Dokumentacja skryptu Kickstart
Omówienie skryptu
Uprość wdrażanie kontenera obsługującego łącznik danych SAP przy użyciu dostarczonego skryptu Kickstart (dostępnego w rozwiązaniu Microsoft Sentinel dla aplikacji SAP® GitHub), który może również włączyć różne tryby przechowywania wpisów tajnych, skonfigurować bezpieczną komunikację sieciową (SNC) i nie tylko.
Dokumentacja parametrów
Następujące parametry można skonfigurować. Przykłady użycia tych parametrów można znaleźć w temacie Wdrażanie i konfigurowanie kontenera hostowania agenta łącznika danych SAP.
Lokalizacja magazynu wpisów tajnych
Nazwa parametru:--keymode
Wartości parametrów:kvmi
, kvsi
, cfgf
Wymagane: Nie. kvmi
jest zakładany domyślnie.
Wyjaśnienie: określa, czy wpisy tajne (nazwa użytkownika, hasło, identyfikator analizy dzienników i klucz udostępniony) powinny być przechowywane w lokalnym pliku konfiguracji lub w usłudze Azure Key Vault. Określa również, czy uwierzytelnianie w usłudze Azure Key Vault odbywa się przy użyciu przypisanej przez system tożsamości zarządzanej maszyny wirtualnej, czy tożsamości zarejestrowanej aplikacji firmy Microsoft w usłudze Microsoft Entra.
Jeśli ustawiono wartość kvmi
, usługa Azure Key Vault jest używana do przechowywania wpisów tajnych, a uwierzytelnianie w usłudze Azure Key Vault odbywa się przy użyciu przypisanej przez system tożsamości zarządzanej maszyny wirtualnej.
Jeśli ustawiono wartość kvsi
, usługa Azure Key Vault jest używana do przechowywania wpisów tajnych, a uwierzytelnianie w usłudze Azure Key Vault odbywa się przy użyciu tożsamości zarejestrowanej aplikacji firmy Microsoft. kvsi
Użycie trybu wymaga --appid
wartości , --appsecret
i --tenantid
.
Jeśli ustawiono wartość cfgf
, plik konfiguracji przechowywany lokalnie jest używany do przechowywania wpisów tajnych.
Tryb połączenia serwera ABAP
Nazwa parametru:--connectionmode
Wartości parametrów:abap
, mserv
Wymagane: Nie. Jeśli nie zostanie określony, wartość domyślna to abap
.
Wyjaśnienie: określa, czy agent modułu zbierającego dane powinien łączyć się bezpośrednio z serwerem ABAP, czy za pośrednictwem serwera komunikatów. Użyj abap
polecenia , aby agent łączył się bezpośrednio z serwerem ABAP, którego nazwa można zdefiniować przy użyciu parametru --abapserver
(jeśli nie, nadal zostanie wyświetlony monit). Użyj polecenia mserv
, aby nawiązać połączenie za pośrednictwem serwera komunikatów, w tym przypadku należy określić --messageserverhost
parametry , --messageserverport
i --logongroup
.
Lokalizacja folderu konfiguracji
Nazwa parametru:--configpath
Wartości parametrów:<path>
Wymagane: Nie, przyjmuje się, /opt/sapcon/<SID>
jeśli nie określono.
Wyjaśnienie: Domyślnie program kickstart inicjuje plik konfiguracji, lokalizację metadanych na /opt/sapcon/<SID>
. Aby ustawić alternatywną lokalizację konfiguracji i metadanych, użyj parametru --configpath
.
Adres serwera ABAP
Nazwa parametru:--abapserver
Wartości parametrów:<servername>
Wymagane: Nie. Jeśli parametr nie zostanie określony i jeśli parametr trybu połączenia serwera ABAP jest ustawiony na abap
wartość , zostanie wyświetlony monit o podanie nazwy hosta/adresu IP serwera.
Wyjaśnienie: Używane tylko wtedy, gdy tryb połączenia jest ustawiony na abap
, ten parametr zawiera w pełni kwalifikowaną nazwę domeny (FQDN), krótką nazwę lub adres IP serwera ABAP do nawiązania połączenia.
Numer wystąpienia systemu
Nazwa parametru:--systemnr
Wartości parametrów:<system number>
Wymagane: Nie. Jeśli nie zostanie określony, zostanie wyświetlony monit o podanie numeru systemowego.
Wyjaśnienie: określa numer wystąpienia systemu SAP do nawiązania połączenia.
Identyfikator systemowy
Nazwa parametru:--sid
Wartości parametrów:<SID>
Wymagane: Nie. Jeśli nie zostanie określony, zostanie wyświetlony monit o podanie identyfikatora systemu.
Wyjaśnienie: określa identyfikator systemu SAP do nawiązania połączenia.
Numer klienta
Nazwa parametru:--clientnumber
Wartości parametrów:<client number>
Wymagane: Nie. Jeśli nie zostanie określony, zostanie wyświetlony monit o podanie numeru klienta.
Wyjaśnienie: określa numer klienta do nawiązania połączenia.
Host serwera komunikatów
Nazwa parametru:--messageserverhost
Wartości parametrów:<servername>
Wymagane: Tak, jeśli tryb połączenia serwera ABAP jest ustawiony na mserv
wartość .
Wyjaśnienie: określa nazwę hosta/adres IP serwera komunikatów do nawiązania połączenia. Można używać tylko wtedy, gdy tryb połączenia serwera ABAP jest ustawiony na mserv
wartość .
Port serwera komunikatów
Nazwa parametru:--messageserverport
Wartości parametrów:<portnumber>
Wymagane: Tak, jeśli tryb połączenia serwera ABAP jest ustawiony na mserv
wartość .
Wyjaśnienie: określa nazwę usługi (port) serwera komunikatów do nawiązania połączenia. Można używać tylko wtedy, gdy tryb połączenia serwera ABAP jest ustawiony na mserv
wartość .
Grupa logowania
Nazwa parametru:--logongroup
Wartości parametrów:<logon group>
Wymagane: Tak, jeśli tryb połączenia serwera ABAP jest ustawiony na mserv
wartość .
Wyjaśnienie: określa grupę logowania do użycia podczas nawiązywania połączenia z serwerem komunikatów. Można użyć tylko wtedy, gdy tryb połączenia serwera ABAP jest ustawiony na mserv
wartość . Jeśli nazwa grupy logowania zawiera spacje, powinny zostać przekazane w cudzysłowach podwójnych, jak w przykładzie --logongroup "my logon group"
.
Nazwa użytkownika logowania
Nazwa parametru:--sapusername
Wartości parametrów:<username>
Wymagane: Nie. Jeśli użytkownik nie zostanie podany, zostanie wyświetlony monit o podanie nazwy użytkownika, jeśli nie używa protokołu SNC (X.509) do uwierzytelniania.
Wyjaśnienie: nazwa użytkownika używana do uwierzytelniania na serwerze ABAP.
Hasło logowania
Nazwa parametru:--sappassword
Wartości parametrów:<password>
Wymagane: Nie. Jeśli nie zostanie podany, zostanie wyświetlony monit o podanie hasła, jeśli nie używa protokołu SNC (X.509) do uwierzytelniania. Dane wejściowe hasła są maskowane.
Wyjaśnienie: Hasło używane do uwierzytelniania na serwerze ABAP.
Lokalizacja pliku zestawu NETWeaver SDK
Nazwa parametru:--sdk
Wartości parametrów:<filename>
Wymagane: Nie. Skrypt próbuje zlokalizować plik nwrfc*.zip w bieżącym folderze. Jeśli nie zostanie znaleziony, użytkownik zostanie poproszony o podanie prawidłowego pliku archiwum zestawu NETWeaver SDK.
Wyjaśnienie: Ścieżka pliku zestawu NETWeaver SDK. Do działania modułu zbierającego dane wymagany jest prawidłowy zestaw SDK. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące wdrażania rozwiązania Microsoft Sentinel dla aplikacji SAP®.
Identyfikator aplikacji dla przedsiębiorstw
Nazwa parametru:--appid
Wartości parametrów:<guid>
Wymagane: Tak, jeśli dla lokalizacji magazynu wpisu tajnego ustawiono wartość kvsi
.
Wyjaśnienie: Gdy tryb uwierzytelniania usługi Azure Key Vault jest ustawiony na kvsi
wartość , uwierzytelnianie w magazynie kluczy odbywa się przy użyciu tożsamości aplikacji dla przedsiębiorstw (jednostki usługi). Ten parametr określa identyfikator aplikacji.
Wpis tajny aplikacji dla przedsiębiorstw
Nazwa parametru:--appsecret
Wartości parametrów:<secret>
Wymagane: Tak, jeśli dla lokalizacji magazynu wpisu tajnego ustawiono wartość kvsi
.
Wyjaśnienie: Gdy tryb uwierzytelniania usługi Azure Key Vault jest ustawiony na kvsi
wartość , uwierzytelnianie w magazynie kluczy odbywa się przy użyciu tożsamości aplikacji dla przedsiębiorstw (jednostki usługi). Ten parametr określa klucz tajny aplikacji.
Identyfikator dzierżawy
Nazwa parametru:--tenantid
Wartości parametrów:<guid>
Wymagane: Tak, jeśli dla lokalizacji magazynu wpisu tajnego ustawiono wartość kvsi
.
Wyjaśnienie: Gdy tryb uwierzytelniania usługi Azure Key Vault jest ustawiony na kvsi
wartość , uwierzytelnianie w magazynie kluczy odbywa się przy użyciu tożsamości aplikacji dla przedsiębiorstw (jednostki usługi). Ten parametr określa identyfikator dzierżawy firmy Microsoft Entra.
Nazwa magazynu kluczy
Nazwa parametru:--kvaultname
Wartości parametrów:<key vaultname>
Wymagane: Nie. Jeśli lokalizacja magazynu wpisów tajnych jest ustawiona na kvsi
lub kvmi
, skrypt wyświetli monit o wartość, jeśli nie zostanie podana.
Wyjaśnienie: Jeśli dla lokalizacji magazynu wpisu tajnego ustawiono kvsi
wartość lub kvmi
, nazwa magazynu kluczy (w formacie FQDN) powinna zostać wprowadzona tutaj.
Identyfikator obszaru roboczego usługi Log Analytics
Nazwa parametru:--loganalyticswsid
Wartości parametrów:<id>
Wymagane: Nie. Jeśli nie zostanie podany, skrypt wyświetli monit o identyfikator obszaru roboczego.
Wyjaśnienie: Identyfikator obszaru roboczego usługi Log Analytics, do którego moduł zbierający dane wysyła dane. Aby zlokalizować identyfikator obszaru roboczego, znajdź obszar roboczy usługi Log Analytics w witrynie Azure Portal: otwórz usługę Microsoft Sentinel, wybierz pozycję Ustawienia w sekcji Konfiguracja, wybierz pozycję Ustawienia obszaru roboczego, a następnie wybierz pozycję Zarządzanie agentami.
Klucz usługi Log Analytics
Nazwa parametru:--loganalyticskey
Wartości parametrów:<key>
Wymagane: Nie. Jeśli nie zostanie podany, skrypt wyświetli monit o klucz obszaru roboczego. Dane wejściowe są maskowane.
Wyjaśnienie: Podstawowy lub pomocniczy klucz obszaru roboczego usługi Log Analytics, do którego moduł zbierający dane wysyła dane. Aby zlokalizować podstawowy lub pomocniczy klucz obszaru roboczego, znajdź obszar roboczy usługi Log Analytics w witrynie Azure Portal: otwórz usługę Microsoft Sentinel, wybierz pozycję Ustawienia w sekcji Konfiguracja, wybierz pozycję Ustawienia obszaru roboczego, a następnie wybierz pozycję Zarządzanie agentami.
Użyj X.509 (SNC) do uwierzytelniania
Nazwa parametru:--use-snc
Wartości parametrów: Brak
Wymagane: Nie. Jeśli nie zostanie określony, nazwa użytkownika i hasło będą używane do uwierzytelniania. W przypadku określenia , --cryptolib
, kombinacji parametrów --client-cert
i --client-pfx
--server-cert
--client-key
--client-pfx-passwd
, oraz , i w niektórych przypadkach --cacert
wymagane jest przełączenia. --sapgenpse
Wyjaśnienie: określa, że uwierzytelnianie X.509 jest używane do nawiązywania połączenia z serwerem ABAP, a nie z uwierzytelnianiem nazwy użytkownika/hasła. Aby uzyskać więcej informacji, zobacz Deploy the Microsoft Sentinel for SAP data connector by using SNC (Wdrażanie łącznika danych usługi Microsoft Sentinel dla oprogramowania SAP przy użyciu protokołu SNC).
Ścieżka biblioteki kryptograficznej SAP
Nazwa parametru:--cryptolib
Wartości parametrów:<sapcryptolibfilename>
Wymagane: Tak, jeśli --use-snc
jest określony.
Wyjaśnienie: lokalizacja i nazwa pliku biblioteki kryptograficznego SAP (libsapcrypto.so).
Ścieżka narzędzia SAPGENPSE
Nazwa parametru:--sapgenpse
Wartości parametrów:<sapgenpsefilename>
Wymagane: Tak, jeśli --use-snc
jest określony.
Wyjaśnienie: Lokalizacja i nazwa pliku narzędzia sapgenpse do tworzenia i zarządzania plikami PSE-files i SSO-credentials.
Ścieżka klucza publicznego certyfikatu klienta
Nazwa parametru:--client-cert
Wartości parametrów:<client certificate filename>
Wymagane: Tak, jeśli --use-snc
certyfikat i jest w formacie .crt/.key base-64.
Wyjaśnienie: Lokalizacja i nazwa pliku certyfikatu publicznego klienta base-64. Jeśli certyfikat klienta ma format pfx, użyj --client-pfx
przełącznika.
Ścieżka klucza prywatnego certyfikatu klienta
Nazwa parametru:--client-key
Wartości parametrów:<client key filename>
Wymagane: Tak, jeśli --use-snc
jest określony , a klucz jest w formacie .crt/.key base-64.
Wyjaśnienie: lokalizacja i nazwa pliku klucza prywatnego klienta base-64. Jeśli certyfikat klienta ma format pfx, użyj --client-pfx
przełącznika.
Wystawianie/certyfikaty głównego urzędu certyfikacji
Nazwa parametru:--cacert
Wartości parametrów:<trusted ca cert>
Wymagane: Tak, jeśli --use-snc
jest określony , a certyfikat jest wystawiany przez urząd certyfikacji przedsiębiorstwa.
Wyjaśnienie: Jeśli certyfikat jest z podpisem własnym, nie ma urzędu wystawiającego certyfikaty, więc nie ma łańcucha zaufania, który musi zostać zweryfikowany. Jeśli certyfikat jest wystawiany przez urząd certyfikacji przedsiębiorstwa, należy zweryfikować certyfikat urzędu wystawiającego certyfikat i certyfikaty urzędu certyfikacji wyższego poziomu. Użyj oddzielnych wystąpień przełącznika --cacert
dla każdego urzędu certyfikacji w łańcuchu zaufania i podaj pełne nazwy plików publicznych certyfikatów urzędów certyfikacji przedsiębiorstwa.
Ścieżka certyfikatu PFX klienta
Nazwa parametru:--client-pfx
Wartości parametrów:<pfx filename>
Wymagane: Tak, jeśli --use-snc
klucz i jest w formacie pfx/.p12.
Wyjaśnienie: lokalizacja i nazwa pliku certyfikatu klienta pfx.
Hasło certyfikatu PFX klienta
Nazwa parametru:--client-pfx-passwd
Wartości parametrów:<password>
Wymagane: Tak, jeśli --use-snc
jest używany, certyfikat jest w formacie pfx/.p12, a certyfikat jest chroniony hasłem.
Wyjaśnienie: hasło pliku PFX/P12.
Certyfikat serwera
Nazwa parametru:--server-cert
Wartości parametrów:<server certificate filename>
Wymagane: Tak, jeśli --use-snc
jest używany.
Wyjaśnienie: Pełna ścieżka i nazwa certyfikatu serwera ABAP.
Adres URL serwera proxy HTTP
Nazwa parametru:--http-proxy
Wartości parametrów:<proxy url>
Wymagany: Nie
Wyjaśnienie: Kontenery, które nie mogą nawiązać połączenia z usługami platformy Microsoft Azure bezpośrednio i wymagają połączenia za pośrednictwem serwera proxy, wymagają --http-proxy
przełączenia w celu zdefiniowania adresu URL serwera proxy dla kontenera. Format adresu URL serwera proxy to http://hostname:port
.
Sieć oparta na hoście
Nazwa parametru:--hostnetwork
Wymagane: Nie.
Wyjaśnienie: Jeśli ten przełącznik zostanie określony, agent używa konfiguracji sieci opartej na hoście. Może to rozwiązać wewnętrzne problemy z rozpoznawaniem nazw DNS w niektórych przypadkach.
Potwierdź wszystkie monity
Nazwa parametru:--confirm-all-prompts
Wartości parametrów: Brak
Wymagany: Nie
Wyjaśnienie: Jeśli --confirm-all-prompts
przełącznik zostanie określony, skrypt nie zostanie wstrzymany dla żadnych potwierdzeń użytkownika i wyświetli monit tylko wtedy, gdy wymagane są dane wejściowe użytkownika. Użyj --confirm-all-prompts
przełącznika, aby osiągnąć wdrożenie bezobsługowe.
Korzystanie z kompilacji w wersji zapoznawczej kontenera
Nazwa parametru:--preview
Wartości parametrów: Brak
Wymagany: Nie
Wyjaśnienie: Domyślnie skrypt kickstart wdrażania kontenera wdraża kontener za pomocą tagu :latest
. Publiczne funkcje w wersji zapoznawczej są publikowane w tagu :latest-preview
. Aby upewnić się, że skrypt wdrażania kontenera używa publicznej wersji zapoznawczej kontenera --preview
, określ przełącznik.
Następne kroki
Dowiedz się więcej o rozwiązaniu Microsoft Sentinel dla aplikacji SAP®:
- Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP®
- Wymagania wstępne dotyczące wdrażania rozwiązania Microsoft Sentinel dla aplikacji SAP®
- Wdrażanie żądań zmian (CRS) sap i konfigurowanie autoryzacji
- Wdrażanie zawartości rozwiązania z centrum zawartości
- Wdrażanie i konfigurowanie kontenera hostowania agenta łącznika danych SAP
- Wdrażanie usługi Microsoft Sentinel dla łącznika danych SAP za pomocą protokołu SNC
- Monitorowanie kondycji systemu SAP
- Włączanie i konfigurowanie inspekcji sap
- Zbieranie dzienników inspekcji oprogramowania SAP HANA
Rozwiązywanie problemów:
Pliki referencyjne:
- Dokumentacja danych aplikacji SAP® dla rozwiązania Microsoft Sentinel
- Rozwiązanie Microsoft Sentinel dla aplikacji SAP®: dokumentacja zawartości zabezpieczeń
- Aktualizowanie odwołania do skryptu
- dokumentacja pliku Systemconfig.ini
Aby uzyskać więcej informacji, zobacz Rozwiązania usługi Microsoft Sentinel.