Microsoft Sentinel rozwiązanie dla dokumentacji pliku agenta systemconfig.json łącznika danych aplikacji SAP

Plik systemconfig.json służy do konfigurowania zachowania Microsoft Sentinel agenta łącznika danych aplikacji SAP po wdrożeniu z wiersza polecenia. W tym artykule opisano opcje dostępne w każdej sekcji pliku konfiguracji.

Zawartość tego artykułu jest przeznaczona dla zespołów SAP BASIS i ma zastosowanie tylko wtedy, gdy agent łącznika danych jest wdrażany z wiersza polecenia. Zamiast tego zalecamy wdrożenie agenta łącznika danych z portalu .

Ważna

Microsoft Sentinel rozwiązanie dla aplikacji SAP używa pliku systemconfig.json dla wersji agenta wydanych 22 czerwca 2023 r. lub później. W przypadku poprzednich wersji agenta nadal należy użyć plikusystemconfig.ini.

Ogólna struktura plików

Poniższy kod przedstawia ogólną strukturę systemconfig.json pliku:

{ 

"<SID_GUID>": { 

    "secrets_source": {...},

    "abap_central_instance": {...},

    "azure_credentials": {...},

    "file_extraction_abap": {...},

    "file_extraction_java": {...},

    "logs_activation_status" {...},

    "connector_configuration": {...},

    "abap_table_selector": {...}

...

}

W poniższej tabeli opisano każdą ogólną sekcję systemconfig.json w pliku:

Nazwa sekcji	Opis
Źródło wpisów tajnych	Określa miejsce przechowywania poświadczeń.
Wystąpienie centralne ABAP	Definiuje ogólne opcje wystąpienia SAP do nawiązania połączenia.
poświadczenia Azure	Definiuje poświadczenia umożliwiające nawiązanie połączenia z usługą Azure Log Analytics.
Abap wyodrębniania plików	Definiuje dzienniki i poświadczenia wyodrębniane z serwerów ABAP przy użyciu interfejsu SAPControl.
Wyodrębnianie plików JAVA	Definiuje dzienniki i poświadczenia wyodrębniane z serwerów JAVA przy użyciu interfejsu SAPControl.
Stan aktywacji dzienników	Określa, które dzienniki są wyodrębniane z abap.
Konfiguracja łącznika	Definiuje różne opcje łącznika.
Selektor tabeli ABAP	Określa, które dzienniki danych głównego użytkownika są wyodrębniane z systemu ABAP.

Źródło wpisów tajnych

Uwaga

Usuń wszystkie komentarze przed użyciem tego pliku do konfiguracji i wdrożenia.

"secrets_source": {
  "secrets": "AZURE_KEY_VAULT|DOCKER_FIXED",
  # Storage location of SAP credentials and Log Analytics workspace ID and key
  # AZURE_KEY_VAULT - store in an Azure Key Vault. Requires keyvault option and intprefix option
  # DOCKER_FIXED - store in systemconfig.json file. Requires user, passwd, loganalyticswsid and publickey options

  "keyvault": "<vaultname>",
  # Azure Keyvault name, in case secrets = AZURE_KEY_VAULT

  "intprefix": "<prefix>"
  # intprefix - Prefix for variables created in Azure Key Vault

    },

Wystąpienie centralne ABAP

Uwaga

Usuń wszystkie komentarze przed użyciem tego pliku do konfiguracji i wdrożenia.

"abap_central_instance": {
      "auth_type": "PLAIN_USER_AND_PASSWORD|SNC_WITH_X509",
      # Authentication type - username/password authentication, or X.509 authentication

      "ashost": "<hostname>",
      # FQDN, hostname, or IP address of the ABAP server

      "mshost": "<hostname>",
      # FQDN, hostname, or IP address of the Message server

      "msserv": "<portnumber>",
      # Port number, or service name (from /etc/services) of the message server

      "group": "<logon group>",
      # Logon group of the message server

      "sysnr": "<Instance number>",
      # Instance number of the ABAP server

      "sysid": "<SID>",
      # System ID of the ABAP server

      "client": "<Client Number>",
      # Client number of the ABAP server

      "user": "<username>",
      # Username to use to connect to ABAP server. Used only when secrets setting in Secrets Source section is set to DOCKER_FIXED

      "passwd": "<password>",
      # Password to use to connect to ABAP server. Used only when secrets setting in Secrets Source section is set to DOCKER_FIXED

      "snc_lib": "<path to libsapcrypto>",
      # Full path, to the libsapcrypto.so
      # Used when SNC is in use
      # !!! Note - the path must be valid within the container.

      "snc_partnername": "<distinguished name of the server certificate>",
      # p: -prefixed valid SAP server SNC name, which is equal to Distinguished Name(DN) of SAP server PSE
      # Used when SNC is in use

      "snc_qop": "<SNC protection level>",
      # More information available at docs.oracle.com/cd/E19509-01/820-5064/ggrpj/index.html
      # Used when SNC is in use

      "snc_myname": "<distinguished name of the client certificate>",
      # p: -prefixed valid client SNC name, which is equal to Distinguished Name(DN) of client PSE
      # Used when SNC is in use

      "x509cert": "<server certificate>"
      # Base64 encoded server certificate value in a single line (with leading ----BEGIN-CERTIFICATE--- and trailing ----END-CERTIFICATE---- removed)
    },

poświadczenia Azure

Uwaga

Usuń wszystkie komentarze przed użyciem tego pliku do konfiguracji i wdrożenia.

 "azure_credentials": {
      "loganalyticswsid": "<workspace ID>",
      # Log Analytics workspace ID. Used only when secrets setting in Secrets Source section is set to DOCKER_FIXED

      "publickey": "<publickey>"
      # Log Analytics workspace primary or secondary key. Used only when secrets setting in Secrets Source section is set to DOCKER_FIXED

    },

Abap wyodrębniania plików

Uwaga

Usuń wszystkie komentarze przed użyciem tego pliku do konfiguracji i wdrożenia.

"file_extraction_abap": {
      "osuser": "<SAPControl username>",
      # Username to use to authenticate to SAPControl

      "ospasswd": "<SAPControl password>",
      # Password to use to authenticate to SAPControl

      "appserver": "<server>",
      #SAPControl server hostname/fqdn/IP address

      "instance": "<instance>",
      #SAPControl instance number

      "abapseverity": "<severity>",
      # 0 = All logs ; 1 = Warning ; 2 = Error

      "abaptz": "<timezone>"
      # GMT FORMAT
      # example - For OS Timezone = NZST (New Zealand Standard Time) use abaptz = GMT+12
    },

Wyodrębnianie plików JAVA

Uwaga

Usuń wszystkie komentarze przed użyciem tego pliku do konfiguracji i wdrożenia.

"file_extraction_java": {
      "javaosuser": "<username>",
      # Username to use to authenticate to JAVA server

      "javaospasswd": "<password>",
      # Password to use to authenticate to JAVA server

      "javaappserver": "<server>",
      #JAVA server hostname/fqdn/IP address

      "javainstance": "<instance number>",
      #JAVA instance number

      "javaseverity": "<severity>",
      # 0 = All logs ; 1 = Warning ; 2 = Error

      "javatz": "<timezone>"
      # GMT FORMAT
      # example - For OS Timezone = NZST (New Zealand Standard Time) use abaptz = GMT+12

    },

Stan aktywacji dzienników

Uwaga

Usuń wszystkie komentarze przed użyciem tego pliku do konfiguracji i wdrożenia.

"logs_activation_status": {
      # GMT FORMAT
      # example - For OS Timezone = NZST (New Zealand Standard Time) use abaptz = GMT+12
      "ABAPAuditLog": "<True/False>",
      "ABAPJobLog": "<True/False>",
      "ABAPSpoolLog": "<True/False>",
      "ABAPSpoolOutputLog": "<True/False>",
      "ABAPChangeDocsLog": "<True/False>",
      "ABAPAppLog": "<True/False>",
      "ABAPWorkflowLog": "<True/False>",
      "ABAPCRLog": "<True/False>",
      "ABAPTableDataLog": "<True/False>",
      
      # The following logs are retrieved using SAP Control interface and OS Login
      "ABAPFilesLogs": "<True/False>",
      "SysLog": "<True/False>",
      "ICM": "<True/False>",
      "WP": "<True/False>",
      "GW": "<True/False>",
      
      # The following logs are retrieved using SAP Control interface and OS Login
      "JAVAFilesLogs": "<True/False>",

Konfiguracja łącznika

Uwaga

Usuń wszystkie komentarze przed użyciem tego pliku do konfiguracji i wdrożenia.

"connector_configuration": {
      "extractuseremail": "<True/False>",
      "apiretry": "<True/False>",
      "auditlogforcexal": "<True/False>",
      "auditlogforcelegacyfiles": "<True/False>",
      "azure_resource_id": "<Azure _ResourceId>",
      "timechunk": "<value>"
    },

Selektor tabeli ABAP

Uwaga

Usuń wszystkie komentarze przed użyciem tego pliku do konfiguracji i wdrożenia.

"abap_table_selector": {
      # Specify True or False to configure whether table should be collected from the SAP system

      "AGR_TCODES_FULL": "<True/False>",
      "USR01_FULL": "<True/False>",
      "USR02_FULL": "<True/False>",
      "USR02_INCREMENTAL": "<True/False>",
      "AGR_1251_FULL": "<True/False>",
      "AGR_USERS_FULL": "<True/False>",
      "AGR_USERS_INCREMENTAL": "<True/False>",
      "AGR_PROF_FULL": "<True/False>",
      "UST04_FULL": "<True/False>",
      "USR21_FULL": "<True/False>",
      "ADR6_FULL": "<True/False>",
      "ADCP_FULL": "<True/False>",
      "USR05_FULL": "<True/False>",
      "USGRP_USER_FULL": "<True/False>",
      "USER_ADDR_FULL": "<True/False>",
      "DEVACCESS_FULL": "<True/False>",
      "AGR_DEFINE_FULL": "<True/False>",
      "AGR_DEFINE_INCREMENTAL": "<True/False>",
      "PAHI_FULL": "<True/False>",
      "PAHI_INCREMENTAL": "<True/False>",
      "AGR_AGRS_FULL": "<True/False>",
      "USRSTAMP_FULL": "<True/False>",
      "USRSTAMP_INCREMENTAL": "<True/False>",
      "SNCSYSACL_FULL": "<True/False>",
      "USRACL_FULL": "<True/False>"
    }

Zawartość pokrewna

Więcej informacji można znaleźć w następujących artykułach:

• Łączenie systemu SAP z Microsoft Sentinel
• Rozwiązywanie problemów z rozwiązaniem Microsoft Sentinel wdrażania rozwiązań SAP
• Odwołanie do skryptu kickstart