Tobias Harmes
8. August 2019

SAP Security Audit Log

27 | #Security Audit Log

Das SAP Security Audit Log protokolliert bestimmte Systeminformationen, die für die Sicherheit des SAP-Systems relevant sind. Dazu gehören zum Beispiel fehlgeschlagene Logins oder die Nutzung von Debugging-Funktionen zur Manipulation. IT-Auditoren können sich diese Informationen detailliert anzeigen lassen.

Eigenschaften

Der SAP Security Audit Log ermöglicht die Aufzeichnung von sicherheitsrelevanten Systeminformationen wie beispielsweise Änderungen an Stammdaten oder erfolglose Anmeldeversuche. Das Protokoll ermöglicht den Auditoren eine Übersicht der (kritischen) Ereignisse im AS ABAP System.

Der AS ABAP ermöglicht eine Vielzahl von Protokollen für die Systemadministration, Überwachung, Problemlösung und Auditierung. Audits und Protokolle sind wichtig, um die Sicherheit des Systems zu überwachen und bei auftretenden Problemen eine lückenlose Protokollierung zu gewährleisten.

Gesetzliche Notwendigkeit

Eine gesetzliche Vorschrift zur Nutzung des Security Audit Logs gibt es eher aus Richtung der Nachvollziehbarkeit. Auch ist dieses Thema in regulierten Branchen typischerweise Teil der betrieblichen Sicherheitsauflagen, zum Beispiel im Finanzsektor durch die BAFIN.

Viele Prüfungsgesellschaften und auch Behörden orientieren sich am de facto Branchenstandard DSAG Prüfleitfaden. Dieser verlangt unter anderem, dass das Security Audit Log aktiviert ist und hinsichtlich Sicherheitsverstöße regelmäßig ausgewertet wird:

DSAG Prüfleitfaden, Abschnitt Überwachung der Wirksamkeit des Zugriffsschutzes

  • Kontrollziel: Die Zugriffe auf das SAP-System werden regelmäßig überwacht. Es ist definiert, was auffällige Ereignisse sind. Sicherheitsverstöße werden bei Verdacht auf Missbrauch untersucht.
  • Risiko: Sicherheitsereignisse, die aufgrund fehlender oder falsch eingestellter sicherheitsrelevanter Parameter auftreten, werden nicht erkannt. Ein Sicherheitsverstoß oder Missbrauch eines Benutzers wird nicht zeitnah erkannt. Bei dem Verdacht auf Missbrauch kann im Nachhinein nicht mehr auf automatisch erfolgte Systemaufzeichnungen zurückgegriffen werden, die zur Aufklärung des Vorgangs oder zur Verfolgung der Täter dienen können.

Das BSI empfiehlt die Nutzung daher auch im IT Grundschutzkatalog für die Anwendung SAP:

APP.4.2.A21 Konfiguration des Security Audit Logs (S)

  • Das Security Audit Log (SAL) SOLLTE durch geeignete Filtereinstellungen so konfiguriert werden, dass sicherheitskritische Ereignisse korrekt protokolliert werden. Zudem SOLLTEN passende Profilparameter für das SAL gesetzt werden.
SAP Security& Berechtigungen

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Funktionsweise

Die Aktivierung des SAP Security Audit Log ermöglicht die Protokollierung verschiedener Aktivitäten und Kennzahlen. Zur anschließenden Evaluierung werden die Informationen in einem Audit-Analyse-Reports zusammengefasst. Dazu werden die gesammelten Informationen auf dem Anwendungsserver täglich in einer Audit-Datei gespeichert. Die protokollierten Informationen und Daten stehen langfristig für einen Zugriff zur Verfügung. Dazu bleiben die Audit-Dateien solange gespeichert, bis sie endgültig gelöscht werden. Derzeit lassen sich die Dateien auch manuell jedoch nicht automatisch archivieren.

Möglichkeiten zur Protokollierung

Mit dem SAP Security Audit Log können verschiedene Informationen je nach Konfiguration aufgezeichnet und überwacht werden. Dazu gehören Änderungen in Benutzerstammsätzen, Änderungen an Auditkonfigurationen sowie RFC-Aufrufe von Funktionsbausteinen. Außerdem können erfolgreiche und erfolglose Dialoganmeldeversuche und RFC-Anmeldeversuche sowie erfolgreiche und erfolglose Transaktionsstarts protokolliert werden.

Analyse des Security Audit Log | Quelle: SAP

Aufbau des SAP Security Audit Log

Das SAP Security Audit Log arbeitet mit Filtern, die im Kontrollblock im Speicher liegen, welche Informationen in die Datei geschrieben werden sollen. Wenn ein (kritisches) Ereignis eintritt, für das ein spezifischer Filter verantwortlich ist, wird eine Audit-Meldung erstellt und diese in eine Audit-Datei geschrieben. Gleichzeitig läuft ein zugehöriger Alert an den CCMS-Alert-Monitor.

Aufbau des Security Audit Logs | Quelle: SAP

Audit-Datensatz

Auf den Anwendungsservern werden die entstandenen Audit-Dateien abgelegt. Mit den unten genannten Profilparametern können die Eigenschaften dieser Dateien definiert werden. Der Audit-Datensatz erhält normalerweise folgende Informationen:

  • Ereignisbezeichner (Schlüssel mit 3 Zeichen langer Kennung)
  • SAP Benutzererkennung und Mandant
  • Terminalnamen
  • Transaktionscodes
  • Reportnamen
  • Ereignisdatum und -uhrzeit
  • ID des Prozesses
  • Modusnummer
  • Und ggf. Zusatzinformationen

Wichtige Transaktionen und Profilparameter

Die Aktivitäten, die protokolliert werden sollen, können über die Transaktion SM19 – in neueren Releases RSAU_CONFIG – angegeben werden. Mit der Transaktion SM20 oder RSAU_READ_LOG in neueren Releases können die Protokolle ausgelesen werden. Das Löschen der Einträge ist mit SM 18 oder mit RSAU_ADMIN möglich.

Wie bereits erwähnt, erfolgt die Ablage der Daten auf eigenen Applikationsservern. Die folgenden Profilparameter geben das jeweilige Dateiverzeichnis und die maximale Größe an:

  • rsau/enable: Aktiviert das Audit Log auf dem Anwendungsserver. Der Standardwert ist „0“, d.h. Audit-Log ist nicht aktiviert
  • rsau/local/file: Gibt das Verzeichnis des Audit Logs auf dem zugehörigen Anwendungsserver an. Standard- bzw. Vorschlagswert ist „/usr/sap/<SID>/<InstNr>/log/
    audit_<SAP-Instanznummer>“
  • rsau/max_diskspace_local: Gibt maximale Länge des Audit Logs an. Der Standard- bzw. Vorschlagswert liegt bei 1.000.000 Byte
  • rsau/selection_slots: Gibt Anzahl der Speicherplätze der Auswahlmöglichkeiten für die anschließende Verfolgung sicherheitskritischer Ereignisse an. Der Standard- bzw. Vorschlagswert ist „2“

Empfehlungen zur Konfiguration des Security Audit Logs gibt es auch im Security Baseline Template der SAP, siehe Kapitel AUDIT: Audit Settings. Die Datei mit dem aktuellen SAP Security Baseline Template findet sich in Hinweis 2253549 bzw. unter https://support.sap.com/sos → Media Library → SAP Security Baseline Template.

In diesem Webinar erfahren Sie, wie Sie Ihr SAP System absichern und die Benutzerberechtigungen skalierbar und nachvollziehbar aufbauen können. Der Schwerpunkt liegt auf ERP-Systemen in der Version ECC 6.0 und S/4HANA – gilt aber grundsätzlich für alle ABAP-basierten Systeme.

Filter

Wenn Auditoren gewisse Ereignisse verfolgen und protokollieren möchten, erstellen sie dazu Filter. Die Information zu den Filtern wird im Kontrollblock des Shared Memory auf dem Anwendungsserver gespeichert. Das SAP System generiert die Audit-Meldungen anhand dieser vordefinierten Informationen und schreibt sie in die Audit-Datei. Die Filter haben folgende Informationen inne: Benutzer, Mandant, Audit-Klasse (Dialoganmeldung, RFC Funktionsaufruf, Transaktionsstart etc.) und Gewichtung der zu verfolgenden Ereignisse, ob es beispielsweise schwerwiegend oder nur kritisch zu bewerten ist.

Vorteile

Der SAP Security Audit Log bietet viele Möglichkeiten zum individuellen Customizing. Anwender können selbst definieren, welche Ereignisse sie besonders beobachten und protokollieren möchten. Anhand der Analyse und anschließenden ausführlichen Speicherung der Daten können Maßnahmen eingeleitet werden. Die hohe Automatisierung der einzelnen Schritte ermöglicht eine effiziente Arbeit der Auditoren.

FAQ zum SAP Security Audit Log

Was ist das SAP Security Audit Log?

Das SAP Security Audit Log protokolliert bestimmte Systeminformationen, die für die Sicherheit des SAP-Systems relevant sind. Dazu gehören zum Beispiel fehlgeschlagene Logins oder die Nutzung von Debugging-Funktionen zur Manipulation. IT-Auditoren können sich diese Informationen detailliert anzeigen lassen.

Wie funktioniert das SAP Security Audit Log?

Die Aktivierung des SAP Security Audit Log ermöglicht die Protokollierung verschiedener Aktivitäten und Kennzahlen. Zur anschließenden Evaluierung werden die Informationen in einem Audit-Analyse-Reports zusammengefasst. Dazu werden die gesammelten Informationen auf dem Anwendungsserver täglich in einer Audit-Datei gespeichert. Die protokollierten Informationen und Daten stehen langfristig für einen Zugriff zur Verfügung.

Weitere Informationen


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice