Systemconfig.json 파일 참조
systemconfig.json 파일은 데이터 수집기의 동작을 구성하는 데 사용됩니다. 구성 옵션은 여러 섹션으로 그룹화됩니다. 이 문서에서는 사용 가능한 옵션을 나열하고 옵션에 대한 설명을 제공합니다.
Important
SAP® 애플리케이션용 Microsoft Sentinel 솔루션은 2023년 6월 22일 이후 릴리스된 에이전트 버전에 대해 새 systemconfig.json 파일을 사용합니다. 이전 에이전트 버전의 경우 systemconfig.ini 파일을 계속 사용해야 합니다.
파일 구조
{
"<SID_GUID>": {
"secrets_source": {...},
"abap_central_instance": {...},
"azure_credentials": {...},
"file_extraction_abap": {...},
"file_extraction_java": {...},
"logs_activation_status" {...},
"connector_configuration": {...},
"abap_table_selector":: {...}
...
}
Systemconfig 구성 파일 섹션
섹션 이름 | 설명 |
---|---|
비밀 원본 | 이 섹션에서는 자격 증명이 저장되는 위치를 정의합니다. |
ABAP Central Instance | 이 섹션에서는 연결할 SAP 인스턴스의 일반 옵션을 정의합니다. |
Azure 자격 증명 | 이 섹션에서는 Azure Log Analytics에 연결할 자격 증명을 정의합니다. |
파일 추출 ABAP | 이 섹션에서는 SAPControl 인터페이스를 사용하여 ABAP 서버에서 추출되는 로그 및 자격 증명을 정의합니다. |
파일 추출 JAVA | 이 섹션에서는 SAPControl 인터페이스를 사용하여 JAVA 서버에서 추출되는 로그 및 자격 증명을 정의합니다. |
로그 활성화 상태 | 이 섹션에서는 ABAP에서 추출되는 로그를 정의합니다. |
커넥터 구성 | 이 섹션에서는 기타 커넥터 옵션을 정의합니다. |
ABAP 테이블 선택기 | 이 섹션에서는 ABAP 시스템에서 추출되는 사용자 마스터 데이터 로그를 정의합니다. |
비밀 원본 섹션
참고 항목
구성 및 배포에 이 파일을 사용하기 전에 모든 주석을 제거합니다.
"secrets_source": {
"secrets": "AZURE_KEY_VAULT|DOCKER_FIXED",
# Storage location of SAP credentials and Log Analytics workspace ID and key
# AZURE_KEY_VAULT - store in an Azure Key Vault. Requires keyvault option and intprefix option
# DOCKER_FIXED - store in systemconfig.ini file. Requires user, passwd, loganalyticswsid and publickey options
"keyvault": "<vaultname>",
# Azure Keyvault name, in case secrets = AZURE_KEY_VAULT
"intprefix": "<prefix>"
# intprefix - Prefix for variables created in Azure Key Vault
},
ABAP Central Instance 섹션
참고 항목
구성 및 배포에 이 파일을 사용하기 전에 모든 주석을 제거합니다.
"abap_central_instance": {
"auth_type": "PLAIN_USER_AND_PASSWORD|SNC_WITH_X509",
# Authentication type - username/password authentication, or X.509 authentication
"ashost": "<hostname>",
# FQDN, hostname, or IP address of the ABAP server
"mshost": "<hostname>",
# FQDN, hostname, or IP address of the Message server
"msserv": "<portnumber>",
# Port number, or service name (from /etc/services) of the message server
"group": "<logon group>",
# Logon group of the message server
"sysnr": "<Instance number>",
# Instance number of the ABAP server
"sysid": "<SID>",
# System ID of the ABAP server
"client": "<Client Number>",
# Client number of the ABAP server
"user": "<username>",
# Username to use to connect to ABAP server. Used only when secrets setting in Secrets Source section is set to DOCKER_FIXED
"passwd": "<password>",
# Password to use to connect to ABAP server. Used only when secrets setting in Secrets Source section is set to DOCKER_FIXED
"snc_lib": "<path to libsapcrypto>",
# Full path, to the libsapcrypto.so
# Used when SNC is in use
# !!! Note - the path must be valid within the container.
"snc_partnername": "<distinguished name of the server certificate>",
# p: -prefixed valid SAP server SNC name, which is equal to Distinguished Name(DN) of SAP server PSE
# Used when SNC is in use
"snc_qop": "<SNC protection level>",
# More information available at docs.oracle.com/cd/E19509-01/820-5064/ggrpj/index.html
# Used when SNC is in use
"snc_myname": "<distinguished name of the client certificate>",
# p: -prefixed valid client SNC name, which is equal to Distinguished Name(DN) of client PSE
# Used when SNC is in use
"x509cert": "<server certificate>"
# Base64 encoded server certificate value in a single line (with leading ----BEGIN-CERTIFICATE--- and trailing ----END-CERTIFICATE---- removed)
},
Azure 자격 증명 섹션
참고 항목
구성 및 배포에 이 파일을 사용하기 전에 모든 주석을 제거합니다.
"azure_credentials": {
"loganalyticswsid": "<workspace ID>",
# Log Analytics workspace ID. Used only when secrets setting in Secrets Source section is set to DOCKER_FIXED
"publickey": "<publickey>"
# Log Analytics workspace primary or secondary key. Used only when secrets setting in Secrets Source section is set to DOCKER_FIXED
},
파일 추출 ABAP 섹션
참고 항목
구성 및 배포에 이 파일을 사용하기 전에 모든 주석을 제거합니다.
"file_extraction_abap": {
"osuser": "<SAPControl username>",
# Username to use to authenticate to SAPControl
"ospasswd": "<SAPControl password>",
# Password to use to authenticate to SAPControl
"appserver": "<server>",
#SAPControl server hostname/fqdn/IP address
"instance": "<instance>",
#SAPControl instance number
"abapseverity": "<severity>",
# 0 = All logs ; 1 = Warning ; 2 = Error
"abaptz": "<timezone>"
# GMT FORMAT
# example - For OS Timezone = NZST (New Zealand Standard Time) use abaptz = GMT+12
},
파일 추출 JAVA 섹션
참고 항목
구성 및 배포에 이 파일을 사용하기 전에 모든 주석을 제거합니다.
"file_extraction_java": {
"javaosuser": "<username>",
# Username to use to authenticate to JAVA server
"javaospasswd": "<password>",
# Password to use to authenticate to JAVA server
"javaappserver": "<server>",
#JAVA server hostname/fqdn/IP address
"javainstance": "<instance number>",
#JAVA instance number
"javaseverity": "<severity>",
# 0 = All logs ; 1 = Warning ; 2 = Error
"javatz": "<timezone>"
# GMT FORMAT
# example - For OS Timezone = NZST (New Zealand Standard Time) use abaptz = GMT+12
},
로그 활성화 상태 섹션
참고 항목
구성 및 배포에 이 파일을 사용하기 전에 모든 주석을 제거합니다.
"logs_activation_status": {
# GMT FORMAT
# example - For OS Timezone = NZST (New Zealand Standard Time) use abaptz = GMT+12
"ABAPAuditLog": "<True/False>",
"ABAPJobLog": "<True/False>",
"ABAPSpoolLog": "<True/False>",
"ABAPSpoolOutputLog": "<True/False>",
"ABAPChangeDocsLog": "<True/False>",
"ABAPAppLog": "<True/False>",
"ABAPWorkflowLog": "<True/False>",
"ABAPCRLog": "<True/False>",
"ABAPTableDataLog": "<True/False>",
# The following logs are retrieved using SAP Control interface and OS Login
"ABAPFilesLogs": "<True/False>",
"SysLog": "<True/False>",
"ICM": "<True/False>",
"WP": "<True/False>",
"GW": "<True/False>",
# The following logs are retrieved using SAP Control interface and OS Login
"JAVAFilesLogs": "<True/False>",
커넥터 구성 섹션
참고 항목
구성 및 배포에 이 파일을 사용하기 전에 모든 주석을 제거합니다.
"connector_configuration": {
"extractuseremail": "<True/False>",
"apiretry": "<True/False>",
"auditlogforcexal": "<True/False>",
"auditlogforcelegacyfiles": "<True/False>",
"azure_resource_id": "<Azure _ResourceId>",
"timechunk": "<value>"
},
ABAP 테이블 선택기 섹션
참고 항목
구성 및 배포에 이 파일을 사용하기 전에 모든 주석을 제거합니다.
"abap_table_selector": {
# Specify True or False to configure whether table should be collected from the SAP system
"AGR_TCODES_FULL": "<True/False>",
"USR01_FULL": "<True/False>",
"USR02_FULL": "<True/False>",
"USR02_INCREMENTAL": "<True/False>",
"AGR_1251_FULL": "<True/False>",
"AGR_USERS_FULL": "<True/False>",
"AGR_USERS_INCREMENTAL": "<True/False>",
"AGR_PROF_FULL": "<True/False>",
"UST04_FULL": "<True/False>",
"USR21_FULL": "<True/False>",
"ADR6_FULL": "<True/False>",
"ADCP_FULL": "<True/False>",
"USR05_FULL": "<True/False>",
"USGRP_USER_FULL": "<True/False>",
"USER_ADDR_FULL": "<True/False>",
"DEVACCESS_FULL": "<True/False>",
"AGR_DEFINE_FULL": "<True/False>",
"AGR_DEFINE_INCREMENTAL": "<True/False>",
"PAHI_FULL": "<True/False>",
"AGR_AGRS_FULL": "<True/False>",
"USRSTAMP_FULL": "<True/False>",
"USRSTAMP_INCREMENTAL": "<True/False>",
"SNCSYSACL_FULL": "<True/False>",
"USRACL_FULL": "<True/False>"
}
다음 단계
SAP® 애플리케이션용 Microsoft Sentinel 솔루션에 대해 자세히 알아보세요.
- SAP® 애플리케이션용 Microsoft Sentinel 솔루션 배포
- SAP® 애플리케이션용 Microsoft Sentinel 솔루션을 배포하기 위한 필수 구성 요소
- SAP CR(변경 요청) 배포 및 권한 부여 구성
- SAP 데이터 커넥터 에이전트를 호스트하는 컨테이너 배포 및 구성
- SAP 보안 콘텐츠 배포
- SNC를 사용하여 SAP용 Microsoft Sentinel 데이터 커넥터 배포
- SAP 시스템의 상태 모니터링
- SAP 감사 사용 및 구성
- SAP HANA 감사 로그 수집
문제 해결:
참조 파일:
- SAP® 애플리케이션용 Microsoft Sentinel 솔루션 데이터 참조
- SAP® 애플리케이션용 Microsoft Sentinel 솔루션: 보안 콘텐츠 참조
- Kickstart 스크립트 참조
- 업데이트 스크립트 참조
자세한 내용은 Microsoft Sentinel 솔루션을 참조하세요.