Risoluzione dei problemi della soluzione Microsoft Sentinel per la distribuzione di applicazioni SAP

Quando si usa il connettore dati senza agente, la maggior parte della risoluzione dei problemi viene eseguita direttamente in SAP Integration Suite, in cui il log dei messaggi visualizza gli errori che indicano la natura del problema riscontrato.

Per iniziare, esaminare i log di elaborazione dei messaggi. Per altre informazioni, vedere la documentazione di SAP. I messaggi di errore consentono di diagnosticare i problemi relativi a autorizzazioni mancanti, errori di connettività e altre configurazioni non corrette.

Se non viene visualizzato un errore correlato al problema, attivare la registrazione della traccia per una risoluzione dei problemi più approfondita. Per altre informazioni, vedere la documentazione di SAP.

Verificare la presenza di prerequisiti

Il pacchetto del connettore dati senza agente, distribuito durante l'esecuzione della configurazione iniziale del connettore, include uno strumento che consente agli amministratori SAP di diagnosticare e risolvere i problemi relativi alla configurazione dell'ambiente SAP.

Per eseguire lo strumento:

1. Aprire il pacchetto di integrazione, passare alla scheda artefatti e selezionare l'opzione Prerequisite checker iflow >Configure (Configura controllo prerequisiti).

2. Imposta la destinazione RFC sul sistema SAP da controllare.

3. Distribuire l'iflow come altrimenti si farebbe per i sistemi SAP. Ad esempio, usare lo script di PowerShell di esempio seguente, modificando i valori segnaposto di esempio per l'ambiente:

   $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
   $credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
   $serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
   $serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)
   
   $credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
   $headers = @{
       "Authorization" = "Basic $credentials"
       "Content-Type"  = "application/json"
   }
   $authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
       -Method Post `
       -Headers $headers
   $token = ($authResponse.Content | ConvertFrom-Json).access_token
   $path = "/http/checkSAP"
   $param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
   $headers = @{
       "Authorization"      = "Bearer $token"
       "Content-Type"       = "application/json"
   }
   $response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
   Write-Host $response.RawContent
   

Assicurarsi che il controllo dei prerequisiti venga eseguito correttamente prima di connettersi a Microsoft Sentinel.

Funzionalità mancanti nei sistemi SAP legacy

Alcuni sistemi SAP legacy potrebbero non avere funzionalità necessarie per il modulo funzione RFC_READ_TABLE . Assicurarsi che l'amministratore SAP abbia esaminato le note SAP 3390051 e 382318 e che sia stata applicata l'applicazione di patch al sistema di conseguenza.

Per altre informazioni, vedere Configurare le impostazioni di SAP Cloud Connector.

Errore "Deploy required azure resources" (Distribuisci risorse di Azure necessarie) durante la configurazione del connettore dati

Quando si configura Il connettore dati senza agente di Microsoft Sentinel per SAP, nel passaggio 1 della configurazione > iniziale del connettore: attivare la distribuzione automatica delle risorse di Azure necessarie/SoC Engineer dopo aver selezionato Distribuisci le risorse necessarie, è possibile che venga visualizzato l'errore "Deploy required azure resources" (Distribuisci risorse di Azure necessarie) o simili (gli errori possono variare). Questo errore potrebbe indicare che mancano le autorizzazioni necessarie per la registrazione dell'app Entra ID.

Se non si ha il ruolo Sviluppatore applicazione Entra ID o versione successiva, è necessario collaborare con un collega che dispone di questa autorizzazione per completare la configurazione delle risorse di Azure. Per altre informazioni, seguire la procedura descritta nel passaggio di connessione dell'agente del connettore dati .

"Ultimo indirizzo indirizzato" mancante

Se si visualizza un errore nel log di controllo della sicurezza che segnala la mancanza dell'ultimo indirizzo instradato (un indirizzo IP), seguire le indicazioni riportate nella nota SAP 3566290.

Dati anagrafici master utente SAP incompleti

Se viene visualizzato un errore che indica che sono presenti dati master utente SAP incompleti o che non sono presenti dati nella tabella ABAPAuthorizationDetails di Microsoft Sentinel, eseguire le operazioni seguenti:

1. Verificare che il modulo di funzione SAP SIAG_ROLE_GET_AUTH esista nel sistema di origine SAP.
2. Seguire le indicazioni riportate nella nota SAP 3088309 per la soluzione pertinente.

Le procedure di risoluzione dei problemi selezionate sono rilevanti solo quando l'agente del connettore dati viene distribuito tramite la riga di comando. Se è stata usata la procedura consigliata per distribuire l'agente dal portale, usare il portale per apportare modifiche alla configurazione.

Comandi Docker utili

Quando si risolve il problema del connettore dati di Microsoft Sentinel per SAP, potrebbero risultare utili i comandi seguenti:

Per altre informazioni, vedere la documentazione dell'interfaccia della riga di comando di Docker.

Esaminare i log di sistema

È consigliabile esaminare i log di sistema dopo l'installazione o la reimpostazione del connettore dati.

Terza fase

docker logs -f sapcon-[SID]

Abilitare/disabilitare la stampa in modalità debug

Questa procedura è supportata solo se l'agente del connettore dati è stato distribuito dalla riga di comando.

1. Nella macchina virtuale del contenitore agente di raccolta dati, modifica il file /opt/sapcon/[SID]/systemconfig.json.

2. Definire la sezione Generale se non è stata definita in precedenza. In questa sezione definire logging_debug = True per abilitare la stampa in modalità di debug o logging_debug = False disabilitarla.

   Ad esempio:

   [General]
   logging_debug = True
   

3. Salvare il file.

La modifica diventa effettiva circa due minuti dopo il salvataggio del file. Non è necessario riavviare il contenitore Docker.

Visualizzare tutti i log di esecuzione dei contenitori

I log di esecuzione del connettore per la soluzione Microsoft Sentinel per la distribuzione del connettore dati delle applicazioni SAP vengono archiviati nella macchina virtuale in /opt/sapcon/[SID]/log/. Il nome file di log è OmniLog.log. Viene mantenuta una cronologia dei file di log, con suffisso con .[ numero] ad esempio OmniLog.log.1, OmniLog.log.2 e così via.

Esaminare e aggiornare il file di configurazione del connettore dell'agente SAP di Microsoft Sentinel per SAP

Questa procedura è supportata solo se l'agente del connettore dati è stato distribuito dalla riga di comando. Se l'agente è stato distribuito tramite il portale, continuare a gestire e modificare le impostazioni di configurazione tramite il portale.

Se è stata distribuita tramite la riga di comando, seguire questa procedura:

1. Nella macchina virtuale aprire il file di configurazione : sapcon/[SID]/systemconfig.json

2. Aggiornare la configurazione, se necessario, e salvare il file. Per ulteriori informazioni, vedere il riferimento del file della soluzione Microsoft Sentinel per le applicazioni SAP.

La modifica diventa effettiva circa due minuti dopo il salvataggio del file. Non è necessario riavviare il contenitore Docker.

Reimpostare Il connettore dati di Microsoft Sentinel per SAP

I passaggi seguenti reimpostano il connettore e ripristinano i log SAP degli ultimi 30 minuti.

1. Arrestare il connettore. Terza fase

   docker stop sapcon-[SID]
   

2. Eliminare il file metadata.db dalla directory /opt/sapcon/[SID]. Terza fase

   cd /opt/sapcon/<SID>
   rm metadata.db
   

   Nota

   Il file metadata.db contiene l'ultimo timestamp per ognuno dei log e funziona per evitare la duplicazione.

3. Riavviare il connettore. Terza fase

   docker start sapcon-[SID]
   

Al termine, assicurarsi di esaminare i log di sistema .

Problemi comuni

Dopo aver distribuito sia Microsoft Sentinel per il connettore dati SAP che il contenuto della sicurezza, potrebbero verificarsi gli errori o i problemi seguenti:

File SDK SAP danneggiato o mancante

Questo errore può verificarsi quando il connettore non si avvia con PyRfc o vengono visualizzati messaggi di errore correlati al file zip.

1. Reinstallare SAP SDK.
2. Verificare di essere la versione corretta di Linux a 64 bit, ad esempio nwrfc750P_8-70002752.zip.

Se il connettore dati è stato installato manualmente, assicurarsi di aver copiato il file SDK nel contenitore Docker.

Terza fase

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

Vengono visualizzati errori di runtime ABAP in un sistema di grandi dimensioni

Questa procedura è supportata solo se l'agente del connettore dati è stato distribuito dalla riga di comando.

Se si verificano errori di runtime ABAP in sistemi di grandi dimensioni, provare a impostare dimensioni del blocco inferiori:

1. Modificare il file /opt/sapcon/[SID]/systemconfig.json e nella sezione Configurazione connettore definire timechunk = 5.

   Ad esempio:

   [Connector Configuration]
   timechunk = 5
   

2. Salvare il file.

La modifica diventa effettiva circa due minuti dopo il salvataggio del file. Non è necessario riavviare il contenitore Docker.

Vuoto o nessun log di controllo recuperato, senza messaggi di errore speciali

1. Verificare che la registrazione di controllo sia abilitata in SAP.
2. Verificare le transazioni SM19 o RSAU_CONFIG .
3. Abilitare tutti gli eventi in base alle esigenze.
4. Verificare se i messaggi arrivano e sono presenti in SAP SM20 o RSAU_READ_LOG, senza errori speciali visualizzati nel log del connettore.

ID o chiave area di lavoro non corretta in Key Vault

Se ci si rende conto che è stato immesso un ID o una chiave dell'area di lavoro non corretti nello script di distribuzione, aggiornare le credenziali archiviate in Azure Key Vault.

Dopo aver verificato le credenziali in Azure Key Vault, riavviare il contenitore:

docker restart sapcon-[SID]

Credenziali utente ABAP SAP non corrette in Key Vault

Controllare le credenziali e correggerle in base alle esigenze, applicando i valori corretti ai valori ABAPUSER e ABAPPASS in Azure Key Vault.

Riavviare il contenitore:

docker restart sapcon-[SID]

Credenziali utente SAP ABAP non corrette in una configurazione fissa

Questa sezione è supportata solo se l'agente del connettore dati è stato distribuito dalla riga di comando.

Una configurazione fissa è quando la password viene archiviata direttamente nel file di configurazionesystemconfig.json.

Se le credenziali non sono corrette, verificare le credenziali.

Usare la crittografia Base64 per crittografare l'utente e la password. È possibile usare gli strumenti di crittografia online per crittografare le credenziali, ad esempio https://www.base64encode.org/.

Autorizzazioni ABAP (utente SAP) mancanti

Se viene visualizzato un messaggio di errore simile al seguente: ..Autorizzazione RFC Backend mancante.., le autorizzazioni e il ruolo SAP non sono stati applicati correttamente.

1. Assicurarsi che il ruolo MSFTSEN/SENTINEL_CONNECTOR sia stato importato come parte di un trasporto della richiesta di modifica e applicato all'utente del connettore.

2. Eseguire il processo di confronto utenti e generazione ruolo usando la transazione SAP PFCG.

Dati mancanti nelle cartelle di lavoro o negli avvisi

Se sono presenti dati mancanti nelle cartelle di lavoro o negli avvisi di Microsoft Sentinel, assicurarsi che il criterio Auditlog sia abilitato correttamente sul lato SAP, senza errori nel file di log del contenitore.

Usare la transazione RSAU_CONFIG_LOG per questo passaggio.

Per altre informazioni, vedere la documentazione di SAP e Raccogliere i log di controllo di SAP HANA in Microsoft Sentinel.

È consigliabile configurare il controllo per tutti i messaggi del log di controllo, anziché solo per i log specifici. Le differenze nei costi di inserimento sono in genere minime e i dati sono utili per i rilevamenti di Microsoft Sentinel e nelle indagini e nella ricerca successive alla compromissione. Per altre informazioni, vedere Configurare il controllo SAP.

Campi indirizzo IP address o codice transazione mancanti nel log di controllo SAP

Nei sistemi SAP con versioni per SAP BASIS 7.5 SP12 e versioni successive, Microsoft Sentinel può riflettere campi aggiuntivi nelle ABAPAuditLog_CL tabelle e SAPAuditLog .

Se si usano versioni di SAP BASIS successive alla 7.5 SP12 e nel log di controllo SAP mancano i campi indirizzo IP o codice transazione, verificare che il sistema SAP da cui si estraggono i dati contenga le richieste di modifica rilevanti (trasporti). Per altre informazioni, vedere Configurare il supporto per il recupero di dati aggiuntivo (scelta consigliata).

Richiesta di modifica SAP mancante

Se si verificano errori dovuti alla mancanza di una richiesta di modifica SAP necessaria, assicurarsi di aver importato la richiesta di modifica SAP corretta per il sistema. Per altre informazioni, vedere Prerequisiti SAP e Configurare il sistema SAP per la soluzione Microsoft Sentinel.

Nessun dato visualizzato nel log dei dati della tabella SAP

Nei sistemi SAP con versioni per SAP BASIS 7.5 SP12 e versioni successive, Microsoft Sentinel può riflettere le modifiche apportate al log dei dati delle tabelle nella ABAPTableDataLog_CL tabella.

Se nella tabella non vengono visualizzati ABAPTableDataLog_CL dati, verificare che il sistema SAP da cui si estraggono i dati contenga le richieste di modifica pertinenti (trasporti). Per altre informazioni, vedere Configurare il supporto per il recupero di dati aggiuntivo (scelta consigliata).

Nessun record/record in ritardo

L'agente di raccolta dati si attende che le informazioni sul fuso orario siano corrette. Se si nota che non ci sono record nei log di controllo e delle modifiche SAP o se i record sono costantemente in ritardo di parecchie ore, controllare se il report SAP TZCUSTHELP presenta errori. Per altre informazioni, vedere sap note 481835.

Potrebbero verificarsi anche problemi con l'orologio nella macchina virtuale dove è ospitato il contenitore dell'agente di raccolta dati; qualsiasi deviazione dall'UTC dell'orologio della macchina virtuale influisce sulla raccolta di dati. Ancora più importante, i clock dei computer di sistema SAP e dell'agente di raccolta dati devono corrispondere.

È consigliabile configurare il controllo per tutti i messaggi del log di controllo, anziché solo per i log specifici. Le differenze nei costi di inserimento sono in genere minime e i dati sono utili per i rilevamenti di Microsoft Sentinel e nelle indagini e nella ricerca successive alla compromissione. Per altre informazioni, vedere Configurare il controllo SAP.

Problemi relativi alla connettività di rete

Se si verificano problemi di connettività di rete all'ambiente SAP o a Microsoft Sentinel, controllare la connettività di rete per assicurarsi che i dati vengano trasmessi come previsto.

I problemi comuni includono:

• I firewall tra il contenitore Docker e gli host SAP potrebbero bloccare il traffico. L'host SAP riceve la comunicazione tramite le porte TCP seguenti, che devono essere aperte: 32xx, 5xx13 e 33xx, dove xx è il numero di istanza SAP.

• La comunicazione in uscita dall'host dell'agente SAP a Registro Contenitori Microsoft o Azure richiede la configurazione del proxy. Questo influisce in genere sull'installazione e richiede di configurare le HTTP_PROXY variabili di ambiente e HTTPS_PROXY . È anche possibile inserire variabili di ambiente nel contenitore Docker quando si crea il contenitore aggiungendo il -e flag al comando dockercreate / run.

Il recupero di un log di controllo restituisce avvisi

Questa sezione è supportata solo se l'agente del connettore dati è stato distribuito dalla riga di comando.

Se si tenta di recuperare un log di controllo senza le configurazioni necessarie e il processo ha esito negativo con avvisi, verificare che il log di controllo SAP possa essere recuperato usando uno dei metodi seguenti:

• Uso di una modalità di compatibilità denominata XAL nelle versioni precedenti
• Usare una versione a cui non sono state applicate patch di recente
• Senza modifiche apportate per la connessione all'agente del connettore dati di Microsoft Sentinel. Per altre informazioni, vedere Configurare il sistema SAP per la soluzione Microsoft Sentinel.

Anche se il sistema dovrebbe passare automaticamente alla modalità di compatibilità, se necessario, potrebbe essere necessario procedere manualmente. Per passare alla modalità di compatibilità manualmente:

1. Modificare il file /opt/sapcon/[SID]/systemconfig.json .

2. Nella sezione Configurazione connettore definire: auditlogforcexal = True

   Ad esempio:

   [Connector Configuration]
   auditlogforcexal = True
   

3. Salvare il file.

La modifica diventa effettiva circa due minuti dopo il salvataggio del file. Non è necessario riavviare il contenitore Docker.

I sottosistemi SAPCONTROL o JAVA non si connettono

Verificare che l'utente del sistema operativo sia valido e possa eseguire il comando seguente nel sistema SAP di destinazione:

sapcontrol -nr <SID> -function GetSystemInstanceList

Il sottosistema SAPCONTROL o JAVA restituisce un messaggio di errore correlato al fuso orario

Se il sottosistema SAPCONTROL o JAVA fallisce dando un messaggio di errore relativo al fuso orario, come: Controllare la configurazione e l'accesso di rete al server SAP - 'Etc/NZST', assicuratevi di utilizzare codici fuso orario standard.

Ad esempio, usare javatz = GMT+12 o abaptz = GMT-3**.

Dati del log di controllo non inseriti dopo il caricamento iniziale

Se i dati del log di controllo SAP, visibili nelle transazioni RSAU_READ_LOAD o SM200 , non vengono inseriti in Microsoft Sentinel dopo il caricamento iniziale, è possibile che si verifichino errori di configurazione del sistema SAP e del sistema operativo host SAP.

• I caricamenti iniziali vengono inseriti dopo una nuova installazione di Microsoft Sentinel per il connettore dati SAP o dopo l'eliminazione del file metadata.db .
• Un esempio di configurazione errata potrebbe essere quando il fuso orario del sistema SAP è impostato su CET nella transazione STZAC , ma il fuso orario del sistema operativo host SAP è impostato su UTC.

Per verificare la presenza di configurazioni errate, eseguire il report RSDBTIME nella transazione SE38. Se si rileva una mancata corrispondenza tra il sistema SAP e il sistema operativo host SAP:

1. Arrestare il contenitore Docker. Correre

   docker stop sapcon-[SID]
   

2. Eliminare il file metadata.db dalla directory /opt/sapcon/[SID]. Terza fase

   rm /opt/sapcon/[SID]/metadata.db
   

3. Aggiornare il sistema SAP e il sistema operativo host SAP in modo che dispongano di impostazioni corrispondenti, ad esempio lo stesso fuso orario. Per altre informazioni, vedere sap Community Wiki.

4. Avviare di nuovo il contenitore. Terza fase

   docker start sapcon-[SID]
   

Altri problemi imprevisti

Se si verificano problemi imprevisti non elencati in questo articolo, provare la procedura seguente:

• Reimpostare il connettore e ricaricare i log
• Aggiornare il connettore alla versione più recente.

• Connetti il tuo sistema SAP distribuendo il contenitore dell'agente connettore dei dati
• Raccogliere i log di controllo di SAP HANA

• Informazioni di riferimento sullo script Kickstart
• Informazioni di riferimento sullo script di aggiornamento
• Riferimento file della soluzione Microsoft Sentinel per le applicazioni SAP systemconfig.json