Dokumentacja skryptu Kickstart

Omówienie skryptu

Uprość wdrażanie kontenera obsługującego łącznik danych SAP przy użyciu dostarczonego skryptu Kickstart (dostępnego w rozwiązaniu Microsoft Sentinel dla aplikacji SAP® GitHub), który może również włączyć różne tryby przechowywania wpisów tajnych, skonfigurować bezpieczną komunikację sieciową (SNC) i nie tylko.

Dokumentacja parametrów

Następujące parametry można skonfigurować. Przykłady użycia tych parametrów można znaleźć w temacie Wdrażanie i konfigurowanie kontenera hostowania agenta łącznika danych SAP.

Lokalizacja magazynu wpisów tajnych

Nazwa parametru:--keymode

Wartości parametrów:kvmi, kvsi, cfgf

Wymagane: Nie. kvmi jest zakładany domyślnie.

Wyjaśnienie: określa, czy wpisy tajne (nazwa użytkownika, hasło, identyfikator analizy dzienników i klucz udostępniony) powinny być przechowywane w lokalnym pliku konfiguracji lub w usłudze Azure Key Vault. Określa również, czy uwierzytelnianie w usłudze Azure Key Vault odbywa się przy użyciu przypisanej przez system tożsamości zarządzanej maszyny wirtualnej, czy tożsamości zarejestrowanej aplikacji firmy Microsoft w usłudze Microsoft Entra.

Jeśli ustawiono wartość kvmi, usługa Azure Key Vault jest używana do przechowywania wpisów tajnych, a uwierzytelnianie w usłudze Azure Key Vault odbywa się przy użyciu przypisanej przez system tożsamości zarządzanej maszyny wirtualnej.

Jeśli ustawiono wartość kvsi, usługa Azure Key Vault jest używana do przechowywania wpisów tajnych, a uwierzytelnianie w usłudze Azure Key Vault odbywa się przy użyciu tożsamości zarejestrowanej aplikacji firmy Microsoft. kvsi Użycie trybu wymaga --appidwartości , --appsecreti --tenantid .

Jeśli ustawiono wartość cfgf, plik konfiguracji przechowywany lokalnie jest używany do przechowywania wpisów tajnych.

Tryb połączenia serwera ABAP

Nazwa parametru:--connectionmode

Wartości parametrów:abap, mserv

Wymagane: Nie. Jeśli nie zostanie określony, wartość domyślna to abap.

Wyjaśnienie: określa, czy agent modułu zbierającego dane powinien łączyć się bezpośrednio z serwerem ABAP, czy za pośrednictwem serwera komunikatów. Użyj abap polecenia , aby agent łączył się bezpośrednio z serwerem ABAP, którego nazwa można zdefiniować przy użyciu parametru --abapserver (jeśli nie, nadal zostanie wyświetlony monit). Użyj polecenia mserv , aby nawiązać połączenie za pośrednictwem serwera komunikatów, w tym przypadku należy określić --messageserverhostparametry , --messageserverporti --logongroup .

Lokalizacja folderu konfiguracji

Nazwa parametru:--configpath

Wartości parametrów:<path>

Wymagane: Nie, przyjmuje się, /opt/sapcon/<SID> jeśli nie określono.

Wyjaśnienie: Domyślnie program kickstart inicjuje plik konfiguracji, lokalizację metadanych na /opt/sapcon/<SID>. Aby ustawić alternatywną lokalizację konfiguracji i metadanych, użyj parametru --configpath .

Adres serwera ABAP

Nazwa parametru:--abapserver

Wartości parametrów:<servername>

Wymagane: Nie. Jeśli parametr nie zostanie określony i jeśli parametr trybu połączenia serwera ABAP jest ustawiony na abapwartość , zostanie wyświetlony monit o podanie nazwy hosta/adresu IP serwera.

Wyjaśnienie: Używane tylko wtedy, gdy tryb połączenia jest ustawiony na abap, ten parametr zawiera w pełni kwalifikowaną nazwę domeny (FQDN), krótką nazwę lub adres IP serwera ABAP do nawiązania połączenia.

Numer wystąpienia systemu

Nazwa parametru:--systemnr

Wartości parametrów:<system number>

Wymagane: Nie. Jeśli nie zostanie określony, zostanie wyświetlony monit o podanie numeru systemowego.

Wyjaśnienie: określa numer wystąpienia systemu SAP do nawiązania połączenia.

Identyfikator systemowy

Nazwa parametru:--sid

Wartości parametrów:<SID>

Wymagane: Nie. Jeśli nie zostanie określony, zostanie wyświetlony monit o podanie identyfikatora systemu.

Wyjaśnienie: określa identyfikator systemu SAP do nawiązania połączenia.

Numer klienta

Nazwa parametru:--clientnumber

Wartości parametrów:<client number>

Wymagane: Nie. Jeśli nie zostanie określony, zostanie wyświetlony monit o podanie numeru klienta.

Wyjaśnienie: określa numer klienta do nawiązania połączenia.

Host serwera komunikatów

Nazwa parametru:--messageserverhost

Wartości parametrów:<servername>

Wymagane: Tak, jeśli tryb połączenia serwera ABAP jest ustawiony na mservwartość .

Wyjaśnienie: określa nazwę hosta/adres IP serwera komunikatów do nawiązania połączenia. Można używać tylko wtedy, gdy tryb połączenia serwera ABAP jest ustawiony na mservwartość .

Port serwera komunikatów

Nazwa parametru:--messageserverport

Wartości parametrów:<portnumber>

Wymagane: Tak, jeśli tryb połączenia serwera ABAP jest ustawiony na mservwartość .

Wyjaśnienie: określa nazwę usługi (port) serwera komunikatów do nawiązania połączenia. Można używać tylko wtedy, gdy tryb połączenia serwera ABAP jest ustawiony na mservwartość .

Grupa logowania

Nazwa parametru:--logongroup

Wartości parametrów:<logon group>

Wymagane: Tak, jeśli tryb połączenia serwera ABAP jest ustawiony na mservwartość .

Wyjaśnienie: określa grupę logowania do użycia podczas nawiązywania połączenia z serwerem komunikatów. Można użyć tylko wtedy, gdy tryb połączenia serwera ABAP jest ustawiony na mservwartość . Jeśli nazwa grupy logowania zawiera spacje, powinny zostać przekazane w cudzysłowach podwójnych, jak w przykładzie --logongroup "my logon group".

Nazwa użytkownika logowania

Nazwa parametru:--sapusername

Wartości parametrów:<username>

Wymagane: Nie. Jeśli użytkownik nie zostanie podany, zostanie wyświetlony monit o podanie nazwy użytkownika, jeśli nie używa protokołu SNC (X.509) do uwierzytelniania.

Wyjaśnienie: nazwa użytkownika używana do uwierzytelniania na serwerze ABAP.

Hasło logowania

Nazwa parametru:--sappassword

Wartości parametrów:<password>

Wymagane: Nie. Jeśli nie zostanie podany, zostanie wyświetlony monit o podanie hasła, jeśli nie używa protokołu SNC (X.509) do uwierzytelniania. Dane wejściowe hasła są maskowane.

Wyjaśnienie: Hasło używane do uwierzytelniania na serwerze ABAP.

Lokalizacja pliku zestawu NETWeaver SDK

Nazwa parametru:--sdk

Wartości parametrów:<filename>

Wymagane: Nie. Skrypt próbuje zlokalizować plik nwrfc*.zip w bieżącym folderze. Jeśli nie zostanie znaleziony, użytkownik zostanie poproszony o podanie prawidłowego pliku archiwum zestawu NETWeaver SDK.

Wyjaśnienie: Ścieżka pliku zestawu NETWeaver SDK. Do działania modułu zbierającego dane wymagany jest prawidłowy zestaw SDK. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące wdrażania rozwiązania Microsoft Sentinel dla aplikacji SAP®.

Identyfikator aplikacji dla przedsiębiorstw

Nazwa parametru:--appid

Wartości parametrów:<guid>

Wymagane: Tak, jeśli dla lokalizacji magazynu wpisu tajnego ustawiono wartość kvsi.

Wyjaśnienie: Gdy tryb uwierzytelniania usługi Azure Key Vault jest ustawiony na kvsiwartość , uwierzytelnianie w magazynie kluczy odbywa się przy użyciu tożsamości aplikacji dla przedsiębiorstw (jednostki usługi). Ten parametr określa identyfikator aplikacji.

Wpis tajny aplikacji dla przedsiębiorstw

Nazwa parametru:--appsecret

Wartości parametrów:<secret>

Wymagane: Tak, jeśli dla lokalizacji magazynu wpisu tajnego ustawiono wartość kvsi.

Wyjaśnienie: Gdy tryb uwierzytelniania usługi Azure Key Vault jest ustawiony na kvsiwartość , uwierzytelnianie w magazynie kluczy odbywa się przy użyciu tożsamości aplikacji dla przedsiębiorstw (jednostki usługi). Ten parametr określa klucz tajny aplikacji.

Identyfikator dzierżawy

Nazwa parametru:--tenantid

Wartości parametrów:<guid>

Wymagane: Tak, jeśli dla lokalizacji magazynu wpisu tajnego ustawiono wartość kvsi.

Wyjaśnienie: Gdy tryb uwierzytelniania usługi Azure Key Vault jest ustawiony na kvsiwartość , uwierzytelnianie w magazynie kluczy odbywa się przy użyciu tożsamości aplikacji dla przedsiębiorstw (jednostki usługi). Ten parametr określa identyfikator dzierżawy firmy Microsoft Entra.

Nazwa magazynu kluczy

Nazwa parametru:--kvaultname

Wartości parametrów:<key vaultname>

Wymagane: Nie. Jeśli lokalizacja magazynu wpisów tajnych jest ustawiona na kvsi lub kvmi, skrypt wyświetli monit o wartość, jeśli nie zostanie podana.

Wyjaśnienie: Jeśli dla lokalizacji magazynu wpisu tajnego ustawiono kvsi wartość lub kvmi, nazwa magazynu kluczy (w formacie FQDN) powinna zostać wprowadzona tutaj.

Identyfikator obszaru roboczego usługi Log Analytics

Nazwa parametru:--loganalyticswsid

Wartości parametrów:<id>

Wymagane: Nie. Jeśli nie zostanie podany, skrypt wyświetli monit o identyfikator obszaru roboczego.

Wyjaśnienie: Identyfikator obszaru roboczego usługi Log Analytics, do którego moduł zbierający dane wysyła dane. Aby zlokalizować identyfikator obszaru roboczego, znajdź obszar roboczy usługi Log Analytics w witrynie Azure Portal: otwórz usługę Microsoft Sentinel, wybierz pozycję Ustawienia w sekcji Konfiguracja, wybierz pozycję Ustawienia obszaru roboczego, a następnie wybierz pozycję Zarządzanie agentami.

Klucz usługi Log Analytics

Nazwa parametru:--loganalyticskey

Wartości parametrów:<key>

Wymagane: Nie. Jeśli nie zostanie podany, skrypt wyświetli monit o klucz obszaru roboczego. Dane wejściowe są maskowane.

Wyjaśnienie: Podstawowy lub pomocniczy klucz obszaru roboczego usługi Log Analytics, do którego moduł zbierający dane wysyła dane. Aby zlokalizować podstawowy lub pomocniczy klucz obszaru roboczego, znajdź obszar roboczy usługi Log Analytics w witrynie Azure Portal: otwórz usługę Microsoft Sentinel, wybierz pozycję Ustawienia w sekcji Konfiguracja, wybierz pozycję Ustawienia obszaru roboczego, a następnie wybierz pozycję Zarządzanie agentami.

Użyj X.509 (SNC) do uwierzytelniania

Nazwa parametru:--use-snc

Wartości parametrów: Brak

Wymagane: Nie. Jeśli nie zostanie określony, nazwa użytkownika i hasło będą używane do uwierzytelniania. W przypadku określenia , --cryptolib, kombinacji parametrów --client-cert i --client-pfx--server-cert--client-key--client-pfx-passwd , oraz , i w niektórych przypadkach --cacert wymagane jest przełączenia. --sapgenpse

Wyjaśnienie: określa, że uwierzytelnianie X.509 jest używane do nawiązywania połączenia z serwerem ABAP, a nie z uwierzytelnianiem nazwy użytkownika/hasła. Aby uzyskać więcej informacji, zobacz Deploy the Microsoft Sentinel for SAP data connector by using SNC (Wdrażanie łącznika danych usługi Microsoft Sentinel dla oprogramowania SAP przy użyciu protokołu SNC).

Ścieżka biblioteki kryptograficznej SAP

Nazwa parametru:--cryptolib

Wartości parametrów:<sapcryptolibfilename>

Wymagane: Tak, jeśli --use-snc jest określony.

Wyjaśnienie: lokalizacja i nazwa pliku biblioteki kryptograficznego SAP (libsapcrypto.so).

Ścieżka narzędzia SAPGENPSE

Nazwa parametru:--sapgenpse

Wartości parametrów:<sapgenpsefilename>

Wymagane: Tak, jeśli --use-snc jest określony.

Wyjaśnienie: Lokalizacja i nazwa pliku narzędzia sapgenpse do tworzenia i zarządzania plikami PSE-files i SSO-credentials.

Ścieżka klucza publicznego certyfikatu klienta

Nazwa parametru:--client-cert

Wartości parametrów:<client certificate filename>

Wymagane: Tak, jeśli --use-snccertyfikat i jest w formacie .crt/.key base-64.

Wyjaśnienie: Lokalizacja i nazwa pliku certyfikatu publicznego klienta base-64. Jeśli certyfikat klienta ma format pfx, użyj --client-pfx przełącznika.

Ścieżka klucza prywatnego certyfikatu klienta

Nazwa parametru:--client-key

Wartości parametrów:<client key filename>

Wymagane: Tak, jeśli --use-snc jest określony , a klucz jest w formacie .crt/.key base-64.

Wyjaśnienie: lokalizacja i nazwa pliku klucza prywatnego klienta base-64. Jeśli certyfikat klienta ma format pfx, użyj --client-pfx przełącznika.

Wystawianie/certyfikaty głównego urzędu certyfikacji

Nazwa parametru:--cacert

Wartości parametrów:<trusted ca cert>

Wymagane: Tak, jeśli --use-snc jest określony , a certyfikat jest wystawiany przez urząd certyfikacji przedsiębiorstwa.

Wyjaśnienie: Jeśli certyfikat jest z podpisem własnym, nie ma urzędu wystawiającego certyfikaty, więc nie ma łańcucha zaufania, który musi zostać zweryfikowany. Jeśli certyfikat jest wystawiany przez urząd certyfikacji przedsiębiorstwa, należy zweryfikować certyfikat urzędu wystawiającego certyfikat i certyfikaty urzędu certyfikacji wyższego poziomu. Użyj oddzielnych wystąpień przełącznika --cacert dla każdego urzędu certyfikacji w łańcuchu zaufania i podaj pełne nazwy plików publicznych certyfikatów urzędów certyfikacji przedsiębiorstwa.

Ścieżka certyfikatu PFX klienta

Nazwa parametru:--client-pfx

Wartości parametrów:<pfx filename>

Wymagane: Tak, jeśli --use-sncklucz i jest w formacie pfx/.p12.

Wyjaśnienie: lokalizacja i nazwa pliku certyfikatu klienta pfx.

Hasło certyfikatu PFX klienta

Nazwa parametru:--client-pfx-passwd

Wartości parametrów:<password>

Wymagane: Tak, jeśli --use-snc jest używany, certyfikat jest w formacie pfx/.p12, a certyfikat jest chroniony hasłem.

Wyjaśnienie: hasło pliku PFX/P12.

Certyfikat serwera

Nazwa parametru:--server-cert

Wartości parametrów:<server certificate filename>

Wymagane: Tak, jeśli --use-snc jest używany.

Wyjaśnienie: Pełna ścieżka i nazwa certyfikatu serwera ABAP.

Adres URL serwera proxy HTTP

Nazwa parametru:--http-proxy

Wartości parametrów:<proxy url>

Wymagany: Nie

Wyjaśnienie: Kontenery, które nie mogą nawiązać połączenia z usługami platformy Microsoft Azure bezpośrednio i wymagają połączenia za pośrednictwem serwera proxy, wymagają --http-proxy przełączenia w celu zdefiniowania adresu URL serwera proxy dla kontenera. Format adresu URL serwera proxy to http://hostname:port.

Sieć oparta na hoście

Nazwa parametru:--hostnetwork

Wymagane: Nie.

Wyjaśnienie: Jeśli ten przełącznik zostanie określony, agent używa konfiguracji sieci opartej na hoście. Może to rozwiązać wewnętrzne problemy z rozpoznawaniem nazw DNS w niektórych przypadkach.

Potwierdź wszystkie monity

Nazwa parametru:--confirm-all-prompts

Wartości parametrów: Brak

Wymagany: Nie

Wyjaśnienie: Jeśli --confirm-all-prompts przełącznik zostanie określony, skrypt nie zostanie wstrzymany dla żadnych potwierdzeń użytkownika i wyświetli monit tylko wtedy, gdy wymagane są dane wejściowe użytkownika. Użyj --confirm-all-prompts przełącznika, aby osiągnąć wdrożenie bezobsługowe.

Korzystanie z kompilacji w wersji zapoznawczej kontenera

Nazwa parametru:--preview

Wartości parametrów: Brak

Wymagany: Nie

Wyjaśnienie: Domyślnie skrypt kickstart wdrażania kontenera wdraża kontener za pomocą tagu :latest . Publiczne funkcje w wersji zapoznawczej są publikowane w tagu :latest-preview . Aby upewnić się, że skrypt wdrażania kontenera używa publicznej wersji zapoznawczej kontenera --preview , określ przełącznik.

Następne kroki

Dowiedz się więcej o rozwiązaniu Microsoft Sentinel dla aplikacji SAP®:

• Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP®
• Wymagania wstępne dotyczące wdrażania rozwiązania Microsoft Sentinel dla aplikacji SAP®
• Wdrażanie żądań zmian (CRS) sap i konfigurowanie autoryzacji
• Wdrażanie zawartości rozwiązania z centrum zawartości
• Wdrażanie i konfigurowanie kontenera hostowania agenta łącznika danych SAP
• Wdrażanie usługi Microsoft Sentinel dla łącznika danych SAP za pomocą protokołu SNC
• Monitorowanie kondycji systemu SAP
• Włączanie i konfigurowanie inspekcji sap
• Zbieranie dzienników inspekcji oprogramowania SAP HANA

Rozwiązywanie problemów:

• Rozwiązywanie problemów z rozwiązaniem Microsoft Sentinel na potrzeby wdrażania rozwiązań SAP® Applications

Pliki referencyjne:

• Dokumentacja danych aplikacji SAP® dla rozwiązania Microsoft Sentinel
• Rozwiązanie Microsoft Sentinel dla aplikacji SAP®: dokumentacja zawartości zabezpieczeń
• Aktualizowanie odwołania do skryptu
• dokumentacja pliku Systemconfig.ini

Aby uzyskać więcej informacji, zobacz Rozwiązania usługi Microsoft Sentinel.