Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält einen Verweis auf die konfigurierbaren Parameter, die im Kickstart-Skript zur Bereitstellung des Microsoft Sentinel für SAP-Anwendungen-Datenkonnektor-Agents zur Verfügung stehen.
Weitere Informationen finden Sie unter Verbinden Ihres SAP-Systems mit Microsoft Sentinel.
Inhalte in diesem Artikel sind für Ihre SAP BASIS-Teams vorgesehen.
Ort des Geheimnisspeichers
Parametername:--keymode
Parameterwerte:kvmi, kvsi, cfgf
Erforderlich: Nein.
kvmi wird standardmäßig angenommen.
Beschreibung: Gibt an, ob geheime Schlüssel (Benutzername, Kennwort, Protokollanalyse-ID und freigegebener Schlüssel) in der lokalen Konfigurationsdatei oder im Azure Key Vault gespeichert werden sollen. Steuert außerdem, ob die Authentifizierung bei Azure Key Vault mithilfe der systemseitig zugewiesenen verwalteten Azure-Identität des virtuellen Computers oder einer in Microsoft Entra registrierten Anwendungsidentität erfolgt.
Wenn diese Einstellung auf kvmi festgelegt ist, wird Azure Key Vault zum Speichern von Geheimnissen verwendet, und die Authentifizierung bei Azure Key Vault erfolgt über die systemseitig zugewiesene verwaltete Azure-Identität des virtuellen Computers.
Wenn die Einstellung auf kvsi festgelegt ist, wird Azure Key Vault zum Speichern von Geheimnissen verwendet, und die Authentifizierung bei Azure Key Vault erfolgt mithilfe einer in Microsoft Entra registrierten Anwendungsidentität. Die Verwendung des kvsi Modus erfordert --appid, --appsecretund --tenantid Werte.
Bei Festlegung auf cfgf, wird die lokal gespeicherte Konfigurationsdatei verwendet, um geheime Schlüssel zu speichern.
ABAP-Serververbindungsmodus
Parametername:--connectionmode
Parameterwerte:abap, mserv
Erforderlich: Nein. Ohne Angabe wird standardmäßig abap verwendet.
Beschreibung: Definiert, ob der Datensammler-Agent eine direkte Verbindung mit dem THROUGH-Server oder über einen Nachrichtenserver herstellen soll. Verwenden Sie abap den Agent, um eine direkte Verbindung mit dem SCOPE-Server herzustellen, dessen Name Sie mithilfe des --abapserver Parameters definieren können. Wenn Sie den Namen nicht rechtzeitig definieren, werden Sie vom Skript dazu aufgefordert. Wird mserv verwendet, um eine Verbindung über einen Nachrichtenserver herzustellen, in diesem Fall müssen Sie die --messageserverhostParameter --messageserverport, und --logongroup die Parameter angeben.
Speicherort des Konfigurationsordners
Parametername:--configpath
Parameterwerte:<path>
Erforderlich: Nein, wird angenommen, /opt/sapcon/<SID> wenn nicht angegeben.
Beschreibung: Standardmäßig initialisiert kickstart konfigurationsdatei, Metadatenspeicherort für /opt/sapcon/<SID>. Verwenden Sie den --configpath-Parameter, um einen alternativen Speicherort für Konfiguration und Metadaten festzulegen.
ABAP-Serveradresse
Parametername:--abapserver
Parameterwerte:<servername>
Erforderlich: Nein. Wenn der Parameter nicht angegeben ist und der Parameter für den Verbindungsmodus des SERVERS auf abap festgelegt ist, werden Sie vom Skript zur Eingabe des Serverhosts/der IP-Adresse aufgefordert.
Beschreibung: Wird nur verwendet, wenn der Verbindungsmodus auf abap", dieser Parameter den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN), den Kurznamen oder die IP-Adresse des SCOPE-Servers enthält, mit dem eine Verbindung hergestellt werden soll.
Systeminstanznummer
Parametername:--systemnr
Parameterwerte:<system number>
Erforderlich: Nein. Wenn nicht angegeben, wird der Benutzer zur Eingabe der Systemnummer aufgefordert.
Beschreibung: Gibt die SAP-Systeminstanznummer an, mit der eine Verbindung hergestellt werden soll.
System-ID
Parametername:--sid
Parameterwerte:<SID>
Erforderlich: Nein. Wenn nicht angegeben, wird der Benutzer zur Eingabe der System-ID aufgefordert.
Beschreibung: Gibt die SAP-System-ID an, mit der eine Verbindung hergestellt werden soll.
Clientnummer
Parametername:--clientnumber
Parameterwerte:<client number>
Erforderlich: Nein. Wenn nicht angegeben, wird der Benutzer zur Eingabe der Clientnummer aufgefordert.
Beschreibung: Gibt die Clientnummer an, mit der eine Verbindung hergestellt werden soll.
Nachrichtenserverhost
Parametername:--messageserverhost
Parameterwerte:<servername>
Erforderlich: Ja, wenn der Verbindungsmodus des CTRL-Servers auf " mserv.
Beschreibung: Gibt die Hostname/IP-Adresse des Nachrichtenservers an, mit dem eine Verbindung hergestellt werden soll. Kann nur verwendet werden, wenn der Verbindungsmodus des ASPX-Servers auf " mserv.
Port des Nachrichtenservers
Parametername:--messageserverport
Parameterwerte:<portnumber>
Erforderlich: Ja, wenn der Verbindungsmodus des CTRL-Servers auf " mserv.
Beschreibung: Gibt den Dienstnamen (Port) des Nachrichtenservers an, mit dem eine Verbindung hergestellt werden soll. Kann nur verwendet werden, wenn der Verbindungsmodus des ASPX-Servers auf " mserv.
Anmeldegruppe
Parametername:--logongroup
Parameterwerte:<logon group>
Erforderlich: Ja, wenn der Verbindungsmodus des CTRL-Servers auf " mserv.
Beschreibung: Gibt die Anmeldegruppe an, die beim Herstellen einer Verbindung mit einem Nachrichtenserver verwendet werden soll. Kann nur verwendet werden, wenn der Verbindungsmodus des ASPX-Servers auf mserv". Wenn der Name der Anmeldegruppe Leerzeichen enthält, sollte er in doppelten Anführungszeichen übergeben werden, wie im Beispiel --logongroup "my logon group".
Anmeldungsbenutzername
Parametername:--sapusername
Parameterwerte:<username>
Erforderlich: Nein. Wenn nicht angegeben, wird der Benutzer zur Eingabe des Benutzernamens aufgefordert, wenn er SNC (X.509) nicht für die Authentifizierung verwendet.
Beschreibung: Benutzername, der für die Authentifizierung beim USERNAME-Server verwendet wird.
Anmeldekennwort
Parametername:--sappassword
Parameterwerte:<password>
Erforderlich: Nein. Wenn nicht angegeben, wird der Benutzer zur Eingabe des Kennworts aufgefordert, wenn er SNC (X.509) nicht für die Authentifizierung verwendet. Die Kennworteingabe ist maskiert.
Beschreibung: Kennwort, das für die Authentifizierung beim SQL-Server verwendet wird.
Speicherort der NetWeaver SDK-Datei
Parametername:--sdk
Parameterwerte:<filename>
Erforderlich: Nein. Das Skript versucht, die Datei "nwrfc*.zip" im aktuellen Ordner zu suchen. Wenn er nicht gefunden wird, wird der Benutzer aufgefordert, eine gültige NetWeaver SDK-Archivdatei anzugeben.
Beschreibung: NetWeaver SDK-Dateipfad. Ein gültiges SDK ist für den Betrieb des Datensammlers erforderlich. Weitere Informationen finden Sie unter SAP-Voraussetzungen.
Unternehmensanwendungs-ID
Parametername:--appid
Parameterwerte:<guid>
Erforderlich: Ja, wenn der Speicherort des geheimen Schlüssels auf kvsi.
Beschreibung: Wenn der Azure Key Vault-Authentifizierungsmodus auf "Key Vault" festgelegt kvsiist, erfolgt die Authentifizierung beim Schlüsseltresor mithilfe einer Unternehmensanwendungsidentität (Dienstprinzipalidentität). Dieser Parameter gibt die Anwendungs-ID an.
Unternehmensanwendungsgeheimnis
Parametername:--appsecret
Parameterwerte:<secret>
Erforderlich: Ja, wenn der Speicherort des geheimen Schlüssels auf kvsi.
Beschreibung: Wenn der Azure Key Vault-Authentifizierungsmodus auf "Key Vault" festgelegt kvsiist, erfolgt die Authentifizierung beim Schlüsseltresor mithilfe einer Unternehmensanwendungsidentität (Dienstprinzipalidentität). Dieser Parameter gibt das Anwendungsgeheimnis an.
Mandanten-ID
Parametername:--tenantid
Parameterwerte:<guid>
Erforderlich: Ja, wenn der Speicherort des geheimen Schlüssels auf kvsi.
Beschreibung: Wenn der Azure Key Vault-Authentifizierungsmodus auf "Key Vault" festgelegt kvsiist, erfolgt die Authentifizierung beim Schlüsseltresor mithilfe einer Unternehmensanwendungsidentität (Dienstprinzipalidentität). Dieser Parameter gibt die Microsoft Entra-Mandanten-ID an.
Schlüsseltresorname
Parametername:--kvaultname
Parameterwerte:<key vaultname>
Erforderlich: Nein. Wenn der Speicherort des geheimen Schlüssels auf kvsi oder kvmi, wird das Skript aufgefordert, den Wert anzugeben, falls nicht angegeben.
Beschreibung: Wenn der Speicherort des geheimen Schlüssels auf kvsi den kvmiSchlüsseltresornamen (im FQDN-Format) festgelegt ist, sollte hier eingegeben werden.
ID des Log Analytics-Arbeitsbereichs
Parametername:--loganalyticswsid
Parameterwerte:<id>
Erforderlich: Nein. Wenn nicht angegeben, fordert das Skript die Arbeitsbereichs-ID an.
Beschreibung: Log Analytics-Arbeitsbereichs-ID, an die der Datensammler die Daten sendet. Um die Arbeitsbereichs-ID zu finden, suchen Sie den Log Analytics-Arbeitsbereich im Azure-Portal: Öffnen Sie Microsoft Sentinel, wählen Sie " Einstellungen " im Abschnitt "Konfiguration " aus, wählen Sie "Arbeitsbereichseinstellungen" und dann " Agents Management" aus.
Log Analytics-Schlüssel
Parametername:--loganalyticskey
Parameterwerte:<key>
Erforderlich: Nein. Wenn nicht angegeben, werden Skriptaufforderungen für den Arbeitsbereichsschlüssel angezeigt. Die Eingabe ist maskiert.
Beschreibung: Primärer oder sekundärer Schlüssel des Log Analytics-Arbeitsbereichs, an den der Datensammler die Daten sendet. Um den Primären oder sekundären Schlüssel des Arbeitsbereichs zu finden, suchen Sie den Log Analytics-Arbeitsbereich im Azure-Portal: Öffnen Sie Microsoft Sentinel, wählen Sie " Einstellungen " im Abschnitt "Konfiguration " aus, wählen Sie "Arbeitsbereichseinstellungen" und dann " Agents Management" aus.
Verwenden von X.509 (SNC) für die Authentifizierung
Parametername:--use-snc
Parameterwerte: Nichts
Erforderlich: Nein. Wenn nicht angegeben, wird der Benutzername und das Kennwort für die Authentifizierung verwendet. Wenn angegeben, sind die Schalter --cryptolib, --sapgenpse, eine Kombination aus entweder --client-cert und --client-key, oder --client-pfx und --client-pfx-passwd sowie --server-cert und in bestimmten Fällen auch --cacert erforderlich.
Beschreibung: Gibt an, dass die X.509-Authentifizierung zum Herstellen einer Verbindung mit dem USERNAME-/Kennwortauthentifizierung verwendet wird. Weitere Informationen finden Sie unter Konfigurieren Ihres Systems für die Verwendung von SNC für sichere Verbindungen.
Pfad der SAP-Kryptografiebibliothek
Parametername:--cryptolib
Parameterwerte:<sapcryptolibfilename>
Erforderlich: Ja, wenn --use-snc angegeben.
Beschreibung: Speicherort und Dateiname der SAP-Kryptografiebibliothek (libsapcrypto.so).
SAPGENPSE-Toolpfad
Parametername:--sapgenpse
Parameterwerte:<sapgenpsefilename>
Erforderlich: Ja, wenn --use-snc angegeben.
Beschreibung: Speicherort und Dateiname des Sapgenpse-Tools zum Erstellen und Verwalten von PSE-Dateien und SSO-Anmeldeinformationen.
Pfad des öffentlichen Schlüssels des Clientzertifikats
Parametername:--client-cert
Parameterwerte:<client certificate filename>
Erforderlich: Ja, wenn --use-sncund zertifikat im Base-64-Format .crt/.key ist.
Beschreibung: Speicherort und Dateiname des öffentlichen Base64-Clientzertifikats. Wenn sich das Clientzertifikat im PFX-Format befindet, verwenden Sie --client-pfx stattdessen switch.
Pfad des privaten Schlüssels des Clientzertifikats
Parametername:--client-key
Parameterwerte:<client key filename>
Erforderlich: Ja, wenn --use-sncangegeben und der Schlüssel im Base-64-Format .crt/.key ist.
Beschreibung: Speicherort und Dateiname des privaten Base64-Clientschlüssels. Wenn sich das Clientzertifikat im PFX-Format befindet, verwenden Sie --client-pfx stattdessen switch.
Ausstellungs-/Stammzertifizierungsstellen-Zertifikate
Parametername:--cacert
Parameterwerte:<trusted ca cert>
Erforderlich: Ja, wenn --use-sncangegeben und das Zertifikat von einer Unternehmenszertifizierungsstelle ausgestellt wird.
Beschreibung: Wenn das Zertifikat selbst signiert ist, hat es keine ausstellende Zertifizierungsstelle, sodass keine Vertrauenskette vorhanden ist, die überprüft werden muss.
Wenn das Zertifikat von einer Unternehmenszertifizierungsstelle ausgestellt wird, müssen das Zertifikat der ausstellenden Zertifizierungsstelle und alle Zertifizierungsstellenzertifikate auf höherer Ebene überprüft werden. Verwenden Sie separate Instanzen des --cacert-Schalters für jede Zertifizierungsstelle in der Vertrauenskette, und geben Sie die vollständigen Dateinamen der öffentlichen Zertifikate der Unternehmenszertifizierungsstellen an.
Pfad des PFX-Clientzertifikats
Parametername:--client-pfx
Parameterwerte:<pfx filename>
Erforderlich: Ja, wenn --use-sncund schlüssel im PFX/.p12-Format vorhanden ist.
Beschreibung: Speicherort und Dateiname des PFX-Clientzertifikats.
Kennwort des PFX-Clientzertifikats
Parametername:--client-pfx-passwd
Parameterwerte:<password>
Erforderlich: Ja, wenn --use-snc das Zertifikat verwendet wird, befindet sich das Zertifikat im PFX/.p12-Format, und das Zertifikat ist durch ein Kennwort geschützt.
Beschreibung: PFX/P12-Dateikennwort.
Serverzertifikat
Parametername:--server-cert
Parameterwerte:<server certificate filename>
Erforderlich: Ja, wenn --use-snc verwendet wird.
Beschreibung: Vollständiger Pfad und Name des SCOPE-Serverzertifikats.
HTTP-Proxyserver-URL
Parametername:--http-proxy
Parameterwerte:<proxy url>
Erforderlich: Nein
Beschreibung: Container, die keine direkte Verbindung mit Microsoft Azure-Diensten herstellen können und eine Verbindung über einen Proxyserver erfordern, erfordern auch einen --http-proxy Switch zum Definieren der Proxy-URL für den Container. Das Format für die Proxy-URL lautet http://hostname:port.
Hostbasiertes Netzwerk
Parametername:--hostnetwork
Erforderlich: Nein.
Beschreibung: Wenn der hostnetwork Switch angegeben ist, verwendet der Agent eine hostbasierte Netzwerkkonfiguration. Dadurch können interne DNS-Auflösungsprobleme in einigen Fällen behoben werden.
Alle Aufforderungen bestätigen
Parametername:--confirm-all-prompts
Parameterwerte: Nichts
Erforderlich: Nein
Beschreibung: Wenn die --confirm-all-prompts Option angegeben ist, hält das Skript für benutzerspezifische Bestätigungen nicht an und fordert nur auf, wenn Benutzereingaben erforderlich sind. Verwenden Sie den --confirm-all-prompts Switch für eine Zero-Touch-Bereitstellung.
Previewimage des Containers verwenden
Parametername:--preview
Parameterwerte: Nichts
Erforderlich: Nein
Beschreibung: Standardmäßig stellt das Kickstartskript für die Containerbereitstellung den Container mit dem :latest Tag bereit. Öffentliche Vorschaufeatures werden am :latest-preview Tag veröffentlicht. Damit das Containerbereitstellungsskript die öffentliche Vorschauversion des Containers verwendet, geben Sie den --preview Switch an.
Zugehöriger Inhalt
Weitere Informationen finden Sie unter: