Risoluzione dei problemi della soluzione Microsoft Sentinel per la distribuzione di applicazioni SAP

Quando si usa il connettore dati senza agente, la maggior parte della risoluzione dei problemi viene eseguita direttamente in SAP Integration Suite, dove nel log dei messaggi vengono visualizzati errori che indicano la natura del problema riscontrato.

Per iniziare, esaminare i log di elaborazione dei messaggi. Per altre informazioni, vedere la documentazione di SAP. I messaggi di errore possono aiutare a diagnosticare i problemi di autorizzazioni mancanti, errori di connettività e altre configurazioni errate.

Se non viene visualizzato un errore correlato al problema, attivare la registrazione delle tracce per una risoluzione dei problemi più approfondita. Per altre informazioni, vedere la documentazione di SAP.

Verificare la presenza di prerequisiti

Il pacchetto del connettore dati senza agente, distribuito durante l'esecuzione della configurazione iniziale del connettore, include uno strumento che consente agli amministratori SAP di diagnosticare e risolvere i problemi relativi alla configurazione dell'ambiente SAP.

Per configurare e distribuire lo strumento:

1. Aprire il pacchetto di integrazione, passare alla scheda Artefatti e selezionare Il flusso >di controllo prerequisitiConfigura.
2. Impostare il nome di destinazione della chiamata di funzione remota (RFC) sul sistema SAP da controllare. Ad esempio, A4H-100-Sentinel-RFC.
3. Distribuire l'iflow come si farebbe in caso contrario per i sistemi SAP.
4. Per ottenere risultati ottimali, eseguire il controllo per 24 ore con frequenza di 1min per rilevare eventuali anomalie, ad esempio processi batch notturni non autorizzati o picchi di utilizzo sconosciuti.

Per verificare lo stato del controllo:

1. In SAP Cloud Integration aprire MonitorIntegrations (Integrazioni di monitoraggio>) e individuare le esecuzioni dell'iflow di Controllo prerequisiti in base al periodo di controllo (ad esempio 24 ore). Verificare che le esecuzioni siano state completate con stato Completato (HTTP 200) e che il payload della risposta non contenga avvisi o errori. L'utilità di pianificazione può generare messaggi con stato "Scartato" a causa del funzionamento interno di SAP Cloud Integration. Questi messaggi possono essere ignorati e contenere testo come "L'elaborazione dei messaggi è stata eliminata perché l'evento timer di attivazione era già gestito da un altro processo".
2. Esaminare gli allegati e le proprietà del log di elaborazione dei messaggi (MPL) per i risultati per ogni controllo. Aprire il file collegato alla voce MPL.

Usare la tabella seguente per interpretare i risultati:

Stato	Che cosa significa	Passaggio successivo
Completato, nessun avviso	Vengono soddisfatti tutti i prerequisiti.	Continuare a connettere il sistema SAP a Microsoft Sentinel.
Completato, con avvisi	I prerequisiti sono parzialmente soddisfatti.	Esaminare i dettagli della risposta e correggere prima di connettersi.
Stato non riuscito o non 200	Il controllo non è riuscito a raggiungere il sistema SAP di destinazione o ha rilevato un errore di configurazione.	Verificare la destinazione RFC e le credenziali, quindi ridistribuire ed eseguire nuovamente l'iflow.

Se rimangono risultati, consultare i dettagli della risposta per indicazioni sui passaggi di correzione. I sistemi SAP legacy spesso richiedono note SAP aggiuntive. Vedere inoltre la sezione relativa alla risoluzione dei problemi per problemi e soluzioni comuni.

Dopo il completamento:

Annullare la distribuzione del flusso di iflow di controllo dei prerequisiti pianificato dopo il completamento del controllo del sistema SAP. Ripetere questa sequenza per ogni nuovo sistema SAP di cui verrà eseguito l'onboarding.

Funzionalità mancanti nei sistemi SAP legacy

Alcuni sistemi SAP legacy potrebbero non disporre della funzionalità necessaria per il modulo di funzione RFC_READ_TABLE . Assicurarsi che l'amministratore SAP abbia esaminato le note SAP 3390051 e 382318 e che il sistema sia stato patchato di conseguenza.

Per altre informazioni, vedere Configurare le impostazioni di SAP Cloud Connector.

Errore "Deploy required Azure resources" (Distribuire le risorse Azure necessarie) durante la configurazione del connettore dati

Quando si configura il Microsoft Sentinel per SAP - connettore dati senza agente, nel passaggio 1 della configurazione > iniziale del connettore: Attivare la distribuzione automatica delle risorse Azure necessarie o del tecnico SOC, dopo aver selezionato Distribuisci risorse necessarie, potrebbe essere visualizzato l'errore "Distribuire le risorse Azure necessarie" o simili (gli errori possono variare). Questo errore potrebbe indicare che mancano le autorizzazioni necessarie per la registrazione dell'app id Entra.

Se non si ha il ruolo di sviluppatore di applicazioni id Entra o superiore, è necessario collaborare con un collega con questa autorizzazione per completare la configurazione delle risorse Azure. Per altre informazioni, seguire la procedura descritta nel passaggio di connessione dell'agente del connettore dati .

"Ultimo indirizzo indirizzato" mancante

Se nel log di controllo di sicurezza viene visualizzato un errore che indica che manca l'ultimo indirizzo indirizzato (un indirizzo IP), seguire le indicazioni nella nota SAP 3566290.

Dati master utente SAP incompleti

Se viene visualizzato un errore che indica che i dati master utente SAP sono incompleti o che non sono presenti dati nella tabella ABAPAuthorizationDetails Microsoft Sentinel, eseguire le operazioni seguenti:

1. Verificare che il modulo SIAG_ROLE_GET_AUTH funzione SAP esista nel sistema di origine SAP.
2. Seguire le indicazioni riportate nella nota SAP 3088309 per la soluzione pertinente.

Codice di stato 500 in SAP system connect on Sentinel

Se viene visualizzato un errore con il codice di stato 500 durante il processo di connessione da Sentinel a SAP Cloud Integration, contattare il collega SAP che monitora il flusso di integrazione "Agente di raccolta dati" in SAP Cloud Integration. Per natura, i dettagli del messaggio di errore sono disponibili solo nel log di elaborazione messaggi di SAP.

Tempi di elaborazione dei messaggi lunghi o anomalie del volume dei messaggi in SAP Cloud Integration

Se si verificano picchi improvvisi nei volumi dei messaggi e nei tempi di elaborazione in SAP Cloud Integration, è consigliabile filtrare le origini responsabili sul lato NetWeaver. Sono disponibili due opzioni.

1. Usare la transazione SM19 e le procedure consigliate di SAP per applicare le impostazioni di filtro agli utenti e alle classi di messaggi che causano il picco
2. Usare le funzionalità di filtro del pacchetto Sentinel in SAP Cloud Integration per applicare filtri in lettura log. Il parametro max-rows viene prepopolato per proteggere il flusso di integrazione dall'inondazione dei messaggi in base alla progettazione.

Si noti che i filtri di log in NetWeaver influiscono su ciò che viene scritto nel log di controllo nell'origine, mentre un filtro in SAP Cloud Integration sceglie solo di non leggere le voci problematiche.

Timeout durante la registrazione del connettore o il polling dei log

Il poller Microsoft Sentinel senza agente applica due timeout quando si chiama l'iflow dell'agente di raccolta dati di INTEGRAZIONE CLOUD SAP. Il superamento di entrambi i limiti causa l'inserimento incompleto o tentativi ripetuti.

Connessione iniziale (limite di 45 secondi): dati parziali e registrazione del connettore non riuscita

Quando si connette un nuovo sistema SAP in Microsoft Sentinel, l'handshake iniziale all'iflow dell'agente di raccolta dati deve essere completato entro 45 secondi. Se l'integrazione SAP richiede più tempo per rispondere, il connettore inserisce dati parziali e la registrazione del connettore ha esito negativo.

Per correggere:

1. Eseguire l'iflow controllo prerequisiti ed esaminare le relative misurazioni di runtime per identificare la chiamata downstream lenta (destinazione RFC, lettura del log di controllo, lettura master utente).
2. Ottimizzare l'integrazione SAP downstream di SAP Cloud Integration per portare il tempo di risposta inferiore a 45 secondi. Le leve comuni includono le impostazioni del filtro del log di controllo (procedure consigliate SM19/RSAU), le sostituzioni dei parametri del connettore dati come max-rows e offset-in-seconds (vedere Personalizzare il comportamento del connettore dati) e il ridimensionamento di SAP Cloud Connector/RFC.
3. Se non è ancora possibile ridurre il tempo di risposta, passare all'approccio dell'utilità di pianificazione interna di SAP CPI distribuendo l'iflow dell'utilità di pianificazione dell'agente di raccolta dati dal repository della community Microsoft Sentinel per SAP. Con l'iflow dell'utilità di pianificazione, Microsoft Sentinel non esegue il polling o la registrazione del connettore, ma riceve solo i dati sottoposti a push da SAP Cloud Integration. Questo approccio consente di scambiare la protezione dalle minacce in tempo reale per una maggiore tolleranza alle risposte SAP a esecuzione prolungata.

Per una discussione end-to-end sui compromessi, vedere il post di blog Run agentless SAP connector cost-efficiently (Eseguire un connettore SAP senza agente in modo efficiente).

Iflow a esecuzione prolungata (limite di 180 secondi) - Elaborazione/ABBANDONO degli stati e ripetizione dei tentativi di snowball

Per il polling dei log in corso, l'iflow dell'agente di raccolta dati deve completare un singolo messaggio entro 180 secondi. Quando l'iflow supera questo limite, in genere vengono visualizzati gli stati del log di elaborazione dei messaggi, ad esempio ELABORAZIONE o ABBANDONATO in SAP Cloud Integration. Poiché il poller Microsoft Sentinel non riceve una risposta corretta, ripete ripetutamente la stessa sezione di tempo, che può trasformarsi in esecuzioni di iflow a esecuzione prolungata sovrapposte e rallentare ulteriormente il sistema SAP.

Per ripristinare e impedire la ricorrenza:

1. Eliminare il connettore da Microsoft Sentinel e attendere che le richieste di Sentinel pianificate si calmino. Questo interrompe la palla di neve di ripetizione dei tentativi.
2. Eseguire l'iflow controllo prerequisiti per identificare la causa radice dei tempi di risposta di lettura del log di controllo lento in SAP, ad esempio indici mancanti, log di controllo sovradimensionato, letture master utente costose nelle versioni legacy.
3. Applicare la correzione pertinente, ovvero l'ottimizzazione del filtro del log di controllo (procedure consigliate SM19/RSAU) e i parametri dell'agente di raccolta dati, ad max-rows esempio e offset-in-seconds (vedere Personalizzare il comportamento del connettore dati) , prima di riconnettere il connettore dati in Microsoft Sentinel.
4. Se i tempi di risposta non possono ancora essere ridotti al di sotto del limite di 180 secondi, distribuire l'iflow dell'utilità di pianificazione dell'agente di raccolta dati dal repository della community Microsoft Sentinel per SAP. Il passaggio all'utilità di pianificazione interna di SAP CPI compromette la protezione dalle minacce in tempo reale, ma evita il modello di ripetizione dei tentativi applicato dal poller Microsoft Sentinel.

Le procedure di risoluzione dei problemi selezionate sono rilevanti solo quando l'agente del connettore dati viene distribuito tramite la riga di comando. Se è stata usata la procedura consigliata per distribuire l'agente dal portale, usare il portale per apportare modifiche alla configurazione.

Comandi di Docker utili

Quando si risolve il problema del Microsoft Sentinel per il connettore dati SAP, è possibile che i comandi seguenti possano essere utili:

Funzione	Comando
Arrestare il contenitore Docker	docker stop sapcon-[SID]
Avviare il contenitore Docker	docker start sapcon-[SID]
Visualizzare i log di sistema docker	docker logs -f sapcon-[SID]
Immettere il contenitore Docker	docker exec -it sapcon-[SID] bash

Per altre informazioni, vedere la documentazione dell'interfaccia della riga di comando di Docker.

Esaminare i log di sistema

È consigliabile esaminare i log di sistema dopo l'installazione o la reimpostazione del connettore dati.

Correre:

docker logs -f sapcon-[SID]

Abilitare/disabilitare la stampa in modalità di debug

Questa procedura è supportata solo se è stato distribuito l'agente del connettore dati dalla riga di comando.

1. Nella macchina virtuale del contenitore dell'agente di raccolta dati modificare il file /opt/sapcon/[SID]/systemconfig.json .

2. Definire la sezione Generale se non è stata definita in precedenza. In questa sezione definire logging_debug = True per abilitare la stampa in modalità di debug o logging_debug = False per disabilitarla.

   Ad esempio:

   [General]
   logging_debug = True
   

3. Salvare il file.

La modifica ha effetto circa due minuti dopo il salvataggio del file. Non è necessario riavviare il contenitore Docker.

Visualizzare tutti i log di esecuzione del contenitore

I log di esecuzione del connettore per la soluzione Microsoft Sentinel per la distribuzione del connettore dati delle applicazioni SAP vengono archiviati nella macchina virtuale in /opt/sapcon/[SID]/log/. Il nome del file di log è OmniLog.log. Viene mantenuta una cronologia dei file di log, con suffisso .[ numero] ad esempio OmniLog.log.1, OmniLog.log.2 e così via.

Esaminare e aggiornare il file di configurazione Microsoft Sentinel per il connettore dell'agente SAP

Questa procedura è supportata solo se è stato distribuito l'agente del connettore dati dalla riga di comando. Se l'agente è stato distribuito tramite il portale, continuare a gestire e modificare le impostazioni di configurazione tramite il portale.

Se è stata distribuita tramite la riga di comando, seguire questa procedura:

1. Nella macchina virtuale aprire il file di configurazione : sapcon/[SID]/systemconfig.json

2. Aggiornare la configurazione, se necessario, e salvare il file. Per altre informazioni, vedere le informazioni di riferimento sui file della soluzione Microsoft Sentinel per le applicazioni systemconfig.json SAP.

La modifica ha effetto circa due minuti dopo il salvataggio del file. Non è necessario riavviare il contenitore Docker.

Reimpostare il Microsoft Sentinel per il connettore dati SAP

La procedura seguente reimposta il connettore e reingestisce i log SAP degli ultimi 30 minuti.

1. Arrestare il connettore. Correre:

   docker stop sapcon-[SID]
   

2. Eliminare il file metadata.db dalla directory /opt/sapcon/[SID]. Correre:

   cd /opt/sapcon/<SID>
   rm metadata.db
   

   Nota

   Il file metadata.db contiene l'ultimo timestamp per ogni log e consente di evitare la duplicazione.

3. Avviare di nuovo il connettore. Correre:

   docker start sapcon-[SID]
   

Assicurarsi di esaminare i log di sistema al termine.

Problemi comuni

Dopo aver distribuito sia il Microsoft Sentinel per il connettore dati SAP che il contenuto di sicurezza, è possibile che si verifichino gli errori o i problemi seguenti:

File SAP SDK danneggiato o mancante

Questo errore può verificarsi quando il connettore non viene avviato con PyRfc o vengono visualizzati messaggi di errore correlati a ZIP.

1. Reinstallare SAP SDK.
2. Verificare di essere la versione corretta Linux a 64 bit, ad esempio nwrfc750P_8-70002752.zip.

Se il connettore dati è stato installato manualmente, assicurarsi di aver copiato il file SDK nel contenitore Docker.

Correre:

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

Gli errori di runtime ABAP vengono visualizzati in un sistema di grandi dimensioni

Questa procedura è supportata solo se è stato distribuito l'agente del connettore dati dalla riga di comando.

Se vengono visualizzati errori di runtime ABAP in sistemi di grandi dimensioni, provare a impostare dimensioni di blocco inferiori:

1. Modificare il file /opt/sapcon/[SID]/systemconfig.json e nella sezione Configurazione connettore definire timechunk = 5.

   Ad esempio:

   [Connector Configuration]
   timechunk = 5
   

2. Salvare il file.

La modifica ha effetto circa due minuti dopo il salvataggio del file. Non è necessario riavviare il contenitore Docker.

Log di controllo vuoto o non recuperato, senza messaggi di errore speciali

1. Verificare che la registrazione di controllo sia abilitata in SAP.
2. Verificare le transazioni SM19 o RSAU_CONFIG .
3. Abilitare eventuali eventi in base alle esigenze.
4. Verificare se i messaggi arrivano ed esistono in SAP SM20 o RSAU_READ_LOG, senza che nel log del connettore vengano visualizzati errori speciali.

ID o chiave dell'area di lavoro non corretta nell'insieme di credenziali delle chiavi

Se ci si rende conto di aver immesso un ID o una chiave dell'area di lavoro non corretta nello script di distribuzione, aggiornare le credenziali archiviate in Azure Key Vault.

Dopo aver verificato le credenziali in Azure KeyVault, riavviare il contenitore:

docker restart sapcon-[SID]

Credenziali utente SAP ABAP non corrette nell'insieme di credenziali delle chiavi

Controllare le credenziali e correggerle in base alle esigenze, applicando i valori corretti ai valori ABAPUSER e ABAPPASS in Azure Key Vault.

Riavviare quindi il contenitore:

docker restart sapcon-[SID]

Credenziali utente ABAP SAP non corrette in una configurazione fissa

Questa sezione è supportata solo se è stato distribuito l'agente del connettore dati dalla riga di comando.

Una configurazione fissa si verifica quando la password viene archiviata direttamente nel file di configurazione systemconfig.json .

Se le credenziali non sono corrette, verificare le credenziali.

Usare la crittografia base64 per crittografare l'utente e la password. È possibile usare gli strumenti di crittografia online per crittografare le credenziali, ad https://www.base64encode.org/esempio .

Autorizzazioni ABAP (utente SAP) mancanti

Se viene visualizzato un messaggio di errore simile al seguente: .. Autorizzazione RFC back-end mancante. Le autorizzazioni e il ruolo SAP non sono stati applicati correttamente.

1. Assicurarsi che il ruolo MSFTSEN/SENTINEL_CONNECTOR sia stato importato come parte di un trasporto di richiesta di modifica e applicato all'utente del connettore.

2. Eseguire il processo di generazione dei ruoli e confronto degli utenti usando il PFCG della transazione SAP.

Dati mancanti nelle cartelle di lavoro o negli avvisi

Se si riscontrano dati mancanti nelle cartelle di lavoro o negli avvisi Microsoft Sentinel, assicurarsi che il criterio Auditlog sia abilitato correttamente sul lato SAP, senza errori nel file di log del contenitore.

Usare la transazione RSAU_CONFIG_LOG per questo passaggio.

Per altre informazioni, vedere la documentazione di SAP e Raccogliere i log di controllo di SAP HANA in Microsoft Sentinel.

È consigliabile configurare il controllo per tutti i messaggi del log di controllo, anziché solo per i log specifici. Le differenze tra i costi di inserimento sono in genere minime e i dati sono utili per i rilevamenti Microsoft Sentinel e nelle indagini e nella ricerca post-compromissione. Per altre informazioni, vedere Configurare il controllo SAP.

Campi di codice della transazione o dell'indirizzo IP mancanti nel log di controllo SAP

Nei sistemi SAP con versioni per SAP BASIS 7.5 SP12 e versioni successive, Microsoft Sentinel possono riflettere campi aggiuntivi nelle ABAPAuditLog_CL tabelle e SAPAuditLog .

Se si usano versioni di SAP BASIS superiori alla versione 7.5 SP12 e nel log di controllo SAP mancano campi relativi all'indirizzo IP o al codice della transazione, verificare che il sistema SAP da cui si estrae i dati contenga le richieste di modifica pertinenti (trasporti). Per altre informazioni, vedere Configurare il supporto per il recupero di dati aggiuntivi (scelta consigliata).

Richiesta di modifica SAP mancante

Se vengono visualizzati errori che indicano che manca una richiesta di modifica SAP necessaria, assicurarsi di aver importato la richiesta di modifica SAP corretta per il sistema. Per altre informazioni, vedere Prerequisiti SAP e Configurare il sistema SAP per la soluzione Microsoft Sentinel.

Nessun dato visualizzato nel log dati della tabella SAP

Nei sistemi SAP con versioni per SAP BASIS 7.5 SP12 e versioni successive, Microsoft Sentinel possono riflettere le modifiche apportate al log dati della tabella nella ABAPTableDataLog_CL tabella.

Se nella ABAPTableDataLog_CL tabella non vengono visualizzati dati, verificare che il sistema SAP da cui si estrae i dati contenga le richieste di modifica pertinenti (trasporti). Per altre informazioni, vedere Configurare il supporto per il recupero di dati aggiuntivi (scelta consigliata).

Nessun record/record in ritardo

L'agente di raccolta dati si basa sulle informazioni sul fuso orario per essere corretto. Se non sono presenti record nei log di controllo e modifica SAP o se i record sono costantemente indietro di qualche ora, verificare se il report SAP TZCUSTHELP presenta errori. Per altre informazioni, vedere 481835 nota SAP.

Potrebbero anche verificarsi problemi con l'orologio nella macchina virtuale in cui è ospitato il contenitore dell'agente di raccolta dati e qualsiasi deviazione dall'orologio della macchina virtuale rispetto all'ora UTC influisce sulla raccolta dei dati. Ancora più importante, gli orologi nei computer di sistema SAP e nei computer dell'agente di raccolta dati devono corrispondere.

È consigliabile configurare il controllo per tutti i messaggi del log di controllo, anziché solo per i log specifici. Le differenze tra i costi di inserimento sono in genere minime e i dati sono utili per i rilevamenti Microsoft Sentinel e nelle indagini e nella ricerca post-compromissione. Per altre informazioni, vedere Configurare il controllo SAP.

Problemi di connettività di rete

Se si verificano problemi di connettività di rete all'ambiente SAP o all'Microsoft Sentinel, controllare la connettività di rete per assicurarsi che i dati vengano trasmessi come previsto.

I problemi comuni includono:

• I firewall tra il contenitore Docker e gli host SAP potrebbero bloccare il traffico. L'host SAP riceve la comunicazione tramite le porte TCP seguenti, che devono essere aperte: 32xx, 5xx13 e 33xx, dove xx è il numero di istanza SAP.

• La comunicazione in uscita dall'host dell'agente SAP al Registro Contenitori Microsoft o Azure richiede la configurazione del proxy. Ciò influisce in genere sull'installazione e richiede di configurare le HTTP_PROXY variabili di ambiente e HTTPS_PROXY . È anche possibile inserire variabili di ambiente nel contenitore docker quando si crea il contenitore aggiungendo il -e flag al comando docker / createrun.

Il recupero di un log di controllo ha esito negativo con avvisi

Questa sezione è supportata solo se è stato distribuito l'agente del connettore dati dalla riga di comando.

Se si tenta di recuperare un log di controllo senza le configurazioni necessarie e il processo ha esito negativo con avvisi, verificare che il log di controllo SAP possa essere recuperato usando uno dei metodi seguenti:

• Uso di una modalità di compatibilità denominata XAL nelle versioni precedenti
• Uso di una versione non patchata di recente
• Senza alcuna modifica apportata per la connessione all'agente del connettore dati Microsoft Sentinel. Per altre informazioni, vedere Configurare il sistema SAP per la soluzione Microsoft Sentinel.

Anche se il sistema deve passare automaticamente alla modalità di compatibilità, se necessario, potrebbe essere necessario passarlo manualmente. Per passare manualmente alla modalità di compatibilità:

1. Modificare il file /opt/sapcon/[SID]/systemconfig.json .

2. Nella sezione Configurazione connettore defineefine: auditlogforcexal = True

   Ad esempio:

   [Connector Configuration]
   auditlogforcexal = True
   

3. Salvare il file.

La modifica ha effetto circa due minuti dopo il salvataggio del file. Non è necessario riavviare il contenitore Docker.

I sottosistemi SAPCONTROL o JAVA non sono in grado di connettersi

Verificare che l'utente del sistema operativo sia valido ed eseguire il comando seguente nel sistema SAP di destinazione:

sapcontrol -nr <SID> -function GetSystemInstanceList

Errore del sottosistema SAPCONTROL o JAVA con messaggio di errore correlato al fuso orario

Se il sottosistema SAPCONTROL o JAVA ha esito negativo con un messaggio di errore correlato al fuso orario, ad esempio: Verificare la configurazione e l'accesso di rete al server SAP - "Etc/NZST", assicurarsi di usare i codici fuso orario standard.

Ad esempio, usare javatz = GMT+12 o abaptz = GMT-3**.

Dati del log di controllo non inseriti dopo il caricamento iniziale

Se i dati del log di controllo SAP, visibili nelle transazioni RSAU_READ_LOAD o SM200, non vengono inseriti in Microsoft Sentinel oltre il carico iniziale, è possibile che si verifichi una configurazione errata del sistema SAP e del sistema operativo host SAP.

• I carichi iniziali vengono inseriti dopo una nuova installazione del Microsoft Sentinel per il connettore dati SAP o dopo l'eliminazione del file di metadata.db.
• Un errore di configurazione di esempio potrebbe verificarsi quando il fuso orario del sistema SAP è impostato su CET nella transazione STZAC , ma il fuso orario del sistema operativo host SAP è impostato su UTC.

Per verificare la presenza di configurazioni non corrette, eseguire il report RSDBTIME nella transazione SE38. Se si riscontra una mancata corrispondenza tra il sistema SAP e il sistema operativo host SAP:

1. Arrestare il contenitore Docker. Esegui

   docker stop sapcon-[SID]
   

2. Eliminare il file metadata.db dalla directory /opt/sapcon/[SID]. Correre:

   rm /opt/sapcon/[SID]/metadata.db
   

3. Aggiornare il sistema SAP e il sistema operativo host SAP in modo che abbiano impostazioni corrispondenti, ad esempio lo stesso fuso orario. Per altre informazioni, vedere il wiki della community SAP.

4. Avviare di nuovo il contenitore. Correre:

   docker start sapcon-[SID]
   

Altri problemi imprevisti

In caso di problemi imprevisti non elencati in questo articolo, seguire questa procedura:

• Reimpostare il connettore e ricaricare i log
• Aggiornare il connettore alla versione più recente.

• Connettere il sistema SAP distribuendo il contenitore dell'agente del connettore dati
• Raccogliere i log di controllo di SAP HANA

• Guida di riferimento per lo script kickstart
• Informazioni di riferimento sugli script di aggiornamento
• Microsoft Sentinel riferimento ai file della soluzione per applicazioni systemconfig.json SAP