In fast allen Unternehmen stellt es eine große Herausforderung dar, für die bestehenden SAP RFC-Schnittstellen zu ermitteln, ob, wann, durch wen und über welche Funktionen diese genutzt werden.
Für langfristige Analysen eines SAP-Systems bezüglich der ausgeführten Funktionsbausteine innerhalb des Systems bzw. von anderen Systemen aus, kann grundsätzlich die automatisch aufgezeichnete Benutzerstatistik zum Beispiel über die Transaktion ST03N genutzt werden.
Der folgende Artikel bietet einen kleinen Einblick in die Handhabung verschiedener Auswertungs-Werkzeuge.
1. Auswertung der RFC-Benutzerstatistik direkt
Standardmäßig werden im SAP-System für alle Benutzer u. a. die ausgeführten Transaktionen, Reports und Funktionsbausteine über einen Zeitraum von drei Monaten gespeichert. Es gibt verschiedene Möglichkeiten, diese auszuwerten. So ist über die Transaktion ST03N stichprobenhaft für einzelne Tage Wochen oder Monate einsehbar, welche Funktionsbausteine direkt im System aufgerufen wurden (RFC Client Profil) oder welche indirekt aus anderen Systemen heraus über Schnittstellen angestartet wurden (RFC Server Profil). Über einen Doppelklick auf einen Funktionsbaustein werden in einem Detailfenster weiterführende Informationen angezeigt.
In diesem Fall wurde der Funktionsbaustein /GRCPI/GRIA_USR_GET_ORG_LEVEL durch die Benutzer GRC_TE1_AC10 und GRC_AC10_IE1 im ausgewerteten Zielsystem ausgeführt. Diese sind als Schnittstellenbenutzer in den Schnittstellen S43_000_GRC hinterlegt, welche ursprünglich durch die Benutzer GRC_BATCH und IBS_BATCH in den Startsystemen aufgerufen wurden. Der ursprüngliche Aufruf des Funktionsbausteins fand in den SAP-Systemen TE1 und IE1 statt.
Um beispielsweise die zweite Zeile zu verifizieren, kann im Startsystem IE1 tatsächlich die RFC-Schnittstelle über die Transaktion SM59 gefunden werden.
Dementsprechend lässt sich im Startsystem IE1 dieser Zugriff auch über das RFC Client Profil nachvollziehen.
Eine komplette Auswertung der RFC Client- bzw. RFC Server Profile ist über die Nutzung des Funktionsbausteins SWNC_COLLECTOR_GET_AGGREGATES möglich (Transaktion SE37). Um in den Ergebnissen die Benutzernamen nicht nur anonymisiert, sondern explizit aufgelistet zu bekommen, ist eine Berechtigung auf dem Berechtigungsobjekt S_TOOLS_EX nötig.
2. Auswertung der RFC-Benutzerstatistik über CheckAud®
Auch das IBS-Prüftool CheckAud® ist in der Lage, u.a. die RFC-Benutzerstatistik über den genannten Funktionsbaustein komplett auszuwerten. Dafür ist bei der Erstellung eines Snapshots des Systems im Tool CheckScan der auszulesende Punkt entsprechend auszuwählen.
Anschließend lassen sich die Daten auswerten und könnten hier noch mit entsprechenden Regeln und Filtern beispielsweise auf bestimmte Schnittstellen etc. versehen werden.
Wurden der Snapshot mit anonymisierten Statistikdaten erstellt, so werden die Benutzerdaten in der Auswertung nicht dargestellt, trotzdem lassen sich auch hier allgemeine Erkenntnisse über die Schnittstellennutzung gewinnen. Die auszuwertenden Ergebnistabellen befinden sich dann im Tabellenset IBS_STATISTICS und nicht wie zuvor in IBS_USER_STATISTICS.
3. Auswertung der RFC-Benutzerstatistik über Transaktion STRFCTRACE
Eine weitere Möglichkeit bietet die Nutzung der Transaktion STRFCTRACE direkt im SAP-Zielsystem. Release-abhängig ist diese aber nicht in jedem System vorhanden. Hier wird ebenfalls auf die Statistik-Daten zugegriffen, diese sind aber mit zusätzlichen und nützlichen Informationen angereichert. Zur besseren Nachvollziehbarkeit wird wieder wie in den vorherigen Beispielen auf einen bestimmten Funktionsbaustein gefiltert.
Anschließend können die Ergebniszeilen interpretiert werden. Auch hier sind die schon zuvor betrachteten Beispiele markiert.
Für die erste Zeile von links nach rechts gelesen lässt sich also folgendes feststellen:
Aus dem Startsystem TE1 und dem dortigen Startmandanten 007 wurde über das dortige Programm GRAC_REPOSITORY_OBJECT_SYNC_INKR über den dort aufrufenden Benutzer GRC_BATCH über die dort definierte Schnittstelle S43_000_GRC hier im betrachteten Zielsystem S43 durch den hinterlegten Schnittstellenbenutzer GRC_TE1_AC10, der ein Systembenutzer ist der Funktionsbaustein /GRCPI/…, der zur Funktionsgruppe /GRCPI/… gehört aufgerufen. Der Schnittstellenbenutzer ist hier nicht direkt auf den einzelnen Funktionsbaustein oder die zugehörige Funktionsgruppe berechtigt, sondern über einen generischen Berechtigungseintrag (mit Platzhalter *). Es gab 5971 Zugriffe, und der letzte Zugriff fand am 10.01.2023 statt.
Die generische Berechtigungsausprägung des Berechtigungsobjektes S_RFC lässt sich in der Transaktion PFCG in der dem Schnittstellenbenutzer zugeordneten Rolle nachvollziehen: