Anforderungen an ein Überwachungs- und Optimierungskonzept
ABAP®/ABAP® OO
Die Fehlersituation kann in der Regel beseitigt werden, ohne dass das SAP-System bzw. die Datenbank gestoppt werden muss. Dazu müssen die Daten des Log-Bereichs archiviert werden. Anschließend kann die Datenbankinstanz mit ihrer Arbeit fortfahren und die aufgelaufenen Aufträge weiterbearbeiten.
Neben den in den einzelnen SAP-Modulen tätigen Beratern gibt es hier einen Teilbereich, der für viele nicht direkt ersichtlich ist und dessen Tätigkeit recht intransparent zu sein scheint: die SAP Basis. Der reibungslose Betrieb der SAP-Systeme als das Herzstück vieler Unternehmen wird durch die Arbeit der SAP Basis-Administratoren sichergestellt.
SCHAFFUNG NEUER ROLLEN
In kleinen SAP-Installationen werden die Verbuchungs-Workprozesse zusammen mit Datenbankinstanz, Message- und Enqueue-Service auf einem Rechner konfiguriert. In mittelgroßen und großen SAP-Installationen sollte die Verbuchung nicht mehr zentral auf dem Datenbankserver konfiguriert werden. Es stellt sich die Frage, ob in diesem Fall ein zentraler Verbuchungsserver (also eine SAP-Instanz, die ausschließlich die Verbuchung übernimmt) eingerichtet oder die Verbuchung symmetrisch auf alle Applikationsserver verteilt werden sollte.
Entweder werden zeitweise Programmaufrufe blockiert, die eigentlich erwünscht sind oder es müssen enorm große Gateway-Logs analysiert werden. Würde man sich nun aufgrund des hohen Arbeitsaufwands dazu entscheiden, dauerhaft auf die Nutzung der Zugriffskontrolllisten zu verzichten, stellt dies eine große Sicherheitslücke dar. Das ungeschützte System besitzt keine Einschränkungen bezüglich der externen Dienste, die sich registrieren dürfen und darüber hinaus sind auch keine Regelungen zur Ausführung von Programmen vorhanden. Eine mögliche Konsequenz wäre beispielsweise die Registrierung eines externen Systems auf dem bösartige Programme vorhanden sind. In dem Moment, wo ohne jegliche Kontrolle fremde Programme auf dem eigenen System ausgeführt werden, kann man davon ausgehen, dass großer Schaden angerichtet wird. Dieser reicht beispielsweise von einem unbemerkten Auslesen von Einkaufs- und Verkaufszahlen über ein Abzweigen finanzieller Mittel bis hin zu einem Lahmlegen oder Manipulieren des gesamten Systems. Darüber hinaus ist dieses Szenario auch bei schlecht gepflegten Zugriffskontrolllisten möglich. Unsere Lösung: secinfo und reginfo Generator für SAP RFC Gateway Um das Problem zu lösen, haben wir einen Generator entwickelt, der auf Basis von Gateway-Logs automatisiert secinfo und reginfo Dateien erstellen kann. Die grundlegende Idee basiert auf dem Logging-basierten Vorgehen. Er übernimmt die Aufgabe der zeitintensiven Analyse der Log-Dateien und gewährt darüber hinaus durch die Automatisierung eine maximale Zuverlässigkeit. Dennoch sollten die Einträge der generierten Dateien von einer Person überprüft werden. Da es sich bei den als Input genutzten Log-Dateien um sensible Daten handelt, verlassen selbstverständlich keine der eingefügten Daten Ihr System. Weitere Informationen zu dem Generator finden Sie hier.
Tools wie z.B. "Shortcut for SAP Systems" sind bei der Basisadministration extrem nützlich.
Dadurch fehlt häufig das Know-How und es wird schnell zur nächsten Suchmaschine gegriffen, wo lange und teilweise unvollständige Foreneinträge die Suche nach dem richtigen Vorgehen noch mehr erschweren.
Wenn Sie mehr zum Thema SAP Basis wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Das SAP Basis-System ist für R/3 als auch S/4 wie ein Betriebssystem.