SAP Audit Log e System Log: due strumenti diversi per esigenze diverse
Chi si avvicina alle tematiche di auditing, forensic o security in SAP si trova presto di fronte a una complessità spesso sottovalutata: in SAP non esiste un unico motore di log. Ne esistono diversi, con finalità distinte, interlocutori diversi e modalità di gestione proprie — e la loro configurazione cambia da sistema a sistema.

Tra i principali, due sono quelli con cui ci si confronta più frequentemente: il Security Audit Log e il System Log. Conoscere le differenze tra i due non è solo una questione tecnica: significa sapere a chi rivolgersi in caso di incidente, cosa cercare durante un audit e quali obblighi di configurazione e retention è necessario rispettare.
In sintesi: il Security Audit Log traccia eventi rilevanti per la sicurezza ed è lo strumento degli auditor e dei team security. Il System Log registra eventi legati alla salute del sistema ed è lo strumento degli amministratori di sistema. Hanno scopi, attivazione e gestione completamente diversi.
Security Audit Log vs System Log: confronto diretto
A cosa serve il SAP Security Audit Log?
Il Security Audit Log è progettato per registrare le attività rilevanti dal punto di vista della sicurezza del sistema. Il suo obiettivo è consentire l'individuazione e la classificazione di eventi critici, tra cui:
- Tentativi di accesso falliti (logon errati)
- Avvio di transazioni SAP
- Download di file dal sistema
- Consultazione diretta di dati in tabella
- Attivazione del debug, in particolare in modalità di modifica, una delle attività più critiche dal punto di vista della sicurezza
La transazione per la consultazione del Security Audit Log è RSAU_READ_LOG. Per la configurazione, è disponibile una guida dedicata: SAP Security Audit Log: configurazione.
A cosa serve il SAP System Log?
Il System Log ha una finalità diversa e complementare: registra informazioni che segnalano possibili problemi tecnici al sistema. Non si tratta di eventi di sicurezza, ma di indicatori di salute dell'infrastruttura, come errori a livello di database, problemi su processi applicativi o anomalie nei server. La transazione di riferimento è SM21.
Chi consulta questi log?
La distinzione tra i due log si riflette anche nei profili professionali che li utilizzano:
- Il Security Audit Log è lo strumento degli auditor interni ed esterni e dei team di sicurezza aziendale. Viene consultato in occasione di audit periodici, indagini su incidenti di sicurezza o attività di forensic analysis.
- Il System Log è lo strumento degli amministratori di sistema. Viene consultato per il monitoraggio operativo, la diagnosi di malfunzionamenti e la verifica della stabilità dell'infrastruttura SAP.
Confondere i due ruoli o affidarsi a un unico strumento per entrambe le esigenze è uno degli errori più comuni nelle organizzazioni che si avvicinano per la prima volta alla gestione strutturata dei log SAP.
Devono essere attivati? Configurazione e attivazione a confronto
System Log: attivo per default
Il System Log è attivo di default in qualsiasi sistema SAP, proprio perché è utile fin dall'avvio per rilevare problemi tecnici. Non richiede configurazione specifica né definizione degli eventi da tracciare: funziona automaticamente.
Security Audit Log: deve essere esplicitamente attivato e configurato
Il Security Audit Log non è attivo per default: deve essere abilitato e configurato definendo quali classi di eventi registrare. La raccomandazione è di attivare tutte le classi di eventi disponibili, per non lasciare zone d'ombra nella tracciabilità delle attività di sicurezza. Se hai dubbi su quali eventi abilitare o su come impostare la configurazione, consulta la guida: SAP Security Audit Log: configurazione.
Come vengono gestiti i log: storage, retention e sovrascrittura
Security Audit Log: database o file, con retention esplicita
Nelle release più recenti di SAP, è possibile scegliere se salvare il Security Audit Log nel database o su file. SAP raccomanda il salvataggio nel database. In entrambi i casi è necessario definire una policy di retention che stabilisca per quanto tempo i log vengono conservati prima di essere archiviati o cancellati. Questo aspetto è rilevante anche dal punto di vista normativo, soprattutto in relazione alla presenza di dati personali (vedi sezione successiva).
System Log: formato circolare con sovrascrittura automatica
Il System Log funziona in modalità circolare: i log più vecchi vengono automaticamente sovrascritti quando si esaurisce lo spazio disponibile, senza che sia necessario un intervento manuale. Lo spazio allocato è controllato dai parametri di sistema:
rslg/max_diskspace/local— per i log locali su ogni application serverrslg/max_diskspace/central— per i log centralizzati
La finestra temporale di conservazione è tipicamente limitata: non è pensato per un'analisi storica, ma per il monitoraggio operativo corrente.
I log SAP contengono dati personali?
È una domanda rilevante soprattutto per le organizzazioni soggette al GDPR o ad altri framework normativi sulla protezione dei dati:
- Il Security Audit Log può contenere dati personali: registra attività degli utenti nominativi, inclusi tentativi di accesso, transazioni avviate e operazioni su dati. Questo rende necessaria una policy di retention documentata e, in alcuni contesti, una valutazione d'impatto sulla privacy (DPIA).
- Il System Log generalmente non contiene dati personali: traccia eventi tecnici di sistema, non azioni riferibili a persone fisiche identificabili.
Quanti log esistono in SAP?
Security Audit Log e System Log sono i due principali, ma non sono gli unici. In SAP esistono diversi altri meccanismi di tracciamento, ciascuno con finalità specifiche: log delle modifiche ai dati anagrafici, log delle variazioni alle autorizzazioni, log delle interfacce, log applicativi di specifici moduli funzionali. La complessità cresce ulteriormente considerando che alcuni log sono presenti solo in certi sistemi o richiedono attivazioni specifiche.
Per chi gestisce la sicurezza o l'auditing in ambienti SAP complessi, avere una mappa chiara di quali log sono attivi, chi li gestisce e per quanto tempo vengono conservati è un prerequisito fondamentale — non un'attività opzionale.
Domande frequenti su SAP Audit Log e System Log
Qual è la differenza principale tra Security Audit Log e System Log in SAP?
Il Security Audit Log traccia eventi rilevanti per la sicurezza (accessi, transazioni, operazioni critiche) ed è destinato ad auditor e team security. Il System Log traccia eventi tecnici legati alla salute del sistema (errori database, problemi applicativi) ed è destinato agli amministratori di sistema. Hanno finalità, attivazione e modalità di gestione completamente diverse.
Il Security Audit Log in SAP è attivo per default?
No. Il Security Audit Log deve essere esplicitamente attivato e configurato, definendo quali classi di eventi registrare. Il System Log, al contrario, è attivo per default in qualsiasi sistema SAP.
Quale transazione SAP si usa per leggere il Security Audit Log?
La transazione per la consultazione del Security Audit Log è RSAU_READ_LOG. Per il System Log si utilizza la transazione SM21.
Per quanto tempo vengono conservati i log SAP?
Dipende dal tipo di log. Il Security Audit Log richiede una policy di retention esplicita definita dall'organizzazione, in funzione dei requisiti normativi applicabili. Il System Log funziona in modalità circolare: i log più vecchi vengono sovrascritti automaticamente in base allo spazio disponibile, configurato tramite i parametri rslg/max_diskspace/local e rslg/max_diskspace/central.
Il SAP Security Audit Log è soggetto al GDPR?
Sì, potenzialmente. Il Security Audit Log può contenere dati personali riferibili a utenti nominativi. È quindi necessario trattarlo come qualsiasi altro registro contenente dati personali: definire una policy di retention documentata, valutare se sia necessaria una DPIA e assicurarsi che l'accesso al log sia riservato alle sole figure autorizzate.