data i tabellen ABAPTableDataLog_CL , skal du kontrollere, at det SAP-system, du udtrækker dataene fra, indeholder de relevante ændringsanmodninger (transporter). Du kan finde flere oplysninger under Konfigurer understøttelse af ekstra datahentning (anbefales).

Ingen poster/forsinkede poster

Dataindsamleragenten er afhængig af, at tidszoneoplysningerne er korrekte. Hvis du kan se, at der ikke er nogen poster i SAP-overvågnings- og ændringslogfilerne, eller hvis poster konstant er et par timer bagud, skal du kontrollere, om DER vises fejl i SAP TZCUSTHELP-rapporten . Du kan få flere oplysninger under SAP-note 481835.

Der kan også være problemer med uret på den virtuelle maskine, hvor dataindsamleragentens objektbeholder hostes, og enhver afvigelse fra uret på vm'en fra UTC påvirker dataindsamlingen. Endnu vigtigere er det, at urene på både SAP-systemmaskinerne og dataindsamleragentmaskinerne skal matche.

Vi anbefaler, at du konfigurerer overvågning for alle meddelelser fra overvågningsloggen i stedet for kun specifikke logge. Forskelle i indtagelsesomkostninger er generelt minimale, og dataene er nyttige til Microsoft Sentinel opdagelser og i undersøgelser og jagt efter kompromiser. Du kan få flere oplysninger under Konfigurer SAP-overvågning.

Problemer med netværksforbindelsen

Hvis du har problemer med netværksforbindelsen til SAP-miljøet eller til Microsoft Sentinel, skal du kontrollere netværksforbindelsen for at sikre, at dataene flyder som forventet.

Almindelige problemer omfatter:

• Firewalls mellem dockerobjektbeholderen og SAP-værterne blokerer muligvis trafik. SAP-værten modtager kommunikation via følgende TCP-porte, som skal være åbne: 32xx, 5xx13 og 33xx, hvor xx er SAP-forekomstnummeret.

• Udgående kommunikation fra sap-agentværten til Microsoft Container Registry eller Azure kræver proxykonfiguration. Dette påvirker typisk installationen og kræver, at du konfigurerer HTTP_PROXY miljøvariablerne og HTTPS_PROXY . Du kan også overføre miljøvariabler til dockerobjektbeholderen, når du opretter objektbeholderen, ved at føje flaget -e til dockerkommandoen / createrun.

Hentning af en overvågningslog mislykkes med advarsler

Denne sektion understøttes kun, hvis du har installeret dataconnectoragenten fra kommandolinjen.

Hvis du forsøger at hente en overvågningslog uden de påkrævede konfigurationer , og processen mislykkes med advarsler, skal du kontrollere, at SAP Auditlog kan hentes ved hjælp af en af følgende metoder:

• Brug af en kompatibilitetstilstand kaldet XAL på ældre versioner
• Brug af en version, der ikke er repareret for nylig
• Uden at der er foretaget ændringer for at oprette forbindelse til Microsoft Sentinel dataconnectoragent. Du kan få flere oplysninger under Konfigurer dit SAP-system til Microsoft Sentinel løsningen.

Selvom systemet automatisk skal skifte til kompatibilitetstilstand, hvis det er nødvendigt, skal du muligvis skifte det manuelt. Sådan skifter du til kompatibilitetstilstand manuelt:

1. Rediger filen /opt/sapcon/[SID]/systemconfig.json .

2. Definerefine i afsnittet Konfiguration af connector : auditlogforcexal = True

   Det kan f.eks. være:

   [Connector Configuration]
   auditlogforcexal = True
   

3. Gem filen.

Ændringen træder i kraft ca. to minutter efter, at du har gemt filen. Du behøver ikke at genstarte Docker-objektbeholderen.

SAPCONTROL- eller JAVA-undersystemer kunne ikke oprette forbindelse

Kontrollér, at operativsystembrugeren er gyldig og kan køre følgende kommando på SAP-destinationssystemet:

sapcontrol -nr <SID> -function GetSystemInstanceList

SAPCONTROL- eller JAVA-undersystemet mislykkes med en fejlmeddelelse relateret til tidszone

Hvis dit SAPCONTROL- eller JAVA-undersystem mislykkes med en tidszonerelateret fejlmeddelelse, f.eks.: Kontrollér konfigurationen og netværksadgangen til SAP-serveren - 'Etc/NZST', skal du sørge for, at du bruger standardtidszonekoder.

Brug f.eks. javatz = GMT+12 eller abaptz = GMT-3**.

Overvågningslogdata, der ikke blev indtaget efter den indledende indlæsning

Hvis SAP-overvågningsloggens data, der er synlige i enten RSAU_READ_LOAD- eller SM200-transaktioner, ikke indtages i Microsoft Sentinel efter den indledende belastning, kan du have en forkert konfiguration af SAP-systemet og SAP-værtsoperativsystemet.

• De første belastninger indtages efter en ny installation af Microsoft Sentinel til SAP-dataconnectoren, eller efter at den metadata.db fil er slettet.
• Et eksempel på fejlkonfiguration kan være, når din SAP-systemtidszone er angivet til CET i STZAC-transaktionen , men TIDSZONEn for SAP-værtsoperativsystemet er angivet til UTC.

Hvis du vil kontrollere, om der er fejlkonfigurationer, skal du køre RSDBTIME-rapporten i transaktionen SE38. Hvis du finder en uoverensstemmelse mellem SAP-systemet og SAP-værtsoperativsystemet:

1. Stop Docker-objektbeholderen. Kør

   docker stop sapcon-[SID]
   

2. Slet filen metadata.db fra mappen /opt/sapcon/[SID]. Køre:

   rm /opt/sapcon/[SID]/metadata.db
   

3. Opdater SAP-systemet og SAP-værtsoperativsystemet, så de har matchende indstillinger, f.eks. den samme tidszone. Du kan få flere oplysninger i SAP Community-wikien.

4. Start objektbeholderen igen. Køre:

   docker start sapcon-[SID]
   

Andre uventede problemer

Hvis du har uventede problemer, der ikke er angivet i denne artikel, kan du prøve følgende trin:

• Nulstil connectoren, og genindlæs dine logge
• Opgrader connectoren til den nyeste version.

• Opret forbindelse til SAP-systemet ved at installere din dataconnectoragentobjektbeholder
• Indsaml SAP HANA-overvågningslogge

• Kickstart-scriptreference
• Opdater scriptreference
• Microsoft Sentinel løsning til filreference til SAP-programmer systemconfig.json