Jonas Krueger
 - 18. März 2019

Security Audit Log auswerten und verstehen

Das Security Audit Log stellt im SAP Standard eine wichtige Möglichkeit dar, auffälliges Nutzer- oder Systemverhalten aufzudecken und so Missbrauch oder Fehler zu erkennen. Um die Funktionalität nutzen zu können muss das Security Audit Log (SAL) ausgewertet und verstanden werden. In diesem Beitrag möchte ich Ihnen die Auswertung und Interpretation des SAL näherbringen.

Das Security Audit Log ist ein Werkzeug im SAP Standard, mit dem sicherheitstechnisch auffälliges Systemverhalten, beispielsweise Loginversuche mit falschem Passwort, aufgedeckt werden kann. Neben der korrekten Konfiguration des Security Audit Logs, auf die mein Kollege hier näher eingeht, ist dazu aber auch die Auswertung und der korrekte Umgang mit dem SAL wichtig.

Grundsätzliches zur Auswertung

Die Einträge, die im Security Audit Log gespeichert werden, unterteilen sich in 3 Risikostufen:

  • Kritisch, z. B. fehlgeschlagene Loginversuche
  • Schwerwiegend, z. B. Rechte eines Benutzers geändert
  • Unkritisch, z. B. Kennwort eines Benutzers geändert

Es werden nicht für alle User und Mandanten automatisch Ereignisse aller Risikostufen gespeichert und das wäre aus Gründen des Datenschutzes auch nicht zu empfehlen. Dies kann über den aktiven Filter gesteuert werden, weitere Informationen dazu finden Sie hier.

Bevor Sie das Security Audit Log für Dialogbenutzer verwenden oder auswerten, sollten Sie unbedingt auch Rücksprache mit Ihrem Betriebsrat halten und die Daten nur für den Zweck der Überwachung der Systemsicherheit verwenden und vertraulich behandeln.

Das Security Audit Log kann über die Transaktion SM20 ausgewertet werden.

Tobias Harmes
Wir unterstützen Sie bei der Konfiguration und Auswertung des Security Audit Logs!
Fachbereichsleiter Tobias Harmes

Möchten Sie das Security Audit Log in Zukunft besser nutzen und verstehen, um Sicherheitsrisiken zu erkennen und darauf zu reagieren? Gerne unterstützen wir Sie im Rahmen eines Workshops zum Security Audit Log bei der Einrichtung und schulen Sie für die Interpretation.

Kontaktieren Sie mich unverbindlich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

Löschen und Archivieren des SAL

Die Datengröße für das Security Audit Log ist in der Systemkonfiguration in der Regel begrenzt. Um die Datengröße unter Kontrolle zu halten wird empfohlen, die Logdateien regelmäßig auf Filesystem-Ebene zu archivieren und anschließend alte Einträge aus dem Log zu entfernen.

In der Transaktion SM18 können Sie die Logeinträge des Audit Log löschen, allerdings können, um das Verwischen von Spuren zu erschweren, grundsätzlich nur Einträge gelöscht werden, die mindestens 3 Tage alt sind. Weiterhin können keine einzelnen Einträge aus dem Log gelöscht werden, sondern nur alle Einträge die mindestens X Tage alt sind. Das Löschen des SAL wird im Security Audit Log selbst wiederum protokolliert.

Security Audit Log Auswertung verstehen

Die Auswertung des SAL kann über die Transaktion SM20 gestartet werden, wie im folgenden Bild erklärt. Hier können Sie den auszuwertenden Zeitraum einschränken (Markierung 1) sowie wenn gewünscht den auszuwertenden Mandanten oder Benutzer sowie die Audit-Klassen (Markierung 2). Anschließend wird das Log mit dem Button “AuditLog neu lesen” (Markierung 3) ausgelesen.

Transaktion SM20

Nach der Auswertung erhalten Sie eine Liste mit den Logeinträgen. Dort können Sie Datum und Uhrzeit des Ereignisses, den ausführenden Benutzer sowie das Ereignis / Meldungstext sehen.

Der Meldungstext ist farbig hinterlegt abhängig von der Risikostufe (kritisch = rot, schwerwiegend = gelb, unkritisch = grün). So können Sie auf einen Blick sehen, welche gravierenden Ereignisse im Log aufgetreten sind.

SAL_Auswertung

Gehen Sie nun die Logeinträge durch. Kritische oder schwerwiegende Ereignisse, besonders wenn sie wiederholt auftreten, können ein Hinweis auf einen Einbruchsversuch in das System (z. B. Passwort-Errate-Versuche) darstellen. Wenn Sie Unstimmigkeiten feststellen, reagieren Sie sofort, indem Sie den betroffenen Anwender ansprechen und / oder den betroffenen User umgehend sperren und seine Berechtigungen entziehen, bis das Ereignis aufgeklärt werden konnte.

Korrekt konfiguriert und regelmäßig ausgewertet kann das Security Audit Log einen wichtigen Beitrag zur Steigerung der Systemsicherheit leisten, da Sie Sicherheitsvorfälle damit aufdecken können. Mit einer softwaregestützten Auswertung, beispielsweise durch ein SIEM System, können schließlich bestimmte Muster, die auf einen Sicherheitsvorfall hindeuten, erkannt werden.

Haben Sie Fragen zur Einrichtung, Auswertung oder Interpretation des Security Audit Logs? Sprechen Sie mich gerne an, ich freue mich auf Ihre Nachricht.

Jonas Krueger

Mein Name ist Jonas Krueger und ich bin SAP Security Consultant bei mindsquare. Mein Spezialgebiet ist sicheres Benutzer- und Berechtigungsmanagement im SAP sowie die Prüfung und Absicherung von SAP Systemen.

Sie haben Fragen? Kontaktieren Sie mich!

Kostenloses E-Book zum Thema SAP GRC als Download:

Kostenloses E-Book zum Thema SAP Berechtigungskonzept als Download:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:



Das könnte Sie auch interessieren


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support