「SAP　Basis概要の教科書」No.9 SAP監査ログの概要

１．はじめに

今回は、会社の内部監査で提出が要求されることがある、システムの利用証跡（以下監査ログ）を取得する機能がSAPにも用意されています。今回はその監査ログの設定方法、出力内容についてご説明いたします。監査ログでは、誰がいつログオンして、どんな作業を行ったかが、わかるようになっています。

２．設定方法

設定はトランザクションコード：SM19から行います。

まず、ログを取得するクライアントとユーザアカウントを指定します。

監査ログは本番環境で利用することになると思います。

（エンドユーザの利用状況を確認するのが主目的なので、開発環境での開発者の利用状況を見ても意味がないため）

そのため、クライアントは本稼働クライアント（通常100）を指定します。

ユーザは特定のユーザに絞るというよりは、システム全体としての利用状況を確認するのが目的のため、基本的に全てのユーザ「＊」を指定します。（取得した結果から特定のユーザの操作についてフィルタをかけて確認することも可能ですので、まずは全体を取得します。）

また、この監査ログ設定は静的と動的の2つの設定が可能です。

前者は恒久的に取得する場合、後者は一時的にログを収集したい場合に使います。

前者は後述するプロファイルパラメータを使うためシステムの再起動が必要になります。

後者はオンラインで設定可能ですが、再起動すると設定はクリアされてしまいます。

３．関連パラメータ

監査ログの取得にはSAPのパラメータの設定も気を付ける必要があります。

主要な関連パラメータについて下記に説明いたします。

（パラメータはトランザクション：RZ10から各種プロファイルパラメータに設定します）

・DIR＿AUDIT：監査ログを保管するディレクトリパスを指定します。

・rsau/max_diskspace/local：監査ログの最大サイズ

・rsau/max_diskspace/per_day：すべてのセキュリティ監査ファイルの 1 日の最大サイズ

・rsau/max_diskspace/per_file：単一のセキュリティ監査ファイルの最大サイズ

サイズについては、1日のSAPシステムの利用で、どのくらいのサイズのログが出力されるのか、そして、監査にてどのくらいの期間のログの保存が必要なのかなどの要件から計算して決めていきます。要件によっては、過去の古いログはアーカイブして磁気テープなどの外部媒体に保管するなどの検討が必要なケースもあります。

４．出力方法

設定後に実際に監査ログをレポートとして表示・確認するためには、トランザクションコード：SM20を使用します。注意点など、レポート表示のための、いくつかのポイントを下記に記します。

①Application Server

大規模な企業になるとSAPシステムを複数サーバで構成しているケースが多くなります。

監査ログを参照する際にも全てのサーバを選択しないと、1サーバの利用証跡しか確認できないため、必ず全サーバを選択するようにして下さい。

②クライアントとユーザ

監査ログ取得設定の際にクライアントを指定していれば、特別指定する必要はありませんが、

全クライアントのログを取得するよう設定した場合、出力時にクライアントを絞る必要があります。そうしないと、クライアント000のようなシステムユーザしか利用しない操作ログも抽出され、本来見るべきログを見落としやすくなるため注意が必要です。（トランザクションコード：SM19にて対象クライアントを指定していた場合は、＊にしてもそのクライアントの分だけ表示されますので気にする必要はありません。）

ユーザに関しても全ユーザの情報を抽出するために“＊”を指定して下さい。

③期間

通常、全てのアクセスログをまとめて確認したいと思いますが、長期間を指定してレポート出力を実行すると、SAPシステム側のメモリ不足でショートダンプ(エラー)を発生してしまうことがあります。利用者数、サーバスペックにもよりますが、一度にレポートする期間は1週間程度にした方が安全です。分析要件で長期間のレポーティングが必要な場合は、短い期間で定期的にレポートを出力し、それを別のデータベースに蓄積して、そこから過去のアクセス証跡を確認すると、サーバに負荷もかけることがないため安全です。

④Audit Class

出力する監査ログの種類を指定します。監査ログはログイン、ログアウトの他にトランザクション開始、レポートの実行など様々なログが蓄積されています。指定しないと様々なログが入り混じって表示されるため、見づらいレポートになってしまいます。要件に合わせて出力するログの種類にチェックを入れて下さい。

例：過去一か月間のログインユーザとその時刻を調べてたい。

→Dialog Logonにチェック

月末・月初に頻繁に利用されるトランザクションとユーザ名を確認したい。

→Transaction Startにチェック

など

５．おわりに

いかがでしたでしょうか。今回は実際の画面も交えて監査ログの設定から、そのレポートの

出力方法まで説明しました。監査ログは企業の内部監査での利用はもちろん、

アプリケーション開発チームから、利用頻度の高いトランザクションやレポートプログラムを

知りたいといような要望で使うこともあります。様々な条件でレポートを出力できるように

なっていると各所から重宝されると思います。次回はSAPのユーザ管理についてお話したいと思います。