Willkommen im SAP Forum

Security Audit Log auswerten und verstehen - Link zum Blogartikel
# 1 - vor 2 Jahren
Hallo, kann das security Audit log in sap von einem Dritten gelesen werden oder wird das Log “verschlüsselt” / unleserlich abgespeichert. Muss das log also separat geschützt werden?
# 2 - vor 2 Jahren
Hallo, das Audit Log ist erst einmal eine (Klar-)Textdatei auf Betriebssystem-Ebene. Es gibt den von SAP empfohlenen, aber optionalen Parameter "Integrity Protection Format". Siehe dazu auch 2033317 - Integrity protection format for Security Audit Log. Aktivierbar über rsau/integrity=1 bzw. über die Kernel Parameter, je nach Systemstand. Wenn das aktiviert ist, wird das Protokoll mit Prüfsummen versehen und komprimiert gespeichert. Damit kann man auf Filesystemebene das Audit Log nicht mehr einfach auslesen, allerdings mit einem anderen SAP System schon. Es ist also eher ein Schutz gegen Manipulation als gegen unerlaubte Protokollanzeige. Und das geht auch nur, wenn das Audit Log nicht in der Datenbank abgelegt wird. Viele Grüße Tobias Harmes
Gerhard
# 3 - vor einem Jahr
Hallo, gibt es eine Möglichkeiten Änderungen in Tabellen über SE16N und Debug Mode (/h)mit zu protokollieren. Meiner Erfahrung nach wird lediglich die Tabelle SE16N_CD_KEY im SAL ausgegeben, nicht aber die details aus Tabelle SE16N_CD_DATA. Danke für einen Hinweis. Grüße, Gerhard
# 4 - vor einem Jahr
Hallo, gibt es eine Möglichkeiten Änderungen in Tabellen über SE16N und Debug Mode (/h)mit zu protokollieren. Meiner Erfahrung nach wird lediglich die Tabelle SE16N_CD_KEY im SAL ausgegeben, nicht aber die details aus Tabelle SE16N_CD_DATA. Danke für einen Hinweis. Grüße, Gerhard
# 5 - vor einem Jahr
Hallo Gerhard, soweit ich weiß muss für diesen Trick (Tabellenänderung in SE16N mit Debugger) der Feldwert in den globalen Variablen GD-Edit und GD-SAPEDIT auf "abap_true" umgesetzt werden. Im Security Audit Log gibt es das Log Event mit MeldungsID "CUL" - Feldinhalt geändert. Über dieses Log Event könntest du das herausfinden. Hilft das weiter? Sonst melde dich gerne einmal bei uns an info@rz10.de, dann können wir mal telefonieren und den konkreten Fall besprechen. Viele Grüße Jonas Krüger
# 6 - vor einem Jahr
Hallo Gerhard, leider ist mir kein Weg bekannt, auch die Daten mit in das Log zu übernehmen. Hier könnte man ggf. mit Logüberwachung eine Autoreaktion erstellen, die Inhalte aus der SE16N_CD_DATA extrahiert, um sie dem Event zuzuordnen. Viele Grüße Tobias
Gvantsa
# 7 - vor 6 Monaten
Guten Tag Herr Harmes, Ist es möglich, kritische Meldungen von SM20 mit dem Solution Manager zu überwachen? Vielen Dank & Beste Grüße Gvantsa
# 8 - vor 6 Monaten
Hallo, standardmäßig wird das Security Audit Log auf jedem System selbst erhoben. Mit Hilfe von Tools ist es jedoch möglich, Meldungen aus verschiedenen SAP Systemen zusammenzutragen, beispielsweise im Solution Manager. Dies kann auch hilfreich sein, um bestimmte Angriffe oder Sicherheitsvorfälle zu erkennen, insbesondere wenn diese systemübergreifend stattfinden. Wenn Sie mehr Informationen dazu benötigen, melden Sie sich gerne telefonisch oder per E-Mail bei uns, dann können wir uns dazu austauschen. Viele Grüße Jonas Krüger

Kommentar verfassen


Kontaktieren Sie uns!
Renate Burg Kundenservice