Tabelle-Speicher-Event - zugreiffbar?
10 Beiträge
•
Seite 1 von 1
10 Beiträge
Seite 1 von 1
Alle Änderungen an Tabellen sollen protokolliert werden. Dies wird in SAP ja durch das Setzen des Protokollierflags erreicht (Tabelle DD09L).
Nun brauche ich ein Programm welches kontrolliert, ob das Protokollierflag verändert wurde (Manipulations-Gefahr), falls eins verändert wurde, soll eine Nachricht an einen Prüfer geschickt werden.
Lösung: Man gleicht die Tabelle DD09L einfach immer wieder ab (Alt-Neu -> irgendwelche Veränderungen?)
Oder: Man schaut immer wenn eine Tabelle gespeichert wird ob das Flag verändert wurde.
und hier kommt meine Frage: Kann man auf den Speicherevent zugreiffen und dort noch eine Abfrage à la:
Flag verändert? Wenn Ja = Nachricht an Prüfer
einschieben?
Bin gespannt auf alle Antworten und verbesserungs Vorschläge
Grüsse Sapianer
Nun brauche ich ein Programm welches kontrolliert, ob das Protokollierflag verändert wurde (Manipulations-Gefahr), falls eins verändert wurde, soll eine Nachricht an einen Prüfer geschickt werden.
Lösung: Man gleicht die Tabelle DD09L einfach immer wieder ab (Alt-Neu -> irgendwelche Veränderungen?)
Oder: Man schaut immer wenn eine Tabelle gespeichert wird ob das Flag verändert wurde.
und hier kommt meine Frage: Kann man auf den Speicherevent zugreiffen und dort noch eine Abfrage à la:
Flag verändert? Wenn Ja = Nachricht an Prüfer
einschieben?
Bin gespannt auf alle Antworten und verbesserungs Vorschläge
Grüsse Sapianer
gesponsert ⓘ
Stellenangebote auf ABAPforum.com schalten
kostenfrei für Ausbildungsberufe und Werksstudenten
kostenfrei für Ausbildungsberufe und Werksstudenten
Beitrag
von Frank Dittrich (Expert / 674 / 0 /
15
)
»
Aber sonst habt Ihr keine weiteren Sorgen?
Gegen welches Bedrohungsszenario soll das denn helfen?
Gegen nicht vertrauenswürdige Entwickler hilft es jedenfalls nicht.
(Oder höchstens bei solchen Entwicklern, bei denen man sich mehr Sorgen darüber machen müsste, dass sie das System aus Versehen statt mit Absicht zerschießen.)
Frank
Gegen welches Bedrohungsszenario soll das denn helfen?
Gegen nicht vertrauenswürdige Entwickler hilft es jedenfalls nicht.
(Oder höchstens bei solchen Entwicklern, bei denen man sich mehr Sorgen darüber machen müsste, dass sie das System aus Versehen statt mit Absicht zerschießen.)
Frank
Ich bin ganz Deiner Meinung.Frank Dittrich hat geschrieben:Aber sonst habt Ihr keine weiteren Sorgen?
Gegen welches Bedrohungsszenario soll das denn helfen?
Gegen nicht vertrauenswürdige Entwickler hilft es jedenfalls nicht.
(Oder höchstens bei solchen Entwicklern, bei denen man sich mehr Sorgen darüber machen müsste, dass sie das System aus Versehen statt mit Absicht zerschießen.)
Frank
Bei uns in der Firma kommen die auch ständig auf solchen Ideen.
Das Team nennt sich hier SAP-"Security", ich nenne die nur SAP-Handicap-Team.
Nichts gegen echte SAP-Security, aber das hiesige Team hat davon leider keine Ahnung.
Als Lösung würde ich folgendes vorschlagen: Gebt nur dem Prüfer die Berechtigungen zum änderen von Tabellen.
OK, im Entwicklingssystem hat das wenige Auswirkungen, im Produktiv-System allerdings schon.
Allerdings wüßte ich nicht, wer im P-System Tabelleneinstellungen ändern soll.
Das macht man normalerweise im Entwicklungssystem mit Transport.
Aber die Hauptsache ist, der Prüfer ist zufrieden und in dem Glauben, alles ist sicher
Beitrag
von Frank Dittrich (Expert / 674 / 0 /
15
)
»
Vielleicht kann man ja den Prüfer damit glücklich machen, dass man in den technischen Einstellungen der Tabelle DD09L selbst per Modifikation das Flag zum Protokollieren von Tabellenänderungen setzt.
(Natürlich muss man die Modifikation dann bei jedem SAP-Basis-Upgrade wieder per SPDD nachziehen.)
Dann kann der Prüfer ja die Änderungsprotokolle der Tabelle DD09L überwachen, um zu sehen, wer da was geändert hat.
Vielleicht ist dann ja der Prüfer glücklich.
Ich bezweifle es aber. Denn dann sieht man im Änderungsprotokoll, dass laufend Einträge aus Tabelle DD09L gelöscht und wieder die Tabelle DD09L eingefügt werden.
Dann muss man laufend in den Details nachsehen, wie denn nun das Flag im gelöschten und im wieder eingefügten Eintrag aussah.
Sicherheit bringt das Ganze natürlich überhaupt nicht.
Aber der Prüfer ist beschäftigt und kann sich nicht so schnell neuen Unsinn ausdenken.
Frank
(Natürlich muss man die Modifikation dann bei jedem SAP-Basis-Upgrade wieder per SPDD nachziehen.)
Dann kann der Prüfer ja die Änderungsprotokolle der Tabelle DD09L überwachen, um zu sehen, wer da was geändert hat.
Vielleicht ist dann ja der Prüfer glücklich.
Ich bezweifle es aber. Denn dann sieht man im Änderungsprotokoll, dass laufend Einträge aus Tabelle DD09L gelöscht und wieder die Tabelle DD09L eingefügt werden.
Dann muss man laufend in den Details nachsehen, wie denn nun das Flag im gelöschten und im wieder eingefügten Eintrag aussah.
Sicherheit bringt das Ganze natürlich überhaupt nicht.
Aber der Prüfer ist beschäftigt und kann sich nicht so schnell neuen Unsinn ausdenken.
Frank
Beitrag
von black_adept (Top Expert / 4099 / 128 /
941
)
»
Technisch gesehen sollte es aber schon möglich sein das Ganze mitzuloggen - zumindest hat Tron mal was Nettes gepostet, falls man eine ORACLE-DB unten drunter liegen hat
http://www.apentia-forum.de/viewtopic.p ... =15#p63968
Allerdings ist mit SAP-Standardmitteln nicht zu sehen, ob da nun was mitgeloggt wird oder nicht ( es sei denn man nimmt den weiteren Report von Tron, der die Trigger auflistet ).
http://www.apentia-forum.de/viewtopic.p ... =15#p63968
Allerdings ist mit SAP-Standardmitteln nicht zu sehen, ob da nun was mitgeloggt wird oder nicht ( es sei denn man nimmt den weiteren Report von Tron, der die Trigger auflistet ).
Beitrag
von ralf.wenzel (Top Expert / 3935 / 200 /
281
)
»
Und dann vertraut man einem fremden Entwickler mehr als den eigenen?
Ralf Wenzel • Heuristika SAP-Development
25 Jahre SAP-Entwickler • 20 Jahre Freiberufler
Publikationen • Ungarische Notation • Xing
Beitrag
von Frank Dittrich (Expert / 674 / 0 /
15
)
»
Interessanter Beitrag, aber:black_adept hat geschrieben:Technisch gesehen sollte es aber schon möglich sein das Ganze mitzuloggen - zumindest hat Tron mal was Nettes gepostet, falls man eine ORACLE-DB unten drunter liegen hat
http://www.apentia-forum.de/viewtopic.p ... =15#p63968
1. sollte man seine Oracle-Lizenzbedingungen ganz genau studieren.
Wenn man Oracle zusammen mit SAP erworben hat, gibt es da oft recht restriktive Einschränkungen, was man mit der Lizenz alles darf.
2. ist noch die Frage, was SAP dazu sagt, wenn der Kunde auf DB-Ebene eigene Trigger definiert.
Damit kann man ja auch katastrophale Laufzeiten oder gar Daten-Inkonsistenzen ... erzeugen.
In einem Produktivsystem würde ich jedenfalls die Finger davon lassen.
3. kennt Oracle natürlich den SAP-User und -Mandanten nicht.
Man kann zwar protokollieren, was geändert wurde, aber man will ja in der Regel auch wissen, wer (mit welcher Transaktion usw.)
Um ganz sicher zuordnen zu können, wer was geändert hat, muss also der Trigger den Applikationsserver und die Prozess-ID des Applikationsserver-Betriebssystems kennen, per RFC einen Reconnect an das SAP-System machen und einen Funktionsbaustein im SAP aufrufen, der für den passenden Prozess die nötigen Infos liefert (User, Mandant, laufendes Programm...)
Wenn Oracle die Prozess-ID nicht kennt, muss man halt vom Applikationsserver die Informationen samtlicher SAP-Workprozesse (s. SM50) holen, um dann daraus abzulesen, welcher Workprozess gerade einen Update auf Tabelle XYZ macht... Viel Spaß dabei.
(Wenn zum Zeitpunkt der Änderung sonst nicht viel im System los war, kommt man evtl. auch per Synchronisation mit den in Transaktion STAD verfügbaren Informationen weiter.)
Frank
Beitrag
von ralf.wenzel (Top Expert / 3935 / 200 /
281
)
»
Ergo: Man sage dem Prüfer am Besten, dass das technisch eine spinnerte Idee ist....
Ralf Wenzel • Heuristika SAP-Development
25 Jahre SAP-Entwickler • 20 Jahre Freiberufler
Publikationen • Ungarische Notation • Xing
Herzlichen Dank für alle Antworten! Musste auch lachen über die Kommentare bezüglich dem Prüfer - für mich auch unverständlich, aber tut ja nichts zur Sache, weil ichs trozdem machen muss. Probiere nun mithilfe der Antworten und anderen Ideen die beste Lösung auszuwählen/umzusetzen.
Schönes Weekend euch!
Sapianer
Schönes Weekend euch!
Sapianer
Beitrag
von ralf.wenzel (Top Expert / 3935 / 200 /
281
)
»
Musst du nicht, wenn du darlegen kannst dass du das System instabilisierst.
Ralf Wenzel • Heuristika SAP-Development
25 Jahre SAP-Entwickler • 20 Jahre Freiberufler
Publikationen • Ungarische Notation • Xing
Seite 1 von 1
Vergleichbare Themen
5
Antw.
Antw.
3586
Views
Views
3
Antw.
Antw.
1881
Views
Views
Selection Event zum füllen interner Tabelle
von cschmoel » 21.08.2012 15:23 • Verfasst in ABAP® für Anfänger
von cschmoel » 21.08.2012 15:23 • Verfasst in ABAP® für Anfänger
5
Antw.
Antw.
966
Views
Views
Event startet Job, wie ein weiteres Event verarbeiten?
von Romaniac » 28.09.2022 15:47 • Verfasst in ABAP® Core
von Romaniac » 28.09.2022 15:47 • Verfasst in ABAP® Core
0
Antw.
Antw.
1466
Views
Views
WebDynpro: Event Handler für externes Event
von Tommy Nightmare » 20.06.2018 09:05 • Verfasst in ABAP Objects®
von Tommy Nightmare » 20.06.2018 09:05 • Verfasst in ABAP Objects®
Frage die ABAP Experten
Über diesen Beitrag
Unterstütze die Community und teile den Beitrag für mehr Leser und Austausch
Aktuelle Forenbeiträge
Newsletter Anmeldung
Keine Beiträge verpassen! Wöchentlich versenden wir lesenwerte Beiträge aus unserer Community.Die letzte Ausgabe findest du hier.