Naslaginformatie over Kickstart-scripts
Scriptoverzicht
Vereenvoudig de implementatie van de container die als host fungeert voor de SAP-gegevensconnector met behulp van het opgegeven Kickstart-script (beschikbaar in de Microsoft Sentinel-oplossing voor SAP-toepassingen® GitHub), waarmee u ook verschillende modi van geheimenopslag kunt inschakelen, SNC (Secure Network Communications) kunt configureren en meer.
Parameterreferentie
De volgende parameters kunnen worden geconfigureerd. U kunt voorbeelden zien van hoe deze parameters worden gebruikt in Implementeren en configureren van de container die als host fungeert voor de SAP-gegevensconnectoragent.
Opslaglocatie voor geheim
Parameternaam:--keymode
Parameterwaarden:kvmi
, , kvsi
cfgf
Vereist: Nee. kvmi
wordt standaard aangenomen.
Uitleg: Hiermee geeft u op of geheimen (gebruikersnaam, wachtwoord, log analytics-id en gedeelde sleutel) moeten worden opgeslagen in het lokale configuratiebestand of in Azure Key Vault. Hiermee bepaalt u ook of verificatie voor Azure Key Vault wordt uitgevoerd met behulp van de door het Azure-systeem toegewezen beheerde identiteit van de VIRTUELE machine of een door het Microsoft Entra geregistreerde toepassingsidentiteit.
Als deze optie is ingesteld kvmi
, wordt Azure Key Vault gebruikt om geheimen op te slaan en wordt verificatie naar Azure Key Vault uitgevoerd met behulp van de door het Azure-systeem toegewezen beheerde identiteit van de virtuele machine.
Als deze optie is ingesteld kvsi
, wordt Azure Key Vault gebruikt om geheimen op te slaan en wordt verificatie naar Azure Key Vault uitgevoerd met behulp van een door Microsoft Entra geregistreerde toepassingsidentiteit. Voor het gebruik van kvsi
de modus zijn waarden --appsecret
--tenantid
en waarden vereist--appid
.
Als dit is ingesteld cfgf
, wordt het configuratiebestand dat lokaal is opgeslagen, gebruikt om geheimen op te slaan.
ABAP-serververbindingsmodus
Parameternaam:--connectionmode
Parameterwaarden:abap
, mserv
Vereist: Nee. Als dit niet is opgegeven, is de standaardwaarde abap
.
Uitleg: Definieert of de gegevensverzamelaaragent rechtstreeks verbinding moet maken met de ABAP-server of via een berichtserver. Gebruik abap
deze om de agent rechtstreeks verbinding te laten maken met de ABAP-server, waarvan u de naam kunt definiëren met behulp van de --abapserver
parameter (als u dat niet doet, wordt u er nog steeds om gevraagd). Gebruik mserv
dit diagram om verbinding te maken via een berichtserver. In dat geval moet u de --messageserverhost
parameters en --messageserverport
--logongroup
parameters opgeven.
Locatie van configuratiemap
Parameternaam:--configpath
Parameterwaarden:<path>
Vereist: Nee, /opt/sapcon/<SID>
wordt ervan uitgegaan als dit niet is opgegeven.
Uitleg: Standaard initialiseert kickstart het configuratiebestand, de locatie van de metagegevens naar /opt/sapcon/<SID>
. Als u een alternatieve locatie van de configuratie en metagegevens wilt instellen, gebruikt u de --configpath
parameter.
ABAP-serveradres
Parameternaam:--abapserver
Parameterwaarden:<servername>
Vereist: Nee. Als de parameter niet is opgegeven en als de parameter ABAP-serververbindingsmodus is ingesteld abap
op, wordt u gevraagd om de hostnaam/het IP-adres van de server.
Uitleg: Wordt alleen gebruikt als de verbindingsmodus is ingesteld op abap
, deze parameter bevat de Fully Qualified Domain Name (FQDN), korte naam of IP-adres van de ABAP-server waarmee verbinding moet worden gemaakt.
Nummer van systeemexemplaren
Parameternaam:--systemnr
Parameterwaarden:<system number>
Vereist: Nee. Als dit niet is opgegeven, wordt de gebruiker om het systeemnummer gevraagd.
Uitleg: Hiermee geeft u het exemplaarnummer van het SAP-systeem waarmee verbinding moet worden gemaakt.
Systeem-id
Parameternaam:--sid
Parameterwaarden:<SID>
Vereist: Nee. Als dit niet is opgegeven, wordt de gebruiker om de systeem-id gevraagd.
Uitleg: Hiermee geeft u de SAP-systeem-id waarmee verbinding moet worden gemaakt.
Clientnummer
Parameternaam:--clientnumber
Parameterwaarden:<client number>
Vereist: Nee. Als dit niet is opgegeven, wordt de gebruiker om het clientnummer gevraagd.
Uitleg: Hiermee geeft u het clientnummer waarmee verbinding moet worden gemaakt.
Berichtenserverhost
Parameternaam:--messageserverhost
Parameterwaarden:<servername>
Vereist: Ja, als de ABAP-serververbindingsmodus is ingesteld op mserv
.
Uitleg: Hiermee geeft u de hostnaam/ip-adres van de berichtserver waarmee verbinding moet worden gemaakt. Kan alleen worden gebruikt als de ABAP-serververbindingsmodus is ingesteld op mserv
.
Poort van berichtserver
Parameternaam:--messageserverport
Parameterwaarden:<portnumber>
Vereist: Ja, als de ABAP-serververbindingsmodus is ingesteld op mserv
.
Uitleg: Hiermee geeft u de servicenaam (poort) van de berichtserver waarmee verbinding moet worden gemaakt. Kan alleen worden gebruikt als de ABAP-serververbindingsmodus is ingesteld op mserv
.
Aanmeldingsgroep
Parameternaam:--logongroup
Parameterwaarden:<logon group>
Vereist: Ja, als de ABAP-serververbindingsmodus is ingesteld op mserv
.
Uitleg: Hiermee geeft u de aanmeldingsgroep op die moet worden gebruikt bij het maken van verbinding met een berichtserver. Kan alleen worden gebruikt als de ABAP-serververbindingsmodus is ingesteld op mserv
. Als de naam van de aanmeldingsgroep spaties bevat, moeten deze worden doorgegeven tussen dubbele aanhalingstekens, zoals in het voorbeeld --logongroup "my logon group"
.
Aanmeldingsnaam
Parameternaam:--sapusername
Parameterwaarden:<username>
Vereist: Nee. Als deze niet is opgegeven, wordt de gebruiker gevraagd om de gebruikersnaam als deze geen SNC (X.509) gebruikt voor verificatie.
Uitleg: Gebruikersnaam die wordt gebruikt om te verifiëren bij ABAP-server.
Aanmeldingswachtwoord
Parameternaam:--sappassword
Parameterwaarden:<password>
Vereist: Nee. Als dit niet is opgegeven, wordt de gebruiker gevraagd om het wachtwoord, als deze geen SNC (X.509) gebruikt voor verificatie. Wachtwoordinvoer wordt gemaskeerd.
Uitleg: Wachtwoord dat wordt gebruikt voor verificatie bij ABAP-server.
Locatie van NetWeaver SDK-bestand
Parameternaam:--sdk
Parameterwaarden:<filename>
Vereist: Nee. Het script probeert het nwrfc*.zip-bestand in de huidige map te vinden. Als deze niet wordt gevonden, wordt de gebruiker gevraagd een geldig NetWeaver SDK-archiefbestand op te geven.
Uitleg: NetWeaver SDK-bestandspad. Er is een geldige SDK vereist om de gegevensverzamelaar te laten werken. Zie Vereisten voor het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen® voor meer informatie.
Ondernemingstoepassings-id
Parameternaam:--appid
Parameterwaarden:<guid>
Vereist: Ja, als de opslaglocatie voor geheimen is ingesteld op kvsi
.
Uitleg: Wanneer de verificatiemodus van Azure Key Vault is ingesteld opkvsi
, wordt verificatie naar de sleutelkluis uitgevoerd met behulp van een bedrijfstoepassingsidentiteit (service-principal). Met deze parameter geeft u de toepassings-id op.
Bedrijfstoepassingsgeheim
Parameternaam:--appsecret
Parameterwaarden:<secret>
Vereist: Ja, als de opslaglocatie voor geheimen is ingesteld op kvsi
.
Uitleg: Wanneer de verificatiemodus van Azure Key Vault is ingesteld opkvsi
, wordt verificatie naar de sleutelkluis uitgevoerd met behulp van een bedrijfstoepassingsidentiteit (service-principal). Met deze parameter geeft u het toepassingsgeheim op.
Tenant-id
Parameternaam:--tenantid
Parameterwaarden:<guid>
Vereist: Ja, als de opslaglocatie voor geheimen is ingesteld op kvsi
.
Uitleg: Wanneer de verificatiemodus van Azure Key Vault is ingesteld opkvsi
, wordt verificatie naar de sleutelkluis uitgevoerd met behulp van een bedrijfstoepassingsidentiteit (service-principal). Met deze parameter geeft u de tenant-id van Microsoft Entra op.
Naam van key vault
Parameternaam:--kvaultname
Parameterwaarden:<key vaultname>
Vereist: Nee. Als de opslaglocatie voor geheim is ingesteld op kvsi
of kvmi
, vraagt het script om de waarde als deze niet is opgegeven.
Uitleg: Als de opslaglocatie voor geheimen is ingesteld op kvsi
of kvmi
, moet hier de naam van de sleutelkluis (in FQDN-indeling) worden ingevoerd.
Log Analytics-werkruimte-id
Parameternaam:--loganalyticswsid
Parameterwaarden:<id>
Vereist: Nee. Als dit niet is opgegeven, vraagt het script om de werkruimte-id.
Uitleg: Log Analytics-werkruimte-id waarnaar de gegevensverzamelaar de gegevens verzendt. Als u de werkruimte-id wilt zoeken, zoekt u de Log Analytics-werkruimte in Azure Portal: open Microsoft Sentinel, selecteer Instellingen in de sectie Configuratie, selecteer Werkruimte-instellingen en selecteer Vervolgens Agents Management.
Log Analytics-sleutel
Parameternaam:--loganalyticskey
Parameterwaarden:<key>
Vereist: Nee. Als dit niet is opgegeven, vraagt het script om de werkruimtesleutel. Invoer wordt gemaskeerd.
Uitleg: Primaire of secundaire sleutel van de Log Analytics-werkruimte waarnaar de gegevensverzamelaar de gegevens verzendt. Als u de primaire of secundaire sleutel van de werkruimte wilt zoeken, zoekt u de Log Analytics-werkruimte in Azure Portal: open Microsoft Sentinel, selecteer Instellingen in de sectie Configuratie, selecteer Werkruimte-instellingen en selecteer vervolgens Agents Management.
X.509 (SNC) gebruiken voor verificatie
Parameternaam:--use-snc
Parameterwaarden: Geen
Vereist: Nee. Als dit niet is opgegeven, worden de gebruikersnaam en het wachtwoord gebruikt voor verificatie. Indien opgegeven, --cryptolib
, , combinatie --sapgenpse
van een --client-cert
van beide en --client-key
, of --client-pfx
en --client-pfx-passwd
en --server-cert
, en in bepaalde gevallen --cacert
is schakelopties vereist.
Uitleg: Hiermee geeft u op dat X.509-verificatie wordt gebruikt om verbinding te maken met ABAP-server, in plaats van verificatie van gebruikersnaam en wachtwoord. Zie Microsoft Sentinel implementeren voor SAP-gegevensconnector met behulp van SNC voor meer informatie.
Pad naar cryptografische SAP-bibliotheek
Parameternaam:--cryptolib
Parameterwaarden:<sapcryptolibfilename>
Vereist: Ja, indien --use-snc
opgegeven.
Uitleg: Locatie en bestandsnaam van de CRYPTOgrafische SAP-bibliotheek (libsapcrypto.so).
SAPGENPSE-hulpprogrammapad
Parameternaam:--sapgenpse
Parameterwaarden:<sapgenpsefilename>
Vereist: Ja, indien --use-snc
opgegeven.
Uitleg: Locatie en bestandsnaam van het hulpprogramma sapgenpse voor het maken en beheren van PSE-bestanden en SSO-referenties.
Pad naar openbare sleutel van clientcertificaat
Parameternaam:--client-cert
Parameterwaarden:<client certificate filename>
Vereist: Ja, als --use-snc
en het certificaat de indeling .crt/.key base-64 heeft.
Uitleg: Locatie en bestandsnaam van het openbare base-64-clientcertificaat. Als het clientcertificaat de PFX-indeling heeft, gebruikt u --client-pfx
in plaats daarvan de schakeloptie.
Pad naar persoonlijke sleutel van clientcertificaat
Parameternaam:--client-key
Parameterwaarden:<client key filename>
Vereist: Ja, als --use-snc
de sleutel is opgegeven en de sleutel de indeling .crt/.key base-64 heeft.
Uitleg: Locatie en bestandsnaam van de persoonlijke basis-64-clientsleutel. Als het clientcertificaat de PFX-indeling heeft, gebruikt u --client-pfx
in plaats daarvan de schakeloptie.
Certificaten verlenen/basiscertificeringsinstantie
Parameternaam:--cacert
Parameterwaarden:<trusted ca cert>
Vereist: Ja, als --use-snc
dit is opgegeven en het certificaat wordt uitgegeven door een certificeringsinstantie voor ondernemingen.
Uitleg: Als het certificaat zelfondertekend is, heeft het geen verlenende CA, dus er is geen vertrouwensketen die moet worden gevalideerd. Als het certificaat wordt uitgegeven door een ca voor ondernemingen, moeten het verlenende CA-certificaat en eventuele ca-certificaten op een hoger niveau worden gevalideerd. Gebruik afzonderlijke exemplaren van de --cacert
switch voor elke CA in de vertrouwensketen en geef de volledige bestandsnamen op van de openbare certificaten van de certificeringsinstanties voor ondernemingen.
PfX-certificaatpad van client
Parameternaam:--client-pfx
Parameterwaarden:<pfx filename>
Vereist: Ja, als --use-snc
en de sleutel de indeling .pfx/.p12 heeft.
Uitleg: Locatie en bestandsnaam van het pfx-clientcertificaat.
PfX-certificaatwachtwoord voor client
Parameternaam:--client-pfx-passwd
Parameterwaarden:<password>
Vereist: Ja, als --use-snc
dit wordt gebruikt, heeft het certificaat de indeling .pfx/.p12 en wordt het certificaat beveiligd met een wachtwoord.
Uitleg: PFX/P12-bestandswachtwoord.
Servercertificaat
Parameternaam:--server-cert
Parameterwaarden:<server certificate filename>
Vereist: Ja, indien --use-snc
gebruikt.
Uitleg: ABAP-servercertificaat volledig pad en naam.
URL van HTTP-proxyserver
Parameternaam:--http-proxy
Parameterwaarden:<proxy url>
Vereist: Nee
Uitleg: Containers die geen verbinding kunnen maken met Microsoft Azure-services en die verbinding via een proxyserver vereisen, moeten --http-proxy
overschakelen naar de proxy-URL voor de container. De indeling van de proxy-URL is http://hostname:port
.
Netwerken op basis van host
Parameternaam:--hostnetwork
Vereist: Nee.
Uitleg: Als deze switch is opgegeven, gebruikt de agent een netwerkconfiguratie op basis van een host. Dit kan in sommige gevallen problemen met interne DNS-omzetting oplossen.
Alle prompts bevestigen
Parameternaam:--confirm-all-prompts
Parameterwaarden: Geen
Vereist: Nee
Uitleg: Als de --confirm-all-prompts
schakeloptie is opgegeven, wordt het script niet onderbroken voor bevestigingen van gebruikers en wordt alleen gevraagd of gebruikersinvoer is vereist. Gebruik --confirm-all-prompts
de switch om een zero-touch-implementatie te bereiken.
Preview-build van de container gebruiken
Parameternaam:--preview
Parameterwaarden: Geen
Vereist: Nee
Uitleg: Standaard implementeert het kickstartscript voor containerimplementatie de container met de :latest
tag. Openbare preview-functies worden gepubliceerd naar de :latest-preview
tag. Geef de --preview
switch op om ervoor te zorgen dat het script voor containerimplementatie gebruikmaakt van een openbare preview-versie van de container.
Volgende stappen
Meer informatie over de Microsoft Sentinel-oplossing voor SAP-toepassingen®:
- Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen®
- Vereisten voor het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen®
- SAP-wijzigingsaanvragen (CA's) implementeren en autorisatie configureren
- De inhoud van de oplossing implementeren vanuit de inhoudshub
- De container implementeren en configureren die als host fungeert voor de SAP-gegevensconnectoragent
- De Microsoft Sentinel voor SAP-gegevensconnector implementeren met SNC
- De status van uw SAP-systeem bewaken
- SAP-controle inschakelen en configureren
- SAP HANA-auditlogboeken verzamelen
Problemen oplossen:
Referentiebestanden:
- Microsoft Sentinel-oplossing voor gegevensreferenties voor SAP-toepassingen®
- Microsoft Sentinel-oplossing voor SAP-toepassingen®: naslaginformatie over beveiligingsinhoud
- Scriptreferentie bijwerken
- Systemconfig.ini bestandsreferentie
Zie Microsoft Sentinel-oplossingen voor meer informatie.