SAP_ALL和SAP_NEW-使用日志查看

2020-08-16 21:51发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


亲爱的Firends,我们有对话框用户ID [DDIC&SAP *]和两个服务用户ID,分别是SAP_ALL和SAP_NEW。 审计部门要求每月进行审查。

请让我知道以下信息:-

1。 只能为特定ID激活SM20安全日志。 如果是,请告诉我们如何?

2。 还是STAD日志足以满足需要?

3。 如果有其他最佳做法,请分享。

谢谢

Raj

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


亲爱的Firends,我们有对话框用户ID [DDIC&SAP *]和两个服务用户ID,分别是SAP_ALL和SAP_NEW。 审计部门要求每月进行审查。

请让我知道以下信息:-

1。 只能为特定ID激活SM20安全日志。 如果是,请告诉我们如何?

2。 还是STAD日志足以满足需要?

3。 如果有其他最佳做法,请分享。

谢谢

Raj

付费偷看设置
发送
3条回答
ZJXianG
1楼 · 2020-08-16 22:11.采纳回答

正如沃伦(Warren)所述,应该锁定SAP通用ID,并且不要使用它们,尤其是SAP *; 实施后,该帐户永远不要真正使用。 在某些情况下,您需要使用DDIC,但应遵循您的消防员程序。

对于非对话用户,也应遵循最小特权原则; 不需要,并且最重要的是,不需要向他们提供SAP中的每个角色/配置文件。

在回应您的审核要求方面,

1。 您需要清理用户/角色分配,这是并且应该是您的首要任务。

2。 清理角色和配置文件分配后,如果您想监视特定的提升帐户,则可以使用多个来源来评估用户活动,而不仅仅是执行程序或执行tcode(即查看STAD数据)。 这些日志中的每一个都有不同的用途,包括查看AUT10 tcode(表日志和更改文档文档),用于事务/程序历史记录的STAD日志,用于事务和客户端维护活动的安全审核日志(SM20)以及系统日志(SM21)。 用于系统活动(例如调试)。

归根结底,"补救措施"不是要进行监视活动,因为监视活动不应将风险降低到可接受的水平。 您的选择是进行补救,方法是固定角色/配置文件分配,然后通过对重要事件进行监视来减轻残留风险。

PS:是,可以为目标用户启用SM20。 您通过SM19进行配置。 有大量的注释和SAP文章,向您展示如何配置SAP安全审核日志(SAL-SM20)报告。

bbpeas
2楼-- · 2020-08-16 22:26

最佳做法是DDIC和SAP *已锁定,未经批准和特殊需要无法使用。 服务用户还应该仅具有执行其功能所需的授权。 如果不遵循这两种做法,都将带来安全风险。

SAP砖家
3楼-- · 2020-08-16 22:35

嗨,拉贾。

1。 是的,您可以激活特定的用户ID(主要用于审核),请参阅有关SM19/SM20的博客- https://blogs.sap.com/2014/12/11/analysis-and-recommended-settings-of-the-security -audit-log-sm19-sm20/

2。 STAD用于分析SAP系统和应用程序的性能。

有关详细信息,请参阅博客 https://blogs.sap.com/2013/06/11/how-to-use-stad-to-show-historical-data/

关于

SS

一周热门 更多>