Поговорим сегодня немного про фоновые задания...
Background job ( фоновое задание ) - тема из разряда : "что там может быть ещё.."
В принципе я согласен, что 99,5% потребностей администратора заканчивается на sm37,sm61(это где по ноте 786412 группу
Ну, ещё возможно забыл про трассировку фоновых заданий ( можете вспомнить когда и как часто вам это нужно ? ). Запустим: st12->Utilities->Schedule trace....
Всё ???
...
Но, оказывается на "BTC*" можно ещё увидеть несколько интересных отчётов, которые могут быть полезны:
BTCAUX14(Note 1439806..Listing job according to their frequency )
BTC_MASS_JOB_CHANGE
- можно сказать, что это прямо "su10 фоновых заданий" ! Суперудобная штука, не понимаю, как я раньше без него жил...
Eщё нотка 519059 FAQ: Background processing system ( и несколько ноток там ещё )...
Из того, что уже есть лично мне не хватает только одной фишки ( возможно она уже есть, но я про неё не знаю ) - это возможность переноса всех настроеных джобов из одной системы в другую или сохранение их в отдельный запрос( с возможностью восстановления ). Конечно, наверное в рамках продуктов типа LaMa или TDMS это реализовано, а как жить тем, кто без них ? Как вы разруливаете типовой сценарий: Настроил задания в QMS..делаешь копию PRD->QMS и процесс настройки заданий делаем заново ?? Подозреваю, что можно сохранять содержимое таблиц TBTCO,TBTCP,TBTCJSTEP,TBTCCNTXT,TBTCCTXTT,TBTCR,TBTCA,TBTCB(но насколько, это корректно восстановит мне неясно)... Поделитесь знаниями в личку ..@bdmalex..если не сложно....😃
#sm37
#sm61
#SAP_DEFAULT_BTC
#BTC_MASS_JOB_CHANGE
#BTCTRNS1
#BTCTRNS2
Background job ( фоновое задание ) - тема из разряда : "что там может быть ещё.."
В принципе я согласен, что 99,5% потребностей администратора заканчивается на sm37,sm61(это где по ноте 786412 группу
SAP_DEFAULT_BTC прописываем), прописывание параметра на количество фоновых процессов ( которые потом изредка мониторим в SM51 ) и любимые программы BTСTRNS1 и BTСTRNS2(про которые вспоминаем при апгрейдах или копировании систем). И любимый отчёт PFCG_TIME_DEPENDENCY, который запускаем в фоне для проверки работоспособности фоновых заданий..Ну, ещё возможно забыл про трассировку фоновых заданий ( можете вспомнить когда и как часто вам это нужно ? ). Запустим: st12->Utilities->Schedule trace....
Всё ???
...
Но, оказывается на "BTC*" можно ещё увидеть несколько интересных отчётов, которые могут быть полезны:
BTCAUX14(Note 1439806..Listing job according to their frequency )
BTC_MASS_JOB_CHANGE
- можно сказать, что это прямо "su10 фоновых заданий" ! Суперудобная штука, не понимаю, как я раньше без него жил...
Eщё нотка 519059 FAQ: Background processing system ( и несколько ноток там ещё )...
Из того, что уже есть лично мне не хватает только одной фишки ( возможно она уже есть, но я про неё не знаю ) - это возможность переноса всех настроеных джобов из одной системы в другую или сохранение их в отдельный запрос( с возможностью восстановления ). Конечно, наверное в рамках продуктов типа LaMa или TDMS это реализовано, а как жить тем, кто без них ? Как вы разруливаете типовой сценарий: Настроил задания в QMS..делаешь копию PRD->QMS и процесс настройки заданий делаем заново ?? Подозреваю, что можно сохранять содержимое таблиц TBTCO,TBTCP,TBTCJSTEP,TBTCCNTXT,TBTCCTXTT,TBTCR,TBTCA,TBTCB(но насколько, это корректно восстановит мне неясно)... Поделитесь знаниями в личку ..@bdmalex..если не сложно....😃
#sm37
#sm61
#SAP_DEFAULT_BTC
#BTC_MASS_JOB_CHANGE
#BTCTRNS1
#BTCTRNS2
Стандартные пользователи ABAP систем...
Тема которая всплывает практически в любом выступлении про безопасность SAP систем. Но думаю, всё равно это актуально ( новые системы и т.д )...
Наш любимый отчёт RSUSR003 (нота 40689 ) в любой момент готов рассказать нам, что сделано с стандарными пользователями в системе.
Рекомендации SAP известны:
- убедиться, что пользователь SAP* существует во всех мандантах системы с нетривиальным паролем ( а то и вовсе заблокировать )
- параметр login/no_automatic_user_sapstar=1
- Изменены стандартные пароли у пользователей DDIC,EARLYWATCH
Нота 1552894 напоминает, как проверить пароль у пользователя TMSADM ( не забываем, что он должен быть только в 000 манданте и отсутствовать во всех других..).
Сменить пароль TMSADM поможет нам не SU01, а специальный отчёт TMS_UPDATE_PWD_OF_TMSADM ( нота 1414256 , и рекомендации из 761637 тоже могут пригодиться ).
...
#Security
#TMSADM
#RSUSR003
#SAP*
Тема которая всплывает практически в любом выступлении про безопасность SAP систем. Но думаю, всё равно это актуально ( новые системы и т.д )...
Наш любимый отчёт RSUSR003 (нота 40689 ) в любой момент готов рассказать нам, что сделано с стандарными пользователями в системе.
Рекомендации SAP известны:
- убедиться, что пользователь SAP* существует во всех мандантах системы с нетривиальным паролем ( а то и вовсе заблокировать )
- параметр login/no_automatic_user_sapstar=1
- Изменены стандартные пароли у пользователей DDIC,EARLYWATCH
Нота 1552894 напоминает, как проверить пароль у пользователя TMSADM ( не забываем, что он должен быть только в 000 манданте и отсутствовать во всех других..).
Сменить пароль TMSADM поможет нам не SU01, а специальный отчёт TMS_UPDATE_PWD_OF_TMSADM ( нота 1414256 , и рекомендации из 761637 тоже могут пригодиться ).
...
#Security
#TMSADM
#RSUSR003
#SAP*
Узнать версию SAP GUI из командной строки...
Тут мне поступило пожелание, что я совсем игнорирую Windows, как платформу.
Меня это немного озадачило, но и правда с эксплуатацией SAP на Windows я практически не сталкивался.
(Написание батников , да SAPроутер и SAP GUI Installation Server не в счёт, наверное..)
Из полезных вещей припоминаю только мелкий совет: "..узнать версию SAP GUI из командной строки.." :
@wmic datafile where name='C:\\Program Files (x86)\\SAP\FrontEnd\\SAPgui\\saplogon.exe' get version 2>null | find /i "."
Такой несложной командой у нас собирается информация и затем заполняетcя табличка в CMDB..
P.S Те, кто предпочитает исключительно визуальные способы может собирать информацию, например через транзакцию SM04, там при желании можно вытащить в Layout столбец SAP GUI version...
#SAPLogon
#SAP_GUI
#Windows
Тут мне поступило пожелание, что я совсем игнорирую Windows, как платформу.
Меня это немного озадачило, но и правда с эксплуатацией SAP на Windows я практически не сталкивался.
(Написание батников , да SAPроутер и SAP GUI Installation Server не в счёт, наверное..)
Из полезных вещей припоминаю только мелкий совет: "..узнать версию SAP GUI из командной строки.." :
@wmic datafile where name='C:\\Program Files (x86)\\SAP\FrontEnd\\SAPgui\\saplogon.exe' get version 2>null | find /i "."
Такой несложной командой у нас собирается информация и затем заполняетcя табличка в CMDB..
P.S Те, кто предпочитает исключительно визуальные способы может собирать информацию, например через транзакцию SM04, там при желании можно вытащить в Layout столбец SAP GUI version...
#SAPLogon
#SAP_GUI
#Windows
Посторонний stuff...
А вы знали , что на ABAP языке програмисты пишут не только бизнес-приложения. Я например встречал в сети примеры кода и реализации шахмат.....И вообще, это гигантская платформа. На которой уже давно много чего реализовано. Просто мало кто пользуется всеми возможностями (imho).
Например:
сервисдеск ...есть...
почта ..есть...
напоминалки ( workflow ) ...есть..
А чтото более оперативное ?
Мессенджера - нет, но есть его "лёгкий заменитель" в лице ФМ TH_POPUP. Используя его можно отправить сообщение любому другому пользователю системы. И это вполне может стать основой для внутрикорпоративного чата...😄
#SAP_chat
#TH_POPUP
А вы знали , что на ABAP языке програмисты пишут не только бизнес-приложения. Я например встречал в сети примеры кода и реализации шахмат.....И вообще, это гигантская платформа. На которой уже давно много чего реализовано. Просто мало кто пользуется всеми возможностями (imho).
Например:
сервисдеск ...есть...
почта ..есть...
напоминалки ( workflow ) ...есть..
А чтото более оперативное ?
Мессенджера - нет, но есть его "лёгкий заменитель" в лице ФМ TH_POPUP. Используя его можно отправить сообщение любому другому пользователю системы. И это вполне может стать основой для внутрикорпоративного чата...😄
#SAP_chat
#TH_POPUP
Проверим транспортные запросы перед переносом по ландшафту ?
Да, наверное в проектной команде ответственность за данное действие несут разработчики. Но думаю стоит об этой теме поговорить...
Как обычно можно использовать массу разных способов:
1) SCI ( код инспектор ), создаём проверку и смотрим результаты...
2) Нота 2475591 Transport Check Report , которая описывает использование стандартного отчёта /SDF/CMO_TR_CHECK ( или транзакции /SDF/TRCHECK )
3) Начиная с SM 7.2 SP8 проверка из пункта 2 может быть интегрирована в процесс Change Request Management ( Не забыть про SAP Note 2257213 )
4) Сталкивался с самописными проверочными утилитами ( для тех, кому первых двух вариантов не хватало ). Код одной из таких можно глянуть во вложении(ztrconfl.txt)
5) В SolMane в рабочей области SAP Engagement and Service Delivery eсть самостоятельный сервис TEAP(Transport Execution Analysis for Project). Полезную информацию для старта такого сервиса можно найти в нотах: 1728978 и 1609155.
А как проходит этот процесс у вас ? Или у вас этим не заморачиваются и предпочитают после переноса разгребать ошибочные результаты ?
#SAP Note 2475591 – Transport Check Report
#SAP Note 1621722 – Guided Self Service – Transport Execution Analysis
#SAP Note 1728978 – Guided Self Service Transport Execution Analysis for Project
Да, наверное в проектной команде ответственность за данное действие несут разработчики. Но думаю стоит об этой теме поговорить...
Как обычно можно использовать массу разных способов:
1) SCI ( код инспектор ), создаём проверку и смотрим результаты...
2) Нота 2475591 Transport Check Report , которая описывает использование стандартного отчёта /SDF/CMO_TR_CHECK ( или транзакции /SDF/TRCHECK )
3) Начиная с SM 7.2 SP8 проверка из пункта 2 может быть интегрирована в процесс Change Request Management ( Не забыть про SAP Note 2257213 )
4) Сталкивался с самописными проверочными утилитами ( для тех, кому первых двух вариантов не хватало ). Код одной из таких можно глянуть во вложении(ztrconfl.txt)
5) В SolMane в рабочей области SAP Engagement and Service Delivery eсть самостоятельный сервис TEAP(Transport Execution Analysis for Project). Полезную информацию для старта такого сервиса можно найти в нотах: 1728978 и 1609155.
А как проходит этот процесс у вас ? Или у вас этим не заморачиваются и предпочитают после переноса разгребать ошибочные результаты ?
#SAP Note 2475591 – Transport Check Report
#SAP Note 1621722 – Guided Self Service – Transport Execution Analysis
#SAP Note 1728978 – Guided Self Service Transport Execution Analysis for Project
SAP Security Patch Day June 2021...
Както тихо и незаметно прошло данное событие мимо меня.
Чемпионом в этот раз стал такой продукт, как SAP Commerce (Versions - 1808, 1811, 1905, 2005, 2011). И его дыра получила аж 9,9 баллов. Так что, если у вас под управлением есть такой ландшафт, то настоятельно рекомендую ноту 3040210. У нас нету, я уж было расслабился....
Но второе место меня очень сильно напрягло:
[CVE-2021-27610] Improper Authentication in SAP NetWeaver ABAP Server and ABAP Platform
Product - SAP NetWeaver AS ABAP and ABAP Platform, Versions - 700,701,702,731,740,750,751,752,753,754,755,804 целых 9 баллов... Знакомимся с нотой 3007182..
В этот раз в ABAP системах ещё были замечены проблемы { смотрим 3020209, 3020104, 3021197, 3002517, 3004043, 3030604...}
#SAP_Security_Patch_Day_June_2021
Както тихо и незаметно прошло данное событие мимо меня.
Чемпионом в этот раз стал такой продукт, как SAP Commerce (Versions - 1808, 1811, 1905, 2005, 2011). И его дыра получила аж 9,9 баллов. Так что, если у вас под управлением есть такой ландшафт, то настоятельно рекомендую ноту 3040210. У нас нету, я уж было расслабился....
Но второе место меня очень сильно напрягло:
[CVE-2021-27610] Improper Authentication in SAP NetWeaver ABAP Server and ABAP Platform
Product - SAP NetWeaver AS ABAP and ABAP Platform, Versions - 700,701,702,731,740,750,751,752,753,754,755,804 целых 9 баллов... Знакомимся с нотой 3007182..
В этот раз в ABAP системах ещё были замечены проблемы { смотрим 3020209, 3020104, 3021197, 3002517, 3004043, 3030604...}
#SAP_Security_Patch_Day_June_2021
Наискучнейшим на события выдался прошедший вчера SAP September 2021 Security Patch Day
На мой вкус обязательно стоит обратить внимание на :
3080567 { HTTP Request Smuggling in SAP Web Dispatcher }
3051787 { Null Pointer Dereference vulnerability in SAP CommonCryptoLib }
Остальные ноты, касаются в основном SAP Business One и других экзотических продуктов:
2622660
3078609
3071984
3089831
3084487
3081888
3073891
3069032
3082500
3060621
3055180
3068582
3070138
3082219
3069882
3075546
3087791
Неужели с безопасностью стало всё так хорошо ?
#SAP_SECURITY
На мой вкус обязательно стоит обратить внимание на :
3080567 { HTTP Request Smuggling in SAP Web Dispatcher }
3051787 { Null Pointer Dereference vulnerability in SAP CommonCryptoLib }
Остальные ноты, касаются в основном SAP Business One и других экзотических продуктов:
2622660
3078609
3071984
3089831
3084487
3081888
3073891
3069032
3082500
3060621
3055180
3068582
3070138
3082219
3069882
3075546
3087791
Неужели с безопасностью стало всё так хорошо ?
#SAP_SECURITY
Как часто в вашей компании обновляют SAP GUI версию ?
Подозреваю, что нечасто. Обычно такое обновление отдают другим подразделениям, типа ИТ-сервисдеск(первая линия). И в лучшем случае всем ставят одну и ту же, "работающую" версию. И патчи на неё ставят в исключительных случаях.
Как собирать информацию о SAP GUI версии на клиентах обсуждали ранее ( https://t.me/SAP_BASIS_TIPS_RU/76).
...
А вспомнил я про SAP GUI сегодня после того, как посмотрел SAP Security Patch Day – November 2021 и увидел забавную ноту 3080106 { Information Disclosure in SAP GUI for Windows Product - SAP GUI for Windows }
Вектор атаки прост: получил доступ к SAP GUI на локальном ПК -> "Welcome в системы, которые сохранены в SAP GUI.." А если это SAP GUI администратора ?
Единственное, что обидно. И как обычно, обновления есть только для двух последних поддерживаемых версий. Почему ни слова не сказано про старые версии ?
Что мешает написать, что версии 7.50, 7.40,... - устарели и атака по данному способу, описанному в CVE-2021-40503 будет успешной. И настоятельно рекомендуем обновить SAP GUI до версий, которые не подвержены данной болезни ?
Кстати, в ноябре 2021 список новых Security note оказался просто минималистическим, поэтому даже можно их все перечислить в одну строку:
3099776(SAP ABAP Platform Kernel),2971638(SAP Solution Manager),3104456,3068582,3105728,3110328...
#SAP_SECURITY
Подозреваю, что нечасто. Обычно такое обновление отдают другим подразделениям, типа ИТ-сервисдеск(первая линия). И в лучшем случае всем ставят одну и ту же, "работающую" версию. И патчи на неё ставят в исключительных случаях.
Как собирать информацию о SAP GUI версии на клиентах обсуждали ранее ( https://t.me/SAP_BASIS_TIPS_RU/76).
...
А вспомнил я про SAP GUI сегодня после того, как посмотрел SAP Security Patch Day – November 2021 и увидел забавную ноту 3080106 { Information Disclosure in SAP GUI for Windows Product - SAP GUI for Windows }
Вектор атаки прост: получил доступ к SAP GUI на локальном ПК -> "Welcome в системы, которые сохранены в SAP GUI.." А если это SAP GUI администратора ?
Единственное, что обидно. И как обычно, обновления есть только для двух последних поддерживаемых версий. Почему ни слова не сказано про старые версии ?
Что мешает написать, что версии 7.50, 7.40,... - устарели и атака по данному способу, описанному в CVE-2021-40503 будет успешной. И настоятельно рекомендуем обновить SAP GUI до версий, которые не подвержены данной болезни ?
Кстати, в ноябре 2021 список новых Security note оказался просто минималистическим, поэтому даже можно их все перечислить в одну строку:
3099776(SAP ABAP Platform Kernel),2971638(SAP Solution Manager),3104456,3068582,3105728,3110328...
#SAP_SECURITY
Telegram
SAP Basis Tips (RU)
Узнать версию SAP GUI из командной строки...
Тут мне поступило пожелание, что я совсем игнорирую Windows, как платформу.
Меня это немного озадачило, но и правда с эксплуатацией SAP на Windows я практически не сталкивался.
(Написание батников , да SAPроутер…
Тут мне поступило пожелание, что я совсем игнорирую Windows, как платформу.
Меня это немного озадачило, но и правда с эксплуатацией SAP на Windows я практически не сталкивался.
(Написание батников , да SAPроутер…
Читаю тут актуальную security ноту. Но результат - впечатляет. Заблокируй часть функций, и за компанию сломается целый продукт! И это не моя фантазия....
Хорошо, дальше есть разъяснение, как продукт восстановить: "..Please follow the steps described in SAP Note 3094474 in order to re-enable "SAP Test Data Migration Server"."
#SAP_NOTE_3089831
Хорошо, дальше есть разъяснение, как продукт восстановить: "..Please follow the steps described in SAP Note 3094474 in order to re-enable "SAP Test Data Migration Server"."
#SAP_NOTE_3089831
Малополезные "украшательства"
https://youtu.be/fexnP3fIhH4
Но в некоторых компаниях иногда этим страдают.
https://youtu.be/fexnP3fIhH4
Но в некоторых компаниях иногда этим страдают.
YouTube
SAP Basis - How to Set Logo on SAP Easy Access Right Side Screen, Logo Hide/Unhide English | 29
How to Set Company/Personal Logo on SAP Easy Access Right Side Screen
The initial screen of #SAP_Easy_Access permits a graphic (for example, company logo) to be displayed. Included objects always apply system-wide. A client-specific object inclusion is not…
The initial screen of #SAP_Easy_Access permits a graphic (for example, company logo) to be displayed. Included objects always apply system-wide. A client-specific object inclusion is not…
Немного антивирусной тематики..
Я думал, что https://t.me/SAP_BASIS_TIPS_RU/588 будет достаточно...Но жизнь подкидывает новые сюжеты.
Если в S/4 HANA(all versions) не определиться с вирусным сканированием , то есть отличный шанс заполучить ошибку, типа ADTSET_GET_ENTITYSET not implemented
По этому вопросу выпущено, как минимум парочка нот: 2580438 и 2698237.
Так что владельцам S/4 неплохо было бы с ними ознакомиться на досуге...
А определиться, какой бренд(антивирус) стоит поставить в системе поможет 1494278 { NW-VSI: Summary of Virus Scan Adapter´s for SAP integration }. Подробно расписаны существующие сейчас 3 решения ( и подозреваю, если когда то например kaspersky сделает интеграцию, то он тоже попадёт в список из этой ноты ). А если мало информации, то залезть в 3052386 - FAQ | Virus Scan Interface (VSI) и пройтись по всем оставшимся документам...😜
#ANTIVIRUS
#SAP_SECURITY
Я думал, что https://t.me/SAP_BASIS_TIPS_RU/588 будет достаточно...Но жизнь подкидывает новые сюжеты.
Если в S/4 HANA(all versions) не определиться с вирусным сканированием , то есть отличный шанс заполучить ошибку, типа ADTSET_GET_ENTITYSET not implemented
По этому вопросу выпущено, как минимум парочка нот: 2580438 и 2698237.
Так что владельцам S/4 неплохо было бы с ними ознакомиться на досуге...
А определиться, какой бренд(антивирус) стоит поставить в системе поможет 1494278 { NW-VSI: Summary of Virus Scan Adapter´s for SAP integration }. Подробно расписаны существующие сейчас 3 решения ( и подозреваю, если когда то например kaspersky сделает интеграцию, то он тоже попадёт в список из этой ноты ). А если мало информации, то залезть в 3052386 - FAQ | Virus Scan Interface (VSI) и пройтись по всем оставшимся документам...😜
#ANTIVIRUS
#SAP_SECURITY
Telegram
SAP Basis Tips (RU)
Антивирусы на мой взгляд занимают излишнее внимание радетелей безопасности. Ещё понятно, зачем оно на рабочих станциях,но на серверах...Это на мой вкус излишне. Но ладно, есть требование заказчика: "Грузить люминий...".
Любой каприз, за ваши деньги !
…
Любой каприз, за ваши деньги !
…