Esiste una nuova funzionalità disponibile dalla SAP_BASIS 7.40 SP16 che permette di effettuare delle trace autorizzative "long-term"

Cosa è? Come funziona? Lo vediamo in questo post!

STUSERTRACE come funziona ed a cosa serve?

Per poter analizzare gli errori autorizzativi, in aggiunta alle transazioni ST01 (ormai obsoleta) e STAUTHTRACE è stata introdotta (dalla SAP_BASIS 7.40 SP16) la transazione STUSERTRACE.

Quali i vantaggi nell'usare questa transazione?

• Può essere attivata su più utenti contemporaneamente
  
• Può essere attivata per diversi Application Type: Background Job, RFC modules, Transazioni, TADIR Service, External Service
  
• Può essere attivata più a lungo o addirittura permanentemente
  
  
• Viene attivata in tutti i server
  
  
• Registra le attività effettuate una sola volta permettendo di utilizzare meno memoria
  
  
• Non interferisce con le trace del team basis e sviluppatori

Come attivare la trace usando la transazione STUSERTRACE?

La trace può essere attivata tramite la transazione RZ11 modificando il parametro auth/auth_user_trace. Solitamente questa attività viene svolta dal team basis.

Nell’immagine seguente il parametro risulta disattivato

Il parametro ammette i seguenti valori:       

• N: Trace disattivata
• Y: Trace attivata per tutte le utenze: trace attiva per tutti gli utenti e tutti gli application type
• F: Trace attivata con filtro (il filtro viene impostato direttamente tramite la transazione STUSERTRACE). Trace attiva solo sulle utenze e gli application type che si vogliono monitorare
  • Da standard il numero massimo di utenze che si possono inserire per il filtro è 10, è possibile estendere il limite fino a 1000 modificando la SM30 la tabella USR_CUST, parametro STUSERTRACE_MAX_USER
    
    

Quando è utile utilizzare questa transazione?

• Utenze di dialogo: per poter risolvere celermente gli errori autorizzativi degli utenti finali si può attivare la trace così da rilevare direttamente le autorizzazioni mancanti senza dover richiedere la schermata di errore SU53
  
  
• Utenze tecniche: solitamente agli utenti di servizio viene assegnato il profilo SAP_ALL (o ruoli equivalenti). Monitorando le attività effettuate da questi utenti si possono creare ruoli specifici e andare a rimuovere i profili ampi
  
  
  
  
• Nuove implementazioni: nei nuovi sistemi viene assegnato il profilo SAP_ALL (o ruoli equivalenti) ai consulenti e IT. Anche in questo caso, monitorando le attività effettuate da questi utenti si possono creare ruoli specifici e andare a rimuovere i profili ampi 

Come cancellare i log della trace?

Può capitare in questi casi di generare dei volumi elevati di log. Per questo motivo esiste una funzionalità specifica di pulizia di questi dati.

È possibile cancellare i dati memorizzati dalla trace per poter risparmiare spazio in quanto vengono salvate tutte le attività effettuate dalle utenze monitorate da quando la trace viene attivata (salvando però solo la prima volta che vengono effettuate)

Tramite il pulsante Goto –> Reorganize: Inserire le utenze per cui si vogliono cancellare i dati e il periodo di tempo (si può effettuare anche prima in modalità test e poi definitivamente)