Referensi skrip awal

Ringkasan skrip

Sederhanakan penyebaran kontainer yang menghosting konektor data SAP dengan menggunakan skrip Kickstart yang disediakan (tersedia di solusi Microsoft Sentinel untuk aplikasi SAP® GitHub), yang juga dapat mengaktifkan mode penyimpanan rahasia yang berbeda, mengonfigurasi Komunikasi Jaringan Aman (SNC), dan banyak lagi.

Referensi parameter

Parameter berikut dapat dikonfigurasi. Anda dapat melihat contoh bagaimana parameter ini digunakan dalam Menyebarkan dan mengonfigurasi kontainer yang menghosting agen konektor data SAP.

Lokasi penyimpanan rahasia

Nama parameter:--keymode

Nilai parameter:kvmi, kvsi, cfgf

Diperlukan: Tidak. kvmi diasumsikan secara default.

Penjelasan: Menentukan apakah rahasia (nama pengguna, kata sandi, ID analitik log, dan kunci bersama) harus disimpan dalam file konfigurasi lokal, atau di Azure Key Vault. Juga mengontrol apakah autentikasi ke Azure Key Vault dilakukan menggunakan identitas terkelola yang ditetapkan sistem Azure VM atau identitas aplikasi terdaftar Microsoft Entra.

Jika diatur ke kvmi, Azure Key Vault digunakan untuk menyimpan rahasia, dan autentikasi ke Azure Key Vault dilakukan menggunakan identitas terkelola yang ditetapkan sistem Azure mesin virtual.

Jika diatur ke kvsi, Azure Key Vault digunakan untuk menyimpan rahasia, dan autentikasi ke Azure Key Vault dilakukan menggunakan identitas aplikasi terdaftar Microsoft Entra. Penggunaan kvsi mode memerlukan --appidnilai , --appsecret, dan --tenantid .

Jika diatur ke cfgf, file konfigurasi yang disimpan secara lokal digunakan untuk menyimpan rahasia.

Mode koneksi server ABAP

Nama parameter:--connectionmode

Nilai parameter:abap, mserv

Diperlukan: Tidak. Jika tidak ditentukan, nilai default-nya adalah abap.

Penjelasan: Menentukan apakah agen pengumpul data harus terhubung ke server ABAP secara langsung, atau melalui server pesan. Gunakan abap untuk membuat agen terhubung langsung ke server ABAP, yang namanya dapat Anda tentukan menggunakan --abapserver parameter (meskipun jika tidak, Anda masih diminta untuk itu). Gunakan mserv untuk terhubung melalui server pesan, dalam hal ini Anda harus menentukan parameter --messageserverhost, --messageserverport, dan --logongroup.

Lokasi folder konfigurasi

Nama parameter:--configpath

Nilai parameter:<path>

Diperlukan: Tidak, /opt/sapcon/<SID> diasumsikan jika tidak ditentukan.

Penjelasan: Secara default, permulaan menginisialisasi file konfigurasi, lokasi metadata ke /opt/sapcon/<SID>. Untuk mengatur lokasi alternatif konfigurasi dan metadata, gunakan parameter --configpath.

Alamat server ABAP

Nama parameter:--abapserver

Nilai parameter:<servername>

Diperlukan: Tidak. Jika parameter tidak ditentukan dan jika parameter mode koneksi server ABAP diatur ke abap, Anda akan dimintai nama host/alamat IP server.

Penjelasan: Digunakan hanya jika mode koneksi diatur ke abap, parameter ini berisi Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN), nama pendek, atau alamat IP server ABAP yang akan disambungkan.

Nomor instans sistem

Nama parameter:--systemnr

Nilai parameter:<system number>

Diperlukan: Tidak. Jika tidak ditentukan, pengguna akan dimintai nomor sistem.

Penjelasan: Menentukan nomor instans sistem SAP yang akan disambungkan.

ID Sistem

Nama parameter:--sid

Nilai parameter:<SID>

Diperlukan: Tidak. Jika tidak ditentukan, pengguna akan dimintai ID sistem.

Penjelasan: Menentukan nomor ID sistem SAP yang akan disambungkan.

Nomor klien

Nama parameter:--clientnumber

Nilai parameter:<client number>

Diperlukan: Tidak. Jika tidak ditentukan, pengguna akan dimintai nomor klien.

Penjelasan: Menentukan nomor klien yang akan disambungkan.

Host Server Pesan

Nama parameter:--messageserverhost

Nilai parameter:<servername>

Diperlukan: Ya, jika mode koneksi server ABAP diatur ke mserv.

Penjelasan: Menentukan nama host/alamat IP server pesan yang akan disambungkan. Hanya dapat digunakan jika mode koneksi server ABAP diatur ke mserv.

Port Server Pesan

Nama parameter:--messageserverport

Nilai parameter:<portnumber>

Diperlukan: Ya, jika mode koneksi server ABAP diatur ke mserv.

Penjelasan: Menentukan nama layanan (port) server pesan yang akan disambungkan. Hanya dapat digunakan jika mode koneksi server ABAP diatur ke mserv.

Grup masuk

Nama parameter:--logongroup

Nilai parameter:<logon group>

Diperlukan: Ya, jika mode koneksi server ABAP diatur ke mserv.

Penjelasan: Menentukan grup masuk yang akan digunakan saat menyambungkan ke server pesan. Hanya dapat digunakan jika mode koneksi server ABAP diatur ke mserv. Jika nama grup masuk berisi spasi, mereka harus diteruskan dalam tanda kutip ganda, seperti dalam contoh --logongroup "my logon group".

Nama pengguna masuk

Nama parameter:--sapusername

Nilai parameter:<username>

Diperlukan: Tidak. Jika tidak disediakan, pengguna diminta untuk nama pengguna jika mereka tidak menggunakan SNC (X.509) untuk autentikasi.

Penjelasan: Nama pengguna yang digunakan untuk mengautentikasi ke server ABAP.

Kata sandi masuk

Nama parameter:--sappassword

Nilai parameter:<password>

Diperlukan: Tidak. Jika tidak disediakan, pengguna dimintai kata sandi, jika mereka tidak menggunakan SNC (X.509) untuk autentikasi. Input kata sandi ditutupi.

Penjelasan: Kata sandi yang digunakan untuk mengautentikasi ke server ABAP.

Lokasi file NetWeaver SDK

Nama parameter:--sdk

Nilai parameter:<filename>

Diperlukan: Tidak. Skrip mencoba menemukan file nwrfc*.zip di folder saat ini. Jika tidak ditemukan, pengguna diminta untuk menyediakan file arsip NetWeaver SDK yang valid.

Penjelasan: Jalur file NetWeaver SDK. SDK yang valid diperlukan agar pengumpul data dapat beroperasi. Untuk informasi selengkapnya, lihat Prasyarat untuk menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP®.

ID Aplikasi Enterprise

Nama parameter:--appid

Nilai parameter:<guid>

Diperlukan: Ya, jika Lokasi penyimpanan rahasia diatur ke kvsi.

Penjelasan: Jika mode autentikasi Azure Key Vault diatur ke kvsi, autentikasi ke brankas kunci dilakukan menggunakan identitas aplikasi perusahaan (perwakilan layanan). Parameter ini menentukan ID aplikasi.

Rahasia Aplikasi Enterprise

Nama parameter:--appsecret

Nilai parameter:<secret>

Diperlukan: Ya, jika Lokasi penyimpanan rahasia diatur ke kvsi.

Penjelasan: Jika mode autentikasi Azure Key Vault diatur ke kvsi, autentikasi ke brankas kunci dilakukan menggunakan identitas aplikasi perusahaan (perwakilan layanan). Parameter ini menentukan rahasia aplikasi.

ID Penyewa

Nama parameter:--tenantid

Nilai parameter:<guid>

Diperlukan: Ya, jika Lokasi penyimpanan rahasia diatur ke kvsi.

Penjelasan: Jika mode autentikasi Azure Key Vault diatur ke kvsi, autentikasi ke brankas kunci dilakukan menggunakan identitas aplikasi perusahaan (perwakilan layanan). Parameter ini menentukan ID penyewa Microsoft Entra.

Nama Key Vault

Nama parameter:--kvaultname

Nilai parameter:<key vaultname>

Diperlukan: Tidak. Jika Lokasi penyimpanan Rahasia diatur ke kvsi atau kvmi, skrip akan meminta nilai jika tidak disediakan.

Penjelasan: Jika Lokasi penyimpanan Rahasia diatur ke kvsi atau kvmi, nama brankas kunci (dalam format FQDN) harus dimasukkan di sini.

ID ruang kerja Log Analytics

Nama parameter:--loganalyticswsid

Nilai parameter:<id>

Diperlukan: Tidak. Jika tidak disediakan, skrip akan meminta ID ruang kerja.

Penjelasan: ID ruang kerja Analitik Log tempat pengumpul data mengirim data. Untuk menemukan ID ruang kerja, cari ruang kerja Log Analytics di portal Azure: buka Microsoft Sentinel, pilih Setelan di bagian Konfigurasi, pilih Setelan ruang kerja, lalu pilih Manajemen Agen.

Kunci Log Analytics

Nama parameter:--loganalyticskey

Nilai parameter:<key>

Diperlukan: Tidak. Jika tidak disediakan, skrip akan meminta kunci ruang kerja. Input ditutupi.

Penjelasan: Kunci primer atau sekunder ruang kerja Analitik Log tempat pengumpul data mengirim data. Untuk menemukan Kunci Primer atau Sekunder ruang kerja, cari ruang kerja Log Analytics di portal Azure: buka Microsoft Sentinel, pilih Setelan di bagian Konfigurasi, pilih Setelan ruang kerja, lalu pilih Manajemen Agen.

Menggunakan X.509 (SNC) untuk autentikasi

Nama parameter:--use-snc

Nilai parameter: Tidak ada

Diperlukan: Tidak. Jika tidak ditentukan, nama pengguna dan kata sandi digunakan untuk autentikasi. Jika ditentukan, --cryptolib, --sapgenpse, kombinasi --client-cert dan --client-key, atau --client-pfx dan --client-pfx-passwd serta --server-cert, dan dalam kasus tertentu switch --cacert diperlukan.

Penjelasan: Menentukan bahwa autentikasi X.509 digunakan untuk menyambungkan ke server ABAP, bukan autentikasi nama pengguna/kata sandi. Untuk informasi selengkapnya, lihat Menyebarkan konektor data Microsoft Sentinel untuk SAP dengan menggunakan SNC.

Jalur pustaka Kriptografi SAP

Nama parameter:--cryptolib

Nilai parameter:<sapcryptolibfilename>

Diperlukan: Ya, jika --use-snc ditentukan.

Penjelasan: Lokasi dan nama file pustaka Kriptografi SAP (libsapcrypto.so).

Jalur alat SAPGENPSE

Nama parameter:--sapgenpse

Nilai parameter:<sapgenpsefilename>

Diperlukan: Ya, jika --use-snc ditentukan.

Penjelasan: Lokasi dan nama file alat sapgenpse untuk pembuatan dan pengelolaan file PSE dan info masuk SSO.

Jalur kunci umum sertifikat klien

Nama parameter:--client-cert

Nilai parameter:<client certificate filename>

Diperlukan: Ya, jika --use-sncdan sertifikat dalam format base-64 .crt/.key.

Penjelasan: Lokasi dan nama file sertifikat publik klien base-64. Jika sertifikat klien dalam format .pfx, gunakan switch --client-pfx sebagai gantinya.

Jalur kunci privat sertifikat klien

Nama parameter:--client-key

Nilai parameter:<client key filename>

Diperlukan: Ya, jika --use-snc ditentukan dan kunci dalam format base-64 .crt/.key.

Penjelasan: Lokasi dan nama file kunci privat klien base-64. Jika sertifikat klien dalam format .pfx, gunakan switch --client-pfx sebagai gantinya.

Sertifikat Otoritas Sertifikasi Penerbit/akar

Nama parameter:--cacert

Nilai parameter:<trusted ca cert>

Diperlukan: Ya, jika --use-snc ditentukan dan sertifikat diterbitkan oleh otoritas sertifikasi perusahaan.

Penjelasan: Jika sertifikat ditandatangani sendiri, sertifikat tidak memiliki CA penerbitan, sehingga tidak ada rantai kepercayaan yang perlu divalidasi. Jika sertifikat dikeluarkan oleh CA perusahaan, sertifikat CA penerbit dan sertifikat CA tingkat yang lebih tinggi perlu divalidasi. Gunakan instans switch --cacert terpisah untuk setiap CA dalam rantai kepercayaan, dan berikan nama file lengkap sertifikat publik otoritas sertifikat perusahaan.

Jalur sertifikat PFX klien

Nama parameter:--client-pfx

Nilai parameter:<pfx filename>

Diperlukan: Ya, jika --use-sncdan kunci dalam format .pfx/.p12.

Penjelasan: Lokasi dan nama file sertifikat klien pfx.

Kata sandi sertifikat PFX klien

Nama parameter:--client-pfx-passwd

Nilai parameter:<password>

Diperlukan: Ya, jika --use-snc digunakan, sertifikat dalam format .pfx/.p12, dan sertifikat dilindungi oleh kata sandi.

Penjelasan: Kata sandi file PFX/P12.

Sertifikat server

Nama parameter:--server-cert

Nilai parameter:<server certificate filename>

Diperlukan: Ya, jika --use-snc digunakan.

Penjelasan: Jalur dan nama lengkap sertifikat server ABAP.

URL server proksi HTTP

Nama parameter:--http-proxy

Nilai parameter:<proxy url>

Diperlukan: Tidak

Penjelasan: Kontainer yang tidak dapat membuat koneksi ke layanan Microsoft Azure secara langsung dan memerlukan koneksi melalui server proksi memerlukan --http-proxy pengalihan untuk menentukan url proksi untuk kontainer. Format url proksi adalah http://hostname:port.

Jaringan Berbasis Host

Nama parameter:--hostnetwork

Diperlukan: Tidak.

Penjelasan: Jika sakelar ini ditentukan, agen menggunakan konfigurasi jaringan berbasis host. Ini dapat menyelesaikan masalah resolusi DNS internal dalam beberapa kasus.

Mengonfirmasi semua perintah

Nama parameter:--confirm-all-prompts

Nilai parameter: Tidak ada

Diperlukan: Tidak

Penjelasan: Jika --confirm-all-prompts sakelar ditentukan, skrip tidak dijeda untuk konfirmasi pengguna apa pun dan hanya meminta jika input pengguna diperlukan. Gunakan switch --confirm-all-prompts untuk mencapai penyebaran tanpa sentuhan.

Menggunakan build pratinjau kontainer

Nama parameter:--preview

Nilai parameter: Tidak ada

Diperlukan: Tidak

Penjelasan: Secara default, skrip kickstart penyebaran kontainer menyebarkan kontainer dengan :latest tag. Fitur pratinjau publik diterbitkan ke :latest-preview tag. Untuk memastikan skrip penyebaran kontainer menggunakan versi pratinjau umum kontainer, tentukan switch --preview.

Langkah berikutnya

Pelajari selengkapnya tentang solusi Microsoft Azure Sentinel untuk aplikasi SAP®:

• Menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP®
• Prasyarat untuk menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP®
• Menyebarkan Permintaan Perubahan (CR) SAP dan mengonfigurasi otorisasi
• Menyebarkan konten solusi dari hub konten
• Menyebarkan dan mengonfigurasikan kontainer yang menghosting agen konektor data SAP
• Menyebarkan konektor data Microsoft Sentinel untuk SAP dengan SNC
• Memantau kesehatan sistem SAP Anda
• Mengaktifkan dan mengonfigurasi audit SAP
• Mengumpulkan log audit SAP Hana

Pemecahan Masalah:

• Memecahkan masalah solusi Microsoft Azure Sentinel Anda untuk penyebaran solusi aplikasi SAP®

File referensi:

• Solusi Microsoft Azure Sentinel untuk referensi data aplikasi SAP®
• Solusi Microsoft Azure Sentinel untuk aplikasi SAP®: referensi konten keamanan
• Referensi skrip pembaruan
• Referensi file systemconfig.ini

Untuk mengetahui informasi selengkapnya, lihat Solusi Microsoft Sentinel.