SAP アプリケーション用の Microsoft Sentinel ソリューションのログとテーブルのリファレンス
この記事では、SAP アプリケーションとそのデータ コネクタ用の Microsoft Sentinel ソリューションの一部として使用できるログとテーブルについて説明します。
この記事で説明されている一部のログは、既定では Microsoft Sentinel に送信されませんが、必要に応じて手動で追加できます。 詳細については、「Microsoft Sentinel に送信される SAP ログの定義」を参照してください 。
この記事の内容は、SAP BASIS チームを対象としています。
重要
Microsoft Sentinel Threat Monitoring for SAP のソリューションの一部のコンポーネントは、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
基になるログやテーブルの代わりにクエリで関数を使用する
可能な限り、基になるログやテーブルではなく、使用可能な関数を分析の対象として使用することを 強くお勧めします 。
SAP アプリケーション用の Microsoft Sentinel ソリューションで提供される関数 は、データのプリンシパル ユーザー インターフェイスとして機能することを目的としています。 これらは、既定で使用できるすべての組み込みの分析ルールとブックの基礎を形成しています。 関数を使用すると、ユーザーが作成したコンテンツを中断することなく、関数の下のデータ インフラストラクチャに変更を加えることができます。
詳細については、「 SAP アプリケーションの Microsoft Sentinel ソリューション - Azure Monitor ログ クエリの関数リファレンス と Functions」を参照してください。
ログ カバレッジ
SAP アプリケーション用の Microsoft Sentinel ソリューションは、アプリケーション、OS、およびデータ層からログを収集し、SAP システムを包括的に保護します。
アプリケーション層: Microsoft Sentinel は、SAP システムの主要なアプリケーション層である ABAP レイヤー内のアクティビティを監視します。これは、ビジネス ロジックの実行とトランザクションの処理を担当します。 たとえば、Microsoft Sentinel は、サインイン、パスワードの変更、レポートやファイルへのアクセスなどのユーザー アクションを含むログを収集します。
セキュリティ監視に加えて、アプリケーション層で収集されたログは、コンプライアンスと監査の目的でも使用できます。
OS レイヤー: Microsoft Sentinel は、オペレーティング システムからログを収集して、ABAP サーバーや SAP アプリケーションが実行されている仮想マシンなどの OS レベルのアクティビティに関する分析情報を提供します。
SAP アプリケーション用の Microsoft Sentinel ソリューションを、他のサービス用のセキュリティ コンテンツとデータ コネクタと共に使用して、包括的かつ一元的な監視を行い、すべてのシステム間で情報を関連付け、全体的なセキュリティ体制を強化します。
データベース レイヤー: データベース管理アクティビティやテーブル データの変更など、データベース アクティビティを監視するために、データベース ログを Microsoft Sentinel に取り込みます。 SAP アプリケーション用の Microsoft Sentinel ソリューションは、データベースに依存しません。
データ コネクタ エージェントによって収集されたすべてのログは、最初にデータ コレクター エージェント マシン ( /opt/sapcon/<sid>/log コンテナー インスタンス内のフォルダー) に格納されます。 その後、ログは Log Analytics ワークスペースに転送され、Microsoft Sentinel からログを表示、監査、クエリできます。
監査ログは毎分収集および取り込まれますが、他のログの取り込み頻度は低くなります。 また、Microsoft Sentinel は、データ コネクタ エージェントのハートビートを監視して、ログが収集され、Log Analytics ワークスペースに送信されていることを確認します。
ログ リファレンス
次のセクションでは、Microsoft Sentinel のテーブル名、ログの目的、詳細なログ スキーマなど、MICROSOFT Sentinel ソリューション for SAP アプリケーション データ コネクタから使用できる SAP ログについて説明します。
スキーマのフィールドの説明は、関連 SAP ドキュメントにおけるフィールドの説明に準じています。
- ABAP アプリケーション ログ
- ABAP 変更文書ログ
- ABAP CR ログ
- ABAP DB テーブル データ ログ (プレビュー)
- ABAP DB ゲートウェイ データ ログ (プレビュー)
- ABAP ICM ログ (プレビュー)
- ABAP ジョブ ログ
- ABAP セキュリティ監査ログ
- ABAP スプール ログ
- APAB スプール出力ログ
- ABAP SysLog
- ABAP Workflow ログ
- ABAP WorkProcess ログ
- HANA DB 監査証跡
- JAVA ファイル
- SAP ハートビート ログ
ABAP アプリケーション ログ
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPAppLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: 必要に応じて後で再現できるよう、アプリケーション実行の進行状況を記録します。
XBP インターフェイスの標準 SAP テーブルと標準サービスに基づく RFC を使用して利用できます。 このログは、クライアントごとに生成されます。
ABAPAppLog_CL ログ スキーマ
| フィールド | Description |
|---|---|
| AppLogDateTime | アプリケーション ログの日時 |
| CallbackProgram | コールバック プログラム |
| CallbackRoutine | コールバック ルーチン |
| CallbackType | コールバックの種類 |
| ClientID | ABAP クライアント ID (MANDT) |
| ContextDDIC | コンテキストの DDIC 構造 |
| ExternalID | 外部ログ ID |
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | アプリケーション ログ メッセージのシリアル |
| LevelofDetail | 詳細レベル |
| LogHandle | アプリケーション ログのハンドル |
| LogNumber | ログ番号 |
| MessageClass | message クラス |
| MessageNumber | メッセージ番号 |
| [MessageText] | [メッセージ テキスト] |
| MessageType | メッセージの種類 |
| Object | アプリケーション ログ オブジェクト |
| OperationMode | 操作モード |
| ProblemClass | 問題クラス |
| ProgramName | プログラム名 |
| SortCriterion | 並べ替え条件 |
| StandardText | 標準テキスト |
| SubObject | アプリケーション ログのサブオブジェクト |
| SystemID | システム ID |
| SystemNumber | システム数 |
| TransactionCode | トランザクション コード |
| User | User |
| UserChange | ユーザーの変更 |
ABAP 変更文書ログ
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPChangeDocsLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: 次の情報を記録します。
変更文書におけるビジネス データ オブジェクトに対する SAP NetWeaver Application Server (AS) ABAP ログの変更。
SAP システム内のその他のエンティティ (ユーザー データ、ロール、アドレスなど)。
標準 SAP テーブルに基づく RFC を使用して利用できます。 このログは、クライアントごとに生成されます。
ABAPChangeDocsLog_CL ログ スキーマ
| フィールド | Description |
|---|---|
| ActualChangeNum | 実際の変更番号 |
| ChangedTableKey | 変更されたテーブル キー |
| ChangeNumber | 変更番号 |
| ClientID | ABAP クライアント ID (MANDT) |
| CreatedfromPlannedChange | 予定された変更から次の構文で作成されます: (‘X’ , ‘ ‘) |
| CurrencyKeyNew | 通貨キー: 新しい値 |
| CurrencyKeyOld | 通貨キー: 古い値 |
| FieldName | フィールド名 |
| FlagText | フラグ テキスト |
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス: <HOST>_<SYSID>_<SYSNR> |
| 言語 | 言語 |
| ObjectClass | オブジェクト クラス (BELEG、BPAR、PFCG、IDENTITY) |
| ObjectID | オブジェクト ID |
| PlannedChangeNum | 予定された変更番号 |
| SystemID | システム ID |
| SystemNumber | システム数 |
| TableName | テーブル名 |
| TransactionCode | トランザクション コード |
| TypeofChange_Header | 変更のヘッダー タイプ (例): U = 変更、I = 挿入、E = 単一文書の削除、D = 削除、J = 単一文書の挿入 |
| TypeofChange_Item | 変更のアイテム タイプ (例): U = 変更、I = 挿入、E = 単一文書の削除、D = 削除、J = 単一文書の挿入 |
| UOMNew | 測定単位: 新しい値 |
| UOMOld | 測定単位: 古い値 |
| User | User |
| ValueNew | フィールドの内容: 新しい値 |
| ValueOld | フィールドの内容: 古い値 |
| バージョン | バージョン |
ABAP CR ログ
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPCRLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: Change & Transport System (CTS) のログ、たとえば変更が加えられたディレクトリ オブジェクトやカスタマイズを含みます。
標準テーブルと標準 SAP サービスに基づく RFC を使用して利用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
Note
アプリケーション ログ、変更文書、テーブルの記録に加え、Change & Transport System を使用して運用システムに行うあらゆる変更が CTS ログと TMS ログに記録されます。
ABAPCRLog_CL ログ スキーマ
| フィールド | 説明 |
|---|---|
| カテゴリ | カテゴリ (ワークベンチ、カスタマイズ) |
| ClientID | ABAP クライアント ID (MANDT) |
| 説明 | 説明 |
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス: <HOST>_<SYSID>_<SYSNR> |
| ObjectName | オブジェクト名 |
| ObjectType | オブジェクトの種類 |
| 所有者 | 所有者 |
| 要求 | 変更要求 |
| Status | Status |
| SystemID | システム ID |
| SystemNumber | システム数 |
| TableKey | テーブル キー |
| TableName | テーブル名 |
| ViewName | ビューの名前 |
ABAP DB テーブル データ ログ(プレビュー)
このログを Microsoft Sentinel に送信するには、systemconfig.json ファイルに手動で追加する必要があります。
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPTableDataLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: 監査にとってきわめて重要なテーブルや監査の対象になりやすいテーブルのログ記録に対応します。
カスタム サービスと RFC を併用することで利用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
ABAPTableDataLog_CL ログ スキーマ
| フィールド | Description |
|---|---|
| DBLogID | DB ログ ID |
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス: <HOST>_<SYSID>_<SYSNR> |
| 言語 | 言語 |
| LogKey | ログ キー |
| NewValue | フィールドの新しい値 |
| OldValue | フィールドの古い値 |
| OperationTypeSQL | 操作の種類 (Insert、Update、Delete) |
| プログラム | プログラム名 |
| SystemID | システム ID |
| SystemNumber | システム数 |
| TableField | テーブルのフィールド |
| TableName | テーブル名 |
| TransactionCode | トランザクション コード |
| UserName | User |
| VersionNumber | バージョン番号 |
ABAP ゲートウェイ ログ(プレビュー)
このログを Microsoft Sentinel に送信するには、systemconfig.json ファイルに手動で追加する必要があります。
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPOS_GW
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: ゲートウェイのアクティビティを監視します。 SAP Control Web サービスで使用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
ABAPOS_GW_CL ログ スキーマ
| フィールド | 説明 |
|---|---|
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス: <HOST>_<SYSID>_<SYSNR> |
| [MessageText] | [メッセージ テキスト] |
| 重大度 | メッセージの重大度: Debug、Info、Warning、Error |
| SystemID | システム ID |
| SystemNumber | システム数 |
ABAP ICM ログ(プレビュー)
このログを Microsoft Sentinel に送信するには、systemconfig.json ファイルに手動で追加する必要があります。
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPOS_ICM
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: 受信要求と送信要求を記録し、HTTP 要求の統計情報を集計します。
SAP Control Web サービスで使用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
ABAPOS_ICM_CL ログ スキーマ
| フィールド | 説明 |
|---|---|
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス: <HOST>_<SYSID>_<SYSNR> |
| [MessageText] | [メッセージ テキスト] |
| 重大度 | メッセージの重大度 (例): Debug、Info、Warning、Error |
| SystemID | システム ID |
| SystemNumber | システム数 |
ABAP ジョブ ログ
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPJobLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: すべてのバックグラウンド処理ジョブ ログ (SM37) を結合します。
XBP インターフェイスの標準 SAP テーブルと標準サービスに基づく RFC を使用して利用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
ABAPJobLog_CL ログ スキーマ
| フィールド | Description |
|---|---|
| ABAPProgram | ABAP プログラム |
| BgdEventParameters | バックグラウンド イベントのパラメーター |
| BgdProcessingEvent | バックグラウンド処理イベント |
| ClientID | ABAP クライアント ID (MANDT) |
| DynproNumber | Dynpro 番号 |
| GUIStatus | GUI の状態 |
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス (HOST_SYSID_SYSNR): <HOST>_<SYSID>_<SYSNR> |
| JobClassification | ジョブ分類 |
| JobCount | ジョブ数 |
| JobGroup | ジョブ グループ |
| JobName | ジョブ名 |
| JobPriority | ジョブの優先順位 |
| MessageClass | message クラス |
| MessageNumber | メッセージ番号 |
| [MessageText] | [メッセージ テキスト] |
| MessageType | メッセージの種類 |
| ReleaseUser | ジョブのリリース ユーザー |
| SchedulingDateTime | スケジューリング日時 |
| StartDateTime | 開始日時 |
| SystemID | システム ID |
| SystemNumber | システム数 |
| TargetServer | ターゲット サーバー |
| User | User |
| UserReleaseInstance | ABAP インスタンス - ユーザー リリース |
| WorkProcessID | 作業プロセス ID |
| WorkProcessNumber | 作業プロセス番号 |
ABAP セキュリティ監査ログ
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPAuditLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: 次のデータを記録します。
- メイン ユーザー レコードの変更など、SAP システム環境に対するセキュリティ関連の変更
- 比較的大まかなデータを提供する情報 (サインイン試行の成功と失敗など)
- 一連のイベントの再構築を可能にする情報 (トランザクション開始の成功、失敗など)
RFC XAL または SAL インターフェイスを介して利用できます。 SAL は、Basis 7.50 バージョン以降で提供されます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
ABAPAuditLog_CL ログ スキーマ
| フィールド | Description |
|---|---|
| ABAPProgramName | プログラム名 (SAL のみ) |
| AlertSeverity | アラートの重大度 |
| AlertSeverityText | アラートの重大度テキスト (SAL のみ) |
| AlertValue | アラートの値 |
| AuditClassID | 監査クラス ID (SAL のみ) |
| ClientID | ABAP クライアント ID (MANDT) |
| Computer | ユーザー マシン (SAL のみ) |
| 電子メール | ユーザーの電子メール |
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | message クラス |
| MessageContainerID | メッセージ コンテナー ID (XAL のみ) |
| MessageID | メッセージ ID (‘AU1’,’AU2’… など) |
| [MessageText] | [メッセージ テキスト] |
| MonitoringObjectName | MTE モニター オブジェクト名 (XAL のみ) |
| MonitorShortName | MTE モニターの短い名前 (XAL のみ) |
| SAPProcesType | システム ログ: SAP プロセス タイプ (SAL のみ) |
| B* - バックグラウンド処理 | |
| D* - ダイアログ処理 | |
| U* - 更新タスク | |
| SAPWPName | システム ログ: 作業プロセス番号 (SAL のみ) |
| SystemID | システム ID |
| SystemNumber | システム数 |
| TerminalIPv6 | ユーザー マシン IP (SAL のみ) |
| TransactionCode | トランザクション コード (SAL のみ) |
| User | User |
| Variable1 | メッセージ変数 1 |
| Variable2 | メッセージ変数 2 |
| Variable3 | メッセージ変数 3 |
| Variable4 | メッセージ変数 4 |
ABAP スプール ログ
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPSpoolLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: スプール要求の履歴を含む SAP 印刷のメイン ログとして機能します。 (SP01)。
標準 SAP テーブルに基づく RFC を使用して利用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
ABAPSpoolLog_CL ログ スキーマ
| フィールド | Description |
|---|---|
| ArchiveStatus | アーカイブ状態 |
| ArchiveType | アーカイブの種類 |
| ArchivingDevice | アーカイブ デバイス |
| AutoRereoute | 自動再ルーティング |
| ClientID | ABAP クライアント ID (MANDT) |
| CountryKey | 国キー |
| DeleteSpoolRequestAuto | スプール要求の自動削除 |
| DelFlag | 削除フラグ |
| 部署 | 部署 |
| DocumentType | ドキュメントの種類 |
| ExternalMode | 外部モード |
| FormatType | 形式の種類 |
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | [部数] |
| OutputDevice | 出力デバイス |
| PrinterLongName | プリンターの長い名前 |
| PrintImmediately | 即時印刷 |
| PrintOSCoverPage | OSCover ページの印刷 |
| PrintSAPCoverPage | SAPCover ページの印刷 |
| 優先度 | 優先度 |
| RecipientofSpoolRequest | スプール要求の受信者 |
| SpoolErrorStatus | スプール エラーの状態 |
| SpoolRequestCompleted | スプール要求完了 |
| SpoolRequestisALogForAnotherRequest | スプール要求が別の要求のログになっている |
| SpoolRequestName | スプール要求の名前 |
| SpoolRequestNumber | スプール要求番号 |
| SpoolRequestSuffix1 | スプール要求のサフィックス 1 |
| SpoolRequestSuffix2 | スプール要求のサフィックス 2 |
| SpoolRequestTitle | スプール要求のタイトル |
| SystemID | システム ID |
| SystemNumber | システム数 |
| TelecommunicationsPartner | 通信パートナー |
| TelecommunicationsPartnerE | 通信パートナー E |
| TemSeGeneralcounter | TemSe カウンター |
| TemseNumAddProtectionRule | TemSe の追加保護ルール番号 |
| TemseNumChangeProtectionRule | TemSe の変更保護ルール番号 |
| TemseNumDeleteProtectionRule | TemSe の削除保護ルール番号 |
| TemSeObjectName | TemSe オブジェクト名 |
| TemSeObjectPart | TemSe オブジェクト パーツ |
| TemseReadProtectionRule | TemSe 読み取り保護ルール |
| User | User |
| ValueAuthCheck | 値承認チェック |
APAB スプール出力ログ
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPSpoolOutputLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: スプール出力要求 (SP02) の履歴を含む SAP 印刷のメイン ログとして機能します。 (SP02)。
標準テーブルに基づくカスタム サービスと RFC を併用することで利用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
ABAPSpoolOutputLog_CL ログ スキーマ
| フィールド | Description |
|---|---|
| AppServer | アプリケーション サーバー |
| ClientID | ABAP クライアント ID (MANDT) |
| コメント | コメント |
| CopyCount | コピー数 |
| CopyCounter | コピー カウンター |
| 部署 | 部署 |
| ErrorSpoolRequestNumber | エラー要求番号 |
| FormatType | 形式の種類 |
| Host | Host |
| HostName | ホスト名 |
| HostSpoolerID | ホスト スプーラー ID |
| インスタンス | ABAP インスタンス |
| LastPage | 最後のページ |
| NumofCopies | [部数] |
| OutputDevice | 出力デバイス |
| OutputRequestNumber | 出力要求番号 |
| OutputRequestStatus | 出力要求の状態 |
| PhysicalFormatType | 物理フォーマット タイプ |
| PrinterLongName | プリンターの長い名前 |
| PrintRequestSize | 印刷要求のサイズ |
| 優先度 | 優先度 |
| ReasonforOutputRequest | 出力要求の理由 |
| RecipientofSpoolRequest | スプール要求の受信者 |
| SpoolNumberofOutputReqProcessed | 出力要求の数 - 処理済み |
| SpoolNumberofOutputReqWithErrors | 出力要求の数 - エラーあり |
| SpoolNumberofOutputReqWithProblems | 出力要求の数 - 問題あり |
| SpoolRequestNumber | スプール要求番号 |
| StartPage | スタート ページ |
| SystemID | システム ID |
| SystemNumber | システム数 |
| TelecommunicationsPartner | 通信パートナー |
| TemSeGeneralcounter | TemSe カウンター |
| タイトル | タイトル |
| User | User |
ABAP Syslog
このログを Microsoft Sentinel に送信するには、systemconfig.json ファイルに手動で追加する必要があります。
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPOS_Syslog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: SAP NetWeaver Application Server (SAP NetWeaver AS) ABAP システムのエラー、警告、ユーザー ロック (既知のユーザーからのサインイン試行の失敗によるもの)、処理メッセージをすべて記録します。
SAP Control Web サービスで使用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
ABAPOS_Syslog_CL ログスキーマ
| フィールド | Description |
|---|---|
| ClientID | ABAP クライアント ID (MANDT) |
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | メッセージ番号 |
| [MessageText] | [メッセージ テキスト] |
| 重大度 | メッセージの重大度 (Debug、Info、Warning、Error のいずれかの値)。 |
| SystemID | システム ID |
| SystemNumber | システム数 |
| TransacationCode | トランザクション コード |
| 型 | SAP プロセス タイプ |
| User | User |
ABAP Workflow ログ
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPWorkflowLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: SAP Business Workflow (WebFlow エンジン) では、SAP システムにおけるマッピングが済んでいないビジネス プロセスを定義できます。
たとえば、マップされていないビジネス プロセスは、単純なリリース手順や承認手順、または基本資料の作成や関連部門の調整などのより複雑なビジネス プロセスである場合があります。
標準 SAP テーブルに基づく RFC を使用して利用できます。 このログは、クライアントごとに生成されます。
ABAPWorkflowLog_CL ログスキーマ
| フィールド | Description |
|---|---|
| ActualAgent | 実際のエージェント |
| Address | Address |
| ApplicationArea | アプリケーション領域 |
| CallbackFunction | コールバック関数 |
| ClientID | ABAP クライアント ID (MANDT) |
| CreationDateTime | 作成日時 |
| Creator | Creator |
| CreatorAddress | 作成者のアドレス |
| ErrorType | エラーの種類 |
| ExceptionforMethod | メソッドの例外 |
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス (HOST_SYSID_SYSNR): <HOST>_<SYSID>_<SYSNR> |
| 言語 | 言語 |
| LogCounter | ログ カウンター |
| MessageNumber | メッセージ番号 |
| MessageType | メッセージの種類 |
| MethodUser | メソッドのユーザー |
| 優先度 | 優先度 |
| SimpleContainer | 作業項目のキーと値のエンティティの一覧としてパックされた単純なコンテナー |
| Status | Status |
| SuperWI | スーパー WI |
| SystemID | システム ID |
| SystemNumber | システム数 |
| TaskID | タスク ID |
| TasksClassification | タスクの分類 |
| TaskText | タスク テキスト |
| TopTaskID | トップ タスク ID |
| UserCreated | User created (ユーザーが作成) |
| WIText | 作業項目のテキスト |
| WIType | 作業項目の種類 |
| WorkflowAction | ワークフロー アクション |
| WorkItemID | 作業アイテム ID |
ABAP WorkProcess ログ
このログを Microsoft Sentinel に送信するには、systemconfig.json ファイルに手動で追加する必要があります。
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPOS_WP
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: 作業プロセスのログをすべて結合します (既定値:
dev_*)。SAP Control Web サービスで使用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
ABAPOS_WP_CL ログ スキーマ
| フィールド | 説明 |
|---|---|
| Host | Host |
| インスタンス | 次の構文の ABAP インスタンス: <HOST>_<SYSID>_<SYSNR> |
| [MessageText] | [メッセージ テキスト] |
| 重大度 | メッセージの重大度: Debug、Info、Warning、Error |
| SystemID | システム ID |
| SystemNumber | システム数 |
| WPNumber | 作業プロセス番号 |
HANA DB 監査証跡
HANA DB 監査証跡ログの収集は、Microsoft Sentinel がデータベース レイヤー アクティビティを収集する方法の例です。 このログを Microsoft Sentinel に送信するには、AZURE Monitor エージェントをデプロイして、HANA DB を実行しているマシンから Syslog データを収集する必要があります。
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPSyslog
ログの目的: ユーザーの操作、つまり SAP HANA データベースにおいて試行された操作を記録します。 たとえば、機密データへの読み取りアクセスを記録、監視することができます。
Syslog 用の Microsoft Sentinel Linux エージェントで使用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
Syslog ログ スキーマ
| フィールド | 説明 |
|---|---|
| Computer | ホスト名 |
| HostIP | ホストの IP |
| HostName | ホスト名 |
| ProcessID | プロセス ID |
| ProcessName | プロセス名: HDB* |
| SeverityLevel | アラート: |
| SourceSystem | ソース システム OS (Linux) |
| SyslogMessage | メッセージ (未解析の監査証跡メッセージ) |
JAVA ファイル
このログを Microsoft Sentinel に送信するには、systemconfig.json ファイルに手動で追加する必要があります。
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPJAVAFilesLogs
関連する SAP ドキュメント: 全般 | Java セキュリティ監査ログ
ログの目的: Java ファイルベースのすべてのログ (セキュリティ監査ログを含む) と、システム (クラスターおよびサーバー プロセス)、パフォーマンス、ゲートウェイのログとを結合します。 開発者のトレース ログや既定のトレース ログも含みます。
SAP Control Web サービスで使用できます。 このログは、すべてのクライアントにわたるデータを使用して生成されます。
JavaFilesLogsCL ログ スキーマ
| フィールド | 説明 |
|---|---|
| Application | Java アプリケーション |
| ClientID | クライアント ID |
| CSNComponent | CSN コンポーネント (BC-XI-IBD など) |
| DCComponent | DC コンポーネント (com.sap.xi.util.misc など) |
| DSRCounter | DSR カウンター |
| DSRRootContentID | DSR コンテキストの GUID |
| DSRTransaction | DSR トランザクションの GUID |
| Host | Host |
| インスタンス | 次の構文の Java インスタンス: <HOST>_<SYSID>_<SYSNR> |
| 場所 | Java クラス |
| LogName | Java のログ名 (Available、defaulttrace、dev*、security など) |
| [MessageText] | [メッセージ テキスト] |
| MNo | メッセージ番号 |
| Pid | プロセス ID |
| プログラム | プログラム名 |
| Session | Session |
| 重大度 | メッセージの重大度 (例): Debug、Info、Warning、Error |
| 解決策 | 解決策 |
| SystemID | システム ID |
| SystemNumber | システム数 |
| ThreadName | スレッド名 |
| Thrown | 例外をスロー |
| TimeZone | タイム ゾーン |
| User | User |
SAP ハートビートログ
このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPConnectorHealth
ログの目的: エージェントとさまざまな SAP システム間の接続に関するハートビートおよびその他の正常性情報を提供します。
SAP 向け Microsoft Sentinel データ コネクタのすべてのエージェントに対して自動的に作成されます。
SAP_HeartBeat_CL ログ スキーマ
| フィールド | 説明 |
|---|---|
| TimeGenerated | ログ投稿イベントの時刻 |
| agent_id_s | エージェントの構成内のエージェント ID (自動的に生成) |
| agent_ver_s | エージェントのバージョン |
| host_s | エージェントのホスト名 |
| system_id_s | Netweaver ABAP システム ID / Netweaver SAPControl ホスト (プレビュー) / Java SAPControl ホスト (プレビュー) |
| push_timestamp_d | エージェントのタイム ゾーンに基づく抽出のタイムスタンプ |
| agent_timezone_s | エージェントのタイム ゾーン |
SAP システムから直接取得されたテーブルの参照
このセクションでは、SAP システムから直接取得され、Microsoft Sentinel にそのまま取り込まれるデータ テーブルの一覧を示します。
これらのテーブルのデータを Microsoft Sentinel に取り込むには、systemconfig.json ファイルで関連する設定を構成します。 詳しくは、ユーザー・マスター・データ収集の構成を参照してください。
これらのテーブルから取得されたデータにより、認可構造、グループ メンバーシップ、およびユーザー プロファイルが明確にわかります。 また、認可の付与と取り消しのプロセスを追跡し、それらのプロセスに関連するリスクを識別して管理することもできます。
次に示すテーブルは、特権ユーザーを識別する関数を有効にし、ユーザーをロール、グループ、および認可にマップするために必要です。
最良の結果を得るには、次の表の Microsoft Sentinel 関数名列の 名前 を使用して、これらのテーブルを参照してください。
| テーブル名 | テーブルの説明 | Microsoft Sentinel 関数名 |
|---|---|---|
| USR01 | ユーザー マスター レコード (ランタイム データ) | SAP_USR01 |
| USR02 | サインイン データ (カーネル側の使用) | SAP_USR02 |
| UST04 | ユーザー マスター プロファイルへのユーザーのマップ |
SAP_UST04 |
| AGR_USERS | ユーザーへのロールの割り当て | SAP_AGR_USERS |
| AGR_1251 | アクティビティ グループの認可データ | SAP_AGR_1251 |
| USGRP_USER | ユーザー グループへのユーザーの割り当て | SAP_USGRP_USER |
| USR21 | ユーザー名/アドレス キーの割り当て | SAP_USR21 |
| ADR6 | 電子メール アドレス (ビジネス アドレス サービス) | SAP_ADR6 |
| USRSTAMP | ユーザーへのすべての変更のタイム スタンプ | SAP_USRSTAMP |
| ADCP | 個人/住所の割り当て (ビジネス アドレス サービス) | SAP_ADCP |
| USR05 | ユーザー マスター パラメーター ID | SAP_USR05 |
| AGR_PROF | ロールのプロファイル名 | SAP_AGR_PROF |
| AGR_FLAGS | ロール属性 | SAP_AGR_FLAGS |
| DEVACCESS | 開発ユーザーのテーブル | SAP_DEVACCESS |
| AGR_DEFINE | ロール定義 | SAP_AGR_DEFINE |
| AGR_AGRS | 複合ロール内のロール | SAP_AGR_AGRS |
| PAHI | システム、データベース、および SAP パラメーターの履歴 | SAP_PAHI |
| SNCSYSACL (プレビュー) | SNC アクセス制御リスト (ACL): システム | SAP_SNCSYSACL |
| USRACL (プレビュー) | SNC アクセス制御リスト (ACL) ユーザー | SAP_USRACL |
関連するコンテンツ
詳細については、以下を参照してください: