この記事では、SAP アプリケーションとそのデータ コネクタのMicrosoft Sentinel ソリューションの一部として使用できるログとテーブルについて説明します。
この記事で説明されている一部のログは、既定ではMicrosoft Sentinelに送信されませんが、必要に応じて手動で追加できます。 詳細については、「Microsoft Sentinelに送信される SAP ログを定義する」を参照してください。
この記事のコンテンツは、 SAP BASIS チームを対象としています。
重要
現在、機能はプレビュー段階 です。 Azureプレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される追加の法的条件が含まれています。
基になるログやテーブルの代わりにクエリで関数を使用する
使用可能な関数は、基になるログやテーブルではなく、可能な限り分析の対象として使用することを 強くお勧めします 。
SAP アプリケーション用のMicrosoft Sentinel ソリューションで提供される関数は、データのプリンシパル ユーザー インターフェイスとして機能することを目的としています。 これらは、すぐに使用できるすべての組み込みの分析ルールとブックの基礎を形成します。 関数を使用すると、ユーザーが作成したコンテンツを中断することなく、関数の下のデータ インフラストラクチャに変更を加えることができます。
詳細については、「Microsoft Sentinelソリューションの SAP アプリケーション - 関数リファレンス」および「ログ クエリの監視Azure関数」を参照してください。
ログ カバレッジ
SAP アプリケーションのMicrosoft Sentinel ソリューションは、アプリケーション、OS、およびデータ層からログを収集し、SAP システムに包括的な保護を提供します。
アプリケーション層: Microsoft Sentinelは、SAP システムの主要なアプリケーション層である ABAP レイヤー内のアクティビティを監視し、ビジネス ロジックの実行とトランザクションの処理を担当します。 たとえば、Microsoft Sentinelは、サインイン、パスワードの変更、レポートやファイルへのアクセスなどのユーザー アクションを含むログを収集します。
セキュリティ監視に加えて、アプリケーション層で収集されたログは、コンプライアンスと監査の目的でも使用できます。
OS レイヤー: Microsoft Sentinelは、オペレーティング システムからログを収集して、ABAP サーバーや SAP アプリケーションが実行されている仮想マシンなど、OS レベルのアクティビティに関する分析情報を提供します。
SAP アプリケーション用のMicrosoft Sentinel ソリューションを、他のサービスのセキュリティ コンテンツとデータ コネクタと共に使用して、包括的かつ一元的な監視を行い、すべてのシステム間で情報を関連付け、全体的なセキュリティ体制を強化します。
データベース レイヤー: データベース管理アクティビティやテーブル データの変更など、データベース アクティビティを監視するために、データベース ログをMicrosoft Sentinelに取り込みます。 SAP アプリケーションのMicrosoft Sentinel ソリューションは、データベースに依存しません。
データ コネクタ エージェントによって収集されたすべてのログは、最初に、コンテナー インスタンス内の /opt/sapcon/<sid>/log フォルダーにあるデータ コレクター エージェント コンピューターに格納されます。 その後、ログは Log Analytics ワークスペースに転送されます。ここで、Microsoft Sentinelからログを表示、監査、クエリできます。
監査ログは 1 分ごとに収集および取り込まれますが、他のログの取り込み頻度は低くなります。 Microsoft Sentinelでは、データ コネクタ エージェントのハートビートも監視して、ログが収集され、Log Analytics ワークスペースに送信されていることを確認します。
エージェントレス データ コネクタによって収集されたログ
次の組み込みの Log Analytics テーブルは、エージェントレス データ コネクタによって収集されます。
データ コネクタ エージェントのログ 参照
次のセクションでは、Microsoft Sentinelのテーブル名、ログの目的、詳細なログ スキーマなど、SAP アプリケーション データ コネクタのMicrosoft Sentinel ソリューションから使用できる SAP ログについて説明します。
スキーマ フィールドの説明は、関連する SAP ドキュメントのフィールドの説明に基づいています。
- ABAP アプリケーション ログ
- ABAP 変更伝票ログ
- ABAP CR ログ
- ABAP DB テーブル データ ログ (PREVIEW)
- ABAP ゲートウェイ ログ (プレビュー)
- ABAP ICM ログ (プレビュー)
- ABAP ジョブ ログ
- ABAP セキュリティ監査ログ
- ABAP スプール ログ
- APAB スプール出力ログ
- ABAP SysLog
- ABAP ワークフロー ログ
- ABAP WorkProcess ログ
- HANA DB 監査証跡
- JAVA ファイル
- SAP ハートビート ログ
ABAP アプリケーション ログ
このログを照会するためのMicrosoft Sentinel関数: SAPAppLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: アプリケーション実行の進行状況を記録して、後で必要に応じて再構築できるようにします。
XBP インターフェイスの標準 SAP テーブルと標準サービスに基づく RFC を使用して使用できます。 このログはクライアントごとに生成されます。
このログは、データ コネクタ エージェントでのみ取り込まれます。
ログ スキーマのABAPAppLog_CL
| フィールド | 説明 |
|---|---|
| AppLogDateTime | アプリケーション ログの日付時刻 |
| CallbackProgram | コールバック プログラム |
| CallbackRoutine | コールバック ルーチン |
| CallbackType | コールバックの種類 |
| Clientid | ABAP クライアント ID (MANDT) |
| ContextDDIC | コンテキスト DDIC 構造体 |
| ExternalID | 外部ログ ID |
| ホスト | ホスト |
| インスタンス | ABAP インスタンスの構文を次に示します。 <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | アプリケーション ログ メッセージのシリアル |
| LevelofDetail | 詳細レベル |
| LogHandle | アプリケーション ログ ハンドル |
| LogNumber | ログ番号 |
| MessageClass | メッセージ クラス |
| MessageNumber | メッセージ番号 |
| MessageText | メッセージ テキスト |
| MessageType | メッセージの種類 |
| オブジェクト | アプリケーション ログ オブジェクト |
| OperationMode | 操作モード |
| ProblemClass | 問題クラス |
| ProgramName | プログラム名 |
| SortCriterion | 並べ替え条件 |
| StandardText | テキストのStandard |
| サブオブジェクト | アプリケーション ログ サブオブジェクト |
| SystemID | システム ID |
| SystemNumber | システム番号 |
| TransactionCode | トランザクション コード |
| User | User |
| UserChange | ユーザーの変更 |
ABAP 変更伝票ログ
このログを照会するためのMicrosoft Sentinel関数: SAPChangeDocsLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: レコード:
SAP NetWeaver Application Server (AS) ABAP ログは、変更伝票のビジネス データ オブジェクトに対する変更をログに記録します。
ユーザー データ、ロール、アドレスなど、SAP システム内の他のエンティティ。
標準 SAP テーブルに基づく RFC を使用して使用できます。 このログはクライアントごとに生成されます。
ログ スキーマのABAPChangeDocsLog_CL
| フィールド | 説明 |
|---|---|
| ActualChangeNum | 実際の変更番号 |
| ChangedTableKey | 変更されたテーブル キー |
| ChangeNumber | 番号の変更 |
| Clientid | ABAP クライアント ID (MANDT) |
| CreatedfromPlannedChange | 次の構文で、計画された変更から作成されます。 (‘X’ , ‘ ‘) |
| CurrencyKeyNew | 通貨キー: 新しい値 |
| CurrencyKeyOld | 通貨キー: 古い値 |
| FieldName | フィールド名 |
| FlagText | フラグ テキスト |
| ホスト | ホスト |
| インスタンス | ABAP インスタンスの構文を次に示します。 <HOST>_<SYSID>_<SYSNR> |
| 言語 | 言語 |
| ObjectClass | オブジェクト クラス ( BELEG、 BPAR、 PFCGなど) IDENTITY |
| ObjectID | オブジェクト ID |
| PlannedChangeNum | 計画変更番号 |
| SystemID | システム ID |
| SystemNumber | システム番号 |
| TableName | テーブル名 |
| TransactionCode | トランザクション コード |
| TypeofChange_Header | 変更のヘッダーの種類(次を含む): U = 変更。 I = 挿入; E = 単一の Docu を削除します。 D = 削除; J = 単一の Docu を挿入する |
| TypeofChange_Item | 変更の項目の種類(次を含む): U = 変更。 I = 挿入; E = 単一の Docu を削除します。 D = 削除; J = 単一の Docu を挿入する |
| UOMNew | 測定単位: 新しい値 |
| UOMOld | 測定単位: 古い値 |
| User | User |
| ValueNew | フィールドの内容: 新しい値 |
| ValueOld | フィールドの内容: 古い値 |
| バージョン | バージョン |
ABAP CR ログ
このログを照会するためのMicrosoft Sentinel関数: SAPCRLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: 変更 & トランスポート システム (CTS) ログが含まれます。これには、変更が加えられたディレクトリ オブジェクトとカスタマイズが含まれます。
標準テーブルと標準 SAP サービスに基づいて RFC を使用して使用できます。 このログは、すべてのクライアントにわたってデータで生成されます。
注:
アプリケーションログ、変更ドキュメント、テーブル記録に加えて、変更 & トランスポートシステムを使用して運用システムに加えたすべての変更は、CTS ログと TMS ログに記載されています。
ログ スキーマのABAPCRLog_CL
| フィールド | 説明 |
|---|---|
| カテゴリ | カテゴリ (Workbench、カスタマイジング) |
| Clientid | ABAP クライアント ID (MANDT) |
| 説明 | 説明 |
| ホスト | ホスト |
| インスタンス | ABAP インスタンスの構文を次に示します。 <HOST>_<SYSID>_<SYSNR> |
| ObjectName | オブジェクト名 |
| ObjectType | オブジェクトの種類 |
| Owner | Owner |
| 要求 | 要求を変更する |
| 状態 | 状態 |
| SystemID | システム ID |
| SystemNumber | システム番号 |
| TableKey | テーブル キー |
| TableName | テーブル名 |
| ViewName | ビュー名 |
ABAP DB テーブル データ ログ (PREVIEW)
このログをMicrosoft Sentinelに送信するには、systemconfig.json ファイルに手動で追加する必要があります。 推奨される手順を使用して ポータルからデータ コネクタ エージェントをインストールする場合、このログはサポートされません。
このログを照会するためのMicrosoft Sentinel関数: SAPTableDataLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: 重要なテーブルや監査の影響を受けやすいテーブルのログ記録を提供します。
カスタム サービスで RFC を使用して使用できます。 このログは、すべてのクライアントにわたってデータで生成されます。
ログ スキーマのABAPTableDataLog_CL
| フィールド | 説明 |
|---|---|
| DBLogID | DB ログ ID |
| ホスト | ホスト |
| インスタンス | ABAP インスタンスの構文を次に示します。 <HOST>_<SYSID>_<SYSNR> |
| 言語 | 言語 |
| LogKey | ログ キー |
| NewValue | フィールドの新しい値 |
| OldValue | フィールドの古い値 |
| OperationTypeSQL | 操作の種類、 Insert、 Update、 Delete |
| プログラム | プログラム名 |
| SystemID | システム ID |
| SystemNumber | システム番号 |
| TableField | テーブル フィールド |
| TableName | テーブル名 |
| TransactionCode | トランザクション コード |
| UserName | User |
| VersionNumber | バージョン番号 |
ABAP ゲートウェイ ログ (プレビュー)
このログをMicrosoft Sentinelに送信するには、systemconfig.json ファイルに手動で追加する必要があります。 推奨される手順を使用して ポータルからデータ コネクタ エージェントをインストールする場合、このログはサポートされません。
このログを照会するためのMicrosoft Sentinel関数: SAPOS_GW
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: ゲートウェイ アクティビティを監視します。 SAP Control Web サービスが利用できます。 このログは、すべてのクライアントにわたってデータで生成されます。
ログ スキーマのABAPOS_GW_CL
| フィールド | 説明 |
|---|---|
| ホスト | ホスト |
| インスタンス | ABAP インスタンスの構文を次に示します。 <HOST>_<SYSID>_<SYSNR> |
| MessageText | メッセージ テキスト |
| 重要度 | メッセージの重大度: Debug、 Info、 Warning、 Error |
| SystemID | システム ID |
| SystemNumber | システム番号 |
ABAP ICM ログ (プレビュー)
このログをMicrosoft Sentinelに送信するには、systemconfig.json ファイルに手動で追加する必要があります。 推奨される手順を使用して ポータルからデータ コネクタ エージェントをインストールする場合、このログはサポートされません。
このログを照会するためのMicrosoft Sentinel関数: SAPOS_ICM
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: 受信要求と送信要求を記録し、HTTP 要求の統計をコンパイルします。
SAP Control Web サービスが利用できます。 このログは、すべてのクライアントにわたってデータで生成されます。
ログ スキーマのABAPOS_ICM_CL
| フィールド | 説明 |
|---|---|
| ホスト | ホスト |
| インスタンス | ABAP インスタンスの構文を次に示します。 <HOST>_<SYSID>_<SYSNR> |
| MessageText | メッセージ テキスト |
| 重要度 | メッセージの重大度( Debug、 Info、 Warning、 Error |
| SystemID | システム ID |
| SystemNumber | システム番号 |
ABAP ジョブ ログ
このログを照会するためのMicrosoft Sentinel関数: SAPJobLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: すべてのバックグラウンド処理ジョブ ログ (SM37) を結合します。
XBP インターフェイスの標準 SAP テーブルと標準サービスに基づく RFC を使用して使用できます。 このログは、すべてのクライアントにわたってデータで生成されます。
ログ スキーマのABAPJobLog_CL
| フィールド | 説明 |
|---|---|
| ABAPProgram | ABAP プログラム |
| BgdEventParameters | バックグラウンド イベント パラメーター |
| BgdProcessingEvent | バックグラウンド処理イベント |
| Clientid | ABAP クライアント ID (MANDT) |
| DynproNumber | Dynpro 番号 |
| GUIStatus | GUI の状態 |
| ホスト | ホスト |
| インスタンス | ABAP インスタンス (HOST_SYSID_SYSNR)、次の構文を使用します。 <HOST>_<SYSID>_<SYSNR> |
| JobClassification | ジョブ分類 |
| JobCount | ジョブ数 |
| JobGroup | ジョブ グループ |
| Jobname | ジョブの名前 |
| JobPriority | ジョブの優先順位 |
| MessageClass | メッセージ クラス |
| MessageNumber | メッセージ番号 |
| MessageText | メッセージ テキスト |
| MessageType | メッセージの種類 |
| ReleaseUser | ジョブ リリース ユーザー |
| SchedulingDateTime | 日付時刻のスケジュール設定 |
| StartDateTime | 開始時刻 |
| SystemID | システム ID |
| SystemNumber | システム番号 |
| TargetServer | 対象サーバー |
| User | User |
| UserReleaseInstance | ABAP インスタンス - ユーザー リリース |
| WorkProcessID | 作業プロセス ID |
| WorkProcessNumber | 作業プロセス番号 |
ABAP セキュリティ監査ログ
このログを照会するためのMicrosoft Sentinel関数: SAPAuditLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: 次のデータを記録します。
- メイン ユーザー レコードの変更など、SAP システム環境に対するセキュリティ関連の変更
- サインイン試行の成功や失敗など、より高いレベルのデータを提供する情報
- 成功または失敗したトランザクションの開始など、一連のイベントの再構築を可能にする情報
RFC XAL/SAL インターフェイスを使用して使用できます。 SAL は、バージョン基準 7.50 以降で使用できます。 このログは、すべてのクライアントにわたってデータで生成されます。
ログ スキーマのABAPAuditLog_CL
| フィールド | 説明 |
|---|---|
| ABAPProgramName | プログラム名、SAL のみ |
| AlertSeverity | アラートの重大度 |
| AlertSeverityText | アラート重大度テキスト (SAL のみ) |
| AlertValue | アラート値 |
| AuditClassID | 監査クラス ID、SAL のみ |
| Clientid | ABAP クライアント ID (MANDT) |
| コンピューター | ユーザー マシン、SAL のみ |
| 電子メール | ユーザーのメール アドレス |
| ホスト | ホスト |
| インスタンス | ABAP インスタンスの構文を次に示します。 <HOST>_<SYSID>_<SYSNR> |
| MessageClass | メッセージ クラス |
| MessageContainerID | メッセージ コンテナー ID(XAL のみ) |
| MessageID | メッセージ ID ( など) ‘AU1’,’AU2’… |
| MessageText | メッセージ テキスト |
| MonitoringObjectName | MTE Monitor オブジェクト名(XAL のみ) |
| MonitorShortName | MTE Monitor の短い名前(XAL のみ) |
| SAPProcessType | システム ログ: SAP プロセスの種類、SAL のみ |
| B* - バックグラウンド処理 | |
| D* - ダイアログ処理 | |
| U* - タスクの更新 | |
| SAPWPName | システム ログ: 作業プロセス番号、SAL のみ |
| SystemID | システム ID |
| SystemNumber | システム番号 |
| TerminalIPv6 | ユーザー マシンの IP、SAL のみ |
| TransactionCode | トランザクション コード(SAL のみ) |
| User | User |
| Variable1 | メッセージ変数 1 |
| Variable2 | メッセージ変数 2 |
| Variable3 | メッセージ変数 3 |
| Variable4 | メッセージ変数 4 |
ABAP スプール ログ
このログを照会するためのMicrosoft Sentinel関数: SAPSpoolLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: スプール要求の履歴を含む SAP 印刷のメイン ログとして機能します。 (SP01)。
標準 SAP テーブルに基づく RFC を使用して使用できます。 このログは、すべてのクライアントにわたってデータで生成されます。
ログ スキーマのABAPSpoolLog_CL
| フィールド | 説明 |
|---|---|
| ArchiveStatus | アーカイブの状態 |
| ArchiveType | アーカイブ型 |
| ArchivingDevice | アーカイブ デバイス |
| AutoRereoute | 自動再ルーティング |
| Clientid | ABAP クライアント ID (MANDT) |
| CountryKey | 国/地域キー |
| DeleteSpoolRequestAuto | スプール要求の自動削除 |
| DelFlag | 削除フラグ |
| Department | Department |
| DocumentType | ドキュメントの種類 |
| ExternalMode | 外部モード |
| FormatType | 書式の種類 |
| ホスト | ホスト |
| インスタンス | ABAP インスタンスの構文を次に示します。 <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | コピー数 |
| OutputDevice | 出力デバイス |
| PrinterLongName | プリンターの長い名前 |
| PrintImmediately | すぐに印刷する |
| PrintOSCoverPage | OSCover ページの印刷 |
| PrintSAPCoverPage | [SAPCover の印刷] ページ |
| 優先度 | 優先度 |
| RecipientofSpoolRequest | スプール要求の受信者 |
| SpoolErrorStatus | スプール エラーの状態 |
| SpoolRequestCompleted | スプール要求が完了しました |
| SpoolRequestisALogForAnotherRequest | スプール要求は別の要求のログです |
| SpoolRequestName | スプール要求名 |
| SpoolRequestNumber | スプール要求番号 |
| SpoolRequestSuffix1 | スプール要求サフィックス1 |
| SpoolRequestSuffix2 | スプール要求サフィックス2 |
| SpoolRequestTitle | スプール要求タイトル |
| SystemID | システム ID |
| SystemNumber | システム番号 |
| TelecommunicationsPartner | 通信パートナー |
| TelecommunicationsPartnerE | 電気通信パートナー E |
| TemSeGeneralcounter | Temse カウンター |
| TemseNumAddProtectionRule | Temse 番号の追加保護規則 |
| TemseNumChangeProtectionRule | Temse 番号変更保護規則 |
| TemseNumDeleteProtectionRule | Temse 番号削除保護規則 |
| TemSeObjectName | Temse オブジェクト名 |
| TemSeObjectPart | TemSe オブジェクトパーツ |
| TemseReadProtectionRule | Temse 読み取り保護規則 |
| User | User |
| ValueAuthCheck | 値認証チェック |
APAB スプール出力ログ
このログを照会するためのMicrosoft Sentinel関数: SAPSpoolOutputLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: スプール出力要求の履歴を含む SAP 印刷のメイン ログとして機能します。 (SP02)。
標準テーブルに基づくカスタム サービスで RFC を使用して使用できます。 このログは、すべてのクライアントにわたってデータで生成されます。
ログ スキーマのABAPSpoolOutputLog_CL
| フィールド | 説明 |
|---|---|
| AppServer | アプリケーション サーバー |
| Clientid | ABAP クライアント ID (MANDT) |
| コメント | コメント |
| CopyCount | コピー数 |
| CopyCounter | コピー カウンター |
| Department | Department |
| ErrorSpoolRequestNumber | エラー要求番号 |
| FormatType | 書式の種類 |
| ホスト | ホスト |
| HostName | ホスト名 |
| HostSpoolerID | ホスト スプーラー ID |
| インスタンス | ABAP インスタンス |
| LastPage | 最後のページ |
| NumofCopies | コピー数 |
| OutputDevice | 出力デバイス |
| OutputRequestNumber | 出力要求番号 |
| OutputRequestStatus | 出力要求の状態 |
| PhysicalFormatType | 物理形式の種類 |
| PrinterLongName | プリンターの長い名前 |
| PrintRequestSize | 印刷要求サイズ |
| 優先度 | 優先度 |
| ReasonforOutputRequest | 出力要求の理由 |
| RecipientofSpoolRequest | スプール要求の受信者 |
| SpoolNumberofOutputReqProcessed | 出力要求の数 - 処理済み |
| SpoolNumberofOutputReqWithErrors | 出力要求の数 - エラーあり |
| SpoolNumberofOutputReqWithProblems | 出力要求の数 - 問題がある |
| SpoolRequestNumber | スプール要求番号 |
| スタート ページ | 開始ページ |
| SystemID | システム ID |
| SystemNumber | システム番号 |
| TelecommunicationsPartner | 通信パートナー |
| TemSeGeneralcounter | Temse カウンター |
| タイトル | タイトル |
| User | User |
ABAP Syslog
このログをMicrosoft Sentinelに送信するには、systemconfig.json ファイルに手動で追加する必要があります。 推奨される手順を使用して ポータルからデータ コネクタ エージェントをインストールする場合、このログはサポートされません。
このログを照会するためのMicrosoft Sentinel関数: SAPOS_Syslog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: 既知のユーザーからのサインイン試行が失敗したため、すべての SAP NetWeaver Application Server (SAP NetWeaver AS) ABAP システム エラー、警告、ユーザー ロックを記録し、メッセージを処理します。
SAP Control Web サービスが利用できます。 このログは、すべてのクライアントにわたってデータで生成されます。
ログ スキーマのABAPOS_Syslog_CL
| フィールド | 説明 |
|---|---|
| Clientid | ABAP クライアント ID (MANDT) |
| ホスト | ホスト |
| インスタンス | ABAP インスタンスの構文を次に示します。 <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | メッセージ番号 |
| MessageText | メッセージ テキスト |
| 重要度 | メッセージの重大度、次のいずれかの値: Debug、 Info、 Warning、 Error |
| SystemID | システム ID |
| SystemNumber | システム番号 |
| TransacationCode | トランザクション コード |
| 型 | SAP プロセスの種類 |
| User | User |
ABAP ワークフロー ログ
このログを照会するためのMicrosoft Sentinel関数: SAPWorkflowLog
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: SAP Business Workflow (WebFlow Engine) を使用すると、SAP システムにまだマップされていないビジネス プロセスを定義できます。
たとえば、マップされていないビジネス プロセスは、単純なリリースまたは承認手順、または基本資料の作成や関連部門の調整など、より複雑なビジネス プロセスです。
標準 SAP テーブルに基づく RFC を使用して使用できます。 このログはクライアントごとに生成されます。
ログ スキーマのABAPWorkflowLog_CL
| フィールド | 説明 |
|---|---|
| ActualAgent | 実際のエージェント |
| アドレス | アドレス |
| ApplicationArea | アプリケーション領域 |
| CallbackFunction | コールバック関数 |
| Clientid | ABAP クライアント ID (MANDT) |
| CreationDateTime | 作成日時 |
| Creator | Creator |
| CreatorAddress | 作成者アドレス |
| ErrorType | エラーの種類 |
| ExceptionforMethod | メソッドの例外 |
| ホスト | ホスト |
| インスタンス | ABAP インスタンス (HOST_SYSID_SYSNR)、次の構文を使用します。 <HOST>_<SYSID>_<SYSNR> |
| 言語 | 言語 |
| LogCounter | ログ カウンター |
| MessageNumber | メッセージ番号 |
| MessageType | メッセージの種類 |
| MethodUser | メソッド ユーザー |
| 優先度 | 優先度 |
| SimpleContainer | 作業項目のキーと値のエンティティの一覧としてパックされた単純なコンテナー |
| 状態 | 状態 |
| SuperWI | スーパー WI |
| SystemID | システム ID |
| SystemNumber | システム番号 |
| TaskID | タスク ID |
| TasksClassification | タスク分類 |
| TaskText | タスク テキスト |
| TopTaskID | 上位のタスク ID |
| UserCreated | ユーザーが作成した |
| WIText | 作業項目のテキスト |
| WIType | 作業項目の種類 |
| WorkflowAction | ワークフロー アクション |
| WorkItemID | 作業項目 ID |
ABAP WorkProcess ログ
このログをMicrosoft Sentinelに送信するには、systemconfig.json ファイルに手動で追加する必要があります。 推奨される手順を使用して ポータルからデータ コネクタ エージェントをインストールする場合、このログはサポートされません。
このログを照会するためのMicrosoft Sentinel関数: SAPOS_WP
関連する SAP ドキュメント: SAP ヘルプ ポータル
ログの目的: すべての作業プロセス ログを結合します。 (既定値:
dev_*)。SAP Control Web サービスが利用できます。 このログは、すべてのクライアントにわたってデータで生成されます。
ログ スキーマのABAPOS_WP_CL
| フィールド | 説明 |
|---|---|
| ホスト | ホスト |
| インスタンス | ABAP インスタンスの構文を次に示します。 <HOST>_<SYSID>_<SYSNR> |
| MessageText | メッセージ テキスト |
| 重要度 | メッセージの重大度: Debug、 Info、 Warning、 Error |
| SystemID | システム ID |
| SystemNumber | システム番号 |
| WPNumber | 作業プロセス番号 |
HANA DB 監査証跡
HANA DB 監査証跡ログの収集は、データベースレイヤーアクティビティMicrosoft Sentinel収集する方法の例です。 このログをMicrosoft Sentinelに送信するには、HANA DB を実行しているマシンから Syslog データを収集するために、Azure Monitor エージェントをデプロイする必要があります。
このログを照会するためのMicrosoft Sentinel関数: SAPSyslog
関連する SAP ドキュメント: General | Audit Trail
ログの目的: SAP HANA データベース内のユーザー アクションまたは試行されたアクションを記録します。 たとえば、機密データへの読み取りアクセスをログに記録して監視できます。
syslog 用のMicrosoft Sentinel Linux エージェントが使用できます。 このログは、すべてのクライアントにわたってデータで生成されます。
Syslog ログ スキーマ
| フィールド | 説明 |
|---|---|
| コンピューター | ホスト名 |
| HostIP | ホスト IP |
| HostName | ホスト名 |
| ProcessID | プロセス ID |
| ProcessName | プロセス名: HDB* |
| SeverityLevel | 通知 |
| SourceSystem | ソース システム OS、 Linux |
| SyslogMessage | メッセージ、解析されていない監査証跡メッセージ |
JAVA ファイル
このログをMicrosoft Sentinelに送信するには、systemconfig.json ファイルに手動で追加する必要があります。 推奨される手順を使用して ポータルからデータ コネクタ エージェントをインストールする場合、このログはサポートされません。
このログを照会するためのMicrosoft Sentinel関数: SAPJAVAFilesLogs
関連する SAP ドキュメント: 一般 | Java セキュリティ監査ログ
ログの目的: セキュリティ監査ログ、システム (クラスターとサーバー プロセス)、パフォーマンス、ゲートウェイ ログなど、すべての Java ファイル ベースのログを結合します。 開発者トレースと既定のトレース ログも含まれます。
SAP Control Web サービスが利用できます。 このログは、すべてのクライアントにわたってデータで生成されます。
JavaFilesLogsCL ログ スキーマ
| フィールド | 説明 |
|---|---|
| アプリケーション | Java アプリケーション |
| Clientid | クライアント ID |
| CSNComponent | CSN コンポーネント ( など) BC-XI-IBD |
| DCComponent | DC コンポーネント ( など) com.sap.xi.util.misc |
| DSRCounter | DSR カウンター |
| DSRRootContentID | DSR コンテキスト GUID |
| DSRTransaction | DSR トランザクション GUID |
| ホスト | ホスト |
| インスタンス | Java インスタンスの構文を次に示します。 <HOST>_<SYSID>_<SYSNR> |
| 場所 | Java クラス |
| Logname | Java logName( Available、 defaulttrace、 dev*、 securityなど) |
| MessageText | メッセージ テキスト |
| Mno | メッセージ番号 |
| Pid | プロセス ID |
| プログラム | プログラム名 |
| Session | Session |
| 重要度 | メッセージの重大度 ( Debug、Info、Warning、Error |
| ソリューション | ソリューション |
| SystemID | システム ID |
| SystemNumber | システム番号 |
| ThreadName | スレッド名 |
| スロー | 例外がスローされました |
| TimeZone | タイムゾーン |
| User | User |
SAP ハートビート ログ
このログを照会するためのMicrosoft Sentinel関数: SAPConnectorHealth
ログの目的: エージェントと異なる SAP システム間の接続に関するハートビートやその他の正常性情報を提供します。
SAP データ コネクタのMicrosoft Sentinelのすべてのエージェントに対して自動的に作成されます。
ログ スキーマのSAP_HeartBeat_CL
| フィールド | 説明 |
|---|---|
| TimeGenerated | ログ投稿イベントの時刻 |
| agent_id_s | エージェントの構成のエージェント ID (自動的に生成) |
| agent_ver_s | エージェントのバージョン |
| host_s | エージェントのホスト名 |
| system_id_s | Netweaver ABAP システム ID / Netweaver SAPControl ホスト (プレビュー) / Java SAPControl ホスト (プレビュー) |
| push_timestamp_d | エージェントのタイム ゾーンに従った抽出のタイムスタンプ |
| agent_timezone_s | エージェントのタイム ゾーン |
SAP システムから直接取得されたテーブルの参照
このセクションでは、SAP システムから直接取得され、そのままMicrosoft Sentinelに取り込まれるデータ テーブルの一覧を示します。
これらのテーブルから取得されたデータは、承認構造、グループ メンバーシップ、およびユーザー プロファイルの明確なビューを提供します。 また、承認の許可と取り消しのプロセスを追跡し、それらのプロセスに関連するリスクを特定して管理することもできます。
次の表は、特権ユーザーを識別し、ユーザーをロール、グループ、および承認にマップする関数を有効にするために必要です。
最適な結果を得るには、次の表のMicrosoft Sentinel関数名列の名前を使用して、これらのテーブルを参照してください。
| テーブル名 | テーブルの説明 | Microsoft Sentinel関数名 |
|---|---|---|
| USR01 | ユーザー マスター レコード (ランタイム データ) | SAP_USR01 |
| USR02 | サインイン データ (カーネル側の使用) | SAP_USR02 |
| UST04 | ユーザー マスター ユーザーをプロファイルにマップする |
SAP_UST04 |
| AGR_USERS | ユーザーへのロールの割り当て | SAP_AGR_USERS |
| AGR_1251 | アクティビティ グループの承認データ | SAP_AGR_1251 |
| USGRP_USER | ユーザー グループへのユーザーの割り当て | SAP_USGRP_USER |
| USR21 | ユーザー名/アドレス キーの割り当て | SAP_USR21 |
| ADR6 | Email アドレス (ビジネス アドレス サービス) | SAP_ADR6 |
| USRSTAMP | ユーザーに対するすべての変更のタイム スタンプ | SAP_USRSTAMP |
| Adcp | 個人/住所の割り当て (ビジネス アドレス サービス) | SAP_ADCP |
| USR05 | ユーザー マスター パラメーター ID | SAP_USR05 |
| AGR_PROF | ロールのプロファイル名 | SAP_AGR_PROF |
| AGR_FLAGS | ロール属性 | SAP_AGR_FLAGS |
| DEVACCESS | 開発ユーザーのテーブル | SAP_DEVACCESS |
| AGR_DEFINE | ロールの定義 | SAP_AGR_DEFINE |
| AGR_AGRS | 複合ロールのロール | SAP_AGR_AGRS |
| PAHI | システム、データベース、および SAP パラメーターの履歴 | SAP_PAHI |
| SNCSYSACL (プレビュー) | SNC Access Control リスト (ACL): システム | SAP_SNCSYSACL |
| USRACL (プレビュー) | SNC Access Control リスト (ACL): ユーザー | SAP_USRACL |
関連コンテンツ
詳細については、以下を参照してください: