SAP中的讀訪問日誌Read Access Logging（RAL）

定義

讀取訪問日誌（如下簡稱RAL）用於監視並記錄對敏感數據的讀取訪問。這裏的數據是指會被法律、外部公司政策或公司內部政策歸類爲敏感信息的數據。如下典型問題可能會與使用讀取訪問日誌的應用程序有關：

• 誰訪問了某個商業實體的數據，例如銀行帳戶？
• 誰訪問了私人數據，例如商業夥伴的數據？
  
• 哪位員工訪問過某些我的信息，例如宗教信仰？
  
• 有沒有人搜索過，是否有VIP被送入醫院？
  
• 哪些用戶訪問過哪些賬戶或業務合做夥伴（BP）？

這些問題均可以使用「特定時間範圍內、訪問特定數據的人的信息"來回答。從技術上講，這意味着必須啓用全部（訪問數據的）遠程API和UI基礎設施以進行日誌記錄。可是，目前僅限於如下渠道可使用RAL：

• Remote Function Calls (sRFC, aRFC, tRFC, qRFC, bgFRC)
• Dynpro
• Web Dynpro
• Web services

 

有關每種渠道能夠記錄的對象的更多信息，能夠訪問： Channel-Specific Information.

RAL的主要目的

RAL一般須要符合法律法規或公共標準（如數據隱私政策），好比在銀行或醫療保健應用程序中。數據隱私便是對我的數據的訪問保護和限制。在一些國家，數據隱私法規甚至要求報告對某些我的數據的訪問行爲。此外，公司和公共機構們，出於其自身的緣由，也可能但願監視對其保密數據或其餘敏感數據的訪問。若是沒有跟蹤或記錄訪問數據行爲，則很難跟蹤到須要對數據泄漏事件負責的人員。RAL提供了這些信息。

日誌記錄的目的（purpose）是根據組織的需求自由定義的(例如，數據隱私)，而RAL老是基於該目的。日誌記錄目的會做爲屬性被分配給每一個日誌條目，從而容許根據日誌記錄目的對日誌數據進行分類和組織。例如，能夠基於記錄目的建立各類歸檔規則或報告。

所以，閱讀訪問記錄框架可用於履行法律或其餘法規、檢測欺詐或數據盜竊、審計或用於任何其餘內部目的。

RAL架構的背景信息

當應用程序啓動時，會讀取RAL配置。 根據RAL配置識別當前啓用遠程的功能模塊、Web服務操做或Web Dynpro UI元素是否與日誌相關、以及相關程度如何。 例如，應該只有訪問行爲自己被記錄，仍是包括訪問內容？ 日誌條目能夠根據它們的語義進行結構化。

SAP應用程序可能包含預約義配置。可是，客戶的管理員一般必須根據本身的需求來調整配置，以知足其組織的法律要求——SAP並不瞭解所有的需求。 客戶也能夠建立本身的配置。

注意：注意與全部日誌記錄功能同樣，您的對日誌數據的需求，必須與記錄日誌對系統性能的影響保持平衡。 系統的性能取決於您記錄的數據量以及您爲記錄數據指定的條件的複雜程度。

活動

配置工做

1. 肯定在哪些狀況下必須記錄哪些數據。

組織必須定義要應用哪些法律或安全要求以及哪些數據必須在語義級別上進行記錄。例如，法律部門可能肯定必須記錄對社會保障號碼（SSN）的訪問。

2.  爲讀取訪問記錄定義目的（ purposes ）。

根據日誌記錄的目的以及必須知足的法律法規，應用程序能夠定義報告和保存和處理數據的規則。有關更多信息，請參閱Defining Logging Purposes。

3. 肯定能夠訪問數據的渠道。

例如： RFC, Dynpro, Web Dynpro, 或者 Web services.

4. 定義日誌域。

日誌域是須要記錄的語義相關數據字段組。例如，總薪水和淨薪水可能會被分組到薪酬日誌域中。日誌域捆綁了相同語義實體的不一樣技術表示。日誌域是獨立於渠道的。有關更多信息，請參閱Defining Log Domains。

5.  定義規則以描述必須適用於讀取訪問記錄的條件。

您能夠定義須要記錄哪些數據以及是僅記錄訪問仍是內容。有關更多信息，請參閱Configuring Read Access Logging。

運營期間的工做

1. 爲讀取訪問日誌配置定義用戶排除列表。

若是您想從讀訪問日誌記錄中排除某些用戶，請將其添加到用戶排除列表中。 這對於沒有用戶交互的自動處理頗有用，例如後臺做業。 有關更多信息，請參閱Defining a User Exclusion List。

2. 啓用當前client的讀取訪問日誌

讀取訪問日誌必須在當前client中啓用。 不然，配置將被忽略。 有關更多信息，請參閱Enabling Read Access Logging in Current Client。

3. 顯示對RAL配置所作的更改，並評估錯誤和警告。

請參閱：Working with the Administrative Log

4. 使用信息生命週期管理（ Information Lifecycle Management, ILM）和歸檔開發工具包（ Archive Development Kit, ADK）歸檔和刪除讀取訪問記錄數據。

請參閱：Archiving Read Access Logging Data

5. 爲檔案建立信息結構

監控

您可使用Read Access Logging監控器查看全部日誌條目。 有關更多信息，請參閱Monitoring the Read Access Log。

事務代碼

相關的3個事務代碼：SRALMANAGER，SRALMONITOR，SRALCONFIG。

事務代碼	描述
SRALMANAGER	RAL記錄管理器。顯示Read Access Logging Manager中的監控和管理標籤。
SRALMONITOR	RAL記錄監控器。只顯示Read Access Logging Manager中的監控標籤。
SRALCONFIG	RAL日誌記錄配置。只顯示Read Access Logging Manager中的管理標籤。

 

 

參考閱讀：How to Configure Read Access Logging in SAP

　　　　   System Security for SAP NetWeaver AS for ABAP Only- Read Access Logging

　　　　   Read Access Logging (RAL) Configuration

　　　　   1969086 – Availability of Read Access Logging and prerequisites (kernel and SAP GUI version)