Mit Hilfe des Sicherheitsprotokolls kann ein Administrator potentielle Angriffe auf das System besser erkennen. Das Sicherheitsprotokoll wird mit dem Parameter icm/security_log konfiguriert.
Folgende Unregelmäßigkeiten werden protokolliert:
Syntaktisch ungültige Daten
Zugriffe auf Objekte, die nicht existieren (NOT found)
Zugriffe, die aufgrund von Filterregeln nicht zugelassen sind (permission denied)
Anmeldefehler bei der Web-Administration (im ICM und Web Dispatcher)
Beispiele für Protokoll-Einträge:
Error: Permission denied (-13), authorization failed for user >sap< [http_auth_mt.c 745]
Error: Protocol error (-21), illegal request version: 1009
Error: Protocol error (-21), NULL bytes in HTTP request [http_plg_mt.c 4037]
Je nach Konfiguration werden noch die Daten, die den Eintrag verursacht haben, ausgegeben:
[Thr 5126] ------------------------------------------------------------------------
[Thr 5126] 0x47a8b614 000000 47455420 2f736170 2f62632f 6273702f |GET /sap/bc/bsp/|
[Thr 5126] 0x47a8b624 000016 7361702f 69743035 20485454 502f312e |sap/it05 HTTP/1.|
[Thr 5126] 0x47a8b634 000032 310d0a68 6f73743a 206c6470 3030372e |1..host: ldp007.|
...
Das Sicherheitsprotokoll gibt nur Hinweise auf mögliche sicherheitsrelevante Vorgänge. Es muss im Einzelfall entschieden werden, ob ein Eintrag wirklich sicherheitskritisch ist