Torsten Schmits
 - 14. Dezember 2018

Konfiguration des Security Audit Log

Steht bei Ihnen im Hause bald auch wieder eine Revision an? Dann empfehlen wir eine korrekte Konfiguration des Security Audit Log.

In diesem Blog-Beitrag zeige ich Ihnen, wie unsere übliche Vorgehensweise zur Konfiguration des Security Audit Log aussieht. Hierdurch kann ein Revisor alle relevanten Ereignisse in Ihrem SAP System einsehen und somit von Ihm gewünschte Nachverfolgungen anstellen. Das Entscheidende hierbei ist jedoch, dass zuvor einerseits das Security Audit Log selbst korrekt konfiguriert wurde und im Anschluss auch nutzbare Filter eingestellt sind.

Parameter des Security Audit Log

Über die Transaktion RZ10 können Profilparameter im Instanzprofil konfiguriert werden. Bitte beachten Sie hierbei, dass ein Neustart der Instanz notwendig ist, damit die geänderten Parameter in Kraft treten. Wir empfehlen folgende drei Einstellungen:

  • Damit das Security Audit Log beim nächsten Start automatisch aktiv ist, empfehlen wir den Parameter rsau/enable auf den Wert 1 zu setzen
  • Um später ausreichend Filter setzen zu können, halten wir einen Wert von 10 für den Parameter rsau/selection_slots für angemessen
  • Da später bei den Filtern der selektieren Nutzer keine Mehrfachselektionen genutzt werden können, empfehlen wir rsau/user_selection auf 1 zu setzen, wodurch zumindest der Stern als Wildcard genutzt werden kann
Tobias Harmes
Wir helfen Ihnen, die IT-Sicherheit zu verbessern
Fachbereichsleiter Tobias Harmes

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Filter des Security Audit Log

Nachdem die zuvor genannten Parameter gesetzt wurden, können Sie in der SM19 Ihre gewünschten Filter zur Verwaltung, welche Ereignisse aufgezeichnet werden sollen, definieren. Erstellen Sie sich hierfür in der SM19 zunächst ein neues Profil oder selektieren ein Bestehendes.

Nun können Sie die konkreten Filter einstellen. Unsere Empfehlung dafür sieht so aus:

  • Alle kritischen Aktionen von allen Usern in allen Mandanten
  • Alle Aktionen von allen Usern, die mit „SAP“ beginnen in allen Mandanten
  • Alle Aktionen von allen Notfall-Usern in allen Mandanten
  • Alle Login- und Transaktionsereignisse für den Nutzer DDIC in allen Mandanten (der DDIC Nutzer sollte nicht im Dialog aktiv sein)
  • Alle Aktionen von allen Usern im Mandanten 066 (Der SAP Standard-Mandant 066 ist alt und wird nicht mehr benötigt)

Die verbleibenden Filter können frei genutzt werden.

Nun müssen Sie diese Einstellungen nur noch speichern, auf allen Servern verteilen und aktivieren. Ein Popup zur Aktivierung auf allen Servern erscheint beim Speichern.

Auswertung des Security Audit Log

Für die Auswertung des Security Audit Log gehen Sie in die Transaktion SM20. Wählen Sie hier Ihre gewünschten Daten und klicken oben auf den Button zum neuen Lesen des Audit Logs.


Mich interessieren Ihre Erfahrungen, haben Sie andere Filter für Ihr Security Audit Log gesetzt oder nutzen Sie komplett andere Vorgehensweisen?

Ich freue mich auf Ihre Anfragen!

Torsten Schmits

Ich bin Torsten Schmits und begeisterter SAP Berater bei der mindsquare. SAP Basis & Security sind mein Spezialgebiet.

Sie haben Fragen? Kontaktieren Sie mich!

Kostenloses E-Book zum Thema SAP GRC als Download:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:




Das könnte Sie auch interessieren


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support