HowTo
Konfiguration VSA unter SAP NetWeaver
2004(s) ABAP
Avira Support
Juni 2009
Inhaltsverzeichnis
SAP Systemvoraussetzungen ................................................................................. 2
SAP Plattformen.................................................................................................... 2
OS Systemvoraussetzungen................................................................................ 2
Wichtige Transaktionen ........................................................................................... 2
Was sollte grundsätzlich beachten werden? ......................................................... 3
Wie wird die VSA dem SAP System (ABAP) bekannt gemacht?.......................... 4
Unter TCP/IP Verbindungen eine neue RFC Destination definieren:................ 4
Definition einer RFC Destination ......................................................................... 5
Diese Transaktion spro ist der Weg zur Systemadministration des
Netweavers ............................................................................................................ 6
Definieren von einer Viren Scanner Group......................................................... 7
Definieren eines Viren Scan Adapters oder Server ........................................... 8
Definition für Profile die den Aufruf der VSA durch die VSI steuern.............. 10
Definition der Schritte im Viren-Scan-Profile ................................................... 12
Installation des Virus Scan Server testen (Profil Z_AVIRA)................................ 14
Tracemöglichkeiten im SAP System..................................................................... 16
Active Content Scanning aktivieren ..................................................................... 19
Installation des Virus Scan Server testen (Profil ZACTIVECONTENT) ............. 24
Anbindung des VSA ohne RFC Destination......................................................... 25
Umgebungsvariablen VSA_LIB und VSA_DEBUG .............................................. 26
Applikationsserver- oder Selbststarter ................................................................ 26
Externer Aufruf der AntiVir VSA über VSCAN_RFC (Selbststarter)................... 27
SAR und CAR Archive scannen ............................................................................ 28
1
SAP Systemvoraussetzungen
SAP Plattformen
SAP NetWeaver 6.40 mit Support Package 7 oder höher; für ABAP Engine mit dem SAP_BASIS 640
Support Package 11 oder höher;
für die J2EE Engine mit dem Support Package 13 oder höher
SAP NetWeaver 2004s (7.0)
OS Systemvoraussetzungen
Betriebssysteme Linux/Unix (32-bit/64-bit):
Red Hat Enterprise Linux 5 Server; Red Hat Enterprise Linux 4 Server; Novell SUSE Linux Enterprise
Server 10 - 10.2; Novell SUSE Linux Enterprise Server 9; Debian GNU/Linux 4 (stable); Ubuntu
Server Edition 8; Sun Solaris SPARC 9; Sun Solaris SPARC 10
Betriebssysteme Windows (nur 32-bit):
Windows 2000 Server, SP4 empfohlen;
Windows 2000 Advanced Server, SP4 empfohlen; Windows 2003 Server; Windows Server 2008 (nicht
für Core-Setup)
Wichtige Transaktionen
Transaktionen:
sm59 Æ Konfiguration der RFC Verbindung
spro Æ Systemadministration des SAP Netweavers
vscan Æ Virus Scan Provider Definition
vscantrace Æ gezielter Trace bei Virenbefall
vscanprofile Æ Direkter Einsprung in die Definition der
Virenscanprofile im SAP System
vscangroup Æ Direkter Einsprung in die Definition der
Virenscangruppen im SAP System
vscantest Æ Test für Viren-Scan-Schnittstelle
2
Was sollte grundsätzlich beachten werden?
Wichtige Informationen für die ABAP spezifische Konfiguration:
Bei Einrichtung der RFC Verbindung muss beachtet werden, dass der Name für der RFC Destination
mit „VSCAN_“ beginnt. Dies ist wichtig, da im Anschluss nach diesem Namensanfang gesucht wird
und der Virenscanner nur dann richtig zugeordnet wird.
Im Bereich „Technische Einstellungen → Programm ID“ muss die RFC Destination nochmals
hinterlegt werden.
Für die RFC Destination muss die Option „Registriertes Serverprogramm“ für die Aktivierungsart der
RFC Destination ausgewählt werden.
Diese Vorgehensweise gilt für den Virus Scan Server via RFC Destination
3
Wie wird die VSA dem SAP System (ABAP) bekannt gemacht?
Unter TCP/IP Verbindungen eine neue RFC Destination definieren:
Transaktion SM59
4
Definition einer RFC Destination
Transaktion SM59
► Legen Sie in Transaktion SM59 eine RFC-Verbindung des Verbindungstyps T an.
Da die Konfiguration des Virus Scan Servers folgende Namenskonvention erfordert,
müssen Sie diese für die RFC-Destination eines Virus Scan Servers verwenden:
• VSCAN_<Hostname>, wenn Sie auf dem Host nur einen Virus Scan Server starten
wollen.
• VSCAN_<Hostname>-<Nummer>, wenn Sie auf dem Host mehrere Virus Scan
Server starten wollen. Die Nummer ist eine fortlaufende Zahl, die durch einen
Bindestrich vom Hostnamen abgetrennt ist. Mögliche Namen wären daher: VSCAN_HOST123,
VSCAN_HOST345-1, VSCAN_HOST345-2 usw.
►Wählen Sie die Aktivierungsart Registriertes Serverprogramm.
►Verwenden Sie als Programm-ID den Namen der RFC-Destination.
►Tragen Sie als Gateway-Host und Gateway-Service die Adresse des Gateways des
Systems ein. Wenn Sie den Virus Scan Server über das Computing Center
Management System auf einem Anwendungsserver starten, wählen Sie das Gateway
dieses Anwendungsservers.
5
Diese Transaktion spro ist der Weg zur Systemadministration des Netweavers
• Virenscannergroup
• Viren Scan Server
• Viren Scan Profile
6
Definieren von einer Viren Scanner Group
► Transaktion vscangroup
Wählen Sie Neue Einträge.
Sie gelangen auf das Bild Neue Einträge: Übersicht Hinzugefügte.
Geben Sie die Daten für die Definition der Scanner-Gruppe an
Scanner-Gruppe: Frei wählbarer Name der Scanner-Gruppe.
Business Add-In: Wenn dieses Kennzeichen gesetzt ist, übergibt das Programm die Anforderung
einer Viren-Scan-Instanz für diese Scanner-Gruppe an das Business Add-In VSCAN_INSTANCE, das
kundeneigene Viren-Scanner einbinden kann. Ist das Kennzeichen nicht gesetzt, sucht das Programm
nach einem passenden Virus Scan Server in der Menge der im Customizing gepflegten Virus Scan
Servers, die diese Scanner-Gruppe besitzen.
Gruppentext: Erläuterung zur Scanner-Gruppe.
7
Definieren eines Viren Scan Adapters oder Server
Transaktion vscan
Auswahlmöglichkeiten für Provider Typ:
ADAPTER (Virus Scan Adapter):
Diese Option kann auswählt werden, wenn Avira das SAP Betriebssystem direkt unterstützt. Somit
läuft der Virenscanner direkt im SAP Webapplication Server und es müssen keine Dateien über das
Netzwerk an einen ausgelagerten Server übertragen werden. Mit dieser Konfigurationsmöglichkeit
müssen Sie keine VSCAN_RFC einrichten, da das SAP System direkt mit dem Virenscanner
kommunizieren kann.
SERVER (Virus Scan Server):
Diese Option muss gewählt werden, wenn Avira das SAP Betriebssystem nicht direkt unterstützt.
Somit werden die zu scannenden Dateien an einen ausgelagerten Server übertragen. Nach dem Scan
wird dem SAP System ein Feedback vom Virenscanner mitgeteilt, ob es sich um einen Virus handelt
oder nicht. Die weitere Verarbeitung des Uploades übernimmt das SAP Virus Scan Interface.
Das unten aufgeführte Beispiel bezieht sich auf die ausgelagerte Konfigurationsmöglichkeit (SERVER
(Virus Scan Server)).
8
► Wählen Sie im Einführungsleitfaden (IMG) SAP Web Application Server/
Systemadministration/Viren-Scan-Schnittstelle.
► Wählen Sie neben Virus Scan Server definieren die Option Ausführen.
► Sie gelangen auf das Bild Sicht "Virus-Scan-Server-Definition" ändern:
Übersicht.
► Wählen Sie Neue Einträge.
► Sie gelangen auf das Bild Neue Einträge: Detail Hinzugefügte.
► Geben Sie im Feld Scan Server den Namen des Virus Scan Server ein. Der Name muss
dem Namen der RFC-Destination entsprechen, welche die technische Verbindung
zum Virus Scan Server enthält.
9
Die folgenden Parameter werden von AntiVir for SAP unterstützt.
Bis auf den Paramter SCANHEURISTICLEVEL sind alle Paramter standardmäßig aktiviert. Der
Paramter SCANHEURISTICLEVEL kann man unter vscanprofile nachträglich aktivieren.
Definition für Profile die den Aufruf der VSA durch die VSI steuern
Transaktion vscanprofile
10
Scan-Profil: Gibt den Namen eines Viren-Scan-Profils an.
Profiltext: Erklärender Text für ein Viren-Scan-Profil.
Aktiv: Gibt an, dass dieses Viren-Scan-Profil aktiv ist. Nur wenn dieses Kennzeichen gesetzt ist, kann
das Viren-Scan-Profil verwendet werden. SAP-Applikationen können fest vorgegebene
Profilnamen verwenden, welche ausgeliefert werden. In der Voreinstellung sind diese Profile nicht
aktiv, so dass das Anwendungsprogramm ohne Viren-Scan arbeitet. Durch Setzen dieses
Kennzeichens können Sie den Viren-Scan pro Anwendung aktivieren.
Default-Profil: Kennzeichen, dass dieses Viren-Scan-Profil das Default- Profil ist. Sie dürfen dieses
Kennzeichen für höchstens ein Viren-Scan-Profil setzen. Dieses Viren-Scan-Profil wird
benutzt,
-wenn eine Anwendung ohne Angabe eines Viren-Scan-Profils einen Viren-Scanner anfordert.
-wenn ein Viren-Scan-Profil angefordert wird, welches das Kennzeichen Referenzprofil benutzen
gesetzt hat und das Feld Referenzprofil leer ist.
Referenzbenutzen: Um mehrere Anwendungen über das gleiche Viren-Scan-Profil zu bedienen,
setzen Sie das Kennzeichen Referenz benutzen und geben das Referenzprofil an.
11
Definition der Schritte im Viren-Scan-Profile
Transaktion vscanprofile
Position: Gibt die Position der Scanner-Gruppe im Viren-Scan-Profil an.
Unter Konfigurationsparameter kann man noch zusätzlich den Parameter SCANHEURISTICLEVEL
aktivieren.
Wert 1 = niedrig
Wert 2 = mittel
Wert 3 = hoch
12
Wenn ein Viren-Scan-Profil mehrere Scanner-Gruppen benutzt, bringen Sie diese durch Vergabe
einer Positionsnummer in die gewünschte Reihenfolge.
Typ: Gibt an, ob es sich bei einem Schritt im Viren-Scan-Profil um eine Scanner-Gruppe oder um ein
anderes Viren-Scan-Profil handelt. Wenn Sie Gruppe wählen, verwendet das System bei der
Virenprüfung einen Virus Scan Server dieser Gruppe (oder eine BAdI-Implementierung). Wenn Sie
Profil wählen, arbeitet das Programm anstelle dieses Schrittes das angegebene Viren-ScanProfil ab. Sie können beliebige Bedingungen definieren, indem Sie die Schritte des Viren-Scan-Profils
mit der Verknüpfungsart der Schritte (UND/ ODER) kombinieren.
Scanner-Gruppe: Fasst mehrere Virus Scan Servers zusammen oder ermöglicht die Verwendung
einer BAdI-Implementierung. Die Virus Scan Server einer Scanner-Gruppe erhalten den gleichen Satz
an Konfigurationsparametern und werden daher die gleiche Scan-Engine verwenden.
13
Viren-Scan-Profi: Gibt den Namen eines Viren-Scan-Profils an, das Sie als Schritt in das Profil
einbinden, das Sie gerade bearbeiten.
Installation des Virus Scan Server testen (Profil Z_AVIRA)
Mit dieser Vorgehensweise überprüfen Sie das Funktionieren des von Ihnen konfigurierten Virus Scan
Server.
► Starten Sie Transaktion VSCANTEST.
► Geben Sie das zu prüfende Objekt an, entweder die ausgelieferten Testdaten oder
Ihre eigene lokale Datei.
► Wählen Sie das zu testende Viren-Scan-Profil, die Scanner-Gruppe oder den Virus
Scan Server aus.
► Wählen Sie eine Aktion aus.
14
15
Tracemöglichkeiten im SAP System
f Transaktion vscantrace
f Definition eines Tracelogs für bestimmte Events
16
Tracemöglichkeiten im SAP System
f Transaktion vscantrace
f Trace läuft und sammelt nun Daten
17
Tracemöglichkeiten im SAP System
f Transaktion vscantrace
f Trace läuft und sammelt nun Daten
f Es wurde im Hintergrund eine Datei hochgeladen, die einen Eicar beinhaltet
18
Active Content Scanning aktivieren
Transaktion vscanprofile
Neues Viren-Scan-Profil ZACTIVCONTENT anlegen
Unter Schritte muss das Viren-Scan-Profil ZACTIVCONTENT noch einer Gruppe zugeordnet werden.
Hierzu kann eine neue Gruppe definiert oder eine bereits vorhandene Gruppe verwendet werden.
19
Unter Konfigurationsparameter den Parameter und Wert definieren
20
21
Hierzu den Parameter CUST_ACTIVE_CONTENT auswählen und mit dem Wert 1 wird der Parameter
aktiviert.
22
Unter Schritte muss das Viren-Scan-Profil ZACTIVCONTENT noch einer Gruppe zugeordnet werden.
Hierzu kann eine neue Gruppe definiert oder eine bereits vorhandene Gruppe verwendet werden.
23
Installation des Virus Scan Server testen (Profil
ZACTIVECONTENT)
Mit dieser Vorgehensweise überprüfen Sie das Funktionieren des von Ihnen
konfigurierten Virus Scan Server.
► Starten Sie Transaktion VSCANTEST.
► Geben Sie das zu prüfende Objekt an, entweder die ausgelieferten Testdaten oder
Ihre eigene lokale Datei.
Wählen Sie nun unter Viren-Scan-Profil das Scanprofile, womit die Datei geprüft werden soll. Wählen
Sie hier nun das Profil ZACTIVCONTENT aus.
Unter Allgemeine Einstellungen wählen Sie nun die Aktion “Auf aktiven Inhalt überprüfen“ aus.
24
Anbindung des VSA ohne RFC Destination
f Grundsätzlich ist es auch möglich, den Virenscanner direkt in den SAP Netweaver zu laden
f In Transaktion „vscan“ Providertyp Virus Scan Adapter wählen
f Wichtig:
Avira muss das darunterliegende System unterstützen, wenn Sie den Providertyp „Virus Scan
Adapter“ nutzen möchten.
25
Umgebungsvariablen VSA_LIB und VSA_DEBUG
f Verwendete Umgebungsvariablen (Windows)
f VSA_LIB:
f verweist auf die antivirvsa.dll
f Die Variable wird automatisch angelegt
f VSA_DEBUG
f verweist auf den Pfad der Debug-Logdatei des VSA
f Variabler Wert, z.Bsp.: „C:\avsapvsa.log“
Applikationsserver- oder Selbststarter
Bei der Konfiguration eines Virus Scan Servers für ABAP-Systeme können Sie, statt des
Applikationsserverstarters (vom Anwendungsserver gestartet) einen Selbststarter (z. B.
extern als Dienst unter Microsoft Windows NT oder Dämon unter UNIX gestartet)
installieren. Beim Applikationsserverstarter befinden sich alle Komponenten auf
demselben Host. Im Gegensatz dazu können sich beim Selbststarter der Virus Scan Server
und der SAP Web AS auf unterschiedlichen Hosts befinden. Damit können Sie einen nur
für eine bestimmte Plattform verfügbaren Virus Scan Server verwenden, selbst wenn der
SAP Web AS auf einer anderen Plattform installiert ist. Virus Scan Server auf einem oder zwei Hosts:
Während des Betriebs wirkt sich diese Unterteilung in Applikations- und Selbststarter
vor allem im Computing Center Management System (CCMS) aus. Sie können die VirenScanner mit dem CCMS (Transaktion RZ20) in der "Monitorsammlung SAP CCMS
Monitors for Optional Components" (nähere Informationen siehe SAP-Webseite) im
Monitor Virus Scan Server überwachen. Dabei gibt es folgende Unterschiede:
26
• Applikationsserverstarter:
In diesem Fall überprüft der Datensammler des CCMS automatisch, ob ein
konfigurierter Virus Scan Server erreichbar ist. Ist dies nicht der Fall, löst das CCMS
einen Alert aus und startet als Autoreaktion wieder den Virus Scan Server.
• Selbststarter:
In diesem Fall werden die Prozesse zwar vom CCMS überwacht, aber nicht
automatisch gestoppt oder gestartet. Allerdings haben diese Selbststarter im CCMS
eine eigene MTE-Klasse, der Sie selbst eine Autoreaktionsmethode zuweisen können,
um auf Alerts zu reagieren. Sie können z. B. als Autoreaktionsmethode mit der MTEKlasse
CCMS_OnAlert_Email eine E-Mail oder SMS versenden (siehe "Automatische
Alert-Benachrichtigung definieren" und "Alerts an das Alert Management (ALM)
weiterleiten" auf der SAP-Webseite).
Externer Aufruf der AntiVir VSA über VSCAN_RFC (Selbststarter)
Kommandozeile Windows:
f vscan_rfc -a VSCAN_Localhost -g vmserv1 -x 3300 -V „c:\vsa\antivirvsa.dll“
Kommandozeile Linux:
f vscan_rfc -a VSCAN_Localhost -g vmserv1 -x 3300 –V „/usr/lib/Antivir/libantivirvsa.so“
Beschreibung der Parameter:
-a Programm ID (RFC Destination)
-g Gatewayhost
-x Port vom SAP Gateway
-V Pfad zur lokalen Lib
27
SAR und CAR Archive scannen
Normalerweise kann der Avira Virus Scan Adapter keine solche Archive entpacken.
Mittels dem Konfigurationsfile savapi.ini, was Sie im Installationsverzeichnis finden, können dieses
Verhalten beeinflussen.
Hinweise:
Diese Anpassung des Avira Virus Scan Adapters unter Windows ist im ABAP sowie im JAVA möglich.
Unter Unix finden Sie im Verzeichnis /etc/ die Avira Virus Scan Adapter Konfigurationsdatei
„avsapvsa.conf“ .
Auch in dieser Datei ist ein Verweis auf das SAPCAR Programm mittels Parameter „SapCarProgram“
möglich.
28
Loading...