Migration zu SAP HANA
Appliance und Tailored Data Center Integration
Gerade nach Sicherheitsvorfällen kann es notwendig sein herauszufinden, welche (technischen) User sich zu welchem Zeitpunkt eingeloggt haben. Einen ersten Einstiegspunkt bietet dafür die Tabelle USR02. In der Spalte TRDAT können Sie für den gewünschten User das letzte Anmeldedatum finden. Eine Historie über die vorherigen Anmeldungen ist in dieser Tabelle jedoch nicht zu finden. In solchen Fällen hilft der Security Auditlog oder kurz SAL. Vorbereitung Damit Sie auf die gewünschten Daten zugreifen können, müssen diese zuvor auch gespeichert worden sein. Im Security Auditlog können Sie über verschiedene Filter bestimmen, für welche User auf welchen Mandanten welche Informationen geloggt werden. Der Security Auditlog speichert, je nach Konfiguration, Anmeldungen, RFC-Aufrufe und weitere Aktionen für bestimmte User. Diese Einstellungen können Sie in der Transaktion SM19 vornehmen. Hinweis: Das Loggen von Useraktivitäten muss den betroffenen Usern bewusst sein! Konfigurieren Sie die SAL daher nur für technische User oder in Absprache mit Usern / Betriebsrat / etc. Es lässt sich dort ua einsehen, wann der SAL aktiviert und zuletzt bearbeitet wurde (1). Sie können hier außerdem die verschiedenen Filter auswählen (2), die Filter einzeln aktivieren (3), Mandanten und Benutzer bestimmen (4) sowie festlegen, welche Aktivitäten geloggt werden (5). Statische Konfiguration in der SM19 Unter der Dynamischen Konfiguration lässt sich außerdem einsehen, ob SAL aktuell für das System aktiv ist. Status des SAL ermitteln Auswertung des SAL Wenn der Security Auditlog aktiv ist, wechseln Sie in die SM20 Auswertung des Security Auditlog. Wählen sie die gewünschten User und den Mandanten aus sowie das passende Zeitfenster. Für die Anmeldungen reicht die Option Dialoganmeldungen aus. Starten Sie anschließend die Analyse über AuditLog neu einlesen. Auswertung starten Sie erhalten eine Übersicht der Anmeldungen des Users an den gewählten Mandanten des Systems.
Die Laufzeitanalyse ist eine aufwendige Operation, d. h., die Erstellung der Analyse kann die Laufzeit eines Programms z. B. verdoppeln (im Vergleich zu einem Programmlauf ohne eingeschaltete Laufzeitanalyse). Die Laufzeitanalyse berücksichtigt dies und zeigt in den Listen korrigierte Laufzeiten an. Wenn Sie allerdings den statistischen Satz betrachten, der erstellt wurde, während die Laufzeitanalyse aktiv war, ist dieser natürlich im Vergleich zu einem Programmlauf ohne Laufzeitanalyse deutlich verfälscht. Dagegen ist das Mitlaufenlassen eines Performance-Trace nicht so aufwendig; der zusätzliche Aufwand liegt erfahrungsgemäß unter 5%.
Adaption auf SAP HANA
Finden Sie nur sporadisch hohe Datenbankzeiten, achten Sie im Einzelsatz darauf, ob Sie den Eintrag Note: Tables were saved in the Table buffer finden. Dieser Eintrag zeigt an, dass Tabellen, die von der Datenbank gelesen wurden, im Tabellenpuffer gespeichert werden. Ist das SAP-System nach dem Starten einige Zeit unter Last gelaufen, sollten sich alle benötigten Tabellen im Tabellenpuffer befinden und nicht mehr nachgeladen werden müssen. Finden Sie diesen Eintrag häufig im produktiven Betrieb, deutet dies auf Probleme mit Verdrängungen oder Invalidierungen im Tabellenpuffer hin. Fahren Sie in diesem Fall mit der Analyse in Kapitel 12, »SAP-Pufferung«, fort.
Beispielsweise arbeiten viele kundeneigene ABAP-Programme mit dem Uploaden oder Downloaden von Daten. Hier sind potentiell große Sicherheitslücken vorhanden, die Zugriff auf Serverdaten ermöglichen. Darüber hinaus ist der weit verbreitete direkte Aufruf von Betriebssystemkommandos, die nicht durch eine selbst programmierte Berechtigungsprüfung abgedeckt sind, ein großes Problem. Auch wenn die klassische SQL-Injection, also die Eingabe erweiterter SQL-Befehle, eine mögliche Sicherheitslücke ist, kommt sie in SAP-Systemen eher selten vor. Weiter verbreitet ist die ungewollte Dynamisierung von SQL-Aufrufen, weil Eingangsparameter nicht ausreichend geprüft werden. Die Notwendigkeit, alle Eigenentwicklungen auch intern auf solche Sicherheitslücken zu überprüfen bevor sie in den SAP-eigenen Code zur Auslieferung kommen, hat zur Entwicklung des Werkzeugs SAP Code Vulnerability Analyzer geführt.
Für Administratoren steht im Bereich der SAP Basis ein nützliches Produkt - "Shortcut for SAP Systems" - zur Verfügung.
Anschließend muss man sich einfach die Gesamtliste ausgeben über “Objekt > Gesamtliste ausgeben”.
Das SAP-System protokolliert für UNIX-Betriebssysteme alle Änderungen der Betriebssystemparameter.