- 14. März 2013

Aktivierung und Konfiguration des SAP Security Audit Log

Die Konfiguration und Aktivierung des SAP Security Audit Log ist immer dann sinnvoll, wenn Benutzer mit weitreichenden Berechtigungen überwacht werden müssen. Nationale und internationale rechtliche Vorgaben sowie interne Sicherheitsrichtlinien machen eine solche Überwachung häufig erforderlich. In dem folgenden Blog-Beitrag werde ich Ihnen Schritt für Schritt erläutern, wie sich das SAP Standardwerkzeug, das Security Audit Log konfigurieren und aktivieren lässt.

Der Einsatz des Security Audit Logs sollte Teil eines durchdachten Berechtigungskonzepts sein.
Fachbereichsleiter Tobias Harmes

Wir erstellen individuelle SAP Berechtigungskonzepte für Ihr Unternehmen. Dabei verwenden wir eine standardisierte Vorgehensweise zur Einführung von neuen Berechtigungen, die wir bei vielen Kunden erfolgreich eingesetzt haben. Deshalb haben wir dafür auch ein passendes Angebot:
Neues SAP Berechtigungskonzept

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Einrichtung der erforderlichen Profilparameter

Transaktion: RZ10

Schritt 1: Zunächst müssen verschiedene Profilparameter (siehe Tabelle 1) über die Transaktion RZ10 gepflegt werden. Wählen Sie dazu das Profil aus, in welchem Sie die Parameter für das Security Audit Log pflegen möchten. Selektieren Sie anschließend die Option „Erweiterte Pflege“ und klicken Sie dann auf die Schaltfläche „Ändern“.

Bearbeitung der Profilparameter in der Transaktion RZ10

Abbildung 1: Bearbeitung der Profilparameter in der Transaktion RZ10

In der nachfolgenden Tabelle werden die für den Einsatz des SAP Security Audit Log empfohlenen Profilparameter vorgestellt. Selbstverständlich ist es zwingend erforderlich, dass der Parameter „rsau/enable“ auf den Wert 1 eingestellt ist. Nur damit wird das SAP Security Audit Log nach einem Neustart der SAP-Instanz aktiviert.

ProfilparameterBeschreibungEmpfehlung
rsau/enableAktivierung des Security Audit Log.Wert: „1“
rsau/local/fileAblageverzeichnis der Audit-Daten.Gewünschtes Verzeichnis eintragen.
rsau/selection_slotsAnzahl der möglichen Filter im Security Audit Log.Wert „10“
rsau/user_selectionDefinition der Art der Kernel-Funktion zur Benutzerauswahl.Ist dieser Parameter nicht gepflegt, können nur statische Filter verwendet werden. Der Wert „1“ ermöglicht die Verwendung von Wildcard-Filtern. Sie können so z.B. einen Filter für „Benutzer_*“ definieren, welcher sowohl den Benutzer_A als auch den Benutzer_B überwacht.Wert: „1“
rsau/max_diskspace/localMaximale Größe der Audit-Dateien.Sobald die Dateigröße der Audit-Datei die festgelegte maximale Dateigröße erreicht hat, wird die Protokollierung gestoppt.Wert: „35M“ (35 Megabyte) Da die Audit-Dateien in ihrer Größe schnell anwachsen können, sollte der Wert nicht zu niedrig gewählt werden.

 

Sollten sich die in der Tabelle genannten Parameter noch nicht in der Profilparameterliste befinden, dann fügen Sie diese über die „Parameter“-Schaltfläche (anlegen) in die Liste ein. Je nach Anforderung und Anzahl der zu überwachenden Benutzer ist möglicherweise eine Anpassung der genannten Empfehlungswerte erforderlich.

Anzeige der geänderten Profilparameter

Abbildung 2: Anzeige der geänderten Profilparameter

Einrichtung der Filterkriterien

Transaktion: SM19

Schritt 2: Bevor das SAP Security Audit Log nun einsatzbereit ist, müssen Sie noch die gewünschten Filterkriterien einrichten und die entsprechenden Filter aktivieren. Sowohl bei den Audit-Klassen als auch bei den zu überwachenden Ereignissen haben Sie die freie Wahl, wie weit die Aktivitäten des Benutzers im SAP System überwacht werden sollen.

Einrichtung der Filterkriterien in der SM19

Abbildung 3: Einrichtung der Filterkriterien

Sollten Sie den Profilparameter „rsau/user_selection“ auf den Wert „1“ gesetzt haben, dann haben Sie die Möglichkeit Wildcards („*“) in dem Benutzername-Textfeld zu verwenden. Wie in dem unten dargestellten Screenshot ist so möglich, über einen Filter mit dem Benutzernamen „BENUTZER_*“ sowohl den BENUTZER_A als auch den BENUTZER_B zu überwachen.

Einrichtung der Filterkriterien mit Wildcards

Abbildung 4: Einrichtung der Filterkriterien mit Wildcards

Nachdem Sie auf die Schaltfläche „Speichern“ geklickt haben, fragt das System Sie, ob die eingerichteten Filter-Konfigurationen auf alle Server verteilt werden sollen. Bestätigen Sie diese Meldung mit „Ja“, wenn auf allen Servern die gleiche Konfiguration verwendet werden soll.

Sicherheitsabfrage zur Verteilung der Filterkonfiguration

Abbildung 5: Sicherheitsabfrage zur Verteilung der Filterkonfiguration

Zuletzt ist es ggf. noch erforderlich, über die im unten dargestellten Screenshot markierte Schaltfläche das SAP Security Audit Log zu aktivieren.

Aktivierung des SAP Security Audit Log

Abbildung 6: Aktivierung des SAP Security Audit Log

 

Auswertung der Log-Dateien

Transaktion: SM20

Schritt 3: Nachdem Sie nun die oben beschriebenen Schritte durchgeführt haben ist das SAP Security Audit Log einsatzbereit. Entsprechend den von Ihnen konfigurierten Filterkriterien werden die Benutzer wie gewünscht überwacht. Möchten Sie nun die Log-Daten auswerten, rufen Sie die Transaktion SM20 aus. Dort haben Sie die Möglichkeit eine zeitliche Eingrenzung der Auswertung vorzunehmen. Des Weiteren können die Ergebnisse nach verschiedenen weiteren Kriterien gefiltert werden. Wenn Sie die gewünschten Einstellungen für die Auswertung vorgenommen haben, können Sie das AuditLog über die Schaltfläche „AuditLog neu lesen“ auslesen.

Eingrenzung der Log-Daten in der SM20

Abbildung 7: Eingrenzung der Log-Daten in der SM20

Anschließend werden Ihnen die Log-Daten detailliert dargestellt.

Ergebnis der Log-Auswertung

Abbildung 8: Ergebnis der Log-Auswertung

Bitte zögern Sie nicht Fragen und Feedback in den Kommentarbereich zu schreiben.

Jetzt das kostenlose eBook zum Thema SAP Berechtigungen downloaden:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:




6 Kommentare zu "Aktivierung und Konfiguration des SAP Security Audit Log"

Harald Schürmann - 9. August 2013 | 13:36

Ich möchte zu bedenken geben, darauf zu achten, inwieweit durch die Aktivierung datenschutzrechtlich Relevanzen, Betriebsvereinbarungen oder das Verbot von Leistungs- und Verhaltenskontrolle verletzt werden. Der Schnellschuss mancher Verantwortlicher „Oh, das ist ja man toll, freut sich die Revision. Schalten Sie mal ein, Herr Administrator“ kann nach hinten los gehen.
Also, vorher einmal Nachdenken!

Antworten
Andre Tenbuss - 11. August 2013 | 11:36

Hallo Herr Schürmann,
zunächst vielen Dank für Ihren Kommentar. Sie haben selbstverständlich vollkommen Recht. Unter anderem besagt § 87 Abs. 1 Nr. 6 BetrVG, dass der Betriebsrat ein zwingendes Mitbestimmungsrecht bei der Einführung technischer Systeme hat, welche zur Überwachung des Verhaltens und der Leistung der Mitarbeiter bestimmt sind. In der Rechtsprechung wird allerdings das Wort „bestimmt“ eher als „geeignet“ ausgelegt. Grundsätzlich kann das Security Audit Log (SAL) auch zur Protokollierung der Tätigkeiten von Anwendern genutzt werden und unterliegt somit dem Mitbestimmungsrecht des Betriebsrates. In der Praxis sprechen jedoch verschiedene Gründe dagegen personalisierte Benutzer mit dem SAL zu überwachen. Zum einen führt eine Protokollierung, je nach Konfiguration der Filter, zu einem sehr hohen Datenaufkommen. Auf Grund fehlender Kriterien zur Einschränkung würden außerdem sämtliche (irrelevante) Transaktionsaufrufe und Änderungen der Daten im System protokolliert werden. In diesem Fall wäre eine Auswertung der Daten durch die Revision sehr aufwendig.

In der Praxis wird das SAL eher zur Überwachung technischer sowie unpersonalisierter Benutzer genutzt. So können RFC-Zugriffe oder Anmeldungen mit Benutzern wie SAP*, DDIC etc. protokolliert werden. Häufig wird das SAL auch zur Überwachung von Firefighter-Zugriffen eingesetzt. Üblicherweise wurden die Mitarbeiter dazu vorab informiert, dass Aktivitäten dieser Firefighter-Benutzer detailliert protokolliert werden.

Freundliche Grüße, Andre Tenbuss

Antworten
Janos Laszlo - 24. September 2013 | 14:51

Hallo Herr Tenbuss,

wissen Sie evtl. ob man einzelne Transaktionen in die Auditlog Überwachung aufnehmen kann ? wir hätten 3-4 transaktionen, die wir gerne für alle User aufzeichnen würden. ich finde bei SAp keine hinweise dazu

viele Grüße

Janos Laszlo

Antworten
Andre Tenbuss - 30. September 2013 | 20:39

Hallo Herr Laszlo,

vielen Dank für Ihren Kommentar. Ohne weiteres zutun ist es leider mit den Standardmitteln nicht möglich, einzelne Transaktionen im Security Audit Log zu überwachen. Es besteht lediglich die Möglichkeit alle Benutzer (oder eine gefilterte Auswahl von Benutzern) zu überwachen und die Auswertung nach Transaktionen zu filtern. Da dieses Vorgehen jedoch aus verschiedenen Gründen nicht praxistauglich ist, rate ich auch davon ab. Eine individuelle Lösung im Rahmen einer Eigenentwicklung wird hier aber auf jeden Fall möglich sein. Wenn von Ihrer Seite Interesse daran besteht, dann unterstützen wir Sie gerne dabei.

Viele Grüße
Andre Tenbuß

Antworten
Luigi - 2. Januar 2015 | 14:43

Hallo,

es wäre vielleicht vollständiger, wenn sie auch die Möglichkeit des LOG über die SM19 erwähnt hätten.

Viele Grüße

Luigi

Antworten
Bjoern Kemmoona - 6. Oktober 2016 | 20:23

Zunächst finde ich es immer sehr gut, wenn ein Unternehmen kleinere HowTos als Teaser ins Netz stellt. Deshalb ein großes Lob dafür!

Da der Artikel bei Google recht weit oben steht und mich auch schon zwei Kunden auf ihn angesprochen haben, würde ich allerdings drei Aktualisierungen empfehlen, welche (je nach Releasestand und Nutzung von SAP-Hinweisen) für die Leser spannend sein könnten:
– die maximale Slotanzahl wurde von 10 auf 15 angehoben
– es ist mittlerweile eine Filterselektion über Benutzergruppen möglich (was deutlichen Spielraum ergibt)
– die maximale Größe des Loggings kann auf „unbegrenzt“ gestellt werden, d.h. jede einzelne Logdatei kann zwar maximal 2 GB groß sein, aber dann wird (auch am selben Tag) eine neue Datei angelegt – wobei man sich immer fragen muss, welche Größe in welchem Szenario sinnvoll sein kann

Viele Grüße

Björn Kemmoona

Antworten

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.