使用安全審計日志 - SAP S/4 Basis Tips

適用場景

在日常BASIS運維工作中，我們可以使用 SM21 查看系統日志，但如果希望獲得一些更詳細的日志，如用戶登錄記錄(Dialog/RFC)，RFC調用記錄，事務/報表執行記錄，系統操作記錄等各項工作，我們可以開啟 安全審計日志(Security Audit Log)，這樣在出現安全問題時，我們可以通過該日志查看是誰進行的操作。 本文介紹了Security Audit Log 的配置，查看和清理方法。

本文參考自官方手冊：“System Security for SAP NetWeaver AS for ABAP Only”->"Security Audit Log"章節(https://help.sap.com/viewer/280f016edb8049e998237fcbd80558e7/1709%20000/en-US/4d41bec4aa601c86e10000000a42189b.html)，有英文能力的同學可以仔細閱讀下該手冊。

 

安全審計日志的開啟

使用事務碼 SM19，可以打開審計日志配置界面，首先我們會看到三個頁簽，首先我們應點擊 Kernel Parameters 這個頁簽，配置 Kernel Parameters。

配置 Kernel Parameters

Kernel Parameters 用來控制安全審計日志的全局參數，如是否啟用審計日志，是否啟用用戶篩選，日志記錄方法(每日一個文件或每日多個文件) 和文件大小限制等；所做的修改保存后立刻生效，無需重啟SAP，此外我們也可以在RZ10 中配置審計日志參數(不推薦)，Kernel Parameters 一旦配置后，優先級高於RZ10，如果我們堅持要在RZ10中配置，需要先點擊此界面右上角的"刪除"按鈕，RZ10的設置才會生效，具體各參數的含義，及對應的RZ10中的參數，請查閱 “System Security for SAP NetWeaver AS for ABAP Only”->"Security Audit Log"->“Preparing the Security Audit Log"。

如下圖所示，創建 Kernel Parameters，按照自己的需求修改后，保存。審計文件即可生效。

 

配置 Static Profile

然后我們切換到 Static Configuration 頁簽，此處我們可以創建 審計參數文件，並將其激活，激活的參數文件需重啟SAP后才可生效，我們可以在此界面創建多個版本的審計參數文件，但每次只能激活一個

1) 創建 Profile 起個合適的名字

2) 在下方 我們可以設置多個Filter，Filter 的數量取決於" Kernel Parameters"頁簽中定義的參數"Number of Selection Filters"(該配置需重啟SAP才生效)，本例中，我配置兩個Filter，用於滿足對不同用戶組配置不同的審計級別

Filter1 審計所有用戶的登錄和RFC調用：

Filter2 審計管理員(SUPER用戶組的用戶)對用戶主記錄的修改和授權記錄：

3) 然后保存該Profile，建議部署給所有的服務器，一旦選擇了Yes，則該Profile對所有實例立刻生效，且無需重啟SAP(具體原因將在下面的 Dynamic Config 中解釋)。

按照如上方法，我們可以創建多個Profile，然后選中一個，激活該Profile(只允許激活一個)：

在如上配置之后，該審計日志 profile已被激活，理論上重啟SAP服務器后即可生效

 

配置 Dynamic Config

和 Static Configuration 頁簽不同，Dynamic Config 頁簽的配置 無需重啟服務器，激活后立刻生效，一旦配置且激活了"Dynamic Config"，"Static Configuration"頁簽中配置的 Profile 將不會生效。

我們切換到 ”Dynamic Config“頁簽，一般情況下，我們會發現已經有一個處於激活狀態的配置了，且配置和"Static Configuration"中的完全一樣：

還記得在我們配置 Static Profile 的時候，第3步，保存時彈出的那個窗口嗎？一旦選擇了"Yes"，則SAP會將該Profile復制到 Dynamic Config. 下 並將其激活，因此我們即使不重啟SAP服務器，審計配置也會立刻生效!

 

我們也可以手工修改 Dynamic Config，然后激活，配置將立即生效

需注意的是，一旦重啟了SAP服務器，"Dynamic Config"的配置會失效且丟失！！，系統將會使用"Static Configuration"頁簽下，激活的 Profile，因此對Dynamic Config 的配置僅用於臨時測試，請及時在 Static Congifuration中修改Profile並激活。

 

安全審計日志的分析

接下來我們可以使用事務碼 SM20 設置篩選條件，查看審計日志

建議將結果導出到 Excel中，用Excel進行分析會更加的方便。

 

安全審計日志的存儲

SAP的日志存儲位置，由參數"DIR_AUDIT"決定存儲位置，由參數"FN_AUDIT"決定文件命名規則，我們可以用RZ11 查看這兩個參數，並在服務器上找到該目錄下的文件，如果我們想要保留大量的，詳細的審計日志的話，建議修改該參數，將日志目錄改到單獨的存儲服務(如單獨磁盤、NFS服務器、NAS服務器等) 上。

 

安全審計日志的清理

我們可以使用 事務碼 SM18，清理舊的安全審計日志，設置好日期范圍和 實例范圍后，點擊”執行“按鈕即可，也可以勾選"Simulation Only"進行模擬運行，僅進行統計而不實際清理。

執行清理后，SAP會提供一個統計報告，告訴對於每個服務器，刪除了多少日志，保留了多少，此處是使用RFC調用的。