Grundkonfiguration des Security Audit Log
Autor: Torsten Schmits | 14. Dezember 2023
In diesem Blog-Beitrag zeige ich Ihnen, wie eine einfache Konfiguration des Security Audit Log aussieht. Hierdurch kann ein Revisor alle relevanten Ereignisse in Ihrem SAP System einsehen und somit von Ihm gewünschte Nachverfolgungen anstellen.
Ich gehe in diesem Beitrag auf eine einfache Konfiguration des Security Audit Logs ein. Für mehr Optionen empfehle ich die Links ganz am Ende des Beitrags. Bevor relevante Ergebnisse im Log geprüft werden können, muss sowohl das Security Audit Log selbst korrekt konfiguriert worden sein als auch im Anschluss nutzbare Filter eingestellt worden sein.
Parameter des Security Audit Log
Über die Transaktion RZ10 können Profilparameter im Instanzprofil konfiguriert werden. Bitte beachten Sie hierbei, dass ein Neustart der Instanz notwendig ist, damit die geänderten Parameter in Kraft treten. Wir empfehlen folgende drei Einstellungen:
- Damit das Security Audit Log beim nächsten Start automatisch aktiv ist, empfehlen wir den Parameter rsau/enable auf den Wert 1 zu setzen
- Um später ausreichend Filter setzen zu können, halten wir einen Wert von 10 für den Parameter rsau/selection_slots für angemessen
- Da später bei den Filtern der selektieren Nutzer keine Mehrfachselektionen genutzt werden können, empfehlen wir rsau/user_selection auf 1 zu setzen, wodurch zumindest der Stern als Wildcard genutzt werden kann
Beratung und Unterstützung für SAP Berechtigungen und Security
Unsere zertifizierten Berater für SAP Security helfen Ihnen bei personellen Engpässen - sowohl im Betrieb als auch im Projekt.
Filter des Security Audit Log
Nachdem die zuvor genannten Parameter gesetzt wurden, können Sie in der SM19 Ihre gewünschten Filter zur Verwaltung, welche Ereignisse aufgezeichnet werden sollen, definieren. Erstellen Sie sich hierfür in der SM19 zunächst ein neues Profil oder selektieren ein Bestehendes.
Nun können Sie die konkreten Filter einstellen. Unsere Empfehlung dafür sieht so aus:
- Alle kritischen Aktionen von allen Usern in allen Mandanten
- Alle Aktionen von allen Usern, die mit „SAP“ beginnen in allen Mandanten
- Alle Aktionen von allen Notfall-Usern in allen Mandanten
- Alle Login- und Transaktionsereignisse für den Nutzer DDIC in allen Mandanten (der DDIC Nutzer sollte nicht im Dialog aktiv sein)
- Alle Aktionen von allen Usern im Mandanten 066 (Der SAP Standard-Mandant 066 ist alt und wird nicht mehr benötigt)
Die verbleibenden Filter können frei genutzt werden.
Nun müssen Sie diese Einstellungen nur noch speichern, auf allen Servern verteilen und aktivieren. Ein Popup zur Aktivierung auf allen Servern erscheint beim Speichern.
Auswertung des Security Audit Log
Für die Auswertung des Security Audit Log gehen Sie in die Transaktion SM20. Wählen Sie hier Ihre gewünschten Daten und klicken oben auf den Button zum neuen Lesen des Audit Logs.
Weiterführende Links
- Howto: Konfiguration des Security Audit Logs
- Security Audit Log auswerten und verstehen
- Kernel Parameter für das SAP Security Audit Log (SAL) – Vorsicht vor Inkonsistenzen