在过去的一年中，我们作为一个SAP社区，围绕SM19/SM20的充分登录进行了一些重要的讨论，e、 g.：

…和

适当设置SM19和SM20中的日志级别很重要；我个人参与过几个允许充分日志记录的实例客户返回并实施追溯性缓解控制，以研究潜在的安全漏洞；例如，我们发现用户访问允许SOD，云服务器租用价格，但我们能够通过回顾历史活动证明它没有被利用。

然而，随着SAP客户的内部控制已经成熟，淘客大联盟，客户正逐渐意识到外部威胁的来源——黑帽黑客、灰帽黑客，是的，甚至意识到SAP和可用于访问系统和敏感数据的常见漏洞的国家行为体。在大多数情况下，对SAP系统的外部攻击将在不执行单个事务代码或报告的情况下发生。我们可以使用什么类型的日志记录来识别可疑的基于网络的活动，更好的是，在攻击发生时主动监视以发出警报？

此列表对NW ABAP堆栈是全面的；也就是说，如果我遗漏了什么，请随时发表评论。我遇到许多启用了这些服务的SAP客户；也就是说，我仍然发现系统没有为这些服务启用日志记录。

应该记录以下服务，最好是主动监测可疑活动：

答案当然是"视情况而定"。许多客户都有明确的法规遵从性要求来记录系统活动—例如，PCI有一个完整的要求（要求10—跟踪和监控对网络资源和持卡人数据的所有访问）来处理记录和监控。如果您有PCI义务，大数据啥意思，并且没有记录这些服务的活动，那么您就有可能将其显示为一个发现。鉴于PCI是一个领先的实践标准，大数据查询平台，根据威胁环境的变化不断更新，它是一个很好的标准，关注外部威胁的客户可以使用它来识别

对于那些使用Onapsis X1或OSP平台的客户或那些考虑研究Onapsis的客户，其中一些将显示为高风险或中等风险问题。这就是说，如果所讨论的服务是外部可用的，并且给定风险=影响*可能性，那么您的可能性会上升一个数量级（与您的风险一起）。

嗨，

这回避了一个问题："既然您在SM19的每个客户机中都记录了所有内容，那么通过激活额外的过滤器，您能获得什么吗？"

我想说："没有。"但是我可能错过了SM19/SM20对这些过滤器所做的一些我不知道的事情。

谢谢，

简短的回答：如果您在SM19过滤器中启用了所有功能，那么使用额外的过滤器并没有任何好处。

长答案是-这取决于具体情况。根据我的经验，top返利，大多数组织使用额外的过滤器，建立一个"基本"过滤器，只审核他们想要记录的关键事件，然后为他们想要更密切监视的用户（想想消防员ID和系统用户）和客户机设置额外的过滤器。多年前被认为是海量数据的数据量管理起来相对便宜。