Kickstart-Skriptreferenz
Skriptübersicht
Vereinfachen Sie die Bereitstellung des Containers, in dem der SAP-Datenconnector gehostet wird, indem Sie das bereitgestellte Kickstart-Skript (verfügbar bei der Microsoft Sentinel-Lösung für SAP-Anwendungen® GitHub) verwenden, wodurch auch verschiedene Modi des Speichers geheimer Schlüssel aktiviert werden können, secure Network Communications (SNC) und vieles mehr konfiguriert werden kann.
Parameterreferenz
Die folgenden Parameter sind konfigurierbar. Beispiele für die Verwendung dieser Parameter finden Sie unter Bereitstellen und Konfigurieren des Containers für den SAP-Datenconnector-Agent.
Ort des Geheimnisspeichers
Parametername:--keymode
Parameterwerte:kvmi
, kvsi
, cfgf
Erforderlich: Nein. kvmi
wird standardmäßig angenommen.
Erläuterung: Gibt an, ob geheime Schlüssel (Benutzername, Kennwort, Protokollanalyse-ID und freigegebener Schlüssel) in der lokalen Konfigurationsdatei oder im Azure Key Vault gespeichert werden sollen. Steuert außerdem, ob die Authentifizierung bei Azure Key Vault mithilfe der systemseitig zugewiesenen verwalteten Azure-Identität des virtuellen Computers oder einer in Microsoft Entra registrierten Anwendungsidentität erfolgt.
Wenn diese Einstellung auf kvmi
festgelegt ist, wird Azure Key Vault zum Speichern von Geheimnissen verwendet, und die Authentifizierung bei Azure Key Vault erfolgt über die systemseitig zugewiesene verwaltete Azure-Identität des virtuellen Computers.
Wenn die Einstellung auf kvsi
festgelegt ist, wird Azure Key Vault zum Speichern von Geheimnissen verwendet, und die Authentifizierung bei Azure Key Vault erfolgt mithilfe einer in Microsoft Entra registrierten Anwendungsidentität. Die Verwendung des kvsi
Modus erfordert --appid
, --appsecret
und --tenantid
Werte.
Bei Festlegung auf cfgf
, wird die lokal gespeicherte Konfigurationsdatei verwendet, um geheime Schlüssel zu speichern.
ABAP-Serververbindungsmodus
Parametername:--connectionmode
Parameterwerte:abap
, mserv
Erforderlich: Nein. Ohne Angabe wird standardmäßig abap
verwendet.
Erklärung: Definiert, ob der Datensammler-Agent eine Verbindung direkt mit dem ABAP-Server oder über einen Nachrichtenserver herstellen soll. Verwenden Sie abap
den Agent, um eine direkte Verbindung mit dem SCOPE-Server herzustellen, dessen Name Sie mithilfe des --abapserver
Parameters definieren können (wenn Sie dies nicht nicht der Grund sind, werden Sie jedoch immer noch dazu aufgefordert). Verwenden Sie mserv
, um die Verbindung über einen Nachrichtenserver herzustellen. In diesem Fall müssen Sie die Parameter --messageserverhost
, --messageserverport
und --logongroup
angeben.
Speicherort des Konfigurationsordners
Parametername:--configpath
Parameterwerte:<path>
Erforderlich: Nein, /opt/sapcon/<SID>
wird angenommen, wenn keine Angabe gemacht wird.
Erklärung: Standardmäßig initialisiert das Kickstartskript den Speicherort für Konfigurationsdatei und Metadaten auf /opt/sapcon/<SID>
. Verwenden Sie den --configpath
-Parameter, um einen alternativen Speicherort für Konfiguration und Metadaten festzulegen.
ABAP-Serveradresse
Parametername:--abapserver
Parameterwerte:<servername>
Erforderlich: Nein. Wenn der Parameter nicht angegeben ist und der Parameter für den Verbindungsmodus des Servers auf " abap
CTRL" festgelegt ist, werden Sie zur Eingabe des Hostnamens/der IP-Adresse des Servers aufgefordert.
Erklärung: Wird nur verwendet, wenn der Verbindungsmodus auf abap
festgelegt ist. Dieser Parameter enthält den vollqualifizierten Domänennamen (FQDN), den Kurznamen oder die IP-Adresse des ABAP Servers, mit dem die Verbindung hergestellt werden soll.
Systeminstanznummer
Parametername:--systemnr
Parameterwerte:<system number>
Erforderlich: Nein. Wenn nicht angegeben, wird der Benutzer zur Eingabe der Systemnummer aufgefordert.
Erklärung: Gibt die SAP-Systeminstanznummer des Systems an, mit dem eine Verbindung hergestellt werden soll.
System-ID
Parametername:--sid
Parameterwerte:<SID>
Erforderlich: Nein. Wenn nicht angegeben, wird der Benutzer zur Eingabe der System-ID aufgefordert.
Erklärung: Gibt die SAP-System-ID des Systems an, mit dem die Verbindung hergestellt werden soll.
Clientnummer
Parametername:--clientnumber
Parameterwerte:<client number>
Erforderlich: Nein. Wenn nicht angegeben, wird der Benutzer zur Eingabe der Clientnummer aufgefordert.
Erklärung: Gibt die Clientnummer des Clients an, mit dem eine Verbindung hergestellt werden soll.
Nachrichtenserverhost
Parametername:--messageserverhost
Parameterwerte:<servername>
Erforderlich: Ja, wenn der ABAP-Serververbindungsmodus auf mserv
festgelegt ist.
Erklärung: Gibt den Hostnamen/die IP-Adresse des Nachrichtenservers an, mit der eine Verbindung hergestellt werden soll. Kann nur verwendet werden, wenn der ABAP-Serververbindungsmodus auf mserv
festgelegt ist.
Port des Nachrichtenservers
Parametername:--messageserverport
Parameterwerte:<portnumber>
Erforderlich: Ja, wenn der ABAP-Serververbindungsmodus auf mserv
festgelegt ist.
Erklärung: Gibt den Dienstnamen (Port) des Nachrichtenservers an, mit dem eine Verbindung hergestellt werden soll. Kann nur verwendet werden, wenn der ABAP-Serververbindungsmodus auf mserv
festgelegt ist.
Anmeldegruppe
Parametername:--logongroup
Parameterwerte:<logon group>
Erforderlich: Ja, wenn der ABAP-Serververbindungsmodus auf mserv
festgelegt ist.
Erläuterung: Gibt die Anmeldegruppe an, die beim Herstellen einer Verbindung mit einem Nachrichtenserver verwendet werden soll. Kann nur verwendet werden, wenn der ABAP-Serververbindungsmodus auf mserv
festgelegt ist. Wenn der Name der Anmeldegruppe Leerzeichen enthält, sollte er in doppelten Anführungszeichen übergeben werden, wie im Beispiel --logongroup "my logon group"
.
Anmeldungsbenutzername
Parametername:--sapusername
Parameterwerte:<username>
Erforderlich: Nein. Wenn nicht angegeben, wird der Benutzer zur Eingabe des Benutzernamens aufgefordert, wenn er SNC (X.509) nicht für die Authentifizierung verwendet.
Erläuterung: Benutzername, der für die Authentifizierung beim USERNAME-Server verwendet wird.
Anmeldekennwort
Parametername:--sappassword
Parameterwerte:<password>
Erforderlich: Nein. Wenn nicht angegeben, wird der Benutzer zur Eingabe des Kennworts aufgefordert, wenn er SNC (X.509) nicht für die Authentifizierung verwendet. Die Kennworteingabe ist maskiert.
Erläuterung: Kennwort für die Authentifizierung beim SQL-Server.
Speicherort der NetWeaver SDK-Datei
Parametername:--sdk
Parameterwerte:<filename>
Erforderlich: Nein. Das Skript versucht, die Datei "nwrfc*.zip" im aktuellen Ordner zu suchen. Wenn er nicht gefunden wird, wird der Benutzer aufgefordert, eine gültige NetWeaver SDK-Archivdatei anzugeben.
Erklärung: NetWeaver SDK-Dateipfad. Ein gültiges SDK ist für den Betrieb des Datensammlers erforderlich. Weitere Informationen finden Sie unter Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen®.
Unternehmensanwendungs-ID
Parametername:--appid
Parameterwerte:<guid>
Erforderlich: Ja, wenn der Ort des Geheimnisspeichers auf kvsi
festgelegt ist.
Erklärung: Wenn der Authentifizierungsmodus von Azure Key Vault auf kvsi
festgelegt ist, erfolgt die Authentifizierung beim Schlüsseltresor mithilfe einer Unternehmensanwendungsidentität (Dienstprinzipal). Dieser Parameter gibt die Anwendungs-ID an.
Unternehmensanwendungsgeheimnis
Parametername:--appsecret
Parameterwerte:<secret>
Erforderlich: Ja, wenn der Ort des Geheimnisspeichers auf kvsi
festgelegt ist.
Erklärung: Wenn der Authentifizierungsmodus von Azure Key Vault auf kvsi
festgelegt ist, erfolgt die Authentifizierung beim Schlüsseltresor mithilfe einer Unternehmensanwendungsidentität (Dienstprinzipal). Dieser Parameter gibt das Anwendungsgeheimnis an.
Mandanten-ID
Parametername:--tenantid
Parameterwerte:<guid>
Erforderlich: Ja, wenn der Ort des Geheimnisspeichers auf kvsi
festgelegt ist.
Erklärung: Wenn der Authentifizierungsmodus von Azure Key Vault auf kvsi
festgelegt ist, erfolgt die Authentifizierung beim Schlüsseltresor mithilfe einer Unternehmensanwendungsidentität (Dienstprinzipal). Dieser Parameter gibt die Microsoft Entra-Mandanten-ID an.
Schlüsseltresorname
Parametername:--kvaultname
Parameterwerte:<key vaultname>
Erforderlich: Nein. Wenn der Speicherort des geheimen Schlüssels auf kvsi
oder kvmi
, wird das Skript aufgefordert, den Wert anzugeben, falls nicht angegeben.
Erläuterung: Wenn der Speicherort des geheimen Schlüssels auf kvsi
den Schlüsseltresor kvmi
(im FQDN-Format) festgelegt ist, sollte hier eingegeben werden.
ID des Log Analytics-Arbeitsbereichs
Parametername:--loganalyticswsid
Parameterwerte:<id>
Erforderlich: Nein. Wenn nicht angegeben, fordert das Skript die Arbeitsbereichs-ID an.
Erläuterung: Log Analytics-Arbeitsbereichs-ID, an die der Datensammler die Daten sendet. Zum Auffinden der Arbeitsbereichs-ID suchen Sie den Log Analytics-Arbeitsbereich im Azure-Portal: Öffnen Sie Microsoft Sentinel, wählen Sie im Abschnitt Konfiguration die Option Einstellungen aus, wählen Sie Arbeitsbereichseinstellungen und dann Agent-Verwaltung aus.
Log Analytics-Schlüssel
Parametername:--loganalyticskey
Parameterwerte:<key>
Erforderlich: Nein. Wenn nicht angegeben, werden Skriptaufforderungen für den Arbeitsbereichsschlüssel angezeigt. Die Eingabe ist maskiert.
Erläuterung: Primärer oder sekundärer Schlüssel des Log Analytics-Arbeitsbereichs, an den der Datensammler die Daten sendet. Zum Auffinden des primären oder sekundären Schlüssels suchen Sie den Log Analytics-Arbeitsbereich im Azure-Portal: Öffnen Sie Microsoft Sentinel, wählen Sie im Abschnitt Konfiguration die Option Einstellungen aus, wählen Sie Arbeitsbereichseinstellungen und dann Agent-Verwaltung aus.
Verwenden von X.509 (SNC) für die Authentifizierung
Parametername:--use-snc
Parameterwerte: Keine
Erforderlich: Nein. Wenn nicht angegeben, wird der Benutzername und das Kennwort für die Authentifizierung verwendet. Wenn angegeben, sind die Schalter --cryptolib
, --sapgenpse
, eine Kombination aus entweder --client-cert
und --client-key
, oder --client-pfx
und --client-pfx-passwd
sowie --server-cert
und in bestimmten Fällen auch --cacert
erforderlich.
Erläuterung: Gibt an, dass die X.509-Authentifizierung verwendet wird, um eine Verbindung mit dem USERNAME/Password-Authentifizierung herzustellen. Weitere Informationen finden Sie unter Bereitstellen des Microsoft Sentinel für SAP-Datenconnectors mithilfe von SNC.
Pfad der SAP-Kryptografiebibliothek
Parametername:--cryptolib
Parameterwerte:<sapcryptolibfilename>
Erforderlich: Ja, wenn --use-snc
angegeben ist.
Erklärung: Speicherort und Dateiname der SAP-Kryptografiebibliothek (libsapcrypto.so).
SAPGENPSE-Toolpfad
Parametername:--sapgenpse
Parameterwerte:<sapgenpsefilename>
Erforderlich: Ja, wenn --use-snc
angegeben ist.
Erklärung: Speicherort und Dateiname des Sapgenpse-Tools zum Erstellen und Verwalten von PSE-Dateien und SSO-Anmeldeinformationen.
Pfad des öffentlichen Schlüssels des Clientzertifikats
Parametername:--client-cert
Parameterwerte:<client certificate filename>
Erforderlich: Ja, wenn --use-snc
und das Zertifikat im Base-64-Format „.crt/.key“ vorliegen.
Erklärung: Speicherort und Dateiname des öffentlichen Base-64-Clientzertifikats. Wenn das Clientzertifikat im PFX-Format vorliegt, verwenden Sie stattdessen den Schalter --client-pfx
.
Pfad des privaten Schlüssels des Clientzertifikats
Parametername:--client-key
Parameterwerte:<client key filename>
Erforderlich: Ja, wenn --use-snc
angegeben ist und der Schlüssel im Base-64-Format „.crt/.key“ vorliegt.
Erklärung: Speicherort und Dateiname des privaten Base-64-Clientschlüssels. Wenn das Clientzertifikat im PFX-Format vorliegt, verwenden Sie stattdessen den Schalter --client-pfx
.
Ausstellungs-/Stammzertifizierungsstellen-Zertifikate
Parametername:--cacert
Parameterwerte:<trusted ca cert>
Erforderlich: Ja, wenn --use-snc
angegeben ist und das Zertifikat von einer Unternehmenszertifizierungsstelle ausgestellt wird.
Erläuterung: Wenn das Zertifikat selbstsigniert ist, hat es keine ausstellende Zertifizierungsstelle, sodass keine Vertrauenskette vorhanden ist, die überprüft werden muss. Wenn das Zertifikat von einer Unternehmenszertifizierungsstelle ausgestellt wird, müssen das Zertifikat der ausstellenden Zertifizierungsstelle und alle Zertifizierungsstellenzertifikate auf höherer Ebene überprüft werden. Verwenden Sie separate Instanzen des --cacert
-Schalters für jede Zertifizierungsstelle in der Vertrauenskette, und geben Sie die vollständigen Dateinamen der öffentlichen Zertifikate der Unternehmenszertifizierungsstellen an.
Pfad des PFX-Clientzertifikats
Parametername:--client-pfx
Parameterwerte:<pfx filename>
Erforderlich: Ja, wenn --use-snc
und der Schlüssel im .pfx/.p12-Format vorliegen.
Erklärung: Speicherort und Dateiname des PFX-Clientzertifikats.
Kennwort des PFX-Clientzertifikats
Parametername:--client-pfx-passwd
Parameterwerte:<password>
Erforderlich: Ja, falls --use-snc
verwendet wird, das Zertifikat im .pfx/.p12-Format vorliegt und das Zertifikat durch ein Kennwort geschützt ist.
Erklärung: PFX/P12-Dateikennwort.
Serverzertifikat
Parametername:--server-cert
Parameterwerte:<server certificate filename>
Erforderlich: Ja, wenn --use-snc
verwendet wird.
Erläuterung: Vollständiger Pfad und Name des ABAP-Serverzertifikats.
HTTP-Proxyserver-URL
Parametername:--http-proxy
Parameterwerte:<proxy url>
Erforderlich: Nein
Erläuterung: Container, die keine direkte Verbindung mit Microsoft Azure-Diensten herstellen können und eine Verbindung über einen Proxyserver erfordern, erfordern --http-proxy
einen Switch zum Definieren der Proxy-URL für den Container. Das Format der Proxy-URL lautet http://hostname:port
.
Host-basiertes Netzwerk
Parametername:--hostnetwork
Erforderlich: Nein.
Erläuterung: Wenn dieser Switch angegeben ist, verwendet der Agent die hostbasierte Netzwerkkonfiguration. Dadurch können interne DNS-Auflösungsprobleme in einigen Fällen behoben werden.
Alle Aufforderungen bestätigen
Parametername:--confirm-all-prompts
Parameterwerte: Keine
Erforderlich: Nein
Erläuterung: Wenn die --confirm-all-prompts
Option angegeben ist, hält das Skript für benutzerspezifische Bestätigungen nicht an und fordert nur auf, wenn Benutzereingaben erforderlich sind. Verwenden Sie den Schalter --confirm-all-prompts
, um eine Bereitstellung ohne Benutzereingriff zu erzielen.
Vorschaubuild des Containers verwenden
Parametername:--preview
Parameterwerte: Keine
Erforderlich: Nein
Erläuterung: Standardmäßig stellt das Kickstartskript für die Containerbereitstellung den Container mit dem :latest
Tag bereit. Öffentliche Vorschaufeatures werden am :latest-preview
Tag veröffentlicht. Wenn Sie sicherstellen möchten, dass das Containerbereitstellungsskript die öffentliche Vorschauversion des Containers verwendet, geben Sie den Schalter --preview
an.
Nächste Schritte
Erfahren Sie mehr über die Microsoft Sentinel-Lösung für SAP®-Anwendungen:
- Microsoft Sentinel-Lösung für SAP®-Anwendungen bereitstellen
- Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP®-Anwendungen
- Bereitstellen von SAP-Änderungsanforderungen (CRs) und Konfigurieren der Autorisierung
- Bereitstellen des Lösungsinhalts über den Inhaltshub
- Bereitstellen und Konfigurieren des Containers für den SAP-Datenconnector-Agent
- Bereitstellen des Microsoft Sentinel-Datenconnectors für SAP mit SNC
- Überwachen der Integrität Ihres SAP-Systems
- Aktivieren und Konfigurieren von SAP-Überwachung
- Erfassen von SAP HANA-Überwachungsprotokollen
Problembehandlung:
Referenzdateien:
- Datenreferenz für die Microsoft Sentinel-Lösung für SAP®-Anwendungen
- Microsoft Sentinel-Lösung für SAP®-Anwendungen: Referenz zu sicherheitsbezogenen Inhalten
- Referenz zum Updateskript
- Referenz zur Datei „Systemconfig.ini“
Weitere Informationen finden Sie unter Microsoft Sentinel-Lösungen.