Traces in SAP richtig einsetzen: STAUTHTRACE, STUSERTRACE, STUSOBTRACE und ST03N im Berechtigungs-Redesign

Ein schlankes, auditfestes Rollenmodell entsteht nicht am Reißbrett. Es wächst aus der tatsächlichen Nutzung des Systems und aus sauber dokumentierten Nachweisen. Traces sind dabei das entscheidende Werkzeug. Sie zeigen, welche Berechtigungsprüfungen tatsächlich stattfinden, welche Transaktionen wirklich genutzt werden und wo ein Rollenentwurf zu weit oder zu eng gefasst ist.

Oft beginnt eine Analyse mit der Transaktion SU53. Sie liefert den letzten fehlgeschlagenen Berechtigungscheck im unmittelbaren Kontext eines Benutzers. Für die schnelle Hilfe im Support ist SU53 nützlich. Für ein Redesign reicht es jedoch nicht aus. Die Sicht bleibt auf einzelne Situationen beschränkt und lässt weder systematische Lücken noch überflüssige Berechtigungen erkennen. Wer ein Rollenmodell umbauen möchte, muss tiefer graben und auf die umfassenderen Trace-Werkzeuge zurückgreifen.

Die wichtigsten Traces im Überblick

Mit STAUTHTRACE steht ein systemweiter, detaillierter Trace zur Verfügung, der für jede Berechtigungsprüfung den Objektnamen, die geprüften Feldwerte und das Ergebnis erfasst. Er wurde mit NetWeaver 7.0 eingeführt und in den späteren Support Packages breit nutzbar gemacht.

STUSERTRACE ergänzt diese Sicht. Er ist ab SAP_BASIS 7.40 verfügbar und erlaubt eine benutzerzentrierte, langfristige Aufzeichnung. Mit ihm lassen sich technische Benutzer oder Key-User über einen längeren Zeitraum beobachten, ohne dass das Protokoll durch endlose Wiederholungen unlesbar wird.

STUSOBTRACE wiederum setzt noch eine andere Brille auf. Seit SAP_BASIS 7.40 verfügbar, betrachtet er nicht den einzelnen Benutzer, sondern die Anwendung selbst. Er zeichnet objektorientiert auf, welche Berechtigungsobjekte in einem Anwendungskontext geprüft werden, und verdichtet gleiche Prüfungen zu einem Eintrag.

Schließlich liefert ST03N, das seit NetWeaver 7.0 zur Verfügung steht, eine völlig andere Perspektive. Es handelt sich um eine Workload-Analyse, die keine Berechtigungsprüfungen aufzeichnet, sondern die Nutzungshäufigkeit von Transaktionen, Programmen und RFCs.

Jedes dieser Werkzeuge erfüllt einen eigenen Zweck. Zusammen eingesetzt ergeben sie ein vollständiges Bild, das von der groben Nutzung über die feine Detailanalyse bis hin zur Pflege der Vorschlagswerte in SU24 reicht.

STAUTHTRACE im Detail

STAUTHTRACE ist das richtige Instrument, wenn in einem klar abgegrenzten Szenario nachvollzogen werden soll, welche Berechtigungsobjekte mit welchen Werten geprüft werden. Gegenüber dem klassischen ST01 liegt der Vorteil in der zentralen Steuerung. Ein Trace lässt sich systemweit für alle Applikationsserver starten und auch wieder beenden, ohne dass manuell auf jedem Server gearbeitet werden muss.

Außerdem kann vor der Aufzeichnung ein bestimmter Benutzer ausgewählt werden, so dass nicht sämtliche Prüfungen des gesamten Systems protokolliert werden. Wer zusätzlich nur Fehler erfassen lässt, hält die Datenmenge überschaubar und konzentriert sich auf die eigentlichen Lücken.

Technisch schreibt STAUTHTRACE seine Ergebnisse in Dateien im Arbeitsverzeichnis der jeweiligen Instanz. Wie groß diese Dateien werden dürfen und wie viele parallel angelegt werden, hängt von Profilparametern wie rstr/max_filesize_MB und rstr/max_files ab. Wird das Limit erreicht, überschreibt das System die ältesten Dateien. Die wichtigste Stellschraube bleibt jedoch die Dauer des Traces. Je kürzer er aktiv ist, desto geringer die Last und desto überschaubarer das Datenvolumen.

Im Redesign-Projekt leistet STAUTHTRACE wertvolle Dienste. Er zeigt exakt, welche Feldwerte für einen Prozess erforderlich sind, und macht damit transparent, ob eine Rolle zu weit oder zu eng zugeschnitten ist. Für eine dauerhafte Nutzungsauswertung eignet er sich hingegen nicht. Sein Platz liegt in der punktuellen Analyse und im gezielten Test.

STUSERTRACE als Langzeitperspektive

Während STAUTHTRACE die kurzfristige Detailanalyse ermöglicht, richtet STUSERTRACE den Blick auf längere Zeiträume. Er protokolliert alle relevanten Berechtigungsprüfungen für definierte Benutzer und speichert die Ergebnisse in der Datenbank. Damit entsteht ein langfristig auswertbarer Nachweis, der sich auch reorganisieren und archivieren lässt.

Gesteuert wird STUSERTRACE über den Profilparameter auth/auth_user_trace. Er kennt drei Modi: N schaltet den Trace ab, Y erfasst alles ohne Einschränkung, und F erlaubt es, Filter zu setzen. Nur die Variante mit Filtern ist für den Produktivbetrieb sinnvoll, denn hier lassen sich konkrete Benutzer, Objekte oder Anwendungstypen auswählen. So bleibt die Systemlast beherrschbar.

Der Nutzen liegt klar im Redesign. Mit STUSERTRACE lässt sich belegen, welche Berechtigungen tatsächlich gebraucht werden. Besonders hilfreich ist das bei technischen Benutzern, die traditionell mit sehr weitreichenden Rechten wie SAP_ALL ausgestattet sind. Mit einer Langzeitsicht kann schrittweise auf das tatsächlich notwendige Minimum reduziert werden. Für die Analyse akuter Fehler eignet sich dieses Werkzeug hingegen nicht.

STUSOBTRACE als Brücke zur SU24

STUSOBTRACE setzt einen anderen Schwerpunkt. Er erfasst nicht pro Benutzer, sondern systemweit und objektorientiert, welche Berechtigungsobjekte im Anwendungskontext geprüft werden. Die Ergebnisse werden in der Datenbank gespeichert, gleiche Prüfungen werden verdichtet. Das sorgt für eine saubere und übersichtliche Auswertung.

Sein großer Vorteil liegt im direkten Bezug zur SU24. Mit den Daten aus STUSOBTRACE lässt sich nachvollziehen, welche Objekte im Rahmen einer Anwendung wirklich geprüft werden. Diese Erkenntnisse können in die Vorschlagswerte übernommen werden. Überfrachtete SU24-Einträge werden reduziert, fehlende Einträge ergänzt. So entsteht eine konsistente Basis für die Rollengenerierung in PFCG.

ST03N als Makroperspektive

ST03N ist kein Sicherheitswerkzeug im engeren Sinn. Es liefert Workload-Daten und zeigt, welche Transaktionen, Reports und RFCs wie häufig genutzt werden. Im Redesign spielt es eine wichtige Rolle, weil sich damit Karteileichen identifizieren lassen. Transaktionen, die zwar in Rollen enthalten sind, aber nicht genutzt werden, können konsequent entfernt werden. Zudem hilft ST03N, die Prioritäten in einem Projekt zu setzen: häufig genutzte Prozesse zuerst, seltene später.

Methodik im Redesign

Ein erprobtes Vorgehen sieht vor, zunächst mit ST03N die tatsächliche Nutzung zu ermitteln. Auf dieser Grundlage wird entschieden, welche Prozesse im Fokus stehen und welche entfallen können.

In einem zweiten Schritt folgt die Detailanalyse mit STAUTHTRACE. Hier wird exakt aufgezeichnet, welche Berechtigungsobjekte und Feldwerte in einem Szenario relevant sind.

Für Prozesse, die selten auftreten oder technische Benutzer betreffen, ist STUSERTRACE das Mittel der Wahl, weil er über längere Zeiträume hinweg zuverlässige Daten liefert. Schließlich werden die Erkenntnisse mit STUSOBTRACE in die SU24-Vorschlagswerte übertragen.

Das sorgt für Konsistenz und verhindert, dass in Zukunft wieder unnötige Berechtigungen automatisch vorgeschlagen werden.

Umgang mit Rauschen

Alle Traces erzeugen in gewissem Maß auch Einträge ohne fachliche Relevanz. Standardprüfungen, technische Rahmenaufrufe oder identische Wiederholungen gehören dazu. Wichtig ist, solche Prüfungen im Kontext des fachlichen Prozesses zu bewerten. Wird beispielsweise ein Objekt zwanzigmal mit denselben Werten geprüft, ist das für das Redesign nur einmal relevant. SU24 sollte konsequent gepflegt werden, damit nicht aus falsch verstandener Vollständigkeit wieder überladene Rollen entstehen.

Hierzu haben wir bereits einen Artikel verfasst.

Betrieb und Sicherheit

Traces greifen tief in das Systemgeschehen ein und sollten mit Bedacht eingesetzt werden. Aktivierungen sind auf den unbedingt notwendigen Zeitraum zu beschränken.

In Mehrinstanz-Umgebungen empfiehlt es sich, systemweit zu starten, damit keine Prüfungen verloren gehen. Bei STUSERTRACE sind Filter unverzichtbar, um die Datenmenge einzugrenzen.

Für STAUTHTRACE sollten die Dateigrößen- und Rotationsparameter im Auge behalten werden, damit keine Systemressourcen unnötig belastet werden. Schließlich ist darauf zu achten, dass Trace-Daten regelmäßig gelöscht oder archiviert werden, um Speicherplatz zu sparen und Compliance-Anforderungen einzuhalten.

In der Vergangenheit hat es sich immer als positiv rausgestellt, rechtzeitig den Betriebsrat und/oder Datenschutzbeauftragten mit ins Boot zu holen. Oft lassen sich im Vorfeld etwaige Bedenken so

Fazit

Traces sind weit mehr als Werkzeuge zur Fehleranalyse. Richtig kombiniert, bilden sie die Grundlage für ein schlankes und auditfestes Rollenmodell. ST03N liefert die grobe Karte der Nutzung, STAUTHTRACE bietet die punktgenaue Detailanalyse, STUSERTRACE ermöglicht eine Langzeitperspektive auf Benutzeraktivitäten und STUSOBTRACE schafft die Verbindung in die SU24. SU53 behält seine Bedeutung als schnelle Soforthilfe, ersetzt jedoch keine umfassende Trace-gestützte Analyse.

Ein Berechtigungs-Redesign, das auf diesen Werkzeugen aufbaut, hat nicht nur fachliche Genauigkeit, sondern auch die nötige technische Tiefe, um dauerhaft tragfähig und revisionssicher zu sein.

Bei Anmerkungen, Ergänzungen, Hinweise auf Fehler, gerne eine kurze Mail an blog@wtrknt.com

MfG DMa