Compartilhar via

Solução de problemas de implantação dos aplicativos da Solução do Microsoft Sentinel para SAP

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Este artigo inclui etapas de solução de problemas para ajudar você a garantir a ingestão e o monitoramento precisos e oportunos de dados para seu ambiente SAP com o Microsoft Sentinel.

Ao trabalhar com o conector de dados sem agente, a maior parte da solução de problemas é feita diretamente no SAP Integration Suite, em que o log de mensagens exibe erros que indicam a natureza do problema encontrado.

Importante

O agente do conector de dados para SAP está sendo preterido e será desativado permanentemente até 30 de setembro de 2026. Recomendamos que você migre para o conector de dados sem agente. Saiba mais sobre a abordagem sem agente em nossa postagem no blog.

Comece examinando os logs de processamento de mensagens. Para obter mais informações, confira a Documentação da SAP. As mensagens de erro podem ajudá-lo a diagnosticar problemas com permissões ausentes, erros de conectividade e outras configurações incorretas.

Se você não encontrar um erro relacionado ao seu problema, ative o log de rastreamento para obter um diagnóstico mais aprofundado. Para obter mais informações, confira a Documentação da SAP.

Verificar os pré-requisitos

O pacote do conector de dados sem agente, implantado durante a execução da configuração inicial do conector, inclui uma ferramenta para ajudar os administradores do SAP a diagnosticar e corrigir problemas relacionados à configuração do ambiente SAP.

Para executar a ferramenta:

  1. Abra o pacote de integração, navegue até a guia de artefatos, e selecione o verificador de pré-requisitos iflow >Configure.

  2. Defina o nome de destino da RFC (chamada de função remota) para o sistema SAP que você deseja verificar. Por exemplo, A4H-100-Sentinel-RFC.

  3. Implante o iflow como faria de outra forma para seus sistemas SAP.

  4. Acione o iflow de qualquer cliente REST. Por exemplo, use o seguinte exemplo de script do PowerShell, modificando os valores de espaço reservado de exemplo para seu ambiente:

    $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
$credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
$serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
$serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)

$credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
$headers = @{
    "Authorization" = "Basic $credentials"
    "Content-Type"  = "application/json"
}
$authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
    -Method Post `
    -Headers $headers
$token = ($authResponse.Content | ConvertFrom-Json).access_token
$path = "/http/checkSAP"
$param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
$headers = @{
    "Authorization"      = "Bearer $token"
    "Content-Type"       = "application/json"
}
$response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
Write-Host $response.RawContent

Verifique se o verificador de pré-requisitos é executado com êxito (código de status 200) sem avisos na saída de resposta antes de se conectar ao Microsoft Sentinel.

Se houver descobertas, consulte os detalhes da resposta para obter diretrizes sobre as etapas de correção. Os sistemas SAP herdados geralmente exigem anotações adicionais do SAP. Além disso, consulte a seção de solução de problemas para problemas e resoluções comuns.

Funcionalidade ausente em sistemas SAP herdados

Alguns sistemas SAP herdados podem estar perdendo a funcionalidade necessária para o módulo de funções RFC_READ_TABLE . Verifique se o administrador do SAP revisou as notas do SAP 3390051 e 382318 e corrigiu o sistema adequadamente.

Para obter mais informações, consulte Definir as configurações do SAP Cloud Connector.

Erro "Implantar recursos necessários do Azure" ao configurar o conector de dados

Quando você configura o Microsoft Sentinel para SAP – conector de dados sem necessidade de uso de agente, na etapa 1 da configuração > inicial do conector: iniciar a implantação automática de recursos necessários do Azure /SoC Engineer, depois de selecionar Implantar os recursos necessários do Azure, você poderá ver o erro "Implantar recursos necessários do Azure" ou algo semelhante aos mencionados (os erros podem variar). Esse erro pode indicar que você está perdendo as permissões necessárias para o registro do aplicativo Entra ID.

Se você não tiver a função de Desenvolvedor de Aplicativos do Entra ID ou superior, precisará trabalhar com um colega que tenha essa permissão para concluir a configuração dos recursos do Azure. Para obter mais informações, siga o procedimento na etapa de conexão agente do conector de dados.

Ausente "Último endereço roteado"

Se você vir um erro no log de auditoria de segurança indicando que está faltando o último endereço roteado (um endereço IP), siga as orientações na nota SAP 3566290.

Dados mestres de usuário do SAP incompletos

Se você vir um erro indicando que seus dados mestres de usuário SAP estão incompletos ou que não há dados na tabela ABAPAuthorizationDetails do Microsoft Sentinel, execute as seguintes etapas:

  1. Confirme se o módulo de função SAP SIAG_ROLE_GET_AUTH existe no sistema de origem SAP.
  2. Siga as diretrizes na nota sap 3088309 para a solução relevante.

Código de status 500 na conexão do sistema SAP no Sentinel

Se você vir um erro com o código de status 500 durante o processo de conexão do Sentinel ao SAP Cloud Integration, entre em contato com seu colega da SAP monitorando o fluxo de integração "Coletor de Dados" no SAP Cloud Integration. Por natureza, os detalhes da mensagem de erro só estão disponíveis no Log de Processamento de Mensagens do SAP.

Tempos longos de processamento de mensagens ou anomalias de volume de mensagens na Integração de Nuvem do SAP

Se você vir picos repentinos em volumes de mensagens e tempos de processamento no SAP Cloud Integration, considere filtrar fontes responsáveis no lado do NetWeaver. Há duas opções disponíveis.

  1. Use a transação SM19 e as práticas recomendadas da SAP para aplicar configurações de filtro em usuários e classes de mensagem que estão causando o pico.
  2. Use os recursos de filtro do pacote Sentinel no SAP Cloud Integration para aplicar a filtragem na leitura de log. As linhas máximas do parâmetro são preenchidas previamente para proteger o fluxo de integração contra inundação de mensagens por padrão.

Observe que os filtros de log no NetWeaver afetam o que é gravado no log de auditoria na origem, enquanto um filtro no SAP Cloud Integration opta apenas por não ler as entradas problemáticas.

Os procedimentos de solução de problemas selecionados só são relevantes quando o agente do conector de dados for implantado por meio da linha de comando. Se você usou o procedimento recomendado para implantar o agente a partir do portal, use o portal para fazer alterações de configuração.

Comandos úteis do Docker

Ao solucionar problemas do conector de dados do Microsoft Sentinel para SAP, os seguintes comandos podem ser úteis:

Função Comando
Interromper o contêiner do Docker docker stop sapcon-[SID]
Iniciar o contêiner do Docker docker start sapcon-[SID]
Exibir os logs de sistema do Docker docker logs -f sapcon-[SID]
Inserir o contêiner do Docker docker exec -it sapcon-[SID] bash

Para obter mais informações, confira a documentação da CLI do Docker.

Examinar logs do sistema

É altamente recomendável que você examine os logs do sistema depois de instalar ou redefinir o conector de dados.

Execute:

docker logs -f sapcon-[SID]

Habilitar/desabilitar a impressão do modo de depuração

Este procedimento só terá suporte se você tiver implantado o agente do conector de dados na linha de comando.

  1. Na máquina virtual de contêiner do agente do coletor de dados, edite o arquivo /opt/sapcon/[SID]/systemconfig.json.

  2. Defina a seção Geral se ela não tiver sido definida anteriormente. Nessa seção, defina logging_debug = True para habilitar a impressão do modo de depuração ou logging_debug = False para desabilitá-la.

    Por exemplo:

    [General]
logging_debug = True

  3. Salve o arquivo.

A alteração entra em vigor dois minutos depois que você salva o arquivo. Você não precisa reiniciar o contêiner do Docker.

Exibir todos os logs de execução de contêiner

Os logs de execução do conector para a implantação do conector de dados dos aplicativos da Solução do Microsoft Sentinel para SAP são armazenados em sua máquina virtual em /opt/sapcon/[SID]/log/. O nome do arquivo de log é OmniLog.log. Um histórico de arquivos de log é mantido com o sufixo .[número], tais como OmniLog.log.1, OmniLog.log.2 etc.

Revisar e atualizar a configuração do conector de dados do Microsoft Sentinel para SAP

Este procedimento só terá suporte se você tiver implantado o agente do conector de dados na linha de comando. Se você tiver implantado o agente por meio do portal, continue a manter e alterar as configurações por meio do portal.

Se você implantou por meio da linha de comando, execute as seguintes etapas:

  1. Na VM, abra o arquivo de configuração: sapcon/[SID]/systemconfig.json

  2. Atualize a configuração, se necessário, e salve o arquivo. Para obter mais informações, consulte a Referência do arquivo de systemconfig.jsonAplicativos da Solução do Microsoft Sentinel para SAP.

A alteração entra em vigor dois minutos depois que você salva o arquivo. Você não precisa reiniciar o contêiner do Docker.

Redefinir o conector de dados do Microsoft Sentinel para SAP

As etapas a seguir redefinem o conector e ingerem novamente os logs do SAP dos últimos 30 minutos.

  1. Pare o conector. Execute:

    docker stop sapcon-[SID]

  2. Exclua o arquivo metadata.db do diretório /opt/sapcon/[SID]. Execute:

    cd /opt/sapcon/<SID>
rm metadata.db

    Observação

    O arquivo metadata.db contém o carimbo de data/hora mais recente de cada log e tem a função de evitar duplicações.

  3. Inicie o conector novamente. Execute:

    docker start sapcon-[SID]

Lembre-se de Examinar os logs do sistema quando terminar.

Problemas comuns

Depois de implantar o conector de dados do Microsoft Sentinel para SAP e o conteúdo de segurança, os seguintes erros ou problemas podem acontecer:

Arquivo do SDK do SAP ausente ou corrompido

Esse erro pode ocorrer quando o conector não inicializa com PyRfc ou quando mensagens de erro relacionadas ao zip são mostradas.

  1. Reinstale o SDK do SAP.
  2. Verifique se você tem versão correta do Linux de 64 bits, como nwrfc750P_8-70002752.zip.

Se você instalou o conector de dados manualmente, copie o arquivo do SDK no contêiner do Docker.

Execute:

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

Erros de runtime do ABAP aparecem em um sistema grande

Este procedimento só terá suporte se você tiver implantado o agente do conector de dados na linha de comando.

Se os erros de runtime do ABAP aparecerem em sistemas grandes, tente definir um tamanho de parte menor:

  1. Edite o arquivo /opt/sapcon/[SID]/systemconfig.ini e, na seção Configuração do Conector, defina timechunk = 5.

    Por exemplo:

    [Connector Configuration]
timechunk = 5

  2. Salve o arquivo.

A alteração entra em vigor dois minutos depois que você salva o arquivo. Você não precisa reiniciar o contêiner do Docker.

Observação

O tamanho do timechunk é definido em minutos.

Vazio ou nenhum log de auditoria recuperado, sem mensagens de erro especiais

  1. Verifique se o log de auditoria está habilitado no SAP.
  2. Verifique as transações SM19 ou RSAU_CONFIG.
  3. Habilite todos os eventos conforme necessário.
  4. Verifique se as mensagens chegam e existem no SAP SM20 ou RSAU_READ_LOG, sem erros especiais aparecendo no log do conector.

ID ou chave de workspace incorreta no cofre de chaves

Se você perceber que inseriu uma ID ou chave de workspace incorreta no script de implantação, atualize as credenciais armazenadas no Azure Key Vault.

Depois de verificar as credenciais no Azure KeyVault, reinicie o contêiner:

docker restart sapcon-[SID]

Credenciais de usuário do SAP ABAP incorretas no cofre de chaves

Verifique as credenciais e as corrija, conforme necessário, aplicando os valores corretos a ABAPUSER e ABAPPASS no Azure Key Vault.

Em seguida, reinicie o contêiner:

docker restart sapcon-[SID]

Credenciais de usuário do SAP ABAP incorretas em uma configuração fixa

Esta seção só terá suporte se você tiver implantado o agente do conector de dados na linha de comando.

Uma configuração corrigida é quando a senha é armazenada diretamente no arquivo de configuração systemconfig.ini.

Se as suas credenciais estiverem incorretas, verifique-as.

Use a criptografia de base 64 para criptografar o usuário e a senha. Você pode usar ferramentas de criptografia online para criptografar as credenciais, como https://www.base64encode.org/.

Permissões de ABAP (usuário SAP) ausentes

Se você obtiver uma mensagem de erro semelhante a: ...Autorização RFC de back-end ausente..., isso significa que as suas autorizações e a função SAP não foram aplicadas corretamente.

  1. Verifique se a função MSFTSEN/SENTINEL_CONNECTOR foi importada como parte de um transporte de solicitação de alteração e aplicada ao usuário do conector.

  2. Execute o processo de geração de função e comparação de usuários usando a transação SAP PFCG.

Dados ausentes em sua pasta de trabalho ou alertas

Se você achar que existem dados ausentes nos alertas e pastas de trabalho do Microsoft Sentinel, verifique se a política Auditlog está ativada corretamente no lado do SAP, sem erros no arquivo de log do contêiner.

Use a transação RSAU_CONFIG_LOG para essa etapa.

Para obter mais informações, consulte a documentação do SAP e Coletar logs de auditoria do SAP HANA no Microsoft Sentinel .

Recomendamos que você configure a auditoria para todas as mensagens do log de auditoria, em vez de apenas logs específicos. As diferenças no custo de ingestão são geralmente mínimas e os dados são úteis para detecções do Microsoft Sentinel e em investigações e buscas pós-comprometimento. Para obter mais informações, veja Configurar auditoria SAP.

Campos de endereço IP ou código de transação ausentes no registro de auditoria do SAP

Em sistemas SAP com versões para SAP BASIS 7.5 SP12 e superior, o Microsoft Sentinel pode refletir campos extras nas tabelas ABAPAuditLog_CL e SAPAuditLog.

Se estiver usando versões do SAP BASIS superiores a 7.5 SP12 e faltarem campos de endereço IP ou código de transação no log de auditoria do SAP, verifique se o sistema SAP do qual você está extraindo os dados contém as solicitações de alteração relevantes (transportes). Para obter mais informações, consulte Configurar o suporte para recuperação de dados extra (recomendado).

Solicitação de alteração do SAP ausente

Caso você receba erros dizendo que uma solicitação de alteração do SAP está ausente, importe a solicitação de alteração do SAP correta no sistema. Para obter mais informações, consulte Pré-requisitos do SAP e Configurar seu sistema SAP para a solução do Microsoft Sentinel.

Nenhum dado é exibido no registro de dados da tabela SAP

Em sistemas SAP com versões para SAP BASIS 7.5 SP12 e superiores, o Microsoft Sentinel pode refletir as alterações do registro de dados da tabela na tabela ABAPTableDataLog_CL.

Se nenhum dado estiver sendo exibido na tabela ABAPTableDataLog_CL, verifique se o sistema SAP do qual você está extraindo os dados contém as solicitações de alteração relevantes (transportes). Para obter mais informações, consulte Configurar o suporte para recuperação de dados extra (recomendado).

Nenhum registro/registros atrasados

O agente do coletor de dados depende de informações de fuso horário para estar correto. Se você vir que não há registros nos logs de auditoria e alteração do SAP ou se os registros estão constantemente algumas horas atrasados, verifique se o relatório TZCUSTHELP do SAP apresenta erros. Para saber mais, consulte a nota 481835 do SAP.

Também pode haver problemas com o relógio na máquina virtual em que o contêiner do agente do coletor de dados está hospedado e qualquer desvio do relógio na VM de UTC afeta a coleta de dados. Ainda mais importante, os relógios nos computadores do sistema SAP e nos computadores do agente do coletor de dados devem corresponder.

Recomendamos que você configure a auditoria para todas as mensagens do log de auditoria, em vez de apenas logs específicos. As diferenças no custo de ingestão são geralmente mínimas e os dados são úteis para detecções do Microsoft Sentinel e em investigações e buscas pós-comprometimento. Para obter mais informações, veja Configurar auditoria SAP.

Problemas de conectividade de rede

Se você estiver com problemas de conectividade de rede para acessar o ambiente SAP ou o Microsoft Sentinel, verifique a conectividade da rede para saber se dados estão fluindo conforme o esperado.

Entre os problemas comuns, há:

  • Firewalls entre o contêiner do docker e os hosts SAP podem estar bloqueando o tráfego. O host do SAP recebe comunicação por meio das portas TCP a seguir, que deverão estar abertas: 32xx, 5xx13 e 33xx, em que xx é o número da instância do SAP.

  • A comunicação de saída do host SAP para o Registro de Contêiner da Microsoft ou o Azure requer configuração de proxy. Normalmente, isso afeta a instalação e exige que você configure as variáveis de ambiente HTTP_PROXY e HTTPS_PROXY. Você também pode ingerir variáveis de ambiente no contêiner do docker ao criar o contêiner adicionando o sinalizador -e ao comando create / run do docker.

Falha na recuperação de um log de auditoria com avisos

Esta seção só terá suporte se você tiver implantado o agente do conector de dados na linha de comando.

Se você tentar recuperar um log de auditoria sem as configurações necessárias e o processo falhar com avisos, verifique se a Auditoria do SAP pode ser recuperada usando um dos seguintes métodos:

Embora o sistema deva alternar automaticamente para o modo de compatibilidade, se necessário, você pode precisar alterná-lo manualmente. Para alternar manualmente para o modo de compatibilidade:

  1. Edite o arquivo /opt/sapcon/[SID]/systemconfig.ini.

  2. Na seção Configuração do conector, defina: auditlogforcexal = True

    Por exemplo:

    [Connector Configuration]
auditlogforcexal = True

  3. Salve o arquivo.

A alteração entra em vigor dois minutos depois que você salva o arquivo. Você não precisa reiniciar o contêiner do Docker.

Subsistemas SAPCONTROL ou JAVA não conseguem se conectar

Verifique se o usuário do sistema operacional é válido e pode executar o seguinte comando no sistema SAP de destino:

sapcontrol -nr <SID> -function GetSystemInstanceList

Se o seu subsistema JAVA ou SAPCONTROL falhar com uma mensagem de erro relacionada ao fuso horário, como: Verifique a configuração e o acesso à rede para o servidor SAP - 'Etc/NZST', use os códigos de fuso horário padrão.

Por exemplo, use javatz = GMT+12 ou abaptz = GMT-3**.

Dados do log de auditoria não ingeridos após a carga inicial

Se os dados do log de auditoria do SAP, visíveis nas transações RSAU_READ_LOAD ou SM200, não forem ingeridos para o Microsoft Sentinel após a carga inicial, você poderá ter uma configuração inválida do sistema SAP e do sistema operacional de host do SAP.

  • As cargas iniciais são ingeridas após uma nova instalação do conector de dados do Microsoft Sentinel para SAP ou após a exclusão do arquivo metadata.db.
  • Uma configuração de exemplo pode ser quando o fuso horário do sistema SAP é definido como CET na transação STZAC, mas o fuso horário do sistema operacional de host do SAP é definido como UTC.

Para verificar se há configurações inválidas, execute o relatório RSDBTIME na transação SE38. Se você encontrar uma incompatibilidade entre o sistema SAP e o sistema operacional de host do SAP:

  1. Interrompa o contêiner do Docker. Executar

    docker stop sapcon-[SID]

  2. Exclua o arquivo metadata.db do diretório /opt/sapcon/[SID]. Execute:

    rm /opt/sapcon/[SID]/metadata.db

  3. Atualize o sistema SAP e o sistema operacional de host do SAP para ter as configurações correspondentes, como o mesmo fuso horário. Para obter mais informações, confira a Wiki da Comunidade SAP.

  4. Inicie o contêiner novamente. Execute:

    docker start sapcon-[SID]

Outros problemas inesperados

Se você tiver problemas inesperados não listados neste artigo, tente seguir as etapas abaixo:

Dica

Também recomendamos redefinir o conector e verificar se você tem as atualizações mais recentes após qualquer alteração de configuração importante.

Conteúdo relacionado

Saiba mais sobre os aplicativos da Solução do Microsoft Sentinel para SAP:

Arquivos de referência:

Para obter mais informações, confira Soluções do Microsoft Sentinel.

  • Last updated on