Informations de référence sur le script de déploiement Kickstart pour l’agent microsoft Sentinel pour les applications SAP data connector
Cet article fournit une référence des paramètres configurables disponibles dans le script kickstart utilisé pour déployer l’agent de connecteur de données microsoft Sentinel pour les applications SAP.
Pour plus d’informations, consultez Connecter votre système SAP à Microsoft Sentinel.
Le contenu de cet article est destiné à vos équipes SAP BASIS.
Emplacement de stockage des secrets
Nom du paramètre : --keymode
Valeurs de paramètre : kvmi
, kvsi
, cfgf
Obligatoire : Non. kvmi
est supposé par défaut.
Description : Spécifie si les secrets (nom d’utilisateur, mot de passe, ID Log Analytics et clé partagée) doivent être stockés dans un fichier de configuration local ou dans Azure Key Vault. Contrôle également si l’authentification auprès d’Azure Key Vault est effectuée à l’aide de l’identité managée affectée par le système Azure de la machine virtuelle ou d’une identité d’application inscrite Microsoft Entra.
Si la valeur est définie sur kvmi
, Azure Key Vault est utilisé pour stocker des secrets et l’authentification auprès d’Azure Key Vault est effectuée à l’aide de l’identité managée affectée par le système Azure de la machine virtuelle.
Si la valeur est définie sur kvsi
, Azure Key Vault est utilisé pour stocker des secrets et l’authentification auprès d’Azure Key Vault est effectuée à l’aide d’une identité d’application inscrite Microsoft Entra. L’utilisation du kvsi
mode nécessite --appid
, --appsecret
et --tenantid
des valeurs.
Si la valeur est définie cfgf
, le fichier de configuration stocké localement est utilisé pour stocker les secrets.
Mode de connexion au serveur ABAP
Nom du paramètre : --connectionmode
Valeurs des paramètres : abap
, mserv
Obligatoire : Non. Si aucune valeur n’est spécifiée, la valeur par défaut est abap
.
Description : Définit si l’agent du collecteur de données doit se connecter directement au serveur ABAP ou via un serveur de messages. Utilisez abap
l’agent pour que l’agent se connecte directement au serveur ABAP, dont vous pouvez définir le nom à l’aide du --abapserver
paramètre. Si vous ne définissez pas le nom à l’avance, le script vous invite à le faire. Utilisez mserv
pour vous connecter via un serveur de messages, auquel cas vous devez spécifier les paramètres --messageserverhost
, --messageserverport
et --logongroup
.
Emplacement du dossier de configuration
Nom du paramètre : --configpath
Valeurs des paramètres : <path>
Obligatoire : Non, /opt/sapcon/<SID>
est supposé s’il n’est pas spécifié.
Description : Par défaut, kickstart initialise le fichier de configuration, l’emplacement des métadonnées sur /opt/sapcon/<SID>
. Pour définir un autre emplacement de configuration et de métadonnées, utilisez le paramètre --configpath
.
Adresse du serveur DNS
Nom du paramètre : --abapserver
Valeurs des paramètres : <servername>
Obligatoire : Non. Si le paramètre n’est pas spécifié et si le paramètre de mode de connexion du serveur ABAP est défini abap
sur , le script vous invite à entrer le nom d’hôte/l’adresse IP du serveur.
Description : Utilisé uniquement si le mode de connexion est défini abap
sur , ce paramètre contient le nom de domaine complet (FQDN), le nom court ou l’adresse IP du serveur ABAP auquel se connecter.
Numéro d’instance du système
Nom du paramètre : --systemnr
Valeurs des paramètres : <system number>
Obligatoire : Non. S’il n’est pas spécifié, l’utilisateur est invité à entrer le numéro système.
Description : spécifie le numéro d’instance du système SAP auquel se connecter.
ID système
Nom du paramètre : --sid
Valeurs des paramètres : <SID>
Obligatoire : Non. S’il n’est pas spécifié, l’utilisateur est invité à entrer l’ID système.
Description : spécifie l’ID système SAP auquel se connecter.
Numéro de client
Nom du paramètre : --clientnumber
Valeurs des paramètres : <client number>
Obligatoire : Non. S’il n’est pas spécifié, l’utilisateur est invité à entrer le numéro du client.
Description : spécifie le numéro de client auquel se connecter.
Hôte du serveur de messages
Nom du paramètre : --messageserverhost
Valeurs des paramètres : <servername>
Obligatoire: Oui, si Mode de connexion au serveur ABAP est défini sur mserv
.
Description : spécifie le nom d’hôte/l’adresse ip du serveur de messages auquel se connecter. Peut uniquement être utilisé si Mode de connexion au serveur ABAP est défini sur mserv
.
Port du serveur de messages
Nom du paramètre : --messageserverport
Valeurs des paramètres : <portnumber>
Obligatoire: Oui, si Mode de connexion au serveur ABAP est défini sur mserv
.
Description : spécifie le nom du service (port) du serveur de messages auquel se connecter. Peut uniquement être utilisé si Mode de connexion au serveur ABAP est défini sur mserv
.
Groupe d’ouverture de session
Nom du paramètre : --logongroup
Valeurs des paramètres : <logon group>
Obligatoire: Oui, si Mode de connexion au serveur ABAP est défini sur mserv
.
Description : spécifie le groupe de connexion à utiliser lors de la connexion à un serveur de messages. Peut uniquement être utilisé si Mode de connexion au serveur ABAP est défini sur mserv
. Si le nom du groupe d’ouverture de session contient des espaces, ils doivent être placés entre guillemets doubles, comme dans l’exemple --logongroup "my logon group"
.
Nom d’utilisateur d’ouverture de session
Nom du paramètre : --sapusername
Valeurs des paramètres : <username>
Obligatoire : Non. S’il n’est pas fourni, l’utilisateur est invité à entrer le nom d’utilisateur s’il n’utilise pas SNC (X.509) pour l’authentification.
Description : nom d’utilisateur utilisé pour s’authentifier auprès du serveur ABAP.
Mot de passe d’ouverture de session
Nom du paramètre : --sappassword
Valeurs des paramètres : <password>
Obligatoire : Non. S’il n’est pas fourni, l’utilisateur est invité à entrer le mot de passe s’il n’utilise pas SNC (X.509) pour l’authentification. L’entrée de mot de passe est masquée.
Description : mot de passe utilisé pour s’authentifier auprès du serveur ABAP.
Emplacement du fichier SDK NetWeaver
Nom du paramètre : --sdk
Valeurs des paramètres : <filename>
Obligatoire : Non. Le script tente de localiser le fichier nwrfc*.zip dans le dossier actif. S’il n’est pas trouvé, l’utilisateur est invité à fournir un fichier d’archive du Kit de développement logiciel (SDK) NetWeaver valide.
Description : Chemin du fichier du Kit de développement logiciel (SDK) NetWeaver. Un SDK valide est requis pour que le collecteur de données fonctionne. Pour plus d’informations, consultez les prérequis SAP.
ID d’application d’entreprise
Nom du paramètre : --appid
Valeurs des paramètres : <guid>
Obligatoire : Oui, si Emplacement de stockage des secrets est défini sur kvsi
.
Description : Lorsque le mode d’authentification Azure Key Vault est défini kvsi
sur , l’authentification auprès du coffre de clés est effectuée à l’aide d’une identité d’application d’entreprise (principal de service). Ce paramètre spécifie l’ID d’application.
Secret de l’application d’entreprise
Nom du paramètre : --appsecret
Valeurs des paramètres : <secret>
Obligatoire : Oui, si Emplacement de stockage des secrets est défini sur kvsi
.
Description : Lorsque le mode d’authentification Azure Key Vault est défini kvsi
sur , l’authentification auprès du coffre de clés est effectuée à l’aide d’une identité d’application d’entreprise (principal de service). Ce paramètre spécifie le secret d’application.
Tenant ID
Nom du paramètre : --tenantid
Valeurs des paramètres : <guid>
Obligatoire : Oui, si Emplacement de stockage des secrets est défini sur kvsi
.
Description : Lorsque le mode d’authentification Azure Key Vault est défini kvsi
sur , l’authentification auprès du coffre de clés est effectuée à l’aide d’une identité d’application d’entreprise (principal de service). Ce paramètre spécifie l’ID de locataire Microsoft Entra.
Nom du coffre de clés
Nom du paramètre : --kvaultname
Valeurs des paramètres : <key vaultname>
Obligatoire : Non. Si l’emplacement de stockage secret est défini kvsi
sur ou kvmi
, le script demande la valeur s’il n’est pas fourni.
Description : Si l’emplacement de stockage secret est défini kvsi
ou kvmi
si le nom du coffre de clés (au format FQDN) doit être entré ici.
ID d’espace de travail Log Analytics
Nom du paramètre : --loganalyticswsid
Valeurs des paramètres : <id>
Obligatoire : Non. S’il n’est pas fourni, le script demande l’ID de l’espace de travail.
Description : ID d’espace de travail Log Analytics auquel le collecteur de données envoie les données. Pour localiser l’ID de l’espace de travail, recherchez l’espace de travail Log Analytics dans le portail Azure : ouvrez Microsoft Sentinel, sélectionnez Paramètres dans la section Configuration, sélectionnez Paramètres de l’espace de travail, puis sélectionnez Gestion des agents.
Clé Log Analytics
Nom du paramètre : --loganalyticskey
Valeurs des paramètres : <key>
Obligatoire : Non. S’il n’est pas fourni, le script demande la clé d’espace de travail. L’entrée est masquée.
Description : clé primaire ou secondaire de l’espace de travail Log Analytics dans lequel le collecteur de données envoie les données. Pour localiser la clé principale ou secondaire de l’espace de travail, recherchez l’espace de travail Log Analytics dans le portail Azure : ouvrez Microsoft Sentinel, sélectionnez Paramètres dans la section Configuration, sélectionnez Paramètres de l’espace de travail, puis sélectionnez Gestion des agents.
Utiliser X.509 (SNC) pour l’authentification
Nom du paramètre : --use-snc
Valeurs du paramètres : aucune
Obligatoire : Non. S’il n’est pas spécifié, le nom d’utilisateur et le mot de passe sont utilisés pour l’authentification. S’ils sont spécifiés, --cryptolib
, --sapgenpse
, une combinaison de --client-cert
et --client-key
, ou --client-pfx
et --client-pfx-passwd
ainsi que --server-cert
, et dans certains cas les commutateurs --cacert
, cela est requis.
Description : spécifie que l’authentification X.509 est utilisée pour se connecter au serveur ABAP, plutôt que l’authentification par nom d’utilisateur/mot de passe. Pour plus d’informations, consultez Configurer votre système pour utiliser SNC pour des connexions sécurisées.
Chemin de la bibliothèque de chiffrement SAP
Nom du paramètre : --cryptolib
Valeurs des paramètres : <sapcryptolibfilename>
Obligatoire : oui, si --use-snc
est spécifié.
Description : Emplacement et nom de fichier de la bibliothèque de chiffrement SAP (libsapcrypto.so).
Chemin de l’outil SAPGENPSE
Nom du paramètre : --sapgenpse
Valeurs des paramètres : <sapgenpsefilename>
Obligatoire : oui, si --use-snc
est spécifié.
Description : Emplacement et nom de fichier de l’outil sapgenpse pour la création et la gestion des fichiers PSE et des informations d’identification de l’authentification unique.
Chemin d’accès à la clé publique du certificat client
Nom du paramètre : --client-cert
Valeurs des paramètres : <client certificate filename>
Obligatoire : Oui, si et le --use-snc
certificat est au format .crt/.key au format base 64.
Description : Emplacement et nom de fichier du certificat public client base-64. Si le certificat client est au format .pfx, utilisez --client-pfx
plutôt le commutateur.
Chemin d’accès à la clé privée du certificat client
Nom du paramètre : --client-key
Valeurs des paramètres : <client key filename>
Obligatoire : oui, si --use-snc
est spécifié et la clé est au format base-64 .crt/.key.
Description : Emplacement et nom de fichier de la clé privée du client base 64. Si le certificat client est au format .pfx, utilisez --client-pfx
plutôt le commutateur.
Certificat de l'autorité de certification racine/émetteur standard
Nom du paramètre : --cacert
Valeurs des paramètres : <trusted ca cert>
Obligatoire : oui, si --use-snc
est spécifié et que le certificat est émis par une autorité de certification d’entreprise.
Description : Si le certificat est auto-signé, il n’a pas d’autorité de certification émettrice. Il n’existe donc aucune chaîne d’approbation qui doit être validée.
Si le certificat est émis par une autorité de certification d’entreprise, le certificat de l’autorité de certification émettrice et tous les certificats d’autorité de certification de niveau supérieur doivent être validés. Utilisez des instances distinctes du commutateur --cacert
pour chaque autorité de certification dans la chaîne d’approbation et fournissez les noms de fichiers complets des certificats publics des autorités de certification d’entreprise.
Chemin d’accès du certificat PFX client
Nom du paramètre : --client-pfx
Valeurs des paramètres : <pfx filename>
Obligatoire : Oui, si --use-snc
et la clé sont au format .pfx/.p12.
Description : emplacement et nom de fichier du certificat client pfx.
Mot de passe du certificat PFX client
Nom du paramètre : --client-pfx-passwd
Valeurs des paramètres : <password>
Obligatoire : oui, si --use-snc
est utilisé, le certificat est au format .pfx/.p12 et le certificat est protégé par un mot de passe.
Description : mot de passe du fichier PFX/P12.
Certificat serveur
Nom du paramètre : --server-cert
Valeurs des paramètres : <server certificate filename>
Obligatoire : oui, si --use-snc
est utilisé.
Description : chemin d’accès complet et nom du certificat de serveur ABAP.
URL du serveur proxy HTTP
Nom du paramètre : --http-proxy
Valeurs des paramètres : <proxy url>
Obligatoire : Non
Description : Les conteneurs qui ne peuvent pas établir une connexion directement aux services Microsoft Azure et nécessitent une connexion via un serveur proxy, nécessitent également un --http-proxy
commutateur pour définir l’URL du proxy pour le conteneur. Le format de l’URL du proxy est http://hostname:port
.
Mise en réseau basée sur l’hôte
Nom du paramètre : --hostnetwork
Obligatoire : Non.
Description : Si le hostnetwork
commutateur est spécifié, l’agent utilise une configuration réseau basée sur l’hôte. Cela peut résoudre les problèmes de résolution DNS internes dans certains cas.
Confirmer toutes les invites
Nom du paramètre : --confirm-all-prompts
Valeurs du paramètres : aucune
Obligatoire : Non
Description : si le --confirm-all-prompts
commutateur est spécifié, le script ne s’interrompt pas pour toutes les confirmations utilisateur et invite uniquement si l’entrée de l’utilisateur est requise. Utilisez le --confirm-all-prompts
commutateur pour un déploiement sans contact.
Utiliser la préversion du conteneur
Nom du paramètre : --preview
Valeurs du paramètres : aucune
Obligatoire : Non
Description : par défaut, le script kickstart de déploiement de conteneur déploie le conteneur avec la :latest
balise. Les fonctionnalités de préversion publique sont publiées sur la :latest-preview
balise. Pour que le script de déploiement de conteneur utilise la version préliminaire publique du conteneur, spécifiez le --preview
commutateur.
Contenu connexe
Pour plus d’informations, consultez l’article suivant :