Solução de problemas da implantação da solução Microsoft Sentinel para aplicativos SAP

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Este artigo inclui etapas de solução de problemas para ajudá-lo a garantir a ingestão e o monitoramento de dados precisos e oportunos para seu ambiente SAP com o Microsoft Sentinel.

Os procedimentos de solução de problemas selecionados só são relevantes quando o agente do conector de dados é implantado por meio da linha de comando. Se você usou o procedimento recomendado para implantar o agente a partir do portal, use o portal para fazer quaisquer alterações de configuração.

Comandos úteis do Docker

Ao solucionar problemas do conector de dados do Microsoft Sentinel for SAP, você pode achar úteis os seguintes comandos:

Function Comando
Pare o contêiner do Docker docker stop sapcon-[SID]
Iniciar o contêiner do Docker docker start sapcon-[SID]
Exibir logs do sistema Docker docker logs -f sapcon-[SID]
Insira o contêiner do Docker docker exec -it sapcon-[SID] bash

Para obter mais informações, consulte a documentação da CLI do Docker.

Revisar logs do sistema

É altamente recomendável que você revise os logs do sistema depois de instalar ou redefinir o conector de dados.

Executar:

docker logs -f sapcon-[SID]

Ativar/desativar a impressão no modo de depuração

Este procedimento só é suportado se você tiver implantado o agente do conector de dados a partir da linha de comando.

  1. Na máquina virtual de contêiner do agente coletor de dados, edite o arquivo /opt/sapcon/[SID]/systemconfig.json .

  2. Defina a seção Geral se ela não tiver sido definida anteriormente. Nesta seção, defina logging_debug = True para habilitar a impressão no modo de depuração ou logging_debug = False para desativá-la.

    Por exemplo:

    [General]
logging_debug = True

  3. Guarde o ficheiro.

A alteração entra em vigor aproximadamente dois minutos depois de salvar o arquivo. Não é necessário reiniciar o contêiner do Docker.

Exibir todos os logs de execução de contêiner

Os logs de execução do conector para a implantação do conector de dados da solução Microsoft Sentinel para aplicativos SAP são armazenados na VM em /opt/sapcon/[SID]/log/. O nome do arquivo de log é OmniLog.log. Um histórico de arquivos de log é mantido, sufixo com .[ número] como OmniLog.log.1, OmniLog.log.2 e assim por diante.

Revise e atualize o arquivo de configuração do conector do agente Microsoft Sentinel for SAP

Este procedimento só é suportado se você tiver implantado o agente do conector de dados a partir da linha de comando. Se você implantou seu agente por meio do portal, continue a manter e alterar as definições de configuração por meio do portal.

Se você implantou através da linha de comando, execute as seguintes etapas:

  1. Na VM, abra o arquivo de configuração: sapcon/[SID]/systemconfig.json

  2. Atualize a configuração, se necessário, e salve o arquivo. Para obter mais informações, consulte a referência de arquivo da solução Microsoft Sentinel para aplicativos systemconfig.json SAP.

A alteração entra em vigor aproximadamente dois minutos depois de salvar o arquivo. Não é necessário reiniciar o contêiner do Docker.

Redefinir o conector de dados do Microsoft Sentinel for SAP

As etapas a seguir redefinem o conector e reiniciam os logs SAP dos últimos 30 minutos.

  1. Pare o conector. Executar:

    docker stop sapcon-[SID]

  2. Exclua o arquivo metadata.db do diretório /opt/sapcon/[SID ]. Executar:

    cd /opt/sapcon/<SID>
rm metadata.db

    Nota

    O arquivo metadata.db contém o último carimbo de data/hora para cada um dos logs e funciona para evitar duplicação.

  3. Inicie o conector novamente. Executar:

    docker start sapcon-[SID]

Certifique-se de revisar os logs do sistema quando terminar.

Problemas comuns

Depois de implantar o conector de dados e o conteúdo de segurança do Microsoft Sentinel for SAP, você pode enfrentar os seguintes erros ou problemas:

Arquivo SAP SDK corrompido ou ausente

Este erro pode ocorrer quando o conector falha ao inicializar com PyRfc, ou mensagens de erro relacionadas ao zip são mostradas.

  1. Reinstale o SAP SDK.
  2. Verifique se você é a versão correta do Linux de 64 bits, como nwrfc750P_8-70002752.zip.

Se você tiver instalado o conector de dados manualmente, certifique-se de ter copiado o arquivo SDK para o contêiner do Docker.

Executar:

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

Erros de tempo de execução ABAP aparecem em um sistema grande

Este procedimento só é suportado se você tiver implantado o agente do conector de dados a partir da linha de comando.

Se erros de tempo de execução ABAP aparecerem em sistemas grandes, tente definir um tamanho de bloco menor:

  1. Edite o arquivo /opt/sapcon/[SID]/systemconfig.json e, na seção Configuração do conector, defina timechunk = 5.

    Por exemplo:

    [Connector Configuration]
timechunk = 5

  2. Guarde o ficheiro.

A alteração entra em vigor aproximadamente dois minutos depois de salvar o arquivo. Não é necessário reiniciar o contêiner do Docker.

Nota

O tamanho do timechunk é definido em minutos.

Log de auditoria vazio ou sem recuperação de nenhum log, sem mensagens de erro especiais

  1. Verifique se o log de auditoria está ativado no SAP.
  2. Verifique as transações SM19 ou RSAU_CONFIG .
  3. Habilite todos os eventos conforme necessário.
  4. Verifique se as mensagens chegam e existem no SAP SM20 ou RSAU_READ_LOG, sem erros especiais aparecendo no log do conector.

ID ou chave incorreta do espaço de trabalho no cofre de chaves

Se você perceber que inseriu uma ID ou chave de espaço de trabalho incorreta em seu script de implantação, atualize as credenciais armazenadas no cofre de chaves do Azure.

Depois de verificar suas credenciais no Azure KeyVault, reinicie o contêiner:

docker restart sapcon-[SID]

Credenciais de usuário SAP ABAP incorretas no cofre de chaves

Verifique suas credenciais e corrija-as conforme necessário, aplicando os valores corretos aos valores ABAPUSER e ABAPPASS no Azure Key Vault.

Em seguida, reinicie o contêiner:

docker restart sapcon-[SID]

Credenciais de usuário SAP ABAP incorretas em uma configuração fixa

Esta seção só é suportada se você tiver implantado o agente do conector de dados a partir da linha de comando.

Uma configuração fixa é quando a senha é armazenada diretamente no arquivo de configuração systemconfig.json .

Se suas credenciais estiverem incorretas, verifique suas credenciais.

Use a criptografia base64 para criptografar o usuário e a senha. Você pode usar ferramentas de criptografia online para criptografar suas credenciais, como https://www.base64encode.org/.

Permissões ABAP (usuário SAP) ausentes

Se você receber uma mensagem de erro semelhante a: .. Autorização RFC de back-end ausente.., suas autorizações SAP e função não foram aplicadas corretamente.

  1. Verifique se a função MSFTSEN/SENTINEL_CONNECTOR foi importada como parte de um transporte de solicitação de alteração e aplicada ao usuário do conector.

  2. Execute o processo de geração de funções e comparação de usuários usando a transação SAP PFCG.

Dados em falta nos seus livros ou alertas

Se você achar que estão faltando dados em suas pastas de trabalho ou alertas do Microsoft Sentinel, verifique se a política Auditlog está habilitada corretamente no lado do SAP, sem erros no arquivo de log do contêiner.

Use a transação RSAU_CONFIG_LOG para esta etapa.

Para obter mais informações, consulte a documentação do SAP e Coletar logs de auditoria do SAP HANA no Microsoft Sentinel.

Endereço IP ou campos de código de transação ausentes no log de auditoria do SAP

Em sistemas SAP com versões para SAP BASIS 7.5 SP12 e superiores, o Microsoft Sentinel pode refletir campos extras nas ABAPAuditLog_CL tabelas e SAPAuditLog .

Se você estiver usando versões do SAP BASIS superiores a 7.5 SP12 e não tiver campos de endereço IP ou código de transação no log de auditoria do SAP, verifique se o sistema SAP do qual você está extraindo os dados contém as solicitações de alteração (transportes) relevantes. Para obter mais informações, consulte Configurar suporte para recuperação de dados extras (recomendado).

Solicitação de alteração do SAP ausente

Se você vir erros que estão faltando uma solicitação de alteração SAP necessária, certifique-se de ter importado a solicitação de alteração SAP correta para o seu sistema. Para obter mais informações, consulte Pré-requisitos SAP e Configurar seu sistema SAP para a solução Microsoft Sentinel.

Nenhum dado é exibido no log de dados da tabela SAP

Em sistemas SAP com versões para SAP BASIS 7.5 SP12 e superiores, o Microsoft Sentinel pode refletir as alterações no log de dados da ABAPTableDataLog_CL tabela na tabela.

Se nenhum dado estiver sendo exibido na tabela, verifique se o ABAPTableDataLog_CL sistema SAP do qual você está extraindo os dados contém as solicitações de alteração (transportes) relevantes. Para obter mais informações, consulte Configurar suporte para recuperação de dados extras (recomendado).

Sem registos / registos tardios

O agente do coletor de dados depende das informações de fuso horário para estar correto. Se você vir que não há registros nos logs de auditoria e alteração do SAP, ou se os registros estão constantemente algumas horas atrasados, verifique se o relatório SAP TZCUSTHELP apresenta erros. Para obter mais informações, consulte SAP note 481835.

Também pode haver problemas com o relógio na máquina virtual onde o contêiner do agente do coletor de dados está hospedado, e qualquer desvio do relógio na VM do UTC afeta a coleta de dados. Ainda mais importante, os relógios nas máquinas do sistema SAP e nas máquinas do agente coletor de dados devem corresponder.

Problemas de conectividade de rede

Se você estiver tendo problemas de conectividade de rede com o ambiente SAP ou com o Microsoft Sentinel, verifique a conectividade de rede para garantir que os dados estejam fluindo conforme o esperado.

Problemas comuns:

  • Firewalls entre o contêiner do docker e os hosts SAP podem estar bloqueando o tráfego. O host SAP recebe comunicação através das seguintes portas TCP, que devem estar abertas: 32xx, 5xx13 e 33xx, onde xx é o número da instância SAP.

  • A comunicação de saída do host do agente SAP para o Microsoft Container Registry ou o Azure requer configuração de proxy. Isso normalmente afeta a instalação e exige que você configure as HTTP_PROXY variáveis e HTTPS_PROXY ambientais. Você também pode ingerir variáveis de ambiente no contêiner do docker ao criar o contêiner, adicionando o sinalizador -e ao comando docker create / run .

A recuperação de um log de auditoria falha com avisos

Esta seção só é suportada se você tiver implantado o agente do conector de dados a partir da linha de comando.

Se você tentar recuperar um log de auditoria sem as configurações necessárias e o processo falhar com avisos, verifique se o SAP Auditlog pode ser recuperado usando um dos seguintes métodos:

  • Usando um modo de compatibilidade chamado XAL em versões mais antigas
  • Usando uma versão não corrigida recentemente
  • Sem alterações feitas para se conectar ao agente do conector de dados do Microsoft Sentinel. Para obter mais informações, consulte Configurar seu sistema SAP para a solução Microsoft Sentinel.

Embora o seu sistema deva mudar automaticamente para o modo de compatibilidade, se necessário, poderá ter de o mudar manualmente. Para alternar para o modo de compatibilidade manualmente:

  1. Edite o arquivo /opt/sapcon/[SID]/systemconfig.json .

  2. Na seção Configuração do conector, defina:auditlogforcexal = True

    Por exemplo:

    [Connector Configuration]
auditlogforcexal = True

  3. Guarde o ficheiro.

A alteração entra em vigor aproximadamente dois minutos depois de salvar o arquivo. Não é necessário reiniciar o contêiner do Docker.

Os subsistemas SAPCONTROL ou JAVA não conseguem se conectar

Verifique se o usuário do sistema operacional é válido e pode executar o seguinte comando no sistema SAP de destino:

sapcontrol -nr <SID> -function GetSystemInstanceList

Se o seu subsistema SAPCONTROL ou JAVA falhar com uma mensagem de erro relacionada ao fuso horário, como: Verifique a configuração e o acesso à rede para o servidor SAP - 'Etc/NZST', certifique-se de que você está usando códigos de fuso horário padrão.

Por exemplo, utilize javatz = GMT+12 ou abaptz = GMT-3**.

Dados de log de auditoria não ingeridos após a carga inicial

Se os dados do log de auditoria do SAP, visíveis nas transações RSAU_READ_LOAD ou SM200 , não forem ingeridos no Microsoft Sentinel após a carga inicial, você pode ter uma configuração incorreta do sistema SAP e do sistema operacional host SAP.

  • As cargas iniciais são ingeridas após uma nova instalação do conector de dados do Microsoft Sentinel for SAP ou após a exclusão do arquivo metadata.db .
  • Um exemplo de configuração incorreta pode ser quando o fuso horário do sistema SAP está definido como CET na transação STZAC, mas o fuso horário do sistema operacional host SAP está definido como UTC.

Para verificar se há configurações incorretas, execute o relatório RSDBTIME na transação SE38. Se você encontrar uma incompatibilidade entre o sistema SAP e o sistema operacional host SAP:

  1. Pare o contentor do Docker. Executar

    docker stop sapcon-[SID]

  2. Exclua o arquivo metadata.db do diretório /opt/sapcon/[SID ]. Executar:

    rm /opt/sapcon/[SID]/metadata.db

  3. Atualize o sistema SAP e o sistema operacional host SAP para que eles tenham configurações correspondentes, como o mesmo fuso horário. Para obter mais informações, consulte o SAP Community Wiki.

  4. Inicie o recipiente novamente. Executar:

    docker start sapcon-[SID]

Outros problemas inesperados

Se você tiver problemas inesperados não listados neste artigo, tente as seguintes etapas:

Gorjeta

Redefinir o conector e garantir que você tenha as atualizações mais recentes também são recomendados após quaisquer alterações importantes na configuração.

Conteúdos relacionados

Saiba mais sobre a solução Microsoft Sentinel para aplicativos SAP:

Ficheiros de referência:

Para obter mais informações, consulte Soluções do Microsoft Sentinel.