Chi si avvicina alle tematiche di auditing, forensic o security in SAP si trova presto di fronte a una complessità spesso sottovalutata: in SAP non esiste un unico motore di log. Ne esistono diversi, con finalità distinte, interlocutori diversi e modalità di gestione proprie — e la loro configurazione cambia da sistema a sistema.
Tra i principali, due sono quelli con cui ci si confronta più frequentemente: il Security Audit Log e il System Log. Conoscere le differenze tra i due non è solo una questione tecnica: significa sapere a chi rivolgersi in caso di incidente, cosa cercare durante un audit e quali obblighi di configurazione e retention è necessario rispettare.
In sintesi: il Security Audit Log traccia eventi rilevanti per la sicurezza ed è lo strumento degli auditor e dei team security. Il System Log registra eventi legati alla salute del sistema ed è lo strumento degli amministratori di sistema. Hanno scopi, attivazione e gestione completamente diversi.
Il Security Audit Log è progettato per registrare le attività rilevanti dal punto di vista della sicurezza del sistema. Il suo obiettivo è consentire l'individuazione e la classificazione di eventi critici, tra cui:
La transazione per la consultazione del Security Audit Log è RSAU_READ_LOG. Per la configurazione, è disponibile una guida dedicata: SAP Security Audit Log: configurazione.
Il System Log ha una finalità diversa e complementare: registra informazioni che segnalano possibili problemi tecnici al sistema. Non si tratta di eventi di sicurezza, ma di indicatori di salute dell'infrastruttura, come errori a livello di database, problemi su processi applicativi o anomalie nei server. La transazione di riferimento è SM21.
La distinzione tra i due log si riflette anche nei profili professionali che li utilizzano:
Confondere i due ruoli o affidarsi a un unico strumento per entrambe le esigenze è uno degli errori più comuni nelle organizzazioni che si avvicinano per la prima volta alla gestione strutturata dei log SAP.
Il System Log è attivo di default in qualsiasi sistema SAP, proprio perché è utile fin dall'avvio per rilevare problemi tecnici. Non richiede configurazione specifica né definizione degli eventi da tracciare: funziona automaticamente.
Il Security Audit Log non è attivo per default: deve essere abilitato e configurato definendo quali classi di eventi registrare. La raccomandazione è di attivare tutte le classi di eventi disponibili, per non lasciare zone d'ombra nella tracciabilità delle attività di sicurezza. Se hai dubbi su quali eventi abilitare o su come impostare la configurazione, consulta la guida: SAP Security Audit Log: configurazione.
Nelle release più recenti di SAP, è possibile scegliere se salvare il Security Audit Log nel database o su file. SAP raccomanda il salvataggio nel database. In entrambi i casi è necessario definire una policy di retention che stabilisca per quanto tempo i log vengono conservati prima di essere archiviati o cancellati. Questo aspetto è rilevante anche dal punto di vista normativo, soprattutto in relazione alla presenza di dati personali (vedi sezione successiva).
Il System Log funziona in modalità circolare: i log più vecchi vengono automaticamente sovrascritti quando si esaurisce lo spazio disponibile, senza che sia necessario un intervento manuale. Lo spazio allocato è controllato dai parametri di sistema:
rslg/max_diskspace/local — per i log locali su ogni application serverrslg/max_diskspace/central — per i log centralizzatiLa finestra temporale di conservazione è tipicamente limitata: non è pensato per un'analisi storica, ma per il monitoraggio operativo corrente.
È una domanda rilevante soprattutto per le organizzazioni soggette al GDPR o ad altri framework normativi sulla protezione dei dati:
Security Audit Log e System Log sono i due principali, ma non sono gli unici. In SAP esistono diversi altri meccanismi di tracciamento, ciascuno con finalità specifiche: log delle modifiche ai dati anagrafici, log delle variazioni alle autorizzazioni, log delle interfacce, log applicativi di specifici moduli funzionali. La complessità cresce ulteriormente considerando che alcuni log sono presenti solo in certi sistemi o richiedono attivazioni specifiche.
Per chi gestisce la sicurezza o l'auditing in ambienti SAP complessi, avere una mappa chiara di quali log sono attivi, chi li gestisce e per quanto tempo vengono conservati è un prerequisito fondamentale — non un'attività opzionale.
Il Security Audit Log traccia eventi rilevanti per la sicurezza (accessi, transazioni, operazioni critiche) ed è destinato ad auditor e team security. Il System Log traccia eventi tecnici legati alla salute del sistema (errori database, problemi applicativi) ed è destinato agli amministratori di sistema. Hanno finalità, attivazione e modalità di gestione completamente diverse.
No. Il Security Audit Log deve essere esplicitamente attivato e configurato, definendo quali classi di eventi registrare. Il System Log, al contrario, è attivo per default in qualsiasi sistema SAP.
La transazione per la consultazione del Security Audit Log è RSAU_READ_LOG. Per il System Log si utilizza la transazione SM21.
Dipende dal tipo di log. Il Security Audit Log richiede una policy di retention esplicita definita dall'organizzazione, in funzione dei requisiti normativi applicabili. Il System Log funziona in modalità circolare: i log più vecchi vengono sovrascritti automaticamente in base allo spazio disponibile, configurato tramite i parametri rslg/max_diskspace/local e rslg/max_diskspace/central.
Sì, potenzialmente. Il Security Audit Log può contenere dati personali riferibili a utenti nominativi. È quindi necessario trattarlo come qualsiasi altro registro contenente dati personali: definire una policy di retention documentata, valutare se sia necessaria una DPIA e assicurarsi che l'accesso al log sia riservato alle sole figure autorizzate.