Partilhar via

Solução de problemas da implantação da solução Microsoft Sentinel para aplicativos SAP

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Este artigo inclui etapas de solução de problemas para ajudá-lo a garantir a ingestão e o monitoramento de dados precisos e oportunos para seu ambiente SAP com o Microsoft Sentinel.

Ao trabalhar com o conector de dados sem agente, a maioria da solução de problemas é feita diretamente no SAP Integration Suite, onde o log de mensagens exibe erros indicando a natureza do problema encontrado.

Importante

O agente de conector de dados para SAP está a ser descontinuado e será permanentemente desativado até 30 de setembro de 2026. Recomendamos que migre para o conector de dados sem agente. Saiba mais sobre a abordagem sem agente no nosso artigo.

Comece examinando os logs de processamento de mensagens. Para obter mais informações, consulte a documentação do SAP. As mensagens de erro podem ajudá-lo a diagnosticar problemas com permissões ausentes, erros de conectividade e outras configurações incorretas.

Se não vir um erro relacionado ao seu problema, ative o registo de rastreamento para obter uma resolução de problemas mais detalhada. Para obter mais informações, consulte a documentação do SAP.

Verificar pré-requisitos

O pacote de conector de dados sem agente, implantado durante a execução da configuração inicial do conector, inclui uma ferramenta para ajudar os administradores SAP a diagnosticar e corrigir problemas relacionados à configuração do ambiente SAP.

Para executar a ferramenta:

  1. Abra o pacote de integração, navegue até a guia artefatos e selecione o verificador de pré-requisitos iflow >Configure.

  2. Defina o nome de destino da chamada de função remota (RFC) para o sistema SAP que você deseja verificar. Por exemplo, A4H-100-Sentinel-RFC.

  3. Implante o iflow como faria para seus sistemas SAP.

  4. Acione o iflow de qualquer cliente REST. Por exemplo, use o seguinte script PowerShell de exemplo, modificando os valores de espaço reservado de exemplo para seu ambiente:

    $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
$credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
$serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
$serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)

$credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
$headers = @{
    "Authorization" = "Basic $credentials"
    "Content-Type"  = "application/json"
}
$authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
    -Method Post `
    -Headers $headers
$token = ($authResponse.Content | ConvertFrom-Json).access_token
$path = "/http/checkSAP"
$param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
$headers = @{
    "Authorization"      = "Bearer $token"
    "Content-Type"       = "application/json"
}
$response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
Write-Host $response.RawContent

Verifique se o verificador de pré-requisitos é executado com êxito (código de status 200) sem avisos na saída de resposta antes de se conectar ao Microsoft Sentinel.

Se houver alguma constatação, consulte os detalhes da resposta para obter orientações sobre as etapas de correção. Os sistemas SAP legados geralmente exigem notas SAP extras. Além disso, consulte a seção de solução de problemas para problemas e resoluções comuns.

Funcionalidade ausente em sistemas SAP herdados

Alguns sistemas SAP herdados podem estar faltando a funcionalidade necessária para o módulo de função RFC_READ_TABLE . Certifique-se de que o administrador do SAP analisou as notas SAP 3390051 e 382318 e corrigiu o sistema de acordo.

Para obter mais informações, consulte Configurar as configurações do SAP Cloud Connector.

Erro "Implantar recursos necessários do Azure" ao configurar o conector de dados

Quando você configura o Microsoft Sentinel for SAP - conector de dados sem agente, na configuração > inicial do conector Etapa 1: Acionar a implantação automática dos recursos necessários do Azure / SOC Engineer, depois de selecionar Implantar recursos necessários, você poderá ver o erro "Implantar recursos necessários do Azure" ou semelhante (os erros podem variar). Esse erro pode indicar que você está perdendo as permissões necessárias para o registro do aplicativo Entra ID.

Se você não tiver a função Entra ID Application Developer ou superior, precisará trabalhar com um colega que tenha essa permissão para concluir a configuração dos recursos do Azure. Para obter mais informações, siga o procedimento na etapa de conexão do agente do conector de dados .

Falta "Último endereço encaminhado"

Se vir um erro no log de auditoria de segurança indicando que está a faltar o último endereço roteado (um endereço de IP), siga a orientação na nota SAP 3566290.

Dados mestre de usuário SAP incompletos

Se você vir um erro informando que você tem dados mestre de usuário SAP incompletos ou nenhum dado na tabela ABAPAuthorizationDetails Microsoft Sentinel, faça o seguinte:

  1. Confirme se o módulo de função SAP SIAG_ROLE_GET_AUTH existe no sistema de origem SAP.
  2. Siga as orientações na nota SAP 3088309 para a solução relevante.

Código de status 500 na conexão do sistema SAP no Sentinel

Se você vir um erro com o código de status 500 durante o processo de conexão do Sentinel ao SAP Cloud Integration, entre em contato com seu colega SAP monitorando o fluxo de integração "Data Collector" no SAP Cloud Integration. Por natureza, os detalhes da mensagem de erro só estão disponíveis no log de processamento de mensagens do SAP.

Longos tempos de processamento de mensagens ou anomalias de volume de mensagens no SAP Cloud Integration

Se você observar picos repentinos no volume de mensagens e nos tempos de processamento no SAP Cloud Integration, considere filtrar fontes responsáveis no lado do NetWeaver. Há duas opções disponíveis.

  1. Use a transação SM19 e as práticas recomendadas do SAP para aplicar configurações de filtro em Usuários e classes de mensagem que causam o pico
  2. Use os recursos de filtro do pacote Sentinel no SAP Cloud Integration para aplicar filtragem na leitura de log. As linhas máximas do parâmetro são pré-preenchidas para proteger o fluxo de integração da inundação de mensagens por design.

Observe que os filtros de log no NetWeaver afetam o que é gravado no log de auditoria na origem, enquanto um filtro no SAP Cloud Integration opta apenas por não ler as entradas problemáticas.

Os procedimentos de solução de problemas selecionados só são relevantes quando o agente do conector de dados é implantado por meio da linha de comando. Se você usou o procedimento recomendado para implantar o agente a partir do portal, use o portal para fazer quaisquer alterações de configuração.

Comandos úteis do Docker

Ao solucionar problemas do conector de dados do Microsoft Sentinel for SAP, você pode achar úteis os seguintes comandos:

Função Comando
Pare o contêiner do Docker docker stop sapcon-[SID]
Iniciar o contêiner do Docker docker start sapcon-[SID]
Exibir logs do sistema Docker docker logs -f sapcon-[SID]
Insira o contêiner do Docker docker exec -it sapcon-[SID] bash

Para obter mais informações, consulte a documentação da CLI do Docker.

Revisar logs do sistema

É altamente recomendável que você revise os logs do sistema depois de instalar ou redefinir o conector de dados.

Executar:

docker logs -f sapcon-[SID]

Ativar/desativar a impressão no modo de depuração

Este procedimento apenas é suportado se tiver implementado o agente conector de dados a partir da linha de comandos.

  1. Na máquina virtual de contêiner do agente coletor de dados, edite o arquivo /opt/sapcon/[SID]/systemconfig.json .

  2. Defina a seção Geral se ela não tiver sido definida anteriormente. Nesta seção, defina logging_debug = True para habilitar a impressão no modo de depuração ou logging_debug = False para desativá-la.

    Por exemplo:

    [General]
logging_debug = True

  3. Guarde o ficheiro.

A alteração entra em vigor cerca de dois minutos depois de ter guardado o ficheiro. Não é necessário reiniciar o contentor do Docker.

Exibir todos os logs de execução de contêiner

Os logs de execução do conector para a implantação do conector de dados da solução Microsoft Sentinel para aplicativos SAP são armazenados na VM em /opt/sapcon/[SID]/log/. O nome do arquivo de log é OmniLog.log. Um histórico de arquivos de log é mantido, sufixo com .[ número] como OmniLog.log.1, OmniLog.log.2 e assim por diante.

Revise e atualize o arquivo de configuração do conector do agente Microsoft Sentinel for SAP

Este procedimento apenas é suportado se tiver implementado o agente conector de dados a partir da linha de comandos. Se você implantou seu agente por meio do portal, continue a manter e alterar as definições de configuração por meio do portal.

Se você implantou através da linha de comando, execute as seguintes etapas:

  1. Na VM, abra o arquivo de configuração: sapcon/[SID]/systemconfig.json

  2. Atualize a configuração, se necessário, e salve o arquivo. Para obter mais informações, consulte a referênciasystemconfig.jsonsolução Microsoft Sentinel para aplicativos SAP.

A alteração entra em vigor cerca de dois minutos depois de ter guardado o ficheiro. Não é necessário reiniciar o contentor do Docker.

Redefinir o conector de dados do Microsoft Sentinel for SAP

As etapas a seguir redefinem o conector e reiniciam os logs SAP dos últimos 30 minutos.

  1. Pare o conector. Executar:

    docker stop sapcon-[SID]

  2. Exclua o arquivo metadata.db do diretório /opt/sapcon/[SID ]. Executar:

    cd /opt/sapcon/<SID>
rm metadata.db

    Nota

    O arquivo metadata.db contém o último carimbo de data/hora para cada um dos logs e funciona para evitar duplicação.

  3. Inicie o conector novamente. Executar:

    docker start sapcon-[SID]

Certifique-se de revisar os logs do sistema quando terminar.

Problemas comuns

Depois de implantar o conector de dados e o conteúdo de segurança do Microsoft Sentinel for SAP, você pode enfrentar os seguintes erros ou problemas:

Ficheiro SDK do SAP danificado ou em falta

Este erro pode ocorrer quando o conector falha ao inicializar com PyRfc ou quando forem apresentadas mensagens de erro relacionadas com o zip.

  1. Reinstale o SDK do SAP.
  2. Verifique se você é a versão correta do Linux de 64 bits, como nwrfc750P_8-70002752.zip.

Se tiver instalado o conector de dados manualmente, certifique-se de que copiou o ficheiro SDK para o contentor do Docker.

Executar:

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

Erros de runtime do ABAP aparecem num sistema de grandes dimensões

Este procedimento apenas é suportado se tiver implementado o agente conector de dados a partir da linha de comandos.

Se aparecerem erros de runtime do ABAP em sistemas de grandes dimensões, tentar definir um tamanho do segmento menor:

  1. Edite o arquivo /opt/sapcon/[SID]/systemconfig.json e, na seção Configuração do conector, defina timechunk = 5.

    Por exemplo:

    [Connector Configuration]
timechunk = 5

  2. Guarde o ficheiro.

A alteração entra em vigor cerca de dois minutos depois de ter guardado o ficheiro. Não é necessário reiniciar o contentor do Docker.

Nota

O tamanho do timechunk é definido em minutos.

Log de auditoria vazio ou sem recuperação de nenhum log, sem mensagens de erro especiais

  1. Verifique se o log de auditoria está ativado no SAP.
  2. Verifique as transações SM19 ou RSAU_CONFIG .
  3. Habilite todos os eventos conforme necessário.
  4. Verifique se as mensagens chegam e existem no SAP SM20 ou RSAU_READ_LOG, sem erros especiais aparecendo no log do conector.

ID ou chave incorreta da área de trabalho no key vault

Se você perceber que inseriu uma ID ou chave de espaço de trabalho incorreta em seu script de implantação, atualize as credenciais armazenadas no Cofre de Chaves do Azure.

Depois de verificar as suas credenciais no Azure KeyVault, reinicie o contentor:

docker restart sapcon-[SID]

Credenciais de utilizador SAP do ABAP incorretas no key vault

Verifique as suas credenciais e corrija-as conforme necessário, aplicando os valores corretos aos valores ABAPUSER Verifique as suas credenciais e corrija-as conforme necessário, aplicando os valores corretos aos valores ABAPPASS no Azure Key Vault.

Em seguida, reinicie o contentor

docker restart sapcon-[SID]

Credenciais de usuário SAP ABAP incorretas em uma configuração fixa

Esta secção apenas é suportada se tiver implementado o agente conector de dados a partir da linha de comandos.

Uma configuração fixa é quando a senha é armazenada diretamente no arquivo de configuração systemconfig.json .

Se suas credenciais estiverem incorretas, verifique suas credenciais.

Use a criptografia base64 para criptografar o usuário e a senha. Você pode usar ferramentas de criptografia online para criptografar suas credenciais, como https://www.base64encode.org/.

Permissões do ABAP (utilizador SAP) em falta

Se receber uma mensagem de erro semelhante a: ..Autorização RFC do Backend em Falta.., as suas autorizações e funções do SAP não foram aplicadas corretamente.

  1. Certifique-se de que a função MSFTSEN/SENTINEL_CONNECTOR foi importada como parte de um pedido de alteração transporte, e aplicada ao utilizador do conector.

  2. Execute o processo de geração de funções e comparação de utilizadores utilizando a transação PFCG do SAP.

Dados em falta nos seus livros ou alertas

Se você achar que estão faltando dados em suas pastas de trabalho ou alertas do Microsoft Sentinel, verifique se a política Auditlog está habilitada corretamente no lado do SAP, sem erros no arquivo de log do contêiner.

Use a transação RSAU_CONFIG_LOG para esta etapa.

Para obter mais informações, consulte a documentação do SAP e Coletar logs de auditoria do SAP HANA no Microsoft Sentinel.

Recomendamos que você configure a auditoria para todas as mensagens do log de auditoria, em vez de apenas logs específicos. As diferenças de custo de ingestão são geralmente mínimas e os dados são úteis para as deteções do Microsoft Sentinel e em investigações e procura pós-compromisso. Para obter mais informações, consulte Configurar a auditoria do SAP.

Endereço IP ou campos de código de transação em falta no registo de auditoria do SAP

Em sistemas SAP com versões para SAP BASIS 7.5 SP12 e superiores, o Microsoft Sentinel pode refletir campos extras nas ABAPAuditLog_CL tabelas e SAPAuditLog .

Se estiver a utilizar versões do SAP BASIS superiores a 7.5 SP12 e não tiver campos de endereço IP ou código de transação no registo de auditoria do SAP, verifique se o sistema SAP do qual está a extrair os dados contém os pedidos de alteração (transportes) relevantes. Para obter mais informações, consulte Configurar suporte para a obtenção de dados adicionais (recomendado).

Solicitação de Alteração do SAP em Falta

Se vir erros a indicar a falta de um pedido de alteração do SAP obrigatório, certifique-se de que importou o pedido de alteração do SAP correto para o seu sistema. Para obter mais informações, consulte Pré-requisitos do SAP e Configurar o sistema SAP para a solução Microsoft Sentinel.

Nenhum dado é exibido no log de dados da tabela SAP

Em sistemas SAP com versões para SAP BASIS 7.5 SP12 e superiores, o Microsoft Sentinel pode refletir as alterações no log de dados da ABAPTableDataLog_CL tabela na tabela.

Se nenhum dado estiver sendo exibido na tabela, verifique se o ABAPTableDataLog_CL sistema SAP do qual você está extraindo os dados contém as solicitações de alteração (transportes) relevantes. Para obter mais informações, consulte Configurar suporte para a obtenção de dados adicionais (recomendado).

Não existem registos / registos tardios

O agente do coletor de dados depende da correção da informação sobre o fuso horário. Se não existirem registos nos registos de auditoria e de alterações do SAP, ou se os registos estiverem constantemente com algumas horas de atraso, verifique se o relatório SAP TZCUSTHELP apresenta algum erro. Para obter mais informações, consulte Nota do SAP 481835.

Também podem existir problemas no relógio da máquina virtual onde o contentor do agente do coletor de dados está alojado, e qualquer desvio do relógio da VM em relação ao UTC afeta a coleção de dados. Ainda mais importante, os relógios das máquinas do sistema SAP e das máquinas do agente do coletor de dados devem corresponder.

Recomendamos que você configure a auditoria para todas as mensagens do log de auditoria, em vez de apenas logs específicos. As diferenças de custo de ingestão são geralmente mínimas e os dados são úteis para as deteções do Microsoft Sentinel e em investigações e procura pós-compromisso. Para obter mais informações, consulte Configurar a auditoria do SAP.

Problemas de conectividade de rede

Se você estiver tendo problemas de conectividade de rede com o ambiente SAP ou com o Microsoft Sentinel, verifique a conectividade de rede para garantir que os dados estejam fluindo conforme o esperado.

Problemas comuns:

  • Firewalls entre o contêiner do docker e os hosts SAP podem estar bloqueando o tráfego. O host SAP recebe comunicação através das seguintes portas TCP, que devem estar abertas: 32xx, 5xx13 e 33xx, onde xx é o número da instância SAP.

  • A comunicação de saída do host do agente SAP para o Microsoft Container Registry ou o Azure requer configuração de proxy. Isso normalmente afeta a instalação e exige que você configure as HTTP_PROXY variáveis e HTTPS_PROXY ambientais. Você também pode ingerir variáveis de ambiente no contêiner do docker ao criar o contêiner, adicionando o sinalizador -e ao comando docker create / run .

A recuperação de um registo de auditoria falha com avisos

Esta secção apenas é suportada se tiver implementado o agente conector de dados a partir da linha de comandos.

Se você tentar recuperar um log de auditoria sem as configurações necessárias e o processo falhar com avisos, verifique se o SAP Auditlog pode ser recuperado usando um dos seguintes métodos:

  • Usando um modo de compatibilidade chamado XAL em versões mais antigas
  • Utilizar uma versão não corrigida recentemente
  • Sem quaisquer alterações realizadas para a ligação ao agente conector de dados do Microsoft Sentinel. Para obter mais informações, consulte Configurar o sistema SAP para a solução Microsoft Sentinel.

Embora o seu sistema deva mudar automaticamente para o modo de compatibilidade, se necessário, poderá ter de o fazer manualmente. Para mudar manualmente para o modo de compatibilidade:

  1. Edite o ficheiro /opt/sapcon/[SID]/systemconfig.json.

  2. Na seção Configuração do conector, defina:auditlogforcexal = True

    Por exemplo:

    [Connector Configuration]
auditlogforcexal = True

  3. Guarde o ficheiro.

A alteração entra em vigor cerca de dois minutos depois de ter guardado o ficheiro. Não é necessário reiniciar o contentor do Docker.

Os subsistemas SAPCONTROL ou JAVA não conseguem ligar

Verificar se o utilizador do SO é válido e se pode executar o seguinte comando no sistema SAP de destino:

sapcontrol -nr <SID> -function GetSystemInstanceList

Se o seu subsistema SAPCONTROL ou JAVA falhar com uma mensagem de erro relacionada com o fuso horário, como: Verifique a configuração e o acesso à rede para o servidor SAP - 'Etc/NZST', certifique-se de que está a utilizar códigos de fuso horário padrão.

Por exemplo, utilize javatz = GMT+12 ou abaptz = GMT-3**.

Dados de log de auditoria não ingeridos após a carga inicial

Se os dados do log de auditoria do SAP, visíveis nas transações RSAU_READ_LOAD ou SM200 , não forem ingeridos no Microsoft Sentinel após a carga inicial, você pode ter uma configuração incorreta do sistema SAP e do sistema operacional host SAP.

  • As cargas iniciais são ingeridas após uma nova instalação do conector de dados do Microsoft Sentinel for SAP ou após a exclusão do arquivo metadata.db .
  • Um exemplo de configuração incorreta pode ser quando o fuso horário do sistema SAP está definido como CET na transação STZAC, mas o fuso horário do sistema operacional host SAP está definido como UTC.

Para verificar se há configurações incorretas, execute o relatório RSDBTIME na transação SE38. Se você encontrar uma incompatibilidade entre o sistema SAP e o sistema operacional host SAP:

  1. Pare o contentor do Docker. Executar

    docker stop sapcon-[SID]

  2. Exclua o arquivo metadata.db do diretório /opt/sapcon/[SID ]. Executar:

    rm /opt/sapcon/[SID]/metadata.db

  3. Atualize o sistema SAP e o sistema operacional host SAP para que eles tenham configurações correspondentes, como o mesmo fuso horário. Para obter mais informações, consulte o SAP Community Wiki.

  4. Inicie o recipiente novamente. Executar:

    docker start sapcon-[SID]

Outros problemas inesperados

Se você tiver problemas inesperados não listados neste artigo, tente as seguintes etapas:

Gorjeta

Redefinir o conector e garantir que você tenha as atualizações mais recentes também são recomendados após quaisquer alterações importantes na configuração.

Conteúdos relacionados

Saiba mais sobre a solução Microsoft Sentinel para aplicativos SAP:

Ficheiros de referência:

Para obter mais informações, consulte Soluções do Microsoft Sentinel.

  • Last updated on