Grundkonfiguration des Security Audit Log

Autor: Torsten Schmits | 14. Dezember 2018

21 | #Security Audit Log

In diesem Blog-Beitrag zeige ich Ihnen, wie eine einfache Konfiguration des Security Audit Log aussieht. Hierdurch kann ein Revisor alle relevanten Ereignisse in Ihrem SAP System einsehen und somit von Ihm gewünschte Nachverfolgungen anstellen.

Ich gehe in diesem Beitrag auf eine einfache Konfiguration des Security Audit Logs ein. Für mehr Optionen empfehle ich die Links ganz am Ende des Beitrags. Bevor relevante Ergebnisse im Log geprüft werden können, muss sowohl das Security Audit Log selbst korrekt konfiguriert worden sein als auch im Anschluss nutzbare Filter eingestellt worden sein.

Parameter des Security Audit Log

Über die Transaktion RZ10 können Profilparameter im Instanzprofil konfiguriert werden. Bitte beachten Sie hierbei, dass ein Neustart der Instanz notwendig ist, damit die geänderten Parameter in Kraft treten. Wir empfehlen folgende drei Einstellungen:

  • Damit das Security Audit Log beim nächsten Start automatisch aktiv ist, empfehlen wir den Parameter rsau/enable auf den Wert 1 zu setzen
  • Um später ausreichend Filter setzen zu können, halten wir einen Wert von 10 für den Parameter rsau/selection_slots für angemessen
  • Da später bei den Filtern der selektieren Nutzer keine Mehrfachselektionen genutzt werden können, empfehlen wir rsau/user_selection auf 1 zu setzen, wodurch zumindest der Stern als Wildcard genutzt werden kann

Beratung und Unterstützung für SAP Berechtigungen und Security

Unsere zertifizierten Berater für SAP Security helfen Ihnen bei personellen Engpässen - sowohl im Betrieb als auch im Projekt.

Filter des Security Audit Log

Nachdem die zuvor genannten Parameter gesetzt wurden, können Sie in der SM19 Ihre gewünschten Filter zur Verwaltung, welche Ereignisse aufgezeichnet werden sollen, definieren. Erstellen Sie sich hierfür in der SM19 zunächst ein neues Profil oder selektieren ein Bestehendes.

Nun können Sie die konkreten Filter einstellen. Unsere Empfehlung dafür sieht so aus:

  • Alle kritischen Aktionen von allen Usern in allen Mandanten
  • Alle Aktionen von allen Usern, die mit “SAP” beginnen in allen Mandanten
  • Alle Aktionen von allen Notfall-Usern in allen Mandanten
  • Alle Login- und Transaktionsereignisse für den Nutzer DDIC in allen Mandanten (der DDIC Nutzer sollte nicht im Dialog aktiv sein)
  • Alle Aktionen von allen Usern im Mandanten 066 (Der SAP Standard-Mandant 066 ist alt und wird nicht mehr benötigt)

Die verbleibenden Filter können frei genutzt werden.

SAP Security& Berechtigungen

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Nun müssen Sie diese Einstellungen nur noch speichern, auf allen Servern verteilen und aktivieren. Ein Popup zur Aktivierung auf allen Servern erscheint beim Speichern.

Auswertung des Security Audit Log

Für die Auswertung des Security Audit Log gehen Sie in die Transaktion SM20. Wählen Sie hier Ihre gewünschten Daten und klicken oben auf den Button zum neuen Lesen des Audit Logs.

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Torsten Schmits

Autor

Torsten Schmits

M. Sc. Informatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice