Справочник по скрипту развертывания Kickstart для агента соединителя данных приложений SAP Для Microsoft Sentinel
В этой статье приведена ссылка на настраиваемые параметры, доступные в скрипте запуска, используемом для развертывания агента соединителя данных microsoft Sentinel для приложений SAP.
Дополнительные сведения см. в статье "Развертывание и настройка контейнера" с агентом соединителя данных SAP.
Содержимое этой статьи предназначено для команд SAP BASIS .
Место хранения секрета
Имя параметра: --keymode
Значения параметров: kvmi, kvsicfgf
Обязательный: нет. kvmi подразумевается по умолчанию.
Описание. Указывает, должны ли секреты (имя пользователя, пароль, идентификатор log analytics и общий ключ) храниться в локальном файле конфигурации или в Azure Key Vault. Кроме того, определяет, выполняется ли проверка подлинности в Azure Key Vault с помощью управляемого удостоверения, назначаемого системой Azure, или удостоверения зарегистрированного приложения Microsoft Entra.
Если задано значение kvmi, для хранения секретов используется Azure Key Vault и проверка подлинности в Azure Key Vault выполняется с помощью назначаемого системой управляемого удостоверения Azure для виртуальной машины.
Если задано значение kvsi, Azure Key Vault используется для хранения секретов и проверки подлинности в Azure Key Vault выполняется с помощью удостоверения зарегистрированного приложения Microsoft Entra. Требуется --appid--appsecretиспользование режима и --tenantid значенийkvsi.
Если задано значение cfgf, файл конфигурации, хранящийся локально, используется для хранения секретов.
Режим подключения к серверу ABAP
Имя параметра: --connectionmode
Значения параметров: abap, mserv
Обязательный: нет. Если оно не указано, по умолчанию используется значение abap.
Описание. Определяет, должен ли агент сборщика данных подключаться к серверу ABAP напрямую или через сервер сообщений. Используйте abap для подключения агента непосредственно к серверу ABAP, имя которого можно определить с помощью --abapserver параметра. Если вы не определите имя заранее, скрипт предложит вам его. Для подключения через сервер сообщений используйте mserv. В этом случае необходимо задать параметры --messageserverhost, --messageserverport и --logongroup.
Расположение папки конфигурации
Имя параметра: --configpath
Значения параметров: <path>
Обязательный: нет. Если значение не указано, предполагается, что нужно использовать /opt/sapcon/<SID>.
Описание. По умолчанию kickstart инициализирует файл конфигурации, расположение метаданных в /opt/sapcon/<SID>. Задать альтернативное расположение конфигурации и метаданных можно с помощью параметра --configpath.
Адрес сервера ABAP
Имя параметра: --abapserver
Значения параметров: <servername>
Обязательный: нет. Если параметр не указан и если для параметра режима подключения сервера ABAP задано abapзначение, скрипт запрашивает имя узла сервера или IP-адрес.
Описание. Используется только в том случае, если задан abapрежим подключения, этот параметр содержит полное доменное имя (FQDN), короткое имя или IP-адрес сервера ABAP для подключения.
Номер экземпляра системы
Имя параметра: --systemnr
Значения параметров: <system number>
Обязательный: нет. Если это не указано, пользователю будет предложено ввести системный номер.
Описание. Указывает номер системного экземпляра SAP для подключения.
ИД системы
Имя параметра: --sid
Значения параметров: <SID>
Обязательный: нет. Если это не указано, пользователю будет предложено ввести системный идентификатор.
Описание. Указывает идентификатор системы SAP для подключения.
Номер клиента
Имя параметра: --clientnumber
Значения параметров: <client number>
Обязательный: нет. Если он не указан, пользователю будет предложено указать номер клиента.
Описание. Указывает номер клиента для подключения.
Узел сервера сообщений
Имя параметра: --messageserverhost
Значения параметров: <servername>
Обязательный: да, если для режима подключения к серверу ABAP задано значение mserv.
Описание. Указывает имя узла или IP-адрес сервера сообщений для подключения. Можно использовать, только если для режима подключения к серверу ABAP задано значение mserv.
Порт сервера сообщений
Имя параметра: --messageserverport
Значения параметров: <portnumber>
Обязательный: да, если для режима подключения к серверу ABAP задано значение mserv.
Описание. Указывает имя службы (порт) сервера сообщений для подключения. Можно использовать, только если для режима подключения к серверу ABAP задано значение mserv.
Группа входа
Имя параметра: --logongroup
Значения параметров: <logon group>
Обязательный: да, если для режима подключения к серверу ABAP задано значение mserv.
Описание. Указывает группу входа, используемую при подключении к серверу сообщений. Можно использовать, только если для режима подключения к серверу ABAP задано значение mserv. Если имя группы входа содержит пробелы, они должны передаваться в двойных кавычках, как в примере --logongroup "my logon group".
Имя пользователя для входа
Имя параметра: --sapusername
Значения параметров: <username>
Обязательный: нет. Если он не указан, пользователь запрашивает имя пользователя, если он не использует SNC (X.509) для проверки подлинности.
Описание: имя пользователя, используемое для проверки подлинности на сервере ABAP.
Пароль для входа
Имя параметра: --sappassword
Значения параметров: <password>
Обязательный: нет. Если он не указан, пользователь запрашивает пароль, если он не использует SNC (X.509) для проверки подлинности. Входные данные паролей маскируются.
Описание. Пароль, используемый для проверки подлинности на сервере ABAP.
Расположение файла пакета SDK для NetWeaver
Имя параметра: --sdk
Значения параметров: <filename>
Обязательный: нет. Скрипт пытается найти файл nwrfc*.zip в текущей папке. Если он не найден, пользователю будет предложено предоставить действительный файл архива пакета SDK NetWeaver.
Описание: путь к файлу пакета SDK NetWeaver. Для работы сборщика данных требуется допустимый пакет SDK. Дополнительные сведения см. в статье о предварительных требованиях SAP.
Идентификатор корпоративного приложения
Имя параметра: --appid
Значения параметров: <guid>
Обязательный: да, если для места хранения секретов задано значение kvsi.
Описание. Если задан kvsiрежим проверки подлинности Azure Key Vault, проверка подлинности в хранилище ключей выполняется с помощью удостоверения корпоративного приложения (субъекта-службы). Этот параметр позволяет задать идентификатор приложения.
Секрет корпоративного приложения
Имя параметра: --appsecret
Значения параметров: <secret>
Обязательный: да, если для места хранения секретов задано значение kvsi.
Описание. Если задан kvsiрежим проверки подлинности Azure Key Vault, проверка подлинности в хранилище ключей выполняется с помощью удостоверения корпоративного приложения (субъекта-службы). Этот параметр позволяет задать секрет приложения.
Идентификатор клиента
Имя параметра: --tenantid
Значения параметров: <guid>
Обязательный: да, если для места хранения секретов задано значение kvsi.
Описание. Если задан kvsiрежим проверки подлинности Azure Key Vault, проверка подлинности в хранилище ключей выполняется с помощью удостоверения корпоративного приложения (субъекта-службы). Этот параметр задает идентификатор клиента Microsoft Entra.
Имя хранилища ключей
Имя параметра: --kvaultname
Значения параметров: <key vaultname>
Обязательный: нет. Если для расположения хранилища секретов задано kvsi значение или kvmiскрипт запрашивает значение, если оно не задано.
Описание. Если для расположения хранилища секретов задано kvsi значение или kvmiвведите имя хранилища ключей (в формате FQDN).
идентификатор рабочей области Log Analytics;
Имя параметра: --loganalyticswsid
Значения параметров: <id>
Обязательный: нет. Если он не указан, скрипт запрашивает идентификатор рабочей области.
Описание: идентификатор рабочей области Log Analytics, в который сборщик данных отправляет данные. Чтобы найти идентификатор рабочей области, найдите рабочую область Log Analytics на портале Azure: откройте Microsoft Sentinel, щелкните элемент Параметры в разделе Конфигурация, а затем последовательно выберите элементы Параметры рабочей области и Agents Management (Управление агентами).
Ключ Log Analytics
Имя параметра: --loganalyticskey
Значения параметров: <key>
Обязательный: нет. Если этот параметр не указан, скрипт запрашивает ключ рабочей области. Входные данные маскируются.
Описание. Первичный или вторичный ключ рабочей области Log Analytics, в которой сборщик данных отправляет данные в. Чтобы найти первичный или вторичный ключ рабочей области, найдите рабочую область Log Analytics на портале Azure: откройте Microsoft Sentinel, щелкните элемент Параметры в разделе Конфигурация, а затем последовательно выберите элементы Параметры рабочей области и Agents Management (Управление агентами).
Использование X.509 (SNC) для проверки подлинности
Имя параметра: --use-snc
Значения параметра: нет
Обязательный: нет. Если это не указано, для проверки подлинности используется имя пользователя и пароль. Если значение указано, обязательными являются параметры --cryptolib, --sapgenpse, сочетание --client-cert и --client-key или --client-pfx и --client-pfx-passwd, а также --server-cert и в некоторых случаях --cacert.
Описание. Указывает, что для подключения к серверу ABAP используется проверка подлинности X.509, а не проверка подлинности имени пользователя и пароля. Дополнительные сведения см. в статье "Настройка системы для использования SNC для безопасных подключений".
Путь к библиотеке шифрования SAP
Имя параметра: --cryptolib
Значения параметров: <sapcryptolibfilename>
Обязательный: да, если указано значение --use-snc.
Описание: расположение и имя файла библиотеки шифрования SAP (libsapcrypto.so).
Путь к инструменту SAPGENPSE
Имя параметра: --sapgenpse
Значения параметров: <sapgenpsefilename>
Обязательный: да, если указано значение --use-snc.
Описание: расположение и имя файла средства sapgenpse для создания и управления файлами PSE-files и SSO-credentials.
Путь к открытому ключу сертификата клиента
Имя параметра: --client-cert
Значения параметров: <client certificate filename>
Обязательный: Да, если --use-snc и сертификат находится в формате CRT/.key base-64.
Описание: расположение и имя файла общедоступного сертификата клиента base-64. Если сертификат клиента находится в формате PFX, используйте --client-pfx параметр.
Путь к закрытому ключу сертификата клиента
Имя параметра: --client-key
Значения параметров: <client key filename>
Обязательный: да, если указано значение --use-snc и ключ имеет формат .crt/.key base-64.
Описание: расположение и имя файла закрытого ключа клиента base-64. Если сертификат клиента находится в формате PFX, используйте --client-pfx параметр.
Сертификаты выдающего или корневого центра сертификации
Имя параметра: --cacert
Значения параметров: <trusted ca cert>
Обязательный: да, если указано значение --use-snc и сертификат выдан корпоративным центром сертификации.
Описание. Если сертификат самозаверяется, он не имеет выдачи ЦС, поэтому не требуется проверять цепочку доверия.
Если сертификат выдан корпоративным центром сертификации, необходимо проверить сертификат выдающего центра сертификации и все сертификаты центров сертификации более высокого уровня. Используйте отдельные экземпляры параметра --cacert для каждого центра сертификации в цепочке доверия и укажите полные имена файлов общедоступных сертификатов корпоративных центров сертификации.
Путь к сертификату PFX клиента
Имя параметра: --client-pfx
Значения параметров: <pfx filename>
Обязательный: Да, если --use-snc и ключ находится в формате PFX/.p12.
Описание: расположение и имя файла сертификата клиента pfx.
Пароль сертификата PFX клиента
Имя параметра: --client-pfx-passwd
Значения параметров: <password>
Обязательный: да, если используется --use-snc, а сертификат имеет формат .pfx/.p12 и защищен паролем.
Описание: пароль файла PFX/P12.
Сертификат сервера
Имя параметра: --server-cert
Значения параметров: <server certificate filename>
Обязательный: да, если используется --use-snc.
Описание: полный путь и имя сертификата сервера ABAP.
URL-адрес прокси-сервера HTTP
Имя параметра: --http-proxy
Значения параметров: <proxy url>
Обязательный: нет
Описание. Контейнеры, которые не могут установить подключение к службам Microsoft Azure напрямую и требуют подключения через прокси-сервер, также требуют --http-proxy переключения для определения URL-адреса прокси-сервера для контейнера. Формат URL-адреса прокси-сервера.http://hostname:port
Сеть на основе узла
Имя параметра: --hostnetwork
Обязательный: нет.
Описание. Если hostnetwork параметр указан, агент использует конфигурацию сети на основе узла. Это может решить внутренние проблемы разрешения DNS в некоторых случаях.
Подтверждение всех запросов
Имя параметра: --confirm-all-prompts
Значения параметра: нет
Обязательный: нет
Описание. Если --confirm-all-prompts параметр указан, скрипт не приостанавливается для подтверждения пользователя и запрашивает только запросы, если требуется ввод пользователя. Используйте переключатель --confirm-all-prompts для развертывания нулевого касания.
Использование предварительной сборки контейнера
Имя параметра: --preview
Значения параметра: нет
Обязательный: нет
Описание. По умолчанию скрипт запуска развертывания контейнера развертывает контейнер с тегом :latest . Общедоступные предварительные версии функции публикуются в теге :latest-preview . Чтобы сценарий развертывания контейнера использовал общедоступную предварительную версию контейнера, укажите --preview параметр.
Связанный контент
Дополнительные сведения см. в разделе: