SAP Logs sur OVHcloud Logs Data Platform - Configuration
146 vues
16.05.2024 
Cloud / Logs Data Platform
Objectif
Ce guide vous fournit les instructions pour configurer SAP logs on OVHcloud Logs Data Platform.
Prérequis
- Un accès à l'espace client OVHcloud.
- Un système SAP installé.
En pratique
Logs Data Platform
OVHcloud Logs Data Platform est un service qui traite les logs générés par vos infrastructures et applications, dans le but de les classifier et de les afficher en temps réel dans des dashboards. Pour plus d'informations, vous pouvez vous référer à notre documentation.
OVHcloud fournit les ressources (formatage des logs SAP, dashboards et recherches) afin d'apporter une solution complète au service OVHcloud Logs Data Platform pour vos applications SAP.
Un compte Logs Data Platform est le plus haut niveau de conteneurisation pour Logs Data Platform. À l'intérieur de ce compte, vous pourrez déployer vos outils de collecte, vos OpenSearch Dashboards et autres.
Suivez les instructions du chapitre « Welcome to Logs Data Platform » dans notre documentation pour créer et configurer votre compte Logs Data Platform.
Data stream
Un data stream est un hub pour collecter et gérer vos logs dans votre compte Logs Data Platform.
Dans un environnement SAP, nous recommandons de créer deux data streams avec des politiques de rétention différentes ; un data stream qui sera utilisé pour héberger vos logs techniques et un second data stream pour héberger vos logs d'audit et de sécurité.
Pour établir la configuration de votre data stream, vous pouvez vous référer au chapitre « Let's send some logs » de notre documentation.
Vous pouvez également configurer une rétention de vos logs pour une période donnée. Vous trouverez plus d'informations dans notre documentation Activating cold storage on a stream.
Le tableau résume les paramètres clefs pour les configurations des deux data streams que nous recommandons :
| Nom | Description | Activer la diffusion WebSocket | Activer l'indexation | Activer le stockage longue durée | Algorithme de compression | Durée de rétention des archives | Solution de stockage | Contenu des archives livrées |
|---|---|---|---|---|---|---|---|---|
| sap-logstash | Data stream pour les logs SAP et OS | Oui | Oui | Non | ||||
| audit-sap-logstash | Data stream pour logs d'audit et de sécurité | Oui | Oui | Oui | .gz (zlib) | 5 ans1 | OVHcloud Archive | Une archive contenant l'ensemble des logs au format Gelf |
1 La durée peut être ajustée en fonction de la réglementation locale de conservation des logs.
Outils de collecte
En raison de la quantité et de la diversité des types de logs SAP, le déploiement d’un outil de collecte de données pour traiter, formater et structurer chaque type de logs fournis par SAP de manière appropriée est essentiel.
Veuillez suivre le chapitre « Host a logstash collector on Logs Data Platform » de notre documentation pour être guidé sur le déploiement d'un outil de collecte.
| Nom | Description | Logiciel | Port TCP à ouvrir | Réseaux de confiance2 | Lier à un flux de données |
|---|---|---|---|---|---|
| tools-sap-logstash | Outil de collecte pour vos logs SAP et OS | LOGSTASH 8.x | 6514 | X.X.X.X/X | sap-logstash |
| tools-audit-sap-logstash | Outil de collecte pour vos logs d'audit et de sécurité | LOGSTASH 8.x | 6514 | X.X.X.X/X | audit-sap-logstash |
2 Dans le but d'améliorer la sécurité, nous recommandons de configurer un ou plusieurs réseaux de confiance.
Chaque instance possède des capacités limitées pour gérer les logs en provenance de vos serveurs et de vos applications. Dans un contexte SAP, nous vous recommandons d'activer la mise à l'échelle automatique et de paramétrer le nombre minimum d'instances à 2.
La fonctionnalité SAP logs on OVHcloud Logs Data Platform fournit une configuration Logstash permettant de filtrer et de traiter vos logs provenant d'un serveur SAP Central Services, d'un serveur d'application SAP, d'une base de données SAP HANA, d'un SAProuter ou d'un SAP WebDispatcher.
1. Sélectionnez SAP on OVHcloud dans la liste déroulante.
2. Les sections Input, Filter et Modèles Grok personnalisés sont automatiquement remplies. Vous pouvez également développer vos propres filtres si vous introduisez de nouveaux logs.
3. Cliquez sur Terminer la configuration.
4. Sur votre data stream, cliquez sur l'icône représentant les trois points, puis sur Informations utiles.
Ces informations seront nécessaire pour la configuration de votre service rsyslog afin de transférer vos logs vers l'outil de collecte Logstash.
Configuration du système d'exploitation
Cette section doit être répétée sur chaque serveur sur lequel vous souhaitez transférer les logs vers Logs Data Platform.
Si vous utilisez notre template SAP HANA, veuillez noter que cette configuration peut être réalisée durant le déploiement du template.
Paquets
Veuillez vous assurer que les paquets rsyslog (>=8.23.0) et rsyslog-module-gtls (>=8.2108) sont présents sur vos serveurs.
Si la version est inférieure à celle requise, veuillez mettre à jour votre système d'exploitation. Si le message de sortie est vide, cela signifie que le paquet n'est pas présent sur votre système d'exploitation et que vous devez l'installer.
- SLES
- RHEL
Installation
OVHcloud fournit de nombreux fichiers de configuration rsyslog disponibles sur notre repository GitHub. Ces fichiers sont nécessaires afin de gérer correctement les logs d'un système SAP.
Afin de faciliter le déploiement de ces configurations rsyslog, deux solutions sont disponibles sur notre GitHub. La première est un script bash lançant la configuration en fonction des paramètres fournis. La seconde est un playbook Ansible pour lancer la configuration sur plusieurs serveurs en même temps.
De nombreuses options sont disponibles pour configurer rsyslog avec nos automatisations :
| Nom | Option bash | Option bash (longue) | Option Ansible | Description | Description |
|---|---|---|---|---|---|
| Help | -h | --help | Affiche l'aide. | ||
| Software Stack | -k | --software-stack | software_stack | Software Stack de l'instance S4 / NW / HANA. Permet de déclencher la découverte automatique du ou des SIDs. | |
| SAD SID | -s | --sap-sid | sap_sid | SAP SID. Trois caractères alphanumériques. | |
| HANA SID | --hana-sid | hana_sid | HANA SID. Trois caractères alphanumériques. | ||
| LDP target platform | -t | --ldp-target-platform | ldp_target_platform | URI de l'outil de collecte Logs Data Platform cible. Exemple: gra159-xxx.gra159.logs.ovh.com | |
| LDP CA file path | -p | --ldp-ca-file-path | ldp_ca_file_path | Chemin absolu du certificat de l'outil de collecte Logs Data Platform cible. Exemple: /etc/rsyslog.d/logstash.crt | |
| Audit LDP target platform | --audit-ldp-target-platform | audit_ldp_target_platform | URI de l'outil de collecte Logs Data Platform cible pour les logs d'audit et de sécurité. Ce paramètre n'est pas obligatoire mais permet de configurer un outil de collecte Logs Data Platform pour vos logs d'audit et de sécurité de vos SAP HANA, SAP ABAP et SAP JAVA système. | ||
| Audit LDP CA file path | --audit-ldp-ca-file-path | audit_ldp_ca_file_path | Chemin absolu du certificat de l'outil de collecte Logs Data Platform cible pour les logs d'audit et de sécurité. Ce paramètre n'est pas obligatoire mais permet de configurer un outil de collecte Logs Data Platform pour vos logs d'audit et de sécurité de vos SAP HANA, SAP ABAP et SAP JAVA système. | ||
| Forward AS ABAP Audit log | --collect-sal | collect_sal | Booléen. Permet d'activer le service OVHcloud afin de traiter les logs d'audit SAP ABAP. |
Terminal
- Un déploiement minimal ne nécessite que l'hôte d'OVHcloud Logs Data Platform et la localisation du certificat :
- Un déploiement en paramétrant le software stack afin de laisser le script découvrir l'environnement SAP :
- Un déploiement en paramétrant le SID SAP :
- Un déploiement en paramétrant les logs d'audit SAP HANA sur un data stream spécifique :
- Un déploiement en paramétrant la collecte des logs d'audit SAP ABAP :
La fonctionnalité SAP logs on OVHcloud Logs Data Platform fournit la possibilité de traiter les logs d'audit ABAP avec le paramètre --collect-sal. Plus d'information dans le chapitre SAP AS ABAP Security Audit Log.
Ansible (>=2.15)
OVHcloud fournit un playbook Ansible pour déployer la configuration rsyslog.
Si vous avez oublié une option ou souhaitez reconfigurer votre rsyslog, vous pouvez relancer le script bash ou le playbook Ansible. Une nouvelle configuration sera déployée et l'ancienne configuration sera sauvegardée avec l'extension .old.
SAP AS ABAP Security Audit Log
SAP fournit la possibilité d'enregistrer tous les évènements liés à la sécurité d'un système SAP avec la fonctionnalité Security Audit Log.
En l'activant, toutes les activités que vous aurez spécifiées seront enregistrées dans un log d'audit localisé dans /usr/sap/<SID>/D<NI>/log/audit_YYYYMMDD pour la version NetWeaver 7.50. Veuillez noter que le service OVHcloud n'accepte que les fichiers journalisés ayant pour nom audit_YYYYDDMM.
Pour les versions SAP S/4HANA, l'approche classique doit être configurée. Un seul fichier par jour doit être généré, l'option protection format active doit être désactivée et le paramètre FN_AUDIT (configuré dans le profil DEFAULT.PFL) doit avoir pour valeur ++++++++.AUD, où ++++++++ est égal à YYYYDDMM. Dans le but de charger cette nouvelle configuration, un redémarrage de votre système SAP doit être réalisé.
Ces fichiers d'audit n'ayant pas une syntaxe rsyslog standard, OVHcloud a développé un service Linux dans le but d'identifier et d'envoyer ces logs à rsyslog par le biais du fichier /var/log/messages. Ces logs provenant du processus Security Audit Log sont identifiés avec le tag security_audit_abap.
Durant l'installation, deux fichiers sont créés /etc/systemd/system/ovhcloud-sap-audit.service et /usr/sbin/ovhcloud-sap-auditd. Ces fichiers sont utilisés pour créer le service nommé ovhcloud-sap-audit.
Vous pouvez démarrer ou stopper ce nouveau service en utilisant les commandes suivantes :
Configurer OpenSearch Dashboards
OVHcloud fournit une solution permettant d'améliorer vos dashboards en utilisant OpenSearch Dashboards. Avec cette solution, vous pouvez sauvegarder et créer des dashboards répondant à vos différents cas d'usage.
Pour créer un OpenSearch Dashboards, veuillez prendre connaissance de notre documentation Using OpenSearch Dashboards with Logs Data Platform.
Importer les objets OVHcloud pour SAP
OVHcloud fournit une collection de recherches et de dashboards, disponibles sur notre repository GitHub. Ces objets peuvent être téléchargés et importés dans votre OpenSearch Dashboards.
Dans le fichier téléchargé, les mots clefs <replace-with-your-alias-id> et <replace-with-your-audit-alias-id> doivent être remplacés par l'ID de l'alias de votre data stream.
Dans le cas où vous n'auriez qu'un seul data stream pour vos logs techniques et de sécurité, remplacez les deux mots clefs par la même valeur.
Vous pouvez trouver cet ID dans votre instance OpenSearch Dashboards, Stack Management, Index patterns, puis sélectionnez votre alias. L'ID est affichée dans l'URL et est composé de caractères alphanumériques.
Dans votre instance OpenSearch Dashboards, utilisez le panneau de gauche pour naviguer dans l'onglet Stack Management, puis Saved Objects et cliquez sur Import pour sélectionner le fichier précédemment téléchargé.
En suivant ces étapes, vous avez à présent les objets disponibles dans le menu Saved Objects.
Toujours au sein de votre instance OpenSearch Dashboards, dans le menu principal, vous avez à présent deux nouveaux dashboards créés par OVHcloud. Vous avez également la possibilité d'accéder aux recherches sauvegardées en cliquant sur l'icône de sauvegarde.
Vos logs sont à présent transférés vers Logs Data Platform et sont visualisables via OpenSearch Dashboards.
Configurer des alertes SAP
Vous pouvez recevoir des notifications par e-mail quand des mots clefs sont détectés ou un seuil dépassé dans vos logs SAP.
Vous pouvez retrouver les informations pour créer une alerte dans notre documentation Configuring a Field Aggregation alert condition.
Ci-dessous, nous vous proposons des exemples d'alertes :
| Condition d'alerte | Nom | Champ | Valeur | Type de seuil | Seuil | Type d'agrégation | Période de grâce | Accumulation de messages | Filtre de requête |
|---|---|---|---|---|---|---|---|---|---|
| Le contenu d'un champ | SAP - Security audit - Severe events | Severity | Severe | 1 | 5 | saplog: security_audit_abap and not Class: Logon and not Details: "Non-encrypted &A communication (&B)" | |||
| Un nombre de messages | SAP - DB_CONNECT_ERROR | Plus | 5 | 1 | 2 | saplog: dev_w and sap_sid: "" and message: "ERROR-DB-CONNECT_ERROR" | |||
| Un nombre de messages | SAP - Short dumps | Plus | 50 | 1 | 10 | saplog:syslog and message: ("Short dump" and "created") | |||
| Le contenu d'un champ | SAP - Failed logins | Details | Logon failed (reason=&B, type=&A, method=&C) | 5 | 3 | saplog:security_audit_abap and sap_sid: "" | |||
| Le contenu d'un champ | SAP - Unavailibities | message | Unavailable | 1 | 1 | saplog: available | |||
| Le contenu d'un champ | SAP HANA - Memory outages | message | OUT OF MEMORY | 1 | 1 | saplog: *alert* and hana_sid: "" | |||
| Un nombre de messages | SAP HANA - Backup issues | Plus | 1 | 2 | 5 | saplog: backup_tenant or saplog: backup or saplog: backint_tenant or saplog: backint and message: *ERROR* and hana_sid: "" | |||
| Un nombre de messages | SAP HANA - Services alerts | Plus | 10 | 2 | 10 | saplog: *alert* and hana_sid: "" | |||
| Un nombre de messages | SAP HANA - Modified parameters | Plus | 5 | 5 | 20 | saplog: nameserver and message: "alter system alter configuration" | |||
| Un nombre de messages | SAP HANA - Failed logins | Plus | 3 | 1 | 5 | saplog: syslog and program: (HDB_SYSTEMDB or HDB_TENANTDB) and message: "authentication failed" |
Quand une alerte est déclenchée, vous recevez ce type d'e-mail.
Diagnostic
Si les messages ne sont pas transférés à votre OVHcloud Logs Data Platform, veuillez vérifier que votre service rsyslog n'a pas d'erreur avec la commande :
Par exemple, une erreur en lien avec votre hôte OVHcloud Logs Data Platform:
Vérifiez que les informations de votre hôte et de votre certificat sont correctes. Vous trouverez ces informations dans votre outil de collecte dans la section Informations utiles de ce menu.
Parfois, le service rsyslog peut être surchargé dans le cas où un très grand nombre de messages doit être envoyé. Dans la plupart des cas, il est préférable d'attendre quelques minutes que le service rsyslog traite les messages par le biais de son spool (/var/spool/rsyslog). Si après plusieurs minutes, vous vous apercevez que les messages sont toujours bloqués, vous pouvez alors envisager de redémarrer les services rsyslog et syslog.socket.
Désinstallation
Si vous ne souhaitez plus utiliser la fonctionnalité SAP logs on OVHcloud Logs Data Platform, vous pouvez supprimer le fichier de configuration rsyslog /etc/rsyslog.d/ovhcloud-sap-rsyslog.conf et redémarrer les services syslog et syslog.socket.
Si vous aviez choisi d'installer notre service pour gérer les logs d'audit SAP, il vous suffit d'exécuter les commandes suivantes :
Aller plus loin
- Introduction to Logs Data Platform
- Quick start for Logs Data Platform
- SAP logs on OVHcloud Logs Data Platform - Analysez et exploitez vos logs
Si vous avez besoin d'une formation ou d'une assistance technique pour la mise en oeuvre de nos solutions, contactez votre commercial ou cliquez sur ce lien pour obtenir un devis et demander une analyse personnalisée de votre projet à nos experts de l’équipe Professional Services.
Échangez avec notre communauté d'utilisateurs.
SAP logs sur OVHcloud Logs Data Platform - Analysez et exploitez vos logs
138