Bereitstellen eines SAP-Datenconnector-Agents über die Befehlszeile

Dieser Artikel enthält Befehlszeilenoptionen für die Bereitstellung eines SAP-Datenconnector-Agents. Für typische Bereitstellungen wird empfohlen, das Portal anstelle der Befehlszeile zu verwenden, da datenconnector-Agents, die über die Befehlszeile installiert werden, nur über die Befehlszeile verwaltet werden können.

Wenn Sie jedoch eine Konfigurationsdatei verwenden, um Ihre Anmeldeinformationen anstelle von Azure Key Vault zu speichern, oder wenn Sie ein fortgeschrittener Benutzer sind, der den Datenconnector manuell bereitstellen möchte, z. B. in einem Kubernetes-Cluster, verwenden Sie stattdessen die Verfahren in diesem Artikel.

Sie können zwar mehrere Datenconnector-Agents auf einem einzelnen Computer ausführen, es wird jedoch empfohlen, nur mit einem Computer zu beginnen, die Leistung zu überwachen und dann die Anzahl der Connectors langsam zu erhöhen. Es wird auch empfohlen, dass Ihr Sicherheitsteam dieses Verfahren mit Hilfe des SAP BASIS-Teams durchführt.

Hinweis

Dieser Artikel ist nur für den Datenconnector-Agent und nicht für den SAP-Datenconnector ohne Agent relevant.

Wichtig

Alle Microsoft Sentinel Features werden in der von 21Vianet betriebenen Azure am 18. August 2026 offiziell eingestellt, wie von 21Vianet veröffentlicht wurde. Aufgrund dieser bevorstehenden Einstellung können Kunden keine neuen Abonnements mehr in den Dienst integrieren.

Es wird empfohlen, dass Kunden mit ihren Kontovertretern für Microsoft Azure zusammenarbeiten, die von 21Vianet betrieben werden, um die Auswirkungen dieser Einstellung auf ihren eigenen Betrieb zu bewerten.

Voraussetzungen

Weitere Informationen finden Sie in der SAP-Dokumentation und im Blog Erste Schritte mit SAP SNC für RFC-Integrationen – SAP.

Bereitstellen des Datenconnector-Agents mithilfe einer verwalteten Identität oder einer registrierten Anwendung

In diesem Verfahren wird beschrieben, wie Sie einen neuen Agent erstellen und über die Befehlszeile mit Ihrem SAP-System verbinden, indem Sie sich mit einer verwalteten Identität oder einer Microsoft Entra ID registrierten Anwendung authentifizieren.

So stellen Sie Ihren Datenconnector-Agent bereit:

  1. Laden Sie das Bereitstellungs-Kickstartskript herunter, und führen Sie es aus:

    • Verwenden Sie für eine verwaltete Identität eine der folgenden Befehlsoptionen:

      • Für die Azure öffentliche kommerzielle Cloud:

        wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh

      • Fügen Sie für Microsoft Azure, die von 21Vianet betrieben werden, am Ende des kopierten Befehls hinzu--cloud mooncake.

      • Fügen Sie für Azure Government – USA am Ende des kopierten Befehls hinzu--cloud fairfax.

    • Verwenden Sie für eine registrierte Anwendung den folgenden Befehl, um das Bereitstellungs-Kickstartskript aus dem Microsoft Sentinel GitHub-Repository herunterzuladen und als ausführbare Datei zu markieren:

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
chmod +x ./sapcon-sentinel-kickstart.sh

      Führen Sie das Skript aus, und geben Sie die Anwendungs-ID, das Geheimnis (das "Kennwort"), die Mandanten-ID und den Schlüsseltresornamen an, die Sie in den vorherigen Schritten kopiert haben. Zum Beispiel:

      ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>

    • Geben Sie zum Konfigurieren der sicheren SNC-Konfiguration die folgenden Basisparameter an:

      • --use-snc
      • --cryptolib <path to sapcryptolib.so>
      • --sapgenpse <path to sapgenpse>
      • --server-cert <path to server certificate public key>

      Wenn das Clientzertifikat im CRT - oder .key-Format vorliegt, verwenden Sie die folgenden Optionen:

      • --client-cert <path to client certificate public key>
      • --client-key <path to client certificate private key>

      Wenn das Clientzertifikat im PFX - oder P12-Format vorliegt, verwenden Sie die folgenden Optionen:

      • --client-pfx <pfx filename>
      • --client-pfx-passwd <password>

      Wenn das Clientzertifikat von einer Unternehmenszertifizierungsstelle ausgestellt wurde, fügen Sie den folgenden Switch für jede Zertifizierungsstelle in der Vertrauenskette hinzu:

      • --cacert <path to ca certificate>

      Zum Beispiel:

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
chmod +x ./sapcon-sentinel-kickstart.sh    --use-snc     --cryptolib /home/azureuser/libsapcrypto.so     --sapgenpse /home/azureuser/sapgenpse     --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt    --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt

    Das Skript aktualisiert die Betriebssystemkomponenten, installiert die Azure CLI- und Docker-Software sowie andere erforderliche Hilfsprogramme (jq, netcat, curl) und fordert Sie zur Eingabe von Konfigurationsparameterwerten auf. Stellen Sie zusätzliche Parameter für das Skript bereit, um die Anzahl der Eingabeaufforderungen zu minimieren oder die Containerbereitstellung anzupassen. Weitere Informationen zu den verfügbaren Befehlszeilenoptionen finden Sie unter Kickstart-Skriptreferenz.

  2. Befolgen Sie die Anweisungen auf dem Bildschirm , um Ihre SAP- und Key Vault-Details einzugeben und die Bereitstellung abzuschließen. Wenn die Bereitstellung abgeschlossen ist, wird eine Bestätigungsmeldung angezeigt:

    The process has been successfully completed, thank you!

    Notieren Sie sich den Docker-Containernamen in der Skriptausgabe. Führen Sie folgendes aus, um die Liste der Docker-Container auf Ihrem virtuellen Computer anzuzeigen:

    docker ps -a

    Im nächsten Schritt verwenden Sie den Namen des Docker-Containers.

  3. Die Bereitstellung des SAP-Datenconnector-Agents erfordert, dass Sie die VM-Identität Ihres Agents mit bestimmten Berechtigungen für den Log Analytics-Arbeitsbereich erteilen, der für Microsoft Sentinel aktiviert ist, indem Sie die Rollen Operator und Leser des Microsoft Sentinel Business Applications-Agents verwenden.

    Um den Befehl in diesem Schritt auszuführen, müssen Sie Besitzer einer Ressourcengruppe im Log Analytics-Arbeitsbereich sein, der für Microsoft Sentinel aktiviert ist. Wenn Sie kein Ressourcengruppenbesitzer in Ihrem Arbeitsbereich sind, kann dieses Verfahren auch später ausgeführt werden.

    Weisen Sie der Identität des virtuellen Computers die Rollen Microsoft Sentinel Business Applications-Agent-Operator und Leser zu:

    1. Rufen Sie die Agent-ID ab, indem Sie den folgenden Befehl ausführen und dabei den <container_name> Platzhalter durch den Namen des Docker-Containers ersetzen, den Sie mit dem Kickstartskript erstellt haben:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+

      Eine zurückgegebene Agent-ID kann z. B. sein 234fba02-3b34-4c55-8c0e-e6423ceb405b.

    2. Weisen Sie die Rollen Microsoft Sentinel Business Applications-Agent-Operator und Leser zu, indem Sie die folgenden Befehle ausführen:

    az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>

az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>

    Ersetzen Sie Platzhalterwerte wie folgt:

    Platzhalter Wert
    <OBJ_ID> Objekt-ID Ihrer VM-Identität.

    So suchen Sie ihre VM-Identitätsobjekt-ID in Azure:
    - Bei einer verwalteten Identität wird die Objekt-ID auf der Seite Identität des virtuellen Computers aufgeführt.
    - Navigieren Sie für einen Dienstprinzipal zu Unternehmensanwendung in Azure. Wählen Sie Alle Anwendungen und dann Ihren virtuellen Computer aus. Die Objekt-ID wird auf der Seite Übersicht angezeigt.
    <SUB_ID> Die Abonnement-ID für Ihren Log Analytics-Arbeitsbereich, die für Microsoft Sentinel aktiviert ist
    <RESOURCE_GROUP_NAME> Der Ressourcengruppenname für Ihren Log Analytics-Arbeitsbereich, der für Microsoft Sentinel
    <WS_NAME> Der Name Ihres Log Analytics-Arbeitsbereichs, der für Microsoft Sentinel aktiviert ist
    <AGENT_IDENTIFIER> Die Agent-ID, die nach dem Ausführen des Befehls im vorherigen Schritt angezeigt wird.

  4. Um den Docker-Container so zu konfigurieren, dass er automatisch gestartet wird, führen Sie den folgenden Befehl aus, und ersetzen Sie dabei den <container-name> Platzhalter durch den Namen Ihres Containers:

    docker update --restart unless-stopped <container-name>

Das Bereitstellungsverfahren generiert eine systemconfig.json-Datei , die die Konfigurationsdetails für den SAP-Datenconnector-Agent enthält. Die Datei befindet sich im /sapcon-app/sapcon/config/system Verzeichnis auf Ihrem virtuellen Computer.

Bereitstellen des Datenconnectors mithilfe einer Konfigurationsdatei

Azure Key Vault ist die empfohlene Methode zum Speichern Ihrer Authentifizierungsanmeldeinformationen und Konfigurationsdaten. Wenn Sie daran gehindert sind, Azure Key Vault zu verwenden, wird in diesem Verfahren beschrieben, wie Sie den Datenconnector-Agent-Container stattdessen mithilfe einer Konfigurationsdatei bereitstellen können.

So stellen Sie Ihren Datenconnector-Agent bereit:

  1. Erstellen Sie einen virtuellen Computer, auf dem der Agent bereitgestellt werden soll.

  2. Übertragen Sie das SAP NetWeaver SDK auf den Computer, auf dem Sie den Agent installieren möchten.

  3. Führen Sie die folgenden Befehle aus, um das Bereitstellungs-Kickstartskript aus dem Microsoft Sentinel GitHub-Repository herunterzuladen und als ausführbare Datei zu markieren:

    wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
chmod +x ./sapcon-sentinel-kickstart.sh

  4. Führen Sie das Skript aus:

    ./sapcon-sentinel-kickstart.sh --keymode cfgf

    Das Skript aktualisiert die Betriebssystemkomponenten, installiert die Azure CLI- und Docker-Software sowie andere erforderliche Hilfsprogramme (jq, netcat, curl) und fordert Sie zur Eingabe von Konfigurationsparameterwerten auf. Stellen Sie dem Skript nach Bedarf zusätzliche Parameter bereit, um die Anzahl der Eingabeaufforderungen zu minimieren oder die Containerbereitstellung anzupassen. Weitere Informationen finden Sie in der Referenz zum Kickstart-Skript.

  5. Befolgen Sie die Anweisungen auf dem Bildschirm , um die angeforderten Details einzugeben und die Bereitstellung abzuschließen. Wenn die Bereitstellung abgeschlossen ist, wird eine Bestätigungsmeldung angezeigt:

    The process has been successfully completed, thank you!

    Notieren Sie sich den Docker-Containernamen in der Skriptausgabe. Führen Sie folgendes aus, um die Liste der Docker-Container auf Ihrem virtuellen Computer anzuzeigen:

    docker ps -a

    Im nächsten Schritt verwenden Sie den Namen des Docker-Containers.

  6. Die Bereitstellung des SAP-Datenconnector-Agents erfordert, dass Sie die VM-Identität Ihres Agents mit bestimmten Berechtigungen für den Log Analytics-Arbeitsbereich erteilen, der für Microsoft Sentinel aktiviert ist, indem Sie die Rollen Operator und Leser des Microsoft Sentinel Business Applications-Agents verwenden.

    Um die Befehle in diesem Schritt ausführen zu können, müssen Sie Besitzer einer Ressourcengruppe in Ihrem Arbeitsbereich sein. Wenn Sie kein Ressourcengruppenbesitzer in Ihrem Arbeitsbereich sind, kann dieser Schritt auch später ausgeführt werden.

    Weisen Sie der Identität des virtuellen Computers die Rollen Microsoft Sentinel Business Applications-Agent-Operator und Leser zu:

    1. Rufen Sie die Agent-ID ab, indem Sie den folgenden Befehl ausführen und dabei den <container_name> Platzhalter durch den Namen des Docker-Containers ersetzen, den Sie mit dem Kickstart-Skript erstellt haben:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'

      Eine zurückgegebene Agent-ID kann z. B. sein 234fba02-3b34-4c55-8c0e-e6423ceb405b.

    2. Weisen Sie die Rollen Microsoft Sentinel Business Applications-Agent-Operator und Leser zu, indem Sie die folgenden Befehle ausführen:

      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>

az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>

      Ersetzen Sie Platzhalterwerte wie folgt:

      Platzhalter Wert
      <OBJ_ID> Objekt-ID Ihrer VM-Identität.

      So finden Sie die Objekt-ID Ihrer VM-Identität in Azure: Für eine verwaltete Identität wird die Objekt-ID auf der Seite Identität des virtuellen Computers aufgeführt. Für einen Dienstprinzipal wechseln Sie zu Unternehmensanwendung in Azure. Wählen Sie Alle Anwendungen und dann Ihren virtuellen Computer aus. Die Objekt-ID wird auf der Seite Übersicht angezeigt.
      <SUB_ID> Die Abonnement-ID für Ihren Log Analytics-Arbeitsbereich, die für Microsoft Sentinel aktiviert ist
      <RESOURCE_GROUP_NAME> Der Ressourcengruppenname für Ihren Log Analytics-Arbeitsbereich, der für Microsoft Sentinel
      <WS_NAME> Der Name Ihres Log Analytics-Arbeitsbereichs, der für Microsoft Sentinel aktiviert ist
      <AGENT_IDENTIFIER> Die Agent-ID, die nach dem Ausführen des Befehls im vorherigen Schritt angezeigt wird.

  7. Führen Sie den folgenden Befehl aus, um den Docker-Container so zu konfigurieren, dass er automatisch gestartet wird.

    docker update --restart unless-stopped <container-name>

Das Bereitstellungsverfahren generiert eine systemconfig.json-Datei , die die Konfigurationsdetails für den SAP-Datenconnector-Agent enthält. Die Datei befindet sich im /sapcon-app/sapcon/config/system Verzeichnis auf Ihrem virtuellen Computer.

Vorbereiten des Kickstartskripts für die sichere Kommunikation mit SNC

In diesem Verfahren wird beschrieben, wie Sie das Bereitstellungsskript vorbereiten, um Einstellungen für die sichere Kommunikation mit Ihrem SAP-System mithilfe von SNC zu konfigurieren. Wenn Sie SNC verwenden, müssen Sie dieses Verfahren ausführen, bevor Sie den Datenconnector-Agent bereitstellen.

So konfigurieren Sie den Container für die sichere Kommunikation mit SNC:

  1. Übertragen Sie die libsapcrypto.so - und sapgenpse-Dateien auf das System, in dem Sie den Container erstellen.

  2. Übertragen Sie das Clientzertifikat, einschließlich privater und öffentlicher Schlüssel, an das System, in dem Sie den Container erstellen.

    Das Clientzertifikat und der Schlüssel können im CRT-FormatP12, PFX oder Base64 und .key Format vorliegen.

  3. Übertragen Sie das Serverzertifikat (nur öffentlicher Schlüssel) auf das System, in dem Sie den Container erstellen.

    Das Serverzertifikat muss im Base64-CRT-Format vorliegen.

  4. Wenn das Clientzertifikat von einer Unternehmenszertifizierungsstelle ausgestellt wurde, übertragen Sie die Zertifikate der ausstellenden Zertifizierungsstelle und der Stammzertifizierungsstelle auf das System, in dem Sie den Container erstellen.

  5. Rufen Sie das Kickstartskript aus dem Microsoft Sentinel GitHub-Repository ab:

    wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh

  6. Ändern Sie die Berechtigungen des Skripts, damit es ausführbar ist:

    chmod +x ./sapcon-sentinel-kickstart.sh

Weitere Informationen finden Sie unter Kickstart-Bereitstellungsskriptreferenz für den Datenconnector-Agent für Microsoft Sentinel für SAP-Anwendungen.

Um optimale Ergebnisse bei der Überwachung der SAP PAHI-Tabelle zu erzielen, öffnen Sie die systemconfig.json-Datei zur Bearbeitung, und aktivieren Sie im [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) Abschnitt sowohl die PAHI_FULL Parameter als auch die PAHI_INCREMENTAL Parameter.

Weitere Informationen finden Sie unter Systemconfig.json Dateireferenz und Überprüfen, ob die PAHI-Tabelle in regelmäßigen Abständen aktualisiert wird.

Überprüfen der Konnektivität und Integrität

Nachdem Sie den SAP-Datenconnector-Agent bereitgestellt haben, überprüfen Sie die Integrität und Konnektivität Ihres Agents. Weitere Informationen finden Sie unter Überwachen der Integrität und Rolle Ihrer SAP-Systeme.

Nächster Schritt

Nachdem der Connector bereitgestellt wurde, fahren Sie mit der Bereitstellung Microsoft Sentinel Lösung für SAP-Anwendungsinhalte fort:

Aktivieren von SAP-Erkennungen und Bedrohungsschutz

  • Last updated on