Distribuire un agente connettore dati SAP dalla riga di comando

Questo articolo fornisce le opzioni della riga di comando per la distribuzione di un agente connettore dati SAP. Per le distribuzioni tipiche è consigliabile usare il portale anziché la riga di comando, in quanto gli agenti del connettore dati installati tramite la riga di comando possono essere gestiti solo tramite la riga di comando.

Tuttavia, se si usa un file di configurazione per archiviare le credenziali anziché Azure Key Vault o se si è un utente avanzato che vuole distribuire manualmente il connettore dati, ad esempio in un cluster Kubernetes, usare invece le procedure descritte in questo articolo.

Anche se è possibile eseguire più agenti connettore dati in un singolo computer, è consigliabile iniziare con un solo, monitorare le prestazioni e quindi aumentare lentamente il numero di connettori. È anche consigliabile che il team di sicurezza esegua questa procedura con l'aiuto del team SAP BASIS .

Nota

Questo articolo è pertinente solo per l'agente del connettore dati e non è pertinente per il connettore dati senza agente SAP.

Importante

Tutte le funzionalità Microsoft Sentinel verranno ritirate ufficialmente nel Azure gestito dall'area 21Vianet il 18 agosto 2026, in base all'annuncio pubblicato da 21Vianet. A causa del prossimo ritiro, i clienti non sono più in grado di eseguire l'onboarding di nuove sottoscrizioni al servizio.

È consigliabile che i clienti collaborino con i rappresentanti dell'account per Microsoft Azure gestiti da 21Vianet per valutare l'impatto di questo ritiro sulle proprie operazioni.

Prerequisiti

• Prima di distribuire il connettore dati, assicurarsi di creare una macchina virtuale e configurare l'accesso alle credenziali.

• Se si usa SNC per connessioni sicure, assicurarsi che il sistema SAP sia configurato correttamente e quindi preparare lo script kickstart per la comunicazione sicura con SNC prima di distribuire l'agente del connettore dati.

Per altre informazioni, vedere la documentazione di SAP e Introduzione a SAP SNC per le integrazioni RFC - SAP.

Distribuire l'agente del connettore dati usando un'identità gestita o un'applicazione registrata

Questa procedura descrive come creare un nuovo agente e connetterlo al sistema SAP tramite la riga di comando, eseguendo l'autenticazione con un'identità gestita o un'applicazione registrata Microsoft Entra ID.

• Se si usa SNC, assicurarsi di aver completato Preparare prima lo script di avvio rapido per la comunicazione sicura con SNC .

• Se si usa un file di configurazione per archiviare le credenziali, vedere Distribuire il connettore dati usando un file di configurazione .

Per distribuire l'agente del connettore dati:

1. Scaricare ed eseguire lo script di avvio rapido della distribuzione:

   • Per un'identità gestita, usare una delle opzioni di comando seguenti:

     • Per il cloud commerciale pubblico Azure:

       wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
       

     • Per Microsoft Azure gestito da 21Vianet, aggiungere --cloud mooncake alla fine del comando copiato.

     • Per Azure per enti pubblici - Stati Uniti, aggiungere --cloud fairfax alla fine del comando copiato.

   • Per un'applicazione registrata, usare il comando seguente per scaricare lo script kickstart di distribuzione dal repository GitHub Microsoft Sentinel e contrassegnarlo come eseguibile:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh
     

     Eseguire lo script, specificando l'ID applicazione, il segreto (la "password"), l'ID tenant e il nome dell'insieme di credenziali delle chiavi copiati nei passaggi precedenti. Ad esempio:

     ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>
     

   • Per configurare la configurazione SNC sicura, specificare i parametri di base seguenti:

     • --use-snc
     • --cryptolib <path to sapcryptolib.so>
     • --sapgenpse <path to sapgenpse>
     • --server-cert <path to server certificate public key>

     Se il certificato client è in formato crt o .key , usare le opzioni seguenti:

     • --client-cert <path to client certificate public key>
     • --client-key <path to client certificate private key>

     Se il certificato client è in formato pfx o p12 , usare le opzioni seguenti:

     • --client-pfx <pfx filename>
     • --client-pfx-passwd <password>

     Se il certificato client è stato emesso da una CA aziendale, aggiungere l'opzione seguente per ogni CA nella catena di attendibilità:

     • --cacert <path to ca certificate>

     Ad esempio:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh    --use-snc     --cryptolib /home/azureuser/libsapcrypto.so     --sapgenpse /home/azureuser/sapgenpse     --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt    --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt
     

   Lo script aggiorna i componenti del sistema operativo, installa l'interfaccia della riga di comando Azure e il software Docker e altre utilità necessarie (jq, netcat, curl) e richiede i valori dei parametri di configurazione. Specificare parametri aggiuntivi per lo script per ridurre al minimo il numero di richieste o per personalizzare la distribuzione del contenitore. Per altre informazioni sulle opzioni della riga di comando disponibili, vedere Guida di riferimento per lo script Kickstart.

2. Seguire le istruzioni visualizzate per immettere i dettagli di SAP e dell'insieme di credenziali delle chiavi e completare la distribuzione. Al termine della distribuzione, viene visualizzato un messaggio di conferma:

   The process has been successfully completed, thank you!
   

   Prendere nota del nome del contenitore Docker nell'output dello script. Per visualizzare l'elenco dei contenitori Docker nella macchina virtuale, eseguire:

   docker ps -a
   

   Si userà il nome del contenitore Docker nel passaggio successivo.

3. Per la distribuzione dell'agente connettore dati SAP è necessario concedere all'identità della macchina virtuale dell'agente autorizzazioni specifiche per l'area di lavoro Log Analytics abilitata per Microsoft Sentinel, usando i ruoli operatore e lettoredell'agente Microsoft Sentinel applicazioni aziendali.

   Per eseguire il comando in questo passaggio, è necessario essere proprietari di un gruppo di risorse nell'area di lavoro Log Analytics abilitata per Microsoft Sentinel. Se non si è proprietari di gruppi di risorse nell'area di lavoro, questa procedura può essere eseguita anche in un secondo momento.

   Assegnare i ruoli operatore e lettoredell'agente di applicazioni aziendali Microsoft Sentinel all'identità della macchina virtuale:

   1. Ottenere l'ID agente eseguendo il comando seguente, sostituendo il <container_name> segnaposto con il nome del contenitore Docker creato con lo script kickstart:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
      

      Ad esempio, un ID agente restituito potrebbe essere 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Assegnare i ruoli operatore e lettoredell'agente di applicazioni aziendali Microsoft Sentinel eseguendo i comandi seguenti:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Sostituire i valori segnaposto come indicato di seguito:

   Segnaposto	Valore
   <OBJ_ID>	ID dell'oggetto identità della macchina virtuale. Per trovare l'ID oggetto identità della macchina virtuale in Azure: - Per un'identità gestita, l'ID oggetto è elencato nella pagina Identità della macchina virtuale. - Per un'entità servizio, passare all'applicazione Enterprise in Azure. Selezionare Tutte le applicazioni e quindi selezionare la macchina virtuale. L'ID oggetto viene visualizzato nella pagina Panoramica .
   <SUB_ID>	ID sottoscrizione per l'area di lavoro Log Analytics abilitata per Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	Nome del gruppo di risorse per l'area di lavoro Log Analytics abilitata per Microsoft Sentinel
   <WS_NAME>	Nome dell'area di lavoro Log Analytics abilitata per Microsoft Sentinel
   <AGENT_IDENTIFIER>	ID agente visualizzato dopo l'esecuzione del comando nel passaggio precedente.

4. Per configurare l'avvio automatico del contenitore Docker, eseguire il comando seguente, sostituendo il <container-name> segnaposto con il nome del contenitore:

   docker update --restart unless-stopped <container-name>
   

La procedura di distribuzione genera un file systemconfig.json che contiene i dettagli di configurazione per l'agente del connettore dati SAP. Il file si trova nella directory della /sapcon-app/sapcon/config/system macchina virtuale.

Distribuire il connettore dati usando un file di configurazione

Azure Key Vault è il metodo consigliato per archiviare le credenziali di autenticazione e i dati di configurazione. Se non è possibile usare Azure Key Vault, questa procedura descrive come distribuire il contenitore dell'agente del connettore dati usando invece un file di configurazione.

• Se si usa SNC, assicurarsi di aver completato Preparare prima lo script di avvio rapido per la comunicazione sicura con SNC .

• Se si usa un'identità gestita o un'applicazione registrata, vedere Distribuire l'agente del connettore dati usando un'identità gestita o un'applicazione registrata .

Per distribuire l'agente del connettore dati:

1. Creare una macchina virtuale in cui distribuire l'agente.

2. Trasferire SAP NetWeaver SDK nel computer in cui si vuole installare l'agente.

3. Eseguire i comandi seguenti per scaricare lo script Kickstart di distribuzione dal repository GitHub Microsoft Sentinel e contrassegnarlo come eseguibile:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   chmod +x ./sapcon-sentinel-kickstart.sh
   

4. Eseguire lo script:

   ./sapcon-sentinel-kickstart.sh --keymode cfgf
   

   Lo script aggiorna i componenti del sistema operativo, installa l'interfaccia della riga di comando Azure e il software Docker e altre utilità necessarie (jq, netcat, curl) e richiede i valori dei parametri di configurazione. Specificare parametri aggiuntivi per lo script in base alle esigenze per ridurre al minimo il numero di richieste o per personalizzare la distribuzione del contenitore. Per altre informazioni, vedere le informazioni di riferimento sullo script Kickstart.

5. Seguire le istruzioni visualizzate per immettere i dettagli richiesti e completare la distribuzione. Al termine della distribuzione, viene visualizzato un messaggio di conferma:

   The process has been successfully completed, thank you!
   

   Prendere nota del nome del contenitore Docker nell'output dello script. Per visualizzare l'elenco dei contenitori Docker nella macchina virtuale, eseguire:

   docker ps -a
   

   Si userà il nome del contenitore Docker nel passaggio successivo.

6. Per la distribuzione dell'agente connettore dati SAP è necessario concedere all'identità della macchina virtuale dell'agente autorizzazioni specifiche per l'area di lavoro Log Analytics abilitata per Microsoft Sentinel, usando i ruoli operatore e lettoredell'agente Microsoft Sentinel applicazioni aziendali.

   Per eseguire i comandi in questo passaggio, è necessario essere proprietari di un gruppo di risorse nell'area di lavoro. Se non si è proprietari di gruppi di risorse nell'area di lavoro, questo passaggio può essere eseguito anche in un secondo momento.

   Assegnare i ruoli operatore e lettoredell'agente di applicazioni aziendali Microsoft Sentinel all'identità della macchina virtuale:

   1. Ottenere l'ID agente eseguendo il comando seguente, sostituendo il <container_name> segnaposto con il nome del contenitore Docker creato con lo script Kickstart:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'
      

      Ad esempio, un ID agente restituito potrebbe essere 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Assegnare i ruoli operatore e lettoredell'agente di applicazioni aziendali Microsoft Sentinel eseguendo i comandi seguenti:

      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      
      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      

      Sostituire i valori segnaposto come indicato di seguito:

      Segnaposto	Valore
      <OBJ_ID>	ID dell'oggetto identità della macchina virtuale. Per trovare l'ID oggetto identità della macchina virtuale in Azure: per un'identità gestita, l'ID oggetto è elencato nella pagina Identità della macchina virtuale. Per un'entità servizio, passare all'applicazione Enterprise in Azure. Selezionare Tutte le applicazioni e quindi selezionare la macchina virtuale. L'ID oggetto viene visualizzato nella pagina Panoramica .
      <SUB_ID>	ID sottoscrizione per l'area di lavoro Log Analytics abilitata per Microsoft Sentinel
      <RESOURCE_GROUP_NAME>	Nome del gruppo di risorse per l'area di lavoro Log Analytics abilitata per Microsoft Sentinel
      <WS_NAME>	Nome dell'area di lavoro Log Analytics abilitata per Microsoft Sentinel
      <AGENT_IDENTIFIER>	ID agente visualizzato dopo l'esecuzione del comando nel passaggio precedente.

7. Eseguire il comando seguente per configurare il contenitore Docker per l'avvio automatico.

   docker update --restart unless-stopped <container-name>
   

La procedura di distribuzione genera un file systemconfig.json che contiene i dettagli di configurazione per l'agente del connettore dati SAP. Il file si trova nella directory della /sapcon-app/sapcon/config/system macchina virtuale.

Preparare lo script kickstart per la comunicazione sicura con SNC

Questa procedura descrive come preparare lo script di distribuzione per configurare le impostazioni per le comunicazioni sicure con il sistema SAP tramite SNC. Se si usa SNC, è necessario eseguire questa procedura prima di distribuire l'agente del connettore dati.

Per configurare il contenitore per la comunicazione sicura con SNC:

1. Trasferire i file libsapcrypto.so e sapgenpse nel sistema in cui si sta creando il contenitore.

2. Trasferire il certificato client, incluse le chiavi private e pubbliche nel sistema in cui si sta creando il contenitore.

   Il certificato client e la chiave possono essere in formato .p12, .pfx o Base64 .crt e .key .

3. Trasferire il certificato server (solo chiave pubblica) nel sistema in cui si sta creando il contenitore.

   Il certificato server deve essere in formato Base64 .crt .

4. Se il certificato client è stato emesso da un'autorità di certificazione aziendale, trasferire la CA emittente e i certificati CA radice nel sistema in cui si sta creando il contenitore.

5. Ottenere lo script kickstart dal repository GitHub Microsoft Sentinel:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   

6. Modificare le autorizzazioni dello script per renderlo eseguibile:

   chmod +x ./sapcon-sentinel-kickstart.sh
   

Per altre informazioni, vedere Guida di riferimento allo script di distribuzione Kickstart per l'agente del connettore dati Microsoft Sentinel per applicazioni SAP.

Ottimizzare il monitoraggio delle tabelle PAHI SAP (scelta consigliata)

Per ottenere risultati ottimali nel monitoraggio della tabella SAP PAHI, aprire il file systemconfig.json per la [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) modifica e nella sezione abilitare i PAHI_FULL parametri e PAHI_INCREMENTAL .

Per altre informazioni, vedere Systemconfig.json informazioni di riferimento sui file e Verificare che la tabella PAHI venga aggiornata a intervalli regolari.

Controllare la connettività e l'integrità

Dopo aver distribuito l'agente del connettore dati SAP, controllare l'integrità e la connettività dell'agente. Per altre informazioni, vedere Monitorare l'integrità e il ruolo dei sistemi SAP.

Passaggio successivo

Dopo aver distribuito il connettore, procedere alla distribuzione di Microsoft Sentinel soluzione per il contenuto delle applicazioni SAP:

Abilitare i rilevamenti SAP e la protezione dalle minacce