Risoluzione dei problemi nella distribuzione applicazioni della Soluzione Microsoft Sentinel per SAP

Quando si usa il connettore dati senza agente, la maggior parte della risoluzione dei problemi viene eseguita direttamente in SAP Integration Suite, in cui il log dei messaggi visualizza gli errori che indicano la natura del problema riscontrato.

Per iniziare, esaminare i log di elaborazione dei messaggi. Per altre informazioni, vedere la documentazione di SAP. I messaggi di errore consentono di diagnosticare i problemi relativi a autorizzazioni mancanti, errori di connettività e altre configurazioni non corrette.

Se non viene visualizzato un errore correlato al problema, attivare la registrazione della traccia per una risoluzione dei problemi più approfondita. Per altre informazioni, vedere la documentazione di SAP.

Verificare la presenza di prerequisiti

Il pacchetto del connettore dati senza agente, distribuito durante l'esecuzione della configurazione iniziale del connettore, include uno strumento che consente agli amministratori SAP di diagnosticare e risolvere i problemi relativi alla configurazione dell'ambiente SAP.

Per eseguire lo strumento:

1. Aprire il pacchetto di integrazione, passare alla scheda artefatti e selezionare l'opzione Controllo prerequisiti iflow >Configura.

2. Impostare il nome di destinazione per la chiamata di funzione remota (RFC) al sistema SAP da controllare. Ad esempio: A4H-100-Sentinel-RFC.

3. Distribuire l'iflow come altrimenti si farebbe per i sistemi SAP.

4. Attivare l'iflow da qualsiasi client REST. Ad esempio, usare lo script di PowerShell dell'esempio seguente, modificando i valori segnaposto di esempio per l'ambiente:

   $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
   $credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
   $serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
   $serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)
   
   $credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
   $headers = @{
       "Authorization" = "Basic $credentials"
       "Content-Type"  = "application/json"
   }
   $authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
       -Method Post `
       -Headers $headers
   $token = ($authResponse.Content | ConvertFrom-Json).access_token
   $path = "/http/checkSAP"
   $param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
   $headers = @{
       "Authorization"      = "Bearer $token"
       "Content-Type"       = "application/json"
   }
   $response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
   Write-Host $response.RawContent
   

Assicurarsi che il controllo dei prerequisiti venga eseguito correttamente (codice di stato 200) senza avvisi nell'output della risposta prima di connettersi a Microsoft Sentinel.

In caso di risultati, consultare i dettagli della risposta per indicazioni sui passaggi di correzione. I sistemi SAP legacy spesso richiedono note SAP aggiuntive. Vedere inoltre la sezione relativa alla risoluzione dei problemi comuni e alle soluzioni.

Funzionalità mancanti nei sistemi SAP legacy

Alcuni sistemi SAP legacy potrebbero non avere funzionalità necessarie per il modulo funzione RFC_READ_TABLE . Assicurarsi che l'amministratore SAP abbia esaminato le note SAP 3390051 e 382318 e che sia stata applicata l'applicazione di patch al sistema di conseguenza.

Per altre informazioni, vedere Configurare le impostazioni di SAP Cloud Connector.

Errore "Deploy required azure resources" (Distribuisci risorse di Azure necessarie) durante la configurazione del connettore dati

Quando si configura Il connettore dati senza agente di Microsoft Sentinel per SAP, nel passaggio 1 di configurazione > iniziale del connettore: attivare la distribuzione automatica delle risorse di Azure necessarie/SoC Engineer dopo aver selezionato Distribuisci le risorse necessarie, è possibile che venga visualizzato l'errore "Deploy required Azure resources" (Distribuisci risorse di Azure necessarie) o simili (gli errori possono variare). Questo errore potrebbe indicare che mancano le autorizzazioni necessarie per la registrazione dell'app Entra ID.

Se non si ha il ruolo Sviluppatore applicazione Entra ID o versione successiva, è necessario collaborare con un collega che dispone di questa autorizzazione per completare la configurazione delle risorse di Azure. Per altre informazioni, seguire la procedura descritta nel passaggio di connessione dell'agente del connettore dati .

"Ultimo indirizzo inoltrato" mancante"

Se si visualizza un errore nel log di audit del controllo di sicurezza che segnala la mancanza dell'ultimo indirizzo inoltrato (un indirizzo IP), seguire le indicazioni riportate nella nota SAP 3566290.

Dati master utente SAP incompleti

Se viene visualizzato un errore che indica che sono presenti dati master utente SAP incompleti o che non sono presenti dati nella tabella ABAPAuthorizationDetails di Microsoft Sentinel, eseguire le operazioni seguenti:

1. Verificare che il modulo di funzione SAP SIAG_ROLE_GET_AUTH esista nel sistema di origine SAP.
2. Seguire le indicazioni riportate nella nota SAP 3088309 per la soluzione pertinente.

Codice di stato 500 nella connessione del sistema SAP in Sentinel

Se viene visualizzato un errore con codice di stato 500 durante il processo di connessione da Sentinel a SAP Cloud Integration, contattare il collega SAP monitorando il flusso di integrazione "Data Collector" in SAP Cloud Integration. Per natura, i dettagli del messaggio di errore sono disponibili solo nel log di elaborazione messaggi di SAP.

Tempi lunghi di elaborazione dei messaggi o anomalie del volume di messaggi in SAP Cloud Integration

Se vengono visualizzati picchi improvvisi nei volumi di messaggi e nei tempi di elaborazione in SAP Cloud Integration, è consigliabile filtrare le origini responsabili sul lato NetWeaver. Sono disponibili due opzioni.

1. Usare le procedure consigliate per le transazioni SM19 e SAP per applicare le impostazioni di filtro per utenti e classi di messaggi che causano il picco
2. Usare le funzionalità di filtro del pacchetto Sentinel in SAP Cloud Integration per applicare filtri alla lettura del log. Il parametro max-rows è precompilato per proteggere il flusso di integrazione dall'inondazione dei messaggi in base alla progettazione.

Si noti che i filtri di log in NetWeaver influenzano ciò che viene scritto nel log di controllo della sorgente, mentre un filtro su SAP Cloud Integration sceglie solo di non leggere le voci problematiche.

Le procedure di risoluzione dei problemi selezionate sono rilevanti solo quando l'agente del connettore dati viene distribuito tramite la riga di comando. Se è stata usata la procedura consigliata per distribuire l'agente dal portale, usare il portale per apportare modifiche alla configurazione.

Comandi Docker utili

Nella risoluzione dei problemi del connettore dati di Microsoft Sentinel per SAP, potrebbero risultare utili i comandi seguenti:

Funzione	Comando
Arrestare il contenitore Docker	docker stop sapcon-[SID]
Avviare il contenitore Docker	docker start sapcon-[SID]
Visualizzare i log di sistema Docker	docker logs -f sapcon-[SID]
Immettere il contenitore Docker	docker exec -it sapcon-[SID] bash

Per altre informazioni, vedere la documentazione dell'interfaccia della riga di comando di Docker.

Rivedere i registri di sistema

È consigliabile esaminare i log di sistema dopo l'installazione o la reimpostazione del connettore dati.

Eseguire:

docker logs -f sapcon-[SID]

Abilitare/disabilitare la stampa in modalità di debug

Questa procedura è supportata solo se l'agente del connettore dati è stato distribuito dalla riga di comando.

1. Nella macchina virtuale del contenitore agente di raccolta dati, modifica il file /opt/sapcon/[SID]/systemconfig.json.

2. Definire la sezione Generale se non è stata definita in precedenza. In questa sezione definire logging_debug = True per abilitare la stampa in modalità di debug o logging_debug = False per disabilitarla.

   Ad esempio:

   [General]
   logging_debug = True
   

3. Salvare il file.

La modifica diventa effettiva circa due minuti dopo il salvataggio del file. Non è necessario riavviare il contenitore Docker.

Visualizzare tutti i log di esecuzione del contenitore

I log di esecuzione del connettore per la soluzione Microsoft Sentinel per la distribuzione del connettore dati delle applicazioni SAP vengono archiviati nella macchina virtuale in /opt/sapcon/[SID]/log/. Il nome file di log è OmniLog.log. Viene mantenuta una cronologia dei file di log, con suffisso con .[ numero] ad esempio OmniLog.log.1, OmniLog.log.2 e così via.

Rivedere e aggiornare il file di configurazione del connettore dell'agente di Microsoft Sentinel per SAP

Questa procedura è supportata solo se l'agente del connettore dati è stato distribuito dalla riga di comando. Se l'agente è stato distribuito tramite il portale, continuare a gestire e modificare le impostazioni di configurazione tramite il portale.

Se è stata distribuita tramite la riga di comando, seguire i passi seguenti:

1. Nella macchina virtuale aprire il file di configurazione : sapcon/[SID]/systemconfig.json

2. Aggiornare la configurazione, se necessario, e salvare il file. Per altre informazioni, vedere Riferimento file della Soluzione Microsoft Sentinel per SAP*systemconfig.json.

La modifica diventa effettiva circa due minuti dopo il salvataggio del file. Non è necessario riavviare il contenitore Docker.

Reimpostare Il connettore dati di Microsoft Sentinel per SAP

I passi seguenti reimpostano il connettore e reinseriscono i log SAP degli ultimi 30 minuti.

1. Arrestare il connettore. Eseguire:

   docker stop sapcon-[SID]
   

2. Eliminare il file metadata.db dalla directory /opt/sapcon/[SID]. Eseguire:

   cd /opt/sapcon/<SID>
   rm metadata.db
   

   Note

   Il file metadata.db contiene l'ultimo timestamp per ognuno dei log e funziona per evitare la duplicazione.

3. Riavviare il connettore. Eseguire:

   docker start sapcon-[SID]
   

Al termine, assicurarsi di esaminare i log di sistema .

Problemi comuni

Dopo aver distribuito sia Microsoft Sentinel per il connettore dati SAP che il contenuto della sicurezza, potrebbero verificarsi gli errori o i problemi seguenti:

File SDK SAP danneggiato o mancante

Questo errore potrebbe verificarsi quando il connettore non si avvia con PyRfc o vengono visualizzati messaggi di errore correlati al file zip.

1. Reinstallare SDK SAP.
2. Verificare di essere la versione corretta di Linux a 64 bit, ad esempio nwrfc750P_8-70002752.zip.

Se il connettore dati è stato installato manualmente, assicurarsi di aver copiato il file SDK nel contenitore Docker.

Eseguire:

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

Gli errori di runtime ABAP vengono visualizzati in un sistema di grandi dimensioni

Questa procedura è supportata solo se l'agente del connettore dati è stato distribuito dalla riga di comando.

Se gli errori di runtime ABAP vengono visualizzati in sistemi di grandi dimensioni, provare a impostare dimensioni di blocco inferiori:

1. Modificare il file /opt/sapcon/[SID]/systemconfig.json e nella sezione Configurazione connettore definire timechunk = 5.

   Ad esempio:

   [Connector Configuration]
   timechunk = 5
   

2. Salvare il file.

La modifica diventa effettiva circa due minuti dopo il salvataggio del file. Non è necessario riavviare il contenitore Docker.

Log di controllo vuoto o non recuperato, senza messaggi di errore speciali

1. Verificare che la registrazione di controllo sia abilitata in SAP.
2. Verificare le transazioni SM19 o RSAU_CONFIG .
3. Abilitare tutti gli eventi in base alle esigenze.
4. Verificare se i messaggi arrivano e sono presenti in SAP SM20 o RSAU_READ_LOG, senza errori speciali visualizzati nel log del connettore.

ID o chiave area di lavoro non corretta nell'insieme di credenziali delle chiavi

Se ci si rende conto che è stato immesso un ID o una chiave dell'area di lavoro non corretti nello script di distribuzione, aggiornare le credenziali archiviate in Azure Key Vault.

Dopo aver verificato le credenziali in Azure KeyVault, riavviare il contenitore:

docker restart sapcon-[SID]

Credenziali utente ABAP SAP non corrette nell'insieme di credenziali delle chiavi

Controllare le credenziali e correggerle in base alle esigenze, applicando i valori corretti ai valori ABAPUSER e ABAPPASS in Azure Key Vault.

Riavviare quindi il contenitore:

docker restart sapcon-[SID]

Credenziali utente ABAP SAP non corrette in una configurazione fissa

Questa sezione è supportata solo se l'agente del connettore dati è stato distribuito dalla riga di comando.

Una configurazione fissa è quando la password viene archiviata direttamente nel file di configurazionesystemconfig.json.

Se le credenziali non sono corrette, verificarle.

Usare la crittografia base64 per crittografare l'utente e la password. È possibile usare gli strumenti di crittografia online per crittografare le credenziali, ad esempio https://www.base64encode.org/.

Autorizzazioni ABAP (utente SAP) mancanti

Se viene visualizzato un messaggio di errore simile al seguente: ..Autorizzazione RFC Backend mancante.., le autorizzazioni e il ruolo SAP non sono stati applicati correttamente.

1. Assicurarsi che il ruolo MSFTSEN/SENTINEL_CONNECTOR sia stato importato come parte di un trasporto della richiesta di modifica e applicato all'utente del connettore.

2. Eseguire il processo di generazione del ruolo e confronto degli utenti usando la transazione PFCG SAP.

Dati mancanti nelle cartelle di lavoro o negli avvisi

Se sono presenti dati mancanti nelle cartelle di lavoro o negli avvisi di Microsoft Sentinel, assicurarsi che il criterio Auditlog sia abilitato correttamente sul lato SAP, senza errori nel file di log del contenitore.

Usare la transazione RSAU_CONFIG_LOG per questo passaggio.

Per altre informazioni, vedere la documentazione di SAP e Raccogliere i log di controllo di SAP HANA in Microsoft Sentinel.

È consigliabile configurare il controllo per tutti i messaggi del log di controllo, anziché solo per i log specifici. Le differenze nei costi di inserimento sono in genere minime e i dati sono utili per i rilevamenti di Microsoft Sentinel e nelle indagini e nella ricerca successive alla compromissione. Per altre informazioni, vedere Configurare il controllo SAP.

Campi indirizzo IP o codice della transazione mancanti nel log di controllo SAP

Nei sistemi SAP* con versioni per SAP BASIS 7.5 SP12 e versioni successive, Microsoft Sentinel può effettuare la reflection di campi aggiuntivi nelle tabelle ABAPAuditLog_CL e SAPAuditLog.

Se si usano versioni BASIS SAP successive alla 7.5 SP12 e nel log di controllo SAP mancano i campi indirizzo IP o codice transazione, verificare che il sistema SAP da cui si estraggono i dati contenga le richieste di modifica pertinenti (trasporti). Per altre informazioni, vedere Configurare il supporto per il recupero di dati aggiuntivo (scelta consigliata).

Richiesta di modifica SAP mancante

Se vengono visualizzati errori che indicano l'assenza di una richiesta di modifica SAP necessaria, assicurarsi di aver importato la richiesta di modifica SAP corretta per il sistema. Per altre informazioni, vedere Prerequisiti SAP e Configurare il sistema SAP per la soluzione Microsoft Sentinel.

Nessun dato visualizzato nel log dati della tabella SAP

Nei sistemi SAP con versioni per SAP BASIS 7.5 SP12 e versioni successive, Microsoft Sentinel può effettuare la reflection delle modifiche apportate al log dei dati delle tabelle nella tabella ABAPTableDataLog_CL.

Se nella tabella ABAPTableDataLog_CL non vengono visualizzati dati, verificare che il sistema SAP da cui si estraggono i dati contenga le richieste di modifica pertinenti (trasporti). Per altre informazioni, vedere Configurare il supporto per il recupero di dati aggiuntivo (scelta consigliata).

Nessun record/record in ritardo

L'agente di raccolta dati dipende dalla correttezza delle informazioni sul fuso orario. Se si nota che non ci sono record nei log di controllo e delle modifiche SAP o se i record sono costantemente in ritardo di parecchie ore, controllare se il report SAP TZCUSTHELP presenta errori. Per altre informazioni, vedere sap note 481835.

Potrebbero verificarsi anche problemi con il clock della macchina virtuale dove è ospitato il contenitore dell'agente di raccolta dati; qualsiasi deviazione dall'UTC del clock della macchina virtuale influisce sulla raccolta di dati. Ancora più importante, i clock dei computer di sistema SAP e dell'agente di raccolta dati devono corrispondere.

È consigliabile configurare il controllo per tutti i messaggi del log di controllo, anziché solo per i log specifici. Le differenze nei costi di inserimento sono in genere minime e i dati sono utili per i rilevamenti di Microsoft Sentinel e nelle indagini e nella ricerca successive alla compromissione. Per altre informazioni, vedere Configurare il controllo SAP.

Problemi di connettività di rete

Se si verificano problemi di connettività di rete all'ambiente SAP o a Microsoft Sentinel, controllare la connettività di rete per assicurare che i dati vengano trasmessi come previsto.

I problemi comuni includono:

• I firewall tra il contenitore Docker e gli host SAP potrebbero bloccare il traffico. L'host SAP riceve la comunicazione tramite le porte TCP seguenti, che devono essere aperte: 32xx, 5xx13 e 33xx, dove xx è il numero di istanza SAP.

• La comunicazione in uscita dall'host dell'agente SAP al Registro Contenitori Microsoft o Azure richiede la configurazione del proxy. Questo influisce in genere sull'installazione e richiede di configurare le variabili di ambiente HTTP_PROXY e HTTPS_PROXY. È anche possibile inserire variabili di ambiente nel contenitore Docker quando si crea il contenitore, aggiungendo il flag -e al comando Docker create / run.

Recupero di un log di controllo non riuscito con avvisi

Questa sezione è supportata solo se l'agente del connettore dati è stato distribuito dalla riga di comando.

Se si tenta di recuperare un log di controllo senza le configurazioni necessarie e il processo ha esito negativo con avvisi, verificare che il log di controllo SAP possa essere recuperato usando uno dei metodi seguenti:

• Uso di una modalità di compatibilità denominata XAL nelle versioni precedenti
• Uso di una versione non aggiornata di recente
• Senza le modifiche apportate per la connessione all'agente del connettore dati di Microsoft Sentinel. Per altre informazioni, vedere Configurare il sistema SAP per la soluzione Microsoft Sentinel.

Anche se il sistema dovrebbe passare automaticamente alla modalità di compatibilità, se necessario, potrebbe essere necessario procedere manualmente. Per passare manualmente alla modalità di compatibilità:

1. Modificare il file /opt/sapcon/[SID]/systemconfig.json .

2. Nella sezione Configurazione connettore definire: auditlogforcexal = True

   Ad esempio:

   [Connector Configuration]
   auditlogforcexal = True
   

3. Salvare il file.

La modifica diventa effettiva circa due minuti dopo il salvataggio del file. Non è necessario riavviare il contenitore Docker.

Sottosistemi SAPCONTROL o JAVA non in grado di connettersi

Verificare che l'utente del sistema operativo sia valido e possa eseguire il comando seguente nel sistema SAP di destinazione:

sapcontrol -nr <SID> -function GetSystemInstanceList

Il sottosistema SAPCONTROL o JAVA ha esito negativo con messaggio di errore correlato al fuso orario

Se il sottosistema SAPCONTROL o JAVA fallisce dando un messaggio di errore relativo al fuso orario, come: Controllare la configurazione e l'accesso di rete al server SAP - 'Etc/NZST', assicuratevi di utilizzare codici fuso orario standard.

Ad esempio, usare javatz = GMT+12 o abaptz = GMT-3**.

Dati del log di controllo non inseriti dopo il caricamento iniziale

Se i dati del log di controllo SAP, visibili nelle transazioni RSAU_READ_LOAD o SM200 , non vengono inseriti in Microsoft Sentinel dopo il caricamento iniziale, è possibile che si verifichino errori di configurazione del sistema SAP e del sistema operativo host SAP.

• I caricamenti iniziali vengono inseriti dopo una nuova installazione di Microsoft Sentinel per il connettore dati SAP o dopo l'eliminazione del file metadata.db .
• Un esempio di configurazione errata potrebbe essere quando il fuso orario del sistema SAP è impostato su CET nella transazione STZAC , ma il fuso orario del sistema operativo host SAP è impostato su UTC.

Per verificare la presenza di configurazioni errate, eseguire il report RSDBTIME nella transazione SE38. Se si rileva una mancata corrispondenza tra il sistema SAP e il sistema operativo host SAP:

1. Arrestare il contenitore Docker. Correre

   docker stop sapcon-[SID]
   

2. Eliminare il file metadata.db dalla directory /opt/sapcon/[SID]. Eseguire:

   rm /opt/sapcon/[SID]/metadata.db
   

3. Aggiornare il sistema SAP e il sistema operativo host SAP in modo che dispongano di impostazioni corrispondenti, ad esempio lo stesso fuso orario. Per altre informazioni, vedere sap Community Wiki.

4. Avviare di nuovo il contenitore. Eseguire:

   docker start sapcon-[SID]
   

Altri problemi imprevisti

Se si verificano problemi imprevisti non elencati in questo articolo, provare i passi seguenti:

• Reimpostare il connettore e ricaricare i log
• Aggiornare il connettore alla versione più recente.

• Connetti il tuo sistema SAP distribuendo il contenitore dell'agente connettore dei dati
• Raccogliere i log di controllo di SAP HANA

• Informazioni di riferimento sullo script Kickstart
• Informazioni di riferimento sullo script di aggiornamento
• Riferimento file della soluzione Microsoft Sentinel per le applicazioni SAP systemconfig.json