SAP Audit Log vs SAP System Log

Posted by Massimo Manara on Sep 18, 2024 8:30:00 AM

Quali sono le differenze tra questi due tipologie di log?

Log

Chi sono gli interlocutori nei due diversi casi?

Ma quanti log esistono in SAP?

Uno degli aspetti più controversi da capire in SAP, per chi si avvicina alle tematiche di auditing, forensic o security è la tematica dei log. Ovvero di tutte quelle forme di tracciamento delle attività svolte dal sistema o dalle persone. 

 

Seppur comune come tema, in SAP, può rappresentare un argomento molto articolato. Infatti non esiste un unico "motore" dei log. Ne esistono diversi che cambiano anche da sistema a sistema.

 

Uno dei principali sistemi di log (che deve essere esplicitamente attivato e configurato) è il security audit log. Ma ne esiste uno ulteriore chiamato System Log. Quali sono quindi le differenze tra questi due "motori" di log e chi sono le figure che devono consultarli?

 

Security Audit Log a cosa serve?

L'obiettivo del security audit log (transazioni RSAU_READ_LOG per la consultazione) è quello di registrare delle attività relative alla sicurezza del sistema al fine di individuare e classificare degli eventi di security (es. utenti che hanno sbagliato il logon, l'avvio delle transazioni SAP, lo scarico di file, la consultazione di dati in tabella, l'attività di avvio del debug, attività molto critica se in modalità di modifica  etc).

 

L'obiettivo del system log (transazione SM21), è quello di registrare informazioni che potrebbero essere dei segnali di problemi al sistema. Ad esempio errori a livello di database, problemi su processi applicativi etcc) 

 

Chi è l'interlocutore di questi log?

Nel caso del security audit log, solitamente si fa riferimento agli auditor (interni o esterni) o team security aziendale.

 

Nel caso dei system log si fa riferimento agli amministratori del sistema.

 

Devono essere attivati?

I system log, per loro natura, sono già attivi nel sistema proprio perché sono utili fin da subito per individuare possibili problematiche "di salute" del sistema. Non serve quindi attivarli o personalizzare le tipologie di evento.

 

Mentre il security audit log deve essere esplicitamente attivo e personalizzato definendo quali eventi attivare o meno (dovresti attivarli tutti!) ma se hai qualche dubbio guarda qui:

 

 

Ma come sono gestiti i log?

Nel caso del security audit log, puoi scegliere (dalle release più recenti) se salvare i log nel database o su file. Il suggerimento di SAP è quello di salvare questi log nel database. Diventa quindi necessario definire dei tempi di retention dove archiviare e poi cancellare o cancellare direttamnete i dati.

 

Nel caso del system log esistono due tipologie (log centrali e locali, su ogni application server). In questo caso i log vengono mantenuti in formato "cyrcular" ovvero i più vecchi vengono sovrascritti dopo un certo periodo (non molto esteso) in relazione allo spazio disponibile (parametro rslg/max_diskspace/local o rslg/max_diskspace/central)

 

Contengono dati sensibili?

Se parliamo di dati personali:

  • Il security Audit Log può contenere dati personali
  • Il system log in generale non contiene dati personali

 

Iscriviti al blog se ancora non lo hai fatto!

Topics: security audit log, audit, SAP LOG

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti

SAP Security Blog AGLEA RSS Feed

Aglea s.r.l. - Soggetta alla direzione e coordinamento di Horsa S.p.A. - P. IVA: IT 03868780960 - 2024 Privacy Policy - Cookie Policy