Informazioni di riferimento sullo script di distribuzione kickstart per l'agente del connettore dati delle applicazioni SAP di Microsoft Sentinel
Questo articolo fornisce un riferimento ai parametri configurabili disponibili nello script kickstart usato per distribuire l'agente del connettore dati di Microsoft Sentinel per le applicazioni SAP.
Per altre informazioni, vedere Connettere il sistema SAP a Microsoft Sentinel.
Il contenuto di questo articolo è destinato ai team SAP BASIS .
Percorso di archiviazione dei segreti
Nome parametro: --keymode
Valori dei parametri: kvmi
, kvsi
, cfgf
Obbligatorio: No. Per impostazione predefinita viene usatokvmi
.
Descrizione: specifica se i segreti (nome utente, password, ID di Log Analytics e chiave condivisa) devono essere archiviati nel file di configurazione locale o in Azure Key Vault. Controlla anche se l'autenticazione in Azure Key Vault viene eseguita usando l'identità gestita assegnata dal sistema della macchina virtuale o un'identità dell'applicazione registrata di Microsoft Entra.
Se impostato su kvmi
, Azure Key Vault viene usato per archiviare i segreti e l'autenticazione in Azure Key Vault viene eseguita usando l'identità gestita assegnata dal sistema di Azure della macchina virtuale.
Se è impostato su kvsi
, Azure Key Vault viene usato per archiviare i segreti e l'autenticazione in Azure Key Vault viene eseguita usando un'identità dell'applicazione registrata di Microsoft Entra. L'utilizzo della kvsi
modalità richiede i --appid
valori , --appsecret
e --tenantid
.
Se impostato su cfgf
, il file di configurazione archiviato in locale viene usato per archiviare i segreti.
Modalità di connessione al server ABAP
Nome parametro: --connectionmode
Valori dei parametri: abap
, mserv
Obbligatorio: No. Se non è specificato, il valore predefinito è abap
.
Descrizione: definisce se l'agente dell'agente di raccolta dati deve connettersi direttamente al server ABAP o tramite un server di messaggi. Usare abap
per fare in modo che l'agente si connetta direttamente al server ABAP, il cui nome è possibile definire usando il --abapserver
parametro . Se non si definisce il nome in anticipo, lo script richiede di specificarlo. Usare mserv
per connettersi tramite un server di messaggi, nel qual caso è necessario specificare i --messageserverhost
parametri , --messageserverport
e --logongroup
.
Percorso della cartella di configurazione
Nome parametro: --configpath
Valori dei parametri: <path>
Obbligatorio: no, /opt/sapcon/<SID>
viene utilizzato se non specificato.
Descrizione: per impostazione predefinita kickstart inizializza il file di configurazione, il percorso dei metadati in /opt/sapcon/<SID>
. Per impostare un percorso alternativo di configurazione e metadati, usare il --configpath
parametro .
Indirizzo del server ABAP
Nome parametro: --abapserver
Valori dei parametri: <servername>
Obbligatorio: No. Se il parametro non è specificato e se il parametro della modalità di connessione del server ABAP è impostato su abap
, lo script richiede il nome host/indirizzo IP del server.
Descrizione: usato solo se la modalità di connessione è impostata su abap
, questo parametro contiene il nome di dominio completo (FQDN), il nome breve o l'indirizzo IP del server ABAP a cui connettersi.
Numero di istanza di sistema
Nome parametro: --systemnr
Valori dei parametri: <system number>
Obbligatorio: No. Se non specificato, all'utente viene richiesto il numero di sistema.
Descrizione: specifica il numero di istanza di sistema SAP a cui connettersi.
ID sistema
Nome parametro: --sid
Valori dei parametri: <SID>
Obbligatorio: No. Se non specificato, all'utente viene richiesto l'ID di sistema.
Descrizione: specifica l'ID di sistema SAP a cui connettersi.
Numero client
Nome parametro: --clientnumber
Valori dei parametri: <client number>
Obbligatorio: No. Se non specificato, all'utente viene richiesto di specificare il numero del client.
Descrizione: specifica il numero client a cui connettersi.
Host server messaggi
Nome parametro: --messageserverhost
Valori dei parametri: <servername>
Obbligatorio: Sì, se la modalità di connessione al server ABAP è impostata su mserv
.
Descrizione: specifica il nome host/indirizzo ip del server messaggi a cui connettersi. Può essere usato solo se la modalità di connessione al server ABAP è impostata su mserv
.
Porta del server di messaggi
Nome parametro: --messageserverport
Valori dei parametri: <portnumber>
Obbligatorio: Sì, se la modalità di connessione al server ABAP è impostata su mserv
.
Descrizione: specifica il nome del servizio (porta) del server messaggi a cui connettersi. Può essere usato solo se la modalità di connessione al server ABAP è impostata su mserv
.
Gruppo di accesso
Nome parametro: --logongroup
Valori dei parametri: <logon group>
Obbligatorio: Sì, se la modalità di connessione al server ABAP è impostata su mserv
.
Descrizione: specifica il gruppo di accesso da usare per la connessione a un server messaggi. Può essere usato solo se la modalità di connessione del server ABAP è impostata su mserv
. Se il nome del gruppo di accesso contiene spazi, devono essere passati tra virgolette doppie, come nell'esempio --logongroup "my logon group"
.
Nome utente di accesso
Nome parametro: --sapusername
Valori dei parametri: <username>
Obbligatorio: No. Se non viene specificato, all'utente viene richiesto di specificare il nome utente se non usa SNC (X.509) per l'autenticazione.
Descrizione: nome utente usato per eseguire l'autenticazione al server ABAP.
Password di accesso
Nome parametro: --sappassword
Valori dei parametri: <password>
Obbligatorio: No. Se non viene specificato, all'utente viene richiesta la password, se non usa SNC (X.509) per l'autenticazione. L'input della password è mascherato.
Descrizione: password usata per l'autenticazione nel server ABAP.
Percorso del file netWeaver SDK
Nome parametro: --sdk
Valori dei parametri: <filename>
Obbligatorio: No. Lo script tenta di individuare il file nwrfc*.zip nella cartella corrente. Se non viene trovato, all'utente viene richiesto di fornire un file di archivio NetWeaver SDK valido.
Descrizione: percorso del file netWeaver SDK. Per il funzionamento dell'agente di raccolta dati è necessario un SDK valido. Per altre informazioni, vedere Prerequisiti SAP.
ID applicazione aziendale
Nome parametro: --appid
Valori dei parametri: <guid>
Obbligatorio: Sì, se la posizione di archiviazione dei segreti è impostata su kvsi
.
Descrizione: quando la modalità di autenticazione di Azure Key Vault è impostata su kvsi
, l'autenticazione all'insieme di credenziali delle chiavi viene eseguita usando un'identità dell'applicazione aziendale (entità servizio). Questo parametro specifica l'ID applicazione.
Segreto dell'applicazione aziendale
Nome parametro: --appsecret
Valori dei parametri: <secret>
Obbligatorio: Sì, se la posizione di archiviazione dei segreti è impostata su kvsi
.
Descrizione: quando la modalità di autenticazione di Azure Key Vault è impostata su kvsi
, l'autenticazione all'insieme di credenziali delle chiavi viene eseguita usando un'identità dell'applicazione aziendale (entità servizio). Questo parametro specifica il segreto dell'applicazione.
ID tenant
Nome parametro: --tenantid
Valori dei parametri: <guid>
Obbligatorio: Sì, se la posizione di archiviazione dei segreti è impostata su kvsi
.
Descrizione: quando la modalità di autenticazione di Azure Key Vault è impostata su kvsi
, l'autenticazione all'insieme di credenziali delle chiavi viene eseguita usando un'identità dell'applicazione aziendale (entità servizio). Questo parametro specifica l'ID tenant di Microsoft Entra.
Nome dell'insieme di credenziali delle chiavi
Nome parametro: --kvaultname
Valori dei parametri: <key vaultname>
Obbligatorio: No. Se il percorso di archiviazione dei segreti è impostato su kvsi
o kvmi
, lo script richiede il valore se non specificato.
Descrizione: se il percorso di archiviazione dei segreti è impostato su kvsi
o kvmi
, il nome dell'insieme di credenziali delle chiavi (in formato FQDN) deve essere immesso qui.
ID dell'area di lavoro Log Analytics
Nome parametro: --loganalyticswsid
Valori dei parametri: <id>
Obbligatorio: No. Se non viene specificato, lo script richiede l'ID dell'area di lavoro.
Descrizione: ID dell'area di lavoro Log Analytics a cui l'agente di raccolta dati invia i dati. Per individuare l'ID dell'area di lavoro, individuare l'area di lavoro Log Analytics nel portale di Azure: aprire Microsoft Sentinel, selezionare Impostazioni nella sezione Configurazione, selezionare Impostazioni area di lavoro e quindi Gestione agenti.
Chiave di Log Analytics
Nome parametro: --loganalyticskey
Valori dei parametri: <key>
Obbligatorio: No. Se non viene specificato, lo script richiede la chiave dell'area di lavoro. L'input è mascherato.
Descrizione: chiave primaria o secondaria dell'area di lavoro Log Analytics in cui l'agente di raccolta dati invia i dati. Per individuare l'area di lavoro Chiave primaria o secondaria, individuare l'area di lavoro Log Analytics in portale di Azure: aprire Microsoft Sentinel, selezionare Impostazioni nella sezione Configurazione, selezionare Impostazioni area di lavoro e quindi Gestione agenti.
Usare X.509 (SNC) per l'autenticazione
Nome parametro: --use-snc
Valori dei parametri: Nessuno
Obbligatorio: No. Se non specificato, il nome utente e la password vengono usati per l'autenticazione. Se specificato, --cryptolib
, --sapgenpse
, combinazione di --client-cert
e --client-key
, o --client-pfx
e --client-pfx-passwd
--server-cert
e , e in alcuni casi --cacert
è necessaria l'opzione .
Descrizione: specifica che l'autenticazione X.509 viene usata per connettersi al server ABAP anziché all'autenticazione con nome utente/password. Per altre informazioni, vedere Configurare il sistema per l'uso di SNC per connessioni sicure.
Percorso della libreria di crittografia SAP
Nome parametro: --cryptolib
Valori dei parametri: <sapcryptolibfilename>
Obbligatorio: Sì, se --use-snc
specificato.
Descrizione: percorso e nome file della libreria di crittografia SAP (libsapcrypto.so).
Percorso dello strumento SAPGENPSE
Nome parametro: --sapgenpse
Valori dei parametri: <sapgenpsefilename>
Obbligatorio: Sì, se --use-snc
specificato.
Descrizione: percorso e nome file dello strumento sapgenpse per la creazione e la gestione di PSE-files e SSO-credentials.
Percorso della chiave pubblica del certificato client
Nome parametro: --client-cert
Valori dei parametri: <client certificate filename>
Obbligatorio: Sì, se --use-snc
e il certificato sono in formato .crt/.key base 64.
Descrizione: percorso e nome file del certificato pubblico client base 64. Se il certificato client è in formato pfx, usare l'opzione --client-pfx
.
Percorso della chiave privata del certificato client
Nome parametro: --client-key
Valori dei parametri: <client key filename>
Obbligatorio: sì, se --use-snc
è specificato e la chiave è in formato base 64 crt/.key.
Descrizione: percorso e nome file della chiave privata del client base 64. Se il certificato client è in formato pfx, usare l'opzione --client-pfx
.
Rilascio/certificazione radice certificati dell'autorità di certificazione
Nome parametro: --cacert
Valori dei parametri: <trusted ca cert>
Obbligatorio: Sì, se --use-snc
è specificato e il certificato viene emesso da un'autorità di certificazione dell'organizzazione.
Descrizione: se il certificato è autofirmato, non ha una CA emittente, quindi non è presente alcuna catena di attendibilità che deve essere convalidata.
Se il certificato viene emesso da una CA aziendale, è necessario convalidare il certificato ca emittente e i certificati ca di livello superiore. Usare istanze separate del --cacert
commutatore per ogni CA nella catena di attendibilità e specificare i nomi file completi dei certificati pubblici delle autorità di certificazione dell'organizzazione.
Percorso certificato PFX client
Nome parametro: --client-pfx
Valori dei parametri: <pfx filename>
Obbligatorio: Sì, se --use-snc
e la chiave sono in formato pfx/.p12.
Descrizione: percorso e nome file del certificato client pfx.
Password del certificato PFX client
Nome parametro: --client-pfx-passwd
Valori dei parametri: <password>
Obbligatorio: Sì, se --use-snc
viene usato, il certificato è in formato pfx/.p12 e il certificato è protetto da una password.
Descrizione: password del file PFX/P12.
Certificato del server
Nome parametro: --server-cert
Valori dei parametri: <server certificate filename>
Obbligatorio: Sì, se --use-snc
viene usato.
Descrizione: percorso completo e nome del certificato server ABAP.
HTTP proxy server URL
Nome parametro: --http-proxy
Valori dei parametri: <proxy url>
Richiesto: no
Descrizione: i contenitori che non possono stabilire una connessione ai servizi di Microsoft Azure direttamente e richiedono una connessione tramite un server proxy, richiedono anche un'opzione --http-proxy
per definire l'URL proxy per il contenitore. Il formato per l'URL proxy è http://hostname:port
.
Rete basata su host
Nome parametro: --hostnetwork
Obbligatorio: No.
Descrizione: se si specifica l'opzione hostnetwork
, l'agente usa una configurazione di rete basata su host. Questo può risolvere i problemi di risoluzione DNS interni in alcuni casi.
Confermare tutte le richieste
Nome parametro: --confirm-all-prompts
Valori dei parametri: Nessuno
Richiesto: no
Descrizione: se si specifica l'opzione --confirm-all-prompts
, lo script non viene sospeso per le conferme dell'utente e richiede solo se è necessario l'input dell'utente. Usare l'opzione --confirm-all-prompts
per una distribuzione zero-touch.
Usare la build di anteprima del contenitore
Nome parametro: --preview
Valori dei parametri: Nessuno
Richiesto: no
Descrizione: per impostazione predefinita, lo script kickstart per la distribuzione del contenitore distribuisce il contenitore con il :latest
tag . Le funzionalità di anteprima pubblica vengono pubblicate nel :latest-preview
tag . Per fare in modo che lo script di distribuzione del contenitore usi la versione di anteprima pubblica del contenitore, specificare l'opzione --preview
.
Contenuto correlato
Per altre informazioni, vedi: