Update – Neue Transaktionen fürs Security Audit Log
Autor: Jonas Krüger | 16. August 2019
Change Ahead! Ab dem SAP Release 750 gibt es neue Transaktionen für das Security Audit Log. Transaktionen wie SM18, SM19 und SM20 sind ab Release 750 nicht mehr oder nur noch eingeschränkt nutzbar. Auch die bisherigen Profilparameter werden abgelöst. Ich zeige Ihnen die neuen Transaktionen und weitere Änderungen auf.
Die Änderungen im Überblick
- Für die Konfiguration des Security Audit Log (bisher Transaktion SM19) gibt es nun die neue Transaktion RSAU_CONFIG. Zusätzlich gibt es nun neu eine reine Anzeige-Transaktion für die Konfiguration, die RSAU_CONFIG_SHOW. Auf die Änderungen in diesem Bereich gehe ich weiter unten noch einmal genauer ein.
- Die Parameter zur Konfiguration des Security Audit Log, die bisher über die Profilparameter rsau/* (z.B. rsau/enable) gesteuert wurden, können nun ebenfalls direkt in der RSAU_CONFIG gepflegt werden (dies war seit ERP 6.0 EHP 7 auch schon in der SM19 möglich). Achtung: Sobald die Parameter hier gesetzt werden, verlieren die Profilparameter ihre Wirkung. Das führt teils zu Verwirrung oder Inkonsistenzen. Dazu hat mein Kollege Bernhard Reiter einen detaillierten Artikel verfasst, den Sie hier finden.
- Das Lesen des Security Audit Logs erfolgt statt in der SM20 nun in der neuen Transaktion RSAU_READ_LOG. Das ist ein im Prinzip die Transaktion zu dem Report RSAU_SELECT_EVENTS, der schon in älteren Releases zur Verfügung stand. Archivierte Security Audit Log Dateien können über die Transaktion RSAU_READ_ARC ausgewertet werden. Zur Auswertung des Security Audit Log habe ich in diesem Beitrag mehr geschrieben.
Meine Kollegen und ich sind erfahrene und spezialisierte SAP Security Consultants. Wir unterstützen Sie gerne, melden Sie sich per E-Mail oder rufen Sie uns an.
Unsere Referenzen finden Sie hier.
Sie erreichen mich per Telefon 0211.9462 8572-25 oder per E-Mail cremer@rz10.de.
RSAU_CONFIG – Die neue SM19
Die Transaktion RSAU_CONFIG löst die SM19 ab. Bei neuen SAP-Releases ist die SM19 auch nicht mehr änderbar, es erscheint stattdessen eine Meldung, dass die RSAU_CONFIG zu nutzen ist. Die Darstellung der RSAU_CONFIG unterscheidet sich leicht von der SM19, beispielsweise durch den neuen Menübaum. Viele Funktionen sind nun über das Kontextmenü der Punkte im Baum zu erreichen. Beispielsweise kann mit Rechtsklick auf “Statische Konfiguration” ein neues Profil angelegt werden. Durch Rechtsklick auf das Profil können Filter hinzugefügt werden (dabei die in den Parametern gesetzte Anzahl möglicher Filter beachten) sowie das Profil aktiv gesetzt werden (siehe Screenshot).
RSAU_CONFIG_SHOW – Audit Log Konfiguration anzeigen
Die Änderung der Security Audit Log Konfiguration (mit RSAU_CONFIG oder SM19) stellt eine hochkritische Aktivität im System dar und ist in vielen Unternehmen nur dem Notfalluser oder wenigen Basis-Mitarbeitern vorbehalten. Andererseits wünschen sich IT-Sicherheitsverantwortliche, Datenschutzbeauftragte und interne wie externe Revisoren oft lesenden Zugriff auf die Security Audit Log Konfiguration.
Dies war bisher nur durch die Vergabe der SM19 und manuellen Rückbau auf Anzeige möglich. Dazu musste manuell im Berechtigungsobjekt S_ADMI_FCD die Ausprägung “AUDA” entfernt werden, die mit den SU24-Vorschlagswerten der SM19 eigentlich mitgeliefert wird. SAP stellt nun mit der RSAU_CONFIG_SHOW eine Anzeigetransaktion für die Konfiguration bereit. Die Ausprägungen AUDA und AUDD im Berechtigungsobjekt S_ADMI_FCD werden ebenfalls abgelöst und ersetzt durch das neue Berechtigungsobjekt S_SAL.
Für allgemeine Informationen zum Security Audit Log empfehle ich unsere Know How Seite zu diesem Thema.
Die Änderungen wirken, wie eingangs beschrieben, ab Kernel-Release 750. Die neuen Transaktionen sind teils auch schon in früheren Releases zu finden. Genaue Informationen finden Sie auch im Blog der SAP.
Welche Themen oder Fragen haben Sie im Zusammenhang mit dem Security Audit Log oder in anderen Bereichen der SAP Security? Wozu sollten wir mal einen Beitrag schreiben? Lassen Sie mir gerne einen Kommentar da!
2 Kommentare zu "Update – Neue Transaktionen fürs Security Audit Log"
Hallo Herr Krüger,
wie kann man denn einstellen, was in den “Permanent aktiven Ereignissen” aufgezeichnet wird? Unsere Wirtschaftsprüfer vermissen dort einige MeldungsIDs, die ich gerne hinzufügen würde, aber ich komme dort nicht in den Änderungsmodus rein. Alles andere kann ich ändern, nur die Einträge dort nicht …
Mit freundlichen Grüßen
Dirk Funke
Hallo Herr Funke,
danke für die Frage. Hier die Antwort unseres Experten:
“Permanent aktive Ereignisse” meint hier die Dinge, die das SAP-System in der dynamischen Konfiguration so wie so aufzeichnet, also im Default. Daran kann gar nichts geändert werden – das ist aber auch so gewollt.
Stattdessen können die weiteren Meldungs-IDs die die WP wollen über weitere dynamische Filter aktiviert werden. Gerne können wir hierzu einen Termin machen, schreiben Sie uns gerne eine Mail an info@rz10.de
Viele Grüße aus der RZ10.de-Redaktion