Read Access Logging

Многие из вас, скорее всего, получали в мае этого года письма с загадочной аббревиатурой GDPR. Ни для кого не секрет, что в последнее время все чаще и чаще можно слышать разговоры о том, что "необходимо ответственно подходить к персональным данным и тем, кто получает к ним доступ". SAP идет в ногу со временем и трендами, которые задаются, и предлагает нам инструмент для мониторинга активностей пользователей по доступу к различной персональной информации. Наименование этого инструмента Read Access Logging (RAL) и о нем пойдет речь в этой заметке.

Что это за инструмент и какой профит я получу от его использования?

На этот вопрос вполне себе достойно отвечает сам вендор

См. Read Access Logging


Read Access Logging (RAL) is used to monitor and log read access to sensitive data. This data may be categorized as sensitive by law, by external company policy, or by internal company policy. The following typical questions might be of interest for an application that uses Read Access Logging:

  • Who accessed the data of a given business entity, for example a bank account?

  • Who accessed personal data, for example of a business partner?

  • Which employee accessed personal information, for example religion?

  • Did anyone search, for example, if VIPs were admitted to hospital?

  • Which accounts or business partners were accessed by which users?

These questions can be answered using information about who accessed particular data within a specified time frame. Technically, this means that all remote API and UI infrastructures (that access the data) must be enabled for logging. Read Access Logging is currently limited to the following channels, however:

  • Remote Function Calls (sRFC, aRFC, tRFC, qRFC, bgFRC)

  • Dynpro

  • Web Dynpro

  • Web services

For more information about the objects that can be logged for the different channels

Если вкратце, то продолжаем следить за действиями пользователя в вашей системе, но уже на более детальном уровне, с получением информации о том, какие поля были задействованы и какие значения были внесены в эти поля. К плюсам также можно отнести и то, что RAL, помимо обычных abap-программ, также работает с WebDynpro приложениями и веб-сервисами.

См. заметку Активация аудита запущенных пользователем программ в системе


Центральной транзакцией настройки RAL является, простиоспаде, транзакция SRALMANAGER

См. Transaction Codes in Read Access Logging

  • SRALMANAGER - Displays Administration and Monitor tabs in Read Access Logging Manager.
  • SRALMONITOR - Displays the Monitor tab only in Read Access Logging Manager.
  • SRALCONFIG - Displays the Administration tab only in Read Access Logging Manager.

Пример 1. Активация RAL для Dynpro

Для начала давайте попробуем активировать RAL для транзакции PA20, чтобы посмотреть какие инфо-типы просматриваются пользователями и по каким табельным номерам. Информация по настройке будет представлена в несколько сжатом варианте, дабы не растекаться мыслями по древу.

Logging Purposes

См. Defining Logging Purposes

Read Access Logging is always based on a logging purpose that is freely defined according to the requirements of an organization. It describes why specific data is logged. In the configuration, you specify the logging purpose and each log entry in the log is assigned its purpose as an attribute. This allows the log data to be organized according to the logging purpose. For example, various archiving rules or reportings can be created based on logging purposes.

The Read Access Logging framework can thus be used to fulfill legal or other regulations, to detect fraud or data theft, for auditing purposes, or for any other internal purpose.

Log Domains

См. Defining Log Domains

Within an application, the data to be logged must be defined on a semantic level, before the actual fields and rules are defined. This is done by creating log domains as semantic descriptions of semantically identical or related fields that have different technical representations. In Read Access Logging manager, you first define a log domain. During the configuration, you assign a log domain to each field to be logged.

For a log domain, you specify a name and a business area that the data element is related to. It is necessary because different applications might use the same log domain. For example, a log domain "account" might be something different in the Human Resources application than it is in the Banking application.


См. Channel-Specific Information

См. Creating Recordings

После того, как Recording создан, необходимо перейти в транзакцию PA20 для того, чтобы указать поля, по которым будет производиться мониторинг. Для этого, после запуска транзакции PA20 в back-end системе, установите курсор на нужном поле и кликните правой кнопкой мыши, предварительно зажав клавишу Ctrl. В контекстном меню выберите Read Access Logging -> Record Field

Активированные поля станут доступными в настройке вашего Recording.


См. Configuring Read Access Logging

На следующем видеофрагменте представлена последовательность действий, которая позволяет активировать логирование нескольких полей транзакции PA20

Enabling Read Access Logging in Current Client

Проверьте, что RAL активирован в клиенте, в котором вы работаете


Выполняем тестирование под пользователем RLA_DEMO

N.B. Для просмотра лога необходимо выбрать в качестве источника выбрать значение Raw Database

См. Monitoring the Read Access Log

Пример 2. Активация RAL для WebDynpro

Другой пример, который я предлагаю рассмотреть - это активация RAL для WebDynpro приложения HRESS_A_PTARQ_LEAVREQ_APPL. Чтобы не занимать много места, постараюсь описать все действия в двух видеофрагментах.


N.B. Активация логирования полей WebDynpro приложений происходит по аналогии с настройкой Dynpro (клик правой кнопкой мыши по полю с зажатой клавишей Ctrl)


Материал от вендора

См. Sap Note 2053988 - RAL Dynpro Channel: Further information on logging

См. pdf версию Sap Note 2053988 - RAL Dynpro Channel: Further information on logging