Kickstart スクリプト リファレンス
スクリプトの概要
提供されている Kickstart スクリプト (SAP アプリケーション GitHub 用の Microsoft Sentinel ソリューションで利用可能) を使用して、SAP® データ コネクタをホストするコンテナーのデプロイを簡略化します。このスクリプトを使用すると、シークレット ストレージのさまざまなモードを有効にしたり、Secure Network Communications (SNC) を構成したりできます。
パラメーター リファレンス
構成できるパラメーターは次のとおりです。 これらのパラメーターの使用方法を示す例については、SAP データ コネクタ エージェントをホストしているコンテナーのデプロイと構成に関する記事を参照してください。
シークレットの保存場所
パラメーター名:--keymode
パラメーター値:kvmi
、kvsi
、cfgf
必須: いいえ。 kvmi
は、既定で指定されていると見なされます。
説明: シークレット (ユーザー名、パスワード、ログ分析 ID、共有キー) をローカル構成ファイルまたは Azure Key Vault に格納するかどうかを指定します。 また、Azure Key Vault に対する認証を行う際に、VM の Azure システム割り当てマネージド ID か Microsoft Entra 登録済みアプリケーション ID のどちらを使用するかも制御します。
kvmi
に設定すると、シークレットの格納には Azure Key Vault が使用され、Azure Key Vault に対する認証は仮想マシンの Azure システム割り当てマネージド ID を使用して行われます。
kvsi
に設定すると、シークレットの格納には Azure Key Vault が使用され、Azure Key Vault に対する認証は Microsoft Entra 登録済みアプリケーション ID を使用して行われます。 モードのkvsi
使用には、必要な値--appsecret
と値--tenantid
が必要--appid
です。
に cfgf
設定すると、ローカルに格納されている構成ファイルがシークレットの格納に使用されます。
ABAP サーバー接続モード
パラメーター名:--connectionmode
パラメーター値:abap
、mserv
必須: いいえ。 指定されていない場合は、既定値は abap
です。
説明: データ コレクター エージェントを ABAP サーバーに直接接続するか、メッセージ サーバーを介するかを定義します。 エージェントを ABAP サーバーに直接接続するために使用 abap
します。名前はパラメーターを使用して --abapserver
定義できます (そうでない場合は、 引き続きプロンプトが表示されます)。 メッセージ サーバーを介して接続する場合は mserv
を使用します。この場合、--messageserverhost
、--messageserverport
、--logongroup
パラメーターを指定する必要があります。
構成フォルダーの場所
パラメーター名:--configpath
パラメーター値:<path>
必須: いいえ。指定されない場合は /opt/sapcon/<SID>
が想定されます。
説明: 既定では、Kickstart によって構成ファイル、メタデータの場所が /opt/sapcon/<SID>
に初期化されます。 構成とメタデータに別の場所を設定するには、--configpath
パラメーターを使用します。
ABAP サーバー アドレス
パラメーター名:--abapserver
パラメーター値:<servername>
必須: いいえ。 パラメーターが指定されておらず、ABAP サーバー接続モードパラメーターが設定abap
されている場合は、サーバーのホスト名/IP アドレスの入力を求められます。
説明: 接続モードが abap
に設定されている場合にのみ使用されます。このパラメーターには、接続先のABAP サーバーの完全修飾ドメイン名 (FQDN)、短い名前、または IP アドレスが含まれます。
システムのインスタンス番号
パラメーター名:--systemnr
パラメーター値:<system number>
必須: いいえ。 指定しない場合、ユーザーはシステム番号の入力を求められます。
説明: 接続先の SAP システムのインスタンス番号を指定します。
システム ID
パラメーター名:--sid
パラメーター値:<SID>
必須: いいえ。 指定しない場合、ユーザーはシステム ID の入力を求められます。
説明: 接続先の SAP システムの ID を指定します。
クライアント番号
パラメーター名:--clientnumber
パラメーター値:<client number>
必須: いいえ。 指定しない場合、ユーザーはクライアント番号の入力を求められます。
説明: 接続先のクライアント番号を指定します。
メッセージ サーバー ホスト
パラメーター名:--messageserverhost
パラメーター値:<servername>
必須: はい (ABAP サーバー接続モードが mserv
に設定されている場合)。
説明: 接続先のメッセージ サーバーのホスト名/IP アドレスを指定します。 ABAP サーバー接続モードが mserv
に設定されている場合にのみ使用できます。
メッセージ サーバーのポート
パラメーター名:--messageserverport
パラメーター値:<portnumber>
必須: はい (ABAP サーバー接続モードが mserv
に設定されている場合)。
説明: 接続先のメッセージ サーバーのサービス名 (ポート) を指定します。 ABAP サーバー接続モードが mserv
に設定されている場合にのみ使用できます。
ログオン グループ
パラメーター名:--logongroup
パラメーター値:<logon group>
必須: はい (ABAP サーバー接続モードが mserv
に設定されている場合)。
説明: メッセージ サーバーに接続するときに使用するサインイン グループを指定します。 ABAP サーバー接続モードが mserv
に設定されている場合にのみ使用できます。 ログオン グループ名にスペースが含まれている場合は、--logongroup "my logon group"
の例のように二重引用符で囲んで渡す必要があります。
ログオン ユーザー名
パラメーター名:--sapusername
パラメーター値:<username>
必須: いいえ。 指定しない場合、認証に SNC (X.509) を使用していない場合、ユーザーはユーザー名の入力を求められます。
説明: ABAP サーバーに対する認証に使用されるユーザー名。
ログオン パスワード
パラメーター名:--sappassword
パラメーター値:<password>
必須: いいえ。 指定しない場合、認証に SNC (X.509) を使用していない場合、ユーザーはパスワードの入力を求められます。 パスワード入力はマスクされます。
説明: ABAP サーバーに対する認証に使用されるパスワード。
NetWeaver SDK ファイルの場所
パラメーター名:--sdk
パラメーター値:<filename>
必須: いいえ。 スクリプトは、現在のフォルダー内の nwrfc*.zip ファイルの検索を試みます。 見つからない場合は、有効な NetWeaver SDK アーカイブ ファイルを指定するように求められます。
説明: NetWeaver SDK ファイルのパス。 データ コレクターが動作するには、有効な SDK が必要です。 詳細については、「SAP® アプリケーション用の Microsoft Sentinel ソリューションをデプロイするための前提条件」を参照してください。
エンタープライズ アプリケーション ID
パラメーター名:--appid
パラメーター値:<guid>
必須: はい (シークレットの保存場所が kvsi
に設定されている場合)。
説明: Azure Key Vault認証モードが kvsi
に設定されている場合、キー コンテナーに対する認証はエンタープライズ アプリケーション (サービス プリンシパル) ID を使用して行われます。 このパラメーターで、アプリケーション ID を指定します。
エンタープライズ アプリケーション シークレット
パラメーター名:--appsecret
パラメーター値:<secret>
必須: はい (シークレットの保存場所が kvsi
に設定されている場合)。
説明: Azure Key Vault認証モードが kvsi
に設定されている場合、キー コンテナーに対する認証はエンタープライズ アプリケーション (サービス プリンシパル) ID を使用して行われます。 このパラメーターで、アプリケーション シークレットを指定します。
テナント ID
パラメーター名:--tenantid
パラメーター値:<guid>
必須: はい (シークレットの保存場所が kvsi
に設定されている場合)。
説明: Azure Key Vault認証モードが kvsi
に設定されている場合、キー コンテナーに対する認証はエンタープライズ アプリケーション (サービス プリンシパル) ID を使用して行われます。 このパラメーターは、Microsoft Entra テナント ID を指定します。
Key Vault 名
パラメーター名:--kvaultname
パラメーター値:<key vaultname>
必須: いいえ。 シークレットストレージの場所がまたはkvmi
にkvsi
設定されている場合、スクリプトは値を指定しない場合にプロンプトを表示します。
説明: シークレットストレージの場所が設定kvsi
されている場合、kvmi
キー コンテナー名 (FQDN 形式) をここに入力する必要があります。
Log Analytics ワークスペース ID
パラメーター名:--loganalyticswsid
パラメーター値:<id>
必須: いいえ。 指定しない場合、スクリプトはワークスペース ID の入力を求めます。
説明: データ コレクターがデータを送信する Log Analytics ワークスペース ID。 ワークスペース ID を見つけるには、Azure portalで Log Analytics ワークスペースを見つけます。Microsoft Sentinel を開き、[構成] セクションで [設定] を選択し、[ワークスペース設定] を選択してから、[エージェント管理] を選択します。
Log Analytics のキー
パラメーター名:--loganalyticskey
パラメーター値:<key>
必須: いいえ。 指定しない場合は、スクリプトによってワークスペース キーの入力が求められます。 入力はマスクされます。
説明: データ コレクターがデータを送信する Log Analytics ワークスペースのプライマリ キーまたはセカンダリ キー。 プライマリまたはセカンダリ キーを見つけるには、Azure portalで Log Analytics ワークスペースを見つけます。Microsoft Sentinel を開き、[構成] セクションで [設定] を選択し、[ワークスペース設定] を選択してから、[エージェント管理] を選択します。
認証に X.509 (SNC) を使用する
パラメーター名:--use-snc
パラメーター値: なし
必須: いいえ。 指定しない場合は、認証にユーザー名とパスワードが使用されます。 指定した場合、--cryptolib
、--sapgenpse
、--client-cert
と --client-key
または --client-pfx
と --client-pfx-passwd
のいずれかの組み合わせ、および --server-cert
、さらに特定の場合には --cacert
スイッチが必要です。
説明: ユーザー名/パスワード認証ではなく、ABAP サーバーへの接続に X.509 認証を使用することを指定します。 詳細については、「SNC を使用した Microsoft Sentinel for SAP データ コネクタのデプロイ」を参照してください。
SAP 暗号化ライブラリのパス
パラメーター名:--cryptolib
パラメーター値:<sapcryptolibfilename>
必須: はい (--use-snc
が指定された場合)。
説明: SAP 暗号化ライブラリ (libsapcrypto.so) の場所とファイル名。
SAPGENPSE ツールのパス
パラメーター名:--sapgenpse
パラメーター値:<sapgenpsefilename>
必須: はい (--use-snc
が指定された場合)。
説明: PSE ファイルと SSO 資格情報の作成と管理のための sapgenpse ツールの場所とファイル名。
クライアント証明書の公開キーのパス
パラメーター名:--client-cert
パラメーター値:<client certificate filename>
必須: はい (--use-snc
であり、かつ証明書が .crt/.key base-64 形式の場合)。
説明: base-64 クライアント公開証明書の場所とファイル名。 クライアント証明書が .pfx 形式の場合は、代わりに --client-pfx
スイッチを使用します。
クライアント証明書の秘密キーのパス
パラメーター名:--client-key
パラメーター値:<client key filename>
必須: はい (--use-snc
が指定され、かつキーが .crt/.key base-64 形式の場合)。
説明: base-64 クライアント秘密キーの場所とファイル名。 クライアント証明書が .pfx 形式の場合は、代わりに --client-pfx
スイッチを使用します。
発行元/ルート証明機関証明書
パラメーター名:--cacert
パラメーター値:<trusted ca cert>
必須: はい (--use-snc
が指定され、かつ証明書がエンタープライズ証明機関によって発行されている場合)。
説明: 証明書が自己署名されている場合は、発行元 CA がないため、検証する必要がある信頼チェーンはありません。 証明書がエンタープライズ CA によって発行された場合、発行元 CA 証明書と上位にあるすべての CA 証明書を検証する必要があります。 信頼チェーン内の CA ごとに --cacert
スイッチの個別インスタンスを使用し、エンタープライズ証明機関の公開証明書の完全なファイル名を指定します。
クライアント PFX 証明書のパス
パラメーター名:--client-pfx
パラメーター値:<pfx filename>
必須: はい (--use-snc
であり、かつキーが .pfx/.p12 形式の場合)。
説明: pfx クライアント証明書の場所とファイル名。
クライアント PFX 証明書のパスワード
パラメーター名:--client-pfx-passwd
パラメーター値:<password>
必須; はい (--use-snc
が使用され、証明書が .pfx/.p12 形式であり、証明書がパスワードで保護されている場合)。
説明: PFX/P12 ファイルのパスワード。
サーバー証明書
パラメーター名:--server-cert
パラメーター値:<server certificate filename>
必須: はい (--use-snc
が使用されている場合)。
説明: ABAPサーバー証明書の完全なパスと名前。
HTTP プロキシ サーバーの URL
パラメーター名:--http-proxy
パラメーター値:<proxy url>
必須: いいえ
説明: Microsoft Azure サービスへの接続を直接確立できないコンテナーで、プロキシ サーバー経由の接続が必要な場合は、コンテナーのプロキシ URL を定義するためのスイッチが必要 --http-proxy
です。 プロキシ URL の形式は http://hostname:port
です。
ホスト ベースのネットワーク
パラメーター名:--hostnetwork
必須: いいえ。
説明: このスイッチが指定されている場合、エージェントはホスト ベースのネットワーク構成を使用します。 これにより、場合によっては内部 DNS 解決の問題を解決できます。
すべてのプロンプトを確認する
パラメーター名:--confirm-all-prompts
パラメーター値: なし
必須: いいえ
説明: スイッチが --confirm-all-prompts
指定されている場合、スクリプトはユーザーの確認のために一時停止せず、ユーザー入力が必要な場合にのみプロンプトを表示します。 ゼロタッチ デプロイを実現するには、--confirm-all-prompts
スイッチを使用します。
コンテナーのプレビュー ビルドを使用する
パラメーター名:--preview
パラメーター値: なし
必須: いいえ
説明: 既定では、コンテナーデプロイ kickstart スクリプトは、タグを使用してコンテナーを :latest
デプロイします。 パブリック プレビュー機能がタグに :latest-preview
公開されます。 コンテナー デプロイ スクリプトでコンテナーのパブリック プレビュー バージョンが使用されるようにするには、--preview
スイッチを指定します。
次のステップ
SAP® 向け Microsoft Sentinel ソリューション アプリケーションについて詳しくは、以下を参照してください。
- SAP® 向け Microsoft Sentinel ソリューション アプリケーションをデプロイする
- SAP® 向け Microsoft Sentinel ソリューション アプリケーションをデプロイするための前提条件
- SAP Change Request (CR) をデプロイして認可を構成する
- コンテンツ ハブからソリューション コンテンツをデプロイする
- SAP データ コネクタ エージェントをホストしてるコンテナーをデプロイして構成する
- SNC を使用して Microsoft Sentinel for SAP データ コネクタをデプロイする
- SAP システムの正常性を監視する
- SAP 監査を有効にして構成する
- SAP HANA の監査ログを収集する
トラブルシューティング:
参照ファイル:
- SAP® 向け Microsoft Sentinel ソリューション アプリケーションのデータ リファレンス
- SAP® アプリケーション用の Microsoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス
- 更新スクリプト リファレンス
- Systemconfig.ini ファイル リファレンス
詳細については、Microsoft Sentinel ソリューションに関する記事を参照してください。