Referens för Kickstart-skript

Skriptöversikt

Förenkla distributionen av containern som är värd för SAP-dataanslutningen med hjälp av det tillhandahållna Kickstart-skriptet (tillgängligt i Microsoft Sentinel-lösningen för SAP-program® GitHub), som också kan aktivera olika lagringslägen för hemligheter, konfigurera säker nätverkskommunikation (SNC) med mera.

Parameterreferens

Följande parametrar kan konfigureras. Du kan se exempel på hur dessa parametrar används i Distribuera och konfigurera containern som är värd för SAP-dataanslutningsagenten.

Hemlig lagringsplats

Parameternamn: --keymode

Parametervärden: kvmi, kvsi, cfgf

Obligatoriskt: Nej. kvmi antas som standard.

Förklaring: Anger om hemligheter (användarnamn, lösenord, logganalys-ID och delad nyckel) ska lagras i den lokala konfigurationsfilen eller i Azure Key Vault. Styr även om autentisering till Azure Key Vault görs med hjälp av den virtuella datorns Azure-systemtilldelade hanterade identitet eller en Microsoft Entra-registrerad programidentitet.

Om värdet kvmiär inställt på används Azure Key Vault för att lagra hemligheter, och autentisering till Azure Key Vault görs med hjälp av den virtuella datorns Azure-systemtilldelade hanterade identitet.

Om värdet kvsiär inställt på används Azure Key Vault för att lagra hemligheter, och autentisering till Azure Key Vault görs med hjälp av en Microsoft Entra-registrerad programidentitet. Användning av kvsi läge kräver --appid, --appsecretoch --tenantid värden.

Om värdet cfgfär inställt på används konfigurationsfilen som lagras lokalt för att lagra hemligheter.

Anslutningsläge för ABAP-server

Parameternamn: --connectionmode

Parametervärden: abap, mserv

Obligatoriskt: Nej. Om det inte anges är abapstandardvärdet .

Förklaring: Definierar om datainsamlaragenten ska ansluta till ABAP-servern direkt eller via en meddelandeserver. Använd abap för att låta agenten ansluta direkt till ABAP-servern, vars namn du kan definiera med hjälp av parametern --abapserver (men om du inte gör det uppmanas du fortfarande att göra det). Använd mserv för att ansluta via en meddelandeserver, i vilket fall du måste ange parametrarna --messageserverhost, --messageserverportoch --logongroup .

Plats för konfigurationsmapp

Parameternamn: --configpath

Parametervärden: <path>

Obligatoriskt: Nej, /opt/sapcon/<SID> antas om det inte anges.

Förklaring: Som standard initierar kickstart konfigurationsfilen, metadataplatsen till /opt/sapcon/<SID>. Om du vill ange en alternativ plats för konfiguration och metadata använder du parametern --configpath .

ABAP-serveradress

Parameternamn: --abapserver

Parametervärden: <servername>

Obligatoriskt: Nej. Om parametern inte har angetts och om parametern ABAP-serveranslutningsläge är inställd abappå uppmanas du att ange serverns värdnamn/IP-adress.

Förklaring: Används endast om anslutningsläget är inställt på abap, den här parametern innehåller det fullständigt kvalificerade domännamnet (FQDN), kort namn eller IP-adress för ABAP-servern som ska anslutas till.

Systeminstansnummer

Parameternamn: --systemnr

Parametervärden: <system number>

Obligatoriskt: Nej. Om det inte anges uppmanas användaren att ange systemnumret.

Förklaring: Anger det SAP-systeminstansnummer som ska anslutas till.

System-ID

Parameternamn: --sid

Parametervärden: <SID>

Obligatoriskt: Nej. Om det inte anges uppmanas användaren att ange system-ID:t.

Förklaring: Anger det SAP-system-ID som ska anslutas till.

Klientnummer

Parameternamn: --clientnumber

Parametervärden: <client number>

Obligatoriskt: Nej. Om det inte anges uppmanas användaren att ange klientnumret.

Förklaring: Anger det klientnummer som ska anslutas till.

Meddelandeservervärd

Parameternamn: --messageserverhost

Parametervärden: <servername>

Obligatoriskt: Ja, om ABAP-serveranslutningsläget är inställt på mserv.

Förklaring: Anger värdnamnet/ip-adressen för meddelandeservern som ska anslutas till. Kan bara användas om ABAP-serveranslutningsläget är inställt på mserv.

Meddelandeserverport

Parameternamn: --messageserverport

Parametervärden: <portnumber>

Obligatoriskt: Ja, om ABAP-serveranslutningsläget är inställt på mserv.

Förklaring: Anger tjänstnamnet (porten) för meddelandeservern som ska anslutas till. Kan bara användas om ABAP-serveranslutningsläget är inställt på mserv.

Inloggningsgrupp

Parameternamn: --logongroup

Parametervärden: <logon group>

Obligatoriskt: Ja, om ABAP-serveranslutningsläget är inställt på mserv.

Förklaring: Anger den inloggningsgrupp som ska användas när du ansluter till en meddelandeserver. Kan endast användas om ABAP-serveranslutningsläget är inställt på mserv. Om namnet på inloggningsgruppen innehåller blanksteg bör de skickas med dubbla citattecken, som i exemplet --logongroup "my logon group".

Användarnamn för inloggning

Parameternamn: --sapusername

Parametervärden: <username>

Obligatoriskt: Nej. Om det inte anges uppmanas användaren att ange användarnamnet om de inte använder SNC (X.509) för autentisering.

Förklaring: Användarnamn som används för att autentisera till ABAP-servern.

Inloggningslösenord

Parameternamn: --sappassword

Parametervärden: <password>

Obligatoriskt: Nej. Om det inte anges uppmanas användaren att ange lösenordet om de inte använder SNC (X.509) för autentisering. Lösenordsindata är maskerade.

Förklaring: Lösenord som används för att autentisera till ABAP-servern.

NetWeaver SDK-filplats

Parameternamn: --sdk

Parametervärden: <filename>

Obligatoriskt: Nej. Skriptet försöker hitta filen nwrfc*.zip i den aktuella mappen. Om den inte hittas uppmanas användaren att ange en giltig NetWeaver SDK-arkivfil.

Förklaring: NetWeaver SDK-filsökväg. Ett giltigt SDK krävs för att datainsamlaren ska fungera. Mer information finns i Krav för att distribuera Microsoft Sentinel-lösning för SAP-program®.

Företagsprogram-ID

Parameternamn: --appid

Parametervärden: <guid>

Obligatoriskt: Ja, om den hemliga lagringsplatsen är inställd på kvsi.

Förklaring: När autentiseringsläget för Azure Key Vault är inställt på kvsigörs autentiseringen till nyckelvalvet med hjälp av en företagsappsidentitet (tjänstens huvudnamn). Den här parametern anger program-ID:t.

Företagsprogramhemlighet

Parameternamn: --appsecret

Parametervärden: <secret>

Obligatoriskt: Ja, om den hemliga lagringsplatsen är inställd på kvsi.

Förklaring: När autentiseringsläget för Azure Key Vault är inställt på kvsigörs autentiseringen till nyckelvalvet med hjälp av en företagsappsidentitet (tjänstens huvudnamn). Den här parametern anger programhemligheten.

Klientorganisations-ID

Parameternamn: --tenantid

Parametervärden: <guid>

Obligatoriskt: Ja, om den hemliga lagringsplatsen är inställd på kvsi.

Förklaring: När autentiseringsläget för Azure Key Vault är inställt på kvsigörs autentiseringen till nyckelvalvet med hjälp av en företagsappsidentitet (tjänstens huvudnamn). Den här parametern anger Klient-ID för Microsoft Entra.

Namn på Key Vault

Parameternamn: --kvaultname

Parametervärden: <key vaultname>

Obligatoriskt: Nej. Om Den hemliga lagringsplatsen är inställd på kvsi eller kvmiuppmanas skriptet att ange värdet om det inte anges.

Förklaring: Om den hemliga lagringsplatsen är inställd på kvsi eller kvmiska nyckelvalvets namn (i FQDN-format) anges här.

Log Analytics-arbetsytans ID

Parameternamn: --loganalyticswsid

Parametervärden: <id>

Obligatoriskt: Nej. Om det inte anges frågar skriptet efter arbetsyte-ID:t.

Förklaring: Log Analytics-arbetsyte-ID där datainsamlaren skickar data till. Leta reda på arbetsytans ID genom att leta upp Log Analytics-arbetsytan i Azure-portalen: öppna Microsoft Sentinel, välja Inställningar i avsnittet Konfiguration , välja Inställningar för arbetsyta och sedan Agenthantering.

Log Analytics-nyckel

Parameternamn: --loganalyticskey

Parametervärden: <key>

Obligatoriskt: Nej. Om det inte anges frågar skriptet efter arbetsytenyckeln. Indata är maskerade.

Förklaring: Primär eller sekundär nyckel för Log Analytics-arbetsytan där datainsamlaren skickar data till. Om du vill hitta arbetsytans primära eller sekundära nyckel letar du upp Log Analytics-arbetsytan i Azure-portalen: öppna Microsoft Sentinel, välj Inställningar i avsnittet Konfiguration, välj Inställningar för arbetsyta och välj sedan Agenthantering.

Använda X.509 (SNC) för autentisering

Parameternamn: --use-snc

Parametervärden: Ingen

Obligatoriskt: Nej. Om det inte anges används användarnamnet och lösenordet för autentisering. Om det anges --cryptolibkrävs , --sapgenpse, kombination av antingen --client-cert och --client-key, eller --client-pfx samt --client-pfx-passwd --server-cert, och i vissa fall --cacert växlar.

Förklaring: Anger att X.509-autentisering används för att ansluta till ABAP-servern i stället för autentisering med användarnamn/lösenord. Mer information finns i Distribuera Microsoft Sentinel för SAP-dataanslutning med hjälp av SNC.

Sökväg till sap-kryptografiskt bibliotek

Parameternamn: --cryptolib

Parametervärden: <sapcryptolibfilename>

Obligatoriskt: Ja, om --use-snc har angetts.

Förklaring: Plats och filnamn för SAP Cryptographic Library (libsapcrypto.so).

SAPGENPSE-verktygssökväg

Parameternamn: --sapgenpse

Parametervärden: <sapgenpsefilename>

Obligatoriskt: Ja, om --use-snc har angetts.

Förklaring: Plats och filnamn för sapgenpse-verktyget för skapande och hantering av PSE-filer och SSO-autentiseringsuppgifter.

Sökväg till offentlig nyckel för klientcertifikat

Parameternamn: --client-cert

Parametervärden: <client certificate filename>

Obligatoriskt: Ja, om --use-snc och certifikatet är i .crt/.key base-64-format.

Förklaring: Plats och filnamn för det offentliga base-64-klientcertifikatet. Om klientcertifikatet är i .pfx-format använder du --client-pfx växeln i stället.

Sökväg till privat nyckel för klientcertifikat

Parameternamn: --client-key

Parametervärden: <client key filename>

Obligatoriskt: Ja, om --use-snc anges och nyckeln är i .crt/.key base-64-format.

Förklaring: Plats och filnamn för den privata base-64-klientens nyckel. Om klientcertifikatet är i .pfx-format använder du --client-pfx växeln i stället.

Certifikat för utfärdande/rotcertifikatutfärdare

Parameternamn: --cacert

Parametervärden: <trusted ca cert>

Obligatoriskt: Ja, om --use-snc anges och certifikatet utfärdas av en företagscertifikatutfärdare.

Förklaring: Om certifikatet är självsignerat har det ingen utfärdande certifikatutfärdare, så det finns ingen förtroendekedja som behöver verifieras. Om certifikatet utfärdas av en företagscertifikatutfärdare måste certifikatutfärdarcertifikatet och eventuella certifikat på högre nivå verifieras. Använd separata instanser av växeln --cacert för varje certifikatutfärdare i förtroendekedjan och ange fullständiga filnamn för de offentliga certifikaten för företagscertifikatutfärdarna.

Klient-PFX-certifikatsökväg

Parameternamn: --client-pfx

Parametervärden: <pfx filename>

Obligatoriskt: Ja, om --use-snc och nyckeln är i .pfx/.p12-format.

Förklaring: Plats och filnamn för pfx-klientcertifikatet.

Lösenord för KLIENT-PFX-certifikat

Parameternamn: --client-pfx-passwd

Parametervärden: <password>

Obligatoriskt: Ja, om --use-snc det används är certifikatet i .pfx/.p12-format och certifikatet skyddas av ett lösenord.

Förklaring: PFX/P12-fillösenord.

Servercertifikat

Parameternamn: --server-cert

Parametervärden: <server certificate filename>

Obligatoriskt: Ja, om --use-snc används.

Förklaring: Fullständig sökväg och namn för ABAP-servercertifikatet.

URL för HTTP-proxyserver

Parameternamn: --http-proxy

Parametervärden: <proxy url>

Obligatoriskt: Nej

Förklaring: Containrar som inte kan upprätta anslutning till Microsoft Azure-tjänster direkt och som kräver anslutning via en proxyserver kräver --http-proxy växel för att definiera proxy-URL för containern. Formatet för proxy-URL:en är http://hostname:port.

Värdbaserat nätverk

Parameternamn: --hostnetwork

Obligatoriskt: Nej.

Förklaring: Om den här växeln anges använder agenten värdbaserad nätverkskonfiguration. Detta kan lösa interna DNS-matchningsproblem i vissa fall.

Bekräfta alla frågor

Parameternamn: --confirm-all-prompts

Parametervärden: Ingen

Obligatoriskt: Nej

Förklaring: Om växeln --confirm-all-prompts har angetts pausar skriptet inte för några användarbekräftelser och frågar bara om användarens indata krävs. Använd --confirm-all-prompts switch för att uppnå en zero-touch-distribution.

Använda förhandsversion av containern

Parameternamn: --preview

Parametervärden: Ingen

Obligatoriskt: Nej

Förklaring: Som standard distribuerar kickstartskriptet för containerdistribution containern med taggen :latest . Offentliga förhandsgranskningsfunktioner publiceras till taggen :latest-preview . Ange växeln för att säkerställa att containerdistributionsskriptet använder den offentliga förhandsversionen av containern --preview .

Nästa steg

Läs mer om Microsoft Sentinel-lösningen för SAP-program®:

• Distribuera Microsoft Sentinel-lösning för SAP-program®
• Förutsättningar för att distribuera Microsoft Sentinel-lösning för SAP-program®
• Distribuera SAP-ändringsbegäranden (CR) och konfigurera auktorisering
• Distribuera lösningsinnehållet från innehållshubben
• Distribuera och konfigurera containern som är värd för SAP-dataanslutningsagenten
• Distribuera Microsoft Sentinel för SAP-dataanslutningsappen med SNC
• Övervaka hälsotillståndet för ditt SAP-system
• Aktivera och konfigurera SAP-granskning
• Samla in SAP HANA-granskningsloggar

Felsökning:

• Felsöka din Microsoft Sentinel-lösning för distribution av SAP-programlösningar®

Referensfiler:

• Datareferens för Microsoft Sentinel-lösning för SAP-program®
• Microsoft Sentinel-lösning för SAP-program®: referens för säkerhetsinnehåll
• Referens för uppdateringsskript
• Systemconfig.ini filreferens

Mer information finns i Microsoft Sentinel-lösningar.