Read Access Logging
Многие из вас, скорее всего, получали в мае этого года письма с загадочной аббревиатурой GDPR. Ни для кого не секрет, что в последнее время все чаще и чаще можно слышать разговоры о том, что "необходимо ответственно подходить к персональным данным и тем, кто получает к ним доступ". SAP идет в ногу со временем и трендами, которые задаются, и предлагает нам инструмент для мониторинга активностей пользователей по доступу к различной персональной информации. Наименование этого инструмента Read Access Logging (RAL) и о нем пойдет речь в этой заметке.
Что это за инструмент и какой профит я получу от его использования?
На этот вопрос вполне себе достойно отвечает сам вендор
Definition
Read Access Logging (RAL) is used to monitor and log read access to sensitive data. This data may be categorized as sensitive by law, by external company policy, or by internal company policy. The following typical questions might be of interest for an application that uses Read Access Logging:
Who accessed the data of a given business entity, for example a bank account?
Who accessed personal data, for example of a business partner?
Which employee accessed personal information, for example religion?
Did anyone search, for example, if VIPs were admitted to hospital?
Which accounts or business partners were accessed by which users?
These questions can be answered using information about who accessed particular data within a specified time frame. Technically, this means that all remote API and UI infrastructures (that access the data) must be enabled for logging. Read Access Logging is currently limited to the following channels, however:
Remote Function Calls (sRFC, aRFC, tRFC, qRFC, bgFRC)
Dynpro
Web Dynpro
Web services
For more information about the objects that can be logged for the different channels
Если вкратце, то продолжаем следить за действиями пользователя в вашей системе, но уже на более детальном уровне, с получением информации о том, какие поля были задействованы и какие значения были внесены в эти поля. К плюсам также можно отнести и то, что RAL, помимо обычных abap-программ, также работает с WebDynpro приложениями и веб-сервисами.
См. заметку Активация аудита запущенных пользователем программ в системе
Настройка
Центральной транзакцией настройки RAL является, простиоспаде, транзакция SRALMANAGER
См. Transaction Codes in Read Access Logging
- SRALMANAGER - Displays Administration and Monitor tabs in Read Access Logging Manager.
- SRALMONITOR - Displays the Monitor tab only in Read Access Logging Manager.
- SRALCONFIG - Displays the Administration tab only in Read Access Logging Manager.
Пример 1. Активация RAL для Dynpro
Для начала давайте попробуем активировать RAL для транзакции PA20, чтобы посмотреть какие инфо-типы просматриваются пользователями и по каким табельным номерам. Информация по настройке будет представлена в несколько сжатом варианте, дабы не растекаться мыслями по древу.
Logging Purposes
Context
Read Access Logging is always based on a logging purpose that is freely defined according to the requirements of an organization. It describes why specific data is logged. In the configuration, you specify the logging purpose and each log entry in the log is assigned its purpose as an attribute. This allows the log data to be organized according to the logging purpose. For example, various archiving rules or reportings can be created based on logging purposes.The Read Access Logging framework can thus be used to fulfill legal or other regulations, to detect fraud or data theft, for auditing purposes, or for any other internal purpose.
Log Domains
Context
Within an application, the data to be logged must be defined on a semantic level, before the actual fields and rules are defined. This is done by creating log domains as semantic descriptions of semantically identical or related fields that have different technical representations. In Read Access Logging manager, you first define a log domain. During the configuration, you assign a log domain to each field to be logged.For a log domain, you specify a name and a business area that the data element is related to. It is necessary because different applications might use the same log domain. For example, a log domain "account" might be something different in the Human Resources application than it is in the Banking application.
Recordings
После того, как Recording создан, необходимо перейти в транзакцию PA20 для того, чтобы указать поля, по которым будет производиться мониторинг. Для этого, после запуска транзакции PA20 в back-end системе, установите курсор на нужном поле и кликните правой кнопкой мыши, предварительно зажав клавишу Ctrl. В контекстном меню выберите Read Access Logging -> Record Field
Активированные поля станут доступными в настройке вашего Recording.
Configuration
На следующем видеофрагменте представлена последовательность действий, которая позволяет активировать логирование нескольких полей транзакции PA20
Enabling Read Access Logging in Current Client
Проверьте, что RAL активирован в клиенте, в котором вы работаете
Тестирование
Выполняем тестирование под пользователем RLA_DEMO
N.B. Для просмотра лога необходимо выбрать в качестве источника выбрать значение Raw Database
Пример 2. Активация RAL для WebDynpro
Другой пример, который я предлагаю рассмотреть - это активация RAL для WebDynpro приложения HRESS_A_PTARQ_LEAVREQ_APPL. Чтобы не занимать много места, постараюсь описать все действия в двух видеофрагментах.
Подготовка
N.B. Активация логирования полей WebDynpro приложений происходит по аналогии с настройкой Dynpro (клик правой кнопкой мыши по полю с зажатой клавишей Ctrl)
Тестирование
Материал от вендора
См. Sap Note 2053988 - RAL Dynpro Channel: Further information on logging
См. pdf версию Sap Note 2053988 - RAL Dynpro Channel: Further information on logging