Das SAP-System bietet diverse Möglichkeiten benötigte Berechtigungen während der Programmausführung zu protokollieren bzw. zu „tracen“.

„Tracen“ – den SAP-Berechtigungen auf der Spur

Diese Programme bieten einerseits die Möglichkeit zu analysieren, welche Berechtigungen/Transaktionen ausgeführt wurden und andererseits, welche Berechtigungsprüfungen abgelaufen sind und ob diese Prüfungen erfolgreich verlaufen sind. Beispielsweise kann somit ermittelt werden, welche zusätzlichen Berechtigungsobjekte bei dem Start einer bestimmten Transaktion abgefragt werden.

Innerhalb der Voreinstellungen sind die meisten Trace-Programme ausgeschaltet oder müssen voreingestellt werden, um auswertbare Ergebnisse zu erzeugen. Die Bedienung und den Nutzen einzelner Programme möchte ich Ihnen nachfolgend vorstellen. Um die einzelnen Unterschiede der Programme darzustellen, werde ich immer die Transaktion FB01 „Beleg buchen“ ausführen und einen Beleg buchen nachdem das Trace aktiviert wurde.

Systemtrace - ST01

Das erste Programm, welches ich vorstellen möchte, ist das sogenannte Systemtrace. Dieses wird über die Transaktion ST01 bedient. Es können mehrere Filter für die Protokollierung eingestellt werden. Grundsätzlich lassen sich dadurch alle Zugriffe und Geschehnisse auf dem System aufzeichnen.

Für unseren Zweck der Berechtigungsprüfung bietet das Programm einen eigenen Filter. Es lässt sich unterscheiden zwischen der kompletten Berechtigungsprüfung (Button: „alle“) und nur der Protokollierung der Fehler (Button: „nur Fehler“). Für die Analyse, welche Berechtigungsobjekte bei Start einer Transaktion abgefragt werden, muss die gesamte Berechtigungsprüfung eingeschaltet werden.

Das Systemtrace ist abgeschaltet.
Das Systemtrace ist abgeschaltet.
Das Systemtrace ist eingeschaltet.
Das Systemtrace ist eingeschaltet.

Erst nachdem das Trace angeschaltet wurde, protokolliert das System alle Prüfungen. Im nächsten Schritt werde ich über die Transaktion FB01 einen Beleg buchen, um im Nachhinein zu analysieren, welche Berechtigungsobjekte das System beim Ausführen der Transaktion abfragt.

Beleg über die Transaktion FB01 buchen.
Beleg über die Transaktion FB01 buchen.

Nachdem der Belege gebucht wurde, gehe ich zurück in die Transaktion ST01 und schalte das Trace wieder aus.

Der Systemtrace ist wieder abgeschaltet.
Der Systemtrace ist wieder abgeschaltet.

Über die Trace-Auswertung kann ich mir das Protokoll anschauen.

Das Protokoll der Trace-Auswertung.
Das Protokoll der Trace-Auswertung.

Auch bei der Auswertung ist es möglich, sich mittels Selektionsmöglichkeiten nur den Bereich der Auswertung anzuschauen, der einen interessiert. In unserem Fall haben wir die Auswertung bereits vor dem Tracestart eingeschränkt und . Sollte dies nicht der Fall sein, kann hier bspw. wieder auf die „Berechtigungsprüfung“ (hier: Button - > „alle“) eingegrenzt werden.

Die Traceanzeige im SAP-System.
Die Traceanzeige im SAP-System.

Die Daten können in einer Excel-Datei oder txt-Datei abgespeichert werden, um weiter analysiert zu werden. Die vollständigen Daten finden Sie als Excel-Datei hier innerhalb des Excel-Blattes „ST01“.

Ich habe für die Daten, die nach dem Export alle in einer Spalte dargestellt werden, mittels „Text in Spalten“ und Trennzeichen „|“ in mehrere Spalten aufgeteilt. Dieser ist erst einmal unwichtig für uns und wurde ausgeblendet. Wenn Sie dann alle leeren Felder ausblenden, erhalten Sie aggregiert folgende Berechtigungsobjekte und Feldwerte, die während der Buchung geprüft wurden:

ermittelten Objekte
ermittelten Objekte

Wenn die Berechtigungsfelder keinen Wert beinhalten gegen den geprüft werden muss, wird die Berechtigungsprüfung erfolgreich durchlaufen.

Authority Trace – STAUTHTRACE

Das nächste Programm, welches ich präsentieren möchte, ist das Authority Trace. Es kann sein, dass dieses Programm – je nach Alter des Systems – sich nicht auf Ihrer Maschine befindet. Es wurde mit der Version SAP_BASIS 730 eingeführt.

Dieses Programm ist, wie der Name schon sagt, ausschließlich für das Trace von Berechtigungsprüfungen gebaut wurden. Im Einstiegsbild kann ausgewählt werden, ob das Trace nur für einen bestimmten Benutzer (bspw. den eigenen User) angeschaltet werden soll und ob ggf. nur Fehler protokolliert werden sollen. Danach kann das Trace eingeschaltet werden.

Systemtrace für Berechtigungsprüfungen.
Systemtrace für Berechtigungsprüfungen.

Wie beim Systemtrace führe ich wieder die Transaktion FB01 aus und buche einen Beleg.

Erneute Belegbuchung im Buchungskreis 1000.
Erneute Belegbuchung im Buchungskreis 1000.

Danach schalte ich das Trace wieder aus und werte das Protokoll aus. Das Authority Trace bietet die Möglichkeit auch speziell nach einer Transaktion zu suchen. Diese würde man in „Name der Anwendungen“ eintragen. Für unsere Analyse benötigen wir keine spezifischen Einschränkungen.

Für die Auswertung können Einschränkungen vorgenommen werden.
Für die Auswertung können Einschränkungen vorgenommen werden.
Das Systemtrace für Berechtigungsprüfungen.
Das Systemtrace für Berechtigungsprüfungen.

Das Authority Trace bietet den Vorteil, dass es überschaubar zeigt, welche Berechtigungsprüfungen erfolgreich abgelaufen sind und alle Berechtigungsobjekte mit den jeweiligen Feldwerten auswertbar auflistet. So kann direkt auf einem Blick erkannt werden, welche Berechtigungen abgefragt wurden. Die vollständigen Daten finden Sie im Excel-Tabellenblatt „STAUTHTRACE“. Dort habe ich auf die Anwendung „FB01“ gefiltert und erhalte aggregiert folgende Berechtigungswerte, die abgefragt wurden:

Tabelle der mitgeschnittenen Berechtigungen
Tabelle der mitgeschnittenen Berechtigungen

Business-Transaktionsanalyse - ST03N

Als letzte Analysemöglichkeit möchte ich Ihnen die „Business Transaction Analysis“ mittels der Transaktion ST03N vorstellen. Diese Transaktion bietet im ersten Schritt die Möglichkeit die Systemlast zu messen bzw. auszuwerten. Allerdings befindet sich innerhalb dieser Transaktion auch die Möglichkeit ausgeführte Transaktionen zu analysieren. Dies ist die sogenannte Business-Transaktionsanalyse.

Anders als die zuvor beschriebenen Auswertungen, ist die Business-Transaktionsanalyse eine reine Auswertungsmöglichkeit für ausgeführte Transaktionen und dient uns in Projekten eher dem Zweck ein Berechtigungskonzept neu zu erstellen.

Der Systemlastmonitor im SAP-System.
Der Systemlastmonitor im SAP-System.

Eigentlich protokolliert diese Analyse permanent die ausgeführten Transaktionen bzw. die Systemlast mit, allerdings ist die Aufbewahrungszeit auf der Maschine standardmäßig nur auf zwei Monate eingestellt. Diese Einstellung müssen Sie vor einer möglichen Auswertung anpassen. Wir empfehlen eine Aufbewahrungszeit von mind. 14 Monaten (s. u. – Beschreibung der Parametereinstellung) einzustellen. Dadurch kann gewährleistet werden, dass auch Transaktionen, die (nur) innerhalb des Jahresabschlusses ausgeführt wurden, mitprotokolliert werden. Allerdings sollten Sie immer beachten, dass aus personal- und datenschutzrechtlichen Gründen die Aufzeichnung und Analyse unbedingt mit der Personalabteilung bzw. dem Betriebsrat sowie dem Datenschutz-Beauftragten abgesprochen werden sollte.

Um die Aufbewahrungsfrist einzustellen, müssen Sie innerhalb der ST03N und den Pfad „Kollektor & Perf. Datenbank -> Performance-Datenbank -> Workload Kollektor Datenbank -> Reorganization“ zur Steuerung wechseln.

Hier kann die Aufbewahrungsfrist eingestellt werden.
Hier kann die Aufbewahrungsfrist eingestellt werden.

Dort müssen Sie nach dem Parameter WM für Benutzer- und Transaktionsprofil suchen.

Auswählbare Parameter
Auswählbare Parameter

Die letzten drei Werte können jetzt entsprechend Ihrer Vorstellungen angepasst werden.

Pflege der Kollektorparameter.
Pflege der Kollektorparameter.

Nun möchte ich allerdings wieder zur Auswertung der Analyse zurückkommen. Anders als bei den vorherigen Analysen, müssen wir – solange die Parameter richtig gesetzt sind – das Trace nicht erst anschalten, um eine Auswertung zu erhalten. Wir wechseln einfach in die Business-Transaktionsanalyse und erhalten einen Selektionsbildschirm.

Der Selektionsbildschirm für die Business-Transaktionsanalyse.
Der Selektionsbildschirm für die Business-Transaktionsanalyse.

Für unsere Auswertung reicht die Anzeigeeinstellung (Display Mode) „Show business transaction sums“ und ggf. die Einschränkung auf einen User.

Als Ergebnis erhält man eine komplette, aggregierte Liste aller ausgeführten Transaktionen für den ausgewählten Zeitraum.

Das Ergebnis ist eine Liste von ausgeführten Transaktionen.
Das Ergebnis ist eine Liste von ausgeführten Transaktionen.

Fazit

Wie in den vorherigen Blogartikeln bereits beschrieben, sind sowohl die Daten der USOBT und auch andere Einträge, wie bspw. in der TSTCA, nicht 1:1 in eine komplette Berechtigungsprüfung übernehmbar.

Aus diesem Grund kann nicht gewährleistet werden, dass einerseits im Vergabeprozess die Berechtigungen ausreichend vergeben werden, und andererseits die Berechtigungsvergabe nur mit unkritischen Objekten erfolgt. Es kann von großem Vorteil sein, dass man sich anderer Hilfsmittel bedient und analysiert, was im System eigentlich abläuft, wenn ich eine Transaktion ausführe. Das Verfahren an sich ist für eine einzelne Transaktion einfach durchzuführen – bei der Masse der Einstiegsbildschirme kann sicher eine revisionsnahe Softwarelösung unterstützen.

Vorangegangene Beiträge dieser Reihe

Dieser Blogartikel wurde von Mitarbeitern der addKnowledge GmbH erstellt und dient Ihrer allgemeinen Information. Alle Rechte und Pflichten diesbezüglich obliegen der addKnowledge GmbH.

SAP, SAP Logo, R/3, ABAP sind Marken oder eingetragene Marken der SAP® SE und unterliegen daher dem Copyright.

Sie haben immer noch nicht genug
von Prüfungen des SAP-Berechtigungskonzepts?

Mit unserem Newsletter erhalten Sie alle zwei Wochen

  • aktuelle Artikel und Whitepaper,
  • unsere Kategorien "schon gewusst?" und "was uns gerade inspiriert"
  • und die aktuellen Termine unserer Audinare.

Was erhalten wir dafür?

  • Die Chance Sie von uns und unserem Know-how zu überzeugen.