Aufbau des Security-Audit-Log (SAP-Bibliothek

Aufbau des Security-Audit-Log

Überblick

Das Security-Audit-Log zeichnet sicherheitsrelevante Aktivitäten in SAP-Systemen auf. Die Informationen werden auf jedem Anwendungsserver täglich in einer Audit-Datei aufgezeichnet. Das Audit-Log ermittelt anhand von Filtern, die in einem Kontrollblock im Speicher liegen, welche Informationen in die Datei zu schreiben sind. Tritt ein Ereignis ein, das einem aktiven Filter entspricht (z. B. der Start einer Transaktion), erstellt das Audit-Log eine entsprechende Audit-Meldung und schreibt sie in die Audit-Datei. Außerdem wird ein entsprechender Alert an den CCMS-Alert-Monitor geschickt. Details zu den Ereignissen finden Sie im Audit-Analysereport des Security-Audit-Log.

Aufbau des Security-Audit-Log

Diese Grafik wird im zugehörigen Text erklärt

Hinweis

SAP-Systeme pflegen ihre Audit-Logs täglich. Die Audit-Dateien der vorangegangenen Tage werden weder gelöscht noch überschrieben, sondern vom System solange aufbewahrt, bis Sie sie manuell löschen. Da sich große Datenmengen ansammeln können, sollten Sie die Dateien regelmäßig archivieren und die Originale auf dem Anwendungsserver löschen (siehe Alte Audit-Dateien löschen).

Audit-Datei / Audit-Datensatz

Die Audit-Dateien befinden sich auf den einzelnen Anwendungsservern. Den Namen und das Verzeichnis der Dateien definieren Sie in Profilparameter rsau/local/file . Tritt ein zu protokollierendes Ereignis ein, erzeugt das System einen entsprechenden Audit-Datensatz, auch Audit-Meldung, und schreibt ihn in die Datei. Der Audit-Datensatz enthält folgende Informationen (sofern bekannt):

Ereignisbezeichner (3 Zeichen langer Schlüssel)

SAP-Benutzerkennung und Mandant

Terminalnamen

Transaktionscode

Reportnamen

Uhrzeit und Datum des Ereignisses

Prozeß-ID

Modusnummer

Zusatzinformationen

Die maximale Größe der Audit-Datei definieren Sie in Profilparameter rsau/max_diskspace/local . Der Vorschlagswert ist 1.000.000 Byte (ca. 1 MB). Bei Erreichen der maximalen Größe wird die Verfolgung sicherheitsrelevanter Ereignisse gestoppt.

Filter

Die zu verfolgenden Ereignisse definieren Sie in Filtern. Die Informationen werden im Kontrollblock im Shared Memory des Anwendungsservers abgelegt. Anhand dieser Informationen bestimmt das SAP-System, welche Audit-Meldungen in die Audit-Datei geschrieben werden.

Filter bestehen aus folgenden Informationen:

Mandant
Benutzer
Audit-Klasse

Dialoganmeldung
RFC-/CPIC-Anmeldung
RFC-Funktionsaufruf
Transaktionsstart
Reportstart
Benutzerstammsatzänderung
sonstiges

Gewichtung der zu verfolgenden Ereignisse

nur kritische
schwerwiegende und kritische
alle

Weitere Informationen finden Sie unter Filter definieren.

Der Audit-Analysereport

Den Inhalt der Audit-Dateien können Sie im Audit-Analysereport anzeigen. Information über den Audit-Analysereport finden Sie unter Audit-Analysereport anzeigen und Audit-Analysereport lesen.

Alerts im Alert-Monitor des Computing Center Management System

Das Security-Audit-Log generiert auch Security-Alerts für die im Alert-Monitor des Computing Center Management System (CCMS) aufgezeichneten Ereignisse. Weitere Informationen finden Sie unter Security-Alerts im CCMS-Alert-Monitor.