Referência de script para início rápido

  • Artigo

Visão geral do script

Simplifique a implantação do contêiner que hospeda o conector de dados SAP usando o script Kickstart fornecido (disponível na solução Microsoft Sentinel para aplicativos SAP® GitHub), que também pode habilitar diferentes modos de armazenamento de segredos, configurar SNC (Secure Network Communications) e muito mais.

Referência de parâmetro

Os parâmetros a seguir são configuráveis. Veja exemplos de como esses parâmetros são usados em Implantar e configurar o contêiner que hospeda o agente do conector de dados do SAP.

Local de armazenamento do segredo

Nome do parâmetro:--keymode

Valores de parâmetro:kvmi, kvsi, cfgf

Necessário: não. kvmi será considerado por padrão.

Explicação: especifica se os segredos (nome de usuário, senha, ID de análise de log e chave compartilhada) devem ser armazenados no arquivo de configuração local ou no Cofre de Chaves do Azure. Também controla se a autenticação no Azure Key Vault é realizada usando a identidade gerenciada atribuída pelo sistema do Azure da VM ou uma identidade de aplicativo registrado do Microsoft Entra.

Se definido como kvmi, o Azure Key Vault será usado para armazenar segredos e a autenticação no Azure Key Vault será feita usando a identidade gerenciada atribuída pelo sistema do Azure da máquina virtual.

Se definido como kvsi, o Azure Key Vault será usado para armazenar segredos, e a autenticação no Azure Key Vault será feita usando uma identidade de aplicativo registrado do Microsoft Entra. O uso do kvsi modo requer --appidvalores e --appsecret--tenantid , .

Se definido como cfgf, o arquivo de configuração armazenado localmente será usado para armazenar segredos.

Modo de conexão do servidor ABAP

Nome do parâmetro:--connectionmode

Valores de parâmetro:abap, mserv

Necessário: não. Se não for especificado, o padrão será abap.

Explicação: define se o agente coletor de dados deve se conectar diretamente ao servidor ABAP ou por meio de um servidor de mensagens. Use abap para que o agente se conecte diretamente ao servidor ABAP, cujo nome você pode definir usando o --abapserver parâmetro (embora, se você não fizer isso, ainda será solicitado a fornecê-lo). Use mserv para se conectar por meio de um servidor de mensagens; nesse caso, você deverá especificar os parâmetros --messageserverhost, --messageserverport e --logongroup.

Local da pasta de configuração

Nome do parâmetro:--configpath

Valores de parâmetro:<path>

Necessário: não, /opt/sapcon/<SID> será assumido se não for especificado.

Explicação: por padrão, o início rápido inicializa o arquivo de configuração, o local dos metadados como /opt/sapcon/<SID>. Para definir um local alternativo de configuração e metadados, use o parâmetro --configpath.

Endereço do servidor ABAP

Nome do parâmetro:--abapserver

Valores de parâmetro:<servername>

Necessário: não. Se o parâmetro não for especificado e se o parâmetro do modo de conexão do servidor ABAP estiver definido como abap, você será solicitado a fornecer o nome do host/endereço IP do servidor.

Explicação: usado somente se o modo de conexão estiver definido como abap; esse parâmetro conterá o FQDN (nome de domínio totalmente qualificado), o nome curto ou o endereço IP do servidor ABAP ao qual se conectar.

Número da instância do sistema

Nome do parâmetro:--systemnr

Valores de parâmetro:<system number>

Necessário: não. Se não for especificado, o usuário será solicitado a fornecer o número do sistema.

Explicação: especifica o número da instância do sistema SAP ao qual se conectar.

ID do sistema

Nome do parâmetro:--sid

Valores de parâmetro:<SID>

Necessário: não. Se não for especificado, o usuário será solicitado a fornecer a ID do sistema.

Explicação: especifica a ID do sistema SAP à qual se conectar.

Número do cliente

Nome do parâmetro:--clientnumber

Valores de parâmetro:<client number>

Necessário: não. Se não for especificado, o usuário será solicitado a fornecer o número do cliente.

Explicação: especifica o número do cliente ao qual se conectar.

Host de servidor de mensagens

Nome do parâmetro:--messageserverhost

Valores de parâmetro:<servername>

Necessário: sim, se o modo de conexão do servidor ABAP estiver definido como mserv.

Explicação: especifica o nome do host/endereço IP do servidor de mensagens ao qual se conectar. poderá ser usado se o modo de conexão do servidor ABAP estiver definido como mserv.

Porta do servidor de mensagens

Nome do parâmetro:--messageserverport

Valores de parâmetro:<portnumber>

Necessário: sim, se o modo de conexão do servidor ABAP estiver definido como mserv.

Explicação: especifica o nome do serviço (porta) do servidor de mensagens ao qual se conectar. poderá ser usado se o modo de conexão do servidor ABAP estiver definido como mserv.

Grupo de logon

Nome do parâmetro:--logongroup

Valores de parâmetro:<logon group>

Necessário: sim, se o modo de conexão do servidor ABAP estiver definido como mserv.

Explicação: Especifica o grupo de entrada a ser usado ao se conectar a um servidor de mensagens. Poderá ser usado somente se o modo de conexão do servidor ABAP estiver definido como mserv. Se o nome do grupo de logon contiver espaços, eles deverão ser passados entre aspas duplas, como no exemplo --logongroup "my logon group".

Nome de usuário de logon

Nome do parâmetro:--sapusername

Valores de parâmetro:<username>

Necessário: não. Se não for fornecido, o usuário será solicitado a fornecer o nome de usuário se não estiver usando o SNC (X.509) para autenticação.

Explicação: Nome de usuário usado para autenticar no servidor ABAP.

Senha de logon

Nome do parâmetro:--sappassword

Valores de parâmetro:<password>

Necessário: não. Se não for fornecida, o usuário será solicitado a fornecer a senha, se não estiver usando o SNC (X.509) para autenticação. A entrada de senha é mascarada.

Explicação: Senha usada para autenticar no servidor ABAP.

Local do arquivo do SDK do NetWeaver

Nome do parâmetro:--sdk

Valores de parâmetro:<filename>

Necessário: não. O script tenta localizar o arquivo nwrfc*.zip na pasta atual. Se não for encontrado, o usuário será solicitado a fornecer um arquivo morto válido do NetWeaver SDK.

Explicação: caminho do arquivo do SDK do NetWeaver. Um SDK válido é necessário para que o coletor de dados opere. Para obter mais informações, consulte Pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP®.

ID do aplicativo empresarial

Nome do parâmetro:--appid

Valores de parâmetro:<guid>

Necessário: sim, se o Local de armazenamento do segredo estiver definido como kvsi.

Explicação: quando o modo de autenticação do Azure Key Vault estiver definido como, a kvsiautenticação no cofre de chaves será feita usando uma identidade de aplicativo empresarial (entidade de serviço). Esse parâmetro especifica a ID do aplicativo.

Segredo do aplicativo empresarial

Nome do parâmetro:--appsecret

Valores de parâmetro:<secret>

Necessário: sim, se o Local de armazenamento do segredo estiver definido como kvsi.

Explicação: quando o modo de autenticação do Azure Key Vault estiver definido como, a kvsiautenticação no cofre de chaves será feita usando uma identidade de aplicativo empresarial (entidade de serviço). Esse parâmetro especifica o segredo do aplicativo.

ID do locatário

Nome do parâmetro:--tenantid

Valores de parâmetro:<guid>

Necessário: sim, se o Local de armazenamento do segredo estiver definido como kvsi.

Explicação: quando o modo de autenticação do Azure Key Vault estiver definido como, a kvsiautenticação no cofre de chaves será feita usando uma identidade de aplicativo empresarial (entidade de serviço). Esse parâmetro especifica a ID de locatário do Microsoft Entra.

Nome do cofre de chaves

Nome do parâmetro:--kvaultname

Valores de parâmetro:<key vaultname>

Necessário: não. Se Local de armazenamento secreto estiver definido como kvsi ou kvmi, o script solicitará o valor se não for fornecido.

Explicação: Se o Local de armazenamento secreto estiver definido como kvsi ou kvmi, o nome do cofre de chaves (no formato FQDN) deve ser inserido aqui.

ID do espaço de trabalho do Log Analytics

Nome do parâmetro:--loganalyticswsid

Valores de parâmetro:<id>

Necessário: não. Se não for fornecido, o script solicitará a ID do espaço de trabalho.

Explicação: ID do espaço de trabalho do Log Analytics para o qual o coletor de dados envia os dados. Para localizar a ID do workspace, encontre o workspace do Log Analytics no portal do Azure: abra o Microsoft Sentinel, selecione Configurações na seção Configuração, selecione Configurações do Workspace e selecione Gerenciamento de Agentes.

Chave do Log Analytics

Nome do parâmetro:--loganalyticskey

Valores de parâmetro:<key>

Necessário: não. Se não for fornecido, o script solicitará a chave do espaço de trabalho. A entrada é mascarada.

Explicação: chave primária ou secundária do espaço de trabalho do Log Analytics para o qual o coletor de dados envia os dados. Para localizar a chave primária ou secundária do workspace, encontre o workspace do Log Analytics no portal do Azure: abra o Microsoft Sentinel, selecione Configurações na seção Configuração, selecione Configurações do Workspace e selecione Gerenciamento de Agentes.

Usar X.509 (SNC) para autenticação

Nome do parâmetro:--use-snc

Valores de parâmetro: nenhum

Necessário: não. Se não for especificado, o nome de usuário e a senha serão usados para autenticação. Se especificado as opções, --cryptolib, --sapgenpse, uma combinação de --client-cert e --client-key ou --client-pfx e --client-pfx-passwd, bem como --server-cert e em, determinados casos --cacert, são necessárias.

Explicação: Especifica que a autenticação X.509 é usada para se conectar ao servidor ABAP, em vez da autenticação de nome de usuário/senha. Para obter mais informações, consulte Implantar o conector de dados do Microsoft Sentinel para SAP usando SNC.

Caminho da biblioteca SAP Cryptographic

Nome do parâmetro:--cryptolib

Valores de parâmetro:<sapcryptolibfilename>

Necessário: sim, se --use-snc for especificado.

Explicação: local e nome do arquivo da biblioteca SAP Cryptographic (libsapcrypto.so).

Caminho da ferramenta SAPGENPSE

Nome do parâmetro:--sapgenpse

Valores de parâmetro:<sapgenpsefilename>

Necessário: sim, se --use-snc for especificado.

Explicação: local e nome do arquivo da ferramenta sapgenpse para criação e gerenciamento de arquivos PSE e credenciais de SSO.

Caminho da chave pública do certificado do cliente

Nome do parâmetro:--client-cert

Valores de parâmetro:<client certificate filename>

Necessário: sim, se --use-snce o certificado estiverem no formato .crt/.key em Base64.

Explicação: local e nome do arquivo do certificado público do cliente em Base64. Se o certificado do cliente estiver no formato .pfx, use a opção --client-pfx.

Caminho da chave privada do certificado do cliente

Nome do parâmetro:--client-key

Valores de parâmetro:<client key filename>

Necessário: sim, se --use-snc for especificado e a chave estiver no formato .crt/.key em Base64.

Explicação: local e nome do arquivo da chave privada do cliente em Base64. Se o certificado do cliente estiver no formato .pfx, use a opção --client-pfx.

Certificados da Autoridade de Certificação emissora/raiz

Nome do parâmetro:--cacert

Valores de parâmetro:<trusted ca cert>

Necessário: sim, se --use-snc for especificado e o certificado for emitido por uma autoridade de certificação corporativa.

Explicação: Se o certificado for autoassinado, ele não tem CA emissora, portanto, não há cadeia de confiança que precise ser validada. Se o certificado for emitido por uma AC corporativa, o certificado de autoridade de certificação emissora e quaisquer certificados de AC de nível superior precisarão ser validados. Use instâncias separadas da opção --cacert para cada AC na cadeia confiável e forneça os nomes de arquivo completos dos certificados públicos das autoridades de certificação corporativas.

Caminho do certificado PFX do cliente

Nome do parâmetro:--client-pfx

Valores de parâmetro:<pfx filename>

Necessário: sim, se --use-snce a chave estiverem no formato .pfx/.p12.

Explicação: local e nome do arquivo do certificado do cliente pfx.

Senha do certificado PFX do cliente

Nome do parâmetro:--client-pfx-passwd

Valores de parâmetro:<password>

Necessário: sim, se --use-snc for usado, o certificado estiver no formato .pfx/.p12 e o certificado for protegido por uma senha.

Explicação: senha do arquivo PFX/P12.

Certificado do servidor

Nome do parâmetro:--server-cert

Valores de parâmetro:<server certificate filename>

Necessário: sim, se --use-snc for usado.

Explicação: caminho e nome completos do certificado do servidor ABAP.

URL do servidor proxy HTTP

Nome do parâmetro:--http-proxy

Valores de parâmetro:<proxy url>

Obrigatório: Não

Explicação: Os contêineres que não podem estabelecer conexão com os serviços do Microsoft Azure diretamente e exigem conexão por meio de um servidor proxy exigem --http-proxy uma opção para definir a URL do proxy para o contêiner. O formato da URL do proxy é http://hostname:port.

Rede baseada em host

Nome do parâmetro:--hostnetwork

Necessário: não.

Explicação: Se esse switch for especificado, o agente usará a configuração de rede baseada em host. Isso pode resolver problemas internos de resolução de DNS em alguns casos.

Confirmar todos os prompts

Nome do parâmetro:--confirm-all-prompts

Valores de parâmetro: nenhum

Obrigatório: Não

Explicação: Se a opção for especificada, o script não pausará para nenhuma confirmação do usuário e só solicitará se a --confirm-all-prompts entrada do usuário for necessária. Use a opção --confirm-all-prompts para obter uma implantação sem interações.

Usar o build de versão prévia do contêiner

Nome do parâmetro:--preview

Valores de parâmetro: nenhum

Obrigatório: Não

Explicação: Por padrão, o script kickstart de implantação de contêiner implanta o contêiner com a :latest tag . Os recursos de visualização pública são publicados na :latest-preview marca. Para garantir que o script de implantação do contêiner use a versão prévia pública do contêiner, especifique a opção --preview.

Próximas etapas

Saiba mais sobre as aplicações da Solução do Microsoft Sentinel para SAP®:

Solucionar problemas:

Arquivos de referência:

Para obter mais informações, confira Soluções do Microsoft Sentinel.