Problembehandlung ihrer Microsoft Sentinel-Lösung für die Bereitstellung von SAP-Anwendungen

Bei der Arbeit mit dem Datenconnector ohne Agent erfolgt die Problembehandlung größtenteils direkt in der SAP Integration Suite, wo im Meldungsprotokoll Fehler angezeigt werden, die die Art des aufgetretenen Problems angeben.

Beginnen Sie mit der Untersuchung der Nachrichtenverarbeitungsprotokolle. Weitere Informationen finden Sie in der SAP-Dokumentation. Die dort angezeigten Fehlermeldungen können Ihnen helfen, Probleme mit fehlenden Berechtigungen, Konnektivitätsfehlern und anderen Fehlkonfigurationen zu diagnostizieren.

Wenn für Ihr Problem kein zugehörigen Fehler angezeigt wird, aktivieren Sie die Ablaufverfolgungsprotokollierung, um eine ausführlichere Problembehandlung zu erhalten. Weitere Informationen finden Sie in der SAP-Dokumentation.

Überprüfen auf Voraussetzungen

Das Datenconnectorpaket ohne Agent, das beim Ausführen der anfänglichen Connectorkonfiguration bereitgestellt wurde, enthält ein Tool, das SAP-Administratoren bei der Diagnose und Behebung von Problemen im Zusammenhang mit der KONFIGURATION der SAP-Umgebung unterstützt.

So konfigurieren und stellen Sie das Tool bereit:

1. Öffnen Sie das Integrationspaket, navigieren Sie zur Registerkarte Artefakte , und wählen Sie die Voraussetzungsprüfung iflow >Konfigurieren aus.
2. Legen Sie den Zielnamen für den Remotefunktionsaufruf (RFC) auf das SAP-System fest, das Sie überprüfen möchten. Beispiel: A4H-100-Sentinel-RFC.
3. Stellen Sie den iflow wie sonst für Ihre SAP-Systeme bereit.
4. Um optimale Ergebnisse zu erzielen, führen Sie die Überprüfung 24 Stunden lang mit einer Häufigkeit von 1 Minuten aus, um Anomalien wie nicht autorisierte Batchaufträge über Nacht oder unbekannte Nutzungsspitzen abzufangen.

So überprüfen Sie die überprüfungs-status:

1. Öffnen Sie in SAP Cloud Integration die OptionMonitorintegrationen>, und suchen Sie die Ausführungen der Voraussetzungsprüfung iflow gemäß Ihrem Überwachungszeitraum (z. B. 24h). Vergewissern Sie sich, dass die Ausführung mit status Abgeschlossen (HTTP 200) abgeschlossen wurde und dass die Antwortnutzlast keine Warnungen oder Fehler enthält. Der Scheduler erzeugt möglicherweise Nachrichten mit dem Status "Verworfen" aufgrund der internen Funktionsweise von SAP Cloud Integration. Diese Nachrichten können ignoriert werden und enthalten Text wie "Die Nachrichtenverarbeitung wurde verworfen, da das auslösende Timerereignis bereits von einem anderen Prozess verarbeitet wurde.".
2. Überprüfen Sie die Anlagen und Eigenschaften des Nachrichtenverarbeitungsprotokolls (Message Processing Log, MPL) auf die Ergebnisse pro Überprüfung. Öffnen Sie die Datei, die an den MPL-Eintrag angefügt ist.

Verwenden Sie die folgende Tabelle, um die Ergebnisse zu interpretieren:

Status	Bedeutung	Nächster Schritt
Abgeschlossen, keine Warnungen	Alle Voraussetzungen sind erfüllt.	Verbinden Sie Ihr SAP-System mit Microsoft Sentinel.
Abgeschlossen, mit Warnungen	Die Voraussetzungen sind teilweise erfüllt.	Überprüfen Sie die Antwortdetails, und korrigieren Sie sie, bevor Sie eine Verbindung herstellen.
Fehler oder nicht 200 status	Die Überprüfung konnte das SAP-Zielsystem nicht erreichen oder hat einen Konfigurationsfehler ausgelöst.	Überprüfen Sie das RFC-Ziel und die Anmeldeinformationen, stellen Sie dann den iflow erneut bereit, und führen Sie ihn erneut aus.

Wenn noch Ergebnisse vorliegen, lesen Sie die Antwortdetails, um anleitungen zu den Korrekturschritten zu erhalten. Ältere SAP-Systeme erfordern häufig zusätzliche SAP-Hinweise. Weitere Informationen zu häufigen Problemen und Lösungen finden Sie im Abschnitt zur Problembehandlung .

Nach Abschluss:

Heben Sie die Bereitstellung der geplanten Voraussetzungsprüfung iflow auf, nachdem die SAP-Systemüberprüfung erfolgreich abgeschlossen wurde. Wiederholen Sie diese Sequenz für jedes neue SAP-System, das integriert werden soll.

Fehlende Funktionalität in älteren SAP-Systemen

Bei einigen SAP-Legacysystemen fehlen möglicherweise die erforderlichen Funktionen für das RFC_READ_TABLE-Funktionsmodul. Stellen Sie sicher, dass Ihr SAP-Administrator die SAP-Hinweise 3390051 und 382318 überprüft und das System entsprechend gepatcht hat.

Weitere Informationen finden Sie unter Konfigurieren von SAP Cloud Connector-Einstellungen.

Fehler "Erforderliche Azure Ressourcen bereitstellen" beim Einrichten des Datenconnectors

Wenn Sie die Microsoft Sentinel für SAP – Datenconnector ohne Agent einrichten, wird unter der Konfiguration > des anfänglichen Connectors Schritt 1: Automatische Bereitstellung erforderlicher Azure Ressourcen/SOC-Techniker auslösen nach der Auswahl von Erforderliche Ressourcen bereitstellen möglicherweise der Fehler "Erforderliche Azure Ressourcen bereitstellen" oder ähnliches (Fehler können variieren) angezeigt. Dieser Fehler kann darauf hindeuten, dass Ihnen die erforderlichen Berechtigungen für die Entra-ID-App-Registrierung fehlen.

Wenn Sie nicht über die Rolle anwendungsentwickler Entra ID oder höher verfügen, müssen Sie mit einem Kollegen zusammenarbeiten, der über diese Berechtigung verfügt, um die Einrichtung der Azure-Ressourcen abzuschließen. Weitere Informationen finden Sie im Verbindungsschritt für den Datenconnector-Agent .

Fehlende "Letzte Adresse weitergeleitet"

Wenn im Sicherheitsüberwachungsprotokoll ein Fehler angezeigt wird, dass die zuletzt weitergeleitete Adresse (eine IP-Adresse) fehlt, befolgen Sie die Anweisungen im SAP-Hinweis 3566290.

Unvollständige SAP-Benutzerdaten master

Wenn in der Tabelle ABAPAuthorizationDetails Microsoft Sentinel ein Fehler angezeigt wird, dass sie unvollständige SAP-Benutzerdaten master oder keine Daten haben, gehen Sie wie folgt vor:

1. Vergewissern Sie sich, dass das SIAG_ROLE_GET_AUTH SAP-Funktionsmodul im SAP-Quellsystem vorhanden ist.
2. Befolgen Sie die Anleitung im SAP-Hinweis 3088309 für die relevante Lösung.

Statuscode 500 bei SAP-Systemverbindung auf Sentinel

Wenn während des Verbindungsvorgangs von Sentinel zu SAP Cloud Integration ein Fehler mit status Code 500 angezeigt wird, wenden Sie sich an Ihren SAP-Kollegen, der den Integrationsfluss "Datensammler" für die SAP-Cloudintegration überwacht. Die Details der Fehlermeldung sind von Natur aus nur im Nachrichtenverarbeitungsprotokoll von SAP verfügbar.

Lange Nachrichtenverarbeitungszeiten oder Anomalien des Nachrichtenvolumens bei der SAP-Cloudintegration

Wenn Bei der SAP-Cloudintegration plötzliche Spitzen bei nachrichtenvolumen und verarbeitungsbezogenen Daten angezeigt werden, sollten Sie auf NetWeaver-Seite verantwortungsvolle Quellen filtern. Es stehen zwei Optionen zur Verfügung.

1. Verwenden Von Transaktion SM19 und den bewährten Methoden von SAP zum Anwenden von Filtereinstellungen auf Benutzer und Nachrichtenklassen, die die Spitze verursachen
2. Verwenden Sie die Filterfunktionen des Sentinel-Pakets für die SAP-Cloudintegration, um Filter beim Lesen von Protokollen anzuwenden. Der Parameter max-rows wird vorab aufgefüllt, um den Integrationsfluss vor Nachrichtenüberflutung zu schützen.

Beachten Sie, dass Protokollfilter für NetWeaver sich darauf auswirken, was in das Überwachungsprotokoll für die Quelle geschrieben wird, während ein Filter nach SAP Cloud Integration nur die problematischen Einträge nicht liest.

Timeouts während der Connectorregistrierung oder Protokollabfrage

Die Microsoft Sentinel-Abfrage ohne Agent erzwingt zwei Timeouts beim Aufrufen von SAP Cloud Integration Data Collector iflow. Das Überschreiten eines Grenzwerts führt zu unvollständiger Erfassung oder wiederholten Wiederholungen.

Erstverbindung (45-Sekunden-Grenzwert): Teildaten und fehlgeschlagene Connectorregistrierung

Wenn Sie ein neues SAP-System in Microsoft Sentinel verbinden, muss der erste Handshake für den Datensammler-iflow innerhalb von 45 Sekunden abgeschlossen werden. Wenn die Antwort der SAP-Integration länger dauert, erfasst der Connector Teildaten, und die Connectorregistrierung schlägt fehl.

Gehen Sie wiederhergestellt vor:

1. Führen Sie die Voraussetzungsprüfung iflow aus, und überprüfen Sie die Laufzeitmessungen, um den langsamen Downstreamaufruf (RFC-Ziel, Leseprotokoll, Benutzer master Lesen) zu identifizieren.
2. Optimieren Sie die SAP-Integration nach der SAP-Cloudintegration, um die Antwortzeit unter 45 Sekunden zu bringen. Häufige Hebel sind Überwachungsprotokollfiltereinstellungen (bewährte Methoden für SM19/RSAU), Außerkraftsetzungen von Datenconnectorparametern wie max-rows und offset-in-seconds (siehe Anpassen des Verhaltens des Datenconnectors) und SAP Cloud Connector/RFC-Größenanpassung.
3. Wenn die Antwortzeit immer noch nicht reduziert werden kann, wechseln Sie zum SAP CPI-internen Scheduler-Ansatz, indem Sie den Datensammlerplaner iflow aus dem Microsoft Sentinel für SAP-Communityrepository bereitstellen. Mit dem Scheduler iflow ruft Microsoft Sentinel den Connector nicht ab oder registriert ihn nicht. Er empfängt nur Daten, die von SAP Cloud Integration gepusht wurden. Bei diesem Ansatz handelt es sich um echtzeitbasierten Bedrohungsschutz, um eine höhere Toleranz gegenüber SAP-Antworten mit langer Ausführungszeit zu erzielen.

Eine umfassende Erläuterung der Kompromisse finden Sie im Blogbeitrag Führen Sie den Agentlosen SAP-Connector kosteneffizient aus.

Lang andauernder iflow (180-Sekunden-Grenzwert) – VERARBEITUNG/VERLASSENe Zustände und Wiederholungs-Schneeball

Für laufende Protokollabfragen muss der Datensammler-iflow innerhalb von 180 Sekunden eine einzelne Nachricht abschließen. Wenn der iflow diesen Grenzwert überschreitet, werden in der Regel Protokollzustände der Nachrichtenverarbeitung wie PROCESSING oder ABANDONED in DER SAP Cloud Integration angezeigt. Da der Microsoft Sentinel Poller keine erfolgreiche Antwort erhält, wiederholt er den gleichen Zeitslice, was zu überlappenden lang andauernden iflow-Ausführungen führen kann und das SAP-System weiter verlangsamen kann.

Gehen Sie wie folgt vor, um eine Wiederholung wiederherzustellen und zu verhindern:

1. Löschen Sie den Connector aus Microsoft Sentinel, und warten Sie, bis sich die geplanten Sentinel Anforderungen beruhigen. Dadurch wird der Wiederholungs-Schneeball unterbrochen.
2. Führen Sie die Voraussetzungsprüfung iflow aus, um die Grundursache für die langsamen Antwortzeiten des Überwachungsprotokollleseprotokolls in SAP zu ermitteln (z. B. fehlende Indizes, übergroßes Überwachungsprotokoll, teure Benutzer master Lesevorgänge in Legacyversionen).
3. Wenden Sie die relevanten Korrekturen an – Optimierung des Überwachungsprotokollfilters (bewährte Methoden für SM19/RSAU) und Außerkraftsetzungen von Datensammlerparametern wie max-rows und offset-in-seconds (siehe Anpassen des Verhaltens des Datenconnectors), bevor Sie den Datenconnector in Microsoft Sentinel erneut verbinden.
4. Wenn die Antwortzeiten immer noch nicht unter den Grenzwert von 180 Sekunden reduziert werden können, stellen Sie den Data Collector Scheduler iflow aus dem Microsoft Sentinel für SAP-Communityrepository bereit. Der Wechsel zum internen SAP-CPI-Planer gefährdet den Echtzeitbedrohungsschutz, vermeidet jedoch das vom Microsoft Sentinel-Poller erzwungene Wiederholungsmuster.

Ausgewählte Problembehandlungsverfahren sind nur relevant, wenn Ihr Datenconnector-Agent über die Befehlszeile bereitgestellt wird. Wenn Sie das empfohlene Verfahren zum Bereitstellen des Agents über das Portal verwendet haben, verwenden Sie das Portal, um Konfigurationsänderungen vorzunehmen.

Nützliche Docker-Befehle

Bei der Problembehandlung ihres Microsoft Sentinel für den SAP-Datenconnector finden Sie möglicherweise die folgenden Befehle hilfreich:

Funktion	Befehl
Beenden des Docker-Containers	docker stop sapcon-[SID]
Starten des Docker-Containers	docker start sapcon-[SID]
Anzeigen von Docker-Systemprotokollen	docker logs -f sapcon-[SID]
Geben Sie den Docker-Container ein.	docker exec -it sapcon-[SID] bash

Weitere Informationen finden Sie in der Dokumentation zur Docker CLI.

Überprüfen von Systemprotokollen

Es wird dringend empfohlen, die Systemprotokolle nach der Installation oder dem Zurücksetzen des Datenconnectors zu überprüfen.

Ausführen:

docker logs -f sapcon-[SID]

Aktivieren/Deaktivieren des Druckens im Debugmodus

Dieses Verfahren wird nur unterstützt, wenn Sie den Datenconnector-Agent über die Befehlszeile bereitgestellt haben.

1. Bearbeiten Sie auf dem virtuellen Computer des Datensammler-Agents die Datei /opt/sapcon/[SID]/systemconfig.json .

2. Definieren Sie den Abschnitt Allgemein , wenn er zuvor nicht definiert wurde. Definieren Sie logging_debug = True in diesem Abschnitt, um das Drucken im Debugmodus zu aktivieren oder logging_debug = False zu deaktivieren.

   Zum Beispiel:

   [General]
   logging_debug = True
   

3. Speichern Sie die Datei.

Die Änderung wird ungefähr zwei Minuten nach dem Speichern der Datei wirksam. Sie müssen den Docker-Container nicht neu starten.

Anzeigen aller Containerausführungsprotokolle

Connectorausführungsprotokolle für ihre Microsoft Sentinel Lösung für die Bereitstellung des Datenconnectors für SAP-Anwendungen werden auf Ihrem virtuellen Computer in /opt/sapcon/[SID]/log/ gespeichert. Der Protokolldateiname ist OmniLog.log. Ein Verlauf von Protokolldateien wird mit dem Suffix ".[ number] wie OmniLog.log.1, OmniLog.log.2 usw.

Überprüfen und Aktualisieren der konfigurationsdatei für den SAP-Agent-Connector Microsoft Sentinel

Dieses Verfahren wird nur unterstützt, wenn Sie den Datenconnector-Agent über die Befehlszeile bereitgestellt haben. Wenn Sie Ihren Agent über das Portal bereitgestellt haben, können Sie die Konfigurationseinstellungen über das Portal verwalten und ändern.

Wenn Sie über die Befehlszeile bereitgestellt haben, führen Sie die folgenden Schritte aus:

1. Öffnen Sie auf Ihrem virtuellen Computer die Konfigurationsdatei sapcon/[SID]/systemconfig.json

2. Aktualisieren Sie bei Bedarf die Konfiguration, und speichern Sie die Datei. Weitere Informationen finden Sie in der Dateireferenz Microsoft Sentinel Lösung für SAP-Anwendungensystemconfig.json.

Die Änderung wird ungefähr zwei Minuten nach dem Speichern der Datei wirksam. Sie müssen den Docker-Container nicht neu starten.

Zurücksetzen des Microsoft Sentinel für den SAP-Datenconnector

Die folgenden Schritte setzen den Connector zurück und erfassen SAP-Protokolle der letzten 30 Minuten erneut.

1. Beenden Sie den Connector. Ausführen:

   docker stop sapcon-[SID]
   

2. Löschen Sie die metadata.db-Datei aus dem Verzeichnis /opt/sapcon/[SID]. Ausführen:

   cd /opt/sapcon/<SID>
   rm metadata.db
   

   Hinweis

   Die metadata.db Datei enthält den letzten Zeitstempel für jedes Protokoll und verhindert Eine Duplizierung.

3. Starten Sie den Connector erneut. Ausführen:

   docker start sapcon-[SID]
   

Überprüfen Sie die Systemprotokolle , wenn Sie fertig sind.

Häufig auftretende Probleme

Nachdem Sie sowohl die Microsoft Sentinel für den SAP-Datenconnector als auch den Sicherheitsinhalt bereitgestellt haben, können die folgenden Fehler oder Probleme auftreten:

Beschädigte oder fehlende SAP SDK-Datei

Dieser Fehler kann auftreten, wenn der Connector nicht mit PyRfc gestartet werden kann oder ZIP-bezogene Fehlermeldungen angezeigt werden.

1. Installieren Sie das SAP SDK neu.
2. Vergewissern Sie sich, dass Sie Linux 64-Bit-Version korrekt sind, z. B.nwrfc750P_8-70002752.zip.

Wenn Sie den Datenconnector manuell installiert haben, stellen Sie sicher, dass Sie die SDK-Datei in den Docker-Container kopiert haben.

Ausführen:

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

ABAP-Laufzeitfehler werden auf einem großen System angezeigt

Dieses Verfahren wird nur unterstützt, wenn Sie den Datenconnector-Agent über die Befehlszeile bereitgestellt haben.

Wenn auf großen Systemen ABAP-Laufzeitfehler auftreten, versuchen Sie, eine kleinere Blockgröße festzulegen:

1. Bearbeiten Sie die Datei /opt/sapcon/[SID]/systemconfig.json, und definieren timechunk = 5Sie im Abschnitt Connectorkonfiguration.

   Zum Beispiel:

   [Connector Configuration]
   timechunk = 5
   

2. Speichern Sie die Datei.

Die Änderung wird ungefähr zwei Minuten nach dem Speichern der Datei wirksam. Sie müssen den Docker-Container nicht neu starten.

Leeres oder kein abgerufenes Überwachungsprotokoll ohne spezielle Fehlermeldungen

1. Überprüfen Sie, ob die Überwachungsprotokollierung in SAP aktiviert ist.
2. Überprüfen Sie die TRANSAKTIONEN SM19 oder RSAU_CONFIG .
3. Aktivieren Sie alle Ereignisse nach Bedarf.
4. Überprüfen Sie, ob Nachrichten im SAP SM20 - oder RSAU_READ_LOG eingehen und vorhanden sind, ohne dass besondere Fehler im Connectorprotokoll angezeigt werden.

Falsche Arbeitsbereichs-ID oder falscher Schlüssel im Schlüsseltresor

Wenn Sie feststellen, dass Sie eine falsche Arbeitsbereichs-ID oder einen falschen Schlüssel in Ihr Bereitstellungsskript eingegeben haben, aktualisieren Sie die in Azure Key Vault gespeicherten Anmeldeinformationen.

Nachdem Sie Ihre Anmeldeinformationen in Azure KeyVault überprüft haben, starten Sie den Container neu:

docker restart sapcon-[SID]

Falsche SAP ABAP-Benutzeranmeldeinformationen im Schlüsseltresor

Überprüfen Sie Ihre Anmeldeinformationen, und korrigieren Sie sie bei Bedarf, indem Sie die richtigen Werte auf die Werte ABAPUSER und ABAPPASS in Azure Key Vault anwenden.

Starten Sie dann den Container neu:

docker restart sapcon-[SID]

Falsche SAP ABAP-Benutzeranmeldeinformationen in einer festen Konfiguration

Dieser Abschnitt wird nur unterstützt, wenn Sie den Datenconnector-Agent über die Befehlszeile bereitgestellt haben.

Eine feste Konfiguration ist, wenn das Kennwort direkt in der systemconfig.json-Konfigurationsdatei gespeichert wird.

Wenn Ihre Anmeldeinformationen falsch sind, überprüfen Sie Ihre Anmeldeinformationen.

Verwenden Sie die Base64-Verschlüsselung, um den Benutzer und das Kennwort zu verschlüsseln. Sie können Onlineverschlüsselungstools verwenden, um Ihre Anmeldeinformationen zu verschlüsseln, z https://www.base64encode.org/. B. .

Fehlende ABAP-Berechtigungen (SAP-Benutzer)

Wenn Sie eine Fehlermeldung erhalten, die der folgenden ähnelt: .. Fehlende Back-End-RFC-Autorisierung.., Ihre SAP-Autorisierungen und -Rolle wurden nicht ordnungsgemäß angewendet.

1. Stellen Sie sicher, dass die Rolle MSFTSEN/SENTINEL_CONNECTOR im Rahmen eines Änderungsanforderungstransports importiert und auf den Connectorbenutzer angewendet wurde.

2. Führen Sie den Rollengenerierungs- und Benutzervergleichsprozess mithilfe der SAP-Transaktions-PFCG aus.

Fehlende Daten in Ihren Arbeitsmappen oder Warnungen

Wenn Sie feststellen, dass In Ihren Microsoft Sentinel Arbeitsmappen oder Warnungen Daten fehlen, stellen Sie sicher, dass die Richtlinie Überwachungsprotokoll auf SAP-Seite ordnungsgemäß aktiviert ist, ohne dass Fehler in der Containerprotokolldatei vorhanden sind.

Verwenden Sie die RSAU_CONFIG_LOG Transaktion für diesen Schritt.

Weitere Informationen finden Sie in der SAP-Dokumentation und unter Sammeln von SAP HANA-Überwachungsprotokollen in Microsoft Sentinel.

Es wird empfohlen, die Überwachung für alle Nachrichten aus dem Überwachungsprotokoll anstatt nur für bestimmte Protokolle zu konfigurieren. Die Unterschiede bei den Erfassungskosten sind in der Regel minimal, und die Daten sind nützlich für Microsoft Sentinel Erkennungen und bei Untersuchungen nach der Kompromittierung und Der Suche. Weitere Informationen finden Sie unter Konfigurieren der SAP-Überwachung.

Fehlende IP-Adress- oder Transaktionscodefelder im SAP-Überwachungsprotokoll

In SAP-Systemen mit Versionen für SAP BASIS 7.5 SP12 und höher können Microsoft Sentinel zusätzliche Felder in den ABAPAuditLog_CL Tabellen und SAPAuditLog widerspiegeln.

Wenn Sie SAP BASIS-Versionen höher als 7.5 SP12 verwenden und IP-Adress- oder Transaktionscodefelder im SAP-Überwachungsprotokoll fehlen, überprüfen Sie, ob das SAP-System, aus dem Sie die Daten extrahieren, die relevanten Änderungsanforderungen (Transporte) enthält. Weitere Informationen finden Sie unter Konfigurieren der Unterstützung für zusätzlichen Datenabruf (empfohlen).

Fehlende SAP-Änderungsanforderung

Wenn Fehler angezeigt werden, dass eine erforderliche SAP-Änderungsanforderung fehlt, stellen Sie sicher, dass Sie die richtige SAP-Änderungsanforderung für Ihr System importiert haben. Weitere Informationen finden Sie unter SAP-Voraussetzungen und Konfigurieren Ihres SAP-Systems für die Microsoft Sentinel Lösung.

Im SAP-Tabellendatenprotokoll werden keine Daten angezeigt.

In SAP-Systemen mit Versionen für SAP BASIS 7.5 SP12 und höher können Microsoft Sentinel Änderungen des Tabellendatenprotokolls in der ABAPTableDataLog_CL Tabelle widerspiegeln.

Wenn in der ABAPTableDataLog_CL Tabelle keine Daten angezeigt werden, überprüfen Sie, ob das SAP-System, aus dem Sie die Daten extrahieren, die relevanten Änderungsanforderungen (Transporte) enthält. Weitere Informationen finden Sie unter Konfigurieren der Unterstützung für zusätzlichen Datenabruf (empfohlen).

Keine Datensätze/verspätete Datensätze

Der Datensammler-Agent basiert auf Zeitzoneninformationen, um korrekt zu sein. Wenn Sie feststellen, dass keine Datensätze in den SAP-Überwachungs- und Änderungsprotokollen vorhanden sind oder die Datensätze ständig einige Stunden zurück liegen, überprüfen Sie, ob der SAP TZCUSTHELP-Bericht Fehler enthält. Weitere Informationen finden Sie unter SAP-Hinweis 481835.

Es kann auch Probleme mit der Uhr auf dem virtuellen Computer geben, auf dem der Datensammler-Agent-Container gehostet wird, und jede Abweichung von der Uhr auf dem virtuellen Computer von UTC wirkt sich auf die Datensammlung aus. Noch wichtiger ist, dass die Uhren auf den SAP-Systemcomputern und den Datensammler-Agent-Computern übereinstimmen müssen.

Es wird empfohlen, die Überwachung für alle Nachrichten aus dem Überwachungsprotokoll anstatt nur für bestimmte Protokolle zu konfigurieren. Die Unterschiede bei den Erfassungskosten sind in der Regel minimal, und die Daten sind nützlich für Microsoft Sentinel Erkennungen und bei Untersuchungen nach der Kompromittierung und Der Suche. Weitere Informationen finden Sie unter Konfigurieren der SAP-Überwachung.

Probleme mit der Netzwerkkonnektivität

Wenn Sie Probleme mit der Netzwerkkonnektivität mit der SAP-Umgebung oder Microsoft Sentinel haben, überprüfen Sie Ihre Netzwerkkonnektivität, um sicherzustellen, dass die Daten wie erwartet fließen.

Häufige Probleme sind:

• Firewalls zwischen dem Docker-Container und den SAP-Hosts blockieren möglicherweise den Datenverkehr. Der SAP-Host empfängt die Kommunikation über die folgenden TCP-Ports, die geöffnet sein müssen: 32xx, 5xx13 und 33xx, wobei xx die SAP instance Nummer ist.

• Für die ausgehende Kommunikation von Ihrem SAP-Agent-Host mit Microsoft Container Registry oder Azure ist eine Proxykonfiguration erforderlich. Dies wirkt sich in der Regel auf die Installation aus und erfordert, dass Sie die Umgebungsvariablen HTTP_PROXY und HTTPS_PROXY konfigurieren. Sie können auch Umgebungsvariablen im Docker-Container erfassen, wenn Sie den Container erstellen, indem Sie dem Docker-Befehlruncreate / das -e Flag hinzufügen.

Fehler beim Abrufen eines Überwachungsprotokolls mit Warnungen

Dieser Abschnitt wird nur unterstützt, wenn Sie den Datenconnector-Agent über die Befehlszeile bereitgestellt haben.

Wenn Sie versuchen, ein Überwachungsprotokoll ohne die erforderlichen Konfigurationen abzurufen, und der Prozess mit Warnungen fehlschlägt, überprüfen Sie, ob das SAP-Überwachungsprotokoll mit einer der folgenden Methoden abgerufen werden kann:

• Verwenden eines Kompatibilitätsmodus namens XAL bei älteren Versionen
• Verwenden einer Version, die nicht kürzlich gepatcht wurde
• Ohne Änderungen, die beim Herstellen einer Verbindung mit dem Microsoft Sentinel-Datenconnector-Agent vorgenommen wurden. Weitere Informationen finden Sie unter Konfigurieren Ihres SAP-Systems für die Microsoft Sentinel Lösung.

Während Ihr System bei Bedarf automatisch in den Kompatibilitätsmodus wechseln sollte, müssen Sie ihn möglicherweise manuell wechseln. So wechseln Sie manuell in den Kompatibilitätsmodus:

1. Bearbeiten Sie die Datei /opt/sapcon/[SID]/systemconfig.json .

2. Definieren Sie im Abschnitt Connectorkonfiguration folgendes: auditlogforcexal = True

   Zum Beispiel:

   [Connector Configuration]
   auditlogforcexal = True
   

3. Speichern Sie die Datei.

Die Änderung wird ungefähr zwei Minuten nach dem Speichern der Datei wirksam. Sie müssen den Docker-Container nicht neu starten.

SAPCONTROL- oder JAVA-Subsysteme können keine Verbindung herstellen

Überprüfen Sie, ob der Betriebssystembenutzer gültig ist und den folgenden Befehl auf dem SAP-Zielsystem ausführen kann:

sapcontrol -nr <SID> -function GetSystemInstanceList

SAPCONTROL- oder JAVA-Subsystem schlägt mit zeitzonenbezogener Fehlermeldung fehl

Wenn Ihr SAPCONTROL- oder JAVA-Subsystem mit einer zeitzonenbezogenen Fehlermeldung ausfällt, z. B.: Überprüfen Sie die Konfiguration und den Netzwerkzugriff auf den SAP-Server – "Etc/NZST", stellen Sie sicher, dass Sie Standardzeitzonencodes verwenden.

Verwenden Sie z. B. javatz = GMT+12 oder abaptz = GMT-3**.

Überwachungsprotokolldaten, die nach dem anfänglichen Laden nicht erfasst wurden

Wenn die SAP-Überwachungsprotokolldaten, die in den Transaktionen RSAU_READ_LOAD oder SM200 sichtbar sind, nicht in Microsoft Sentinel nach dem anfänglichen Laden erfasst werden, liegt möglicherweise eine Fehlkonfiguration des SAP-Systems und des SAP-Hostbetriebssystems vor.

• Erste Ladevorgänge werden nach einer Neuinstallation des Microsoft Sentinel für SAP-Datenconnectors oder nach dem Löschen der metadata.db-Datei erfasst.
• Eine Beispielfehlerkonfiguration kann auftreten, wenn Ihre SAP-Systemzeitzone in der STZAC-Transaktion auf CET festgelegt ist, die Zeitzone des SAP-Hostbetriebssystems jedoch auf UTC festgelegt ist.

Führen Sie den RSDBTIME-Bericht in Transaktion SE38 aus, um nach Fehlkonfigurationen zu suchen. Wenn Sie einen Konflikt zwischen dem SAP-System und dem SAP-Hostbetriebssystem feststellen:

1. Beenden Sie den Docker-Container. Ausführen

   docker stop sapcon-[SID]
   

2. Löschen Sie die metadata.db-Datei aus dem Verzeichnis /opt/sapcon/[SID]. Ausführen:

   rm /opt/sapcon/[SID]/metadata.db
   

3. Aktualisieren Sie das SAP-System und das SAP-Hostbetriebssystem, sodass sie über übereinstimmende Einstellungen verfügen, z. B. die gleiche Zeitzone. Weitere Informationen finden Sie im SAP Community Wiki.

4. Starten Sie den Container erneut. Ausführen:

   docker start sapcon-[SID]
   

Andere unerwartete Probleme

Wenn unerwartete Probleme auftreten, die in diesem Artikel nicht aufgeführt sind, führen Sie die folgenden Schritte aus:

• Zurücksetzen des Connectors und Erneutes Laden der Protokolle
• Aktualisieren Sie den Connector auf die neueste Version.

• Verbinden Ihres SAP-Systems durch Bereitstellen Ihres Datenconnector-Agent-Containers
• Sammeln von SAP HANA-Überwachungsprotokollen

• Referenz zum Kickstartskript
• Skriptreferenz aktualisieren
• Dateireferenz zur Microsoft Sentinel-Lösung für SAP-Anwendungen systemconfig.json