Willkommen im SAP Forum

Hallo, kann das security Audit log in sap von einem Dritten gelesen werden oder wird das Log “verschlüsselt” / unleserlich abgespeichert. Muss das log also separat geschützt werden?

Hallo, das Audit Log ist erst einmal eine (Klar-)Textdatei auf Betriebssystem-Ebene. Es gibt den von SAP empfohlenen, aber optionalen Parameter "Integrity Protection Format". Siehe dazu auch 2033317 - Integrity protection format for Security Audit Log. Aktivierbar über rsau/integrity=1 bzw. über die Kernel Parameter, je nach Systemstand. Wenn das aktiviert ist, wird das Protokoll mit Prüfsummen versehen und komprimiert gespeichert. Damit kann man auf Filesystemebene das Audit Log nicht mehr einfach auslesen, allerdings mit einem anderen SAP System schon. Es ist also eher ein Schutz gegen Manipulation als gegen unerlaubte Protokollanzeige. Und das geht auch nur, wenn das Audit Log nicht in der Datenbank abgelegt wird. Viele Grüße Tobias Harmes

Hallo, gibt es eine Möglichkeiten Änderungen in Tabellen über SE16N und Debug Mode (/h)mit zu protokollieren. Meiner Erfahrung nach wird lediglich die Tabelle SE16N_CD_KEY im SAL ausgegeben, nicht aber die details aus Tabelle SE16N_CD_DATA. Danke für einen Hinweis. Grüße, Gerhard

Hallo, gibt es eine Möglichkeiten Änderungen in Tabellen über SE16N und Debug Mode (/h)mit zu protokollieren. Meiner Erfahrung nach wird lediglich die Tabelle SE16N_CD_KEY im SAL ausgegeben, nicht aber die details aus Tabelle SE16N_CD_DATA. Danke für einen Hinweis. Grüße, Gerhard

Hallo Gerhard, soweit ich weiß muss für diesen Trick (Tabellenänderung in SE16N mit Debugger) der Feldwert in den globalen Variablen GD-Edit und GD-SAPEDIT auf "abap_true" umgesetzt werden. Im Security Audit Log gibt es das Log Event mit MeldungsID "CUL" - Feldinhalt geändert. Über dieses Log Event könntest du das herausfinden. Hilft das weiter? Sonst melde dich gerne einmal bei uns an info@rz10.de, dann können wir mal telefonieren und den konkreten Fall besprechen. Viele Grüße Jonas Krüger

Hallo Gerhard, leider ist mir kein Weg bekannt, auch die Daten mit in das Log zu übernehmen. Hier könnte man ggf. mit Logüberwachung eine Autoreaktion erstellen, die Inhalte aus der SE16N_CD_DATA extrahiert, um sie dem Event zuzuordnen. Viele Grüße Tobias

Guten Tag Herr Harmes, Ist es möglich, kritische Meldungen von SM20 mit dem Solution Manager zu überwachen? Vielen Dank & Beste Grüße Gvantsa

Hallo, standardmäßig wird das Security Audit Log auf jedem System selbst erhoben. Mit Hilfe von Tools ist es jedoch möglich, Meldungen aus verschiedenen SAP Systemen zusammenzutragen, beispielsweise im Solution Manager. Dies kann auch hilfreich sein, um bestimmte Angriffe oder Sicherheitsvorfälle zu erkennen, insbesondere wenn diese systemübergreifend stattfinden. Wenn Sie mehr Informationen dazu benötigen, melden Sie sich gerne telefonisch oder per E-Mail bei uns, dann können wir uns dazu austauschen. Viele Grüße Jonas Krüger

Guten Abend, ist es möglich das Archivieren der Logdateien (SM20) auf Filesystem-Ebene via JOB´s zu automatisieren? Hintergrund: Produktivsysteme spucken zum Teil sehr große Listen, sodass in einigen Systeme der Suchraum auf wenige Tage gespalten werden muss z. B. 01.08.XX bis 05.08.XX. Danke und freundliche Grüße, B. Heilig

Hallo Herr Heilig, ja, viele meiner Kunden nutzen Skripte auf dem SAP Server, um die Daten auf andere Speicher zu übertragen. Dies sind allerdings keine Jobs im SAP (SM37) sondern Skripte auf Betriebssystemebene. Wenn Sie Unterstützung bei dem Thema benötigen, schreiben Sie uns gerne eine Mail oder rufen Sie uns an, dann organisieren meine Kollegen einen Termin. Viele Grüße Jonas Krüger