Kickstart 脚本参考
脚本概述
使用提供的 Kickstart 脚本(在适用于 SAP® 的 Microsoft Sentinel 解决方案 GitHub 中提供)简化托管 SAP 数据连接器的容器的部署,还可以通过此脚本启用不同模式的机密存储、配置安全网络通信 (SNC) 等。
参数参考
以下参数可配置。 可以在部署并配置托管 SAP 数据连接器代理的容器中查看如何使用这些参数的示例。
选择存储位置
参数名称:--keymode
参数值:kvmi
、kvsi
、cfgf
必需:否。 默认假定kvmi
。
解释:指定机密(用户名、密码、日志分析 ID 和共享密钥)是否应存储在本地配置文件或 Azure Key Vault 中。 此外,控制对 Azure Key Vault 进行身份验证是使用 VM 的 Azure 系统分配的托管标识还是使用 Microsoft Entra 已注册的应用程序标识。
如果设置为 kvmi
,则 Azure Key Vault 用于存储机密,并使用虚拟机的 Azure 系统分配的托管标识对 Azure Key Vault 进行身份验证。
如果设置为 kvsi
,则使用 Azure Key Vault 存储机密,并使用 Microsoft Entra 已注册的应用程序标识对 Azure Key Vault 进行身份验证。 使用 kvsi
模式需要 --appid
、--appsecret
和 --tenantid
值。
如果设置为 cfgf
,则本地存储的配置文件用于存储机密。
ABAP 服务器连接模式
参数名称:--connectionmode
参数值:abap
、mserv
必需:否。 如果未指定,则默认设置为 abap
。
解释:定义数据收集器代理是应直接连接到ABAP服务器,还是通过消息服务器来连接。 使用 abap
让代理直接连接到 ABAP 服务器,可以使用 --abapserver
参数定义该服务器的名称(如果不这样做,系统仍会提示用户定义名称)。 使用 mserv
通过消息服务器进行连接,在这种情况下,必须指定 --messageserverhost
、--messageserverport
和 --logongroup
参数。
配置文件夹位置
参数名称:--configpath
参数值:<path>
必需:否,如未指定,则假定为 /opt/sapcon/<SID>
。
解释:默认情况下,kickstart 将配置文件、元数据位置初始化为 /opt/sapcon/<SID>
。 若要设置配置和元数据的备用位置,请使用 --configpath
参数。
ABAP 服务器地址
参数名称:--abapserver
参数值:<servername>
必需:否。 如果未指定参数,并且 ABAP 服务器连接模式参数设置为 abap
,系统会提示用户输入服务器主机名/IP 地址。
解释:仅当连接模式设置为 abap
时使用,且此参数包含要连接到的 ABAP 服务器的完全限定域名 (FQDN)、短名称或 IP 地址。
系统实例编号
参数名称:--systemnr
参数值:<system number>
必需:否。 如果未指定,系统会提示用户输入系统编号。
解释:指定要连接到的 SAP 系统实例编号。
系统 ID
参数名称:--sid
参数值:<SID>
必需:否。 如果未指定,系统会提示用户输入系统 ID。
解释:指定要连接到的 SAP 系统 ID。
客户端编号
参数名称:--clientnumber
参数值:<client number>
必需:否。 如果未指定,系统会提示用户输入客户端编号。
解释:指定要连接到的客户端编号。
消息服务器主机
参数名称:--messageserverhost
参数值:<servername>
必需:是(如果 ABAP 服务器连接模式设置为 mserv
)。
解释:指定要连接到的消息服务器的主机名/IP 地址。 这只能用于 ABAP 服务器连接模式设置为 mserv
时。
消息服务器端口
参数名称:--messageserverport
参数值:<portnumber>
必需:是(如果 ABAP 服务器连接模式设置为 mserv
)。
解释:指定要连接到的消息服务器的服务名称(端口)。 这只能用于 ABAP 服务器连接模式设置为 mserv
时。
登录组
参数名称:--logongroup
参数值:<logon group>
必需:是(如果 ABAP 服务器连接模式设置为 mserv
)。
解释:指定连接到消息服务器时要使用的登录组。 这只能用于 ABAP 服务器连接模式设置为 mserv
时。 如果登录组名称包含空格,则应以双引号传递,如示例 --logongroup "my logon group"
中所示。
登录用户名
参数名称:--sapusername
参数值:<username>
必需:否。 如果未提供,则系统会提示用户输入用户名(如果用户未使用 SNC (X.509) 进行身份验证)。
解释:用于对 ABAP 服务器进行身份验证的用户名。
登录密码
参数名称:--sappassword
参数值:<password>
必需:否。 如果未提供,则系统会提示用户输入密码(如果用户未使用 SNC (X.509) 进行身份验证)。 密码输入被屏蔽。
解释:用于对 ABAP 服务器进行身份验证的密码。
NetWeaver SDK 文件位置
参数名称:--sdk
参数值:<filename>
必需:否。 脚本尝试查找当前文件夹中的 nwrfc*.zip 文件。 如果未找到,系统会提示用户提供有效的 NetWeaver SDK 存档文件。
解释:NetWeaver SDK 文件路径。 数据收集器需要有效的 SDK 才能运行。 有关详细信息,请参阅部署适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案的先决条件。
企业应用程序 ID
参数名称:--appid
参数值:<guid>
必需:是(如果机密存储位置 设置为 kvsi
)。
解释:将 Azure Key Vault 身份验证模式设置为 kvsi
时,将使用企业应用程序(服务主体)标识对密钥保管库进行身份验证。 此参数指定应用程序 ID。
企业应用程序机密
参数名称:--appsecret
参数值:<secret>
必需:是(如果机密存储位置 设置为 kvsi
)。
解释:将 Azure Key Vault 身份验证模式设置为 kvsi
时,将使用企业应用程序(服务主体)标识对密钥保管库进行身份验证。 此参数指定应用程序机密。
租户 ID
参数名称:--tenantid
参数值:<guid>
必需:是(如果机密存储位置 设置为 kvsi
)。
解释:将 Azure Key Vault 身份验证模式设置为 kvsi
时,将使用企业应用程序(服务主体)标识对密钥保管库进行身份验证。 此参数指定 Microsoft Entra 租户 ID。
Key Vault 名称
参数名称:--kvaultname
参数值:<key vaultname>
必需:否。 如果机密存储位置设置为 kvsi
或 kvmi
,则脚本会提示用户提供该值(如果未提供)。
解释:如果机密存储位置设置为 kvsi
或 kvmi
,则应在此处输入密钥保管库名称(采用 FQDN 格式)。
Log Analytics 工作区 ID
参数名称:--loganalyticswsid
参数值:<id>
必需:否。 如果未提供,脚本会提示用户输入工作区 ID。
解释:数据收集器将数据发送到的 Log Analytics 工作区 ID。 若要查找工作区 ID,请在 Azure 门户中找到 Log Analytics 工作区:打开 Microsoft Sentinel,在“配置”部分中选择“设置”,选择“工作区设置”,然后选择“代理管理”。
Log Analytics 密钥
参数名称:--loganalyticskey
参数值:<key>
必需:否。 如果未提供,脚本会提示用户输入工作区密钥。 输入被屏蔽。
解释:数据收集器将数据发送到的 Log Analytics 工作区的主密钥或辅助密钥。 若要查找工作区主密钥或辅助密钥,请在 Azure 门户中找到 Log Analytics 工作区:打开 Microsoft Sentinel,在“配置”部分中选择“设置”,选择“工作区设置”,然后选择“代理管理”。
使用 X.509 (SNC) 进行身份验证
参数名称:--use-snc
参数值:无
必需:否。 如果未指定,则用户名和密码用于身份验证。 如已指定,需要 --cryptolib
、--sapgenpse
、--client-cert
与 --client-key
的组合或 --client-pfx
与 --client-pfx-passwd
的组合,以及 --server-cert
开关,某些情况下需要 --cacert
开关。
解释:指定使用 X.509 身份验证连接到 ABAP 服务器,而不是用户名/密码身份验证。 有关详细信息,请参阅使用 SNC 部署适用于 SAP 的 Microsoft Sentinel 数据连接器。
SAP 加密库路径
参数名称:--cryptolib
参数值:<sapcryptolibfilename>
必需:是(如果已指定 --use-snc
)。
解释:SAP 加密库 (libsapcrypto.so) 的位置和文件名。
SAPGENPSE 工具路径
参数名称:--sapgenpse
参数值:<sapgenpsefilename>
必需:是(如果已指定 --use-snc
)。
解释:sapgenpse 工具的位置和文件名,用于创建和管理 PSE 文件与 SSO 凭据。
客户端证书公钥路径
参数名称:--client-cert
参数值:<client certificate filename>
必需:如果 --use-snc
和证书采用 .crt/.key base-64 格式,则为“是”。
解释:base-64 客户端公共证书的位置和文件名。 如果客户端证书采用 .pfx 格式,请改用 --client-pfx
开关。
客户端证书私钥路径
参数名称:--client-key
参数值:<client key filename>
必需:是(如果已指定 --use-snc
,且密钥采用 .crt/.key base-64 格式)。
解释:base-64 客户端私钥的位置和文件名。 如果客户端证书采用 .pfx 格式,请改用 --client-pfx
开关。
颁发/根证书颁发机构证书
参数名称:--cacert
参数值:<trusted ca cert>
必需:是(如果已指定 --use-snc
,且证书由企业证书颁发机构颁发)。
解释:如果证书是自签名的,则没有颁发 CA,因此无需验证信任链。 如果证书由企业 CA 颁发,则需要验证颁发 CA 证书和任何更高级别的 CA 证书。 对信任链中的每个 CA 使用 --cacert
开关的单独实例,并提供企业证书颁发机构的公共证书的完整文件名。
客户端 PFX 证书路径
参数名称:--client-pfx
参数值:<pfx filename>
必需:如果 --use-snc
和键采用 .pfx/.p12 格式,则为“是”。
解释:pfx 客户端证书的位置和文件名。
客户端 PFX 证书密码
参数名称:--client-pfx-passwd
参数值:<password>
必需:是,如果使用 --use-snc
,则证书采用 .pfx/.p12 格式,并且证书受密码保护。
解释:PFX/P12 文件密码。
服务器证书
参数名称:--server-cert
参数值:<server certificate filename>
必需:是(如果使用 --use-snc
)。
说明:ABAP 服务器证书完整路径和名称。
HTTP 代理服务器 URL
参数名称:--http-proxy
参数值:<proxy url>
必需: 否
解释:容器,无法直接与 Microsoft Azure 服务建立连接,并且需要通过代理服务器建立连接,需要 --http-proxy
开关来定义容器的代理 URL。 代理 URL 的格式为 http://hostname:port
。
基于主机的网络
参数名称:--hostnetwork
必需:否。
解释:如果指定此开关,代理将使用基于主机的网络配置。 在某些情况下,这可以解决内部 DNS 解析问题。
确认所有提示
参数名称:--confirm-all-prompts
参数值:无
必需: 否
解释:如果指定了 --confirm-all-prompts
开关,脚本不会暂停任何用户确认,并且仅当需要用户输入时才会提示。 使用 --confirm-all-prompts
开关实现零接触部署。
使用容器的预览版
参数名称:--preview
参数值:无
必需: 否
解释:默认情况下,容器部署 kickstart 脚本使用 :latest
标记部署容器。 公共预览版功能发布到 :latest-preview
标记。 若要确保容器部署脚本使用容器的公共预览版,请指定 --preview
开关。
后续步骤
详细了解适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序:
- 部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序
- 部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序的先决条件
- 部署 SAP 更改请求 (CR) 并配置授权
- 从内容中心部署解决方案内容
- 部署并配置托管 SAP 数据连接器代理的容器
- 通过 SNC 部署适用于 SAP 的 Microsoft Sentinel 数据连接器
- 监控 SAP 系统的运行状况
- 启用并配置 SAP 审核
- 收集 SAP HANA 审核日志
疑难解答:
参考文件:
- 适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序数据参考
- 适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序:安全内容参考
- 更新脚本参考
- Systemconfig.ini 文件参考
要了解详情,请参阅 Microsoft Sentinel 解决方案。