Risoluzione dei problemi della soluzione Microsoft Sentinel per la distribuzione di applicazioni SAP
Questo articolo include i passaggi per la risoluzione dei problemi per garantire l'inserimento e il monitoraggio accurati e tempestivi dei dati per l'ambiente SAP con Microsoft Sentinel.
Le procedure di risoluzione dei problemi selezionate sono rilevanti solo quando l'agente del connettore dati viene distribuito tramite la riga di comando. Se è stata usata la procedura consigliata per distribuire l'agente dal portale, usare il portale per apportare modifiche alla configurazione.
Comandi Docker utili
Quando si risolve il problema del connettore dati di Microsoft Sentinel per SAP, potrebbero risultare utili i comandi seguenti:
| Funzione | Comando |
|---|---|
| Arrestare il contenitore Docker | docker stop sapcon-[SID] |
| Avviare il contenitore Docker | docker start sapcon-[SID] |
| Visualizzare i log di sistema Docker | docker logs -f sapcon-[SID] |
| Immettere il contenitore Docker | docker exec -it sapcon-[SID] bash |
Per altre informazioni, vedere la documentazione dell'interfaccia della riga di comando di Docker.
Esaminare i log di sistema
È consigliabile esaminare i log di sistema dopo l'installazione o la reimpostazione del connettore dati.
Terza fase
docker logs -f sapcon-[SID]
Abilitare/disabilitare la stampa in modalità debug
Questa procedura è supportata solo se l'agente del connettore dati è stato distribuito dalla riga di comando.
Nella macchina virtuale del contenitore dell'agente di raccolta dati modificare il file /opt/sapcon/[SID]/systemconfig.json .
Definire la sezione Generale se non è stata definita in precedenza. In questa sezione definire
logging_debug = Trueper abilitare la stampa in modalità di debug ologging_debug = Falsedisabilitarla.Ad esempio:
[General] logging_debug = TrueSalvare il file.
La modifica ha effetto circa due minuti dopo il salvataggio del file. Non è necessario riavviare il contenitore Docker.
Visualizzare tutti i log di esecuzione dei contenitori
I log di esecuzione del connettore per la soluzione Microsoft Sentinel per la distribuzione del connettore dati delle applicazioni SAP vengono archiviati nella macchina virtuale in /opt/sapcon/[SID]/log/. Il nome file di log è OmniLog.log. Viene mantenuta una cronologia dei file di log, con suffisso con .[ numero] ad esempio OmniLog.log.1, OmniLog.log.2 e così via.
Esaminare e aggiornare il file di configurazione del connettore dell'agente SAP di Microsoft Sentinel per SAP
Questa procedura è supportata solo se l'agente del connettore dati è stato distribuito dalla riga di comando. Se l'agente è stato distribuito tramite il portale, continuare a gestire e modificare le impostazioni di configurazione tramite il portale.
Se è stata distribuita tramite la riga di comando, seguire questa procedura:
Nella macchina virtuale aprire il file di configurazione: sapcon/[SID]/systemconfig.json
Aggiornare la configurazione, se necessario, e salvare il file. Per altre informazioni, vedere le informazioni di riferimento sulla soluzione Microsoft Sentinel per i file di applicazioni
systemconfig.jsonSAP.
La modifica ha effetto circa due minuti dopo il salvataggio del file. Non è necessario riavviare il contenitore Docker.
Reimpostare Il connettore dati di Microsoft Sentinel per SAP
I passaggi seguenti reimpostano il connettore e ripristinano i log SAP degli ultimi 30 minuti.
Arrestare il connettore. Terza fase
docker stop sapcon-[SID]Eliminare il file metadata.db dalla directory /opt/sapcon/[SID]. Terza fase
cd /opt/sapcon/<SID> rm metadata.dbNota
Il file metadata.db contiene l'ultimo timestamp per ognuno dei log e funziona per evitare la duplicazione.
Riavviare il connettore. Terza fase
docker start sapcon-[SID]
Al termine, assicurarsi di esaminare i log di sistema.
Problemi comuni
Dopo aver distribuito sia Microsoft Sentinel per il connettore dati SAP che il contenuto della sicurezza, potrebbero verificarsi gli errori o i problemi seguenti:
File DI SAP SDK danneggiato o mancante
Questo errore può verificarsi quando il connettore non viene avviato con PyRfc o vengono visualizzati messaggi di errore correlati allo zip.
- Reinstallare SAP SDK.
- Verificare di essere la versione corretta di Linux a 64 bit, ad esempio nwrfc750P_8-70002752.zip.
Se il connettore dati è stato installato manualmente, assicurarsi di aver copiato il file SDK nel contenitore Docker.
Terza fase
docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/
Gli errori di runtime ABAP vengono visualizzati in un sistema di grandi dimensioni
Questa procedura è supportata solo se l'agente del connettore dati è stato distribuito dalla riga di comando.
Se gli errori di runtime ABAP vengono visualizzati in sistemi di grandi dimensioni, provare a impostare dimensioni di blocchi inferiori:
Modificare il file /opt/sapcon/[SID]/systemconfig.json e nella sezione Configurazione connettore definire
timechunk = 5.Ad esempio:
[Connector Configuration] timechunk = 5Salvare il file.
La modifica ha effetto circa due minuti dopo il salvataggio del file. Non è necessario riavviare il contenitore Docker.
Nota
Le dimensioni della suddivisione in blocchi di tempo sono definite in minuti.
Vuoto o nessun log di controllo recuperato, senza messaggi di errore speciali
- Verificare che la registrazione di controllo sia abilitata in SAP.
- Verificare le transazioni SM19 o RSAU_CONFIG .
- Abilitare tutti gli eventi in base alle esigenze.
- Verificare se i messaggi arrivano e sono presenti in SAP SM20 o RSAU_READ_LOG, senza errori speciali visualizzati nel log del connettore.
ID o chiave dell'area di lavoro non corretti nell'insieme di credenziali delle chiavi
Se ci si rende conto che è stato immesso un ID o una chiave dell'area di lavoro non corretti nello script di distribuzione, aggiornare le credenziali archiviate nell'insieme di credenziali delle chiavi di Azure.
Dopo aver verificato le credenziali in Azure KeyVault, riavviare il contenitore:
docker restart sapcon-[SID]
Credenziali utente SAP ABAP non corrette nell'insieme di credenziali delle chiavi
Controllare le credenziali e correggerle in base alle esigenze, applicando i valori corretti ai valori ABAPUSER e ABAPPASS in Azure Key Vault.
Riavviare quindi il contenitore:
docker restart sapcon-[SID]
Credenziali utente SAP ABAP non corrette in una configurazione fissa
Questa sezione è supportata solo se l'agente del connettore dati è stato distribuito dalla riga di comando.
Una configurazione fissa è quando la password viene archiviata direttamente nel file di configurazione systemconfig.json .
Se le credenziali non sono corrette, verificare le credenziali.
Usare la crittografia Base64 per crittografare l'utente e la password. È possibile usare gli strumenti di crittografia online per crittografare le credenziali, ad esempio https://www.base64encode.org/.
Autorizzazioni ABAP (utente SAP) mancanti
Se viene visualizzato un messaggio di errore simile al seguente: .. Autorizzazione RFC back-end mancante. Le autorizzazioni e il ruolo SAP non sono stati applicati correttamente.
Assicurarsi che il ruolo MSFTSEN/SENTINEL_CONNECTOR sia stato importato come parte di un trasporto della richiesta di modifica e applicato all'utente del connettore.
Eseguire il processo di generazione del ruolo e confronto degli utenti usando la transazione SAP PFCG.
Dati mancanti nelle cartelle di lavoro o negli avvisi
Se sono presenti dati mancanti nelle cartelle di lavoro o negli avvisi di Microsoft Sentinel, assicurarsi che il criterio Auditlog sia abilitato correttamente sul lato SAP, senza errori nel file di log del contenitore.
Usare la transazione RSAU_CONFIG_LOG per questo passaggio.
Per altre informazioni, vedere la documentazione di SAP e Raccogliere i log di controllo di SAP HANA in Microsoft Sentinel.
Campi dell'indirizzo IP o del codice della transazione mancanti nel log di controllo SAP
Nei sistemi SAP con versioni per SAP BASIS 7.5 SP12 e versioni successive, Microsoft Sentinel può riflettere campi aggiuntivi nelle ABAPAuditLog_CL tabelle e SAPAuditLog .
Se si usano versioni SAP BASIS superiori alla 7.5 SP12 e mancano campi indirizzo IP o codice transazione nel log di controllo SAP, verificare che il sistema SAP da cui si estraggono i dati contenga le richieste di modifica pertinenti (trasporti). Per altre informazioni, vedere Configurare il supporto per il recupero di dati aggiuntivo (scelta consigliata).
Richiesta di modifica SAP mancante
Se vengono visualizzati errori che mancano una richiesta di modifica SAP necessaria, assicurarsi di aver importato la richiesta di modifica SAP corretta per il sistema. Per altre informazioni, vedere Prerequisiti SAP e Configurare il sistema SAP per la soluzione Microsoft Sentinel.
Nessun dato visualizzato nel log dei dati della tabella SAP
Nei sistemi SAP con versioni per SAP BASIS 7.5 SP12 e versioni successive, Microsoft Sentinel può riflettere le modifiche apportate al log dei dati delle tabelle nella ABAPTableDataLog_CL tabella.
Se nella tabella non vengono visualizzati ABAPTableDataLog_CL dati, verificare che il sistema SAP da cui si estraggono i dati contenga le richieste di modifica pertinenti (trasporti). Per altre informazioni, vedere Configurare il supporto per il recupero di dati aggiuntivo (scelta consigliata).
Nessun record/record in ritardo
L'agente dell'agente di raccolta dati si basa sulle informazioni sul fuso orario per essere corrette. Se si noterà che non sono presenti record nei log di controllo e delle modifiche SAP o se i record sono costantemente in ritardo, verificare se il report SAP TZCUSTHELP presenta errori. Per altre informazioni, vedere la nota SAP 481835.
Potrebbero verificarsi anche problemi con l'orologio nella macchina virtuale in cui è ospitato il contenitore dell'agente dell'agente di raccolta dati e qualsiasi deviazione dall'orologio della macchina virtuale dall'ora UTC influisce sulla raccolta dei dati. Ancora più importante, gli orologi nei computer di sistema SAP e nei computer dell'agente di raccolta dati devono corrispondere.
Problemi relativi alla connettività di rete
Se si verificano problemi di connettività di rete all'ambiente SAP o a Microsoft Sentinel, controllare la connettività di rete per assicurarsi che i dati vengano trasmessi come previsto.
I problemi comuni includono:
I firewall tra il contenitore Docker e gli host SAP potrebbero bloccare il traffico. L'host SAP riceve la comunicazione tramite le porte TCP seguenti, che devono essere aperte: 32xx, 5xx13 e 33xx, dove xx è il numero di istanza SAP.
La comunicazione in uscita dall'host dell'agente SAP a Registro Contenitori Microsoft o Azure richiede la configurazione del proxy. Questo influisce in genere sull'installazione e richiede di configurare le
HTTP_PROXYvariabili di ambiente eHTTPS_PROXY. È anche possibile inserire variabili di ambiente nel contenitore Docker quando si crea il contenitore aggiungendo il-eflag al comando docker /createrun.
Il recupero di un log di controllo non riesce con avvisi
Questa sezione è supportata solo se l'agente del connettore dati è stato distribuito dalla riga di comando.
Se si tenta di recuperare un log di controllo senza le configurazioni necessarie e il processo ha esito negativo con avvisi, verificare che il log di controllo SAP possa essere recuperato usando uno dei metodi seguenti:
- Uso di una modalità di compatibilità denominata XAL nelle versioni precedenti
- Uso di una versione non aggiornata di recente
- Senza modifiche apportate per la connessione all'agente del connettore dati di Microsoft Sentinel. Per altre informazioni, vedere Configurare il sistema SAP per la soluzione Microsoft Sentinel.
Anche se necessario, il sistema dovrebbe passare automaticamente alla modalità di compatibilità, potrebbe essere necessario passare manualmente. Per passare alla modalità di compatibilità manualmente:
Modificare il file /opt/sapcon/[SID]/systemconfig.json.
Nella sezione Configurazione connettore definirefine:
auditlogforcexal = TrueAd esempio:
[Connector Configuration] auditlogforcexal = TrueSalvare il file.
La modifica ha effetto circa due minuti dopo il salvataggio del file. Non è necessario riavviare il contenitore Docker.
Sottosistemi SAPCONTROL o JAVA non è in grado di connettersi
Verificare che l'utente del sistema operativo sia valido ed eseguire il comando seguente nel sistema SAP di destinazione:
sapcontrol -nr <SID> -function GetSystemInstanceList
Il sottosistema SAPCONTROL o JAVA ha esito negativo con il messaggio di errore correlato al fuso orario
Se il sottosistema SAPCONTROL o JAVA non riesce con un messaggio di errore relativo al fuso orario, ad esempio: Controllare la configurazione e l'accesso di rete al server SAP - 'Etc/NZST', assicurarsi di usare codici fuso orario standard.
Ad esempio, usare javatz = GMT+12 o abaptz = GMT-3**.
Dati del log di controllo non inseriti dopo il caricamento iniziale
Se i dati del log di controllo SAP, visibili nelle transazioni RSAU_READ_LOAD o SM200 , non vengono inseriti in Microsoft Sentinel dopo il caricamento iniziale, è possibile che si verifichino errori di configurazione del sistema SAP e del sistema operativo host SAP.
- I caricamenti iniziali vengono inseriti dopo una nuova installazione di Microsoft Sentinel per il connettore dati SAP o dopo l'eliminazione del file metadata.db .
- Un esempio di configurazione errata potrebbe essere quando il fuso orario del sistema SAP è impostato su CET nella transazione STZAC , ma il fuso orario del sistema operativo host SAP è impostato su UTC.
Per verificare la presenza di configurazioni errate, eseguire il report RSDBTIME nella transazione SE38. Se si rileva una mancata corrispondenza tra il sistema SAP e il sistema operativo host SAP:
Arrestare il contenitore Docker. Run
docker stop sapcon-[SID]Eliminare il file metadata.db dalla directory /opt/sapcon/[SID]. Terza fase
rm /opt/sapcon/[SID]/metadata.dbAggiornare il sistema SAP e il sistema operativo host SAP in modo che dispongano di impostazioni corrispondenti, ad esempio lo stesso fuso orario. Per altre informazioni, vedere sap Community Wiki.
Avviare di nuovo il contenitore. Terza fase
docker start sapcon-[SID]
Altri problemi imprevisti
Se si verificano problemi imprevisti non elencati in questo articolo, provare la procedura seguente:
- Reimpostare il connettore e ricaricare i log
- Aggiornare il connettore alla versione più recente.
Suggerimento
È consigliabile reimpostare il connettore e assicurarsi di disporre degli aggiornamenti più recenti anche dopo le modifiche di configurazione principali.
Contenuto correlato
Altre informazioni sulla soluzione Microsoft Sentinel per le applicazioni SAP:
- Distribuire la soluzione Microsoft Sentinel per le applicazioni SAP
- Prerequisiti per la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP
- Configurare il sistema SAP per la soluzione Microsoft Sentinel
- Distribuire il contenuto della soluzione dall'hub dei contenuti
- Connettere il sistema SAP distribuendo il contenitore dell'agente del connettore dati
- Raccogliere i log di audit di SAP HANA
File di riferimento:
- Informazioni di riferimento sulla soluzione Microsoft Sentinel per le applicazioni SAP
- Soluzione Microsoft Sentinel per le applicazioni SAP: informazioni di riferimento sui contenuti di sicurezza
- Informazioni di riferimento sullo script Kickstart
- Aggiornare riferimento script
- Informazioni di riferimento sul file della soluzione Microsoft Sentinel per le applicazioni
systemconfig.jsonSAP
Per altre informazioni, vedere Soluzioni Microsoft Sentinel.