Partager via


Informations de référence sur le script de déploiement Kickstart pour l’agent microsoft Sentinel pour les applications SAP data connector

Cet article fournit une référence des paramètres configurables disponibles dans le script kickstart utilisé pour déployer l’agent de connecteur de données microsoft Sentinel pour les applications SAP.

Pour plus d’informations, consultez Connecter votre système SAP à Microsoft Sentinel.

Le contenu de cet article est destiné à vos équipes SAP BASIS.

Emplacement de stockage des secrets

Nom du paramètre : --keymode

Valeurs de paramètre : kvmi, kvsi, cfgf

Obligatoire : Non. kvmi est supposé par défaut.

Description : Spécifie si les secrets (nom d’utilisateur, mot de passe, ID Log Analytics et clé partagée) doivent être stockés dans un fichier de configuration local ou dans Azure Key Vault. Contrôle également si l’authentification auprès d’Azure Key Vault est effectuée à l’aide de l’identité managée affectée par le système Azure de la machine virtuelle ou d’une identité d’application inscrite Microsoft Entra.

Si la valeur est définie sur kvmi, Azure Key Vault est utilisé pour stocker des secrets et l’authentification auprès d’Azure Key Vault est effectuée à l’aide de l’identité managée affectée par le système Azure de la machine virtuelle.

Si la valeur est définie sur kvsi, Azure Key Vault est utilisé pour stocker des secrets et l’authentification auprès d’Azure Key Vault est effectuée à l’aide d’une identité d’application inscrite Microsoft Entra. L’utilisation du kvsi mode nécessite --appid, --appsecretet --tenantid des valeurs.

Si la valeur est définie cfgf, le fichier de configuration stocké localement est utilisé pour stocker les secrets.

Mode de connexion au serveur ABAP

Nom du paramètre : --connectionmode

Valeurs des paramètres : abap, mserv

Obligatoire : Non. Si aucune valeur n’est spécifiée, la valeur par défaut est abap.

Description : Définit si l’agent du collecteur de données doit se connecter directement au serveur ABAP ou via un serveur de messages. Utilisez abap l’agent pour que l’agent se connecte directement au serveur ABAP, dont vous pouvez définir le nom à l’aide du --abapserver paramètre. Si vous ne définissez pas le nom à l’avance, le script vous invite à le faire. Utilisez mserv pour vous connecter via un serveur de messages, auquel cas vous devez spécifier les paramètres --messageserverhost, --messageserverport et --logongroup.

Emplacement du dossier de configuration

Nom du paramètre : --configpath

Valeurs des paramètres : <path>

Obligatoire : Non, /opt/sapcon/<SID> est supposé s’il n’est pas spécifié.

Description : Par défaut, kickstart initialise le fichier de configuration, l’emplacement des métadonnées sur /opt/sapcon/<SID>. Pour définir un autre emplacement de configuration et de métadonnées, utilisez le paramètre --configpath.

Adresse du serveur DNS

Nom du paramètre : --abapserver

Valeurs des paramètres : <servername>

Obligatoire : Non. Si le paramètre n’est pas spécifié et si le paramètre de mode de connexion du serveur ABAP est défini abapsur , le script vous invite à entrer le nom d’hôte/l’adresse IP du serveur.

Description : Utilisé uniquement si le mode de connexion est défini abapsur , ce paramètre contient le nom de domaine complet (FQDN), le nom court ou l’adresse IP du serveur ABAP auquel se connecter.

Numéro d’instance du système

Nom du paramètre : --systemnr

Valeurs des paramètres : <system number>

Obligatoire : Non. S’il n’est pas spécifié, l’utilisateur est invité à entrer le numéro système.

Description : spécifie le numéro d’instance du système SAP auquel se connecter.

ID système

Nom du paramètre : --sid

Valeurs des paramètres : <SID>

Obligatoire : Non. S’il n’est pas spécifié, l’utilisateur est invité à entrer l’ID système.

Description : spécifie l’ID système SAP auquel se connecter.

Numéro de client

Nom du paramètre : --clientnumber

Valeurs des paramètres : <client number>

Obligatoire : Non. S’il n’est pas spécifié, l’utilisateur est invité à entrer le numéro du client.

Description : spécifie le numéro de client auquel se connecter.

Hôte du serveur de messages

Nom du paramètre : --messageserverhost

Valeurs des paramètres : <servername>

Obligatoire: Oui, si Mode de connexion au serveur ABAP est défini sur mserv.

Description : spécifie le nom d’hôte/l’adresse ip du serveur de messages auquel se connecter. Peut uniquement être utilisé si Mode de connexion au serveur ABAP est défini sur mserv.

Port du serveur de messages

Nom du paramètre : --messageserverport

Valeurs des paramètres : <portnumber>

Obligatoire: Oui, si Mode de connexion au serveur ABAP est défini sur mserv.

Description : spécifie le nom du service (port) du serveur de messages auquel se connecter. Peut uniquement être utilisé si Mode de connexion au serveur ABAP est défini sur mserv.

Groupe d’ouverture de session

Nom du paramètre : --logongroup

Valeurs des paramètres : <logon group>

Obligatoire: Oui, si Mode de connexion au serveur ABAP est défini sur mserv.

Description : spécifie le groupe de connexion à utiliser lors de la connexion à un serveur de messages. Peut uniquement être utilisé si Mode de connexion au serveur ABAP est défini sur mserv. Si le nom du groupe d’ouverture de session contient des espaces, ils doivent être placés entre guillemets doubles, comme dans l’exemple --logongroup "my logon group".

Nom d’utilisateur d’ouverture de session

Nom du paramètre : --sapusername

Valeurs des paramètres : <username>

Obligatoire : Non. S’il n’est pas fourni, l’utilisateur est invité à entrer le nom d’utilisateur s’il n’utilise pas SNC (X.509) pour l’authentification.

Description : nom d’utilisateur utilisé pour s’authentifier auprès du serveur ABAP.

Mot de passe d’ouverture de session

Nom du paramètre : --sappassword

Valeurs des paramètres : <password>

Obligatoire : Non. S’il n’est pas fourni, l’utilisateur est invité à entrer le mot de passe s’il n’utilise pas SNC (X.509) pour l’authentification. L’entrée de mot de passe est masquée.

Description : mot de passe utilisé pour s’authentifier auprès du serveur ABAP.

Emplacement du fichier SDK NetWeaver

Nom du paramètre : --sdk

Valeurs des paramètres : <filename>

Obligatoire : Non. Le script tente de localiser le fichier nwrfc*.zip dans le dossier actif. S’il n’est pas trouvé, l’utilisateur est invité à fournir un fichier d’archive du Kit de développement logiciel (SDK) NetWeaver valide.

Description : Chemin du fichier du Kit de développement logiciel (SDK) NetWeaver. Un SDK valide est requis pour que le collecteur de données fonctionne. Pour plus d’informations, consultez les prérequis SAP.

ID d’application d’entreprise

Nom du paramètre : --appid

Valeurs des paramètres : <guid>

Obligatoire : Oui, si Emplacement de stockage des secrets est défini sur kvsi.

Description : Lorsque le mode d’authentification Azure Key Vault est défini kvsisur , l’authentification auprès du coffre de clés est effectuée à l’aide d’une identité d’application d’entreprise (principal de service). Ce paramètre spécifie l’ID d’application.

Secret de l’application d’entreprise

Nom du paramètre : --appsecret

Valeurs des paramètres : <secret>

Obligatoire : Oui, si Emplacement de stockage des secrets est défini sur kvsi.

Description : Lorsque le mode d’authentification Azure Key Vault est défini kvsisur , l’authentification auprès du coffre de clés est effectuée à l’aide d’une identité d’application d’entreprise (principal de service). Ce paramètre spécifie le secret d’application.

Tenant ID

Nom du paramètre : --tenantid

Valeurs des paramètres : <guid>

Obligatoire : Oui, si Emplacement de stockage des secrets est défini sur kvsi.

Description : Lorsque le mode d’authentification Azure Key Vault est défini kvsisur , l’authentification auprès du coffre de clés est effectuée à l’aide d’une identité d’application d’entreprise (principal de service). Ce paramètre spécifie l’ID de locataire Microsoft Entra.

Nom du coffre de clés

Nom du paramètre : --kvaultname

Valeurs des paramètres : <key vaultname>

Obligatoire : Non. Si l’emplacement de stockage secret est défini kvsi sur ou kvmi, le script demande la valeur s’il n’est pas fourni.

Description : Si l’emplacement de stockage secret est défini kvsi ou kvmisi le nom du coffre de clés (au format FQDN) doit être entré ici.

ID d’espace de travail Log Analytics

Nom du paramètre : --loganalyticswsid

Valeurs des paramètres : <id>

Obligatoire : Non. S’il n’est pas fourni, le script demande l’ID de l’espace de travail.

Description : ID d’espace de travail Log Analytics auquel le collecteur de données envoie les données. Pour localiser l’ID de l’espace de travail, recherchez l’espace de travail Log Analytics dans le portail Azure : ouvrez Microsoft Sentinel, sélectionnez Paramètres dans la section Configuration, sélectionnez Paramètres de l’espace de travail, puis sélectionnez Gestion des agents.

Clé Log Analytics

Nom du paramètre : --loganalyticskey

Valeurs des paramètres : <key>

Obligatoire : Non. S’il n’est pas fourni, le script demande la clé d’espace de travail. L’entrée est masquée.

Description : clé primaire ou secondaire de l’espace de travail Log Analytics dans lequel le collecteur de données envoie les données. Pour localiser la clé principale ou secondaire de l’espace de travail, recherchez l’espace de travail Log Analytics dans le portail Azure : ouvrez Microsoft Sentinel, sélectionnez Paramètres dans la section Configuration, sélectionnez Paramètres de l’espace de travail, puis sélectionnez Gestion des agents.

Utiliser X.509 (SNC) pour l’authentification

Nom du paramètre : --use-snc

Valeurs du paramètres : aucune

Obligatoire : Non. S’il n’est pas spécifié, le nom d’utilisateur et le mot de passe sont utilisés pour l’authentification. S’ils sont spécifiés, --cryptolib, --sapgenpse, une combinaison de --client-cert et --client-key, ou --client-pfx et --client-pfx-passwd ainsi que --server-cert, et dans certains cas les commutateurs --cacert, cela est requis.

Description : spécifie que l’authentification X.509 est utilisée pour se connecter au serveur ABAP, plutôt que l’authentification par nom d’utilisateur/mot de passe. Pour plus d’informations, consultez Configurer votre système pour utiliser SNC pour des connexions sécurisées.

Chemin de la bibliothèque de chiffrement SAP

Nom du paramètre : --cryptolib

Valeurs des paramètres : <sapcryptolibfilename>

Obligatoire : oui, si --use-snc est spécifié.

Description : Emplacement et nom de fichier de la bibliothèque de chiffrement SAP (libsapcrypto.so).

Chemin de l’outil SAPGENPSE

Nom du paramètre : --sapgenpse

Valeurs des paramètres : <sapgenpsefilename>

Obligatoire : oui, si --use-snc est spécifié.

Description : Emplacement et nom de fichier de l’outil sapgenpse pour la création et la gestion des fichiers PSE et des informations d’identification de l’authentification unique.

Chemin d’accès à la clé publique du certificat client

Nom du paramètre : --client-cert

Valeurs des paramètres : <client certificate filename>

Obligatoire : Oui, si et le --use-snc certificat est au format .crt/.key au format base 64.

Description : Emplacement et nom de fichier du certificat public client base-64. Si le certificat client est au format .pfx, utilisez --client-pfx plutôt le commutateur.

Chemin d’accès à la clé privée du certificat client

Nom du paramètre : --client-key

Valeurs des paramètres : <client key filename>

Obligatoire : oui, si --use-snc est spécifié et la clé est au format base-64 .crt/.key.

Description : Emplacement et nom de fichier de la clé privée du client base 64. Si le certificat client est au format .pfx, utilisez --client-pfx plutôt le commutateur.

Certificat de l'autorité de certification racine/émetteur standard

Nom du paramètre : --cacert

Valeurs des paramètres : <trusted ca cert>

Obligatoire : oui, si --use-snc est spécifié et que le certificat est émis par une autorité de certification d’entreprise.

Description : Si le certificat est auto-signé, il n’a pas d’autorité de certification émettrice. Il n’existe donc aucune chaîne d’approbation qui doit être validée.

Si le certificat est émis par une autorité de certification d’entreprise, le certificat de l’autorité de certification émettrice et tous les certificats d’autorité de certification de niveau supérieur doivent être validés. Utilisez des instances distinctes du commutateur --cacert pour chaque autorité de certification dans la chaîne d’approbation et fournissez les noms de fichiers complets des certificats publics des autorités de certification d’entreprise.

Chemin d’accès du certificat PFX client

Nom du paramètre : --client-pfx

Valeurs des paramètres : <pfx filename>

Obligatoire : Oui, si --use-snc et la clé sont au format .pfx/.p12.

Description : emplacement et nom de fichier du certificat client pfx.

Mot de passe du certificat PFX client

Nom du paramètre : --client-pfx-passwd

Valeurs des paramètres : <password>

Obligatoire : oui, si --use-snc est utilisé, le certificat est au format .pfx/.p12 et le certificat est protégé par un mot de passe.

Description : mot de passe du fichier PFX/P12.

Certificat serveur

Nom du paramètre : --server-cert

Valeurs des paramètres : <server certificate filename>

Obligatoire : oui, si --use-snc est utilisé.

Description : chemin d’accès complet et nom du certificat de serveur ABAP.

URL du serveur proxy HTTP

Nom du paramètre : --http-proxy

Valeurs des paramètres : <proxy url>

Obligatoire : Non

Description : Les conteneurs qui ne peuvent pas établir une connexion directement aux services Microsoft Azure et nécessitent une connexion via un serveur proxy, nécessitent également un --http-proxy commutateur pour définir l’URL du proxy pour le conteneur. Le format de l’URL du proxy est http://hostname:port.

Mise en réseau basée sur l’hôte

Nom du paramètre : --hostnetwork

Obligatoire : Non.

Description : Si le hostnetwork commutateur est spécifié, l’agent utilise une configuration réseau basée sur l’hôte. Cela peut résoudre les problèmes de résolution DNS internes dans certains cas.

Confirmer toutes les invites

Nom du paramètre : --confirm-all-prompts

Valeurs du paramètres : aucune

Obligatoire : Non

Description : si le --confirm-all-prompts commutateur est spécifié, le script ne s’interrompt pas pour toutes les confirmations utilisateur et invite uniquement si l’entrée de l’utilisateur est requise. Utilisez le --confirm-all-prompts commutateur pour un déploiement sans contact.

Utiliser la préversion du conteneur

Nom du paramètre : --preview

Valeurs du paramètres : aucune

Obligatoire : Non

Description : par défaut, le script kickstart de déploiement de conteneur déploie le conteneur avec la :latest balise. Les fonctionnalités de préversion publique sont publiées sur la :latest-preview balise. Pour que le script de déploiement de conteneur utilise la version préliminaire publique du conteneur, spécifiez le --preview commutateur.

Pour plus d’informations, consultez l’article suivant :