Referensi skrip awal
Ringkasan skrip
Sederhanakan penyebaran kontainer yang menghosting konektor data SAP dengan menggunakan skrip Kickstart yang disediakan (tersedia di solusi Microsoft Sentinel untuk aplikasi SAP® GitHub), yang juga dapat mengaktifkan mode penyimpanan rahasia yang berbeda, mengonfigurasi Komunikasi Jaringan Aman (SNC), dan banyak lagi.
Referensi parameter
Parameter berikut dapat dikonfigurasi. Anda dapat melihat contoh bagaimana parameter ini digunakan dalam Menyebarkan dan mengonfigurasi kontainer yang menghosting agen konektor data SAP.
Lokasi penyimpanan rahasia
Nama parameter:--keymode
Nilai parameter:kvmi
, kvsi
, cfgf
Diperlukan: Tidak. kvmi
diasumsikan secara default.
Penjelasan: Menentukan apakah rahasia (nama pengguna, kata sandi, ID analitik log, dan kunci bersama) harus disimpan dalam file konfigurasi lokal, atau di Azure Key Vault. Juga mengontrol apakah autentikasi ke Azure Key Vault dilakukan menggunakan identitas terkelola yang ditetapkan sistem Azure VM atau identitas aplikasi terdaftar Microsoft Entra.
Jika diatur ke kvmi
, Azure Key Vault digunakan untuk menyimpan rahasia, dan autentikasi ke Azure Key Vault dilakukan menggunakan identitas terkelola yang ditetapkan sistem Azure mesin virtual.
Jika diatur ke kvsi
, Azure Key Vault digunakan untuk menyimpan rahasia, dan autentikasi ke Azure Key Vault dilakukan menggunakan identitas aplikasi terdaftar Microsoft Entra. Penggunaan kvsi
mode memerlukan --appid
nilai , --appsecret
, dan --tenantid
.
Jika diatur ke cfgf
, file konfigurasi yang disimpan secara lokal digunakan untuk menyimpan rahasia.
Mode koneksi server ABAP
Nama parameter:--connectionmode
Nilai parameter:abap
, mserv
Diperlukan: Tidak. Jika tidak ditentukan, nilai default-nya adalah abap
.
Penjelasan: Menentukan apakah agen pengumpul data harus terhubung ke server ABAP secara langsung, atau melalui server pesan. Gunakan abap
untuk membuat agen terhubung langsung ke server ABAP, yang namanya dapat Anda tentukan menggunakan --abapserver
parameter (meskipun jika tidak, Anda masih diminta untuk itu). Gunakan mserv
untuk terhubung melalui server pesan, dalam hal ini Anda harus menentukan parameter --messageserverhost
, --messageserverport
, dan --logongroup
.
Lokasi folder konfigurasi
Nama parameter:--configpath
Nilai parameter:<path>
Diperlukan: Tidak, /opt/sapcon/<SID>
diasumsikan jika tidak ditentukan.
Penjelasan: Secara default, permulaan menginisialisasi file konfigurasi, lokasi metadata ke /opt/sapcon/<SID>
. Untuk mengatur lokasi alternatif konfigurasi dan metadata, gunakan parameter --configpath
.
Alamat server ABAP
Nama parameter:--abapserver
Nilai parameter:<servername>
Diperlukan: Tidak. Jika parameter tidak ditentukan dan jika parameter mode koneksi server ABAP diatur ke abap
, Anda akan dimintai nama host/alamat IP server.
Penjelasan: Digunakan hanya jika mode koneksi diatur ke abap
, parameter ini berisi Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN), nama pendek, atau alamat IP server ABAP yang akan disambungkan.
Nomor instans sistem
Nama parameter:--systemnr
Nilai parameter:<system number>
Diperlukan: Tidak. Jika tidak ditentukan, pengguna akan dimintai nomor sistem.
Penjelasan: Menentukan nomor instans sistem SAP yang akan disambungkan.
ID Sistem
Nama parameter:--sid
Nilai parameter:<SID>
Diperlukan: Tidak. Jika tidak ditentukan, pengguna akan dimintai ID sistem.
Penjelasan: Menentukan nomor ID sistem SAP yang akan disambungkan.
Nomor klien
Nama parameter:--clientnumber
Nilai parameter:<client number>
Diperlukan: Tidak. Jika tidak ditentukan, pengguna akan dimintai nomor klien.
Penjelasan: Menentukan nomor klien yang akan disambungkan.
Host Server Pesan
Nama parameter:--messageserverhost
Nilai parameter:<servername>
Diperlukan: Ya, jika mode koneksi server ABAP diatur ke mserv
.
Penjelasan: Menentukan nama host/alamat IP server pesan yang akan disambungkan. Hanya dapat digunakan jika mode koneksi server ABAP diatur ke mserv
.
Port Server Pesan
Nama parameter:--messageserverport
Nilai parameter:<portnumber>
Diperlukan: Ya, jika mode koneksi server ABAP diatur ke mserv
.
Penjelasan: Menentukan nama layanan (port) server pesan yang akan disambungkan. Hanya dapat digunakan jika mode koneksi server ABAP diatur ke mserv
.
Grup masuk
Nama parameter:--logongroup
Nilai parameter:<logon group>
Diperlukan: Ya, jika mode koneksi server ABAP diatur ke mserv
.
Penjelasan: Menentukan grup masuk yang akan digunakan saat menyambungkan ke server pesan. Hanya dapat digunakan jika mode koneksi server ABAP diatur ke mserv
. Jika nama grup masuk berisi spasi, mereka harus diteruskan dalam tanda kutip ganda, seperti dalam contoh --logongroup "my logon group"
.
Nama pengguna masuk
Nama parameter:--sapusername
Nilai parameter:<username>
Diperlukan: Tidak. Jika tidak disediakan, pengguna diminta untuk nama pengguna jika mereka tidak menggunakan SNC (X.509) untuk autentikasi.
Penjelasan: Nama pengguna yang digunakan untuk mengautentikasi ke server ABAP.
Kata sandi masuk
Nama parameter:--sappassword
Nilai parameter:<password>
Diperlukan: Tidak. Jika tidak disediakan, pengguna dimintai kata sandi, jika mereka tidak menggunakan SNC (X.509) untuk autentikasi. Input kata sandi ditutupi.
Penjelasan: Kata sandi yang digunakan untuk mengautentikasi ke server ABAP.
Lokasi file NetWeaver SDK
Nama parameter:--sdk
Nilai parameter:<filename>
Diperlukan: Tidak. Skrip mencoba menemukan file nwrfc*.zip di folder saat ini. Jika tidak ditemukan, pengguna diminta untuk menyediakan file arsip NetWeaver SDK yang valid.
Penjelasan: Jalur file NetWeaver SDK. SDK yang valid diperlukan agar pengumpul data dapat beroperasi. Untuk informasi selengkapnya, lihat Prasyarat untuk menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP®.
ID Aplikasi Enterprise
Nama parameter:--appid
Nilai parameter:<guid>
Diperlukan: Ya, jika Lokasi penyimpanan rahasia diatur ke kvsi
.
Penjelasan: Jika mode autentikasi Azure Key Vault diatur ke kvsi
, autentikasi ke brankas kunci dilakukan menggunakan identitas aplikasi perusahaan (perwakilan layanan). Parameter ini menentukan ID aplikasi.
Rahasia Aplikasi Enterprise
Nama parameter:--appsecret
Nilai parameter:<secret>
Diperlukan: Ya, jika Lokasi penyimpanan rahasia diatur ke kvsi
.
Penjelasan: Jika mode autentikasi Azure Key Vault diatur ke kvsi
, autentikasi ke brankas kunci dilakukan menggunakan identitas aplikasi perusahaan (perwakilan layanan). Parameter ini menentukan rahasia aplikasi.
ID Penyewa
Nama parameter:--tenantid
Nilai parameter:<guid>
Diperlukan: Ya, jika Lokasi penyimpanan rahasia diatur ke kvsi
.
Penjelasan: Jika mode autentikasi Azure Key Vault diatur ke kvsi
, autentikasi ke brankas kunci dilakukan menggunakan identitas aplikasi perusahaan (perwakilan layanan). Parameter ini menentukan ID penyewa Microsoft Entra.
Nama Key Vault
Nama parameter:--kvaultname
Nilai parameter:<key vaultname>
Diperlukan: Tidak. Jika Lokasi penyimpanan Rahasia diatur ke kvsi
atau kvmi
, skrip akan meminta nilai jika tidak disediakan.
Penjelasan: Jika Lokasi penyimpanan Rahasia diatur ke kvsi
atau kvmi
, nama brankas kunci (dalam format FQDN) harus dimasukkan di sini.
ID ruang kerja Log Analytics
Nama parameter:--loganalyticswsid
Nilai parameter:<id>
Diperlukan: Tidak. Jika tidak disediakan, skrip akan meminta ID ruang kerja.
Penjelasan: ID ruang kerja Analitik Log tempat pengumpul data mengirim data. Untuk menemukan ID ruang kerja, cari ruang kerja Log Analytics di portal Azure: buka Microsoft Sentinel, pilih Setelan di bagian Konfigurasi, pilih Setelan ruang kerja, lalu pilih Manajemen Agen.
Kunci Log Analytics
Nama parameter:--loganalyticskey
Nilai parameter:<key>
Diperlukan: Tidak. Jika tidak disediakan, skrip akan meminta kunci ruang kerja. Input ditutupi.
Penjelasan: Kunci primer atau sekunder ruang kerja Analitik Log tempat pengumpul data mengirim data. Untuk menemukan Kunci Primer atau Sekunder ruang kerja, cari ruang kerja Log Analytics di portal Azure: buka Microsoft Sentinel, pilih Setelan di bagian Konfigurasi, pilih Setelan ruang kerja, lalu pilih Manajemen Agen.
Menggunakan X.509 (SNC) untuk autentikasi
Nama parameter:--use-snc
Nilai parameter: Tidak ada
Diperlukan: Tidak. Jika tidak ditentukan, nama pengguna dan kata sandi digunakan untuk autentikasi. Jika ditentukan, --cryptolib
, --sapgenpse
, kombinasi --client-cert
dan --client-key
, atau --client-pfx
dan --client-pfx-passwd
serta --server-cert
, dan dalam kasus tertentu switch --cacert
diperlukan.
Penjelasan: Menentukan bahwa autentikasi X.509 digunakan untuk menyambungkan ke server ABAP, bukan autentikasi nama pengguna/kata sandi. Untuk informasi selengkapnya, lihat Menyebarkan konektor data Microsoft Sentinel untuk SAP dengan menggunakan SNC.
Jalur pustaka Kriptografi SAP
Nama parameter:--cryptolib
Nilai parameter:<sapcryptolibfilename>
Diperlukan: Ya, jika --use-snc
ditentukan.
Penjelasan: Lokasi dan nama file pustaka Kriptografi SAP (libsapcrypto.so).
Jalur alat SAPGENPSE
Nama parameter:--sapgenpse
Nilai parameter:<sapgenpsefilename>
Diperlukan: Ya, jika --use-snc
ditentukan.
Penjelasan: Lokasi dan nama file alat sapgenpse untuk pembuatan dan pengelolaan file PSE dan info masuk SSO.
Jalur kunci umum sertifikat klien
Nama parameter:--client-cert
Nilai parameter:<client certificate filename>
Diperlukan: Ya, jika --use-snc
dan sertifikat dalam format base-64 .crt/.key.
Penjelasan: Lokasi dan nama file sertifikat publik klien base-64. Jika sertifikat klien dalam format .pfx, gunakan switch --client-pfx
sebagai gantinya.
Jalur kunci privat sertifikat klien
Nama parameter:--client-key
Nilai parameter:<client key filename>
Diperlukan: Ya, jika --use-snc
ditentukan dan kunci dalam format base-64 .crt/.key.
Penjelasan: Lokasi dan nama file kunci privat klien base-64. Jika sertifikat klien dalam format .pfx, gunakan switch --client-pfx
sebagai gantinya.
Sertifikat Otoritas Sertifikasi Penerbit/akar
Nama parameter:--cacert
Nilai parameter:<trusted ca cert>
Diperlukan: Ya, jika --use-snc
ditentukan dan sertifikat diterbitkan oleh otoritas sertifikasi perusahaan.
Penjelasan: Jika sertifikat ditandatangani sendiri, sertifikat tidak memiliki CA penerbitan, sehingga tidak ada rantai kepercayaan yang perlu divalidasi. Jika sertifikat dikeluarkan oleh CA perusahaan, sertifikat CA penerbit dan sertifikat CA tingkat yang lebih tinggi perlu divalidasi. Gunakan instans switch --cacert
terpisah untuk setiap CA dalam rantai kepercayaan, dan berikan nama file lengkap sertifikat publik otoritas sertifikat perusahaan.
Jalur sertifikat PFX klien
Nama parameter:--client-pfx
Nilai parameter:<pfx filename>
Diperlukan: Ya, jika --use-snc
dan kunci dalam format .pfx/.p12.
Penjelasan: Lokasi dan nama file sertifikat klien pfx.
Kata sandi sertifikat PFX klien
Nama parameter:--client-pfx-passwd
Nilai parameter:<password>
Diperlukan: Ya, jika --use-snc
digunakan, sertifikat dalam format .pfx/.p12, dan sertifikat dilindungi oleh kata sandi.
Penjelasan: Kata sandi file PFX/P12.
Sertifikat server
Nama parameter:--server-cert
Nilai parameter:<server certificate filename>
Diperlukan: Ya, jika --use-snc
digunakan.
Penjelasan: Jalur dan nama lengkap sertifikat server ABAP.
URL server proksi HTTP
Nama parameter:--http-proxy
Nilai parameter:<proxy url>
Diperlukan: Tidak
Penjelasan: Kontainer yang tidak dapat membuat koneksi ke layanan Microsoft Azure secara langsung dan memerlukan koneksi melalui server proksi memerlukan --http-proxy
pengalihan untuk menentukan url proksi untuk kontainer. Format url proksi adalah http://hostname:port
.
Jaringan Berbasis Host
Nama parameter:--hostnetwork
Diperlukan: Tidak.
Penjelasan: Jika sakelar ini ditentukan, agen menggunakan konfigurasi jaringan berbasis host. Ini dapat menyelesaikan masalah resolusi DNS internal dalam beberapa kasus.
Mengonfirmasi semua perintah
Nama parameter:--confirm-all-prompts
Nilai parameter: Tidak ada
Diperlukan: Tidak
Penjelasan: Jika --confirm-all-prompts
sakelar ditentukan, skrip tidak dijeda untuk konfirmasi pengguna apa pun dan hanya meminta jika input pengguna diperlukan. Gunakan switch --confirm-all-prompts
untuk mencapai penyebaran tanpa sentuhan.
Menggunakan build pratinjau kontainer
Nama parameter:--preview
Nilai parameter: Tidak ada
Diperlukan: Tidak
Penjelasan: Secara default, skrip kickstart penyebaran kontainer menyebarkan kontainer dengan :latest
tag. Fitur pratinjau publik diterbitkan ke :latest-preview
tag. Untuk memastikan skrip penyebaran kontainer menggunakan versi pratinjau umum kontainer, tentukan switch --preview
.
Langkah berikutnya
Pelajari selengkapnya tentang solusi Microsoft Azure Sentinel untuk aplikasi SAP®:
- Menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP®
- Prasyarat untuk menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP®
- Menyebarkan Permintaan Perubahan (CR) SAP dan mengonfigurasi otorisasi
- Menyebarkan konten solusi dari hub konten
- Menyebarkan dan mengonfigurasikan kontainer yang menghosting agen konektor data SAP
- Menyebarkan konektor data Microsoft Sentinel untuk SAP dengan SNC
- Memantau kesehatan sistem SAP Anda
- Mengaktifkan dan mengonfigurasi audit SAP
- Mengumpulkan log audit SAP Hana
Pemecahan Masalah:
File referensi:
- Solusi Microsoft Azure Sentinel untuk referensi data aplikasi SAP®
- Solusi Microsoft Azure Sentinel untuk aplikasi SAP®: referensi konten keamanan
- Referensi skrip pembaruan
- Referensi file systemconfig.ini
Untuk mengetahui informasi selengkapnya, lihat Solusi Microsoft Sentinel.