Referência de script do Kickstart
Visão geral do script
Simplifique a implantação do contêiner que hospeda o conector de dados SAP usando o script Kickstart fornecido (disponível na solução Microsoft Sentinel para aplicativos SAP® GitHub), que também pode habilitar diferentes modos de armazenamento de segredos, configurar SNC (Secure Network Communications) e muito mais.
Referência do parâmetro
Os seguintes parâmetros são configuráveis. Você pode ver exemplos de como esses parâmetros são usados em Implantar e configurar o contêiner que hospeda o agente do conector de dados SAP.
Local de armazenamento secreto
Nome do parâmetro: --keymode
Valores dos parâmetros: kvmi
, kvsi
, cfgf
Obrigatório: Não. kvmi
é assumida por defeito.
Explicação: Especifica se os segredos (nome de usuário, senha, ID de análise de log e chave compartilhada) devem ser armazenados no arquivo de configuração local ou no Cofre de Chaves do Azure. Também controla se a autenticação no Cofre de Chaves do Azure é feita usando a identidade gerenciada atribuída pelo sistema Azure da VM ou uma identidade de aplicativo registrado do Microsoft Entra.
Se definido como kvmi
, o Cofre da Chave do Azure é usado para armazenar segredos e a autenticação no Cofre da Chave do Azure é feita usando a identidade gerenciada atribuída ao sistema do Azure da máquina virtual.
Se definido como kvsi
, o Azure Key Vault é usado para armazenar segredos e a autenticação no Azure Key Vault é feita usando uma identidade de aplicativo registrado do Microsoft Entra. O uso do kvsi
modo requer --appid
, --appsecret
e --tenantid
valores.
Se definido como cfgf
, o arquivo de configuração armazenado localmente é usado para armazenar segredos.
Modo de conexão do servidor ABAP
Nome do parâmetro: --connectionmode
Valores dos parâmetros: abap
, mserv
Obrigatório: Não. Se não for especificado, o padrão será abap
.
Explicação: Define se o agente do coletor de dados deve se conectar ao servidor ABAP diretamente ou por meio de um servidor de mensagens. Use abap
para que o agente se conecte diretamente ao servidor ABAP, cujo nome você pode definir usando o --abapserver
parâmetro (embora, se não o fizer, ainda será solicitado). Use mserv
para se conectar através de um servidor de mensagens, caso em que você deve especificar o --messageserverhost
, --messageserverport
e --logongroup
parâmetros.
Localização da pasta de configuração
Nome do parâmetro: --configpath
Valores dos parâmetros: <path>
Obrigatório: Não, /opt/sapcon/<SID>
é assumido se não for especificado.
Explicação: Por padrão, o kickstart inicializa o arquivo de configuração, o local dos metadados para /opt/sapcon/<SID>
. Para definir um local alternativo de configuração e metadados, use o --configpath
parâmetro.
Endereço do servidor ABAP
Nome do parâmetro: --abapserver
Valores dos parâmetros: <servername>
Obrigatório: Não. Se o parâmetro não for especificado e se o parâmetro do modo de conexão do servidor ABAP estiver definido como abap
, será solicitado o nome do host/endereço IP do servidor.
Explicação: Usado somente se o modo de conexão estiver definido como abap
, este parâmetro contém o FQDN (Nome de Domínio Totalmente Qualificado), nome abreviado ou endereço IP do servidor ABAP ao qual se conectar.
Número da instância do sistema
Nome do parâmetro: --systemnr
Valores dos parâmetros: <system number>
Obrigatório: Não. Se não for especificado, o usuário será solicitado para o número do sistema.
Explicação: Especifica o número da instância do sistema SAP ao qual se conectar.
ID do Sistema
Nome do parâmetro: --sid
Valores dos parâmetros: <SID>
Obrigatório: Não. Se não for especificado, o usuário será solicitado a fornecer o ID do sistema.
Explicação: Especifica o ID do sistema SAP ao qual se conectar.
Número de cliente
Nome do parâmetro: --clientnumber
Valores dos parâmetros: <client number>
Obrigatório: Não. Se não for especificado, o usuário será solicitado para o número do cliente.
Explicação: Especifica o número do cliente ao qual se conectar.
Host do Servidor de Mensagens
Nome do parâmetro: --messageserverhost
Valores dos parâmetros: <servername>
Obrigatório: Sim, se o modo de conexão do servidor ABAP estiver definido como mserv
.
Explicação: Especifica o nome do host/endereço ip do servidor de mensagens ao qual se conectar. Só pode ser usado se o modo de conexão do servidor ABAP estiver definido como mserv
.
Porta do servidor de mensagens
Nome do parâmetro: --messageserverport
Valores dos parâmetros: <portnumber>
Obrigatório: Sim, se o modo de conexão do servidor ABAP estiver definido como mserv
.
Explicação: Especifica o nome do serviço (porta) do servidor de mensagens ao qual se conectar. Só pode ser usado se o modo de conexão do servidor ABAP estiver definido como mserv
.
Grupo de início de sessão
Nome do parâmetro: --logongroup
Valores dos parâmetros: <logon group>
Obrigatório: Sim, se o modo de conexão do servidor ABAP estiver definido como mserv
.
Explicação: Especifica o grupo de entrada a ser usado ao se conectar a um servidor de mensagens. Pode ser usado somente se o modo de conexão do servidor ABAP estiver definido como mserv
. Se o nome do grupo de logon contiver espaços, eles devem ser passados entre aspas duplas, como no exemplo --logongroup "my logon group"
.
Nome de utilizador de início de sessão
Nome do parâmetro: --sapusername
Valores dos parâmetros: <username>
Obrigatório: Não. Se não for fornecido, o usuário será solicitado a fornecer o nome de usuário se não estiver usando SNC (X.509) para autenticação.
Explicação: Nome de usuário usado para autenticar no servidor ABAP.
Palavra-passe de início de sessão
Nome do parâmetro: --sappassword
Valores dos parâmetros: <password>
Obrigatório: Não. Se não for fornecido, o usuário será solicitado a fornecer a senha, se ele não estiver usando SNC (X.509) para autenticação. A entrada de senha é mascarada.
Explicação: Senha usada para autenticar no servidor ABAP.
Localização do arquivo SDK do NetWeaver
Nome do parâmetro: --sdk
Valores dos parâmetros: <filename>
Obrigatório: Não. O script tenta localizar o arquivo nwrfc*.zip na pasta atual. Se não for encontrado, o usuário será solicitado a fornecer um arquivo válido do NetWeaver SDK.
Explicação: Caminho do arquivo NetWeaver SDK. Um SDK válido é necessário para que o coletor de dados opere. Para obter mais informações, consulte Pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP®.
ID do aplicativo corporativo
Nome do parâmetro: --appid
Valores dos parâmetros: <guid>
Necessário: Sim, se Local de armazenamento secreto estiver definido como kvsi
.
Explicação: Quando o modo de autenticação do Cofre de Chaves do Azure é definido como kvsi
, a autenticação no cofre de chaves é feita usando uma identidade de aplicativo empresarial (entidade de serviço). Este parâmetro especifica a ID do aplicativo.
Segredo do aplicativo corporativo
Nome do parâmetro: --appsecret
Valores dos parâmetros: <secret>
Necessário: Sim, se Local de armazenamento secreto estiver definido como kvsi
.
Explicação: Quando o modo de autenticação do Cofre de Chaves do Azure é definido como kvsi
, a autenticação no cofre de chaves é feita usando uma identidade de aplicativo empresarial (entidade de serviço). Este parâmetro especifica o segredo do aplicativo.
ID de Inquilino do
Nome do parâmetro: --tenantid
Valores dos parâmetros: <guid>
Necessário: Sim, se Local de armazenamento secreto estiver definido como kvsi
.
Explicação: Quando o modo de autenticação do Cofre de Chaves do Azure é definido como kvsi
, a autenticação no cofre de chaves é feita usando uma identidade de aplicativo empresarial (entidade de serviço). Este parâmetro especifica a ID do locatário do Microsoft Entra.
Nome do Cofre de Chaves
Nome do parâmetro: --kvaultname
Valores dos parâmetros: <key vaultname>
Obrigatório: Não. Se Local de armazenamento secreto estiver definido como kvsi
ou kvmi
, o script solicitará o valor se não for fornecido.
Explicação: Se o local de armazenamento secreto estiver definido como kvsi
ou kvmi
, o nome do cofre de chaves (no formato FQDN) deve ser inserido aqui.
O ID da área de trabalho do Log Analytics
Nome do parâmetro: --loganalyticswsid
Valores dos parâmetros: <id>
Obrigatório: Não. Se não for fornecido, o script solicitará a ID do espaço de trabalho.
Explicação: ID do espaço de trabalho do Log Analytics para onde o coletor de dados envia os dados. Para localizar a ID do espaço de trabalho, localize o espaço de trabalho do Log Analytics no portal do Azure: abra o Microsoft Sentinel, selecione Configurações na seção Configuração, selecione Configurações do espaço de trabalho e selecione Gerenciamento de agentes.
Chave do Log Analytics
Nome do parâmetro: --loganalyticskey
Valores dos parâmetros: <key>
Obrigatório: Não. Se não for fornecido, o script solicitará a chave do espaço de trabalho. A entrada é mascarada.
Explicação: Chave primária ou secundária do espaço de trabalho do Log Analytics para onde o coletor de dados envia os dados. Para localizar a Chave Primária ou Secundária do espaço de trabalho, localize o espaço de trabalho do Log Analytics no portal do Azure: abra o Microsoft Sentinel, selecione Configurações na seção Configuração, selecione Configurações do espaço de trabalho e selecione Gerenciamento de agentes.
Usar X.509 (SNC) para autenticação
Nome do parâmetro: --use-snc
Valores dos parâmetros: Nenhum
Obrigatório: Não. Se não for especificado, o nome de usuário e a senha serão usados para autenticação. Se especificado, --cryptolib
, , --sapgenpse
a combinação de um e --client-cert
--client-key
, ou --client-pfx
e --client-pfx-passwd
bem como --server-cert
, e em certos casos --cacert
interruptores é necessária.
Explicação: Especifica que a autenticação X.509 é usada para se conectar ao servidor ABAP, em vez da autenticação de nome de usuário/senha. Para obter mais informações, consulte Implantar o conector de dados do Microsoft Sentinel for SAP usando SNC.
Caminho da biblioteca criptográfica SAP
Nome do parâmetro: --cryptolib
Valores dos parâmetros: <sapcryptolibfilename>
Obrigatório: Sim, se --use-snc
for especificado.
Explicação: Localização e nome do arquivo da biblioteca criptográfica SAP (libsapcrypto.so).
Caminho da ferramenta SAPGENPSE
Nome do parâmetro: --sapgenpse
Valores dos parâmetros: <sapgenpsefilename>
Obrigatório: Sim, se --use-snc
for especificado.
Explicação: Localização e nome do arquivo da ferramenta sapgenpse para criação e gerenciamento de arquivos PSE e credenciais SSO.
Caminho da chave pública do certificado do cliente
Nome do parâmetro: --client-cert
Valores dos parâmetros: <client certificate filename>
Obrigatório: Sim, se --use-snc
e o certificado estiver no formato .crt/.key base-64.
Explicação: Localização e nome do arquivo do certificado público do cliente base-64. Se o certificado do cliente estiver no formato .pfx, use --client-pfx
o switch.
Caminho da chave privada do certificado do cliente
Nome do parâmetro: --client-key
Valores dos parâmetros: <client key filename>
Obrigatório: Sim, se for especificado e a --use-snc
chave estiver no formato .crt/.key base-64.
Explicação: Localização e nome do ficheiro da chave privada do cliente base-64. Se o certificado do cliente estiver no formato .pfx, use --client-pfx
o switch.
Emissão de certificados de Autoridade de Certificação raiz
Nome do parâmetro: --cacert
Valores dos parâmetros: <trusted ca cert>
Obrigatório: Sim, se --use-snc
for especificado e o certificado for emitido por uma autoridade de certificação empresarial.
Explicação: Se o certificado for autoassinado, ele não terá nenhuma CA emissora, portanto, não há nenhuma cadeia de confiança que precise ser validada. Se o certificado for emitido por uma autoridade de certificação corporativa, o certificado da autoridade de certificação emissora e quaisquer certificados de autoridade de certificação de nível superior precisarão ser validados. Use instâncias separadas do switch para cada CA na cadeia de --cacert
confiança e forneça os nomes de arquivo completos dos certificados públicos das autoridades de certificação corporativas.
Caminho do certificado PFX do cliente
Nome do parâmetro: --client-pfx
Valores dos parâmetros: <pfx filename>
Obrigatório: Sim, se --use-snc
e a chave estiver no formato .pfx/.p12.
Explicação: Localização e nome do arquivo do certificado do cliente pfx.
Senha do certificado PFX do cliente
Nome do parâmetro: --client-pfx-passwd
Valores dos parâmetros: <password>
Obrigatório: Sim, se --use-snc
for usado, o certificado está no formato .pfx/.p12 e o certificado é protegido por uma senha.
Explicação: Senha do arquivo PFX/P12.
Certificado do servidor
Nome do parâmetro: --server-cert
Valores dos parâmetros: <server certificate filename>
Obrigatório: Sim, se --use-snc
for utilizado.
Explicação: Caminho completo e nome do certificado do servidor ABAP.
URL do servidor proxy HTTP
Nome do parâmetro: --http-proxy
Valores dos parâmetros: <proxy url>
Obrigatório: não
Explicação: Os contêineres que não podem estabelecer conexão com os serviços do Microsoft Azure diretamente e exigem conexão por meio de um servidor proxy exigem --http-proxy
switch para definir a URL do proxy para o contêiner. O formato do url do proxy é http://hostname:port
.
Rede baseada em host
Nome do parâmetro: --hostnetwork
Obrigatório: Não.
Explicação: Se essa opção for especificada, o agente usará a configuração de rede baseada em host. Isso pode resolver problemas internos de resolução de DNS em alguns casos.
Confirme todas as solicitações
Nome do parâmetro: --confirm-all-prompts
Valores dos parâmetros: Nenhum
Obrigatório: não
Explicação: Se a opção for especificada, o script não pausará para nenhuma confirmação do usuário e só solicitará se a --confirm-all-prompts
entrada do usuário for necessária. Use --confirm-all-prompts
o switch para obter uma implantação sem toque.
Usar a compilação de visualização do contêiner
Nome do parâmetro: --preview
Valores dos parâmetros: Nenhum
Obrigatório: não
Explicação: Por padrão, o script kickstart de implantação de contêiner implanta o contêiner com a :latest
tag . Os recursos de visualização pública são publicados na :latest-preview
tag. Para garantir que o script de implantação de contêiner use a versão de visualização pública do contêiner, especifique a --preview
opção.
Próximos passos
Saiba mais sobre a solução Microsoft Sentinel para aplicativos SAP®:
- Implantar a solução Microsoft Sentinel para aplicativos SAP®
- Pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP®
- Implantar solicitações de alteração (CRs) SAP e configurar a autorização
- Implantar o conteúdo da solução a partir do hub de conteúdo
- Implantar e configurar o contêiner que hospeda o agente do conector de dados SAP
- Implantar o conector de dados do Microsoft Sentinel for SAP com SNC
- Monitore a integridade do seu sistema SAP
- Habilitar e configurar a auditoria SAP
- Coletar logs de auditoria do SAP HANA
Resolução de problemas:
Ficheiros de referência:
- Referência de dados da solução Microsoft Sentinel para aplicativos SAP®
- Solução Microsoft Sentinel para aplicativos SAP®: referência de conteúdo de segurança
- Referência de script de atualização
- Systemconfig.ini referência de arquivo
Para obter mais informações, consulte Soluções do Microsoft Sentinel.