Kickstart 脚本参考

脚本概述

使用提供的 Kickstart 脚本(在适用于 SAP® 的 Microsoft Sentinel 解决方案 GitHub 中提供)简化托管 SAP 数据连接器的容器的部署,还可以通过此脚本启用不同模式的机密存储、配置安全网络通信 (SNC) 等。

参数参考

以下参数可配置。 可以在部署并配置托管 SAP 数据连接器代理的容器中查看如何使用这些参数的示例。

选择存储位置

参数名称:--keymode

参数值:kvmikvsicfgf

必需:否。 默认假定kvmi

解释:指定机密(用户名、密码、日志分析 ID 和共享密钥)是否应存储在本地配置文件或 Azure Key Vault 中。 此外,控制对 Azure Key Vault 进行身份验证是使用 VM 的 Azure 系统分配的托管标识还是使用 Microsoft Entra 已注册的应用程序标识。

如果设置为 kvmi,则 Azure Key Vault 用于存储机密,并使用虚拟机的 Azure 系统分配的托管标识对 Azure Key Vault 进行身份验证。

如果设置为 kvsi,则使用 Azure Key Vault 存储机密,并使用 Microsoft Entra 已注册的应用程序标识对 Azure Key Vault 进行身份验证。 使用 kvsi 模式需要 --appid--appsecret--tenantid 值。

如果设置为 cfgf,则本地存储的配置文件用于存储机密。

ABAP 服务器连接模式

参数名称:--connectionmode

参数值:abapmserv

必需:否。 如果未指定,则默认设置为 abap

解释:定义数据收集器代理是应直接连接到ABAP服务器,还是通过消息服务器来连接。 使用 abap 让代理直接连接到 ABAP 服务器,可以使用 --abapserver 参数定义该服务器的名称(如果不这样做,系统仍会提示用户定义名称)。 使用 mserv 通过消息服务器进行连接,在这种情况下,必须指定 --messageserverhost--messageserverport--logongroup 参数。

配置文件夹位置

参数名称:--configpath

参数值:<path>

必需:否,如未指定,则假定为 /opt/sapcon/<SID>

解释:默认情况下,kickstart 将配置文件、元数据位置初始化为 /opt/sapcon/<SID>。 若要设置配置和元数据的备用位置,请使用 --configpath 参数。

ABAP 服务器地址

参数名称:--abapserver

参数值:<servername>

必需:否。 如果未指定参数,并且 ABAP 服务器连接模式参数设置为 abap,系统会提示用户输入服务器主机名/IP 地址。

解释:仅当连接模式设置为 abap 时使用,且此参数包含要连接到的 ABAP 服务器的完全限定域名 (FQDN)、短名称或 IP 地址。

系统实例编号

参数名称:--systemnr

参数值:<system number>

必需:否。 如果未指定,系统会提示用户输入系统编号。

解释:指定要连接到的 SAP 系统实例编号。

系统 ID

参数名称:--sid

参数值:<SID>

必需:否。 如果未指定,系统会提示用户输入系统 ID。

解释:指定要连接到的 SAP 系统 ID。

客户端编号

参数名称:--clientnumber

参数值:<client number>

必需:否。 如果未指定,系统会提示用户输入客户端编号。

解释:指定要连接到的客户端编号。

消息服务器主机

参数名称:--messageserverhost

参数值:<servername>

必需:是(如果 ABAP 服务器连接模式设置为 mserv)。

解释:指定要连接到的消息服务器的主机名/IP 地址。 这只能用于 ABAP 服务器连接模式设置为 mserv 时。

消息服务器端口

参数名称:--messageserverport

参数值:<portnumber>

必需:是(如果 ABAP 服务器连接模式设置为 mserv)。

解释:指定要连接到的消息服务器的服务名称(端口)。 这只能用于 ABAP 服务器连接模式设置为 mserv 时。

登录组

参数名称:--logongroup

参数值:<logon group>

必需:是(如果 ABAP 服务器连接模式设置为 mserv)。

解释:指定连接到消息服务器时要使用的登录组。 这只能用于 ABAP 服务器连接模式设置为 mserv 时。 如果登录组名称包含空格,则应以双引号传递,如示例 --logongroup "my logon group" 中所示。

登录用户名

参数名称:--sapusername

参数值:<username>

必需:否。 如果未提供,则系统会提示用户输入用户名(如果用户未使用 SNC (X.509) 进行身份验证)

解释:用于对 ABAP 服务器进行身份验证的用户名。

登录密码

参数名称:--sappassword

参数值:<password>

必需:否。 如果未提供,则系统会提示用户输入密码(如果用户未使用 SNC (X.509) 进行身份验证)。 密码输入被屏蔽。

解释:用于对 ABAP 服务器进行身份验证的密码。

NetWeaver SDK 文件位置

参数名称:--sdk

参数值:<filename>

必需:否。 脚本尝试查找当前文件夹中的 nwrfc*.zip 文件。 如果未找到,系统会提示用户提供有效的 NetWeaver SDK 存档文件。

解释:NetWeaver SDK 文件路径。 数据收集器需要有效的 SDK 才能运行。 有关详细信息,请参阅部署适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案的先决条件

企业应用程序 ID

参数名称:--appid

参数值:<guid>

必需:是(如果机密存储位置 设置为 kvsi)。

解释:将 Azure Key Vault 身份验证模式设置为 kvsi 时,将使用企业应用程序(服务主体)标识对密钥保管库进行身份验证。 此参数指定应用程序 ID。

企业应用程序机密

参数名称:--appsecret

参数值:<secret>

必需:是(如果机密存储位置 设置为 kvsi)。

解释:将 Azure Key Vault 身份验证模式设置为 kvsi 时,将使用企业应用程序(服务主体)标识对密钥保管库进行身份验证。 此参数指定应用程序机密。

租户 ID

参数名称:--tenantid

参数值:<guid>

必需:是(如果机密存储位置 设置为 kvsi)。

解释:将 Azure Key Vault 身份验证模式设置为 kvsi 时,将使用企业应用程序(服务主体)标识对密钥保管库进行身份验证。 此参数指定 Microsoft Entra 租户 ID。

Key Vault 名称

参数名称:--kvaultname

参数值:<key vaultname>

必需:否。 如果机密存储位置设置为 kvsikvmi,则脚本会提示用户提供该值(如果未提供)。

解释:如果机密存储位置设置为 kvsikvmi,则应在此处输入密钥保管库名称(采用 FQDN 格式)

Log Analytics 工作区 ID

参数名称:--loganalyticswsid

参数值:<id>

必需:否。 如果未提供,脚本会提示用户输入工作区 ID。

解释:数据收集器将数据发送到的 Log Analytics 工作区 ID。 若要查找工作区 ID,请在 Azure 门户中找到 Log Analytics 工作区:打开 Microsoft Sentinel,在“配置”部分中选择“设置”,选择“工作区设置”,然后选择“代理管理”。

Log Analytics 密钥

参数名称:--loganalyticskey

参数值:<key>

必需:否。 如果未提供,脚本会提示用户输入工作区密钥。 输入被屏蔽。

解释:数据收集器将数据发送到的 Log Analytics 工作区的主密钥或辅助密钥。 若要查找工作区主密钥或辅助密钥,请在 Azure 门户中找到 Log Analytics 工作区:打开 Microsoft Sentinel,在“配置”部分中选择“设置”,选择“工作区设置”,然后选择“代理管理”。

使用 X.509 (SNC) 进行身份验证

参数名称:--use-snc

参数值:

必需:否。 如果未指定,则用户名和密码用于身份验证。 如已指定,需要 --cryptolib--sapgenpse--client-cert--client-key 的组合或 --client-pfx--client-pfx-passwd 的组合,以及 --server-cert 开关,某些情况下需要 --cacert 开关。

解释:指定使用 X.509 身份验证连接到 ABAP 服务器,而不是用户名/密码身份验证。 有关详细信息,请参阅使用 SNC 部署适用于 SAP 的 Microsoft Sentinel 数据连接器

SAP 加密库路径

参数名称:--cryptolib

参数值:<sapcryptolibfilename>

必需:是(如果已指定 --use-snc)。

解释:SAP 加密库 (libsapcrypto.so) 的位置和文件名。

SAPGENPSE 工具路径

参数名称:--sapgenpse

参数值:<sapgenpsefilename>

必需:是(如果已指定 --use-snc)。

解释:sapgenpse 工具的位置和文件名,用于创建和管理 PSE 文件与 SSO 凭据。

客户端证书公钥路径

参数名称:--client-cert

参数值:<client certificate filename>

必需:如果 --use-snc 和证书采用 .crt/.key base-64 格式,则为“是”。

解释:base-64 客户端公共证书的位置和文件名。 如果客户端证书采用 .pfx 格式,请改用 --client-pfx 开关。

客户端证书私钥路径

参数名称:--client-key

参数值:<client key filename>

必需:是(如果已指定 --use-snc,且密钥采用 .crt/.key base-64 格式)。

解释:base-64 客户端私钥的位置和文件名。 如果客户端证书采用 .pfx 格式,请改用 --client-pfx 开关。

颁发/根证书颁发机构证书

参数名称:--cacert

参数值:<trusted ca cert>

必需:是(如果已指定 --use-snc,且证书由企业证书颁发机构颁发)。

解释:如果证书是自签名的,则没有颁发 CA,因此无需验证信任链。 如果证书由企业 CA 颁发,则需要验证颁发 CA 证书和任何更高级别的 CA 证书。 对信任链中的每个 CA 使用 --cacert 开关的单独实例,并提供企业证书颁发机构的公共证书的完整文件名。

客户端 PFX 证书路径

参数名称:--client-pfx

参数值:<pfx filename>

必需:如果 --use-snc 和键采用 .pfx/.p12 格式,则为“是”。

解释:pfx 客户端证书的位置和文件名。

客户端 PFX 证书密码

参数名称:--client-pfx-passwd

参数值:<password>

必需:是,如果使用 --use-snc,则证书采用 .pfx/.p12 格式,并且证书受密码保护。

解释:PFX/P12 文件密码。

服务器证书

参数名称:--server-cert

参数值:<server certificate filename>

必需:是(如果使用 --use-snc)。

说明:ABAP 服务器证书完整路径和名称。

HTTP 代理服务器 URL

参数名称:--http-proxy

参数值:<proxy url>

必需:

解释:容器,无法直接与 Microsoft Azure 服务建立连接,并且需要通过代理服务器建立连接,需要 --http-proxy 开关来定义容器的代理 URL。 代理 URL 的格式为 http://hostname:port

基于主机的网络

参数名称:--hostnetwork

必需:否。

解释:如果指定此开关,代理将使用基于主机的网络配置。 在某些情况下,这可以解决内部 DNS 解析问题。

确认所有提示

参数名称:--confirm-all-prompts

参数值:

必需:

解释:如果指定了 --confirm-all-prompts 开关,脚本不会暂停任何用户确认,并且仅当需要用户输入时才会提示。 使用 --confirm-all-prompts 开关实现零接触部署。

使用容器的预览版

参数名称:--preview

参数值:

必需:

解释:默认情况下,容器部署 kickstart 脚本使用 :latest 标记部署容器。 公共预览版功能发布到 :latest-preview 标记。 若要确保容器部署脚本使用容器的公共预览版,请指定 --preview 开关。

后续步骤

详细了解适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序:

疑难解答:

参考文件:

要了解详情,请参阅 Microsoft Sentinel 解决方案