SAP アプリケーション用の Microsoft Sentinel ソリューションのログとテーブルのリファレンス

2025-04-30
適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

この記事では、SAP アプリケーションとそのデータコネクタ用の Microsoft Sentinel ソリューションの一部として使用できるログとテーブルについて説明します。

この記事で説明されている一部のログは、既定では Microsoft Sentinel に送信されませんが、必要に応じて手動で追加できます。詳細については、「Microsoft Sentinel に送信される SAP ログの定義」を参照してください。

この記事の内容は、 SAP BASIS チームを対象としています。

重要

記載されている機能は、現在プレビュー段階です。エージェントレスデータコネクタは 、制限付きプレビュー段階です。 Azure プレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていない Azure 機能に適用される追加の法的条件が含まれています。

基になるログやテーブルの代わりにクエリで関数を使用する

基になるログやテーブルではなく、可能な限り分析の対象として使用可能な関数を使用することをお勧めします。

SAP アプリケーション用の Microsoft Sentinel ソリューションで提供される関数は、データのプリンシパルユーザーインターフェイスとして機能することを目的としています。これらは、既定で使用できるすべての組み込みの分析ルールとブックの基礎を形成しています。関数を使用すると、ユーザーが作成したコンテンツを中断することなく、関数の下のデータインフラストラクチャに変更を加えることができます。

詳細については、「 SAP アプリケーションの Microsoft Sentinel ソリューション -Azure Monitor ログクエリの関数リファレンスと Functions」を参照してください。

ログカバレッジ

SAP アプリケーション用の Microsoft Sentinel ソリューションは、アプリケーション、OS、およびデータ層からログを収集し、SAP システムを包括的に保護します。

アプリケーション層: Microsoft Sentinel は、SAP システムの主要なアプリケーション層である ABAP レイヤー内のアクティビティを監視します。これは、ビジネスロジックの実行とトランザクションの処理を担当します。たとえば、Microsoft Sentinel は、サインイン、パスワードの変更、レポートやファイルへのアクセスなどのユーザーアクションを含むログを収集します。

セキュリティ監視に加えて、アプリケーション層で収集されたログは、コンプライアンスと監査の目的でも使用できます。
OS レイヤー: Microsoft Sentinel は、オペレーティングシステムからログを収集して、ABAP サーバーや SAP アプリケーションが実行されている仮想マシンなどの OS レベルのアクティビティに関する分析情報を提供します。

SAP アプリケーション用の Microsoft Sentinel ソリューションを、他のサービス用のセキュリティコンテンツとデータコネクタと共に使用して、包括的かつ一元的な監視を行い、すべてのシステム間で情報を関連付け、全体的なセキュリティ体制を強化します。
データベースレイヤー: データベース管理アクティビティやテーブルデータの変更など、データベースアクティビティを監視するために、データベースログを Microsoft Sentinel に取り込みます。 SAP アプリケーション用の Microsoft Sentinel ソリューションは、データベースに依存しません。

データコネクタエージェントによって収集されたすべてのログは、最初にデータコレクターエージェントマシンのコンテナーインスタンス内 /opt/sapcon/<sid>/log フォルダーに格納されます。その後、ログは Log Analytics ワークスペースに転送され、Microsoft Sentinel からログを表示、監査、クエリできます。

監査ログは毎分収集および取り込まれますが、他のログの取り込み頻度は低くなります。また、Microsoft Sentinel は、データコネクタエージェントのハートビートを監視して、ログが収集され、Log Analytics ワークスペースに送信されていることを確認します。

エージェントレスデータコネクタによって収集されたログ (制限付きプレビュー)

次の組み込みの Log Analytics テーブルは、エージェントレスデータコネクタによって収集されます。

データコネクタエージェントのログリファレンス

次のセクションでは、Microsoft Sentinel のテーブル名、ログの目的、詳細なログスキーマなど、MICROSOFT Sentinel ソリューション for SAP アプリケーションデータコネクタから使用できる SAP ログについて説明します。

スキーマフィールドの説明は、関連する SAP ドキュメントのフィールドの説明に基づいています。

ABAP アプリケーションログ
ABAP 変更ドキュメントログ
ABAP CR ログ
ABAP DB テーブルデータログ (プレビュー)
ABAP ゲートウェイログ (プレビュー)
ABAP ICM ログ (プレビュー)
ABAP ジョブログ
ABAP セキュリティ監査ログ
ABAP スプールログ
APAB スプール出力ログ
ABAP SysLog
ABAP ワークフローログ
ABAP WorkProcess ログ
HANA DB 監査証跡
JAVA ファイル
SAP ハートビートログ

ABAP アプリケーションログ

このログを照会するための Microsoft Sentinel 関数: SAPAppLog
関連 SAP ドキュメント: SAP ヘルプポータル
ログの目的: 後で必要に応じて再構築できるように、アプリケーションの実行の進行状況を記録します。

XBP インターフェイスの標準 SAP テーブルと標準サービスに基づく RFC を使用して利用できます。このログは、クライアントごとに生成されます。

このログは、データコネクタエージェントでのみ取り込まれます。

ABAPAppLog_CL ログスキーマ

フィールド	説明
AppLogDateTime	アプリケーションログの日時
CallbackProgram	コールバックプログラム
CallbackRoutine	コールバックルーチン
コールバックタイプ	コールバックの種類
ClientID	ABAP クライアント ID (MANDT)
ContextDDIC	コンテキストの DDIC 構造
ExternalID	外部ログ ID
ホスト	ホスト
インスタンス	次の構文の ABAP インスタンス: `<HOST>_<SYSID>_<SYSNR>`
InternalMessageSerial	アプリケーションログメッセージのシリアル
LevelofDetail	詳細レベル
LogHandle	アプリケーションログのハンドル
LogNumber	ログ番号
メッセージクラス	message クラス
MessageNumber	メッセージ番号
[MessageText]	[メッセージテキスト]
メッセージタイプ	メッセージの種類
オブジェクト	アプリケーションログオブジェクト
オペレーションモード	操作モード
ProblemClass	問題クラス
ProgramName	プログラム名
SortCriterion	並べ替え条件
StandardText	標準テキスト
サブオブジェクト	アプリケーションログのサブオブジェクト
SystemID	システム ID
システム番号	システム数
取引コード	トランザクションコード
ユーザー	ユーザー
UserChange	ユーザーの変更

ABAP 変更文書ログ

このログを照会するための Microsoft Sentinel 関数: SAPChangeDocsLog
関連 SAP ドキュメント: SAP ヘルプポータル
ログの目的: レコード:
- 変更文書におけるビジネスデータオブジェクトに対する SAP NetWeaver Application Server (AS) ABAP ログの変更。
- SAP システム内のその他のエンティティ (ユーザーデータ、ロール、アドレスなど)。
標準 SAP テーブルに基づく RFC を使用して利用できます。このログは、クライアントごとに生成されます。

ABAPChangeDocsLog_CL ログスキーマ

フィールド	説明
ActualChangeNum	実際の変更番号
ChangedTableKey	変更されたテーブルキー
ChangeNumber	変更番号
ClientID	ABAP クライアント ID (MANDT)
CreatedfromPlannedChange	予定された変更から次の構文で作成されます: `(‘X’ , ‘ ‘)`
CurrencyKeyNew	通貨キー: 新しい値
CurrencyKeyOld	通貨キー: 古い値
フィールド名	フィールド名
FlagText	フラグテキスト
ホスト	ホスト
インスタンス	次の構文の ABAP インスタンス: `<HOST>_<SYSID>_<SYSNR>`
言語	言語
ObjectClass	オブジェクトクラス (`BELEG`、`BPAR`、`PFCG`、`IDENTITY`)
オブジェクトID	オブジェクト ID
PlannedChangeNum	予定された変更番号
SystemID	システム ID
システム番号	システム数
テーブル名	テーブル名
取引コード	トランザクションコード
TypeofChange_Header	変更のヘッダータイプ (例): `U` = 変更、`I` = 挿入、`E` = 単一文書の削除、`D` = 削除、`J` = 単一文書の挿入
TypeofChange_Item	変更のアイテムタイプ (例): `U` = 変更、`I` = 挿入、`E` = 単一文書の削除、`D` = 削除、`J` = 単一文書の挿入
UOMNew	測定単位: 新しい値
UOMOld	測定単位: 古い値
ユーザー	ユーザー
ValueNew	フィールドの内容: 新しい値
ValueOld	フィールドの内容: 古い値
バージョン	バージョン

ABAP CR ログ

このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPCRLog
関連 SAP ドキュメント: SAP ヘルプポータル
ログの目的: 変更が行われたディレクトリオブジェクトとカスタマイズを含む、変更およびトランスポートシステム (CTS) ログが含まれます。

標準テーブルと標準 SAP サービスに基づく RFC を使用して利用できます。このログは、すべてのクライアントにわたるデータを使用して生成されます。

注

アプリケーションログ、変更文書、テーブルの記録に加え、Change & Transport System を使用して運用システムに行うあらゆる変更が CTS ログと TMS ログに記録されます。

ABAPCRLog_CL ログスキーマ

フィールド	説明
カテゴリ	カテゴリ (ワークベンチ、カスタマイズ)
ClientID	ABAP クライアント ID (MANDT)
説明	説明
ホスト	ホスト
インスタンス	次の構文の ABAP インスタンス: `<HOST>_<SYSID>_<SYSNR>`
オブジェクト名	オブジェクト名
オブジェクトタイプ	オブジェクトの種類
所有者	所有者
要求	変更要求
ステータス	ステータス
SystemID	システム ID
システム番号	システム数
TableKey	テーブルキー
テーブル名	テーブル名
ViewName	ビューの名前

ABAP DB テーブルデータログ（プレビュー）

このログを Microsoft Sentinel に送信するには、systemconfig.json ファイルに手動で追加する必要があります。推奨される手順を使用してポータルからデータコネクタエージェントをインストールする場合、このログはサポートされません。

このログを照会するための Microsoft Sentinel 関数: SAPTableDataLog
関連 SAP ドキュメント: SAP ヘルプポータル
ログの目的: 重大なテーブルや監査の影響を受けやすいテーブルのログ記録を提供します。

カスタムサービスと RFC を併用することで利用できます。このログは、すべてのクライアントにわたるデータを使用して生成されます。

ABAPTableDataLog_CL ログスキーマ

フィールド	説明
DBLogID	DB ログ ID
ホスト	ホスト
インスタンス	次の構文の ABAP インスタンス: `<HOST>_<SYSID>_<SYSNR>`
言語	言語
LogKey	ログキー
新しい価値	フィールドの新しい値
旧値	フィールドの古い値
OperationTypeSQL	操作の種類 (`Insert`、`Update`、`Delete`)
プログラム	プログラム名
SystemID	システム ID
システム番号	システム数
テーブルフィールド	テーブルのフィールド
テーブル名	テーブル名
取引コード	トランザクションコード
UserName	ユーザー
バージョン番号	バージョン番号

ABAP ゲートウェイログ（プレビュー）

このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPOS_GW
関連 SAP ドキュメント: SAP ヘルプポータル
ログの目的: ゲートウェイアクティビティを監視します。 SAP Control Web サービスで使用できます。このログは、すべてのクライアントにわたるデータを使用して生成されます。

ABAPOS_GW_CL ログスキーマ

フィールド	説明
ホスト	ホスト
インスタンス	次の構文の ABAP インスタンス: `<HOST>_<SYSID>_<SYSNR>`
[MessageText]	[メッセージテキスト]
重大度	メッセージの重大度: `Debug`、`Info`、`Warning`、`Error`
SystemID	システム ID
システム番号	システム数

ABAP ICM ログ（プレビュー）

このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPOS_ICM
関連 SAP ドキュメント: SAP ヘルプポータル
ログの目的: 受信要求と送信要求を記録し、HTTP 要求の統計をコンパイルします。

SAP Control Web サービスで使用できます。このログは、すべてのクライアントにわたるデータを使用して生成されます。

ABAPOS_ICM_CL ログスキーマ

フィールド	説明
ホスト	ホスト
インスタンス	次の構文の ABAP インスタンス: `<HOST>_<SYSID>_<SYSNR>`
[MessageText]	[メッセージテキスト]
重大度	メッセージの重大度 (例): `Debug`、`Info`、`Warning`、`Error`
SystemID	システム ID
システム番号	システム数

ABAP ジョブログ

このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPJobLog
関連 SAP ドキュメント: SAP ヘルプポータル
ログの目的: すべてのバックグラウンド処理ジョブログ (SM37) を結合します。

XBP インターフェイスの標準 SAP テーブルと標準サービスに基づく RFC を使用して利用できます。このログは、すべてのクライアントにわたるデータを使用して生成されます。

ABAPJobLog_CL ログスキーマ

フィールド	説明
ABAPProgram	ABAP プログラム
BgdEventParameters	バックグラウンドイベントのパラメーター
BgdProcessingEvent	バックグラウンド処理イベント
ClientID	ABAP クライアント ID (MANDT)
DynproNumber	Dynpro 番号
GUIStatus	GUI の状態
ホスト	ホスト
インスタンス	次の構文の ABAP インスタンス (HOST_SYSID_SYSNR): `<HOST>_<SYSID>_<SYSNR>`
JobClassification	ジョブ分類
JobCount	ジョブ数
JobGroup	ジョブグループ
JobName	ジョブ名
ジョブプライオリティ	ジョブの優先順位
メッセージクラス	message クラス
MessageNumber	メッセージ番号
[MessageText]	[メッセージテキスト]
メッセージタイプ	メッセージの種類
ReleaseUser	ジョブのリリースユーザー
SchedulingDateTime	スケジューリング日時
開始日時	開始日時
SystemID	システム ID
システム番号	システム数
TargetServer	ターゲットサーバー
ユーザー	ユーザー
UserReleaseInstance	ABAP インスタンス - ユーザーリリース
WorkProcessID	作業プロセス ID
WorkProcessNumber	作業プロセス番号

ABAP セキュリティ監査ログ

このログを照会するための Microsoft Sentinel 関数: SAPAuditLog
関連 SAP ドキュメント: SAP ヘルプポータル
ログの目的: 次のデータを記録します。
- メインユーザーレコードの変更など、SAP システム環境に対するセキュリティ関連の変更
- 比較的大まかなデータを提供する情報 (サインイン試行の成功と失敗など)
- 一連のイベントの再構築を可能にする情報 (トランザクション開始の成功、失敗など)
RFC XAL または SAL インターフェイスを介して利用できます。 SAL は、Basis 7.50 バージョン以降で提供されます。このログは、すべてのクライアントにわたるデータを使用して生成されます。

ABAPAuditLog_CL ログスキーマ

フィールド	説明
ABAPProgramName	プログラム名 (SAL のみ)
アラート重大度	アラートの重大度
AlertSeverityText	アラートの重大度テキスト (SAL のみ)
アラート値	アラートの値
AuditClassID	監査クラス ID (SAL のみ)
ClientID	ABAP クライアント ID (MANDT)
コンピューター	ユーザーマシン (SAL のみ)
電子メール	ユーザーの電子メール
ホスト	ホスト
インスタンス	次の構文の ABAP インスタンス: `<HOST>_<SYSID>_<SYSNR>`
メッセージクラス	message クラス
MessageContainerID	メッセージコンテナー ID (XAL のみ)
MessageID	メッセージ ID (`‘AU1’,’AU2’…` など)
[MessageText]	[メッセージテキスト]
監視オブジェクト名	MTE モニターオブジェクト名 (XAL のみ)
モニターショートネーム	MTE モニターの短い名前 (XAL のみ)
SAPProcessType	システムログ: SAP プロセスタイプ (SAL のみ)
B* - バックグラウンド処理
D* - ダイアログ処理
U* - 更新タスク
SAPWPName	システムログ: 作業プロセス番号 (SAL のみ)
SystemID	システム ID
システム番号	システム数
TerminalIPv6	ユーザーマシン IP (SAL のみ)
取引コード	トランザクションコード (SAL のみ)
ユーザー	ユーザー
Variable1	メッセージ変数 1
Variable2	メッセージ変数 2
Variable3	メッセージ変数 3
Variable4	メッセージ変数 4

ABAP スプールログ

このログを照会するための Microsoft Sentinel 関数: SAPSpoolLog
関連 SAP ドキュメント: SAP ヘルプポータル
ログの目的: スプール要求の履歴を含む SAP 印刷のメインログとして機能します。 (SP01)。

標準 SAP テーブルに基づく RFC を使用して利用できます。このログは、すべてのクライアントにわたるデータを使用して生成されます。

ABAPSpoolLog_CL ログスキーマ

フィールド	説明
アーカイブステータス	アーカイブ状態
ArchiveType	アーカイブの種類
ArchivingDevice	アーカイブデバイス
AutoRereoute	自動再ルーティング
ClientID	ABAP クライアント ID (MANDT)
CountryKey	国/地域キー
DeleteSpoolRequestAuto	スプール要求の自動削除
DelFlag	削除フラグ
部署	部署
文書タイプ	ドキュメントの種類
ExternalMode	外部モード
フォーマットタイプ	形式の種類
ホスト	ホスト
インスタンス	次の構文の ABAP インスタンス: `<HOST>_<SYSID>_<SYSNR>`
NumofCopies	[部数]
OutputDevice	出力デバイス
PrinterLongName	プリンターの長い名前
PrintImmediately	即時印刷
PrintOSCoverPage	OSCover ページの印刷
PrintSAPCoverPage	SAPCover ページの印刷
優先度	優先度
RecipientofSpoolRequest	スプール要求の受信者
SpoolErrorStatus	スプールエラーの状態
SpoolRequestCompleted	スプール要求完了
SpoolRequestisALogForAnotherRequest	スプール要求が別の要求のログになっている
SpoolRequestName	スプール要求の名前
SpoolRequestNumber	スプール要求番号
SpoolRequestSuffix1	スプール要求のサフィックス 1
SpoolRequestSuffix2	スプール要求のサフィックス 2
SpoolRequestTitle	スプール要求のタイトル
SystemID	システム ID
システム番号	システム数
TelecommunicationsPartner	通信パートナー
TelecommunicationsPartnerE	通信パートナー E
TemSeGeneralcounter	TemSe カウンター
TemseNumAddProtectionRule	TemSe の追加保護ルール番号
TemseNumChangeProtectionRule	TemSe の変更保護ルール番号
TemseNumDeleteProtectionRule	TemSe の削除保護ルール番号
TemSeObjectName	TemSe オブジェクト名
TemSeObjectPart	TemSe オブジェクトパーツ
TemseReadProtectionRule	TemSe 読み取り保護ルール
ユーザー	ユーザー
ValueAuthCheck	値承認チェック

APAB スプール出力ログ

このログを照会するための Microsoft Sentinel 関数: SAPSpoolOutputLog
関連 SAP ドキュメント: SAP ヘルプポータル
ログの目的: スプール出力要求の履歴を含む SAP 印刷のメインログとして機能します。 (SP02)。

標準テーブルに基づくカスタムサービスと RFC を併用することで利用できます。このログは、すべてのクライアントにわたるデータを使用して生成されます。

ABAPSpoolOutputLog_CL ログスキーマ

フィールド	説明
AppServer	アプリケーションサーバー
ClientID	ABAP クライアント ID (MANDT)
コメント	コメント
CopyCount	コピー数
CopyCounter	コピーカウンター
部署	部署
ErrorSpoolRequestNumber	エラー要求番号
フォーマットタイプ	形式の種類
ホスト	ホスト
ホストネーム	ホスト名
HostSpoolerID	ホストスプーラー ID
インスタンス	ABAP インスタンス
最終ページ	最後のページ
NumofCopies	[部数]
OutputDevice	出力デバイス
OutputRequestNumber	出力要求番号
OutputRequestStatus	出力要求の状態
PhysicalFormatType	物理フォーマットタイプ
PrinterLongName	プリンターの長い名前
PrintRequestSize	印刷要求のサイズ
優先度	優先度
ReasonforOutputRequest	出力要求の理由
RecipientofSpoolRequest	スプール要求の受信者
SpoolNumberofOutputReqProcessed	出力要求の数 - 処理済み
SpoolNumberofOutputReqWithErrors	出力要求の数 - エラーあり
SpoolNumberofOutputReqWithProblems	出力要求の数 - 問題あり
SpoolRequestNumber	スプール要求番号
スタートページ	スタートページ
SystemID	システム ID
システム番号	システム数
TelecommunicationsPartner	通信パートナー
TemSeGeneralcounter	TemSe カウンター
タイトル	タイトル
ユーザー	ユーザー

ABAP Syslog

このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPOS_Syslog
関連 SAP ドキュメント: SAP ヘルプポータル
ログの目的: すべての SAP NetWeaver Application Server (SAP NetWeaver AS) ABAP システムエラー、警告、既知のユーザーからのサインイン試行の失敗によるユーザーロック、およびメッセージの処理を記録します。

SAP Control Web サービスで使用できます。このログは、すべてのクライアントにわたるデータを使用して生成されます。

ABAPOS_Syslog_CL ログスキーマ

フィールド	説明
ClientID	ABAP クライアント ID (MANDT)
ホスト	ホスト
インスタンス	次の構文の ABAP インスタンス: `<HOST>_<SYSID>_<SYSNR>`
MessageNumber	メッセージ番号
[MessageText]	[メッセージテキスト]
重大度	メッセージの重大度 (`Debug`、`Info`、`Warning`、`Error` のいずれかの値)。
SystemID	システム ID
システム番号	システム数
TransacationCode	トランザクションコード
型	SAP プロセスタイプ
ユーザー	ユーザー

ABAP Workflow ログ

このログを照会するための Microsoft Sentinel 関数: SAPWorkflowLog
関連 SAP ドキュメント: SAP ヘルプポータル
ログの目的: SAP ビジネスワークフロー (WebFlow エンジン) を使用すると、SAP システムにまだマップされていないビジネスプロセスを定義できます。

たとえば、マップされていないビジネスプロセスは、単純なリリース手順や承認手順、または基本資料の作成や関連部門の調整などのより複雑なビジネスプロセスである場合があります。

標準 SAP テーブルに基づく RFC を使用して利用できます。このログは、クライアントごとに生成されます。

ABAPWorkflowLog_CL ログスキーマ

フィールド	説明
ActualAgent	実際のエージェント
住所	住所
ApplicationArea	アプリケーション領域
CallbackFunction	コールバック関数
ClientID	ABAP クライアント ID (MANDT)
作成日時	作成日時
創造者	創造者
CreatorAddress	作成者のアドレス
エラータイプ	エラーの種類
ExceptionforMethod	メソッドの例外
ホスト	ホスト
インスタンス	次の構文の ABAP インスタンス (HOST_SYSID_SYSNR): `<HOST>_<SYSID>_<SYSNR>`
言語	言語
LogCounter	ログカウンター
MessageNumber	メッセージ番号
メッセージタイプ	メッセージの種類
MethodUser	メソッドのユーザー
優先度	優先度
SimpleContainer	作業項目のキーと値のエンティティの一覧としてパックされた単純なコンテナー
ステータス	ステータス
SuperWI	スーパー WI
SystemID	システム ID
システム番号	システム数
タスクID	タスク ID
TasksClassification	タスクの分類
TaskText	タスクテキスト
TopTaskID	トップタスク ID
UserCreated	User created (ユーザーが作成)
WIText	作業項目のテキスト
WIType	作業項目の種類
WorkflowAction	ワークフローアクション
WorkItemID	作業アイテム ID

ABAP WorkProcess ログ

このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPOS_WP
関連 SAP ドキュメント: SAP ヘルプポータル
ログの目的: すべての作業プロセスログを結合します。 (既定値: dev_*)。

SAP Control Web サービスで使用できます。このログは、すべてのクライアントにわたるデータを使用して生成されます。

ABAPOS_WP_CL ログスキーマ

フィールド	説明
ホスト	ホスト
インスタンス	次の構文の ABAP インスタンス: `<HOST>_<SYSID>_<SYSNR>`
[MessageText]	[メッセージテキスト]
重大度	メッセージの重大度: `Debug`、`Info`、`Warning`、`Error`
SystemID	システム ID
システム番号	システム数
WPNumber	作業プロセス番号

HANA DB 監査証跡

HANA DB 監査証跡ログの収集は、Microsoft Sentinel がデータベースレイヤーアクティビティを収集する方法の例です。このログを Microsoft Sentinel に送信するには、 AZURE Monitor エージェントをデプロイして、HANA DB を実行しているマシンから Syslog データを収集する必要があります。

このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPSyslog
関連 SAP ドキュメント: General | Audit Trail
ログの目的: SAP HANA データベースのユーザーアクションまたは試行されたアクションを記録します。たとえば、機密データへの読み取りアクセスを記録、監視することができます。

Syslog 用の Microsoft Sentinel Linux エージェントで使用できます。このログは、すべてのクライアントにわたるデータを使用して生成されます。

Syslog ログスキーマ

フィールド	説明
コンピューター	ホスト名
ホストIP	ホストの IP
ホストネーム	ホスト名
プロセスID	プロセス ID
ProcessName	プロセス名: `HDB*`
深刻度レベル	アラート:
ソースシステム	ソースシステム OS (`Linux`)
シスログメッセージ	メッセージ (未解析の監査証跡メッセージ)

JAVA ファイル

このログを照会するための Microsoft Sentinel 関数: SAPJAVAFilesLogs
関連 SAP ドキュメント: 一般 | Java セキュリティ監査ログ
ログの目的: セキュリティ監査ログ、システム (クラスターとサーバープロセス)、パフォーマンス、ゲートウェイログなど、Java ファイルベースのすべてのログを結合します。開発者のトレースログや既定のトレースログも含みます。

SAP Control Web サービスで使用できます。このログは、すべてのクライアントにわたるデータを使用して生成されます。

JavaFilesLogsCL ログスキーマ

フィールド	説明
アプリケーション	Java アプリケーション
ClientID	クライアント ID
CSNComponent	CSN コンポーネント (`BC-XI-IBD` など)
DCComponent	DC コンポーネント (`com.sap.xi.util.misc` など)
DSRCounter	DSR カウンター
DSRRootContentID	DSR コンテキストの GUID
DSRTransaction	DSR トランザクションの GUID
ホスト	ホスト
インスタンス	次の構文の Java インスタンス: `<HOST>_<SYSID>_<SYSNR>`
場所	Java クラス
LogName	Java のログ名 (`Available`、`defaulttrace`、`dev*`、`security` など)
[MessageText]	[メッセージテキスト]
MNo	メッセージ番号
Pid	プロセス ID
プログラム	プログラム名
セッション	セッション
重大度	メッセージの重大度 (例): `Debug`、`Info`、`Warning`、`Error`
解決策	解決策
SystemID	システム ID
システム番号	システム数
ThreadName	スレッド名
投げられた	例外をスロー
タイムゾーン	タイムゾーン
ユーザー	ユーザー

SAP ハートビートログ

このログに対してクエリを実行するための Microsoft Sentinel 関数: SAPConnectorHealth
ログの目的: エージェントとさまざまな SAP システム間の接続に関するハートビートおよびその他の正常性情報を提供します。

SAP 向け Microsoft Sentinel データコネクタのすべてのエージェントに対して自動的に作成されます。

SAP_HeartBeat_CL ログスキーマ

フィールド	説明
タイムジェネレイテッド	ログ投稿イベントの時刻
agent_id_s	エージェントの構成内のエージェント ID (自動的に生成)
agent_ver_s	エージェントのバージョン
host_s	エージェントのホスト名
system_id_s	Netweaver ABAP システム ID / Netweaver SAPControl ホスト (プレビュー) / Java SAPControl ホスト (プレビュー)
push_timestamp_d	エージェントのタイムゾーンに基づく抽出のタイムスタンプ
agent_timezone_s	エージェントのタイムゾーン

SAP システムから直接取得されたテーブルの参照

このセクションでは、SAP システムから直接取得され、Microsoft Sentinel にそのまま取り込まれるデータテーブルの一覧を示します。

これらのテーブルから取得されたデータにより、認可構造、グループメンバーシップ、およびユーザープロファイルが明確にわかります。また、認可の付与と取り消しのプロセスを追跡し、それらのプロセスに関連するリスクを識別して管理することもできます。

次に示すテーブルは、特権ユーザーを識別する関数を有効にし、ユーザーをロール、グループ、および認可にマップするために必要です。

最良の結果を得るには、次の表の Microsoft Sentinel 関数名 列の名前を使用して、これらのテーブルを参照してください。

テーブル名	テーブルの説明	Microsoft Sentinel 関数名
アメリカ国道01号線	ユーザーマスターレコード (ランタイムデータ)	SAP_USR01
アメリカ国道02号線	サインインデータ (カーネル側の使用)	SAP_USR02
UST04	ユーザーマスタープロファイルへのユーザーのマップ	SAP_UST04
AGR_USERS	ユーザーへのロールの割り当て	SAP_AGR_USERS
AGR_1251	アクティビティグループの認可データ	SAP_AGR_1251
USGRP_USER	ユーザーグループへのユーザーの割り当て	SAP_USGRP_USER
アメリカ国道21号線	ユーザー名/アドレスキーの割り当て	SAP_USR21
ADR6の	電子メールアドレス (ビジネスアドレスサービス)	SAP_ADR6
USRSTAMP (英語)	ユーザーへのすべての変更のタイムスタンプ	SAP_USRSTAMP
ADCPの	個人/住所の割り当て (ビジネスアドレスサービス)	SAP_ADCP
アメリカ国道05号線	ユーザーマスターパラメーター ID	SAP_USR05
AGR_PROF	ロールのプロファイル名	SAP_AGR_PROF
AGR_FLAGS	ロール属性	SAP_AGR_FLAGS
開発アクセス	開発ユーザーのテーブル	SAP_DEVACCESS
AGR_DEFINE	ロール定義	SAP_AGR_DEFINE
AGR_AGRS	複合ロール内のロール	SAP_AGR_AGRS
パヒ	システム、データベース、および SAP パラメーターの履歴	SAP_PAHI
SNCSYSACL (プレビュー)	SNC アクセス制御リスト (ACL): システム	SAP_SNCSYSACL
USRACL (プレビュー)	SNC アクセス制御リスト (ACL) ユーザー	SAP_USRACL

詳細については、以下を参照してください:

次の方法で共有

SAP アプリケーション用の Microsoft Sentinel ソリューションのログとテーブルのリファレンス

基になるログやテーブルの代わりにクエリで関数を使用する

ログ カバレッジ

エージェントレス データ コネクタによって収集されたログ (制限付きプレビュー)

データ コネクタ エージェントのログ リファレンス

ABAP アプリケーション ログ

ABAPAppLog_CL ログ スキーマ

ABAP 変更文書ログ

ABAPChangeDocsLog_CL ログ スキーマ

ABAP CR ログ

ABAPCRLog_CL ログ スキーマ

ABAP DB テーブル データ ログ（プレビュー）

ABAPTableDataLog_CL ログ スキーマ

ABAP ゲートウェイ ログ（プレビュー）

ABAPOS_GW_CL ログ スキーマ