SAP中的读访问日志Read Access Logging(RAL)
定义
读取访问日志(以下简称RAL)用于监视并记录对敏感数据的读取访问。这里的数据是指会被法律、外部公司政策或公司内部政策归类为敏感信息的数据。以下典型问题可能会与使用读取访问日志的应用程序有关:
- 谁访问了某个商业实体的数据,例如银行账户?
- 谁访问了私人数据,例如商业伙伴的数据?
- 哪位员工访问过某些个人信息,例如宗教信仰?
- 有没有人搜索过,是否有VIP被送入医院?
- 哪些用户访问过哪些帐户或业务合作伙伴(BP)?
这些问题都可以使用“特定时间范围内、访问特定数据的人的信息"来回答。从技术上讲,这意味着必须启用所有(访问数据的)远程API和UI基础设施以进行日志记录。但是,目前仅限于以下渠道可以使用RAL:
- Remote Function Calls (sRFC, aRFC, tRFC, qRFC, bgFRC)
- Dynpro
- Web Dynpro
- Web services
有关每种渠道可以记录的对象的更多信息,可以访问: Channel-Specific Information.
RAL的主要目的
RAL通常需要符合法律法规或公共标准(如数据隐私政策),比如在银行或医疗保健应用程序中。数据隐私即是对个人数据的访问保护和限制。在一些国家,数据隐私法规甚至要求报告对某些个人数据的访问行为。此外,公司和公共机构们,出于其自身的原因,也可能希望监视对其保密数据或其他敏感数据的访问。如果没有跟踪或记录访问数据行为,则很难跟踪到需要对数据泄漏事件负责的人员。RAL提供了这些信息。
日志记录的目的(purpose)是根据组织的需求自由定义的(例如,数据隐私),而RAL总是基于该目的。日志记录目的会作为属性被分配给每个日志条目,从而允许根据日志记录目的对日志数据进行分类和组织。例如,可以基于记录目的创建各种归档规则或报告。
因此,阅读访问记录框架可用于履行法律或其他法规、检测欺诈或数据盗窃、审计或用于任何其他内部目的。
RAL架构的背景信息
当应用程序启动时,会读取RAL配置。 根据RAL配置识别当前启用远程的功能模块、Web服务操作或Web Dynpro UI元素是否与日志相关、以及相关程度如何。 例如,应该只有访问行为本身被记录,还是包括访问内容? 日志条目可以根据它们的语义进行结构化。
SAP应用程序可能包含预定义配置。但是,客户的管理员通常必须根据自己的需求来调整配置,以满足其组织的法律要求——SAP并不了解全部的需求。 客户也可以创建自己的配置。
注意:注意与所有日志记录功能一样,您的对日志数据的需求,必须与记录日志对系统性能的影响保持平衡。 系统的性能取决于您记录的数据量以及您为记录数据指定的条件的复杂程度。
活动
配置工作
1. 确定在哪些情况下必须记录哪些数据。
组织必须定义要应用哪些法律或安全要求以及哪些数据必须在语义级别上进行记录。例如,法律部门可能确定必须记录对社会保障号码(SSN)的访问。
2. 为读取访问记录定义目的( purposes )。
根据日志记录的目的以及必须满足的法律法规,应用程序可以定义报告和保存和处理数据的规则。有关更多信息,请参阅Defining Logging Purposes。
3. 确定可以访问数据的渠道。
例如: RFC, Dynpro, Web Dynpro, 或者 Web services.
4. 定义日志域。
日志域是需要记录的语义相关数据字段组。例如,总薪水和净薪水可能会被分组到薪酬日志域中。日志域捆绑了相同语义实体的不同技术表示。日志域是独立于渠道的。有关更多信息,请参阅Defining Log Domains。
5. 定义规则以描述必须适用于读取访问记录的条件。
您可以定义需要记录哪些数据以及是仅记录访问还是内容。有关更多信息,请参阅Configuring Read Access Logging。
运营期间的工作
1. 为读取访问日志配置定义用户排除列表。
如果您想从读访问日志记录中排除某些用户,请将其添加到用户排除列表中。 这对于没有用户交互的自动处理很有用,例如后台作业。 有关更多信息,请参阅Defining a User Exclusion List。
2. 启用当前client的读取访问日志
读取访问日志必须在当前client中启用。 否则,配置将被忽略。 有关更多信息,请参阅Enabling Read Access Logging in Current Client。
3. 显示对RAL配置所做的更改,并评估错误和警告。
请参阅:Working with the Administrative Log
4. 使用信息生命周期管理( Information Lifecycle Management, ILM)和归档开发工具包( Archive Development Kit, ADK)归档和删除读取访问记录数据。
请参阅:Archiving Read Access Logging Data
5. 为档案创建信息结构
监控
您可以使用Read Access Logging监控器查看所有日志条目。 有关更多信息,请参阅Monitoring the Read Access Log。
事务代码
相关的3个事务代码:SRALMANAGER,SRALMONITOR,SRALCONFIG。
事务代码 | 描述 |
---|---|
SRALMANAGER | RAL记录管理器。显示Read Access Logging Manager中的监控和管理标签。 |
SRALMONITOR | RAL记录监控器。只显示Read Access Logging Manager中的监控标签。 |
SRALCONFIG | RAL日志记录配置。只显示Read Access Logging Manager中的管理标签。 |
参考阅读:How to Configure Read Access Logging in SAP
System Security for SAP NetWeaver AS for ABAP Only- Read Access Logging
Read Access Logging (RAL) Configuration
1969086 – Availability of Read Access Logging and prerequisites (kernel and SAP GUI version)