Kickstart スクリプト リファレンス

  • [アーティクル]

スクリプトの概要

提供されている Kickstart スクリプト (SAP アプリケーション GitHub 用の Microsoft Sentinel ソリューションで利用可能) を使用して、SAP® データ コネクタをホストするコンテナーのデプロイを簡略化します。このスクリプトを使用すると、シークレット ストレージのさまざまなモードを有効にしたり、Secure Network Communications (SNC) を構成したりできます。

パラメーター リファレンス

構成できるパラメーターは次のとおりです。 これらのパラメーターの使用方法を示す例については、SAP データ コネクタ エージェントをホストしているコンテナーのデプロイと構成に関する記事を参照してください。

シークレットの保存場所

パラメーター名:--keymode

パラメーター値:kvmikvsicfgf

必須: いいえ。 kvmi は、既定で指定されていると見なされます。

説明: シークレット (ユーザー名、パスワード、ログ分析 ID、共有キー) をローカル構成ファイルまたは Azure Key Vault に格納するかどうかを指定します。 また、Azure Key Vault に対する認証を行う際に、VM の Azure システム割り当てマネージド ID か Microsoft Entra 登録済みアプリケーション ID のどちらを使用するかも制御します。

kvmi に設定すると、シークレットの格納には Azure Key Vault が使用され、Azure Key Vault に対する認証は仮想マシンの Azure システム割り当てマネージド ID を使用して行われます。

kvsi に設定すると、シークレットの格納には Azure Key Vault が使用され、Azure Key Vault に対する認証は Microsoft Entra 登録済みアプリケーション ID を使用して行われます。 モードのkvsi使用には、必要な値--appsecretと値--tenantidが必要--appidです。

cfgf設定すると、ローカルに格納されている構成ファイルがシークレットの格納に使用されます。

ABAP サーバー接続モード

パラメーター名:--connectionmode

パラメーター値:abapmserv

必須: いいえ。 指定されていない場合は、既定値は abap です。

説明: データ コレクター エージェントを ABAP サーバーに直接接続するか、メッセージ サーバーを介するかを定義します。 エージェントを ABAP サーバーに直接接続するために使用 abap します。名前はパラメーターを使用して --abapserver 定義できます (そうでない場合は、 引き続きプロンプトが表示されます)。 メッセージ サーバーを介して接続する場合は mserv を使用します。この場合、--messageserverhost--messageserverport--logongroup パラメーターを指定する必要があります

構成フォルダーの場所

パラメーター名:--configpath

パラメーター値:<path>

必須: いいえ。指定されない場合は /opt/sapcon/<SID> が想定されます。

説明: 既定では、Kickstart によって構成ファイル、メタデータの場所が /opt/sapcon/<SID> に初期化されます。 構成とメタデータに別の場所を設定するには、--configpath パラメーターを使用します。

ABAP サーバー アドレス

パラメーター名:--abapserver

パラメーター値:<servername>

必須: いいえ。 パラメーターが指定されておらず、ABAP サーバー接続モードパラメーターが設定abapされている場合は、サーバーのホスト名/IP アドレスの入力を求められます。

説明: 接続モードが abap に設定されている場合にのみ使用されます。このパラメーターには、接続先のABAP サーバーの完全修飾ドメイン名 (FQDN)、短い名前、または IP アドレスが含まれます。

システムのインスタンス番号

パラメーター名:--systemnr

パラメーター値:<system number>

必須: いいえ。 指定しない場合、ユーザーはシステム番号の入力を求められます。

説明: 接続先の SAP システムのインスタンス番号を指定します。

システム ID

パラメーター名:--sid

パラメーター値:<SID>

必須: いいえ。 指定しない場合、ユーザーはシステム ID の入力を求められます。

説明: 接続先の SAP システムの ID を指定します。

クライアント番号

パラメーター名:--clientnumber

パラメーター値:<client number>

必須: いいえ。 指定しない場合、ユーザーはクライアント番号の入力を求められます。

説明: 接続先のクライアント番号を指定します。

メッセージ サーバー ホスト

パラメーター名:--messageserverhost

パラメーター値:<servername>

必須: はい (ABAP サーバー接続モードmserv に設定されている場合)。

説明: 接続先のメッセージ サーバーのホスト名/IP アドレスを指定します。 ABAP サーバー接続モードmserv に設定されている場合にのみ使用できます。

メッセージ サーバーのポート

パラメーター名:--messageserverport

パラメーター値:<portnumber>

必須: はい (ABAP サーバー接続モードmserv に設定されている場合)。

説明: 接続先のメッセージ サーバーのサービス名 (ポート) を指定します。 ABAP サーバー接続モードmserv に設定されている場合にのみ使用できます。

ログオン グループ

パラメーター名:--logongroup

パラメーター値:<logon group>

必須: はい (ABAP サーバー接続モードmserv に設定されている場合)。

説明: メッセージ サーバーに接続するときに使用するサインイン グループを指定します。 ABAP サーバー接続モードmserv に設定されている場合にのみ使用できます。 ログオン グループ名にスペースが含まれている場合は、--logongroup "my logon group" の例のように二重引用符で囲んで渡す必要があります。

ログオン ユーザー名

パラメーター名:--sapusername

パラメーター値:<username>

必須: いいえ。 指定しない場合、認証に SNC (X.509) を使用していない場合、ユーザーはユーザー名の入力を求められます。

説明: ABAP サーバーに対する認証に使用されるユーザー名。

ログオン パスワード

パラメーター名:--sappassword

パラメーター値:<password>

必須: いいえ。 指定しない場合、認証に SNC (X.509) を使用していない場合、ユーザーはパスワードの入力を求められます。 パスワード入力はマスクされます。

説明: ABAP サーバーに対する認証に使用されるパスワード。

NetWeaver SDK ファイルの場所

パラメーター名:--sdk

パラメーター値:<filename>

必須: いいえ。 スクリプトは、現在のフォルダー内の nwrfc*.zip ファイルの検索を試みます。 見つからない場合は、有効な NetWeaver SDK アーカイブ ファイルを指定するように求められます。

説明: NetWeaver SDK ファイルのパス。 データ コレクターが動作するには、有効な SDK が必要です。 詳細については、「SAP® アプリケーション用の Microsoft Sentinel ソリューションをデプロイするための前提条件」を参照してください

エンタープライズ アプリケーション ID

パラメーター名:--appid

パラメーター値:<guid>

必須: はい (シークレットの保存場所kvsi に設定されている場合)。

説明: Azure Key Vault認証モードが kvsi に設定されている場合、キー コンテナーに対する認証はエンタープライズ アプリケーション (サービス プリンシパル) ID を使用して行われます。 このパラメーターで、アプリケーション ID を指定します。

エンタープライズ アプリケーション シークレット

パラメーター名:--appsecret

パラメーター値:<secret>

必須: はい (シークレットの保存場所kvsi に設定されている場合)。

説明: Azure Key Vault認証モードが kvsi に設定されている場合、キー コンテナーに対する認証はエンタープライズ アプリケーション (サービス プリンシパル) ID を使用して行われます。 このパラメーターで、アプリケーション シークレットを指定します。

テナント ID

パラメーター名:--tenantid

パラメーター値:<guid>

必須: はい (シークレットの保存場所kvsi に設定されている場合)。

説明: Azure Key Vault認証モードが kvsi に設定されている場合、キー コンテナーに対する認証はエンタープライズ アプリケーション (サービス プリンシパル) ID を使用して行われます。 このパラメーターは、Microsoft Entra テナント ID を指定します。

Key Vault 名

パラメーター名:--kvaultname

パラメーター値:<key vaultname>

必須: いいえ。 シークレットストレージの場所がまたはkvmikvsi設定されている場合、スクリプトは値を指定しない場合にプロンプトを表示します。

説明: シークレットストレージの場所が設定kvsiされている場合kvmiキー コンテナー名 (FQDN 形式) をここに入力する必要があります。

Log Analytics ワークスペース ID

パラメーター名:--loganalyticswsid

パラメーター値:<id>

必須: いいえ。 指定しない場合、スクリプトはワークスペース ID の入力を求めます。

説明: データ コレクターがデータを送信する Log Analytics ワークスペース ID。 ワークスペース ID を見つけるには、Azure portalで Log Analytics ワークスペースを見つけます。Microsoft Sentinel を開き、[構成] セクションで [設定] を選択し、[ワークスペース設定] を選択してから、[エージェント管理] を選択します。

Log Analytics のキー

パラメーター名:--loganalyticskey

パラメーター値:<key>

必須: いいえ。 指定しない場合は、スクリプトによってワークスペース キーの入力が求められます。 入力はマスクされます。

説明: データ コレクターがデータを送信する Log Analytics ワークスペースのプライマリ キーまたはセカンダリ キー。 プライマリまたはセカンダリ キーを見つけるには、Azure portalで Log Analytics ワークスペースを見つけます。Microsoft Sentinel を開き、[構成] セクションで [設定] を選択し、[ワークスペース設定] を選択してから、[エージェント管理] を選択します。

認証に X.509 (SNC) を使用する

パラメーター名:--use-snc

パラメーター値: なし

必須: いいえ。 指定しない場合は、認証にユーザー名とパスワードが使用されます。 指定した場合、--cryptolib--sapgenpse--client-cert--client-key または --client-pfx--client-pfx-passwd のいずれかの組み合わせ、および --server-cert、さらに特定の場合には --cacert スイッチが必要です。

説明: ユーザー名/パスワード認証ではなく、ABAP サーバーへの接続に X.509 認証を使用することを指定します。 詳細については、「SNC を使用した Microsoft Sentinel for SAP データ コネクタのデプロイ」を参照してください

SAP 暗号化ライブラリのパス

パラメーター名:--cryptolib

パラメーター値:<sapcryptolibfilename>

必須: はい (--use-snc が指定された場合)。

説明: SAP 暗号化ライブラリ (libsapcrypto.so) の場所とファイル名。

SAPGENPSE ツールのパス

パラメーター名:--sapgenpse

パラメーター値:<sapgenpsefilename>

必須: はい (--use-snc が指定された場合)。

説明: PSE ファイルと SSO 資格情報の作成と管理のための sapgenpse ツールの場所とファイル名。

クライアント証明書の公開キーのパス

パラメーター名:--client-cert

パラメーター値:<client certificate filename>

必須: はい (--use-snc であり、かつ証明書が .crt/.key base-64 形式の場合)。

説明: base-64 クライアント公開証明書の場所とファイル名。 クライアント証明書が .pfx 形式の場合は、代わりに --client-pfx スイッチを使用します。

クライアント証明書の秘密キーのパス

パラメーター名:--client-key

パラメーター値:<client key filename>

必須: はい (--use-snc が指定され、かつキーが .crt/.key base-64 形式の場合)。

説明: base-64 クライアント秘密キーの場所とファイル名。 クライアント証明書が .pfx 形式の場合は、代わりに --client-pfx スイッチを使用します。

発行元/ルート証明機関証明書

パラメーター名:--cacert

パラメーター値:<trusted ca cert>

必須: はい (--use-snc が指定され、かつ証明書がエンタープライズ証明機関によって発行されている場合)。

説明: 証明書が自己署名されている場合は、発行元 CA がないため、検証する必要がある信頼チェーンはありません。 証明書がエンタープライズ CA によって発行された場合、発行元 CA 証明書と上位にあるすべての CA 証明書を検証する必要があります。 信頼チェーン内の CA ごとに --cacert スイッチの個別インスタンスを使用し、エンタープライズ証明機関の公開証明書の完全なファイル名を指定します。

クライアント PFX 証明書のパス

パラメーター名:--client-pfx

パラメーター値:<pfx filename>

必須: はい (--use-snc であり、かつキーが .pfx/.p12 形式の場合)。

説明: pfx クライアント証明書の場所とファイル名。

クライアント PFX 証明書のパスワード

パラメーター名:--client-pfx-passwd

パラメーター値:<password>

必須; はい (--use-snc が使用され、証明書が .pfx/.p12 形式であり、証明書がパスワードで保護されている場合)。

説明: PFX/P12 ファイルのパスワード。

サーバー証明書

パラメーター名:--server-cert

パラメーター値:<server certificate filename>

必須: はい (--use-snc が使用されている場合)。

説明: ABAPサーバー証明書の完全なパスと名前。

HTTP プロキシ サーバーの URL

パラメーター名:--http-proxy

パラメーター値:<proxy url>

必須: いいえ

説明: Microsoft Azure サービスへの接続を直接確立できないコンテナーで、プロキシ サーバー経由の接続が必要な場合は、コンテナーのプロキシ URL を定義するためのスイッチが必要 --http-proxy です。 プロキシ URL の形式は http://hostname:port です。

ホスト ベースのネットワーク

パラメーター名:--hostnetwork

必須: いいえ。

説明: このスイッチが指定されている場合、エージェントはホスト ベースのネットワーク構成を使用します。 これにより、場合によっては内部 DNS 解決の問題を解決できます。

すべてのプロンプトを確認する

パラメーター名:--confirm-all-prompts

パラメーター値: なし

必須: いいえ

説明: スイッチが --confirm-all-prompts 指定されている場合、スクリプトはユーザーの確認のために一時停止せず、ユーザー入力が必要な場合にのみプロンプトを表示します。 ゼロタッチ デプロイを実現するには、--confirm-all-prompts スイッチを使用します。

コンテナーのプレビュー ビルドを使用する

パラメーター名:--preview

パラメーター値: なし

必須: いいえ

説明: 既定では、コンテナーデプロイ kickstart スクリプトは、タグを使用してコンテナーを :latest デプロイします。 パブリック プレビュー機能がタグに :latest-preview 公開されます。 コンテナー デプロイ スクリプトでコンテナーのパブリック プレビュー バージョンが使用されるようにするには、--preview スイッチを指定します。

次のステップ

SAP® 向け Microsoft Sentinel ソリューション アプリケーションについて詳しくは、以下を参照してください。

トラブルシューティング:

参照ファイル:

詳細については、Microsoft Sentinel ソリューションに関する記事を参照してください。