Поделиться через

Справочные материалы по скрипту Kickstart

  • Статья

Общие сведения о сценариях

Упрощение развертывания контейнера с соединителем данных SAP с помощью предоставленного скрипта Kickstart (доступного в решении Microsoft Sentinel для приложений SAP® GitHub), который также может включать различные режимы хранения секретов, настраивать безопасные сетевые коммуникации (SNC) и многое другое.

Справка по параметрам

Следующие параметры можно настроить. Примеры использования этих параметров см. в статье Развертывание и настройка контейнера с агентом соединителя данных SAP.

Место хранения секрета

Имя параметра:--keymode

Значения параметра:kvmi, kvsi, cfgf

Обязательный: нет. kvmi подразумевается по умолчанию.

Объяснение. Указывает, должны ли секреты (имя пользователя, пароль, идентификатор log analytics и общий ключ) храниться в локальном файле конфигурации или в Azure Key Vault. Кроме того, определяет, выполняется ли проверка подлинности в Azure Key Vault с помощью управляемого удостоверения, назначаемого системой Azure, или удостоверения зарегистрированного приложения Microsoft Entra.

Если задано значение kvmi, для хранения секретов используется Azure Key Vault и проверка подлинности в Azure Key Vault выполняется с помощью назначаемого системой управляемого удостоверения Azure для виртуальной машины.

Если задано значение kvsi, Azure Key Vault используется для хранения секретов и проверки подлинности в Azure Key Vault выполняется с помощью удостоверения зарегистрированного приложения Microsoft Entra. Требуется --appid--appsecretиспользование режима и --tenantid значенийkvsi.

Если задано значение cfgf, файл конфигурации, хранящийся локально, используется для хранения секретов.

Режим подключения к серверу ABAP

Имя параметра:--connectionmode

Значения параметра:abap, mserv

Обязательный: нет. Если оно не указано, по умолчанию используется значение abap.

Объяснение. Определяет, как должен подключаться к серверу ABAP агент сборщика данных: напрямую или через сервер сообщений. Используйте abap для подключения агента непосредственно к серверу ABAP, имя которого можно определить с помощью --abapserver параметра (хотя если это не так, вам по-прежнему будет предложено). Для подключения через сервер сообщений используйте mserv. В этом случае необходимо задать параметры --messageserverhost, --messageserverport и --logongroup.

Расположение папки конфигурации

Имя параметра:--configpath

Значения параметра:<path>

Обязательный: нет. Если значение не указано, предполагается, что нужно использовать /opt/sapcon/<SID>.

Объяснение. По умолчанию Kickstart инициализирует файл конфигурации, устанавливая расположение метаданных в /opt/sapcon/<SID>. Задать альтернативное расположение конфигурации и метаданных можно с помощью параметра --configpath.

Адрес сервера ABAP

Имя параметра:--abapserver

Значения параметра:<servername>

Обязательный: нет. Если параметр не указан, а если для параметра режима подключения сервера ABAP задано abapзначение, вам будет предложено указать имя узла или IP-адрес сервера.

Объяснение. Используется, только если для режима подключения задано значение abap. Этот параметр содержит полное доменное имя (FQDN), короткое имя или IP-адрес сервера ABAP для подключения.

Номер экземпляра системы

Имя параметра:--systemnr

Значения параметра:<system number>

Обязательный: нет. Если это не указано, пользователю будет предложено ввести системный номер.

Объяснение. Позволяет задать номер экземпляра системы SAP для подключения.

ИД системы

Имя параметра:--sid

Значения параметра:<SID>

Обязательный: нет. Если это не указано, пользователю будет предложено ввести системный идентификатор.

Объяснение. Позволяет задать идентификатор системы SAP для подключения.

Номер клиента

Имя параметра:--clientnumber

Значения параметра:<client number>

Обязательный: нет. Если он не указан, пользователю будет предложено указать номер клиента.

Объяснение. Позволяет задать номер клиента для подключения.

Узел сервера сообщений

Имя параметра:--messageserverhost

Значения параметра:<servername>

Обязательный: да, если для режима подключения к серверу ABAP задано значение mserv.

Объяснение. Позволяет задать имя узла или IP-адрес сервера сообщений для подключения. Можно использовать, только если для режима подключения к серверу ABAP задано значение mserv.

Порт сервера сообщений

Имя параметра:--messageserverport

Значения параметра:<portnumber>

Обязательный: да, если для режима подключения к серверу ABAP задано значение mserv.

Объяснение. Позволяет задать имя службы (порт) сервера сообщений для подключения. Можно использовать, только если для режима подключения к серверу ABAP задано значение mserv.

Группа входа

Имя параметра:--logongroup

Значения параметра:<logon group>

Обязательный: да, если для режима подключения к серверу ABAP задано значение mserv.

Объяснение. Указывает группу входа, используемую при подключении к серверу сообщений. Можно использовать, только если для режима подключения к серверу ABAP задано значение mserv. Если имя группы входа содержит пробелы, они должны передаваться в двойных кавычках, как в примере --logongroup "my logon group".

Имя пользователя для входа

Имя параметра:--sapusername

Значения параметра:<username>

Обязательный: нет. Если он не указан, пользователь запрашивает имя пользователя, если он не использует SNC (X.509) для проверки подлинности.

Объяснение. Имя пользователя, используемое для проверки подлинности на сервере ABAP.

Пароль для входа

Имя параметра:--sappassword

Значения параметра:<password>

Обязательный: нет. Если он не указан, пользователь запрашивает пароль, если он не использует SNC (X.509) для проверки подлинности. Входные данные паролей маскируются.

Объяснение. Пароль, используемый для проверки подлинности на сервере ABAP.

Расположение файла пакета SDK для NetWeaver

Имя параметра:--sdk

Значения параметра:<filename>

Обязательный: нет. Скрипт пытается найти файл nwrfc*.zip в текущей папке. Если он не найден, пользователю будет предложено предоставить действительный файл архива пакета SDK NetWeaver.

Объяснение. Путь к файлу пакета SDK для NetWeaver. Для работы сборщика данных требуется допустимый пакет SDK. Дополнительные сведения см. в статье "Предварительные требования для развертывания решения Microsoft Sentinel для приложений SAP®".

Идентификатор корпоративного приложения

Имя параметра:--appid

Значения параметра:<guid>

Обязательный: да, если для места хранения секретов задано значение kvsi.

Объяснение. Если для режима проверки подлинности Azure Key Vault установлено значение kvsi, проверка подлинности в хранилище ключей выполняется с помощью удостоверения корпоративного приложения (субъекта-службы). Этот параметр позволяет задать идентификатор приложения.

Секрет корпоративного приложения

Имя параметра:--appsecret

Значения параметра:<secret>

Обязательный: да, если для места хранения секретов задано значение kvsi.

Объяснение. Если для режима проверки подлинности Azure Key Vault установлено значение kvsi, проверка подлинности в хранилище ключей выполняется с помощью удостоверения корпоративного приложения (субъекта-службы). Этот параметр позволяет задать секрет приложения.

Идентификатор клиента

Имя параметра:--tenantid

Значения параметра:<guid>

Обязательный: да, если для места хранения секретов задано значение kvsi.

Объяснение. Если для режима проверки подлинности Azure Key Vault установлено значение kvsi, проверка подлинности в хранилище ключей выполняется с помощью удостоверения корпоративного приложения (субъекта-службы). Этот параметр задает идентификатор клиента Microsoft Entra.

Имя хранилища ключей

Имя параметра:--kvaultname

Значения параметра:<key vaultname>

Обязательный: нет. Если для расположения хранилища секретов задано kvsi значение или kvmiскрипт запрашивает значение, если оно не задано.

Объяснение. Если для расположения хранилища секретов задано kvsi значение или kvmiвведите имя хранилища ключей (в формате FQDN).

идентификатор рабочей области Log Analytics;

Имя параметра:--loganalyticswsid

Значения параметра:<id>

Обязательный: нет. Если он не указан, скрипт запрашивает идентификатор рабочей области.

Объяснение. Идентификатор рабочей области Log Analytics, в который сборщик данных отправляет данные. Чтобы найти идентификатор рабочей области, найдите рабочую область Log Analytics на портале Azure: откройте Microsoft Sentinel, щелкните элемент Параметры в разделе Конфигурация, а затем последовательно выберите элементы Параметры рабочей области и Agents Management (Управление агентами).

Ключ Log Analytics

Имя параметра:--loganalyticskey

Значения параметра:<key>

Обязательный: нет. Если этот параметр не указан, скрипт запрашивает ключ рабочей области. Входные данные маскируются.

Объяснение. Первичный или вторичный ключ рабочей области Log Analytics, в которой сборщик данных отправляет данные в. Чтобы найти первичный или вторичный ключ рабочей области, найдите рабочую область Log Analytics на портале Azure: откройте Microsoft Sentinel, щелкните элемент Параметры в разделе Конфигурация, а затем последовательно выберите элементы Параметры рабочей области и Agents Management (Управление агентами).

Использование X.509 (SNC) для проверки подлинности

Имя параметра:--use-snc

Значения параметра: нет

Обязательный: нет. Если это не указано, для проверки подлинности используется имя пользователя и пароль. Если значение указано, обязательными являются параметры --cryptolib, --sapgenpse, сочетание --client-cert и --client-key или --client-pfx и --client-pfx-passwd, а также --server-cert и в некоторых случаях --cacert.

Объяснение. Указывает, что для подключения к серверу ABAP используется проверка подлинности X.509, а не проверка подлинности имени пользователя и пароля. Дополнительные сведения см. в статье "Развертывание соединителя данных SAP Для Microsoft Sentinel с помощью SNC".

Путь к библиотеке шифрования SAP

Имя параметра:--cryptolib

Значения параметра:<sapcryptolibfilename>

Обязательный: да, если указано значение --use-snc.

Объяснение. Расположение и имя файла библиотеки шифрования SAP (libsapcrypto.so).

Путь к инструменту SAPGENPSE

Имя параметра:--sapgenpse

Значения параметра:<sapgenpsefilename>

Обязательный: да, если указано значение --use-snc.

Объяснение. Расположение и имя файла средства sapgenpse для создания PSE-файлов и учетных данных единого входа, а также управления ими.

Путь к открытому ключу сертификата клиента

Имя параметра:--client-cert

Значения параметра:<client certificate filename>

Обязательный: да, если указано значение --use-sncи сертификат имеет формат .crt/.key base-64.

Объяснение. Расположение и имя файла общедоступного сертификата клиента base-64. Если сертификат клиента имеет формат PFX, используйте вместо него параметр --client-pfx.

Путь к закрытому ключу сертификата клиента

Имя параметра:--client-key

Значения параметра:<client key filename>

Обязательный: да, если указано значение --use-sncи ключ имеет формат .crt/.key base-64.

Объяснение. Расположение и имя файла закрытого ключа клиента base-64. Если сертификат клиента имеет формат PFX, используйте вместо него параметр --client-pfx.

Сертификаты выдающего или корневого центра сертификации

Имя параметра:--cacert

Значения параметра:<trusted ca cert>

Обязательный: да, если указано значение --use-sncи сертификат выдан корпоративным центром сертификации.

Объяснение. Если сертификат самозаверяется, он не имеет выдачи ЦС, поэтому не требуется проверить цепочку доверия. Если сертификат выдан корпоративным центром сертификации, необходимо проверить сертификат выдающего центра сертификации и все сертификаты центров сертификации более высокого уровня. Используйте отдельные экземпляры параметра --cacert для каждого центра сертификации в цепочке доверия и укажите полные имена файлов общедоступных сертификатов корпоративных центров сертификации.

Путь к сертификату PFX клиента

Имя параметра:--client-pfx

Значения параметра:<pfx filename>

Обязательный: да, если указано значение --use-sncи ключ имеет формат .pfx/.p12.

Объяснение. Расположение и имя файла сертификата клиента PFX.

Пароль сертификата PFX клиента

Имя параметра:--client-pfx-passwd

Значения параметра:<password>

Обязательный: да, если используется --use-snc, а сертификат имеет формат .pfx/.p12 и защищен паролем.

Объяснение. Пароль файла PFX/P12.

Сертификат сервера

Имя параметра:--server-cert

Значения параметра:<server certificate filename>

Обязательный: да, если используется --use-snc.

Объяснение. Полный путь к сертификату сервера ABAP и имя этого сертификата.

URL-адрес прокси-сервера HTTP

Имя параметра:--http-proxy

Значения параметра:<proxy url>

Обязательный: нет

Объяснение. Контейнеры, которые не могут установить подключение к службам Microsoft Azure напрямую и требуют подключения через прокси-сервер, требуют --http-proxy переключения для определения URL-адреса прокси-сервера для контейнера. Формат URL-адреса прокси-сервера — http://hostname:port.

Сеть на основе узла

Имя параметра:--hostnetwork

Обязательный: нет.

Объяснение. Если этот параметр указан, агент использует конфигурацию сети на основе узла. Это может решить внутренние проблемы разрешения DNS в некоторых случаях.

Подтверждение всех запросов

Имя параметра:--confirm-all-prompts

Значения параметра: нет

Обязательный: нет

Объяснение. Если --confirm-all-prompts параметр указан, скрипт не приостанавливается для подтверждения пользователя и запрашивает только запросы, если требуется ввод пользователем. Используйте параметр --confirm-all-prompts для развертывания без сенсорного ввода.

Использование предварительной сборки контейнера

Имя параметра:--preview

Значения параметра: нет

Обязательный: нет

Объяснение. По умолчанию скрипт запуска развертывания контейнеров развертывает контейнер с тегом :latest . Общедоступные предварительные версии функции публикуются в теге :latest-preview . Чтобы убедиться, что скрипт развертывания контейнера использует общедоступную предварительную версию контейнера, задайте параметр --preview.

Следующие шаги

Дополнительные сведения о решении Microsoft Sentinel для приложений SAP®:

Устранение неполадок:

Справочные файлы:

Дополнительные сведения см. в статье Решения Microsoft Sentinel.