Das SAP-System bietet diverse Möglichkeiten benötigte Berechtigungen während der Programmausführung zu protokollieren bzw. zu „tracen“.
„Tracen“ – den SAP-Berechtigungen auf der Spur
Diese Programme bieten einerseits die Möglichkeit zu analysieren, welche Berechtigungen/Transaktionen ausgeführt wurden und andererseits, welche Berechtigungsprüfungen abgelaufen sind und ob diese Prüfungen erfolgreich verlaufen sind. Beispielsweise kann somit ermittelt werden, welche zusätzlichen Berechtigungsobjekte bei dem Start einer bestimmten Transaktion abgefragt werden.
Innerhalb der Voreinstellungen sind die meisten Trace-Programme ausgeschaltet oder müssen voreingestellt werden, um auswertbare Ergebnisse zu erzeugen. Die Bedienung und den Nutzen einzelner Programme möchte ich Ihnen nachfolgend vorstellen. Um die einzelnen Unterschiede der Programme darzustellen, werde ich immer die Transaktion FB01 „Beleg buchen“ ausführen und einen Beleg buchen nachdem das Trace aktiviert wurde.
Systemtrace - ST01
Das erste Programm, welches ich vorstellen möchte, ist das sogenannte Systemtrace. Dieses wird über die Transaktion ST01 bedient. Es können mehrere Filter für die Protokollierung eingestellt werden. Grundsätzlich lassen sich dadurch alle Zugriffe und Geschehnisse auf dem System aufzeichnen.
Für unseren Zweck der Berechtigungsprüfung bietet das Programm einen eigenen Filter. Es lässt sich unterscheiden zwischen der kompletten Berechtigungsprüfung (Button: „alle“) und nur der Protokollierung der Fehler (Button: „nur Fehler“). Für die Analyse, welche Berechtigungsobjekte bei Start einer Transaktion abgefragt werden, muss die gesamte Berechtigungsprüfung eingeschaltet werden.
Erst nachdem das Trace angeschaltet wurde, protokolliert das System alle Prüfungen. Im nächsten Schritt werde ich über die Transaktion FB01 einen Beleg buchen, um im Nachhinein zu analysieren, welche Berechtigungsobjekte das System beim Ausführen der Transaktion abfragt.
Nachdem der Belege gebucht wurde, gehe ich zurück in die Transaktion ST01 und schalte das Trace wieder aus.
Über die Trace-Auswertung kann ich mir das Protokoll anschauen.
Auch bei der Auswertung ist es möglich, sich mittels Selektionsmöglichkeiten nur den Bereich der Auswertung anzuschauen, der einen interessiert. In unserem Fall haben wir die Auswertung bereits vor dem Tracestart eingeschränkt und . Sollte dies nicht der Fall sein, kann hier bspw. wieder auf die „Berechtigungsprüfung“ (hier: Button - > „alle“) eingegrenzt werden.
Die Daten können in einer Excel-Datei oder txt-Datei abgespeichert werden, um weiter analysiert zu werden. Die vollständigen Daten finden Sie als Excel-Datei hier innerhalb des Excel-Blattes „ST01“.
Ich habe für die Daten, die nach dem Export alle in einer Spalte dargestellt werden, mittels „Text in Spalten“ und Trennzeichen „|“ in mehrere Spalten aufgeteilt. Dieser ist erst einmal unwichtig für uns und wurde ausgeblendet. Wenn Sie dann alle leeren Felder ausblenden, erhalten Sie aggregiert folgende Berechtigungsobjekte und Feldwerte, die während der Buchung geprüft wurden:
Wenn die Berechtigungsfelder keinen Wert beinhalten gegen den geprüft werden muss, wird die Berechtigungsprüfung erfolgreich durchlaufen.
Authority Trace – STAUTHTRACE
Das nächste Programm, welches ich präsentieren möchte, ist das Authority Trace. Es kann sein, dass dieses Programm – je nach Alter des Systems – sich nicht auf Ihrer Maschine befindet. Es wurde mit der Version SAP_BASIS 730 eingeführt.
Dieses Programm ist, wie der Name schon sagt, ausschließlich für das Trace von Berechtigungsprüfungen gebaut wurden. Im Einstiegsbild kann ausgewählt werden, ob das Trace nur für einen bestimmten Benutzer (bspw. den eigenen User) angeschaltet werden soll und ob ggf. nur Fehler protokolliert werden sollen. Danach kann das Trace eingeschaltet werden.
Wie beim Systemtrace führe ich wieder die Transaktion FB01 aus und buche einen Beleg.
Danach schalte ich das Trace wieder aus und werte das Protokoll aus. Das Authority Trace bietet die Möglichkeit auch speziell nach einer Transaktion zu suchen. Diese würde man in „Name der Anwendungen“ eintragen. Für unsere Analyse benötigen wir keine spezifischen Einschränkungen.
Das Authority Trace bietet den Vorteil, dass es überschaubar zeigt, welche Berechtigungsprüfungen erfolgreich abgelaufen sind und alle Berechtigungsobjekte mit den jeweiligen Feldwerten auswertbar auflistet. So kann direkt auf einem Blick erkannt werden, welche Berechtigungen abgefragt wurden. Die vollständigen Daten finden Sie im Excel-Tabellenblatt „STAUTHTRACE“. Dort habe ich auf die Anwendung „FB01“ gefiltert und erhalte aggregiert folgende Berechtigungswerte, die abgefragt wurden:
Business-Transaktionsanalyse - ST03N
Als letzte Analysemöglichkeit möchte ich Ihnen die „Business Transaction Analysis“ mittels der Transaktion ST03N vorstellen. Diese Transaktion bietet im ersten Schritt die Möglichkeit die Systemlast zu messen bzw. auszuwerten. Allerdings befindet sich innerhalb dieser Transaktion auch die Möglichkeit ausgeführte Transaktionen zu analysieren. Dies ist die sogenannte Business-Transaktionsanalyse.
Anders als die zuvor beschriebenen Auswertungen, ist die Business-Transaktionsanalyse eine reine Auswertungsmöglichkeit für ausgeführte Transaktionen und dient uns in Projekten eher dem Zweck ein Berechtigungskonzept neu zu erstellen.
Eigentlich protokolliert diese Analyse permanent die ausgeführten Transaktionen bzw. die Systemlast mit, allerdings ist die Aufbewahrungszeit auf der Maschine standardmäßig nur auf zwei Monate eingestellt. Diese Einstellung müssen Sie vor einer möglichen Auswertung anpassen. Wir empfehlen eine Aufbewahrungszeit von mind. 14 Monaten (s. u. – Beschreibung der Parametereinstellung) einzustellen. Dadurch kann gewährleistet werden, dass auch Transaktionen, die (nur) innerhalb des Jahresabschlusses ausgeführt wurden, mitprotokolliert werden. Allerdings sollten Sie immer beachten, dass aus personal- und datenschutzrechtlichen Gründen die Aufzeichnung und Analyse unbedingt mit der Personalabteilung bzw. dem Betriebsrat sowie dem Datenschutz-Beauftragten abgesprochen werden sollte.
Um die Aufbewahrungsfrist einzustellen, müssen Sie innerhalb der ST03N und den Pfad „Kollektor & Perf. Datenbank -> Performance-Datenbank -> Workload Kollektor Datenbank -> Reorganization“ zur Steuerung wechseln.
Dort müssen Sie nach dem Parameter WM für Benutzer- und Transaktionsprofil suchen.
Die letzten drei Werte können jetzt entsprechend Ihrer Vorstellungen angepasst werden.
Nun möchte ich allerdings wieder zur Auswertung der Analyse zurückkommen. Anders als bei den vorherigen Analysen, müssen wir – solange die Parameter richtig gesetzt sind – das Trace nicht erst anschalten, um eine Auswertung zu erhalten. Wir wechseln einfach in die Business-Transaktionsanalyse und erhalten einen Selektionsbildschirm.
Für unsere Auswertung reicht die Anzeigeeinstellung (Display Mode) „Show business transaction sums“ und ggf. die Einschränkung auf einen User.
Als Ergebnis erhält man eine komplette, aggregierte Liste aller ausgeführten Transaktionen für den ausgewählten Zeitraum.
Fazit
Wie in den vorherigen Blogartikeln bereits beschrieben, sind sowohl die Daten der USOBT und auch andere Einträge, wie bspw. in der TSTCA, nicht 1:1 in eine komplette Berechtigungsprüfung übernehmbar.
Aus diesem Grund kann nicht gewährleistet werden, dass einerseits im Vergabeprozess die Berechtigungen ausreichend vergeben werden, und andererseits die Berechtigungsvergabe nur mit unkritischen Objekten erfolgt. Es kann von großem Vorteil sein, dass man sich anderer Hilfsmittel bedient und analysiert, was im System eigentlich abläuft, wenn ich eine Transaktion ausführe. Das Verfahren an sich ist für eine einzelne Transaktion einfach durchzuführen – bei der Masse der Einstiegsbildschirme kann sicher eine revisionsnahe Softwarelösung unterstützen.
Vorangegangene Beiträge dieser Reihe
Teil 1 – Die Prüfungswelt der SAP-Berechtigungen (hier geht es zum Beitrag)
Teil 2 – Mengengerüst aus Modulsicht (hier geht es zum Beitrag)
Teil 3 – Mengengerüst aus fachlicher Sicht (hier geht es zum Beitrag)
Teil 4 – Pflichtobjekte und Blaupausen (hier geht es zum Beitrag)
Dieser Blogartikel wurde von Mitarbeitern der addKnowledge GmbH erstellt und dient Ihrer allgemeinen Information. Alle Rechte und Pflichten diesbezüglich obliegen der addKnowledge GmbH.
SAP, SAP Logo, R/3, ABAP sind Marken oder eingetragene Marken der SAP® SE und unterliegen daher dem Copyright.
Sie haben immer noch nicht genug
von Prüfungen des SAP-Berechtigungskonzepts?
Mit unserem Newsletter erhalten Sie alle zwei Wochen
- aktuelle Artikel und Whitepaper,
- unsere Kategorien "schon gewusst?" und "was uns gerade inspiriert"
- und die aktuellen Termine unserer Audinare.
Was erhalten wir dafür?
- Die Chance Sie von uns und unserem Know-how zu überzeugen.