Systemtrace: Die Transaktion STAUTHTRACE und ST01
Inhaltsverzeichnis
Einleitung
Das Prüfen und Nachvollziehen von Berechtigungsfehlern ist für die Berechtigungsadministration ein essenzieller Bestandteil des Alltagsgeschäfts. Nur dadurch ist es möglich, entsprechende Fehler detailliert zu analysieren, zu bewerten und ggf. dann gemäß den Vorgaben aus den Fachbereichen sicherheitskonform einzubauen. Neben der allbekannten schnellen Auswertung der letzten fehlgeschlagenen Berechtigungsprüfungen per Transaktion SU53, bietet SAP darüber hinaus eine Vielzahl an unterschiedlichen Traces in ihren ERP-Lösungen (SAP ERP 6.0 oder SAP S/4HANA) an. Egal, ob es sich um die Adhoc-Lösung fehlender Berechtigungen handelt oder auch im Zuge eines Rollentests oder Go-Lives bestimmte Berechtigungsvalidierungen durchgeführt werden müssen. Diese Einsatzszenarien können vollumfänglich mit den systemintegrierten Traces durchgeführt werden. Allerdings haben die verschiedenen Trace-Typen auch unterschiedliche Haupteinsatzzwecke. Diese ist nicht nur durch deren technischen Aufbau bedingt, sondern auch durch die mitgelieferten Auswertungsmöglichkeiten.
Da genau dieses Aufschlüsseln und Wissen der Anwendbarkeit die Grundlagen für die Berechtigungsanalyse darstellen, möchte ich Ihnen in diesem Blog einen allgemeinen Überblick zum Systemtrace mittels Transaktionen STAUTHTRACE bzw. ST01 vorstellen. Alleine schon die Unterscheidung der nutzbaren Applikationen ist für die weitere Analyse essenziell. Daher gehe ich zunächst auf die technischen Details und Möglichkeiten dieses Trace-Typs ein. Danach wird ein alltagstaugliches Fallbeispiel mittels der Transaktion STAUTHTRACE unter die Lupe genommen.
Neben den Traces mittels STAUTHTRACE/ ST01, STUSOBTRACE oder STUSERTRACE gibt es noch eine Vielzahl anderer, teilweise berechtigungsunabhängiger Traces, für die unterschiedlichsten Anwendungsfälle in Ihrem SAP-System. Für einen SQL Trace, Buffer Trace, Enqueue Trace, RFC Trace, HTTP Trace, APC Trace oder AMC Trace können Sie beispielsweise die Transaktionen ST05, ST12 oder SAT nutzen. Diese sind vor allem für die SAP Basis interessant. SAP-Note 2524975 bietet Ihnen für deren Einsatzzwecke einen kurzen Überblick sowie weitere referenzierte SAP-Notes.
Systemtrace im Überblick
Der wohl bekannteste Trace im Kontext der SAP-Berechtigungen ist das mandantenabhängige Systemtrace für Berechtigungsprüfungen. Dafür stellt die SAP die Transaktionen STAUTHTRACE und ST01 bereit. Während der klassiche Systemtrace per Transaktion ST01 ein rein applikationsserverabhängiger Trace ist, können Sie mittels Transaktion STAUTHTRACE sogar einen applikationsserverunabhängigen Trace fahren. Dafür wählen Sie zunächst über den Button “Systemweiter Trace” die jeweiligen Applikationsserver (AS) aus, auf denen das Trace erfolgen soll (Abbildung 1).
Dann starten Sie diesen aus diesem Auswahlfenster heraus (Abbildung 2).
Allgemein sind beide sogenannte Kurzzeittraces und müssen an- bzw. sollten auch wieder ausgeschalten werden. Zudem speichert dieser Trace jede Berechtigungsprüfung mit dem genauen Zeitstempel in eine lokale Trace-Datei. Dabei sollten Sie beachten, dass es eine Maximalgröße (Standard: 20MB) und Maximalanzahl (Standard: 10 MB) solcher Dateien gibt und beim Erreichen per Ring-Puffer Verfahren die ältesten Einträge überschrieben werden. Sie können die Größe bzw. Anzahl der Dateien über die Profilparameter rstr/max_filesize_MB bzw. rstr/max_files anpassen. Die dazugehörigen Trace-Applikationen unterscheiden sich aber nicht nur in der Art der Datensammlung (Stichwort Applikationsserverabhängigkeit), sondern auch in den Selektionsmöglichkeiten für die Aufzeichnung und Auswertung.
Mit der Transaktion ST01 können Sie eine detailliertere Selektion für das Trace nutzen und bspw. in der Rubrik „allgemeine Filter“ auf bestimmte Transaktionen oder Programme filtern (Abbildung 3). Jedoch müssen Sie den Trace über diese Applikation immer auf dem Applikationsserver starten, auf dem er und die darauffolgende Analyse erfolgen soll.
Im Gegensatz dazu können Sie mit der Transaktion STAUTHTRACE ein systemweites Trace fahren, der alle berechtigungsspezifischen Applikationsserverdaten (je nach vorheriger Trace-Konfiguration) aufzeichnet und mithilfe der detaillierten Auswertungsmöglichkeiten eine zielgerichtete Analyse ermöglicht (Abbildung 4). Systemweit bedeutet hierbei, dass Sie nicht an einen AS gebunden sind, sondern gleichzeitig weitere AS auswählen und gesamtheitlich tracen können ohne den Trace wie bei der Transaktion ST01 auf jeden AS manuell starten zu müssen.
Außerdem bietet die Applikation STAUTHTRACE zusätzlich das aufgeräumte ALV-Raster mit Absprüngen nicht nur in den Source Code, sondern auch in die Berechtigungsobjektdokumentationen. Hinzu kommen Möglichkeiten, direkt in die Transaktionen SU01 (Benutzerverwaltung), SU56 (Benutzerpuffer) und die CDS Zugriffskontrolle abzuspringen. Letzteres ist vor allem hilfreich, wenn Sie Fehler bei ABAP CDS Views nachvollziehen möchten (Abbildung 5). Übrigens können Sie mittels der Transaktion STAUTHTRACE auch die Systemtrace-Daten durch den Extended Passport um Kernel-Daten aus der Transaktion STAD zusätzlich anreichern (Abbildung 4). Zuletzt eignet sich der Trace mittels Transaktion STAUTHTRACE auch sehr gut für Negativ-Tests, welche bei SAP-Neueinführungen erfolgen müssen, um zu ermitteln, warum ein Benutzer etwas darf, was er eigentlich nicht tun soll.
Die Transaktion ST01 dagegen bietet Ihnen lediglich eine Fließtextauswertung an, ohne applikationsübergreifende Absprünge (Abbildung 6) und nur rudimentäre Filteroptionen bei der Auswertung.
Daher ist meine Empfehlung klar die Nutzung des Systemtrace per Transaktion STAUTHTRACE. Somit können Sie eine detaillierte Auswertung mit einer Vielzahl von sinnvollen Zusatzfunktionen fahren und dies auch gleichzeitig applikationsserverübergreifend.
Unabhängig davon, für welche Applikation Sie sich entscheiden, liegt das Haupteinsatzszenario des Systemtrace klar auf der Prüfung von Berechtigungsfehlern eines Endbenutzers, egal ob diese im Kontext eines Transaktionscode, Funktionsbaustein, SAP Fiori App, CDS View oder anderen Applikationen entstehen. Es ist die komfortabelste Möglichkeit schnell und zielgerichtet fehlende Berechtigungen aufzudecken und diese auf Basis der involvierten Applikationen (bspw. Transaktionen) entsprechend der „Return Codes“ zu validieren. Neben diesem Hauptzweck können Sie jedoch auch anhand der Systemtrace-Ergebnisse in der Transaktion SU24, in den Rollenmenüs und Berechtigungsprofilen die jeweiligen Berechtigungen pflegen. Dafür müssen Sie nur die in den jeweiligen Applikationen hinterlegten anwendungsübergreifenden Funktionen nutzen.
Mögliche „Return Codes“ beim Systemtrace können bspw. 0 (Erfolgreiche Berechtigungsprüfung), 4 (Nicht erfolgreiche Berechtigungsprüfung – Fehlender Berechtigungsfeldwert im vorhanden Berechtigungsobjekt) oder 12 (Nicht erfolgreiche Berechtigungsprüfung – Fehlendes Berechtigungsobjekt) sein.
Berechtigungsanalyse und -pflege mittels Berechtigungstrace
Um die Nutzung und Möglichkeiten des Systemtrace per Transaktion STAUTHTRACE näher darstellen zu können, machen wir uns ein alltägliches Fallbeispiel zu Nutzen.
Fallbeispiel: SAP-Benutzer T-ASAMBILL ist Mitarbeiter aus dem Bereich Finanzbuchhaltung der Firma ACME. Er kann aktuell aufgrund neuer Prozesse die neuen jobspezifischen Tätigkeiten nicht ausführen, weil ihm die Berechtigungen dafür fehlen. Ihm fehlt einerseits die SAP Transaktion FK10, zudem die Berechtigungen Finanzbelege für den Buchungskreis 0003 einzusehen und er kann Kreditoren nicht ändern. Die mitgelieferten Transaktion SU53 Daten sind nur bedingt nutzbar und somit entscheidet sich die Berechtigungsadministration, den Detailgrad mittels Systemtrace zu erhöhen, um diese Anforderungen ordnungsgemäß pflegen zu können.
Somit startet der Berechtigungsadministrator per Transaktion STAUTHTRACE das Trace auf dem entsprechenden Applikationsserver(n)/ Anwendungsserver mit dem Filter auf den Benutzer T-ASAMBILL und nur fehlerhafte Berechtigungen (Abbildung 7). Dafür reicht lediglich ein Klick auf den Button “Trace einschalten”.
Nun führt der Benutzer T-ASAMBILL die Tätigkeiten bis zu den entsprechenden Fehlermeldungen wieder aus und im Hintergrund protokolliert das System die Tracedaten für alle fehlerhaften Berechtigungsprüfungen dieses Benutzers. Der Berechtigungsadministrator deaktiviert nun das Systemstrace wieder und startet mit dessen Auswertung. Dafür selektiert er die bekannten Eckdaten des Testzeitraums und lässt sich per Klick auf „Auswerten“ die Ausgabesliste vom System aufbereiten (Abbildung 8).
Aufgrund des Trace-Filters „Trace nur für Fehler“ sieht man nun übersichtlich die fehlenden Berechtigungen für den Benutzer T-ASAMBILL. Innerhalb dieser Auswertung sind auch genau die drei Fehler aus dem Fallbeispiel zu erkennen (Abbildung 9).
Anhand der Return-Codeangabe ist klar, dass es sich hier um fehlende Berechtigungswerte für die jeweils dargestellten Berechtigungsobjekte handelt. Für die Berechtigungsadministration bedeutet das nun Folgendes:
1. Die Transaktion FK10 fehlt im Rollenmenü der Master-Finanzbuchhalterrolle und muss nachgepflegt werden (ACME nutzt das SAP-Ableitungskonzept für Rollen).
2. Der fehlende Buchungskreis 0003 (USA) kommt daher zustande, da T-ASAMBILL eigentlich nur für den Buchungskreis 0001 (Deutschland) berechtigt ist und ihm somit die abgeleitete Finanzbuchhalterrolle für Buchungskreis 0003 (USA) zugewiesen werden muss (Abbildung 10).
3. Aktuell fehlt die Berechtigungsfeldausprägung KRED im Berechtigungsfeld KTOKK vom Objekt F_LFA1_GRP. Diese Ausprägung muss in der Master-Finanzbuchhalterrolle nachgepflegt und repliziert werden, damit die Finanzbuchhalter per Transaktion FK02 (mit SAP S/4HANA per Transaktion BP) auch Kreditoren anpassen können.
Bevor die Berechtigungsadministration dies selbständig umsetzt, werden die Anforderungen zunächst mit dem Fachbereich abgestimmt und dann entsprechend der Vorgaben für die jeweilige Rolle in der Transaktion PFCG gepflegt.
Fazit: Das Potential des Systemtrace
Anhand dieses kleinen Fallbeispiels habe ich Ihnen deutlich gemacht, welches Potenzial die Transaktion STAUTHTRACE bzw. allgemein das Systemtrace für die Abarbeitung von Berechtigungsfehlern hat. Zudem haben Sie mit diesem Blog alle grundlegenden Informationen erhalten, um den Systemtrace auch auf technischer Ebene für den Bereich Berechtigungen nachvollziehen zu können. Die Transaktion STAUTHTRACE oder auch ST01 sind sehr hilfreiche Tools, um Ihnen schnell und einfach das Leben bei der Fehleranalyse angenehmer zu gestalten. Sie müssen lediglich beachten, wenn das Trace aktiviert wird, Sie die korrekten Daten während der Tests (bspw. auf dem QAS oder auch adhoc auf dem PRD) protokollieren lassen und dann bei der Fehleranalyse mithilfe der Return-Codes und Berechtigungsangaben die entsprechenden Fehler herauskristallisieren sowie nach Absprache pflegen.
Die von Xiting entwickelte Softwarelösung XAMS bietet hinsichtlich der SAP-Standardanalysewerkzeuge noch weitaus mehr Funktionen, um zielgerichtet und übersichtlich Trace-Daten auszuwerten. So können Sie bspw. fürs Tagesgeschäft SAP Standard-Tracedaten mittels des Xiting SU24 Checkman nutzen, um direkt fehlenden Berechtigungsvorschlagswerte für Ihre Eigenentwicklungen zu pflegen. Zudem können Sie vor allem für Rollentests, aber auch bspw. während des Go-Lives sich die einzigartige Xiting PTS (Produktive Testsimulation) oder Xiting Protected Go-Live zunutze machen. Darüber hinaus bietet die XAMS noch unzählige weitere innovative Features für Ihren Berechtigungsalltag an. Schauen Sie doch gerne Sie bei einem unserer wöchentlichen Webinare vorbei, um unsere Suite näher kennenzulernen. Zudem bieten wir auch eine Vielzahl von verschiedenen Services und Produkte an, um Sie bei der Wartung Ihres Berechtigungswesens zu unterstützen.
