SAP Logs
Um bestimmte Vorgänge und Probleme nachzuvollziehen, kommen SAP-Logs zum Einsatz. Für Unternehmen spielen die Logdateien für eine Automatisierung und ein späteres Audit eine große Rolle. Außerdem können Cyber-Angriffe dadurch schnell identifiziert werden.
Was sind SAP Logs?
Eine Log- bzw. Protokolldatei enthält ein automatisch vom Server generiertes Protokoll von bestimmten Aktionen in einem SAP-System. Durch die Protokollierung über große Zeiträume hinweg lassen sich bestimmte Ereignisse oder Fehlermeldung nachvollziehen. Zudem können verloren gegangene Daten über ein Datenbank-Log wiederhergestellt werden. Es gibt je nach Anwendungszweck unterschiedliche Logs.
Eine Log-Datei enthält folgende Elemente:
- Art des Protokolls (grundlegende Informationen)
- Datum der Protokollerstellung
- Wichtigkeit der Meldung (Kritisch, Warnung, Information, Fehler)
- Meldungstext
- Technische und detaillierte Informationen
Eine Logdatei enthält in ihrem Aufbau meistens ein Ereignis, einen dazugehörigen vorangestellten Zeitstempel sowie das jeweilige Datum. Die Aufstellung von Logdateien ist somit chronologisch. Die Log-Dateien sind textbasiert und basieren auf Kodierungen wie ASCII oder Formaten wie Extended Log Format (ELF) oder Common Log Format (CLF).
Arten von SAP-Logs
Neben der Fehlersuche und Nachverfolgung von Ereignissen sind die SAP-Systeme oft auch ein potenzielles Ziel für Cyber-Angriffe. Um diese Angriffe auf das SAP-System identifizieren zu können, bietet SAP selbst verschiedene Monitoring-Möglichkeiten und Protokolle.
Die unterschiedlichen Logging-Arten befinden sich nicht an einem zentralen Ort. Um den kompletten und korrekten Verlauf des SAP-Systems nachzuverfolgen, benötigt man die vollständigen Infos aus den folgenden SAP-Logs:
- Systemlog / Systemprotokoll
- Application Log / Anwendungsprotokoll
- Security Audit Log
- Job Log
- SAP Gateway Log
- SAP Web Dispatcher und ICM Logs
System-Log / Systemprotokoll
Alle Meldungen zu Fehlern, Warnungen oder beispielsweise Sperren werden im SAP-System protokolliert. Das Systemlog hilft dabei Fehler im Umfeld des eigenen SAP-Systems zu finden und zu beheben. Dieses grundlegende ABAP-Systemprotokoll unterteilt sich in die Protokolltypen lokal und zentral.
Lokale SAP-Protokolle enthalten alle Meldungen eines jeweiligen Servers und sichern diese auf dem Server in einer Protokolldatei. Wenn diese Protokolldatei die maximale Größe erreicht, wird die Datei überschrieben. Daher ist es ratsam, eine zentrale Protokolldatei zu pflegen. Die Server, welche die lokalen SAP-Protokolle aufzeichnen, senden diese lokalen Protokolldateien an das zentrale Protokoll.
Das Systemprotokoll lässt sich über die Transaktion SM21 aufrufen. Im aufgerufenen Syslog Monitor kann anschließend das Systemprotokoll des eigenen Systems überwacht werden. Die Meldungen lassen sich noch nach Priorität ordnen.
Application Log / Anwendungsprotokoll
Mithilfe des Application Logs lassen sich die Meldungen, Ausnahmen und Fehler für eine bestimmte Anwendung sammeln und anzeigen. Diese Informationen werden zusammengefasst in einem Protokoll (Log) dargestellt. Das Application Log enthält die gleichen Elemente wie das Systemlog. Im Gegensatz zum Systemlog, das Systemereignisse aufzeichnet, kann das Anwendungsprotokoll somit für ein anwendungsspezifisches Monitoring genutzt werden. Über die Transaktion SLG0 lassen sich die eigenen Anwendungen für das Anwendungsprotokoll definieren. Mit SLG1 lässt sich das Anwendungsprotokoll anzeigen und analysieren.
Das Application Log ist somit eine Standardlösung, um Meldungen für eine Anwendung lokal oder permanent zu speichern und darzustellen. Die Application Logs sollten in regelmäßigen Abständen (beispielsweise monatlich) gelöscht werden, da sonst zu große Tabellen und somit sehr große Datenmengen entstehen.
Security Audit Log
Mit dem SAP Security Audit Log lassen sich relevante Sicherheitsinformationen des Systems protokolliert anzeigen. Demnach ist das Security Audit Log der Hauptspeicherort für alle Ereignisse, die sich auf die Sicherheit des SAP-Systems beziehen. Hierzu zählen unter anderem fehlgeschlagene Logins oder Debugging-Funktionsnutzung. Mithilfe der Transaktion RSAU_READ_LOG lässt sich das Security Audit log auslesen.
Es wird im Audit Log eine Übersicht der kritischen Ereignisse angezeigt. Dazu zählen unter anderem Informationen wie fehlgeschlagene Anmeldeversuche, Stammdatenänderungen oder auch erfolgreiche/erfolglose Transaktionsstarts.
Das Security Audit Log muss manuell gestartet werden und ist standardmäßig nicht aktiv. Das Protokoll wird im AS ABAP System angezeigt. Die gesammelten Aktivitäten werden in einem Audit-Analyse-Report zusammengefasst und auf dem Anwendungsserver gespeichert. Somit stehen diese langfristig zur Verfügung.
Für Auditoren, die sich bestimmte Ereignisse im SAP-System detailliert anschauen müssen, ist das Security-Audit-Log ein optimales Tool. Die Nutzung des Security Audit Logs ist somit auch für den Branchenstandard (DSAG–Prüfleitfaden) relevant. An diesem orientieren sich viele Behörden und Prüfgesellschaften. Dieser Leitfaden verlangt, dass das Security Audit Log aktiviert ist und regelmäßig nach Verstößen ausgewertet wird.
In einem SAP-System gibt es verschiedene Aufgaben, die regelmäßig und zu bestimmten Zeiten ausgeführt werden. Diese Aufgaben werden in die SAP-Hintergrundverarbeitung übertragen. Somit können die Aufgaben automatisiert ausgeführt werden, wenn das SAP-System ausreichend Ressourcen zur Verfügung hat. Das Monitoring dieser Hintergrundanwendungen erfolgt über das Job Log bzw. Job Protokoll. Das Joblog legt für alle Arten von Meldungen (Fehler, Information, Warnung, etc.) die in einem Hintergrundprogramm laufen, ein spezifisches Protokoll an. Der Nutzer kann mit diesem Protokoll Informationen erhalten, falls ein Programm vorzeitig beendet wird. Auch der Hintergrundverarbeitungsverlauf eines Programms kann angezeigt werden.
SAP Gateway Log
Die Schnittstelle des Applikationservers zu anderen SAP-Systemen und Programmen ist das Gateway. Das dazugehörige Gateway Logging dient der Überwachung der Aktivitäten in der Schnittstelle. Hierbei lässt sich wieder festlegen, welche Ereignisse und Aktionen protokolliert werden sollen. Diese Auswahl wird dann in die Gateway-Log-Datei geschrieben. Der Meldungsaufbau ähnelt dem der Systemlogs. Der Gateway-Monitor für das Monitoring lässt sich über die Transaktion SMGW aufrufen.
Datenbank Log
Das Database Logging beschreibt im Gegensatz zu den SAP Logs bestimmte Maßnahmen und Methoden, um nach einem Fehler wie etwa einem Systemabsturz oder -ausfall den Verlust von Daten zu verhindern. Das Database Log bzw. Datenbanken-Protokoll gibt alle Änderungen in der Datenbank wieder her. Im Falle eines Absturzes des Systems kann die Recovery (Wiederherstellung) somit den letztbekannten Zustand der Datenbank im System wiederherstellen.
FAQ zu SAP Logs
Was sind SAP Logs?
Eine Log- bzw. Protokolldatei enthält ein automatisch vom Server generiertes Protokoll von bestimmten Aktionen in einem SAP-System. Durch die Protokollierung über große Zeiträume hinweg, lassen sich bestimmte Ereignisse oder Fehlermeldung nachvollziehen.
Welche Arten von SAP Logs gibt es?
Zu den Arten von SAP Logs zählen unter anderem die System-, Application-, Security Audit-, Job-, SAP Gateway- und Datenbank-Logs.
Weiterführende Informationen:
- HowTo: Konfiguration des SAP Security Audit Log
- SAP Business Application Log
- Security Audit Log auswerten
- Die wichtigsten SAP Sicherheitsprotokolle und ihr Nutzen