Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Referenz zu den konfigurierbaren Parametern, die im Kickstartskript verfügbar sind, das zum Bereitstellen des Datenconnector-Agents für den Microsoft Sentinel für SAP-Anwendungen verwendet wird.
Weitere Informationen finden Sie unter Verbinden Ihres SAP-Systems mit Microsoft Sentinel.
Die Inhalte in diesem Artikel sind für Ihre SAP BASIS-Teams bestimmt.
Speicherort für Geheimnisse
Parametername:--keymode
Parameterwerte:kvmi, kvsi, cfgf
Erforderlich: Nein.
kvmi wird standardmäßig angenommen.
Beschreibung: Gibt an, ob Geheimnisse (Benutzername, Kennwort, Log Analytics-ID und gemeinsam verwendeter Schlüssel) in einer lokalen Konfigurationsdatei oder in Azure Key Vault gespeichert werden sollen. Steuert außerdem, ob die Authentifizierung bei Azure Key Vault mithilfe der Azure systemseitig zugewiesenen verwalteten Identität des virtuellen Computers oder einer Microsoft Entra registrierten Anwendungsidentität erfolgt.
Bei Festlegung auf kvmiwird Azure Key Vault zum Speichern von Geheimnissen verwendet, und die Authentifizierung bei Azure Key Vault erfolgt mithilfe der Azure systemseitig zugewiesenen verwalteten Identität des virtuellen Computers.
Wenn auf kvsifestgelegt ist, wird Azure Key Vault zum Speichern von Geheimnissen verwendet, und die Authentifizierung bei Azure Key Vault erfolgt mithilfe einer Microsoft Entra registrierten Anwendungsidentität. Für die Verwendung des kvsi Modus sind die Werte , --appsecretund --tenantid erforderlich--appid.
Bei Festlegung auf cfgfwird die lokal gespeicherte Konfigurationsdatei zum Speichern von Geheimnissen verwendet.
ABAP-Serververbindungsmodus
Parametername:--connectionmode
Parameterwerte:abap, mserv
Erforderlich: Nein. Wenn nicht angegeben, ist abapder Standardwert .
Beschreibung: Definiert, ob der Datensammler-Agent direkt oder über einen Nachrichtenserver eine Verbindung mit dem ABAP-Server herstellen soll. Verwenden Sie abap , damit der Agent eine direkte Verbindung mit dem ABAP-Server herstellt, dessen Name Sie mithilfe des --abapserver Parameters definieren können. Wenn Sie den Namen nicht im Voraus definieren, werden Sie vom Skript zur Eingabe aufgefordert. Verwenden Sie mserv , um eine Verbindung über einen Nachrichtenserver herzustellen. In diesem Fall müssen Sie die --messageserverhostParameter , --messageserverportund --logongroup angeben.
Speicherort des Konfigurationsordners
Parametername:--configpath
Parameterwerte:<path>
Erforderlich: Nein, wird angenommen, /opt/sapcon/<SID> wenn nicht angegeben.
Beschreibung: Standardmäßig initialisiert Kickstart die Konfigurationsdatei und den Metadatenspeicherort in /opt/sapcon/<SID>. Verwenden Sie den Parameter, um einen --configpath alternativen Speicherort für Konfiguration und Metadaten festzulegen.
ABAP-Serveradresse
Parametername:--abapserver
Parameterwerte:<servername>
Erforderlich: Nein. Wenn der Parameter nicht angegeben ist und der ABAP-Serververbindungsmodusparameter auf abapfestgelegt ist, fordert das Skript Sie zur Eingabe des Hostnamens/der IP-Adresse des Servers auf.
Beschreibung: Wird nur verwendet, wenn der Verbindungsmodus auf abapfestgelegt ist, enthält dieser Parameter den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN), den Kurznamen oder die IP-Adresse des ABAP-Servers, mit dem eine Verbindung hergestellt werden soll.
System instance Nummer
Parametername:--systemnr
Parameterwerte:<system number>
Erforderlich: Nein. Wenn nicht angegeben, wird der Benutzer zur Eingabe der Systemnummer aufgefordert.
Beschreibung: Gibt die NUMMER des SAP-Systems instance an, mit der eine Verbindung hergestellt werden soll.
System-ID
Parametername:--sid
Parameterwerte:<SID>
Erforderlich: Nein. Wenn keine Angabe erfolgt, wird der Benutzer zur Eingabe der System-ID aufgefordert.
Beschreibung: Gibt die SAP-System-ID an, mit der eine Verbindung hergestellt werden soll.
Clientnummer
Parametername:--clientnumber
Parameterwerte:<client number>
Erforderlich: Nein. Wenn keine Angabe erfolgt, wird der Benutzer zur Eingabe der Clientnummer aufgefordert.
Beschreibung: Gibt die Clientnummer an, mit der eine Verbindung hergestellt werden soll.
Nachrichtenserverhost
Parametername:--messageserverhost
Parameterwerte:<servername>
Erforderlich: Ja, wenn der Verbindungsmodus des ABAP-Servers auf mservfestgelegt ist.
Beschreibung: Gibt den Hostnamen/die IP-Adresse des Nachrichtenservers an, mit dem eine Verbindung hergestellt werden soll. Kann nur verwendet werden, wenn der ABAP-Serververbindungsmodus auf mservfestgelegt ist.
Port des Nachrichtenservers
Parametername:--messageserverport
Parameterwerte:<portnumber>
Erforderlich: Ja, wenn der Verbindungsmodus des ABAP-Servers auf mservfestgelegt ist.
Beschreibung: Gibt den Dienstnamen (Port) des Nachrichtenservers an, mit dem eine Verbindung hergestellt werden soll. Kann nur verwendet werden, wenn der ABAP-Serververbindungsmodus auf mservfestgelegt ist.
Anmeldegruppe
Parametername:--logongroup
Parameterwerte:<logon group>
Erforderlich: Ja, wenn der Verbindungsmodus des ABAP-Servers auf mservfestgelegt ist.
Beschreibung: Gibt die Anmeldegruppe an, die beim Herstellen einer Verbindung mit einem Nachrichtenserver verwendet werden soll. Kann nur verwendet werden, wenn der ABAP-Serververbindungsmodus auf mservfestgelegt ist. Wenn der Name der Anmeldegruppe Leerzeichen enthält, sollten diese in doppelten Anführungszeichen übergeben werden, wie im Beispiel --logongroup "my logon group".
Anmeldebenutzername
Parametername:--sapusername
Parameterwerte:<username>
Erforderlich: Nein. Wenn keine Angabe erfolgt, wird der Benutzer zur Eingabe des Benutzernamens aufgefordert, wenn er SNC (X.509) nicht für die Authentifizierung verwendet.
Beschreibung: Benutzername, der zur Authentifizierung beim ABAP-Server verwendet wird.
Anmeldekennwort
Parametername:--sappassword
Parameterwerte:<password>
Erforderlich: Nein. Wenn nicht angegeben, wird der Benutzer zur Eingabe des Kennworts aufgefordert, wenn er SNC (X.509) nicht für die Authentifizierung verwendet. Die Kennworteingabe ist maskiert.
Beschreibung: Kennwort für die Authentifizierung beim ABAP-Server.
Speicherort der NetWeaver SDK-Datei
Parametername:--sdk
Parameterwerte:<filename>
Erforderlich: Nein. Das Skript versucht, die Datei nwrfc*.zip im aktuellen Ordner zu suchen. Wenn sie nicht gefunden wird, wird der Benutzer aufgefordert, eine gültige NetWeaver SDK-Archivdatei anzugeben.
Beschreibung: NetWeaver SDK-Dateipfad. Für den Betrieb des Datensammlers ist ein gültiges SDK erforderlich. Weitere Informationen finden Sie unter SAP-Voraussetzungen.
Unternehmensanwendungs-ID
Parametername:--appid
Parameterwerte:<guid>
Erforderlich: Ja, wenn geheimer Speicherort auf kvsifestgelegt ist.
Beschreibung: Wenn Azure Key Vault Authentifizierungsmodus auf kvsifestgelegt ist, erfolgt die Authentifizierung beim Schlüsseltresor mithilfe einer Unternehmensanwendungsidentität (Dienstprinzipal). Dieser Parameter gibt die Anwendungs-ID an.
Unternehmensanwendungsgeheimnis
Parametername:--appsecret
Parameterwerte:<secret>
Erforderlich: Ja, wenn geheimer Speicherort auf kvsifestgelegt ist.
Beschreibung: Wenn Azure Key Vault Authentifizierungsmodus auf kvsifestgelegt ist, erfolgt die Authentifizierung beim Schlüsseltresor mithilfe einer Unternehmensanwendungsidentität (Dienstprinzipal). Dieser Parameter gibt das Anwendungsgeheimnis an.
Mandanten-ID
Parametername:--tenantid
Parameterwerte:<guid>
Erforderlich: Ja, wenn geheimer Speicherort auf kvsifestgelegt ist.
Beschreibung: Wenn Azure Key Vault Authentifizierungsmodus auf kvsifestgelegt ist, erfolgt die Authentifizierung beim Schlüsseltresor mithilfe einer Unternehmensanwendungsidentität (Dienstprinzipal). Dieser Parameter gibt die Microsoft Entra Mandanten-ID an.
Key Vault Name
Parametername:--kvaultname
Parameterwerte:<key vaultname>
Erforderlich: Nein. Wenn der Geheimnisspeicherort auf kvsi oder kvmifestgelegt ist, fordert das Skript zur Eingabe des Werts auf, wenn er nicht angegeben wird.
Beschreibung: Wenn der Geheimspeicherort auf kvsi oder kvmifestgelegt ist, sollte hier der Schlüsseltresorname (im FQDN-Format) eingegeben werden.
Log Analytics-Arbeitsbereichs-ID
Parametername:--loganalyticswsid
Parameterwerte:<id>
Erforderlich: Nein. Wenn nicht angegeben, fordert das Skript zur Eingabe der Arbeitsbereichs-ID auf.
Beschreibung: Log Analytics-Arbeitsbereichs-ID, an die der Datensammler die Daten sendet. Um die Arbeitsbereichs-ID zu finden, suchen Sie den Log Analytics-Arbeitsbereich in der Azure-Portal: Öffnen Sie Microsoft Sentinel, wählen Sie Einstellungen im Abschnitt Konfiguration aus, wählen Sie Arbeitsbereichseinstellungen und dann Agents Management aus.
Log Analytics-Schlüssel
Parametername:--loganalyticskey
Parameterwerte:<key>
Erforderlich: Nein. Wenn nicht angegeben, fordert das Skript zur Eingabe des Arbeitsbereichsschlüssels auf. Die Eingabe ist maskiert.
Beschreibung: Primär- oder Sekundärschlüssel des Log Analytics-Arbeitsbereichs, an den der Datensammler die Daten sendet. Um den primären oder sekundären Schlüssel des Arbeitsbereichs zu suchen, suchen Sie den Log Analytics-Arbeitsbereich in Azure-Portal: Öffnen Sie Microsoft Sentinel, wählen Sie Einstellungen im Abschnitt Konfiguration aus, wählen Sie Arbeitsbereichseinstellungen und dann Agents-Verwaltung aus.
Verwenden von X.509 (SNC) für die Authentifizierung
Parametername:--use-snc
Parameterwerte: Nichts
Erforderlich: Nein. Wenn nicht angegeben, werden der Benutzername und das Kennwort für die Authentifizierung verwendet. Wenn angegeben, --cryptolibist , --sapgenpseeine Kombination aus --client-cert und --client-key, oder --client-pfx und --client-pfx-passwd sowie --server-certsowie erforderlich, und in bestimmten Fällen --cacert sind Schalter erforderlich.
Beschreibung: Gibt an, dass die X.509-Authentifizierung für die Verbindung mit dem ABAP-Server anstelle der Authentifizierung mit Benutzername/Kennwort verwendet wird. Weitere Informationen finden Sie unter Konfigurieren Ihres Systems für die Verwendung von SNC für sichere Verbindungen.
Pfad der kryptografischen SAP-Bibliothek
Parametername:--cryptolib
Parameterwerte:<sapcryptolibfilename>
Erforderlich: Ja, wenn --use-snc angegeben ist.
Beschreibung: Speicherort und Dateiname der SAP Cryptographic Library (libsapcrypto.so).
SAPGENPSE-Toolpfad
Parametername:--sapgenpse
Parameterwerte:<sapgenpsefilename>
Erforderlich: Ja, wenn --use-snc angegeben ist.
Beschreibung: Speicherort und Dateiname des sapgenpse-Tools zum Erstellen und Verwalten von PSE-Dateien und SSO-Anmeldeinformationen.
Pfad des öffentlichen Schlüssels des Clientzertifikats
Parametername:--client-cert
Parameterwerte:<client certificate filename>
Erforderlich: Ja, wenn --use-sncund das Zertifikat im .crt/.key Base64-Format vorliegen.
Beschreibung: Speicherort und Dateiname des öffentlichen Base64-Clientzertifikats. Wenn das Clientzertifikat im PFX-Format vorliegt, verwenden Sie --client-pfx stattdessen switch.
Pfad des privaten Schlüssels des Clientzertifikats
Parametername:--client-key
Parameterwerte:<client key filename>
Erforderlich: Ja, wenn --use-snc angegeben ist und der Schlüssel im .crt/.key Base64-Format vorliegt.
Beschreibung: Speicherort und Dateiname des privaten Base64-Clientschlüssels. Wenn das Clientzertifikat im PFX-Format vorliegt, verwenden Sie --client-pfx stattdessen switch.
Ausstellen/Stammzertifikate von Zertifizierungsstellen
Parametername:--cacert
Parameterwerte:<trusted ca cert>
Erforderlich: Ja, wenn --use-snc angegeben ist und das Zertifikat von einer Unternehmenszertifizierungsstelle ausgestellt wird.
Beschreibung: Wenn das Zertifikat selbstsigniert ist, hat es keine ausstellende Zertifizierungsstelle, sodass keine Vertrauenskette überprüft werden muss.
Wenn das Zertifikat von einer Unternehmenszertifizierungsstelle ausgestellt wird, müssen das ausstellende Zertifizierungsstellenzertifikat und alle Zertifikate der übergeordneten Zertifizierungsstelle überprüft werden. Verwenden Sie separate Instanzen des --cacert Switches für jede Zertifizierungsstelle in der Vertrauenskette, und geben Sie die vollständigen Dateinamen der öffentlichen Zertifikate der Unternehmenszertifizierungsstellen an.
Client-PFX-Zertifikatpfad
Parametername:--client-pfx
Parameterwerte:<pfx filename>
Erforderlich: Ja, wenn --use-sncund der Schlüssel im Pfx/.p12-Format vorliegen.
Beschreibung: Speicherort und Dateiname des pfx-Clientzertifikats.
Client-PFX-Zertifikatkennwort
Parametername:--client-pfx-passwd
Parameterwerte:<password>
Erforderlich: Ja, wenn --use-snc verwendet wird, hat das Zertifikat das Pfx/.p12-Format, und das Zertifikat ist durch ein Kennwort geschützt.
Beschreibung: PFX/P12-Dateikennwort.
Serverzertifikat
Parametername:--server-cert
Parameterwerte:<server certificate filename>
Erforderlich: Ja, wenn --use-snc verwendet wird.
Beschreibung: Vollständiger Pfad und Name des ABAP-Serverzertifikats.
URL des HTTP-Proxyservers
Parametername:--http-proxy
Parameterwerte:<proxy url>
Erforderlich: Nein
Beschreibung: Container, die keine direkte Verbindung mit Microsoft Azure-Diensten herstellen können und eine Verbindung über einen Proxyserver erfordern, erfordern ebenfalls einen --http-proxy Switch, um die Proxy-URL für den Container zu definieren. Das Format für die Proxy-URL ist http://hostname:port.
Hostbasiertes Netzwerk
Parametername:--hostnetwork
Erforderlich: Nein.
Beschreibung: Wenn der hostnetwork Switch angegeben ist, verwendet der Agent eine hostbasierte Netzwerkkonfiguration. Dies kann in einigen Fällen interne DNS-Auflösungsprobleme lösen.
Bestätigen aller Eingabeaufforderungen
Parametername:--confirm-all-prompts
Parameterwerte: Nichts
Erforderlich: Nein
Beschreibung: Wenn der --confirm-all-prompts Schalter angegeben ist, wird das Skript nicht für Benutzerbestätigungen angehalten und nur dann aufgefordert, wenn Benutzereingaben erforderlich sind. Verwenden Sie den --confirm-all-prompts Schalter für eine Zero-Touch-Bereitstellung.
Verwenden des Vorschaubuilds des Containers
Parametername:--preview
Parameterwerte: Nichts
Erforderlich: Nein
Beschreibung: Standardmäßig stellt das Kickstartskript für die Containerbereitstellung den Container mit dem :latest Tag bereit. Öffentliche Vorschaufeatures werden im :latest-preview Tag veröffentlicht. Damit das Containerbereitstellungsskript die öffentliche Vorschauversion des Containers verwendet, geben Sie den --preview Switch an.
Verwandte Inhalte
Weitere Informationen finden Sie unter: