Kickstart 腳本參考
腳本概觀
使用提供的 Kickstart 腳本來簡化裝載 SAP 數據連接器的容器部署(適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案 GitHub),也可以啟用不同的秘密儲存模式、設定安全網路通訊 (SNC) 等等。
參數參考
下列參數是可設定的。 您可以在部署和設定裝載 SAP 資料連接器代理程式的容器中,查看這些參數的使用方式範例。
秘密儲存位置
參數名稱:--keymode
參數值:kvmi、 、 kvsicfgf
必要: 否。 預設會假設為kvmi 。
說明:指定秘密(使用者名稱、密碼、記錄分析標識符和共用密鑰)是否應該儲存在本機組態檔中,或儲存在 Azure 金鑰保存庫 中。 也控制是否使用 VM 的 Azure 系統指派受控識別或 Microsoft Entra 已註冊的應用程式身分識別,對 Azure 金鑰保存庫 進行驗證。
如果設定為 kvmi,則會使用 Azure 金鑰保存庫 來儲存秘密,並使用虛擬機的 Azure 系統指派的受控識別來驗證 Azure 金鑰保存庫。
如果設定為 kvsi,則會使用 Azure 金鑰保存庫 來儲存秘密,並使用 Microsoft Entra registered-application identity 完成對 Azure 金鑰保存庫 的驗證。 模式的使用 kvsi 需要 --appid、 --appsecret和 --tenantid 值。
如果設定為 cfgf,則會使用儲存在本機的組態檔來儲存秘密。
ABAP 伺服器連線模式
參數名稱:--connectionmode
參數值:abap, mserv
必要: 否。 如果沒有指定,則預設值為 abap。
說明: 定義數據收集器代理程式是否應該直接連線到 ABAP 伺服器,或透過訊息伺服器。 使用 abap 來讓代理程式直接連線到 ABAP 伺服器,其名稱您可以使用 參數來定義(不過如果您未這麼做 --abapserver , 仍會提示您輸入該伺服器)。 用來mserv透過訊息伺服器連線,在此情況下,您必須指定--messageserverhost、 --messageserverport和 --logongroup 參數。
組態資料夾位置
參數名稱:--configpath
參數值:<path>
必要: 如果未指定, /opt/sapcon/<SID> 則會假設為否。
說明: 根據預設,kickstart 會將組態檔、元數據位置初始化為 /opt/sapcon/<SID>。 若要設定組態和元數據的替代位置,請使用 --configpath 參數。
ABAP 伺服器位址
參數名稱:--abapserver
參數值:<servername>
必要: 否。 如果未指定 參數,且 ABAP 伺服器連接模式 參數設定為 abap,系統會提示您輸入伺服器主機名/IP 位址。
說明: 只有當連線模式設定為 abap時,此參數才會包含要連線之 ABAP 伺服器的完整功能變數名稱 (FQDN)、簡短名稱或 IP 位址。
系統實例號碼
參數名稱:--systemnr
參數值:<system number>
必要: 否。 如果未指定,系統會提示使用者輸入系統號碼。
說明: 指定要連線的 SAP 系統實例編號。
系統識別碼
參數名稱:--sid
參數值:<SID>
必要: 否。 如果未指定,系統會提示使用者輸入系統標識碼。
說明: 指定要連線的 SAP 系統識別碼。
用戶端編號
參數名稱:--clientnumber
參數值:<client number>
必要: 否。 如果未指定,系統會提示使用者輸入客戶端號碼。
說明: 指定要連線的客戶端號碼。
訊息伺服器主機
參數名稱:--messageserverhost
參數值:<servername>
必要: 是,如果 ABAP 伺服器連接模式 設定為 mserv。
說明: 指定要連線之訊息伺服器的主機名/ip 位址。 只有在 ABAP 伺服器連接模式設定為 mserv時,才能使用。
訊息伺服器埠
參數名稱:--messageserverport
參數值:<portnumber>
必要: 是,如果 ABAP 伺服器連接模式 設定為 mserv。
說明: 指定要連線之訊息伺服器的服務名稱(埠)。 只有在 ABAP 伺服器連接模式設定為 mserv時,才能使用。
登入群組
參數名稱:--logongroup
參數值:<logon group>
必要: 是,如果 ABAP 伺服器連接模式 設定為 mserv。
說明: 指定連線到訊息伺服器時要使用的登入群組。 只有在 ABAP 伺服器連接模式設定為 mserv時,才能使用。 如果登入組名包含空格,則應該以雙引號傳遞,如範例 --logongroup "my logon group"所示。
登入用戶名稱
參數名稱:--sapusername
參數值:<username>
必要: 否。 如果未提供,如果使用者 未 使用SNC (X.509) 進行驗證,則會提示使用者輸入用戶名稱。
說明: 用來向 ABAP 伺服器驗證的用戶名稱。
登入密碼
參數名稱:--sappassword
參數值:<password>
必要: 否。 如果未提供,則會提示使用者輸入密碼,如果他們 未 使用SNC (X.509) 進行驗證。 密碼輸入已遮罩。
說明: 用來向 ABAP 伺服器驗證的密碼。
NetWeaver SDK 檔案位置
參數名稱:--sdk
參數值:<filename>
必要: 否。 腳本會嘗試在目前資料夾中尋找 nwrfc*.zip 檔案。 如果找不到,系統會提示使用者提供有效的 NetWeaver SDK 封存盤案。
說明: NetWeaver SDK 檔案路徑。 數據收集器需要有效的 SDK 才能運作。 如需詳細資訊,請參閱 部署適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案的必要條件。
企業應用程式識別碼
參數名稱:--appid
參數值:<guid>
必要: 是,如果 秘密儲存位置 設定為 kvsi。
說明:當 Azure 金鑰保存庫 驗證模式設定為 kvsi時,會使用企業應用程式(服務主體)身分識別完成密鑰保存庫的驗證。 此參數會指定應用程式識別碼。
企業應用程式秘密
參數名稱:--appsecret
參數值:<secret>
必要: 是,如果 秘密儲存位置 設定為 kvsi。
說明:當 Azure 金鑰保存庫 驗證模式設定為 kvsi時,會使用企業應用程式(服務主體)身分識別完成密鑰保存庫的驗證。 此參數會指定應用程式密碼。
租用戶識別碼
參數名稱:--tenantid
參數值:<guid>
必要: 是,如果 秘密儲存位置 設定為 kvsi。
說明:當 Azure 金鑰保存庫 驗證模式設定為 kvsi時,會使用企業應用程式(服務主體)身分識別完成密鑰保存庫的驗證。 此參數會指定 Microsoft Entra 租使用者識別碼。
金鑰保存庫名稱
參數名稱:--kvaultname
參數值:<key vaultname>
必要: 否。 如果 秘密儲存位置 設定為 kvsi 或 kvmi,則腳本會在未提供時提示輸入值。
說明: 如果 秘密儲存位置 設定為 kvsi 或 kvmi,則應該在此處輸入金鑰保存庫名稱(FQDN 格式)。
Log Analytics 工作區標識符
參數名稱:--loganalyticswsid
參數值:<id>
必要: 否。 如果未提供,腳本會提示輸入工作區標識符。
說明: 數據收集器將數據傳送至其中的Log Analytics工作區標識碼。 若要尋找工作區標識符,請在 [Azure 入口網站: 開啟 Microsoft Sentinel,選取 [組態] 區段中的 [設定],選取 [工作區設定],然後選取 [代理程式管理]。
Log Analytics 金鑰
參數名稱:--loganalyticskey
參數值:<key>
必要: 否。 如果未提供,腳本會提示工作區密鑰。 輸入會遮罩。
說明: 數據收集器將數據傳送至其中的Log Analytics工作區的主要或次要密鑰。 若要找出工作區主要或次要密鑰,請在 Azure 入口網站 中找到 Log Analytics 工作區:開啟 Microsoft Sentinel,選取 [組態] 區段中的 [設定],選取 [工作區設定],然後選取 [代理程式管理]。
使用 X.509 (SNC) 進行驗證
參數名稱:--use-snc
參數值: 無
必要: 否。 如果未指定,則會使用使用者名稱和密碼進行驗證。 如果指定 、--cryptolib、--sapgenpse、 和 --client-pfx-passwd--client-pfx--server-cert以及 的組合--client-cert--client-key,則在某些情況下--cacert,需要參數。
說明: 指定 X.509 驗證是用來連線到 ABAP 伺服器,而不是使用者名稱/密碼驗證。 如需詳細資訊,請參閱 使用 SNC 部署 Microsoft Sentinel for SAP 數據連接器。
SAP 密碼編譯連結庫路徑
參數名稱:--cryptolib
參數值:<sapcryptolibfilename>
必要: 如果 --use-snc 已指定,則為 [是]。
說明: SAP 密碼編譯連結庫的位置和檔名(libsapcrypto.so)。
SAPGENPSE 工具路徑
參數名稱:--sapgenpse
參數值:<sapgenpsefilename>
必要: 如果 --use-snc 已指定,則為 [是]。
說明: 用來建立和管理 PSE 檔案和 SSO 認證之 sapgenpse 工具的位置和檔名。
用戶端憑證公鑰路徑
參數名稱:--client-cert
參數值:<client certificate filename>
必要: 是,如果 --use-snc和 憑證為 .crt/.key base-64 格式。
說明: base-64 用戶端公開憑證的位置和檔名。 如果客戶端憑證採用 .pfx 格式,請改用 --client-pfx switch。
用戶端憑證私鑰路徑
參數名稱:--client-key
參數值:<client key filename>
必要: 是,如果 --use-snc 已指定 ,且 索引鍵為 .crt/.key base-64 格式。
說明: base-64 用戶端私鑰的位置和檔名。 如果客戶端憑證採用 .pfx 格式,請改用 --client-pfx switch。
發行/跟證書授權單位憑證
參數名稱:--cacert
參數值:<trusted ca cert>
必要: 是,如果 --use-snc 已指定 ,且 憑證是由企業證書頒發機構單位所簽發。
說明: 如果憑證是自我簽署,則沒有發行 CA,因此不需要驗證信任鏈結。 如果憑證是由企業 CA 所簽發,則必須驗證發行 CA 憑證和任何較高層級的 CA 憑證。 針對信任鏈結中的每個 CA 使用不同的參數實例 --cacert ,並提供企業證書頒發機構單位公開憑證的完整檔名。
用戶端 PFX 憑證路徑
參數名稱:--client-pfx
參數值:<pfx filename>
必要: 是,如果 --use-snc和 索引鍵為 .pfx/.p12 格式。
說明: pfx 用戶端憑證的位置和檔名。
用戶端 PFX 憑證密碼
參數名稱:--client-pfx-passwd
參數值:<password>
必要: 是,如果使用 --use-snc ,則憑證採用 .pfx/.p12 格式,且憑證受到密碼保護。
說明: PFX/P12 檔案密碼。
伺服器憑證
參數名稱:--server-cert
參數值:<server certificate filename>
必要: 是,如果使用 --use-snc 。
說明: ABAP 伺服器證書完整路徑和名稱。
HTTP Proxy 伺服器 URL
參數名稱:--http-proxy
參數值:<proxy url>
必要: 否
說明: 無法直接建立與 Microsoft Azure 服務的連線,且需要透過 Proxy 伺服器的連線的容器需要 --http-proxy 切換來定義容器的 Proxy URL。 Proxy URL 格式為 http://hostname:port。
主機型網路
參數名稱:--hostnetwork
必要: 否。
說明: 如果指定此交換器,代理程式會使用主機型網路設定。 在某些情況下,這可以解決內部 DNS 解析問題。
確認所有提示
參數名稱:--confirm-all-prompts
參數值: 無
必要: 否
說明: 如果 --confirm-all-prompts 指定參數,腳本不會暫停任何用戶確認,而且只有在需要使用者輸入時才會提示。 使用 --confirm-all-prompts switch 來達成零接觸部署。
使用容器的預覽組建
參數名稱:--preview
參數值: 無
必要: 否
說明: 根據預設,容器部署 kickstart 腳本會使用 :latest 標記來部署容器。 公開預覽功能會發佈至 :latest-preview 標記。 若要確保容器部署文本使用容器的公開預覽版本,請指定 --preview 參數。
下一步
深入瞭解適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案:
- 部署適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案
- 為 SAP® 應用程式部署 Microsoft Sentinel 解決方案的必要條件
- 部署 SAP 變更要求 (CRS) 並設定授權
- 從內容中樞部署解決方案內容
- 部署和設定裝載SAP數據連接器代理程式的容器
- 使用 SNC 部署 Microsoft Sentinel for SAP 數據連接器
- 監視 SAP 系統的健康情況
- 啟用和設定 SAP 稽核
- 收集 SAP HANA 稽核記錄
疑難排解:
參考檔案:
- 適用於 SAP® 應用程式資料參考的 Microsoft Sentinel 解決方案
- 適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案:安全性內容參考
- 更新文本參考
- Systemconfig.ini檔案參考
如需詳細資訊,請參閱 Microsoft Sentinel 解決方案。