Справочные материалы по скрипту Kickstart
Общие сведения о сценариях
Упрощение развертывания контейнера с соединителем данных SAP с помощью предоставленного скрипта Kickstart (доступного в решении Microsoft Sentinel для приложений SAP® GitHub), который также может включать различные режимы хранения секретов, настраивать безопасные сетевые коммуникации (SNC) и многое другое.
Справка по параметрам
Следующие параметры можно настроить. Примеры использования этих параметров см. в статье Развертывание и настройка контейнера с агентом соединителя данных SAP.
Место хранения секрета
Имя параметра:--keymode
Значения параметра:kvmi
, kvsi
, cfgf
Обязательный: нет. kvmi
подразумевается по умолчанию.
Объяснение. Указывает, должны ли секреты (имя пользователя, пароль, идентификатор log analytics и общий ключ) храниться в локальном файле конфигурации или в Azure Key Vault. Кроме того, определяет, выполняется ли проверка подлинности в Azure Key Vault с помощью управляемого удостоверения, назначаемого системой Azure, или удостоверения зарегистрированного приложения Microsoft Entra.
Если задано значение kvmi
, для хранения секретов используется Azure Key Vault и проверка подлинности в Azure Key Vault выполняется с помощью назначаемого системой управляемого удостоверения Azure для виртуальной машины.
Если задано значение kvsi
, Azure Key Vault используется для хранения секретов и проверки подлинности в Azure Key Vault выполняется с помощью удостоверения зарегистрированного приложения Microsoft Entra. Требуется --appid
--appsecret
использование режима и --tenantid
значенийkvsi
.
Если задано значение cfgf
, файл конфигурации, хранящийся локально, используется для хранения секретов.
Режим подключения к серверу ABAP
Имя параметра:--connectionmode
Значения параметра:abap
, mserv
Обязательный: нет. Если оно не указано, по умолчанию используется значение abap
.
Объяснение. Определяет, как должен подключаться к серверу ABAP агент сборщика данных: напрямую или через сервер сообщений. Используйте abap
для подключения агента непосредственно к серверу ABAP, имя которого можно определить с помощью --abapserver
параметра (хотя если это не так, вам по-прежнему будет предложено). Для подключения через сервер сообщений используйте mserv
. В этом случае необходимо задать параметры --messageserverhost
, --messageserverport
и --logongroup
.
Расположение папки конфигурации
Имя параметра:--configpath
Значения параметра:<path>
Обязательный: нет. Если значение не указано, предполагается, что нужно использовать /opt/sapcon/<SID>
.
Объяснение. По умолчанию Kickstart инициализирует файл конфигурации, устанавливая расположение метаданных в /opt/sapcon/<SID>
. Задать альтернативное расположение конфигурации и метаданных можно с помощью параметра --configpath
.
Адрес сервера ABAP
Имя параметра:--abapserver
Значения параметра:<servername>
Обязательный: нет. Если параметр не указан, а если для параметра режима подключения сервера ABAP задано abap
значение, вам будет предложено указать имя узла или IP-адрес сервера.
Объяснение. Используется, только если для режима подключения задано значение abap
. Этот параметр содержит полное доменное имя (FQDN), короткое имя или IP-адрес сервера ABAP для подключения.
Номер экземпляра системы
Имя параметра:--systemnr
Значения параметра:<system number>
Обязательный: нет. Если это не указано, пользователю будет предложено ввести системный номер.
Объяснение. Позволяет задать номер экземпляра системы SAP для подключения.
ИД системы
Имя параметра:--sid
Значения параметра:<SID>
Обязательный: нет. Если это не указано, пользователю будет предложено ввести системный идентификатор.
Объяснение. Позволяет задать идентификатор системы SAP для подключения.
Номер клиента
Имя параметра:--clientnumber
Значения параметра:<client number>
Обязательный: нет. Если он не указан, пользователю будет предложено указать номер клиента.
Объяснение. Позволяет задать номер клиента для подключения.
Узел сервера сообщений
Имя параметра:--messageserverhost
Значения параметра:<servername>
Обязательный: да, если для режима подключения к серверу ABAP задано значение mserv
.
Объяснение. Позволяет задать имя узла или IP-адрес сервера сообщений для подключения. Можно использовать, только если для режима подключения к серверу ABAP задано значение mserv
.
Порт сервера сообщений
Имя параметра:--messageserverport
Значения параметра:<portnumber>
Обязательный: да, если для режима подключения к серверу ABAP задано значение mserv
.
Объяснение. Позволяет задать имя службы (порт) сервера сообщений для подключения. Можно использовать, только если для режима подключения к серверу ABAP задано значение mserv
.
Группа входа
Имя параметра:--logongroup
Значения параметра:<logon group>
Обязательный: да, если для режима подключения к серверу ABAP задано значение mserv
.
Объяснение. Указывает группу входа, используемую при подключении к серверу сообщений. Можно использовать, только если для режима подключения к серверу ABAP задано значение mserv
. Если имя группы входа содержит пробелы, они должны передаваться в двойных кавычках, как в примере --logongroup "my logon group"
.
Имя пользователя для входа
Имя параметра:--sapusername
Значения параметра:<username>
Обязательный: нет. Если он не указан, пользователь запрашивает имя пользователя, если он не использует SNC (X.509) для проверки подлинности.
Объяснение. Имя пользователя, используемое для проверки подлинности на сервере ABAP.
Пароль для входа
Имя параметра:--sappassword
Значения параметра:<password>
Обязательный: нет. Если он не указан, пользователь запрашивает пароль, если он не использует SNC (X.509) для проверки подлинности. Входные данные паролей маскируются.
Объяснение. Пароль, используемый для проверки подлинности на сервере ABAP.
Расположение файла пакета SDK для NetWeaver
Имя параметра:--sdk
Значения параметра:<filename>
Обязательный: нет. Скрипт пытается найти файл nwrfc*.zip в текущей папке. Если он не найден, пользователю будет предложено предоставить действительный файл архива пакета SDK NetWeaver.
Объяснение. Путь к файлу пакета SDK для NetWeaver. Для работы сборщика данных требуется допустимый пакет SDK. Дополнительные сведения см. в статье "Предварительные требования для развертывания решения Microsoft Sentinel для приложений SAP®".
Идентификатор корпоративного приложения
Имя параметра:--appid
Значения параметра:<guid>
Обязательный: да, если для места хранения секретов задано значение kvsi
.
Объяснение. Если для режима проверки подлинности Azure Key Vault установлено значение kvsi
, проверка подлинности в хранилище ключей выполняется с помощью удостоверения корпоративного приложения (субъекта-службы). Этот параметр позволяет задать идентификатор приложения.
Секрет корпоративного приложения
Имя параметра:--appsecret
Значения параметра:<secret>
Обязательный: да, если для места хранения секретов задано значение kvsi
.
Объяснение. Если для режима проверки подлинности Azure Key Vault установлено значение kvsi
, проверка подлинности в хранилище ключей выполняется с помощью удостоверения корпоративного приложения (субъекта-службы). Этот параметр позволяет задать секрет приложения.
Идентификатор клиента
Имя параметра:--tenantid
Значения параметра:<guid>
Обязательный: да, если для места хранения секретов задано значение kvsi
.
Объяснение. Если для режима проверки подлинности Azure Key Vault установлено значение kvsi
, проверка подлинности в хранилище ключей выполняется с помощью удостоверения корпоративного приложения (субъекта-службы). Этот параметр задает идентификатор клиента Microsoft Entra.
Имя хранилища ключей
Имя параметра:--kvaultname
Значения параметра:<key vaultname>
Обязательный: нет. Если для расположения хранилища секретов задано kvsi
значение или kvmi
скрипт запрашивает значение, если оно не задано.
Объяснение. Если для расположения хранилища секретов задано kvsi
значение или kvmi
введите имя хранилища ключей (в формате FQDN).
идентификатор рабочей области Log Analytics;
Имя параметра:--loganalyticswsid
Значения параметра:<id>
Обязательный: нет. Если он не указан, скрипт запрашивает идентификатор рабочей области.
Объяснение. Идентификатор рабочей области Log Analytics, в который сборщик данных отправляет данные. Чтобы найти идентификатор рабочей области, найдите рабочую область Log Analytics на портале Azure: откройте Microsoft Sentinel, щелкните элемент Параметры в разделе Конфигурация, а затем последовательно выберите элементы Параметры рабочей области и Agents Management (Управление агентами).
Ключ Log Analytics
Имя параметра:--loganalyticskey
Значения параметра:<key>
Обязательный: нет. Если этот параметр не указан, скрипт запрашивает ключ рабочей области. Входные данные маскируются.
Объяснение. Первичный или вторичный ключ рабочей области Log Analytics, в которой сборщик данных отправляет данные в. Чтобы найти первичный или вторичный ключ рабочей области, найдите рабочую область Log Analytics на портале Azure: откройте Microsoft Sentinel, щелкните элемент Параметры в разделе Конфигурация, а затем последовательно выберите элементы Параметры рабочей области и Agents Management (Управление агентами).
Использование X.509 (SNC) для проверки подлинности
Имя параметра:--use-snc
Значения параметра: нет
Обязательный: нет. Если это не указано, для проверки подлинности используется имя пользователя и пароль. Если значение указано, обязательными являются параметры --cryptolib
, --sapgenpse
, сочетание --client-cert
и --client-key
или --client-pfx
и --client-pfx-passwd
, а также --server-cert
и в некоторых случаях --cacert
.
Объяснение. Указывает, что для подключения к серверу ABAP используется проверка подлинности X.509, а не проверка подлинности имени пользователя и пароля. Дополнительные сведения см. в статье "Развертывание соединителя данных SAP Для Microsoft Sentinel с помощью SNC".
Путь к библиотеке шифрования SAP
Имя параметра:--cryptolib
Значения параметра:<sapcryptolibfilename>
Обязательный: да, если указано значение --use-snc
.
Объяснение. Расположение и имя файла библиотеки шифрования SAP (libsapcrypto.so).
Путь к инструменту SAPGENPSE
Имя параметра:--sapgenpse
Значения параметра:<sapgenpsefilename>
Обязательный: да, если указано значение --use-snc
.
Объяснение. Расположение и имя файла средства sapgenpse для создания PSE-файлов и учетных данных единого входа, а также управления ими.
Путь к открытому ключу сертификата клиента
Имя параметра:--client-cert
Значения параметра:<client certificate filename>
Обязательный: да, если указано значение --use-snc
и сертификат имеет формат .crt/.key base-64.
Объяснение. Расположение и имя файла общедоступного сертификата клиента base-64. Если сертификат клиента имеет формат PFX, используйте вместо него параметр --client-pfx
.
Путь к закрытому ключу сертификата клиента
Имя параметра:--client-key
Значения параметра:<client key filename>
Обязательный: да, если указано значение --use-snc
и ключ имеет формат .crt/.key base-64.
Объяснение. Расположение и имя файла закрытого ключа клиента base-64. Если сертификат клиента имеет формат PFX, используйте вместо него параметр --client-pfx
.
Сертификаты выдающего или корневого центра сертификации
Имя параметра:--cacert
Значения параметра:<trusted ca cert>
Обязательный: да, если указано значение --use-snc
и сертификат выдан корпоративным центром сертификации.
Объяснение. Если сертификат самозаверяется, он не имеет выдачи ЦС, поэтому не требуется проверить цепочку доверия. Если сертификат выдан корпоративным центром сертификации, необходимо проверить сертификат выдающего центра сертификации и все сертификаты центров сертификации более высокого уровня. Используйте отдельные экземпляры параметра --cacert
для каждого центра сертификации в цепочке доверия и укажите полные имена файлов общедоступных сертификатов корпоративных центров сертификации.
Путь к сертификату PFX клиента
Имя параметра:--client-pfx
Значения параметра:<pfx filename>
Обязательный: да, если указано значение --use-snc
и ключ имеет формат .pfx/.p12.
Объяснение. Расположение и имя файла сертификата клиента PFX.
Пароль сертификата PFX клиента
Имя параметра:--client-pfx-passwd
Значения параметра:<password>
Обязательный: да, если используется --use-snc
, а сертификат имеет формат .pfx/.p12 и защищен паролем.
Объяснение. Пароль файла PFX/P12.
Сертификат сервера
Имя параметра:--server-cert
Значения параметра:<server certificate filename>
Обязательный: да, если используется --use-snc
.
Объяснение. Полный путь к сертификату сервера ABAP и имя этого сертификата.
URL-адрес прокси-сервера HTTP
Имя параметра:--http-proxy
Значения параметра:<proxy url>
Обязательный: нет
Объяснение. Контейнеры, которые не могут установить подключение к службам Microsoft Azure напрямую и требуют подключения через прокси-сервер, требуют --http-proxy
переключения для определения URL-адреса прокси-сервера для контейнера. Формат URL-адреса прокси-сервера — http://hostname:port
.
Сеть на основе узла
Имя параметра:--hostnetwork
Обязательный: нет.
Объяснение. Если этот параметр указан, агент использует конфигурацию сети на основе узла. Это может решить внутренние проблемы разрешения DNS в некоторых случаях.
Подтверждение всех запросов
Имя параметра:--confirm-all-prompts
Значения параметра: нет
Обязательный: нет
Объяснение. Если --confirm-all-prompts
параметр указан, скрипт не приостанавливается для подтверждения пользователя и запрашивает только запросы, если требуется ввод пользователем. Используйте параметр --confirm-all-prompts
для развертывания без сенсорного ввода.
Использование предварительной сборки контейнера
Имя параметра:--preview
Значения параметра: нет
Обязательный: нет
Объяснение. По умолчанию скрипт запуска развертывания контейнеров развертывает контейнер с тегом :latest
. Общедоступные предварительные версии функции публикуются в теге :latest-preview
. Чтобы убедиться, что скрипт развертывания контейнера использует общедоступную предварительную версию контейнера, задайте параметр --preview
.
Следующие шаги
Дополнительные сведения о решении Microsoft Sentinel для приложений SAP®:
- Развертывание решения Microsoft Sentinel для приложений SAP®
- Предварительные требования для развертывания решения Microsoft Sentinel для приложений SAP®
- Развертывание запросов на изменение (CR) SAP и настройка авторизации
- Развертывание содержимого решения из концентратора содержимого
- Развертывание и настройка контейнера для размещения агента соединителя данных SAP
- Развертывание соединителя данных Microsoft Sentinel для SAP с помощью SNC
- Мониторинг работоспособности системы SAP
- Включение и настройка аудита SAP
- Сбор журналов аудита SAP HANA
Устранение неполадок:
Справочные файлы:
- Решение Microsoft Sentinel для данных приложений SAP®
- Решение Microsoft Sentinel для приложений SAP®: справочник по содержимому безопасности
- Справочные материалы по обновлению скриптов
- Справочные материалы по файлу systemconfig.ini
Дополнительные сведения см. в статье Решения Microsoft Sentinel.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по