Naslaginformatie over Kickstart-scripts

  • Artikel

Scriptoverzicht

Vereenvoudig de implementatie van de container die als host fungeert voor de SAP-gegevensconnector met behulp van het opgegeven Kickstart-script (beschikbaar in de Microsoft Sentinel-oplossing voor SAP-toepassingen® GitHub), waarmee u ook verschillende modi van geheimenopslag kunt inschakelen, SNC (Secure Network Communications) kunt configureren en meer.

Parameterreferentie

De volgende parameters kunnen worden geconfigureerd. U kunt voorbeelden zien van hoe deze parameters worden gebruikt in Implementeren en configureren van de container die als host fungeert voor de SAP-gegevensconnectoragent.

Opslaglocatie voor geheim

Parameternaam:--keymode

Parameterwaarden:kvmi, , kvsicfgf

Vereist: Nee. kvmi wordt standaard aangenomen.

Uitleg: Hiermee geeft u op of geheimen (gebruikersnaam, wachtwoord, log analytics-id en gedeelde sleutel) moeten worden opgeslagen in het lokale configuratiebestand of in Azure Key Vault. Hiermee bepaalt u ook of verificatie voor Azure Key Vault wordt uitgevoerd met behulp van de door het Azure-systeem toegewezen beheerde identiteit van de VIRTUELE machine of een door het Microsoft Entra geregistreerde toepassingsidentiteit.

Als deze optie is ingesteld kvmi, wordt Azure Key Vault gebruikt om geheimen op te slaan en wordt verificatie naar Azure Key Vault uitgevoerd met behulp van de door het Azure-systeem toegewezen beheerde identiteit van de virtuele machine.

Als deze optie is ingesteld kvsi, wordt Azure Key Vault gebruikt om geheimen op te slaan en wordt verificatie naar Azure Key Vault uitgevoerd met behulp van een door Microsoft Entra geregistreerde toepassingsidentiteit. Voor het gebruik van kvsi de modus zijn waarden --appsecret--tenantid en waarden vereist--appid.

Als dit is ingesteld cfgf, wordt het configuratiebestand dat lokaal is opgeslagen, gebruikt om geheimen op te slaan.

ABAP-serververbindingsmodus

Parameternaam:--connectionmode

Parameterwaarden:abap, mserv

Vereist: Nee. Als dit niet is opgegeven, is de standaardwaarde abap.

Uitleg: Definieert of de gegevensverzamelaaragent rechtstreeks verbinding moet maken met de ABAP-server of via een berichtserver. Gebruik abap deze om de agent rechtstreeks verbinding te laten maken met de ABAP-server, waarvan u de naam kunt definiëren met behulp van de --abapserver parameter (als u dat niet doet, wordt u er nog steeds om gevraagd). Gebruik mserv dit diagram om verbinding te maken via een berichtserver. In dat geval moet u de --messageserverhostparameters en --messageserverport--logongroup parameters opgeven.

Locatie van configuratiemap

Parameternaam:--configpath

Parameterwaarden:<path>

Vereist: Nee, /opt/sapcon/<SID> wordt ervan uitgegaan als dit niet is opgegeven.

Uitleg: Standaard initialiseert kickstart het configuratiebestand, de locatie van de metagegevens naar /opt/sapcon/<SID>. Als u een alternatieve locatie van de configuratie en metagegevens wilt instellen, gebruikt u de --configpath parameter.

ABAP-serveradres

Parameternaam:--abapserver

Parameterwaarden:<servername>

Vereist: Nee. Als de parameter niet is opgegeven en als de parameter ABAP-serververbindingsmodus is ingesteld abapop, wordt u gevraagd om de hostnaam/het IP-adres van de server.

Uitleg: Wordt alleen gebruikt als de verbindingsmodus is ingesteld op abap, deze parameter bevat de Fully Qualified Domain Name (FQDN), korte naam of IP-adres van de ABAP-server waarmee verbinding moet worden gemaakt.

Nummer van systeemexemplaren

Parameternaam:--systemnr

Parameterwaarden:<system number>

Vereist: Nee. Als dit niet is opgegeven, wordt de gebruiker om het systeemnummer gevraagd.

Uitleg: Hiermee geeft u het exemplaarnummer van het SAP-systeem waarmee verbinding moet worden gemaakt.

Systeem-id

Parameternaam:--sid

Parameterwaarden:<SID>

Vereist: Nee. Als dit niet is opgegeven, wordt de gebruiker om de systeem-id gevraagd.

Uitleg: Hiermee geeft u de SAP-systeem-id waarmee verbinding moet worden gemaakt.

Clientnummer

Parameternaam:--clientnumber

Parameterwaarden:<client number>

Vereist: Nee. Als dit niet is opgegeven, wordt de gebruiker om het clientnummer gevraagd.

Uitleg: Hiermee geeft u het clientnummer waarmee verbinding moet worden gemaakt.

Berichtenserverhost

Parameternaam:--messageserverhost

Parameterwaarden:<servername>

Vereist: Ja, als de ABAP-serververbindingsmodus is ingesteld op mserv.

Uitleg: Hiermee geeft u de hostnaam/ip-adres van de berichtserver waarmee verbinding moet worden gemaakt. Kan alleen worden gebruikt als de ABAP-serververbindingsmodus is ingesteld op mserv.

Poort van berichtserver

Parameternaam:--messageserverport

Parameterwaarden:<portnumber>

Vereist: Ja, als de ABAP-serververbindingsmodus is ingesteld op mserv.

Uitleg: Hiermee geeft u de servicenaam (poort) van de berichtserver waarmee verbinding moet worden gemaakt. Kan alleen worden gebruikt als de ABAP-serververbindingsmodus is ingesteld op mserv.

Aanmeldingsgroep

Parameternaam:--logongroup

Parameterwaarden:<logon group>

Vereist: Ja, als de ABAP-serververbindingsmodus is ingesteld op mserv.

Uitleg: Hiermee geeft u de aanmeldingsgroep op die moet worden gebruikt bij het maken van verbinding met een berichtserver. Kan alleen worden gebruikt als de ABAP-serververbindingsmodus is ingesteld op mserv. Als de naam van de aanmeldingsgroep spaties bevat, moeten deze worden doorgegeven tussen dubbele aanhalingstekens, zoals in het voorbeeld --logongroup "my logon group".

Aanmeldingsnaam

Parameternaam:--sapusername

Parameterwaarden:<username>

Vereist: Nee. Als deze niet is opgegeven, wordt de gebruiker gevraagd om de gebruikersnaam als deze geen SNC (X.509) gebruikt voor verificatie.

Uitleg: Gebruikersnaam die wordt gebruikt om te verifiëren bij ABAP-server.

Aanmeldingswachtwoord

Parameternaam:--sappassword

Parameterwaarden:<password>

Vereist: Nee. Als dit niet is opgegeven, wordt de gebruiker gevraagd om het wachtwoord, als deze geen SNC (X.509) gebruikt voor verificatie. Wachtwoordinvoer wordt gemaskeerd.

Uitleg: Wachtwoord dat wordt gebruikt voor verificatie bij ABAP-server.

Locatie van NetWeaver SDK-bestand

Parameternaam:--sdk

Parameterwaarden:<filename>

Vereist: Nee. Het script probeert het nwrfc*.zip-bestand in de huidige map te vinden. Als deze niet wordt gevonden, wordt de gebruiker gevraagd een geldig NetWeaver SDK-archiefbestand op te geven.

Uitleg: NetWeaver SDK-bestandspad. Er is een geldige SDK vereist om de gegevensverzamelaar te laten werken. Zie Vereisten voor het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen® voor meer informatie.

Ondernemingstoepassings-id

Parameternaam:--appid

Parameterwaarden:<guid>

Vereist: Ja, als de opslaglocatie voor geheimen is ingesteld op kvsi.

Uitleg: Wanneer de verificatiemodus van Azure Key Vault is ingesteld opkvsi, wordt verificatie naar de sleutelkluis uitgevoerd met behulp van een bedrijfstoepassingsidentiteit (service-principal). Met deze parameter geeft u de toepassings-id op.

Bedrijfstoepassingsgeheim

Parameternaam:--appsecret

Parameterwaarden:<secret>

Vereist: Ja, als de opslaglocatie voor geheimen is ingesteld op kvsi.

Uitleg: Wanneer de verificatiemodus van Azure Key Vault is ingesteld opkvsi, wordt verificatie naar de sleutelkluis uitgevoerd met behulp van een bedrijfstoepassingsidentiteit (service-principal). Met deze parameter geeft u het toepassingsgeheim op.

Tenant-id

Parameternaam:--tenantid

Parameterwaarden:<guid>

Vereist: Ja, als de opslaglocatie voor geheimen is ingesteld op kvsi.

Uitleg: Wanneer de verificatiemodus van Azure Key Vault is ingesteld opkvsi, wordt verificatie naar de sleutelkluis uitgevoerd met behulp van een bedrijfstoepassingsidentiteit (service-principal). Met deze parameter geeft u de tenant-id van Microsoft Entra op.

Naam van key vault

Parameternaam:--kvaultname

Parameterwaarden:<key vaultname>

Vereist: Nee. Als de opslaglocatie voor geheim is ingesteld op kvsi of kvmi, vraagt het script om de waarde als deze niet is opgegeven.

Uitleg: Als de opslaglocatie voor geheimen is ingesteld op kvsi of kvmi, moet hier de naam van de sleutelkluis (in FQDN-indeling) worden ingevoerd.

Log Analytics-werkruimte-id

Parameternaam:--loganalyticswsid

Parameterwaarden:<id>

Vereist: Nee. Als dit niet is opgegeven, vraagt het script om de werkruimte-id.

Uitleg: Log Analytics-werkruimte-id waarnaar de gegevensverzamelaar de gegevens verzendt. Als u de werkruimte-id wilt zoeken, zoekt u de Log Analytics-werkruimte in Azure Portal: open Microsoft Sentinel, selecteer Instellingen in de sectie Configuratie, selecteer Werkruimte-instellingen en selecteer Vervolgens Agents Management.

Log Analytics-sleutel

Parameternaam:--loganalyticskey

Parameterwaarden:<key>

Vereist: Nee. Als dit niet is opgegeven, vraagt het script om de werkruimtesleutel. Invoer wordt gemaskeerd.

Uitleg: Primaire of secundaire sleutel van de Log Analytics-werkruimte waarnaar de gegevensverzamelaar de gegevens verzendt. Als u de primaire of secundaire sleutel van de werkruimte wilt zoeken, zoekt u de Log Analytics-werkruimte in Azure Portal: open Microsoft Sentinel, selecteer Instellingen in de sectie Configuratie, selecteer Werkruimte-instellingen en selecteer vervolgens Agents Management.

X.509 (SNC) gebruiken voor verificatie

Parameternaam:--use-snc

Parameterwaarden: Geen

Vereist: Nee. Als dit niet is opgegeven, worden de gebruikersnaam en het wachtwoord gebruikt voor verificatie. Indien opgegeven, --cryptolib, , combinatie --sapgenpsevan een --client-cert van beide en --client-key, of --client-pfx en --client-pfx-passwd en --server-cert, en in bepaalde gevallen --cacert is schakelopties vereist.

Uitleg: Hiermee geeft u op dat X.509-verificatie wordt gebruikt om verbinding te maken met ABAP-server, in plaats van verificatie van gebruikersnaam en wachtwoord. Zie Microsoft Sentinel implementeren voor SAP-gegevensconnector met behulp van SNC voor meer informatie.

Pad naar cryptografische SAP-bibliotheek

Parameternaam:--cryptolib

Parameterwaarden:<sapcryptolibfilename>

Vereist: Ja, indien --use-snc opgegeven.

Uitleg: Locatie en bestandsnaam van de CRYPTOgrafische SAP-bibliotheek (libsapcrypto.so).

SAPGENPSE-hulpprogrammapad

Parameternaam:--sapgenpse

Parameterwaarden:<sapgenpsefilename>

Vereist: Ja, indien --use-snc opgegeven.

Uitleg: Locatie en bestandsnaam van het hulpprogramma sapgenpse voor het maken en beheren van PSE-bestanden en SSO-referenties.

Pad naar openbare sleutel van clientcertificaat

Parameternaam:--client-cert

Parameterwaarden:<client certificate filename>

Vereist: Ja, als --use-sncen het certificaat de indeling .crt/.key base-64 heeft.

Uitleg: Locatie en bestandsnaam van het openbare base-64-clientcertificaat. Als het clientcertificaat de PFX-indeling heeft, gebruikt u --client-pfx in plaats daarvan de schakeloptie.

Pad naar persoonlijke sleutel van clientcertificaat

Parameternaam:--client-key

Parameterwaarden:<client key filename>

Vereist: Ja, als --use-snc de sleutel is opgegeven en de sleutel de indeling .crt/.key base-64 heeft.

Uitleg: Locatie en bestandsnaam van de persoonlijke basis-64-clientsleutel. Als het clientcertificaat de PFX-indeling heeft, gebruikt u --client-pfx in plaats daarvan de schakeloptie.

Certificaten verlenen/basiscertificeringsinstantie

Parameternaam:--cacert

Parameterwaarden:<trusted ca cert>

Vereist: Ja, als --use-snc dit is opgegeven en het certificaat wordt uitgegeven door een certificeringsinstantie voor ondernemingen.

Uitleg: Als het certificaat zelfondertekend is, heeft het geen verlenende CA, dus er is geen vertrouwensketen die moet worden gevalideerd. Als het certificaat wordt uitgegeven door een ca voor ondernemingen, moeten het verlenende CA-certificaat en eventuele ca-certificaten op een hoger niveau worden gevalideerd. Gebruik afzonderlijke exemplaren van de --cacert switch voor elke CA in de vertrouwensketen en geef de volledige bestandsnamen op van de openbare certificaten van de certificeringsinstanties voor ondernemingen.

PfX-certificaatpad van client

Parameternaam:--client-pfx

Parameterwaarden:<pfx filename>

Vereist: Ja, als --use-sncen de sleutel de indeling .pfx/.p12 heeft.

Uitleg: Locatie en bestandsnaam van het pfx-clientcertificaat.

PfX-certificaatwachtwoord voor client

Parameternaam:--client-pfx-passwd

Parameterwaarden:<password>

Vereist: Ja, als --use-snc dit wordt gebruikt, heeft het certificaat de indeling .pfx/.p12 en wordt het certificaat beveiligd met een wachtwoord.

Uitleg: PFX/P12-bestandswachtwoord.

Servercertificaat

Parameternaam:--server-cert

Parameterwaarden:<server certificate filename>

Vereist: Ja, indien --use-snc gebruikt.

Uitleg: ABAP-servercertificaat volledig pad en naam.

URL van HTTP-proxyserver

Parameternaam:--http-proxy

Parameterwaarden:<proxy url>

Vereist: Nee

Uitleg: Containers die geen verbinding kunnen maken met Microsoft Azure-services en die verbinding via een proxyserver vereisen, moeten --http-proxy overschakelen naar de proxy-URL voor de container. De indeling van de proxy-URL is http://hostname:port.

Netwerken op basis van host

Parameternaam:--hostnetwork

Vereist: Nee.

Uitleg: Als deze switch is opgegeven, gebruikt de agent een netwerkconfiguratie op basis van een host. Dit kan in sommige gevallen problemen met interne DNS-omzetting oplossen.

Alle prompts bevestigen

Parameternaam:--confirm-all-prompts

Parameterwaarden: Geen

Vereist: Nee

Uitleg: Als de --confirm-all-prompts schakeloptie is opgegeven, wordt het script niet onderbroken voor bevestigingen van gebruikers en wordt alleen gevraagd of gebruikersinvoer is vereist. Gebruik --confirm-all-prompts de switch om een zero-touch-implementatie te bereiken.

Preview-build van de container gebruiken

Parameternaam:--preview

Parameterwaarden: Geen

Vereist: Nee

Uitleg: Standaard implementeert het kickstartscript voor containerimplementatie de container met de :latest tag. Openbare preview-functies worden gepubliceerd naar de :latest-preview tag. Geef de --preview switch op om ervoor te zorgen dat het script voor containerimplementatie gebruikmaakt van een openbare preview-versie van de container.

Volgende stappen

Meer informatie over de Microsoft Sentinel-oplossing voor SAP-toepassingen®:

Problemen oplossen:

Referentiebestanden:

Zie Microsoft Sentinel-oplossingen voor meer informatie.