适用于 SAP 的 Microsoft Sentinel 应用程序数据连接器代理的 Kickstart 部署脚本参考

本文提供了用于部署适用于 SAP 的 Microsoft Sentinel 应用程序数据连接器代理的 kickstart 脚本中可用的可配置参数的参考。

有关详细信息，请参阅 将 SAP 系统连接到 Microsoft Sentinel。

本文的内容适用于 SAP BASIS 团队。

选择存储位置

参数名称：

参数值：kvmi、kvsi、cfgf

必填： 不。 默认假定kvmi 。

描述： 指定机密（用户名、密码、日志分析 ID 和共享密钥）是否应存储在本地配置文件中，还是存储在 Azure Key Vault 中。 此外，控制对 Azure Key Vault 进行身份验证是使用 VM 的 Azure 系统分配的托管标识还是使用 Microsoft Entra 已注册的应用程序标识。

如果设置为 kvmi，则 Azure Key Vault 用于存储机密，并使用虚拟机的 Azure 系统分配的托管标识对 Azure Key Vault 进行身份验证。

如果设置为 kvsi，则使用 Azure Key Vault 存储机密，并使用 Microsoft Entra 已注册的应用程序标识对 Azure Key Vault 进行身份验证。 使用 kvsi 模式需要 --appid、--appsecret 和 --tenantid 值。

如果设置为 cfgf，则本地存储的配置文件用于存储机密。

ABAP 服务器连接模式

参数名称：

参数值：abap、mserv

必填： 不。 如果未指定，则默认设置为 abap。

描述： 定义数据收集器代理是应直接连接到 ABAP 服务器还是通过消息服务器进行连接。 使用 abap 让代理直接连接到 ABAP 服务器，可以使用 --abapserver 参数定义其名称。 如果未提前定义名称，则脚本会提示输入名称。 使用 mserv 通过消息服务器进行连接，在这种情况下，必须指定 、--messageserverhost 和 --messageserverport 参数。

配置文件夹位置

参数名称：

参数值：<path>

必填： 如果未指定， /opt/sapcon/<SID> 则假定为否。

描述： 默认情况下，kickstart 将配置文件、元数据位置初始化为 /opt/sapcon/<SID>。 若要设置配置和元数据的备用位置，请使用 --configpath 参数。

ABAP 服务器地址

参数名称：

参数值：<servername>

必填： 不。 如果未指定参数，并且 ABAP 服务器连接模式 参数设置为 abap，脚本会提示你输入服务器主机名/IP 地址。

描述： 仅当连接模式设置为 abap时，此参数才包含要连接到的 ABAP 服务器的完全限定域名（FQDN）、短名称或 IP 地址。

系统实例编号

参数名称：

参数值：<system number>

必填： 不。 如果未指定，系统会提示用户输入系统编号。

描述： 指定要连接到的 SAP 系统实例编号。

系统 ID

参数名称：

参数值：<SID>

必填： 不。 如果未指定，系统会提示用户输入系统 ID。

描述： 指定要连接到的 SAP 系统 ID。

客户端编号

参数名称：

参数值：<client number>

必填： 不。 如果未指定，系统会提示用户输入客户端编号。

描述： 指定要连接到的客户端编号。

消息服务器主机

参数名称：

参数值：<servername>

必填： 是，如果 ABAP 服务器连接模式 设置为 mserv。

描述： 指定要连接到的消息服务器的主机名/IP 地址。 仅当 ABAP 服务器连接模式设置为 mserv..

消息服务器端口

参数名称：

参数值：<portnumber>

必填： 是，如果 ABAP 服务器连接模式 设置为 mserv。

描述： 指定要连接到的消息服务器的服务名称（端口）。 仅当 ABAP 服务器连接模式设置为 mserv..

登录组

参数名称：

参数值：<logon group>

必填： 是，如果 ABAP 服务器连接模式 设置为 mserv。

描述： 指定连接到消息服务器时要使用的登录组。 仅当 ABAP 服务器连接模式设置为 mserv.. 如果登录组名称包含空格，则应以双引号传递，如示例 --logongroup "my logon group" 中所示。

登录用户名

参数名称：

参数值：<username>

必填： 不。 如果未提供，则系统会提示用户输入用户名（如果用户未使用 SNC (X.509) 进行身份验证）。

描述： 用于向 ABAP 服务器进行身份验证的用户名。

登录密码

参数名称：

参数值：<password>

必填： 不。 如果未提供，则系统会提示用户输入密码（如果用户未使用 SNC (X.509) 进行身份验证）。 密码输入被屏蔽。

描述： 用于向 ABAP 服务器进行身份验证的密码。

NetWeaver SDK 文件位置

参数名称：

参数值：<filename>

必填： 不。 脚本尝试查找当前文件夹中的 nwrfc*.zip 文件。 如果未找到，系统会提示用户提供有效的 NetWeaver SDK 存档文件。

描述： NetWeaver SDK 文件路径。 数据收集器需要有效的 SDK 才能运行。 有关详细信息，请参阅 SAP 先决条件。

企业应用程序 ID

参数名称：

参数值：<guid>

必填： 是，如果 机密存储位置 设置为 kvsi。

描述： 将 Azure Key Vault 身份验证模式设置为 kvsi时，使用 企业应用程序（服务主体）标识完成对 Key Vault 的身份验证。 此参数指定应用程序 ID。

企业应用程序机密

参数名称：

参数值：<secret>

必填： 是，如果 机密存储位置 设置为 kvsi。

描述： 将 Azure Key Vault 身份验证模式设置为 kvsi时，使用 企业应用程序（服务主体）标识完成对 Key Vault 的身份验证。 此参数指定应用程序机密。

租户 ID

参数名称：

参数值：<guid>

必填： 是，如果 机密存储位置 设置为 kvsi。

描述： 将 Azure Key Vault 身份验证模式设置为 kvsi时，使用 企业应用程序（服务主体）标识完成对 Key Vault 的身份验证。 此参数指定 Microsoft Entra 租户 ID。

Key Vault 名称

参数名称：

参数值：<key vaultname>

必填： 不。 如果 机密存储位置 设置为 kvsi 或 kvmi未提供，脚本会提示输入值。

描述： 如果 机密存储位置 设置为 kvsi 或 kvmi设置为，则应在此处输入密钥保管库名称（采用 FQDN 格式）。

Log Analytics 工作区 ID

参数名称：

参数值：<id>

必填： 不。 如果未提供，脚本会提示用户输入工作区 ID。

描述： 数据收集器将数据发送到的 Log Analytics 工作区 ID。 若要查找工作区 ID，请在 Azure 门户中找到 Log Analytics 工作区：打开 Microsoft Sentinel，在“配置”部分中选择“设置”，选择“工作区设置”，然后选择“代理管理”。

Log Analytics 密钥

参数名称：

参数值：<key>

必填： 不。 如果未提供，脚本会提示用户输入工作区密钥。 输入被屏蔽。

描述： 数据收集器将数据发送到的 Log Analytics 工作区的主密钥或辅助密钥。 若要查找工作区主密钥或辅助密钥，请在 Azure 门户中找到 Log Analytics 工作区：打开 Microsoft Sentinel，在“配置”部分中选择“设置”，选择“工作区设置”，然后选择“代理管理”。

使用 X.509 (SNC) 进行身份验证

参数名称：

参数值： 没有

必填： 不。 如果未指定，则用户名和密码用于身份验证。 如已指定，需要 --cryptolib、--sapgenpse、--client-cert 与 --client-key 的组合或 --client-pfx 与 --client-pfx-passwd 的组合，以及 --server-cert 开关，某些情况下需要 --cacert 开关。

描述： 指定 X.509 身份验证用于连接到 ABAP 服务器，而不是用户名/密码身份验证。 有关详细信息，请参阅 配置系统以使用 SNC 进行安全连接。

SAP 加密库路径

参数名称：

参数值：<sapcryptolibfilename>

必填： 是，如果 --use-snc 已指定。

描述： SAP 加密库的位置和文件名（libsapcrypto.so）。

SAPGENPSE 工具路径

参数名称：

参数值：<sapgenpsefilename>

必填： 是，如果 --use-snc 已指定。

描述： 用于创建和管理 PSE 文件和 SSO 凭据的 sapgenpse 工具的位置和文件名。

客户端证书公钥路径

参数名称：

参数值：<client certificate filename>

必需：如果 --use-snc 和证书采用 .crt/.key base-64 格式，则为“是”。

描述： base-64 客户端公共证书的位置和文件名。 如果客户端证书采用 .pfx 格式，请改用 --client-pfx 开关。

客户端证书私钥路径

参数名称：

参数值：<client key filename>

必填： 是，如果 --use-snc 已指定 ，并且 键采用 .crt/.key base-64 格式。

描述： base-64 客户端私钥的位置和文件名。 如果客户端证书采用 .pfx 格式，请改用 --client-pfx 开关。

颁发/根证书颁发机构证书

参数名称：

参数值：<trusted ca cert>

必填： 是，如果 --use-snc 已指定 ，并且 证书由企业证书颁发机构颁发。

描述： 如果证书是自签名的，则它没有颁发 CA，因此无需验证信任链。

如果证书由企业 CA 颁发，则需要验证颁发 CA 证书和任何更高级别的 CA 证书。 对信任链中的每个 CA 使用 --cacert 开关的单独实例，并提供企业证书颁发机构的公共证书的完整文件名。

客户端 PFX 证书路径

参数名称：

参数值：<pfx filename>

必需：如果 --use-snc 和键采用 .pfx/.p12 格式，则为“是”。

描述： pfx 客户端证书的位置和文件名。

客户端 PFX 证书密码

参数名称：

参数值：<password>

必填： 是，如果使用 --use-snc ，则证书采用 .pfx/.p12 格式，证书受密码保护。

描述： PFX/P12 文件密码。

服务器证书

参数名称：

参数值：<server certificate filename>

必填： 是，如果使用 --use-snc 。

描述： ABAP 服务器证书完整路径和名称。

HTTP 代理服务器 URL

参数名称：

参数值：<proxy url>

必填： 不

描述： 无法直接建立与 Microsoft Azure 服务的连接的容器，并且需要通过代理服务器建立连接，还需要一个 --http-proxy 开关来定义容器的代理 URL。 代理 URL 的格式为 http://hostname:port。

基于主机的网络。

参数名称：

必填： 不。

描述：hostnetwork如果指定了交换机，代理将使用基于主机的网络配置。 在某些情况下，这可以解决内部 DNS 解析问题。

确认所有提示

参数名称：

参数值： 没有

必填： 不

描述：--confirm-all-prompts如果指定了开关，则脚本不会暂停任何用户确认，并且仅当需要用户输入时才会提示。 使用 --confirm-all-prompts 开关进行零接触部署。

使用容器的预览版

参数名称：

参数值： 没有

必填： 不

描述： 默认情况下，容器部署 kickstart 脚本使用 :latest 标记部署容器。 公共预览版功能发布到 :latest-preview 标记。 若要让容器部署脚本使用容器的公共预览版，请指定 --preview 开关。

相关内容

有关详细信息，请参阅：

• 将 SAP 系统连接到 Microsoft Sentinel
• 排查 SAP 应用程序解决方案部署Microsoft Sentinel 解决方案问题