正如沃伦（Warren）所述，应该锁定SAP通用ID，并且不要使用它们，尤其是SAP *； 实施后，该帐户永远不要真正使用。 在某些情况下，您需要使用DDIC，但应遵循您的消防员程序。

对于非对话用户，也应遵循最小特权原则； 不需要，并且最重要的是，不需要向他们提供SAP中的每个角色/配置文件。

在回应您的审核要求方面，

1。 您需要清理用户/角色分配，这是并且应该是您的首要任务。

2。 清理角色和配置文件分配后，如果您想监视特定的提升帐户，则可以使用多个来源来评估用户活动，而不仅仅是执行程序或执行tcode（即查看STAD数据）。 这些日志中的每一个都有不同的用途，包括查看AUT10 tcode（表日志和更改文档文档），用于事务/程序历史记录的STAD日志，用于事务和客户端维护活动的安全审核日志（SM20）以及系统日志（SM21）。 用于系统活动（例如调试）。

归根结底，"补救措施"不是要进行监视活动，因为监视活动不应将风险降低到可接受的水平。 您的选择是进行补救，方法是固定角色/配置文件分配，然后通过对重要事件进行监视来减轻残留风险。

PS：是，可以为目标用户启用SM20。 您通过SM19进行配置。 有大量的注释和SAP文章，向您展示如何配置SAP安全审核日志（SAL-SM20）报告。

最佳做法是DDIC和SAP *已锁定，未经批准和特殊需要无法使用。 服务用户还应该仅具有执行其功能所需的授权。 如果不遵循这两种做法，都将带来安全风险。

嗨，拉贾。

1。 是的，您可以激活特定的用户ID（主要用于审核），请参阅有关SM19/SM20的博客- https://blogs.sap.com/2014/12/11/analysis-and-recommended-settings-of-the-security -audit-log-sm19-sm20/

2。 STAD用于分析SAP系统和应用程序的性能。

有关详细信息，请参阅博客 https://blogs.sap.com/2013/06/11/how-to-use-stad-to-show-historical-data/

关于

SS