Referencia del script kickstart
Información general del script
Simplifique la implementación del contenedor que hospeda el conector de datos de SAP mediante el script kickstart proporcionado (disponible en la solución microsoft Sentinel para aplicaciones de SAP® GitHub), que también puede habilitar diferentes modos de almacenamiento de secretos, configurar comunicaciones de red segura (SNC) y mucho más.
Referencia de parámetros
Los parámetros siguientes son configurables. Puede ver ejemplos de cómo se usan estos parámetros en Implementación y configuración del contenedor que hospeda el agente de conector de datos de SAP.
Ubicación del almacenamiento de secretos
Nombre del parámetro: --keymode
Valores de parámetro: kvmi
, kvsi
, cfgf
Obligatorio: no. De forma predeterminada, se da por supuesto que eskvmi
.
Explicación: especifica si los secretos (nombre de usuario, contraseña, identificador de Log Analytics y clave compartida) deben almacenarse en el archivo de configuración local o en Azure Key Vault. También controla si la autenticación en Azure Key Vault se realiza mediante la identidad administrada asignada por el sistema de Azure de la máquina virtual o una identidad de aplicación registrada en Microsoft Entra.
Si se establece en kvmi
, se usa Azure Key Vault para almacenar los secretos y la autenticación en Azure Key Vault se realiza mediante la identidad administrada asignada por el sistema de Azure de la máquina virtual.
Si se establece en kvsi
, se usa Azure Key Vault para almacenar los secretos y la autenticación en Azure Key Vault se realiza mediante una identidad de aplicación registrada en Microsoft Entra. El uso del kvsi
modo requiere --appid
valores , --appsecret
y --tenantid
.
Si se establece en cfgf
, el archivo de configuración almacenado localmente se usa para almacenar secretos.
Modo de conexión de servidor de ABAP
Nombre del parámetro: --connectionmode
Valores de parámetro: abap
, mserv
Obligatorio: no. Si no se especifica, el valor predeterminado es abap
.
Explicación: define si el agente del recopilador de datos debe conectarse directamente al servidor de ABAP o mediante un servidor de mensajes. Use abap
para que el agente se conecte directamente al servidor ABAP, cuyo nombre puede definir mediante el --abapserver
parámetro (aunque si no lo hace, todavía se le pedirá). Use mserv
para conectarse mediante un servidor de mensajes, en cuyo caso debe especificar los parámetros --messageserverhost
, --messageserverport
y --logongroup
.
Ubicación de la carpeta de configuración
Nombre del parámetro: --configpath
Valores de parámetro: <path>
Obligatorio: No, se da por supuesto /opt/sapcon/<SID>
si no se especifica.
Explicación: de manera predeterminada, kickstart inicializa el archivo de configuración y la ubicación de los metadatos en /opt/sapcon/<SID>
. Para establecer una ubicación alternativa de configuración y metadatos, use el parámetro --configpath
.
Dirección del servidor de ABAP
Nombre del parámetro: --abapserver
Valores de parámetro: <servername>
Obligatorio: no. Si no se especifica el parámetro y si el parámetro del modo de conexión del servidor ABAP está establecido abap
en , se le pedirá el nombre de host o la dirección IP del servidor.
Explicación: se usa solo si el modo de conexión está establecido en abap
; este parámetro contiene el nombre de dominio completo (FQDN), el nombre corto o la dirección IP del servidor de ABAP al que conectarse.
Número de instancia del sistema
Nombre del parámetro: --systemnr
Valores de parámetro: <system number>
Obligatorio: no. Si no se especifica, se solicita al usuario el número del sistema.
Explicación: especifica el número de instancia del sistema SAP al que conectarse.
Identificador del sistema
Nombre del parámetro: --sid
Valores de parámetro: <SID>
Obligatorio: no. Si no se especifica, se solicita al usuario el identificador del sistema.
Explicación: especifica el identificador del sistema SAP al que conectarse.
Número de cliente
Nombre del parámetro: --clientnumber
Valores de parámetro: <client number>
Obligatorio: no. Si no se especifica, se solicita al usuario el número de cliente.
Explicación: especifica el número de cliente al que conectarse.
Host del servidor de mensajes
Nombre del parámetro: --messageserverhost
Valores de parámetro: <servername>
Obligatorio: sí, cuando el modo de conexión del servidor de ABAP está establecido en mserv
.
Explicación: especifica el nombre de host o la dirección IP del servidor de mensajes al que conectarse. Solo se puede usar si el modo de conexión del servidor de ABAP está establecido en mserv
.
Puerto del servidor de mensajes
Nombre del parámetro: --messageserverport
Valores de parámetro: <portnumber>
Obligatorio: sí, cuando el modo de conexión del servidor de ABAP está establecido en mserv
.
Explicación: especifica el nombre de servicio (puerto) del servidor de mensajes al que conectarse. Solo se puede usar si el modo de conexión del servidor de ABAP está establecido en mserv
.
Grupo de inicio de sesión
Nombre del parámetro: --logongroup
Valores de parámetro: <logon group>
Obligatorio: sí, cuando el modo de conexión del servidor de ABAP está establecido en mserv
.
Explicación: especifica el grupo de inicio de sesión que se va a usar al conectarse a un servidor de mensajes. Solo se puede usar si el modo de conexión del servidor de ABAP está establecido en mserv
. Si el nombre del grupo de inicio de sesión contiene espacios, se debe pasar entre comillas dobles, como en el ejemplo --logongroup "my logon group"
.
Nombre de usuario de inicio de sesión
Nombre del parámetro: --sapusername
Valores de parámetro: <username>
Obligatorio: no. Si no se proporciona, se solicita al usuario el nombre de usuario si no usa SNC (X.509) para la autenticación.
Explicación: nombre de usuario usado para autenticarse en el servidor ABAP.
Contraseña de inicio de sesión
Nombre del parámetro: --sappassword
Valores de parámetro: <password>
Obligatorio: no. Si no se proporciona, se solicita al usuario la contraseña, si no usa SNC (X.509) para la autenticación. La entrada de contraseña está enmascarada.
Explicación: contraseña usada para autenticarse en el servidor ABAP.
Ubicación del archivo del SDK de NetWeaver
Nombre del parámetro: --sdk
Valores de parámetro: <filename>
Obligatorio: no. El script intenta localizar el archivo nwrfc*.zip en la carpeta actual. Si no se encuentra, se le pedirá al usuario que proporcione un archivo de archivo válido del SDK de NetWeaver.
Explicación: ruta de acceso del archivo del SDK de NetWeaver. Se requiere un SDK válido para que el recopilador de datos funcione. Para más información, vea Requisitos previos para la implementación de la solución Microsoft Sentinel para aplicaciones SAP®.
Identificador de la aplicación empresarial
Nombre del parámetro: --appid
Valores de parámetro: <guid>
Obligatorio: sí, cuando la ubicación de almacenamiento de secretos está establecida en kvsi
.
Explicación: cuando el modo de autenticación de Azure Key Vault se establece en kvsi
, la autenticación en el almacén de claves se realiza mediante una identidad de aplicación empresarial (entidad de servicio). Este parámetro especifica el identificador de aplicación.
Secreto de la aplicación empresarial
Nombre del parámetro: --appsecret
Valores de parámetro: <secret>
Obligatorio: sí, cuando la ubicación de almacenamiento de secretos está establecida en kvsi
.
Explicación: cuando el modo de autenticación de Azure Key Vault se establece en kvsi
, la autenticación en el almacén de claves se realiza mediante una identidad de aplicación empresarial (entidad de servicio). Este parámetro especifica el secreto de la aplicación.
Id. de inquilino
Nombre del parámetro: --tenantid
Valores de parámetro: <guid>
Obligatorio: sí, cuando la ubicación de almacenamiento de secretos está establecida en kvsi
.
Explicación: cuando el modo de autenticación de Azure Key Vault se establece en kvsi
, la autenticación en el almacén de claves se realiza mediante una identidad de aplicación empresarial (entidad de servicio). Este parámetro especifica el identificador de inquilino de Microsoft Entra.
Nombre de Key Vault
Nombre del parámetro: --kvaultname
Valores de parámetro: <key vaultname>
Obligatorio: no. Si la ubicación del almacenamiento secreto está establecida kvsi
en o kvmi
, el script solicita el valor si no se proporciona.
Explicación: Si la ubicación del almacenamiento secreto está establecida kvsi
en o kvmi
, el nombre del almacén de claves (en formato FQDN) debe escribirse aquí.
Identificador del área de trabajo de Log Analytics
Nombre del parámetro: --loganalyticswsid
Valores de parámetro: <id>
Obligatorio: no. Si no se proporciona, el script solicita el identificador del área de trabajo.
Explicación: identificador del área de trabajo de Log Analytics a la que el recopilador de datos envía los datos. Para buscar el identificador del área de trabajo, busque el área de trabajo de Log Analytics en Azure Portal, abra Microsoft Sentinel, seleccione Settings en la sección Configuration, seleccione Workspace settings y, a continuación, seleccione Agents Management.
Clave de Log Analytics
Nombre del parámetro: --loganalyticskey
Valores de parámetro: <key>
Obligatorio: no. Si no se proporciona, el script solicita la clave del área de trabajo. La entrada está enmascarada.
Explicación: clave principal o secundaria del área de trabajo de Log Analytics a la que el recopilador de datos envía los datos. Para buscar la clave principal o secundaria del área de trabajo, busque el área de trabajo de Log Analytics en Azure Portal, abra Microsoft Sentinel, seleccione Settings en la sección Configuration, seleccione Workspace settings y, a continuación, seleccione Agents Management.
Uso de X.509 (SNC) para la autenticación
Nombre del parámetro: --use-snc
Valores del parámetro: ninguno
Obligatorio: no. Si no se especifica, se usa el nombre de usuario y la contraseña para la autenticación. Si se especifican --cryptolib
, --sapgenpse
y la combinación de --client-cert
u --client-key
, o --client-pfx
y --client-pfx-passwd
, así como --server-cert
, y en determinados casos --cacert
, el modificador es obligatorio.
Explicación: especifica que se usa la autenticación X.509 para conectarse al servidor ABAP, en lugar de la autenticación de nombre de usuario y contraseña. Para obtener información adicional, consulte Implementación del conector de datos SAP de Microsoft Sentinel con SNC.
Ruta de acceso de la biblioteca criptográfica de SAP
Nombre del parámetro: --cryptolib
Valores de parámetro: <sapcryptolibfilename>
Obligatorio: si, en caso de que se especifique --use-snc
.
Explicación: ubicación y nombre de archivo de la biblioteca criptográfica de SAP (libsapcrypto.so).
Ruta de acceso de la herramienta SAPGENPSE
Nombre del parámetro: --sapgenpse
Valores de parámetro: <sapgenpsefilename>
Obligatorio: si, en caso de que se especifique --use-snc
.
Explicación: ubicación y nombre de archivo de la herramienta sapgenpse para crear y administrar archivos de PSE y credenciales de SSO.
Ruta de acceso de la clave pública del certificado de cliente
Nombre del parámetro: --client-cert
Valores de parámetro: <client certificate filename>
Obligatorio: Sí, si --use-snc
y el certificado están en formato .crt/.key base-64.
Explicación: ubicación y nombre de archivo del certificado público de cliente en base 64. Si el certificado de cliente está en formato .pfx, use el modificador --client-pfx
en su lugar.
Ruta de acceso de la clave privada del certificado de cliente
Nombre del parámetro: --client-key
Valores de parámetro: <client key filename>
Obligatorio: sí, cuando se especifica --use-snc
y la clave está en formato base 64 .crt/.key.
Explicación: ubicación y nombre de archivo de la clave privada de cliente en base 64. Si el certificado de cliente está en formato .pfx, use el modificador --client-pfx
en su lugar.
Emisión y certificados de entidad de certificación raíz
Nombre del parámetro: --cacert
Valores de parámetro: <trusted ca cert>
Obligatorio: sí, cuando se especifica --use-snc
y el certificado lo emite una entidad de certificación empresarial.
Explicación: Si el certificado está autofirmado, no tiene ninguna entidad de certificación emisora, por lo que no hay ninguna cadena de confianza que deba validarse. Si un certificado lo emite una entidad de certificación empresarial, es necesario validar el certificado de la CA emisora y cualquier certificado de CA de nivel superior. Use instancias independientes del modificador --cacert
para cada entidad de certificación de la cadena de confianza y proporcione los nombres de archivo completos de los certificados públicos de las entidades de certificación empresariales.
Ruta de acceso del certificado PFX de cliente
Nombre del parámetro: --client-pfx
Valores de parámetro: <pfx filename>
Obligatorio: Sí, si --use-snc
y la clave están en formato .pfx/.p12.
Explicación: ubicación y nombre de archivo del certificado pfx de cliente.
Contraseña del certificado PFX de cliente
Nombre del parámetro: --client-pfx-passwd
Valores de parámetro: <password>
Obligatorio: sí, cuando se usa --use-snc
, el certificado está en formato .pfx/.p12 y el certificado está protegido por una contraseña.
Explicación: contraseña del archivo PFX/P12.
Certificado de servidor
Nombre del parámetro: --server-cert
Valores de parámetro: <server certificate filename>
Obligatorio: sí, cuando se usa --use-snc
.
Explicación: nombre y ruta de acceso completa del certificado del servidor de ABAP.
Dirección URL del servidor proxy HTTP
Nombre del parámetro: --http-proxy
Valores de parámetro: <proxy url>
Obligatorio: No
Explicación: Los contenedores que no pueden establecer la conexión a los servicios de Microsoft Azure directamente y requieren conexión a través de un servidor proxy requieren --http-proxy
un modificador para definir la dirección URL del proxy para el contenedor. El formato de la dirección URL del proxy es http://hostname:port
.
Redes basadas en host
Nombre del parámetro: --hostnetwork
Obligatorio: no.
Explicación: si se especifica este modificador, el agente usa la configuración de red basada en host. Esto puede resolver problemas internos de resolución de DNS en algunos casos.
Confirm all prompts
Nombre del parámetro: --confirm-all-prompts
Valores del parámetro: ninguno
Obligatorio: No
Explicación: si se especifica el modificador, el --confirm-all-prompts
script no se pausa para las confirmaciones del usuario y solo solicita si se requiere la entrada del usuario. Use el modificador --confirm-all-prompts
para lograr una implementación sin intervención del usuario.
Uso de la compilación en versión preliminar del contenedor
Nombre del parámetro: --preview
Valores del parámetro: ninguno
Obligatorio: No
Explicación: De forma predeterminada, el script kickstart de implementación del contenedor implementa el contenedor con la :latest
etiqueta . Las características de versión preliminar pública se publican en la :latest-preview
etiqueta . Para asegurarse de que el script de implementación del contenedor usa la versión preliminar pública del contenedor, especifique el modificador --preview
.
Pasos siguientes
Obtenga más información sobre la solución Microsoft Sentinel para aplicaciones SAP®:
- Implementación de la solución Microsoft Sentinel para aplicaciones SAP®
- Requisitos previos para la implementación de la solución Microsoft Sentinel para aplicaciones de SAP®
- Implementación de solicitudes de cambio de SAP y configuración de la autorización
- Implementar el contenido de la solución desde el centro de contenido
- Implementación y configuración del contenedor del agente de conector de datos de SAP
- Implementación del conector de datos de Microsoft Sentinel para SAP con SNC
- Supervisar el estado del sistema SAP
- Habilitación y configuración de la auditoría para SAP para Microsoft Sentinel
- Recopilación de registros de auditoría de SAP HANA
Solución del problema:
Archivos de referencia:
- Referencia de datos de la solución Microsoft Sentinel para aplicaciones SAP®
- Solución Microsoft Sentinel para aplicaciones SAP®: referencia de contenido de seguridad
- Referencia del script de actualización
- Referencia del archivo systemconfig.ini
Para obtener más información, consulte soluciones de Microsoft Sentinel.