SAP中的读访问日志Read Access Logging（RAL）

定义

读取访问日志（如下简称RAL）用于监视并记录对敏感数据的读取访问。这里的数据是指会被法律、外部公司政策或公司内部政策归类为敏感信息的数据。如下典型问题可能会与使用读取访问日志的应用程序有关：

• 谁访问了某个商业实体的数据，例如银行帐户？
• 谁访问了私人数据，例如商业伙伴的数据？
  
• 哪位员工访问过某些我的信息，例如宗教信仰？
  
• 有没有人搜索过，是否有VIP被送入医院？
  
• 哪些用户访问过哪些账户或业务合做伙伴（BP）？

这些问题均可以使用“特定时间范围内、访问特定数据的人的信息"来回答。从技术上讲，这意味着必须启用全部（访问数据的）远程API和UI基础设施以进行日志记录。可是，目前仅限于如下渠道可使用RAL：

• Remote Function Calls (sRFC, aRFC, tRFC, qRFC, bgFRC)
• Dynpro
• Web Dynpro
• Web services

 

有关每种渠道能够记录的对象的更多信息，能够访问： Channel-Specific Information.

RAL的主要目的

RAL一般须要符合法律法规或公共标准（如数据隐私政策），好比在银行或医疗保健应用程序中。数据隐私便是对我的数据的访问保护和限制。在一些国家，数据隐私法规甚至要求报告对某些我的数据的访问行为。此外，公司和公共机构们，出于其自身的缘由，也可能但愿监视对其保密数据或其余敏感数据的访问。若是没有跟踪或记录访问数据行为，则很难跟踪到须要对数据泄漏事件负责的人员。RAL提供了这些信息。

日志记录的目的（purpose）是根据组织的需求自由定义的(例如，数据隐私)，而RAL老是基于该目的。日志记录目的会做为属性被分配给每一个日志条目，从而容许根据日志记录目的对日志数据进行分类和组织。例如，能够基于记录目的建立各类归档规则或报告。

所以，阅读访问记录框架可用于履行法律或其余法规、检测欺诈或数据盗窃、审计或用于任何其余内部目的。

RAL架构的背景信息

当应用程序启动时，会读取RAL配置。 根据RAL配置识别当前启用远程的功能模块、Web服务操做或Web Dynpro UI元素是否与日志相关、以及相关程度如何。 例如，应该只有访问行为自己被记录，仍是包括访问内容？ 日志条目能够根据它们的语义进行结构化。

SAP应用程序可能包含预约义配置。可是，客户的管理员一般必须根据本身的需求来调整配置，以知足其组织的法律要求——SAP并不了解所有的需求。 客户也能够建立本身的配置。

注意：注意与全部日志记录功能同样，您的对日志数据的需求，必须与记录日志对系统性能的影响保持平衡。 系统的性能取决于您记录的数据量以及您为记录数据指定的条件的复杂程度。

活动

配置工做

1. 肯定在哪些状况下必须记录哪些数据。

组织必须定义要应用哪些法律或安全要求以及哪些数据必须在语义级别上进行记录。例如，法律部门可能肯定必须记录对社会保障号码（SSN）的访问。

2.  为读取访问记录定义目的（ purposes ）。

根据日志记录的目的以及必须知足的法律法规，应用程序能够定义报告和保存和处理数据的规则。有关更多信息，请参阅Defining Logging Purposes。

3. 肯定能够访问数据的渠道。

例如： RFC, Dynpro, Web Dynpro, 或者 Web services.

4. 定义日志域。

日志域是须要记录的语义相关数据字段组。例如，总薪水和净薪水可能会被分组到薪酬日志域中。日志域捆绑了相同语义实体的不一样技术表示。日志域是独立于渠道的。有关更多信息，请参阅Defining Log Domains。

5.  定义规则以描述必须适用于读取访问记录的条件。

您能够定义须要记录哪些数据以及是仅记录访问仍是内容。有关更多信息，请参阅Configuring Read Access Logging。

运营期间的工做

1. 为读取访问日志配置定义用户排除列表。

若是您想从读访问日志记录中排除某些用户，请将其添加到用户排除列表中。 这对于没有用户交互的自动处理颇有用，例如后台做业。 有关更多信息，请参阅Defining a User Exclusion List。

2. 启用当前client的读取访问日志

读取访问日志必须在当前client中启用。 不然，配置将被忽略。 有关更多信息，请参阅Enabling Read Access Logging in Current Client。

3. 显示对RAL配置所作的更改，并评估错误和警告。

请参阅：Working with the Administrative Log

4. 使用信息生命周期管理（ Information Lifecycle Management, ILM）和归档开发工具包（ Archive Development Kit, ADK）归档和删除读取访问记录数据。

请参阅：Archiving Read Access Logging Data

5. 为档案建立信息结构

监控

您可使用Read Access Logging监控器查看全部日志条目。 有关更多信息，请参阅Monitoring the Read Access Log。

事务代码

相关的3个事务代码：SRALMANAGER，SRALMONITOR，SRALCONFIG。

事务代码	描述
SRALMANAGER	RAL记录管理器。显示Read Access Logging Manager中的监控和管理标签。
SRALMONITOR	RAL记录监控器。只显示Read Access Logging Manager中的监控标签。
SRALCONFIG	RAL日志记录配置。只显示Read Access Logging Manager中的管理标签。

 

 

参考阅读：How to Configure Read Access Logging in SAP

　　　　   System Security for SAP NetWeaver AS for ABAP Only- Read Access Logging

　　　　   Read Access Logging (RAL) Configuration

　　　　   1969086 – Availability of Read Access Logging and prerequisites (kernel and SAP GUI version)