SAP Sicherheitsüberwachung & Monitoring
Die Grundlagen der Basisadministration
Um die Vielfalt an verschiedenen Systemvariationen und die damit verbundene Vielfalt an Routineaufgaben einzudämmen, ist es notwendig, die Anzahl der Kundenspezifika zu reduzieren. Insbesondere Implementierung, Set-up und Konfiguration der Systeme und Sicherheitskonzepte müssen vereinheitlicht oder auf den SAP-Standard zurückgeführt werden. Hierzu ist es erforderlich, in Zusammenarbeit mit den dafür zuständigen IT-Fachabteilungen einen Standard für bspw Betriebssysteme und Datenbanken im Rahmen der durch das Produkt vorgegebenen Randbedingungen zu schaffen.
Von diesem Moment an sind keine ändernden Datenbankoperationen mehr möglich. Diese Situation heißt im Umfeld von DB2 for LUW und Oracle Archiver Stuck. Die Datenbankinstanz schreibt eine Fehlermeldung in die Datenbankfehlerprotokolldatei (für DB2 for LUW z. B. db2-diag.log: »SQL0964C The transaction log for the database is full«, bei Oracle z. B. den Eintrag »All online log files need archiving«).
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Basis.
Performanceforum
Es ist möglich für jede Regel in der ACL-Datei ein Trace-Level anzugeben, um jeden Kommunikationskanal individuell zu überwachen. Sie lässt sich ohne weitere Konfiguration mit SNC verwenden. Die Verwendung der Datei wird über den Parameter gw/acl_file gesteuert, indem er einfach auf den entsprechenden Dateinamen gesetzt wird. Verwendung von externen Programmen Wenn ein externes Programm mit Ihrem SAP System kommunizieren will, muss es sich zunächst am Gateway registrieren. Welchen Programmen dies genehmigt wird, wird über die ACL-Datei reginfo gesteuert. Hier werden also Regeln definiert, die bestimmte Programme erlauben oder aber verbieten. Die Syntax der Datei lässt es dabei zu, nicht nur den Namen des Programms, sondern auch den Host auf dem das Programm läuft und Hosts die das Programm verwenden und beenden können zu definieren. Zur Verwendung dieser Datei muss der Parameter gw/reg_info gesetzt sein. Außerdem gibt es die ACL-Datei secinfo, mit der es möglich ist zu konfigurieren, welche User ein externes Programm starten können. Hier werden also Regeln definiert, die bestimmten Usernamen aus dem SAP System erlauben bestimmte externe Programme zu verwenden. Zusätzlich können auch hier die Hosts definiert werden auf denen diese Programme ausgeführt werden. So ist es zum Beispiel möglich einem User zu erlauben das Programm "BSP" auf dem Host "XYZ" auszuführen, aber nicht auf dem Host "ABC". Diese Datei wird über den Parameter gw/sec_info gesteuert. Verwendung des Gateways als Proxy Da das Gateway Ihres SAP Systems außerdem als Proxy-Server dienen kann, sollte zusätzlich die ACLDatei prxyinfo über den Parameter gw/prxy_info aktiviert werden. Nehmen wir an, sie haben 3 SAP Systeme in Ihrem Netzwerk: SRC, TRG und PRX. Wenn SRC nicht direkt mit TRG kommunizieren kann, aber beide mit PRX wäre es möglich das Gateway des Systems PRX als Proxy-Server zu verwenden, also darüber zu kommunizieren. Damit dies nicht jedem erlaubt ist, sollte diese Eigenschaft also dringend eingeschränkt werden. Wie schon bei den anderen ACL-Dateien werden hier Regeln definiert, welche Hosts über das Gateway mit welchen Hosts kommunizieren können. Die Syntax der verschiedenen ACL-Dateien kann je nach Release-Stand abweichen. Es ist deshalb ratsam sie vor der Aktivierung der ACL-Dateien in der entsprechenden SAP Dokumentation nachzulesen. Weitere Unterstützung bei der Verwendung von ACL-Dateien finden Sie auch im SAP Community Wiki.
Die Ermittlung der bestehenden Last erfolgt anhand der Historien im Betriebssystemmonitor (Transaktionscode ST06). Als Lastwerte werden die Stundenmittelwerte der CPU-Auslastung und der Hauptspeicherauslastung in Prozent der verfügbaren Kapazität herangezogen. Mittelwerte über kürzere Zeitperioden heranzuziehen ist nicht empfehlenswert, da dann temporäre Lastspitzen zu stark bewertet werden. Ein gewisses Problem ist es, aus der Lastverteilung der letzten Tage und Wochen den richtigen Stundenmittelwert herauszusuchen. Grundsätzlich das Maximum zu verwenden führt häufig zu überhöhten Lastwerten, wenn einzelne Programme viel Hauptspeicher allokieren, der aber wenig verwendet und damit ausgelagert werden kann. Unsere Empfehlung lautet daher, die Lastprofile auf Ausreißer nach oben zu analysieren, und diese, wenn plausibel gemacht werden kann, dass es sich tatsächlich um untypische Betriebssituationen handelt, zu ignorieren.
Etliche Aufgaben der SAP Basis können mit "Shortcut for SAP Systems" einfacher und schneller erledigt werden.
Bei der Konfiguration des Speichers kann mehr Speicher virtuell allokiert werden, als physisch vorhanden ist.
Ein Zettelkasten, in dem schnell Daten aller Art abgelegt und wiedergefunden werden können. Das verspricht Scribble Papers. Anfangs sieht das Programm sehr spartanisch aus. Aber wenn erst einmal eine kleine Struktur vorhanden ist, erkennt man die große Flexibilität dieses kleinen Helfers.
Über verschiedene Benutzer-, Administrations- und Monitoring-Tools wird das SAP-Basis-System von einem Administrator kontrolliert und gesteuert, der damit für seinen störungsfreien Betrieb verantwortlich ist.