SAP Security Audit Log

1
SAP Security Check

Der SAP Security Audit Log protokolliert bestimmte Systeminformationen, die für die Sicherheit des SAP-Systems relevant sind. IT-Auditoren können sich diese Informationen detailliert anzeigen lassen.

Eigenschaften

Der SAP Security Audit Log ermöglicht die Aufzeichnung von sicherheitsrelevanten Systeminformationen wie beispielsweise Änderungen an Stammdaten oder erfolglose Anmeldeversuche. Das Protokoll ermöglicht den Auditoren eine Übersicht der (kritischen) Ereignisse im AS ABAP System.

Der AS ABAP ermöglicht eine Vielzahl von Protokollen für die Systemadministration, Überwachung, Problemlösung und Auditierung. Audits und Protokolle sind wichtig, um die Sicherheit des Systems zu überwachen und bei auftretenden Problemen eine lückenlose Protokollierung zu gewährleisten.

Funktionsweise

Die Aktivierung des SAP Security Audit Log ermöglicht die Protokollierung verschiedener Aktivitäten und Kennzahlen. Zur anschließenden Evaluierung werden die Informationen in einem Audit-Analyse-Reports zusammengefasst. Dazu werden die gesammelten Informationen auf dem Anwendungsserver täglich in einer Audit-Datei gespeichert. Die protokollierten Informationen und Daten stehen langfristig für einen Zugriff zur Verfügung. Dazu bleiben die Audit-Dateien solange gespeichert, bis sie endgültig gelöscht werden. Derzeit lassen sich die Dateien auch manuell jedoch nicht automatisch archivieren.

Möglichkeiten zur Protokollierung

Mit dem SAP Security Audit Log können verschiedene Informationen je nach Konfiguration aufgezeichnet und überwacht werden. Dazu gehören Änderungen in Benutzerstammsätzen, Änderungen an Auditkonfigurationen sowie RFC-Aufrufe von Funktionsbausteinen. Außerdem können erfolgreiche und erfolglose Dialoganmeldeversuche und RFC-Anmeldeversuche sowie erfolgreiche und erfolglose Transaktionsstarts protokolliert werden.

Analyse des Security Audit Log | Quelle: SAP

Aufbau des SAP Security Audit Log

Das SAP Security Audit Log arbeitet mit Filtern, die im Kontrollblock im Speicher liegen, welche Informationen in die Datei geschrieben werden sollen. Wenn ein (kritisches) Ereignis eintritt, für das ein spezifischer Filter verantwortlich ist, wird eine Audit-Meldung erstellt und diese in eine Audit-Datei geschrieben. Gleichzeitig läuft ein zugehöriger Alert an den CCMS-Alert-Monitor.

Aufbau des Security Audit Logs | Quelle: SAP

Audit-Datensatz

Auf den Anwendungsservern werden die entstandenen Audit-Dateien abgelegt. Mit den unten genannten Profilparametern können die Eigenschaften dieser Dateien definiert werden. Der Audit-Datensatz erhält normalerweise folgende Informationen:

  • Ereignisbezeichner (Schlüssel mit 3 Zeichen langer Kennung)
  • SAP Benutzererkennung und Mandant
  • Terminalnamen
  • Transaktionscodes
  • Reportnamen
  • Ereignisdatum und -uhrzeit
  • ID des Prozesses
  • Modusnummer
  • Und ggf. Zusatzinformationen

Wichtige Transaktionen und Profilparameter

Die Aktivitäten, die protokolliert werden sollen, können über die Transaktion SM19 – in neueren Releases rsau/config – angegeben werden. Mit der Transaktion SM20 oder rsau_read_log in neueren Releases können die Protokolle ausgelesen werden. Das Löschen der Einträge ist mit SM 18 oder mit rsau_admin möglich.

Wie bereits erwähnt, erfolgt die Ablage der Daten auf eigenen Applikationsservern. Die folgenden Profilparameter geben das jeweilige Dateiverzeichnis und die maximale Größe an:

  • rsau/enable: Aktiviert das Audit Log auf dem Anwendungsserver. Der Standardwert ist „0“, d.h. Audit-Log ist nicht aktiviert
  • rsau/local/file: Gibt das Verzeichnis des Audit Logs auf dem zugehörigen Anwendungsserver an. Standard- bzw. Vorschlagswert ist „/usr/sap/<SID>/<InstNr>/log/
    audit_<SAP-Instanznummer>“
  • rsau/max_diskspace_local: Gibt maximale Länge des Audit Logs an. Der Standard- bzw. Vorschlagswert liegt bei 1.000.000 Byte
  • rsau/selection_slots: Gibt Anzahl der Speicherplätze der Auswahlmöglichkeiten für die anschließende Verfolgung sicherheitskritischer Ereignisse an. Der Standard- bzw. Vorschlagswert ist „2“

Filter

Wenn Auditoren gewisse Ereignisse verfolgen und protokollieren möchten, erstellen sie dazu Filter. Die Information zu den Filtern wird im Kontrollblock des Shared Memory auf dem Anwendungsserver gespeichert. Das SAP System generiert die Audit-Meldungen anhand dieser vordefinierten Informationen und schreibt sie in die Audit-Datei. Die Filter haben folgende Informationen inne: Benutzer, Mandant, Audit-Klasse (Dialoganmeldung, RFC Funktionsaufruf, Transaktionsstart etc.) und Gewichtung der zu verfolgenden Ereignisse, ob es beispielsweise schwerwiegend oder nur kritisch zu bewerten ist.

Vorteile

Der SAP Security Audit Log bietet viele Möglichkeiten zum individuellen Customizing. Anwender können selbst definieren, welche Ereignisse sie besonders beobachten und protokollieren möchten. Anhand der Analyse und anschließenden ausführlichen Speicherung der Daten können Maßnahmen eingeleitet werden. Die hohe Automatisierung der einzelnen Schritte ermöglicht eine effiziente Arbeit der Auditoren.

Weitere Informationen

HowTo: Konfiguration des SAP Security Audit Log: https://rz10.de/sap-berechtigungen/aktivierung-und-konfiguration-des-sap-security-audit-log/

Grundkonfigurationen des Security Audit Log: https://rz10.de/sap-grc/konfiguration-des-security-audit-log/

Security Audit Log auswerten und verstehen: https://rz10.de/sap-security-automation/security-audit-log-auswerten-und-verstehen/

Security-Audit-Log: https://help.sap.com/doc/saphelp_dm40/4.0/de-DE/2c/c59d37d373243de10000009b38f8cf/frameset.htm


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support