Microsoft Sentinel for SAP アプリケーション データ コネクタ エージェントの Kickstart デプロイ スクリプト リファレンス
この記事では、Microsoft Sentinel for SAP アプリケーション データ コネクタ エージェントのデプロイに使用される kickstart スクリプトで使用可能な構成可能なパラメーターのリファレンスを提供します。
詳細については、「 SAP システムを Microsoft Sentinel に接続するを参照してください。
この記事の内容は、SAP BASIS チームを対象としています。
シークレットの保存場所
パラメーター名: --keymode
パラメーター値: kvmi
、 kvsi
、 cfgf
必須: いいえ。 kvmi
は、既定で指定されていると見なされます。
説明: シークレット (ユーザー名、パスワード、ログ分析 ID、共有キー) をローカル構成ファイルまたは Azure Key Vault に格納するかどうかを指定します。 また、Azure Key Vault に対する認証を行う際に、VM の Azure システム割り当てマネージド ID か Microsoft Entra 登録済みアプリケーション ID のどちらを使用するかも制御します。
kvmi
に設定すると、シークレットの格納には Azure Key Vault が使用され、Azure Key Vault に対する認証は仮想マシンの Azure システム割り当てマネージド ID を使用して行われます。
kvsi
に設定すると、シークレットの格納には Azure Key Vault が使用され、Azure Key Vault に対する認証は Microsoft Entra 登録済みアプリケーション ID を使用して行われます。 kvsi
モードを使用するには、--appid
、--appsecret
、および--tenantid
の値が必要です。
cfgf
に設定すると、ローカルに格納されている構成ファイルを使用してシークレットが格納されます。
ABAP サーバー接続モード
パラメーター名: --connectionmode
パラメーター値: abap
、 mserv
必須: いいえ。 指定されていない場合は、既定値は abap
です。
説明: データ コレクター エージェントを ABAP サーバーに直接接続するか、メッセージ サーバー経由で接続するかを定義します。 abap
を使用して、--abapserver
パラメーターを使用して定義できる名前の ABAP サーバーにエージェントを直接接続します。 事前に名前を定義しないと、スクリプトによって名前の入力が求められます。 メッセージ サーバーを介して接続する場合は mserv
を使用します。この場合、--messageserverhost
、--messageserverport
、--logongroup
パラメーターを指定する必要があります。
構成フォルダーの場所
パラメーター名: --configpath
パラメーター値: <path>
必須: いいえ。指定されない場合は /opt/sapcon/<SID>
が想定されます。
説明: 既定では、kickstart は構成ファイル、メタデータの場所を /opt/sapcon/<SID>
に初期化します。 構成とメタデータに別の場所を設定するには、--configpath
パラメーターを使用します。
ABAP サーバー アドレス
パラメーター名: --abapserver
パラメーター値: <servername>
必須: いいえ。 パラメーターが指定されておらず、 ABAP サーバー接続モード パラメーターが abap
に設定されている場合、スクリプトによってサーバーのホスト名/IP アドレスの入力が求められます。
説明: 接続モードが abap
に設定されている場合にのみ使用されます。このパラメーターには、接続先の ABAP サーバーの完全修飾ドメイン名 (FQDN)、短い名前、または IP アドレスが含まれます。
システムのインスタンス番号
パラメーター名: --systemnr
パラメーター値: <system number>
必須: いいえ。 指定しない場合、ユーザーはシステム番号の入力を求められます。
説明: 接続先の SAP システム インスタンス番号を指定します。
システム ID
パラメーター名: --sid
パラメーター値: <SID>
必須: いいえ。 指定しない場合、ユーザーはシステム ID の入力を求められます。
説明: 接続先の SAP システム ID を指定します。
クライアント番号
パラメーター名: --clientnumber
パラメーター値: <client number>
必須: いいえ。 指定しない場合、ユーザーはクライアント番号の入力を求められます。
説明: 接続先のクライアント番号を指定します。
メッセージ サーバー ホスト
パラメーター名: --messageserverhost
パラメーター値: <servername>
必須: はい (ABAP サーバー接続モードが mserv
に設定されている場合)。
説明: 接続先のメッセージ サーバーのホスト名/IP アドレスを指定します。 ABAP サーバー接続モードが mserv
に設定されている場合にのみ使用できます。
メッセージ サーバーのポート
パラメーター名: --messageserverport
パラメーター値: <portnumber>
必須: はい (ABAP サーバー接続モードが mserv
に設定されている場合)。
説明: 接続先のメッセージ サーバーのサービス名 (ポート) を指定します。 ABAP サーバー接続モードが mserv
に設定されている場合にのみ使用できます。
ログオン グループ
パラメーター名: --logongroup
パラメーター値: <logon group>
必須: はい (ABAP サーバー接続モードが mserv
に設定されている場合)。
説明: メッセージ サーバーに接続するときに使用するサインイン グループを指定します。 ABAP サーバー接続モードが mserv
に設定されている場合にのみ使用できます。 ログオン グループ名にスペースが含まれている場合は、--logongroup "my logon group"
の例のように二重引用符で囲んで渡す必要があります。
ログオン ユーザー名
パラメーター名: --sapusername
パラメーター値: <username>
必須: いいえ。 指定しない場合、認証に SNC (X.509) を使用 場合 ユーザー名の入力を求められます。
説明: ABAP サーバーに対する認証に使用されるユーザー名。
ログオン パスワード
パラメーター名: --sappassword
パラメーター値: <password>
必須: いいえ。 指定しない場合、ユーザーは認証に SNC (X.509) を使用 場合 パスワードの入力を求められます。 パスワード入力はマスクされます。
説明: ABAP サーバーに対する認証に使用されるパスワード。
NetWeaver SDK ファイルの場所
パラメーター名: --sdk
パラメーター値: <filename>
必須: いいえ。 スクリプトは、現在のフォルダー内の nwrfc*.zip ファイルの検索を試みます。 見つからない場合は、有効な NetWeaver SDK アーカイブ ファイルを指定するように求められます。
説明: NetWeaver SDK ファイル パス。 データ コレクターが動作するには、有効な SDK が必要です。 詳細については、「 SAP の前提条件を参照してください。
エンタープライズ アプリケーション ID
パラメーター名: --appid
パラメーター値: <guid>
必須: はい (シークレットの保存場所が kvsi
に設定されている場合)。
説明: Azure Key Vault 認証モードが kvsi
に設定されている場合、キー コンテナーへの認証は、 enterprise アプリケーション (サービス プリンシパル) ID を使用して行われます。 このパラメーターで、アプリケーション ID を指定します。
エンタープライズ アプリケーション シークレット
パラメーター名: --appsecret
パラメーター値: <secret>
必須: はい (シークレットの保存場所が kvsi
に設定されている場合)。
説明: Azure Key Vault 認証モードが kvsi
に設定されている場合、キー コンテナーへの認証は、 enterprise アプリケーション (サービス プリンシパル) ID を使用して行われます。 このパラメーターで、アプリケーション シークレットを指定します。
テナント ID
パラメーター名: --tenantid
パラメーター値: <guid>
必須: はい (シークレットの保存場所が kvsi
に設定されている場合)。
説明: Azure Key Vault 認証モードが kvsi
に設定されている場合、キー コンテナーへの認証は、 enterprise アプリケーション (サービス プリンシパル) ID を使用して行われます。 このパラメーターは、Microsoft Entra テナント ID を指定します。
Key Vault 名
パラメーター名: --kvaultname
パラメーター値: <key vaultname>
必須: いいえ。 Secret ストレージの場所がkvsi
またはkvmi
に設定されている場合、指定されていない場合は、スクリプトによって値の入力が求められます。
説明: Secret ストレージの場所 が kvsi
または kvmi
に設定されている場合は、キー コンテナー名 (FQDN 形式) をここに入力する必要があります。
Log Analytics ワークスペース ID
パラメーター名: --loganalyticswsid
パラメーター値: <id>
必須: いいえ。 指定しない場合、スクリプトはワークスペース ID の入力を求めます。
説明:データ コレクターがデータを送信する Log Analytics ワークスペース ID を します。 ワークスペース ID を見つけるには、Azure portalで Log Analytics ワークスペースを見つけます。Microsoft Sentinel を開き、[構成] セクションで [設定] を選択し、[ワークスペース設定] を選択してから、[エージェント管理] を選択します。
Log Analytics のキー
パラメーター名: --loganalyticskey
パラメーター値: <key>
必須: いいえ。 指定しない場合は、スクリプトによってワークスペース キーの入力が求められます。 入力はマスクされます。
説明: データ コレクターがデータを送信する Log Analytics ワークスペースのプライマリ キーまたはセカンダリ キー。 プライマリまたはセカンダリ キーを見つけるには、Azure portalで Log Analytics ワークスペースを見つけます。Microsoft Sentinel を開き、[構成] セクションで [設定] を選択し、[ワークスペース設定] を選択してから、[エージェント管理] を選択します。
認証に X.509 (SNC) を使用する
パラメーター名: --use-snc
パラメーター値: なし
必須: いいえ。 指定しない場合は、認証にユーザー名とパスワードが使用されます。 指定した場合、--cryptolib
、--sapgenpse
、--client-cert
と --client-key
または --client-pfx
と --client-pfx-passwd
のいずれかの組み合わせ、および --server-cert
、さらに特定の場合には --cacert
スイッチが必要です。
説明: ユーザー名/パスワード認証ではなく、ABAP サーバーへの接続に X.509 認証を使用することを指定します。 詳細については、「セキュリティで保護された接続に SNC を使用するようにシステムを構成する」を参照してください。
SAP 暗号化ライブラリのパス
パラメーター名: --cryptolib
パラメーター値: <sapcryptolibfilename>
必須: はい (--use-snc
が指定された場合)。
説明: SAP 暗号化ライブラリ (libsapcrypto.so) の場所とファイル名。
SAPGENPSE ツールのパス
パラメーター名: --sapgenpse
パラメーター値: <sapgenpsefilename>
必須: はい (--use-snc
が指定された場合)。
説明: PSE ファイルと SSO 資格情報の作成と管理のための sapgenpse ツールの場所とファイル名。
クライアント証明書の公開キーのパス
パラメーター名: --client-cert
パラメーター値: <client certificate filename>
必須: はい( --use-snc
and 証明書が .crt/.key base-64 形式の場合)。
説明: base-64 クライアントパブリック証明書の場所とファイル名。 クライアント証明書が .pfx 形式の場合は、代わりに --client-pfx
スイッチを使用します。
クライアント証明書の秘密キーのパス
パラメーター名: --client-key
パラメーター値: <client key filename>
必須: はい (--use-snc
が指定され、かつキーが .crt/.key base-64 形式の場合)。
説明: Base-64 クライアント秘密キーの場所とファイル名。 クライアント証明書が .pfx 形式の場合は、代わりに --client-pfx
スイッチを使用します。
発行元/ルート証明機関証明書
パラメーター名: --cacert
パラメーター値: <trusted ca cert>
必須: はい (--use-snc
が指定され、かつ証明書がエンタープライズ証明機関によって発行されている場合)。
説明: 証明書が自己署名されている場合は、発行元 CA がないため、検証する必要がある信頼チェーンはありません。
証明書がエンタープライズ CA によって発行された場合、発行元 CA 証明書と上位にあるすべての CA 証明書を検証する必要があります。 信頼チェーン内の CA ごとに --cacert
スイッチの個別インスタンスを使用し、エンタープライズ証明機関の公開証明書の完全なファイル名を指定します。
クライアント PFX 証明書のパス
パラメーター名: --client-pfx
パラメーター値: <pfx filename>
Required: はい ( --use-snc
and キーが .pfx/.p12 形式の場合)。
説明: pfx クライアント証明書の場所とファイル名。
クライアント PFX 証明書のパスワード
パラメーター名: --client-pfx-passwd
パラメーター値: <password>
必須; はい (--use-snc
が使用され、証明書が .pfx/.p12 形式であり、証明書がパスワードで保護されている場合)。
説明: PFX/P12 ファイル パスワード。
サーバー証明書
パラメーター名: --server-cert
パラメーター値: <server certificate filename>
必須: はい (--use-snc
が使用されている場合)。
説明:ABAP サーバー証明書の完全なパスと名前を します。
HTTP プロキシ サーバーの URL
パラメーター名: --http-proxy
パラメーター値: <proxy url>
必須: いいえ
説明: Microsoft Azure サービスへの接続を直接確立できないため、プロキシ サーバー経由の接続が必要なコンテナーには、コンテナーのプロキシ URL を定義するための --http-proxy
スイッチも必要です。 プロキシ URL の形式は http://hostname:port
。
ホスト ベースのネットワーク
パラメーター名: --hostnetwork
必須: いいえ。
説明: hostnetwork
スイッチが指定されている場合、エージェントはホスト ベースのネットワーク構成を使用します。 これにより、場合によっては内部 DNS 解決の問題を解決できます。
すべてのプロンプトを確認する
パラメーター名: --confirm-all-prompts
パラメーター値: なし
必須: いいえ
説明: --confirm-all-prompts
スイッチが指定されている場合、スクリプトはユーザーの確認のために一時停止せず、ユーザー入力が必要な場合にのみプロンプトを表示します。 ゼロタッチ展開には、 --confirm-all-prompts
スイッチを使用します。
コンテナーのプレビュー ビルドを使用する
パラメーター名: --preview
パラメーター値: なし
必須: いいえ
説明: 既定では、コンテナーデプロイ kickstart スクリプトは、 :latest
タグを持つコンテナーをデプロイします。 パブリック プレビュー機能は、 :latest-preview
タグに発行されます。 コンテナーのデプロイ スクリプトでコンテナーのパブリック プレビュー バージョンを使用するには、 --preview
スイッチを指定します。
関連するコンテンツ
詳細については、以下を参照してください: