Show TOC

Auswerten der SAP-Gateway Log-DateiLocate this document in the navigation structure

Voraussetzungen

Die Registrierberechtigung gilt für alle Programme, das bedeutet, die reginfo-Datei besteht aus der Zeile TP=*.

Kontext

Die Auswertung der Log-Datei gibt Ihnen einen Überblick über die Kommunikation, die über das Gateway läuft. Sie sehen, welche externen Programme angestartet wurden und welche abgewiesen wurden (mit dem Grund). Dadurch kontrollieren Sie Ihre bestehende Konfiguration.

Wenn Sie die Logging-basierte Einstellung verwenden, können Sie nach der Auswertung der Log-Datei die Konfiguration der Sicherheitsdateien secinfo und reginfo Ihren Erfordernissen anpassen.

Empfehlung

SAP empfiehlt, mit einer restriktiven Konfiguration zu beginnen und dann nach Bedarf weitere Programme zuzulassen. Das Vorgehen ist im Abschnitt Sicherheitseinstellungen für externe Programme einrichten beschrieben.

Vorgehensweise


  1. Sehen Sie sich den Inhalt der Datei an. Sie können mit der Transaktion SMGW unter Anfang des Navigationspfads Springen Nächster Navigationsschritt Expertenfunktionen Nächster Navigationsschritt Logging Ende des Navigationspfads den Inhalt der Datei anzeigen oder lokal speichern.

    Da in der secinfo und reginfo alles erlaubt ist, sehen Sie nur Einträge mit reginfo accepted und secinfo accepted.

    Bei secinfo accepted wurde gegen die Einträge in der Datei secinfo geprüft.

    Bei reginfo accepted wurde gegen die Einträge in der Datei reginfo geprüft.

    S Wed Aug 01 2007 10:36:52:181 reginfo accepted server: TP=IGS.WDFD00146227A, HOST=WDFD00146227A

    S Wed Aug 01 2007 10:37:57:183 reginfo accepted server: TP=IGS.WDFD00146227A, HOST=WDFD00146227A

    S Wed Aug 01 2007 10:39:02:185 reginfo accepted server: TP=IGS.WDFD00146227A, HOST=WDFD00146227A

    S Wed Aug 01 2007 10:39:05:740 secinfo accepted: USER=MUSTER, USER-HOST=host1.wdf.sap.corp, HOST=ld8061.wdf.sap.corp, TP=gnetx.exe

    S Wed Aug 01 2007 10:39:48:577 secinfo accepted: USER=MUSTER, USER-HOST=host1.wdf.sap.corp, HOST=ld8061.wdf.sap.corp, TP=/usr/sap/BIN/SYS/exe/run/tp

  2. Ermitteln Sie die Einträge für die secinfo-Datei.

    Die secinfo-Einträge enthalten immer die folgende Bestandteile

    • USER=<name>: Benutzer, der das externe Programm starten möchte

    • USER-HOST=<userhost>: Rechnername, von dem aus das SAP-Gateway beauftragt wurde das Programm zu starten (beim Start aus dem System heraus ist das immer der Rechnername des Applikationsservers)

    • HOST=<host>: Rechner, auf dem das Programm angestartet wird

      Spezielle Werte für <host> sind "local" und "internal".

      Local steht synonym für alle IP-Adressen des eigenen Rechners.

      Internal steht synonym für alle IP-Adressen aller Rechner die in der Transaktion SM51 angezeigt werden, sowie aller IP-Adressen der Variablen SAPDBHOST.

      Die Liste wird sowohl bei jeder Neuanmeldung einer Instanz als auch periodisch alle fünf Minuten aktualisiert.

    • TP=<program name>: Programmname

    Sie könnten nun einfach alle doppelten Einträge aus der Log-Datei filtern und die verbleibenden Einträge in die secinfo-Datei schreiben. Damit wären alle Programme, so wie sie in der Umgebung abliefen, erlaubt.

    Falls es sich um viele Programme handelt, fassen Sie Einträge mit entsprechenden Wildcards zusammen, um die secinfo übersichtlicher zu gestalten.

    Beispiel

    Beispieleinträge für die secinfo-Datei

    TP=/usr/sap/BIN/SYS/exe/run/* erlaubt den Start aller im Executable-Verzeichnis des Servers

    HOST=* erlaubt das Anstarten auf beliebigen Rechnern. Denkbar ist hier auch die Einschränkung auf Subnetz-Masken oder Domain-Namen, z.B. 10.66.66.* oder *.sap.corp

    USER=* erlaubt die Benutzung des externen Programms für alle Benutzer

    Achtung

    Bei Programmen, die über SAPGUI angestartet werden, kann das SAP-Gateway nicht prüfen ob dieses SAPGUI erlaubt ist. Es wird zur Prüfung die IP-Adresse des Applikationsservers genommen (siehe nächste Zeile)

    S Wed Aug 01 2007 10:39:05:740 secinfo accepted: USER=MUSTER, USER-HOST=host1.wdf.sap.corp, HOST=host1.wdf.sap.corp, TP=gnetx.exe.

  3. Ermitteln Sie die Einträge für die reginfo-Datei.

    Die reginfo-Einträge enthalten immer die folgende Bestandteile

    • TP=<regi id>: Registrierungs-ID des Server-Programms, das sich registriert

    • HOST=<host>: Rechner, von dem sich der Server anmelden darf

    • ACCESS=<host>: Rechner, von dem der RFC-Client ein registriertes Programm benutzen darf

    • CANCEL=<host>: Rechner, von dem der RFC-Client ein registriertes Programm beenden darf

    Sie könnten nun einfach alle doppelten Einträge aus der Log-Datei filtern und die verbleibenden Einträge in die reginfo-Datei schreiben. Damit können sich alle Programme, so wie sie in der Umgebung abliefen, registrieren.

    Falls es sich um viele Programme handelt, fassen Sie Einträge mit entsprechenden Wildcards zusammen, um die reginfo übersichtlicher zu gestalten.

    Beispiel

    Beispieleinträge für die reginfo-Datei

    TP= IGS.WDFD00146227A HOST=* erlaubt das Registrieren von IGS.WDFD00146227A von jedem Rechner aus.

    TP=Bex* HOST=*sap.corp erlaubt Programmen mit der Registrierungs-ID Bex*, sich zu registrieren, sofern sie von Hosts aus dem SAP-Netzwerk kommen.

    Hinweis

    Falls Sie den Zugriff auf den registrierten Server, z.B. nur vom lokalen Applikationsserver, erlauben möchten, müssen Sie den Zusatz ACCESS=local hinzufügen. Entsprechend benötigen Sie den Zusatz CANCEL=local, um den Server aus der Transaktion SMGW zu beenden,

Nächste Schritte