نشر عامل موصل بيانات SAP من سطر الأوامر

توفر هذه المقالة خيارات سطر الأوامر لنشر عامل موصل بيانات SAP. بالنسبة إلى عمليات النشر النموذجية، نوصي باستخدام المدخل بدلا من سطر الأوامر، حيث يمكن إدارة عوامل موصل البيانات المثبتة عبر سطر الأوامر فقط عبر سطر الأوامر.

ومع ذلك، إذا كنت تستخدم ملف تكوين لتخزين بيانات الاعتماد الخاصة بك بدلا من Azure Key Vault، أو إذا كنت مستخدما متقدما يريد نشر موصل البيانات يدويا، كما هو الحال في مجموعة Kubernetes، فاستخدم الإجراءات الواردة في هذه المقالة بدلا من ذلك.

بينما يمكنك تشغيل عوامل موصل بيانات متعددة على جهاز واحد، نوصي بالبدء بواحد فقط، ومراقبة الأداء، ثم زيادة عدد الموصلات ببطء. نوصي أيضا بأن يقوم فريق الأمان الخاص بك بتنفيذ هذا الإجراء بمساعدة من فريق SAP BASIS.

المتطلبات الأساسية

• قبل نشر موصل البيانات، تأكد من إنشاء جهاز ظاهري وتكوين الوصول إلى بيانات الاعتماد الخاصة بك.

• إذا كنت تستخدم SNC للاتصالات الآمنة، فتأكد من تكوين نظام SAP الخاص بك بشكل صحيح، ثم قم بإعداد البرنامج النصي لبدء التشغيل للاتصال الآمن مع SNC قبل نشر عامل موصل البيانات.

لمزيد من المعلومات، راجع وثائق SAP وبدء استخدام SAP SNC لتكاملات RFC - مدونة SAP.

توزيع عامل موصل البيانات باستخدام هوية مدارة أو تطبيق مسجل

يصف هذا الإجراء كيفية إنشاء عامل جديد وتوصيله بنظام SAP الخاص بك عبر سطر الأوامر، أو المصادقة بهوية مدارة أو تطبيق Microsoft Entra ID مسجل.

• إذا كنت تستخدم SNC، فتأكد من إكمال إعداد البرنامج النصي لبدء التشغيل للاتصال الآمن مع SNC أولا.

• إذا كنت تستخدم ملف تكوين لتخزين بيانات الاعتماد الخاصة بك، فشاهد نشر موصل البيانات باستخدام ملف تكوين بدلا من ذلك.

لنشر عامل موصل البيانات:

1. قم بتنزيل وتشغيل البرنامج النصي لبدء التوزيع:

   • للحصول على هوية مدارة، استخدم أحد خيارات الأوامر التالية:

     • بالنسبة إلى سحابة Azure التجارية العامة:

       wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
       

     • بالنسبة إلى Microsoft Azure المشغل بواسطة 21Vianet، أضف --cloud mooncake إلى نهاية الأمر المنسخ.

     • بالنسبة إلى Azure Government - الولايات المتحدة، أضف --cloud fairfax إلى نهاية الأمر المنسخ.

   • بالنسبة إلى تطبيق مسجل، استخدم الأمر التالي لتنزيل البرنامج النصي لبدء التوزيع من مستودع Microsoft Sentinel GitHub ووضع علامة قابل للتنفيذ:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh
     

     قم بتشغيل البرنامج النصي، مع تحديد معرف التطبيق والبيانات السرية ("كلمة المرور") ومعرف المستأجر واسم مخزن مفتاح الذي نسخته في الخطوات السابقة. على سبيل المثال:

     ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>
     

   • لتكوين تكوين SNC آمن، حدد المعلمات الأساسية التالية:

     • --use-snc
     • --cryptolib <path to sapcryptolib.so>
     • --sapgenpse <path to sapgenpse>
     • --server-cert <path to server certificate public key>

     إذا كانت شهادة العميل بتنسيق .crt أو .key ، فاستخدم مفاتيح التبديل التالية:

     • --client-cert <path to client certificate public key>
     • --client-key <path to client certificate private key>

     إذا كانت شهادة العميل بتنسيق .pfx أو .p12 ، فاستخدم مفاتيح التبديل التالية:

     • --client-pfx <pfx filename>
     • --client-pfx-passwd <password>

     إذا تم إصدار شهادة العميل من قبل مرجع مصدق للمؤسسة، أضف المفتاح التالي لكل مرجع مصدق في سلسلة الثقة:

     • --cacert <path to ca certificate>

     على سبيل المثال:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh    --use-snc     --cryptolib /home/azureuser/libsapcrypto.so     --sapgenpse /home/azureuser/sapgenpse     --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt    --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt
     

   يقوم البرنامج النصي بتحديث مكونات نظام التشغيل، وتثبيت برنامجAzure CLI وDocker والأدوات المساعدة المطلوبة الأخرى (jq، netcat، curl)، ويطالبك بقيم معلمة التكوين. قم بتوفير معلمات إضافية للبرنامج النصي لتقليل عدد المطالبات أو لتخصيص نشر الحاوية. لمزيد من المعلومات حول خيارات سطر الأوامر المتوفرة، راجع مرجع البرنامج النصي لـ Kickstart.

2. اتبع الإرشادات التي تظهر على الشاشة لإدخال تفاصيل SAP ومخزن مفتاح وإكمال النشر. عند اكتمال النشر، يتم عرض رسالة تأكيد:

   The process has been successfully completed, thank you!
   

   دون اسم حاوية Docker في إخراج البرنامج النصي. لمشاهدة قائمة حاويات docker على الجهاز الظاهري الخاص بك، قم بتشغيل:

   docker ps -a
   

   ستستخدم اسم حاوية docker في الخطوة التالية.

3. يتطلب نشر عامل موصل بيانات SAP منح هوية الجهاز الظاهري لعاملك بأذونات محددة لمساحة عمل Log Analytics الممكنة ل Microsoft Sentinel، باستخدام أدوار عامل عامل تطبيقات الأعمال Microsoft Sentinel وأدوار القارئ .

   لتشغيل الأمر في هذه الخطوة، يجب أن تكون مالك مجموعة موارد على مساحة عمل Log Analytics الممكنة ل Microsoft Sentinel. إذا لم تكن مالك مجموعة موارد في مساحة العمل الخاصة بك، يمكن أيضا تنفيذ هذا الإجراء لاحقا.

   تعيين عامل عامل Microsoft Sentinel Business Applications وأدوار القارئ إلى هوية الجهاز الظاهري:

   1. احصل على معرف العامل عن طريق تشغيل الأمر التالي، واستبدال <container_name> العنصر النائب باسم حاوية docker التي قمت بإنشائها باستخدام البرنامج النصي لبدء التشغيل:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
      

      على سبيل المثال، قد يكون 234fba02-3b34-4c55-8c0e-e6423ceb405bمعرف العامل الذي تم إرجاعه هو .

   2. قم بتعيين أدوار عامل عامل Microsoft Sentinel Business Applications وأدوار القارئ عن طريق تشغيل الأوامر التالية:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   استبدل قيم العنصر النائب كما يلي:

   Placeholder	القيمة‬
   <OBJ_ID>	معرف كائن هوية الجهاز الظاهري الخاص بك. للعثور على معرف كائن هوية الجهاز الظاهري في Azure: - بالنسبة للهوية المدارة، يتم سرد معرف الكائن في صفحة هوية الجهاز الظاهري. - بالنسبة إلى كيان الخدمة، انتقل إلى تطبيق المؤسسة في Azure. حدد جميع التطبيقات ثم حدد الجهاز الظاهري الخاص بك. يتم عرض معرف الكائن في صفحة نظرة عامة .
   <SUB_ID>	تم تمكين معرف الاشتراك لمساحة عمل Log Analytics ل Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	تم تمكين اسم مجموعة الموارد لمساحة عمل Log Analytics ل Microsoft Sentinel
   <WS_NAME>	اسم مساحة عمل Log Analytics التي تم تمكينها ل Microsoft Sentinel
   <AGENT_IDENTIFIER>	يتم عرض معرف العامل بعد تشغيل الأمر في الخطوة السابقة.

4. لتكوين حاوية Docker للبدء تلقائيا، قم بتشغيل الأمر التالي، واستبدل <container-name> العنصر النائب باسم الحاوية الخاصة بك:

   docker update --restart unless-stopped <container-name>
   

ينشئ إجراء النشر ملف systemconfig.json يحتوي على تفاصيل التكوين لعامل موصل بيانات SAP. الملف موجود في الدليل على /sapcon-app/sapcon/config/system الجهاز الظاهري الخاص بك.

نشر موصل البيانات باستخدام ملف تكوين

Azure Key Vault هو الأسلوب الموصى به لتخزين بيانات اعتماد المصادقة وبيانات التكوين. إذا تم منعك من استخدام Azure Key Vault، فإن هذا الإجراء يصف كيف يمكنك نشر حاوية عامل موصل البيانات باستخدام ملف تكوين بدلا من ذلك.

• إذا كنت تستخدم SNC، فتأكد من إكمال إعداد البرنامج النصي لبدء التشغيل للاتصال الآمن مع SNC أولا.

• إذا كنت تستخدم هوية مدارة أو تطبيقا مسجلا، فشاهد نشر عامل موصل البيانات باستخدام هوية مدارة أو تطبيق مسجل بدلا من ذلك.

لنشر عامل موصل البيانات:

1. إنشاء جهاز ظاهري لنشر العامل عليه.

2. نقل SAP NetWeaver SDK إلى الجهاز الذي تريد تثبيت العامل عليه.

3. قم بتشغيل الأوامر التالية لتنزيل البرنامج النصي للنشر Kickstart من مستودع Microsoft Azure Sentinel GitHub ووضع علامة عليه قابل للتنفيذ:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   chmod +x ./sapcon-sentinel-kickstart.sh
   

4. قم بتشغيل البرنامج النصي:

   ./sapcon-sentinel-kickstart.sh --keymode cfgf
   

   يقوم البرنامج النصي بتحديث مكونات نظام التشغيل، وتثبيت برنامجAzure CLI وDocker والأدوات المساعدة المطلوبة الأخرى (jq، netcat، curl)، ويطالبك بقيم معلمة التكوين. توفير معلمات إضافية للبرنامج النصي حسب الحاجة لتقليل عدد المطالبات أو لتخصيص نشر الحاوية. لمزيد من المعلومات، راجع مرجع البرنامج النصي Kickstart.

5. اتبع الإرشادات التي تظهر على الشاشة لإدخال التفاصيل المطلوبة وإكمال النشر. عند اكتمال النشر، يتم عرض رسالة تأكيد:

   The process has been successfully completed, thank you!
   

   دون اسم حاوية Docker في إخراج البرنامج النصي. لمشاهدة قائمة حاويات docker على الجهاز الظاهري الخاص بك، قم بتشغيل:

   docker ps -a
   

   ستستخدم اسم حاوية docker في الخطوة التالية.

6. يتطلب نشر عامل موصل بيانات SAP منح هوية الجهاز الظاهري لعاملك بأذونات محددة لمساحة عمل Log Analytics الممكنة ل Microsoft Sentinel، باستخدام أدوار عامل عامل تطبيقات الأعمال Microsoft Sentinel وأدوار القارئ .

   لتشغيل الأوامر في هذه الخطوة، يجب أن تكون مالك مجموعة موارد في مساحة العمل الخاصة بك. إذا لم تكن مالك مجموعة موارد في مساحة العمل الخاصة بك، يمكن أيضا تنفيذ هذه الخطوة لاحقا.

   تعيين عامل عامل Microsoft Sentinel Business Applications وأدوار القارئ إلى هوية الجهاز الظاهري:

   1. احصل على معرف العامل عن طريق تشغيل الأمر التالي، واستبدال <container_name> العنصر النائب باسم حاوية docker التي قمت بإنشائها باستخدام البرنامج النصي Kickstart:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'
      

      على سبيل المثال، قد يكون 234fba02-3b34-4c55-8c0e-e6423ceb405bمعرف العامل الذي تم إرجاعه هو .

   2. قم بتعيين أدوار عامل عامل Microsoft Sentinel Business Applications وأدوار القارئ عن طريق تشغيل الأوامر التالية:

      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      
      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      

      استبدل قيم العنصر النائب كما يلي:

      Placeholder	القيمة‬
      <OBJ_ID>	معرف كائن هوية الجهاز الظاهري الخاص بك. للعثور على معرف كائن هوية الجهاز الظاهري في Azure: للحصول على هوية مدارة، يتم سرد معرف الكائن في صفحة هوية الجهاز الظاهري. بالنسبة إلى كيان الخدمة، انتقل إلى تطبيق المؤسسة في Azure. حدد جميع التطبيقات ثم حدد الجهاز الظاهري الخاص بك. يتم عرض معرف الكائن في صفحة نظرة عامة .
      <SUB_ID>	تم تمكين معرف الاشتراك لمساحة عمل Log Analytics ل Microsoft Sentinel
      <RESOURCE_GROUP_NAME>	تم تمكين اسم مجموعة الموارد لمساحة عمل Log Analytics ل Microsoft Sentinel
      <WS_NAME>	اسم مساحة عمل Log Analytics التي تم تمكينها ل Microsoft Sentinel
      <AGENT_IDENTIFIER>	يتم عرض معرف العامل بعد تشغيل الأمر في الخطوة السابقة.

7. قم بتشغيل الأمر التالي لتكوين حاوية Docker لبدء التشغيل تلقائياً.

   docker update --restart unless-stopped <container-name>
   

ينشئ إجراء النشر ملف systemconfig.json يحتوي على تفاصيل التكوين لعامل موصل بيانات SAP. الملف موجود في الدليل على /sapcon-app/sapcon/config/system الجهاز الظاهري الخاص بك.

إعداد البرنامج النصي لبدء التشغيل للاتصال الآمن مع SNC

يصف هذا الإجراء كيفية إعداد البرنامج النصي للتوزيع لتكوين إعدادات الاتصالات الآمنة مع نظام SAP الخاص بك باستخدام SNC. إذا كنت تستخدم SNC، فيجب عليك تنفيذ هذا الإجراء قبل نشر عامل موصل البيانات.

لتكوين الحاوية للاتصال الآمن مع SNC:

1. نقل ملفات libsapcrypto.so وsapgenpse إلى النظام حيث تقوم بإنشاء الحاوية.

2. نقل شهادة العميل، بما في ذلك المفاتيح الخاصة والعامة إلى النظام حيث تقوم بإنشاء الحاوية.

   يمكن أن تكون شهادة العميل والمفتاح بتنسيق .p12 أو .pfx أو Base64 .crt .key.

3. نقل شهادة الخادم (المفتاح العام فقط) إلى النظام الذي تقوم بإنشاء الحاوية فيه.

   يجب أن تكون شهادة الخادم بتنسيق Base64 .crt .

4. إذا تم إصدار شهادة العميل من قبل مرجع مصدق مؤسسة، فنقل شهادات المرجع المصدق والجذر المرجع المصدق المصدر إلى النظام حيث تقوم بإنشاء الحاوية.

5. احصل على البرنامج النصي لبدء التشغيل من مستودع Microsoft Sentinel GitHub:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   

6. تغيير أذونات البرنامج النصي لجعله قابلا للتنفيذ:

   chmod +x ./sapcon-sentinel-kickstart.sh
   

لمزيد من المعلومات، راجع مرجع البرنامج النصي لتوزيع Kickstart لعامل موصل بيانات Microsoft Sentinel لتطبيقات SAP.

تحسين مراقبة جدول SAP PAHI (مستحسن)

للحصول على أفضل النتائج في مراقبة جدول SAP PAHI، افتح ملف systemconfig.json للتحرير وضمن [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) القسم ، قم بتمكين المعلمتين PAHI_FULL و PAHI_INCREMENTAL .

لمزيد من المعلومات، راجع Systemconfig.json مرجع الملف وتحقق من تحديث جدول PAHI على فترات منتظمة.

التحقق من الاتصال والصحة

بعد نشر عامل موصل بيانات SAP، تحقق من صحة الوكيل والاتصال. لمزيد من المعلومات، راجع مراقبة صحة ودور أنظمة SAP الخاصة بك.

الخطوة التالية

بمجرد نشر الموصل، تابع لنشر حل Microsoft Sentinel لمحتوى تطبيقات SAP: