Úvodní referenční informace ke skriptu
Přehled skriptu
Zjednodušte nasazení kontejneru hostujícího datový konektor SAP pomocí poskytnutého skriptu Kickstart (k dispozici v řešení Microsoft Sentinel pro aplikace SAP® GitHub), který umožňuje také různé režimy úložiště tajných kódů, konfiguraci zabezpečené síťové komunikace (SNC) a další.
Referenční informace k parametrům
Následující parametry jsou konfigurovatelné. Příklady použití těchto parametrů najdete v části Nasazení a konfigurace kontejneru hostujícího agenta datového konektoru SAP.
Umístění úložiště tajných kódů
Název parametru: --keymode
Hodnoty parametrů: kvmi
, kvsi
cfgf
Povinné: Ne. kvmi
ve výchozím nastavení se předpokládá.
Vysvětlení: Určuje, jestli mají být tajné kódy (uživatelské jméno, heslo, ID log analytics a sdílený klíč) uložené v místním konfiguračním souboru nebo ve službě Azure Key Vault. Také určuje, jestli se ověřování ve službě Azure Key Vault provádí pomocí spravované identity přiřazené systémem virtuálního počítače nebo identity zaregistrované v Microsoft Entra aplikace.
Pokud je tato možnost nastavená, kvmi
služba Azure Key Vault se používá k ukládání tajných kódů a ověřování ve službě Azure Key Vault se provádí pomocí spravované identity přiřazené systémem virtuálního počítače.
Pokud je nastavená hodnota kvsi
, služba Azure Key Vault se používá k ukládání tajných kódů a ověřování ve službě Azure Key Vault se provádí pomocí identity zaregistrované v Microsoft Entra aplikace. kvsi
Použití režimu vyžaduje --appid
, --appsecret
a --tenantid
hodnoty.
Pokud je nastavená hodnota cfgf
, konfigurační soubor uložený místně se používá k ukládání tajných kódů.
Režim připojení serveru ABAP
Název parametru: --connectionmode
Hodnoty parametrů: abap
, mserv
Povinné: Ne. Pokud není zadáno, výchozí hodnota je abap
.
Vysvětlení: Definuje, jestli se má agent kolektoru dat připojit k serveru ABAP přímo nebo přes server zpráv. Použijte abap
k přímému připojení agenta k serveru ABAP, jehož název můžete definovat pomocí parametru --abapserver
(i když ne, stále se k němu zobrazí výzva). Slouží mserv
k připojení prostřednictvím serveru zpráv, v takovém případě je nutné zadat --messageserverhost
, --messageserverport
a --logongroup
parametry.
Umístění složky konfigurace
Název parametru: --configpath
Hodnoty parametrů: <path>
Povinné: Ne, předpokládá se, /opt/sapcon/<SID>
pokud není zadáno.
Vysvětlení: Ve výchozím nastavení kickstart inicializuje konfigurační soubor, umístění metadat do /opt/sapcon/<SID>
. Pokud chcete nastavit alternativní umístění konfigurace a metadat, použijte --configpath
parametr.
Adresa serveru ABAP
Název parametru: --abapserver
Hodnoty parametrů: <servername>
Povinné: Ne. Pokud parametr není zadaný a pokud je parametr režimu připojení serveru ABAP nastavený na abap
, zobrazí se výzva k zadání názvu hostitele serveru nebo IP adresy.
Vysvětlení: Používá se pouze v případě, že je režim připojení nastaven abap
na , tento parametr obsahuje plně kvalifikovaný název domény (FQDN), krátký název nebo IP adresu serveru ABAP pro připojení.
Číslo systémové instance
Název parametru: --systemnr
Hodnoty parametrů: <system number>
Povinné: Ne. Pokud není zadáno, zobrazí se uživateli výzva k zadání systémového čísla.
Vysvětlení: Určuje číslo instance systému SAP, ke které se má připojit.
ID systému
Název parametru: --sid
Hodnoty parametrů: <SID>
Povinné: Ne. Pokud není zadaný, zobrazí se uživateli výzva k zadání ID systému.
Vysvětlení: Určuje ID systému SAP, ke kterému se má připojit.
Číslo klienta
Název parametru: --clientnumber
Hodnoty parametrů: <client number>
Povinné: Ne. Pokud není zadáno, zobrazí se uživateli výzva k zadání čísla klienta.
Vysvětlení: Určuje číslo klienta, ke kterému se má připojit.
Hostitel serveru zpráv
Název parametru: --messageserverhost
Hodnoty parametrů: <servername>
Povinné: Ano, pokud je režim připojení serveru ABAP nastaven na mserv
hodnotu .
Vysvětlení: Určuje název hostitele nebo IP adresu serveru zpráv, ke kterému se má připojit. Lze použít pouze v případě, že je režim připojení serveru ABAP nastaven na mserv
.
Port serveru zpráv
Název parametru: --messageserverport
Hodnoty parametrů: <portnumber>
Povinné: Ano, pokud je režim připojení serveru ABAP nastaven na mserv
hodnotu .
Vysvětlení: Určuje název služby (port) serveru zpráv, ke kterému se má připojit. Lze použít pouze v případě, že je režim připojení serveru ABAP nastaven na mserv
.
Přihlašovací skupina
Název parametru: --logongroup
Hodnoty parametrů: <logon group>
Povinné: Ano, pokud je režim připojení serveru ABAP nastaven na mserv
hodnotu .
Vysvětlení: Určuje přihlašovací skupinu, která se má použít při připojování k serveru zpráv. Lze použít pouze v případě, že je režim připojení serveru ABAP nastaven na mserv
. Pokud název přihlašovací skupiny obsahuje mezery, měly by být předány v dvojitých uvozovkách, jako v příkladu --logongroup "my logon group"
.
Přihlašovací uživatelské jméno
Název parametru: --sapusername
Hodnoty parametrů: <username>
Povinné: Ne. Pokud není zadáno, zobrazí se uživateli výzva k zadání uživatelského jména, pokud k ověřování nepoužívá SNC (X.509).
Vysvětlení: Uživatelské jméno použité k ověření na serveru ABAP.
Přihlašovací heslo
Název parametru: --sappassword
Hodnoty parametrů: <password>
Povinné: Ne. Pokud není zadáno, zobrazí se uživateli výzva k zadání hesla, pokud k ověřování nepoužívá SNC (X.509). Vstupní heslo je maskované.
Vysvětlení: Heslo použité k ověření na serveru ABAP.
Umístění souboru sady NetWeaver SDK
Název parametru: --sdk
Hodnoty parametrů: <filename>
Povinné: Ne. Skript se pokusí vyhledat soubor nwrfc*.zip v aktuální složce. Pokud se nenajde, zobrazí se uživateli výzva k zadání platného souboru archivu sady NetWeaver SDK.
Vysvětlení: Cesta k souboru netWeaver SDK. Aby kolektor dat fungoval, vyžaduje se platná sada SDK. Další informace najdete v tématu Požadavky pro nasazení řešení Microsoft Sentinel pro aplikace SAP®.
ID podnikové aplikace
Název parametru: --appid
Hodnoty parametrů: <guid>
Povinné: Ano, pokud je umístění úložiště tajných kódů nastaveno na kvsi
hodnotu .
Vysvětlení: Pokud je režim ověřování služby Azure Key Vault nastavený na kvsi
, ověřování do trezoru klíčů se provádí pomocí identity podnikové aplikace (instančního objektu). Tento parametr určuje ID aplikace.
Tajný klíč podnikové aplikace
Název parametru: --appsecret
Hodnoty parametrů: <secret>
Povinné: Ano, pokud je umístění úložiště tajných kódů nastaveno na kvsi
hodnotu .
Vysvětlení: Pokud je režim ověřování služby Azure Key Vault nastavený na kvsi
, ověřování do trezoru klíčů se provádí pomocí identity podnikové aplikace (instančního objektu). Tento parametr určuje tajný klíč aplikace.
ID tenanta
Název parametru: --tenantid
Hodnoty parametrů: <guid>
Povinné: Ano, pokud je umístění úložiště tajných kódů nastaveno na kvsi
hodnotu .
Vysvětlení: Pokud je režim ověřování služby Azure Key Vault nastavený na kvsi
, ověřování do trezoru klíčů se provádí pomocí identity podnikové aplikace (instančního objektu). Tento parametr určuje ID tenanta Microsoft Entra.
Název trezoru klíčů
Název parametru: --kvaultname
Hodnoty parametrů: <key vaultname>
Povinné: Ne. Pokud je umístění úložiště tajných kódů nastaveno nebo kvsi
kvmi
, skript zobrazí výzvu k zadání hodnoty, pokud není zadán.
Vysvětlení: Pokud je umístění úložiště tajných kódů nastavené na kvsi
hodnotu nebo kvmi
, měl by se sem zadat název trezoru klíčů (ve formátu plně kvalifikovaného názvu domény).
ID pracovního prostoru služby Log Analytics
Název parametru: --loganalyticswsid
Hodnoty parametrů: <id>
Povinné: Ne. Pokud není zadaný, skript zobrazí výzvu k zadání ID pracovního prostoru.
Vysvětlení: ID pracovního prostoru služby Log Analytics, do kterého kolektor dat odesílá data. Pokud chcete najít ID pracovního prostoru, na webu Azure Portal vyhledejte pracovní prostor služby Log Analytics: otevřete Microsoft Sentinel, v části Konfigurace vyberte Nastavení, vyberte Nastavení pracovního prostoru a pak vyberte Správa agentů.
Klíč Log Analytics
Název parametru: --loganalyticskey
Hodnoty parametrů: <key>
Povinné: Ne. Pokud není zadaný, skript zobrazí výzvu k zadání klíče pracovního prostoru. Vstup je maskovaný.
Vysvětlení: Primární nebo sekundární klíč pracovního prostoru služby Log Analytics, do kterého kolektor dat odesílá data. Pokud chcete najít primární nebo sekundární klíč pracovního prostoru, na webu Azure Portal vyhledejte pracovní prostor služby Log Analytics: otevřete Microsoft Sentinel, v části Konfigurace vyberte Nastavení, vyberte Nastavení pracovního prostoru a pak vyberte Správa agentů.
Použití X.509 (SNC) k ověřování
Název parametru: --use-snc
Hodnoty parametrů: None
Povinné: Ne. Pokud není zadané, uživatelské jméno a heslo se použije k ověřování. Je-li zadána, --cryptolib
, , --sapgenpse
kombinace buď --client-cert
a --client-key
, nebo --client-pfx
a --client-pfx-passwd
a také --server-cert
, a v některých případech --cacert
se přepne.
Vysvětlení: Určuje, že ověřování X.509 se používá pro připojení k serveru ABAP, nikoli k ověřování pomocí uživatelského jména a hesla. Další informace najdete v tématu Nasazení služby Microsoft Sentinel pro datový konektor SAP pomocí SNC.
Cesta k kryptografické knihovně SAP
Název parametru: --cryptolib
Hodnoty parametrů: <sapcryptolibfilename>
Povinné: Ano, pokud --use-snc
je zadáno.
Vysvětlení: Umístění a název souboru kryptografické knihovny SAP (libsapcrypto.so).
Cesta nástroje SAPGENPSE
Název parametru: --sapgenpse
Hodnoty parametrů: <sapgenpsefilename>
Povinné: Ano, pokud --use-snc
je zadáno.
Vysvětlení: Umístění a název souboru nástroje sapgenpse pro vytváření a správu souborů PSE-files a SSO-credentials.
Cesta veřejného klíče klientského certifikátu
Název parametru: --client-cert
Hodnoty parametrů: <client certificate filename>
Povinné: Ano, pokud --use-snc
a certifikát jsou ve formátu .crt/.key base-64.
Vysvětlení: Umístění a název souboru veřejného certifikátu klienta base-64. Pokud je klientský certifikát ve formátu .pfx, použijte --client-pfx
přepínač.
Cesta k privátnímu klíči klientského certifikátu
Název parametru: --client-key
Hodnoty parametrů: <client key filename>
Povinné: Ano, pokud --use-snc
je zadán a klíč je ve formátu .crt/.key base-64.
Vysvětlení: Umístění a název souboru privátního klíče klienta base-64. Pokud je klientský certifikát ve formátu .pfx, použijte --client-pfx
přepínač.
Vystavování nebo kořenových certifikátů certifikační autority
Název parametru: --cacert
Hodnoty parametrů: <trusted ca cert>
Povinné: Ano, pokud --use-snc
je zadán a certifikát je vystaven certifikační autoritou organizace.
Vysvětlení: Pokud je certifikát podepsaný svým držitelem, nemá vydávající certifikační autoritu, takže neexistuje řetězec důvěryhodnosti, který je potřeba ověřit. Pokud certifikát vydá certifikační autorita organizace, musí být certifikát vydávající certifikační autority a všechny certifikáty certifikační autority vyšší úrovně ověřeny. Pro každou certifikační autoritu --cacert
v řetězci důvěryhodnosti použijte samostatné instance přepínače a zadejte úplné názvy názvů veřejných certifikátů certifikačních autorit organizace.
Cesta certifikátu PFX klienta
Název parametru: --client-pfx
Hodnoty parametrů: <pfx filename>
Povinné: Ano, pokud --use-snc
a klíč je ve formátu .pfx/.p12.
Vysvětlení: Umístění a název souboru klientského certifikátu pfx.
Heslo certifikátu PFX klienta
Název parametru: --client-pfx-passwd
Hodnoty parametrů: <password>
Povinné: Ano, pokud --use-snc
se používá, certifikát je ve formátu .pfx/.p12 a certifikát je chráněný heslem.
Vysvětlení: Heslo souboru PFX/P12.
Certifikát serveru
Název parametru: --server-cert
Hodnoty parametrů: <server certificate filename>
Povinné: Ano, pokud --use-snc
se používá.
Vysvětlení: Úplná cesta a název certifikátu serveru ABAP.
Adresa URL proxy serveru HTTP
Název parametru: --http-proxy
Hodnoty parametrů: <proxy url>
Povinné: Ne
Vysvětlení: Kontejnery, které nemůžou navázat připojení ke službám Microsoft Azure přímo a vyžadují připojení přes proxy server, vyžadují --http-proxy
přepnutí pro definování adresy URL proxy serveru pro kontejner. Formát adresy URL proxy serveru je http://hostname:port
.
Sítě založené na hostitelích
Název parametru: --hostnetwork
Povinné: Ne.
Vysvětlení: Pokud je tento přepínač zadán, agent používá konfiguraci sítě založené na hostiteli. To může v některých případech vyřešit problémy s interním překladem DNS.
Potvrzení všech výzev
Název parametru: --confirm-all-prompts
Hodnoty parametrů: None
Povinné: Ne
Vysvětlení: Pokud --confirm-all-prompts
je přepínač zadán, skript se nepozastaví pro potvrzení uživatele a zobrazí výzvu pouze v případě, že je vyžadován uživatelský vstup. Pomocí --confirm-all-prompts
přepínače dosáhnete nasazení s nulovým dotykem.
Použití buildu Preview kontejneru
Název parametru: --preview
Hodnoty parametrů: None
Povinné: Ne
Vysvětlení: Ve výchozím nastavení nasadí skript pro spuštění nasazení kontejneru kontejner se značkou :latest
. Funkce Public Preview se publikují na :latest-preview
značku. Pokud chcete zajistit, aby skript nasazení kontejneru používal verzi Public Preview kontejneru, zadejte --preview
přepínač.
Další kroky
Další informace o řešení Microsoft Sentinel pro aplikace SAP®:
- Nasazení řešení Microsoft Sentinel pro aplikace SAP®
- Požadavky pro nasazení řešení Microsoft Sentinel pro aplikace SAP®
- Nasazení žádostí o změnu SAP (CRS) a konfigurace autorizace
- Nasazení obsahu řešení z centra obsahu
- Nasazení a konfigurace kontejneru hostujícího agenta datového konektoru SAP
- Nasazení datového konektoru Microsoft Sentinel pro SAP pomocí SNC
- Monitorování stavu systému SAP
- Povolení a konfigurace auditování SAP
- Shromažďování protokolů auditu SAP HANA
Řešení potíží:
Referenční soubory:
- Referenční informace k datům aplikací SAP® pro řešení Microsoft Sentinel
- Řešení Microsoft Sentinel pro aplikace SAP®: Referenční informace k obsahu zabezpečení
- Referenční informace k aktualizačnímu skriptu
- Referenční informace k souboru Systemconfig.ini
Další informace najdete v tématu Řešení Microsoft Sentinel.