Technische Änderungen
Zwei Möglichkeiten zur Anwendung von Security Automation
Ein wichtiger Bereich der SAP Security ist die Analyse der kundeneigenen SAP-Programme, die klassisch in der proprietären SAP-Sprache ABAP geschrieben werden. Auch hier können, wie in allen Programmiersprachen, Sicherheitslücken programmiert werden – sei es nun bewusst oder unbewusst. Die Muster der Sicherheitslücken im ABAP-Code unterscheiden sich dabei allerdings von denen in Java-Stacks oder Windows-Programmen. Das Ziel bei diesen herkömmlichen Programmen ist es meistens, durch gezielte Falscheingaben das Programm entweder zum Absturz zu bringen (Buffer Overflow) oder künstlich eigenen Code zur Ausführung zu bringen (Code Injection). Beides ist in ABAP nicht möglich, da ein Absturz eines Prozesses nichts anderes bewirkt als das Erzeugen eines Eintrages in der Log-Datenbank (Dump ST22) und ein anschließendes Beenden des Reports mit Rückkehr an den Menüstartpunkt. Eine direkte Manipulation wie in anderen Hochsprachen oder Servern ist also nicht möglich. Allerdings gibt es andere Manipulationsmöglichkeiten.
Einen CPU- oder Hauptspeicherengpass können Sie nach folgenden Kriterien diagnostizieren: Beobachten Sie eine hohe CPU-Auslastung oder hohe Paging-Raten im Stundenmittel? Als grobe Richtwerte geben wir an, dass die Gefahr eines Hardwareengpasses besteht, wenn die mittlere freie CPU-Kapazität (CPU idle) im Stundenmittel unter 20 % sinkt bzw. die Paging-Rate pro Stunde auf über 20 % des physischen Hauptspeichers ansteigt. Vergleichen Sie dazu auch Abschnitt 2.2.1, »Analyse eines Hardwareengpasses (CPU und Hauptspeicher)«. Prüfen Sie in einem zweiten Schritt, ob die hohe CPU-Auslastung bzw. die hohe Paging-Rate tatsächlich negativen Einfluss auf die Antwortzeit des SAP-Systems hat. Besteht der Verdacht eines Hardwareengpasses auf einem Applikationsserver, ist dies am sichersten anhand der Processing-Zeit festzustellen: Ist diese deutlich größer als die CPU-Zeit (als Richtwert Processing-Zeit > 2 × CPU-Zeit), ist dies ein Indiz dafür, dass die Workprozesse auf die CPU warten müssen. (Beachten Sie aber, dass eine erhöhte Processing- Zeit auch andere Ursachen haben kann, siehe auch Abschnitt 3.3, »Workload-Analyse«.) Zudem können erhöhte Lade-, Roll- und Dispatcher- Wartezeiten auftreten. Vermuten Sie, dass ein Hardwareengpass auf dem Datenbankserver auftritt, analysieren Sie die Datenbankzeit: Ist sie erhöht? Vergleichen Sie dazu z. B. die Datenbankzeiten im Tagesprofil zu Zeiten hoher und niedriger Last. Besteht der Verdacht auf einen Hauptspeicherengpass, vergleichen Sie, ob der virtuell allokierte Speicher deutlich größer als der physisch vorhandene Hauptspeicher ist. Sofern der virtuell allokierte Speicher kleiner ist als 1,5 × der physische Hauptspeicher, sollte ein Hauptspeicherengpass kein Thema sein (siehe auch Abschnitt 2.4.3, »Anzeige des allokierten Speichers«).
Nutzung der Java-Statistiken
Wenn an der Bearbeitung einer Benutzeranfrage mehrere SAP-Komponenten beteiligt sind, schreibt jede dieser Komponenten einen Datensatz. Im Kommunikationsstrom zwischen den Komponenten wird ein eindeutiger Identifikator (ein auch als Reisepass bezeichneter Globally Unique Identifier, GUID) mitgeführt und in den Einzelsätzen gespeichert, sodass später die Einzelsätze über Komponenten hinweg zusammengeführt werden können. Die erste Komponente eines Transaktionsschrittes erzeugt diesen Reisepass, d. h. technisch gesehen eine GUID, mit der der Transaktionsschritt eindeutig identifiziert werden kann, und gibt diesen an die nächste Komponente, die an dem Transaktionsschritt beteiligt ist, weiter. Aus Performancegründen werden während eines Transaktionsschrittes nur die Daten des Reisepasses im Kommunikationsstrom weitergegeben, die eigentlichen Statistikdaten werden zunächst lokal von der jeweiligen Komponente gesichert und dann asynchron an das zentrale Monitoring- System oder den SAP Solution Manager übertragen. Anhand ihres Reisepasses werden die zu einem Transaktionsschritt gehörigen Statistiksätze identifiziert und angezeigt. In der SAP-Hilfe finden Sie diese Technologie unter der Bezeichnung verteilte Statistiksätze (Distributed Statistics Records, DSR).
Die Erfahrung zeigt, dass die Performance drastisch einbricht, wenn der SAP Extended Memory erschöpft ist. Ein produktives Arbeiten mit Instanzen ist in einer derartigen Situation in der Regel nicht mehr möglich. Die Überwachung des SAP Extended Memorys muss daher höchste Priorität haben. Grundsätzlich sollten Sie Extended Memory eher verschwenderisch allokieren. Nicht verwendeter Extended Memory wird vom Betriebssystem ausgelagert. Als grobe Faustregel gilt: Mindestens 6 bis 10 MB Extended Memory sollten pro Benutzer allokiert werden. Etwa 70 bis 120 % des physischen Hauptspeichers des Rechners können als Extended Memory allokiert werden. Diese Faustregeln sind natürlich stark release- und applikationsabhängig. Sie müssen allerdings dafür sorgen, dass der vorhandene Auslagerungsspeicher des Betriebssystems (Swap Space) groß genug ist und das Betriebssystem die gewünschte Größe an Speicher überhaupt verwalten kann. Weitere Informationen dazu finden Sie in Kapitel 6, »Speicherkonfiguration«.
Basisadministratoren steht mit "Shortcut for SAP Systems" eine PC-Anwendung zur Verfügung, die etliche Tätigkeiten in der SAP Basis vereinfacht bzw. ermöglicht.
Zugleich besteht der Bedarf, die Lösungen in den SAP-Standard zurückzuführen.
CANNOT_GET_LAST_UPGRADE_INFO: Die Informationen über den letzten Repository Switch Upgrade konnten nicht ermittelt werden.