Problemen met uw Microsoft Sentinel-oplossing voor de implementatie van SAP-toepassingen oplossen

Wanneer u met de gegevensconnector zonder agent werkt, wordt de meeste probleemoplossing rechtstreeks uitgevoerd in SAP Integration Suite, waar in het berichtenlogboek fouten worden weergegeven die de aard van het probleem aangeven.

Bekijk eerst de logboeken voor berichtverwerking. Zie de SAP-documentatie voor meer informatie. De foutberichten kunnen u helpen bij het vaststellen van problemen met ontbrekende machtigingen, connectiviteitsfouten en andere onjuiste configuraties.

Als u geen gerelateerde fout voor uw probleem ziet, schakelt u traceringslogboekregistratie in voor meer diepgaande probleemoplossing. Zie de SAP-documentatie voor meer informatie.

Controleren op vereisten

Het gegevensconnectorpakket zonder agent, dat is geïmplementeerd tijdens het uitvoeren van de initiële connectorconfiguratie, bevat een hulpprogramma waarmee SAP-beheerders problemen met betrekking tot de CONFIGURATIE van de SAP-omgeving kunnen vaststellen en oplossen.

Het hulpprogramma configureren en implementeren:

1. Open het integratiepakket, navigeer naar het tabblad Artefacten en selecteer vereistencontrole iflow >configureren.
2. Stel de doelbestemmingsnaam voor de externe functie-aanroep (RFC) in op het SAP-systeem dat u wilt controleren. Bijvoorbeeld A4H-100-Sentinel-RFC.
3. Implementeer de iflow zoals u anders zou doen voor uw SAP-systemen.
4. Voor de beste resultaten voert u de controle 24 uur uit met een frequentie van 1 minuten om afwijkingen zoals rogue overnight batch-taken of onbekende pieken in het gebruik op te sporen.

De controlestatus controleren:

1. Open in SAP Cloud Integration Integraties bewaken> en zoek deuitvoeringen van de Vereiste controle-iflow op basis van uw controleperiode (bijvoorbeeld 24 uur). Controleer of de uitvoeringen zijn voltooid met de status Voltooid (HTTP 200) en of de nettolading van het antwoord geen waarschuwingen of fouten bevat. De scheduler kan berichten produceren met de status 'Genegeerd' vanwege interne werking van SAP Cloud Integration. Deze berichten kunnen worden genegeerd en bevatten tekst zoals 'Berichtverwerking is verwijderd omdat de activerende timergebeurtenis al is verwerkt door een ander proces'.
2. Controleer de bijlagen en eigenschappen van het berichtverwerkingslogboek (MPL) op de resultaten per controle. Open het bestand dat is gekoppeld aan de MPL-vermelding.

Gebruik de volgende tabel om de resultaten te interpreteren:

Status	Wat betekent dit?	Volgende stap
Voltooid, geen waarschuwingen	Aan alle vereisten wordt voldaan.	Blijf uw SAP-systeem verbinden met Microsoft Sentinel.
Voltooid, met waarschuwingen	Aan de vereisten wordt gedeeltelijk voldaan.	Controleer de antwoorddetails en herstel voordat u verbinding maakt.
Status Mislukt of niet-200	De controle kan het SAP-doelsysteem niet bereiken of er is een configuratiefout opgetreden.	Controleer het RFC-doel en de referenties, implementeer de iflow opnieuw en voer de iflow opnieuw uit.

Als er nog resultaten zijn, raadpleegt u de antwoorddetails voor hulp bij herstelstappen. Verouderde SAP-systemen vereisen vaak extra SAP-notities. Zie verder de sectie probleemoplossing voor veelvoorkomende problemen en oplossingen.

Na voltooiing:

Implementeer de geplande vereistencontrole-iflow zodra de SAP-systeemcontrole is voltooid. Herhaal deze volgorde voor elk nieuw SAP-systeem dat onboarding moet hebben.

Ontbrekende functionaliteit in verouderde SAP-systemen

Bij sommige verouderde SAP-systemen ontbreekt mogelijk de vereiste functionaliteit voor de RFC_READ_TABLE functiemodule. Zorg ervoor dat uw SAP-beheerder SAP-notities 3390051 en 382318 heeft gecontroleerd en het systeem dienovereenkomstig heeft gepatcht.

Zie Instellingen voor SAP Cloud Connector configureren voor meer informatie.

Fout 'Vereiste Azure resources implementeren' bij het instellen van de gegevensconnector

Wanneer u de Microsoft Sentinel voor SAP - gegevensconnector zonder agent instelt, onder initiële connectorconfiguratie > Stap 1: Automatische implementatie van vereiste Azure resources/SOC Engineer activeren nadat u Vereiste resources implementeren hebt geselecteerd, ziet u mogelijk de fout 'Vereiste Azure resources implementeren' of iets dergelijks (fouten kunnen variëren). Deze fout kan erop wijzen dat u de vereiste machtigingen voor de registratie van de Entra-id-app mist.

Als u niet de rol Entra id-toepassingsontwikkelaar of hoger hebt, moet u samenwerken met een collega die deze machtiging heeft om het instellen van de Azure resources te voltooien. Volg de procedure in de verbindingsstap van de gegevensconnectoragent voor meer informatie.

'Laatste adres gerouteerd' ontbreekt

Als u in het beveiligingscontrolelogboek een fout ziet dat u het laatst gerouteerde adres (een IP-adres) mist, volgt u de richtlijnen in de SAP-notitie 3566290.

Onvolledige hoofdgegevens van SAP-gebruikers

Als u een fout ziet dat u onvolledige hoofdgegevens van SAP-gebruikers hebt of geen gegevens in de tabel ABAPAuthorizationDetails Microsoft Sentinel, gaat u als volgt te werk:

1. Controleer of de SIAG_ROLE_GET_AUTH SAP-functiemodule bestaat in het SAP-bronsysteem.
2. Volg de richtlijnen in SAP-notitie 3088309 voor de relevante oplossing.

Statuscode 500 op SAP-systeemverbinding op Sentinel

Als er een fout met statuscode 500 wordt weergegeven tijdens het verbindingsproces van Sentinel naar SAP Cloud Integration, neemt u contact op met uw SAP-collega die de integratiestroom 'Gegevensverzamelaar' in SAP Cloud Integration bewaakt. De details van het foutbericht zijn van nature alleen beschikbaar in het logboek voor berichtverwerking van SAP.

Lange verwerkingstijden van berichten of afwijkingen van berichtvolumes in SAP Cloud-integratie

Als u plotselinge pieken ziet in berichtvolumes en verwerkingstijden in SAP Cloud Integration, kunt u overwegen om verantwoordelijke bronnen aan de NetWeaver-zijde te filteren. Er zijn twee opties beschikbaar.

1. Gebruik transactie-SM19 en best practices van SAP om filterinstellingen toe te passen op Gebruikers en berichtklassen die de piek veroorzaken
2. Gebruik de filtermogelijkheden van het Sentinel-pakket op SAP Cloud Integration om filteren toe te passen op het lezen van logboeken. De parameter max-rijen zijn vooraf ingevuld om de integratiestroom te beschermen tegen berichtoverstroom.

Houd er rekening mee dat logboekfilters in NetWeaver van invloed zijn op wat naar het auditlogboek op de bron wordt geschreven, terwijl een filter op SAP Cloud Integration er alleen voor kiest om de problematische vermeldingen niet te lezen.

Time-outs tijdens connectorregistratie of logboek polling

De Microsoft Sentinel poller zonder agent dwingt twee time-outs af bij het aanroepen van de SAP Cloud Integration Data Collector iflow. Het overschrijden van een van beide limieten veroorzaakt onvolledige opname of herhaalde pogingen.

Initiële verbinding (limiet van 45 seconden): gedeeltelijke gegevens en mislukte connectorregistratie

Wanneer u een nieuw SAP-systeem in Microsoft Sentinel aansluit, moet de eerste handshake naar de Gegevensverzamelaar-stroom binnen 45 seconden zijn voltooid. Als het langer duurt voordat de SAP-integratie reageert, neemt de connector gedeeltelijke gegevens op en mislukt de connectorregistratie.

Ga als volgt te werk om te herstellen:

1. Voer de vereiste controle iflow uit en controleer de runtimemetingen om de trage downstreamaanroep te identificeren (RFC-bestemming, auditlogboek lezen, lezen van gebruikersmaster).
2. Stem de SAP-integratie downstream van SAP Cloud Integration af om de reactietijd onder 45 seconden te brengen. Veelvoorkomende hefbomen zijn filterinstellingen voor auditlogboeken (SM19/RSAU best practices), overschrijvingen van gegevensconnectorparameter zoals max-rows en offset-in-seconds (zie Gedrag van gegevensconnector aanpassen) en SAP Cloud Connector/RFC-grootte.
3. Als de reactietijd nog steeds niet kan worden verkort, schakelt u over naar de interne scheduler-benadering van SAP CPI door de Data Collector Scheduler iflow te implementeren vanuit de Microsoft Sentinel voor SAP-communityopslagplaats. Met de scheduler iflow wordt Microsoft Sentinel de connector niet geïnpoleerd of geregistreerd; deze ontvangt alleen gegevens die door SAP Cloud Integration worden gepusht. Met deze benadering wordt realtime-bedreigingsbeveiliging ingewisseld voor een hogere tolerantie ten opzichte van langlopende SAP-antwoorden.

Zie het blogbericht Sap-connector zonder agent efficiënt uitvoeren voor een end-to-end-bespreking van de afwegingen.

Langlopende iflow (limiet van 180 seconden) – VERWERKINGS-/VERLATEN toestanden en sneeuwbal opnieuw proberen

Voor doorlopende logboek polling moet de gegevensverzamelaar iflow één bericht binnen 180 seconden voltooien. Wanneer de iflow deze limiet overschrijdt, ziet u meestal de status van het logboek voor het verwerken van berichten, zoals VERWERKEN of VERLATEN in SAP Cloud Integration. Omdat de Microsoft Sentinel poller geen geslaagd antwoord ontvangt, wordt hetzelfde tijdssegment herhaaldelijk opnieuw uitgevoerd. Dit kan sneeuwballen in overlappende langlopende iflow-uitvoeringen en het SAP-systeem verder vertragen.

Terugkeerpatroon herstellen en voorkomen:

1. Verwijder de connector uit Microsoft Sentinel en wacht tot de geplande Sentinel aanvragen tot rust komen. Hiermee wordt de sneeuwbal voor opnieuw proberen verbroken.
2. Voer de iflow Prerequisite checker uit om de hoofdoorzaak te identificeren van de trage leesreactietijden van het auditlogboek op SAP (bijvoorbeeld ontbrekende indexen, te groot auditlogboek, dure leesbewerkingen van gebruikersmasters in verouderde releases).
3. Pas de relevante herstelbewerking toe ( afstemming van auditlogboekfilters (SM19/RSAU best practices) en Data Collector-parameteroverschrijvingen zoals max-rows en offset-in-seconds (zie Gedrag van gegevensconnector aanpassen) voordat u de gegevensconnector opnieuw verbindt in Microsoft Sentinel.
4. Als de reactietijden nog steeds niet onder de limiet van 180 seconden kunnen worden beperkt, implementeert u de Data Collector Scheduler iflow vanuit de Microsoft Sentinel voor de SAP-communityopslagplaats. Als u overschakelt naar de sap-CPI-interne scheduler, komt realtime bedreigingsbeveiliging in gevaar, maar voorkomt u het patroon voor opnieuw proberen dat wordt afgedwongen door de Microsoft Sentinel poller.

Geselecteerde probleemoplossingsprocedures zijn alleen relevant wanneer uw gegevensconnectoragent wordt geïmplementeerd via de opdrachtregel. Als u de aanbevolen procedure hebt gebruikt om de agent vanuit de portal te implementeren, gebruikt u de portal om configuratiewijzigingen aan te brengen.

Nuttige Docker-opdrachten

Bij het oplossen van problemen met uw Microsoft Sentinel voor SAP-gegevensconnector, kunt u de volgende opdrachten nuttig vinden:

Functie	Opdracht
De Docker-container stoppen	docker stop sapcon-[SID]
De Docker-container starten	docker start sapcon-[SID]
Docker-systeemlogboeken weergeven	docker logs -f sapcon-[SID]
Voer de Docker-container in	docker exec -it sapcon-[SID] bash

Zie de Docker CLI-documentatie voor meer informatie.

Systeemlogboeken controleren

We raden u ten zeerste aan de systeemlogboeken te controleren nadat u de gegevensconnector hebt geïnstalleerd of opnieuw hebt opgegeven.

Uitvoeren:

docker logs -f sapcon-[SID]

Afdrukken voor foutopsporing in-/uitschakelen

Deze procedure wordt alleen ondersteund als u de gegevensconnectoragent hebt geïmplementeerd vanaf de opdrachtregel.

1. Bewerk op de virtuele machine van de gegevensverzamelaaragent het bestand /opt/sapcon/[SID]/systemconfig.json .

2. Definieer de sectie Algemeen als deze nog niet eerder is gedefinieerd. In deze sectie definieert logging_debug = True u om de foutopsporingsmodus afdrukken in te schakelen of logging_debug = False uit te schakelen.

   Bijvoorbeeld:

   [General]
   logging_debug = True
   

3. Sla het bestand op.

De wijziging wordt ongeveer twee minuten nadat u het bestand hebt opgeslagen van kracht. U hoeft de Docker-container niet opnieuw te starten.

Alle uitvoeringslogboeken van containers weergeven

Connectoruitvoeringslogboeken voor uw Microsoft Sentinel-oplossing voor implementatie van gegevensconnector voor SAP-toepassingen worden opgeslagen op uw VM in /opt/sapcon/[SID]/log/. Logboekbestand is OmniLog.log. Een geschiedenis van logboekbestanden wordt bewaard, achtervoegsel met .[ number] zoals OmniLog.log.1, OmniLog.log.2, enzovoort.

Het configuratiebestand van de Microsoft Sentinel voor SAP-agentconnector controleren en bijwerken

Deze procedure wordt alleen ondersteund als u de gegevensconnectoragent hebt geïmplementeerd vanaf de opdrachtregel. Als u uw agent via de portal hebt geïmplementeerd, blijft u de configuratie-instellingen onderhouden en wijzigen via de portal.

Als u via de opdrachtregel hebt geïmplementeerd, moet u de volgende stappen uitvoeren:

1. Open op uw VM het configuratiebestand: sapcon/[SID]/systemconfig.json

2. Werk indien nodig de configuratie bij en sla het bestand op. Zie de bestandsreferentie Microsoft Sentinel oplossing voor SAP-toepassingen systemconfig.json voor meer informatie.

De wijziging wordt ongeveer twee minuten nadat u het bestand hebt opgeslagen van kracht. U hoeft de Docker-container niet opnieuw te starten.

De Microsoft Sentinel voor SAP-gegevensconnector opnieuw instellen

Met de volgende stappen wordt de connector opnieuw ingesteld en worden SAP-logboeken van de afgelopen 30 minuten opnieuw opgenomen.

1. Stop de connector. Uitvoeren:

   docker stop sapcon-[SID]
   

2. Verwijder het bestand metadata.db uit de map /opt/sapcon/[SID]. Uitvoeren:

   cd /opt/sapcon/<SID>
   rm metadata.db
   

   Opmerking

   Het metadata.db-bestand bevat de laatste tijdstempel voor elk van de logboeken en werkt om duplicatie te voorkomen.

3. Start de connector opnieuw. Uitvoeren:

   docker start sapcon-[SID]
   

Zorg ervoor dat u de systeemlogboeken controleert wanneer u klaar bent.

Veelvoorkomende problemen

Nadat u zowel de Microsoft Sentinel voor SAP-gegevensconnector als beveiligingsinhoud hebt geïmplementeerd, kunnen de volgende fouten of problemen optreden:

Beschadigd of ontbrekend SAP SDK-bestand

Deze fout kan optreden wanneer de connector niet kan worden opgestart met PyRfc of wanneer er zip-gerelateerde foutberichten worden weergegeven.

1. Installeer de SAP SDK opnieuw.
2. Controleer of u de juiste Linux 64-bits versie bent, zoals nwrfc750P_8-70002752.zip.

Als u de gegevensconnector handmatig hebt geïnstalleerd, controleert u of u het SDK-bestand hebt gekopieerd naar de Docker-container.

Uitvoeren:

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

ABAP-runtimefouten worden weergegeven op een groot systeem

Deze procedure wordt alleen ondersteund als u de gegevensconnectoragent hebt geïmplementeerd vanaf de opdrachtregel.

Als ABAP-runtimefouten worden weergegeven op grote systemen, probeert u een kleinere segmentgrootte in te stellen:

1. Bewerk het bestand /opt/sapcon/[SID]/systemconfig.json en definieer timechunk = 5in de sectie Connectorconfiguratie.

   Bijvoorbeeld:

   [Connector Configuration]
   timechunk = 5
   

2. Sla het bestand op.

De wijziging wordt ongeveer twee minuten nadat u het bestand hebt opgeslagen van kracht. U hoeft de Docker-container niet opnieuw te starten.

Leeg of geen auditlogboek opgehaald, zonder speciale foutberichten

1. Controleer of auditlogboekregistratie is ingeschakeld in SAP.
2. Controleer de SM19 - of RSAU_CONFIG transacties.
3. Schakel indien nodig alle gebeurtenissen in.
4. Controleer of berichten binnenkomen en bestaan in de SAP SM20 - of RSAU_READ_LOG, zonder dat er speciale fouten worden weergegeven in het connectorlogboek.

Onjuiste werkruimte-id of sleutel in sleutelkluis

Als u zich realiseert dat u een onjuiste werkruimte-id of sleutel hebt ingevoerd in uw implementatiescript, werkt u de referenties bij die zijn opgeslagen in Azure Key Vault.

Nadat u uw referenties in Azure KeyVault hebt gecontroleerd, start u de container opnieuw op:

docker restart sapcon-[SID]

Onjuiste SAP ABAP-gebruikersreferenties in sleutelkluis

Controleer uw referenties en corrigeer ze indien nodig door de juiste waarden toe te passen op de waarden ABAPUSER en ABAPPASS in Azure Key Vault.

Start vervolgens de container opnieuw op:

docker restart sapcon-[SID]

Onjuiste SAP ABAP-gebruikersreferenties in een vaste configuratie

Deze sectie wordt alleen ondersteund als u de gegevensconnectoragent vanaf de opdrachtregel hebt geïmplementeerd.

Een vaste configuratie is wanneer het wachtwoord rechtstreeks in het systemconfig.json configuratiebestand wordt opgeslagen.

Als uw referenties daar onjuist zijn, controleert u uw referenties.

Gebruik base64-versleuteling om de gebruiker en het wachtwoord te versleutelen. U kunt online versleutelingshulpprogramma's gebruiken om uw referenties te versleutelen, zoals https://www.base64encode.org/.

Ontbrekende ABAP-machtigingen (SAP-gebruiker)

Als u een foutbericht krijgt dat lijkt op: .. Ontbrekende RFC-autorisatie voor back-end.., uw SAP-autorisaties en -rol zijn niet correct toegepast.

1. Zorg ervoor dat de rol MSFTSEN/SENTINEL_CONNECTOR is geïmporteerd als onderdeel van een transport van een wijzigingsaanvraag en is toegepast op de connectorgebruiker.

2. Voer het proces voor het genereren van rollen en het vergelijken van gebruikers uit met behulp van de PFCG van de SAP-transactie.

Ontbrekende gegevens in uw werkmappen of waarschuwingen

Als u merkt dat er gegevens ontbreken in uw Microsoft Sentinel werkmappen of waarschuwingen, controleert u of het Auditlog-beleid aan de SAP-zijde juist is ingeschakeld, zonder fouten in het containerlogboekbestand.

Gebruik de RSAU_CONFIG_LOG transactie voor deze stap.

Zie de SAP-documentatie en Sap HANA-auditlogboeken verzamelen in Microsoft Sentinel voor meer informatie.

U wordt aangeraden controle te configureren voor alle berichten uit het auditlogboek, in plaats van alleen specifieke logboeken. De kostenverschillen voor opname zijn over het algemeen minimaal en de gegevens zijn nuttig voor Microsoft Sentinel detecties en bij post-inbreukonderzoeken en opsporing. Zie SAP-controle configureren voor meer informatie.

Ontbrekende IP-adres- of transactiecodevelden in het SAP-auditlogboek

In SAP-systemen met versies voor SAP BASIS 7.5 SP12 en hoger kunnen Microsoft Sentinel extra velden in de ABAPAuditLog_CL tabellen en SAPAuditLog weergeven.

Als u SAP BASIS-versies gebruikt die hoger zijn dan 7.5 SP12 en ip-adres- of transactiecodevelden ontbreken in het SAP-auditlogboek, controleert u of het SAP-systeem waaruit u de gegevens ophaalt de relevante wijzigingsaanvragen (transporten) bevat. Zie Ondersteuning configureren voor het ophalen van extra gegevens (aanbevolen) voor meer informatie.

Ontbrekende SAP-wijzigingsaanvraag

Als u fouten ziet dat er een vereiste SAP-wijzigingsaanvraag ontbreekt, controleert u of u de juiste SAP-wijzigingsaanvraag voor uw systeem hebt geïmporteerd. Zie SAP-vereisten en Uw SAP-systeem configureren voor de Microsoft Sentinel-oplossing voor meer informatie.

Er worden geen gegevens weergegeven in het gegevenslogboek van de SAP-tabel

In SAP-systemen met versies voor SAP BASIS 7.5 SP12 en hoger kan Microsoft Sentinel wijzigingen in het ABAPTableDataLog_CL tabelgegevenslogboek weergeven.

Als er geen gegevens worden weergegeven in de ABAPTableDataLog_CL tabel, controleert u of het SAP-systeem waaruit u de gegevens ophaalt de relevante wijzigingsaanvragen (transporten) bevat. Zie Ondersteuning configureren voor het ophalen van extra gegevens (aanbevolen) voor meer informatie.

Geen records/late records

De gegevensverzamelaaragent is afhankelijk van de juiste tijdzone-informatie. Als u ziet dat er geen records in de SAP-audit- en wijzigingslogboeken staan, of als records voortdurend een paar uur achterblijven, controleert u of het SAP TZCUSTHELP-rapport fouten bevat. Zie SAP-notitie 481835 voor meer informatie.

Er kunnen ook problemen zijn met de klok op de virtuele machine waarop de gegevensverzamelaaragentcontainer wordt gehost, en elke afwijking van de klok op de VM van UTC heeft invloed op de gegevensverzameling. Nog belangrijker is dat de klokken op zowel de SAP-systeemmachines als de gegevensverzamelaaragentcomputers moeten overeenkomen.

U wordt aangeraden controle te configureren voor alle berichten uit het auditlogboek, in plaats van alleen specifieke logboeken. De kostenverschillen voor opname zijn over het algemeen minimaal en de gegevens zijn nuttig voor Microsoft Sentinel detecties en bij post-inbreukonderzoeken en opsporing. Zie SAP-controle configureren voor meer informatie.

Problemen met netwerkverbinding

Als u problemen ondervindt met de netwerkverbinding met de SAP-omgeving of met Microsoft Sentinel, controleert u uw netwerkverbinding om te controleren of de gegevens naar verwachting stromen.

Veelvoorkomende problemen zijn:

• Firewalls tussen de Docker-container en de SAP-hosts blokkeren mogelijk verkeer. De SAP-host ontvangt communicatie via de volgende TCP-poorten, die open moeten zijn: 32xx, 5xx13 en 33xx, waarbij xx het SAP-exemplaarnummer is.

• Uitgaande communicatie van uw SAP-agenthost naar Microsoft Container Registry of Azure vereist proxyconfiguratie. Dit is doorgaans van invloed op de installatie en vereist dat u de HTTP_PROXY omgevingsvariabelen en HTTPS_PROXY configureert. U kunt ook omgevingsvariabelen opnemen in de Docker-container wanneer u de container maakt, door de -e vlag toe te voegen aan de docker-opdracht / createrun.

Het ophalen van een auditlogboek mislukt met waarschuwingen

Deze sectie wordt alleen ondersteund als u de gegevensconnectoragent vanaf de opdrachtregel hebt geïmplementeerd.

Als u probeert een auditlogboek op te halen zonder de vereiste configuraties en het proces mislukt met waarschuwingen, controleert u of het SAP-auditlogboek kan worden opgehaald met behulp van een van de volgende methoden:

• Een compatibiliteitsmodus met de naam XAL gebruiken in oudere versies
• Een versie gebruiken die niet onlangs is gepatcht
• Zonder wijzigingen aan te brengen voor het maken van verbinding met de Microsoft Sentinel-gegevensconnectoragent. Zie Uw SAP-systeem configureren voor de Microsoft Sentinel-oplossing voor meer informatie.

Hoewel uw systeem indien nodig automatisch moet overschakelen naar de compatibiliteitsmodus, moet u deze mogelijk handmatig overschakelen. Handmatig overschakelen naar de compatibiliteitsmodus:

1. Bewerk het bestand /opt/sapcon/[SID]/systemconfig.json .

2. Definieer in de sectie Connectorconfiguratie het volgende: auditlogforcexal = True

   Bijvoorbeeld:

   [Connector Configuration]
   auditlogforcexal = True
   

3. Sla het bestand op.

De wijziging wordt ongeveer twee minuten nadat u het bestand hebt opgeslagen van kracht. U hoeft de Docker-container niet opnieuw te starten.

SAPCONTROL- of JAVA-subsystemen die geen verbinding kunnen maken

Controleer of de gebruiker van het besturingssysteem geldig is en de volgende opdracht kan uitvoeren op het doel-SAP-systeem:

sapcontrol -nr <SID> -function GetSystemInstanceList

SAPCONTROL- of JAVA-subsysteem mislukt met tijdzonegerelateerd foutbericht

Als uw SAPCONTROL- of JAVA-subsysteem mislukt met een tijdzonegerelateerd foutbericht, zoals: Controleer de configuratie en netwerktoegang tot de SAP-server - 'Etc/NZST', controleert u of u standaard tijdzonecodes gebruikt.

Gebruik javatz = GMT+12 bijvoorbeeld of abaptz = GMT-3**.

Auditlogboekgegevens die niet zijn opgenomen na de initiële belasting

Als de GEGEVENS van het SAP-auditlogboek, die zichtbaar zijn in de RSAU_READ_LOAD- of SM200-transacties, niet worden opgenomen in Microsoft Sentinel na de eerste belasting, is er mogelijk een onjuiste configuratie van het SAP-systeem en het SAP-hostbesturingssysteem.

• De eerste ladingen worden opgenomen na een nieuwe installatie van de Microsoft Sentinel voor SAP-gegevensconnector of nadat het metadata.db-bestand is verwijderd.
• Een voorbeeldfoutconfiguratie kan zijn wanneer de tijdzone van uw SAP-systeem is ingesteld op CET in de STZAC-transactie , maar de tijdzone van het SAP-hostbesturingssysteem is ingesteld op UTC.

Als u wilt controleren op onjuiste configuraties, voert u het RSDBTIME-rapport uit in transactie SE38. Als u een niet-overeenkomende overeenkomst vindt tussen het SAP-systeem en het SAP-hostbesturingssysteem:

1. Stop de Docker-container. Uitvoeren

   docker stop sapcon-[SID]
   

2. Verwijder het bestand metadata.db uit de map /opt/sapcon/[SID]. Uitvoeren:

   rm /opt/sapcon/[SID]/metadata.db
   

3. Werk het SAP-systeem en het SAP-hostbesturingssysteem bij, zodat ze overeenkomende instellingen hebben, zoals dezelfde tijdzone. Zie de WIKI van de SAP-community voor meer informatie.

4. Start de container opnieuw. Uitvoeren:

   docker start sapcon-[SID]
   

Andere onverwachte problemen

Als u onverwachte problemen ondervindt die niet in dit artikel worden vermeld, voert u de volgende stappen uit:

• De connector opnieuw instellen en uw logboeken opnieuw laden
• Werk de connector bij naar de nieuwste versie.

• Uw SAP-systeem verbinden door de agentcontainer van de gegevensconnector te implementeren
• SAP HANA-auditlogboeken verzamelen

• Referentie voor Kickstart-script
• Scriptreferentie bijwerken
• Microsoft Sentinel oplossing voor bestandsreferenties voor SAP-toepassingen systemconfig.json