Web Services (SOAP)
Überwachungs- und Optimierungskonzept
Nachdem Sie diese Anwendung auf Ihrem Präsentationsserver installiert haben, starten Sie die Datei SAPClientPlugin.exe. Das SAP-Client-Plug-in, das in Abbildung 3.9 zu sehen ist, wird gestartet. Als Präsentationsserverkomponenten werden in der neuesten Version der Microsoft (MS) Internet Explorer, MS Word, MS Excel, MS PowerPoint, MS Outlook, MS Project und der SAP Business Client unterstützt. Wählen Sie den MS Internet Explorer als Anwendung aus, und starten Sie diesen über die Schaltfläche Launch. Im Webbrowser führen Sie nun die Anwendung aus. Wenn Sie im Webbrowser an die Stelle in Ihrer Webtransaktion gelangt sind, an der Sie mit der Analyse beginnen wollen, schalten Sie den Trace mit dem Schalter Start Transaction ein. Vorher geben Sie Ihrer Analyse im Feld Business Transaction Name noch einen Namen. Das Plug-in protokolliert die Anfragen an den Webserver und modifiziert nun den HTTP-Strom so, dass dem SAP NetWeaver AS mitgeteilt wird, welche Traces eingeschaltet werden sollen. Jedes Mal, wenn Sie einen neuen Schritt im Webbrowser durchführen, beginnen Sie auch einen neuen Analyseschritt mit dem Schalter New Step. Sie können auch den Transaktionsschritten Namen geben, die Sie im Feld Executed Step Name eingeben können. Wenn Sie dies nicht tun, zählt die Analyseanwendung die Schritte mit Step-1, Step-2 etc. durch. Wenn Sie mit dem Teil der Transaktion, den Sie analysieren wollen, fertig sind, klicken Sie auf den Schalter Stop Transaction. Haben Sie in den Feldern SMD Host und SMD HTTP Port die entsprechenden Verbindungsdaten für Ihren SAP Solution Manager eingegeben, sendet die Analysetransaktion die auf dem Präsentationsserver gesammelten Daten an den SAP Solution Manager, um sie dort zusammen mit den auf dem SAP NetWeaver AS gesammelten Daten darstellen zu können.
SAP wird in Zukunft alle SAP Hinweise (SAP Notes) im SAP ONE Support Launchpad digital signiert bereitstellen. Damit soll die Sicherheit beim Einspielen der Updates erhöht werden. Bei nicht signierten SAP Hinweisen besteht die Gefahr, dass der Hinweis unbemerkt schädlich verändert wurde und beim Einbau des Hinweises Schadcode in Ihre SAP System übernommen wird. Hieraus ergibt sich eine erhebliche Gefährdung für das SAP System, weshalb die digital signierte Bereitstellung der Hinweise eine wichtige Verbesserung darstellt. Um digital signierte Hinweise in Ihrem System nutzen zu können, sind jedoch einige Schritte zur Vorbereitung erforderlich. Wenn Sie SAPCAR ab Version 7.2 installiert und einen User mit den Notwendigen Berechtigungen haben, müssen Sie nur noch die Note 2408073 in Ihr System einspielen und die manuellen Vor- und Nacharbeiten erledigen. Durch eine digitale Signatur wird technisch sichergestellt, dass jede Veränderung am Hinweis feststellbar ist und vom System geprüft werden kann, ob der vorliegende Hinweis, der ins System eingespielt werden soll, unverändert vorliegt. Voraussetzungen um digital signierte SAP Hinweise zu nutzen Um ihr SAP System für digital signierte Hinweise vorzubereiten müssen zuerst einige Voraussetzungen erfüllt sein: Digital signierte SAP Hinweise werden als SAR Dateien zur Verfügung gestellt. Die SAR Dateien werden mit SAPCAR entpackt und auf ihre digitale Signatur hin überprüft. SAPCAR muss hierzu auf dem Application Server mindestens in Version 7.20 vorliegen. Es wird daher dringend geraten, SAPCAR auf den aktuellen Stand zu bringen. Liegt SAPCAR nicht mindestens in Version 7.20 vor, schlägt die Überprüfung der digitalen Signatur fehl und der Hinweis kann nicht entpackt werden. Ein Einbau des digital signierten Hinweises ist dann nicht möglich. Der umsetzende Benutzer benötigt außerdem einige Berechtigungen, um die notwendigen manuellen Vor- und Nacharbeiten des Hinweises am System ausführen zu können: Berechtigung für die Transaktion SLG1 Leseberechtigung für Berechtigungsobjekt S_APPL_LOG Berechtigung zum Schreiben und Löschen von Daten aus dem Anwendungsverzeichnis Upgrade der SAPCAR-Version auf Ihrem System auf die Version 7.20 oder höher SAP Basis Version 700 oder höher, für ältere Versionen muss der Hinweis manuell eingepflegt werden Wenn Sie diese Voraussetzungen erfüllt haben, können Sie mit der Umsetzung des Hinweises 2408073 beginnen. Umsetzung SAP Hinweis Nummer 2408073.
Exklusive Datenbanksperren
Um die ABAP-/Dynro-Generierung zu beinflussen, wählen Sie im Einstiegsbild der SPAM Zusätze. Funktion Menüpfad Generierung ein- bzw. ausschalten Einstellungen Generierungsfehler während des Einspielens ignorieren Gen-Fehler ignorieren Fehler in SPAM-Schritten Wenn ein Fehler in einem Schritt erkannt wird, unterbricht die Transaktion SPAM die Verarbeitung bis der Fehler behoben ist. Sie können sich stets mit Status darüber informieren, in welchem Schritt und aus welchem Grund abgebrochen wurde. Arten von Fehlern Es gibt die folgenden Arten von Fehlermeldungen: Sicherheitsüberprüfungen der Transaktion SPAM Ein typisches Beispiel hierfür ist der Schritt OBJECTS_LOCKED_? Die Transaktion SPAM unterbricht die Verarbeitung, wenn Objekte noch in Aufträgen gesperrt sind, die von der Queue überschrieben werden sollen. Fehlermeldungen der Programme tp und R3trans Die Fehlerursache ist immer im entsprechenden Transportprotokoll zu finden. Ein typisches Beispiel hierfür ist der Schritt TEST_IMPORT. Hier wird überprüft, ob es unbestätigte Reparaturen an Objekten gibt, die von der Queue überschrieben werden. Die betroffenen Objekte sind im Testimport-Protokoll aufgelistet. Mangelhafte Einrichtung des Change and Transport System Häufige Fehler sind hier das Fehlen entsprechender Rechte auf den Dateien des Change and Transport System oder die Verwendung alter Programmversionen von tp oder R3trans. Überprüfen Sie die korrekte Funktion der Transporttools mit Hilfsmittel Transport Tool prüfen. Ein typisches Beispiel hierfür ist der Schritt DISASSEMBLE. Wenn adm keine Schreibrechte für das Verzeichnis /usr/sap/trans/data (UNIX) hat, dann bricht SPAM beim Schritt DISASSEMBLE mit CANNOT_DISASSEMBLE_R_DATA_FILE ab. Die Transaktion SPAM setzt voraus, daß das Change and Transport System [Extern] korrekt eingerichtet ist. Weitere Informationen zu bekannten Problemen finden Sie in den Hinweisen 97630 und 97620.
Gerade nach Sicherheitsvorfällen kann es notwendig sein herauszufinden, welche (technischen) User sich zu welchem Zeitpunkt eingeloggt haben. Einen ersten Einstiegspunkt bietet dafür die Tabelle USR02. In der Spalte TRDAT können Sie für den gewünschten User das letzte Anmeldedatum finden. Eine Historie über die vorherigen Anmeldungen ist in dieser Tabelle jedoch nicht zu finden. In solchen Fällen hilft der Security Auditlog oder kurz SAL. Vorbereitung Damit Sie auf die gewünschten Daten zugreifen können, müssen diese zuvor auch gespeichert worden sein. Im Security Auditlog können Sie über verschiedene Filter bestimmen, für welche User auf welchen Mandanten welche Informationen geloggt werden. Der Security Auditlog speichert, je nach Konfiguration, Anmeldungen, RFC-Aufrufe und weitere Aktionen für bestimmte User. Diese Einstellungen können Sie in der Transaktion SM19 vornehmen. Hinweis: Das Loggen von Useraktivitäten muss den betroffenen Usern bewusst sein! Konfigurieren Sie die SAL daher nur für technische User oder in Absprache mit Usern / Betriebsrat / etc. Es lässt sich dort ua einsehen, wann der SAL aktiviert und zuletzt bearbeitet wurde (1). Sie können hier außerdem die verschiedenen Filter auswählen (2), die Filter einzeln aktivieren (3), Mandanten und Benutzer bestimmen (4) sowie festlegen, welche Aktivitäten geloggt werden (5). Statische Konfiguration in der SM19 Unter der Dynamischen Konfiguration lässt sich außerdem einsehen, ob SAL aktuell für das System aktiv ist. Status des SAL ermitteln Auswertung des SAL Wenn der Security Auditlog aktiv ist, wechseln Sie in die SM20 Auswertung des Security Auditlog. Wählen sie die gewünschten User und den Mandanten aus sowie das passende Zeitfenster. Für die Anmeldungen reicht die Option Dialoganmeldungen aus. Starten Sie anschließend die Analyse über AuditLog neu einlesen. Auswertung starten Sie erhalten eine Übersicht der Anmeldungen des Users an den gewählten Mandanten des Systems.
Einige fehlende Funktionen in der Basisadministration werden durch "Shortcut for SAP Systems" ergänzt.
PROJEKTHISTORIE: DIE SAP-BASIS VON MORGEN Durch einen Eintrag im Forum Infrastruktur und Betrieb innerhalb des DSAGNet wurde auf die bereits beschriebene Problematik der SAP-Basis aufmerksam gemacht.
Wenn Sie mehr zum Thema SAP Basis wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Das Transaktionsprofil sollten Sie in regelmäßigen Abständen überwachen und sichern.