在 Microsoft Sentinel 中收集 SAP HANA 审核日志
本文介绍如何从 SAP HANA 数据库收集审核日志。
重要
Microsoft Sentinel SAP HANA 支持目前以预览版形式提供。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
先决条件
SAP HANA 日志是通过 Syslog 发送的。 确保 Azure Monitor 代理配置为收集 Syslog 文件。 有关详细信息,请参阅:
有关详细信息,请参阅使用 Azure Monitor 代理将 syslog 和 CEF 消息引入 Microsoft Sentinel。
收集 SAP HANA 审核日志
请确保将 SAP HANA 审核日志跟踪配置为使用 Syslog,如 SAP 说明 0002624117 中所述,可从 SAP 启动板支持站点访问。 有关详细信息,请参阅:
查看操作系统 Syslog 文件,了解任何相关的 HANA 数据库事件。
以具有 sudo 权限的用户身份登录 HANA 数据库操作系统。
在计算机上安装代理并确认计算机已连接。 有关详细信息,请参阅安装和管理 Azure Monitor 代理。
配置代理以收集 Syslog 数据。 有关详细信息,请参阅使用 Azure Monitor 代理收集 Syslog 事件。
提示
由于保存 HANA 数据库事件的设施可以在不同的分发版之间更改,因此建议添加所有设施。 根据 Syslog 日志检查它们,然后移除任何不相关的内容。
验证配置
在 Microsoft Sentinel 和你的 SAP HANA 数据库中使用以下步骤验证系统的配置是否符合预期。
Microsoft Sentinel
在 Microsoft Sentinel 的“日志”页中,确认 HANA 数据库事件现在是否显示在引入的日志中。 例如,运行下列查询:
//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];
let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')
SAP HANA
在你的 SAP HANA 数据库中,检查已配置的审核策略。 有关所需 SQL 语句的详细信息,请参阅 SAP 说明 3016478。
在 Microsoft Sentinel 中为 SAP HANA 添加分析规则
使用以下内置分析规则促使 Microsoft Sentinel 开始触发相关 SAP HANA 活动的警报:
- SAP -(预览版)HANA DB - 分配管理员授权
- SAP -(预览版)HANA DB - 审核线索策略更改
- SAP -(预览版)HANA DB - 停用审核线索
- SAP -(预览版)HANA DB - 用户管理员操作
有关详细信息,请参阅适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序:安全内容参考。
相关内容
详细了解适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序:
- 部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序
- 部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序的先决条件
- 部署 SAP 更改请求 (CR) 并配置授权
- 从内容中心部署解决方案内容
- 部署并配置托管 SAP 数据连接器代理的容器
- 使用 SNC 部署 SAP 数据连接器
- 监控 SAP 系统的运行状况
- 启用并配置 SAP 审核
疑难解答:
- 适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序部署故障排除
- SYSLOG 中未生成 HANA 审核日志 | SAP 说明
- 如何将 HANA 的 syslog 审核重定向到备用位置 | SAP 说明
参考文件:
- 适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序数据参考
- 适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序:安全内容参考
- Kickstart 脚本参考
- 更新脚本参考
- Systemconfig.ini 文件参考
要了解详情,请参阅 Microsoft Sentinel 解决方案。