Komfortable Auswertung der SAP RFC-Zugriffsstatistik

| Autor/in:Gerald Schrott
berechtigungen 06

In fast allen Unternehmen stellt es eine große Herausforderung dar, für die bestehenden SAP RFC-Schnittstellen zu ermitteln, ob, wann, durch wen und über welche Funktionen diese genutzt werden.

Für langfristige Analysen eines SAP-Systems bezüglich der ausgeführten Funktionsbausteine innerhalb des Systems bzw. von anderen Systemen aus, kann grundsätzlich die automatisch aufgezeichnete Benutzerstatistik zum Beispiel über die Transaktion ST03N genutzt werden.

Der folgende Artikel bietet einen kleinen Einblick in die Handhabung verschiedener Auswertungs-Werkzeuge.

1. Auswertung der RFC-Benutzerstatistik direkt

Standardmäßig werden im SAP-System für alle Benutzer u. a. die ausgeführten Transaktionen, Reports und Funktionsbausteine über einen Zeitraum von drei Monaten gespeichert. Es gibt verschiedene Möglichkeiten, diese auszuwerten. So ist über die Transaktion ST03N stichprobenhaft für einzelne Tage Wochen oder Monate einsehbar, welche Funktionsbausteine direkt im System aufgerufen wurden (RFC Client Profil) oder welche indirekt aus anderen Systemen heraus über Schnittstellen angestartet wurden (RFC Server Profil). Über einen Doppelklick auf einen Funktionsbaustein werden in einem Detailfenster weiterführende Informationen angezeigt.

bild1
Abb. 1: Benutzerstatistik TA ST03N im Zielsystem S43

In diesem Fall wurde der Funktionsbaustein /GRCPI/GRIA_USR_GET_ORG_LEVEL durch die Benutzer GRC_TE1_AC10 und GRC_AC10_IE1 im ausgewerteten Zielsystem ausgeführt. Diese sind als Schnittstellenbenutzer in den Schnittstellen S43_000_GRC hinterlegt, welche ursprünglich durch die Benutzer GRC_BATCH und IBS_BATCH in den Startsystemen aufgerufen wurden. Der ursprüngliche Aufruf des Funktionsbausteins fand in den SAP-Systemen TE1 und IE1 statt.

Um beispielsweise die zweite Zeile zu verifizieren, kann im Startsystem IE1 tatsächlich die RFC-Schnittstelle über die Transaktion SM59 gefunden werden.

bild2
Abb. 2: Schnittstellendetails in der TA SM59 im Startsystem IE1

Dementsprechend lässt sich im Startsystem IE1 dieser Zugriff auch über das RFC Client Profil nachvollziehen.

bild3
Abb. 3: Benutzerstatistik TA ST03N im Startsystem IE1

Eine komplette Auswertung der RFC Client- bzw. RFC Server Profile ist über die Nutzung des Funktionsbausteins SWNC_COLLECTOR_GET_AGGREGATES möglich (Transaktion SE37). Um in den Ergebnissen die Benutzernamen nicht nur anonymisiert, sondern explizit aufgelistet zu bekommen, ist eine Berechtigung auf dem Berechtigungsobjekt S_TOOLS_EX nötig.

bild4
Abb. 4: Benutzerstatistik FuBa SWNC_COLLECTOR_GET_AGGREGATES

2. Auswertung der RFC-Benutzerstatistik über CheckAud®

Auch das IBS-Prüftool CheckAud® ist in der Lage, u.a. die RFC-Benutzerstatistik über den genannten Funktionsbaustein komplett auszuwerten. Dafür ist bei der Erstellung eines Snapshots des Systems im Tool CheckScan der auszulesende Punkt entsprechend auszuwählen.

bild5
Abb. 5: Personalisierte Benutzerstatistik in CheckScan

Anschließend lassen sich die Daten auswerten und könnten hier noch mit entsprechenden Regeln und Filtern beispielsweise auf bestimmte Schnittstellen etc. versehen werden.

bild6
Abb. 6: Personalisierte Benutzerstatistik in CheckAud®

Wurden der Snapshot mit anonymisierten Statistikdaten erstellt, so werden die Benutzerdaten in der Auswertung nicht dargestellt, trotzdem lassen sich auch hier allgemeine Erkenntnisse über die Schnittstellennutzung gewinnen. Die auszuwertenden Ergebnistabellen befinden sich dann im Tabellenset IBS_STATISTICS und nicht wie zuvor in IBS_USER_STATISTICS.

bild7
Abb. 7: Anonymisierte Benutzerstatistik in CheckAud®

3. Auswertung der RFC-Benutzerstatistik über Transaktion STRFCTRACE

Eine weitere Möglichkeit bietet die Nutzung der Transaktion STRFCTRACE direkt im SAP-Zielsystem. Release-abhängig ist diese aber nicht in jedem System vorhanden. Hier wird ebenfalls auf die Statistik-Daten zugegriffen, diese sind aber mit zusätzlichen und nützlichen Informationen angereichert. Zur besseren Nachvollziehbarkeit wird wieder wie in den vorherigen Beispielen auf einen bestimmten Funktionsbaustein gefiltert.

bild8
Abb. 8: Selektionsmaske TA STRFCTRACE

Anschließend können die Ergebniszeilen interpretiert werden. Auch hier sind die schon zuvor betrachteten Beispiele markiert.

bild9
Abb. 9: Ergebnis TA STRFCTRACE, linker Teil
bild10
Abb. 10: Ergebnis TA STRFCTRACE, rechter Teil

Für die erste Zeile von links nach rechts gelesen lässt sich also folgendes feststellen:

Aus dem Startsystem TE1 und dem dortigen Startmandanten 007 wurde über das dortige Programm GRAC_REPOSITORY_OBJECT_SYNC_INKR über den dort aufrufenden Benutzer GRC_BATCH über die dort definierte Schnittstelle S43_000_GRC hier im betrachteten Zielsystem S43 durch den hinterlegten Schnittstellenbenutzer GRC_TE1_AC10, der ein Systembenutzer ist der Funktionsbaustein /GRCPI/…, der zur Funktionsgruppe /GRCPI/… gehört aufgerufen. Der Schnittstellenbenutzer ist hier nicht direkt auf den einzelnen Funktionsbaustein oder die zugehörige Funktionsgruppe berechtigt, sondern über einen generischen Berechtigungseintrag (mit Platzhalter *). Es gab 5971 Zugriffe, und der letzte Zugriff fand am 10.01.2023 statt.

Die generische Berechtigungsausprägung des Berechtigungsobjektes S_RFC lässt sich in der Transaktion PFCG in der dem Schnittstellenbenutzer zugeordneten Rolle nachvollziehen:

bild11
Abb. 11: Berechtigungsausprägung Objekt S_RFC
Cookie Consent mit Real Cookie Banner