SAP-adatösszekötő-ügynök üzembe helyezése a parancssorból

Ez a cikk parancssori lehetőségeket biztosít egy SAP-adatösszekötő-ügynök üzembe helyezéséhez. A tipikus üzemelő példányok esetében javasoljuk, hogy a parancssor helyett a portált használja, mivel a parancssoron keresztül telepített adatösszekötő-ügynökök csak a parancssoron keresztül kezelhetők.

Ha azonban konfigurációs fájlt használ a hitelesítő adatok tárolására az Azure Key Vault helyett, vagy ha ön olyan speciális felhasználó, aki manuálisan szeretné üzembe helyezni az adatösszekötőt, például egy Kubernetes-fürtön, használja inkább a cikkben szereplő eljárásokat.

Bár több adatösszekötő-ügynököt is futtathat egyetlen gépen, javasoljuk, hogy csak egyel kezdje, figyelje a teljesítményt, majd lassan növelje az összekötők számát. Azt is javasoljuk, hogy a biztonsági csapat az SAP BASIS csapatának segítségével végezze el ezt az eljárást.

Előfeltételek

• Az adatösszekötő üzembe helyezése előtt hozzon létre egy virtuális gépet, és konfigurálja a hitelesítő adatokhoz való hozzáférést.

• Ha SNC-t használ a biztonságos kapcsolatokhoz, győződjön meg arról, hogy az SAP-rendszer megfelelően van konfigurálva, majd az adatösszekötő-ügynök üzembe helyezése előtt készítse elő a kickstart szkriptet az SNC-vel való biztonságos kommunikációhoz.

További információkért tekintse meg az SAP dokumentációját és az SAP SNC RFC-integrációkhoz való használatának első lépéseit – SAP-blog.

Az adatösszekötő-ügynök üzembe helyezése felügyelt identitással vagy regisztrált alkalmazással

Ez az eljárás azt ismerteti, hogyan hozhat létre új ügynököt, és hogyan csatlakoztathatja azt az SAP-rendszerhez a parancssoron keresztül, felügyelt identitással vagy regisztrált Microsoft Entra-azonosítós alkalmazással történő hitelesítéssel.

• Ha SNC-t használ, győződjön meg arról, hogy elvégezte a kickstart szkript előkészítését az SNC-vel való biztonságos kommunikációhoz.

• Ha konfigurációs fájlt használ a hitelesítő adatok tárolásához, olvassa el az adatösszekötő üzembe helyezése konfigurációs fájl használatával című témakört.

Az adatösszekötő-ügynök üzembe helyezése:

1. Töltse le és futtassa az üzembe helyezési indítási szkriptet:

   • Felügyelt identitás esetén használja az alábbi parancsbeállítások egyikét:

     • Az Azure nyilvános kereskedelmi felhő esetében:

       wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
       

     • A 21Vianet által üzemeltetett Microsoft Azure esetében adja hozzá --cloud mooncake a másolt parancs végéhez.

     • Az Azure Government – USA esetén adja hozzá --cloud fairfax a másolt parancs végéhez.

   • Regisztrált alkalmazás esetén az alábbi paranccsal töltse le az üzembe helyezési indítási szkriptet a Microsoft Sentinel GitHub-adattárból, és jelölje meg végrehajthatóként:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh
     

     Futtassa a szkriptet, és adja meg az előző lépésekben másolt alkalmazásazonosítót, titkos kulcsot (a "jelszót"), a bérlőazonosítót és a kulcstartó nevét. Példa:

     ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>
     

   • A biztonságos SNC-konfiguráció konfigurálásához adja meg a következő alapparamétereket:

     • --use-snc
     • --cryptolib <path to sapcryptolib.so>
     • --sapgenpse <path to sapgenpse>
     • --server-cert <path to server certificate public key>

     Ha az ügyféltanúsítvány .crt vagy .key formátumú, használja a következő kapcsolókat:

     • --client-cert <path to client certificate public key>
     • --client-key <path to client certificate private key>

     Ha az ügyféltanúsítvány .pfx vagy .p12 formátumú, használja a következő kapcsolókat:

     • --client-pfx <pfx filename>
     • --client-pfx-passwd <password>

     Ha az ügyféltanúsítványt egy vállalati hitelesítésszolgáltató állította ki, adja hozzá a következő kapcsolót a megbízhatósági lánc minden egyes hitelesítésszolgáltatójához:

     • --cacert <path to ca certificate>

     Példa:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh    --use-snc     --cryptolib /home/azureuser/libsapcrypto.so     --sapgenpse /home/azureuser/sapgenpse     --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt    --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt
     

   A szkript frissíti az operációs rendszer összetevőit, telepíti az Azure CLI- és Docker-szoftvert, valamint egyéb szükséges segédprogramokat (jq, netcat, curl), és konfigurációs paraméterértékeket kér. Adjon meg további paramétereket a szkriptnek a kérések számának minimalizálása vagy a tároló üzembe helyezésének testreszabása érdekében. Az elérhető parancssori lehetőségekről további információt a Kickstart-szkriptek hivatkozásában talál.

2. Kövesse a képernyőn megjelenő utasításokat az SAP és a Key Vault adatainak megadásához és az üzembe helyezés befejezéséhez. Ha az üzembe helyezés befejeződött, megjelenik egy megerősítést kérő üzenet:

   The process has been successfully completed, thank you!
   

   Jegyezze fel a Docker-tároló nevét a szkript kimenetében. A docker-tárolók listájának megtekintéséhez futtassa a következőt:

   docker ps -a
   

   A következő lépésben a docker-tároló nevét fogja használni.

3. Az SAP-adatösszekötő-ügynök üzembe helyezéséhez az ügynök virtuálisgép-identitásának adott engedélyekkel kell rendelkeznie a Microsoft Sentinel számára engedélyezett Log Analytics-munkaterülethez a Microsoft Sentinel üzletialkalmazás-ügynök operátori és olvasói szerepköreinek használatával.

   A parancs ebben a lépésben való futtatásához erőforráscsoport-tulajdonosnak kell lennie a Microsoft Sentinel számára engedélyezett Log Analytics-munkaterületen. Ha ön nem erőforráscsoport-tulajdonos a munkaterületen, ezt az eljárást később is végrehajthatja.

   Rendelje hozzá a Microsoft Sentinel üzletialkalmazás-ügynök operátori és olvasói szerepköreit a virtuális gép identitásához:

   1. Az ügynök azonosítójának lekéréséhez futtassa a következő parancsot, és cserélje le a <container_name> helyőrzőt a létrehozott Docker-tároló nevére a kickstart szkripttel:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
      

      Például egy visszaadott ügynökazonosító lehet 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Rendelje hozzá a Microsoft Sentinel Business Applications Agent operátori és olvasói szerepköreit az alábbi parancsok futtatásával:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Cserélje le a helyőrző értékeket az alábbiak szerint:

   Helyőrző	Érték
   <OBJ_ID>	A virtuális gép identitásobjektum-azonosítója. A virtuálisgép-identitásobjektum-azonosító megkeresése az Azure-ban: - Felügyelt identitás esetén az objektumazonosító megjelenik a virtuális gép Identitás lapján. - Szolgáltatásnév esetén lépjen az Azure Nagyvállalati alkalmazásba . Válassza a Minden alkalmazás lehetőséget, majd válassza ki a virtuális gépet. Az objektumazonosító megjelenik az Áttekintés lapon.
   <SUB_ID>	A Log Analytics-munkaterület előfizetés-azonosítója engedélyezve van a Microsoft Sentinelhez
   <RESOURCE_GROUP_NAME>	A Log Analytics-munkaterület erőforráscsoportjának neve engedélyezve van a Microsoft Sentinelhez
   <WS_NAME>	A Microsoft Sentinelhez engedélyezett Log Analytics-munkaterület neve
   <AGENT_IDENTIFIER>	Az ügynök azonosítója az előző lépésben a parancs futtatása után jelenik meg.

4. A Docker-tároló automatikus indításának konfigurálásához futtassa a következő parancsot, és cserélje le a <container-name> helyőrzőt a tároló nevére:

   docker update --restart unless-stopped <container-name>
   

Az üzembe helyezési eljárás létrehoz egy systemconfig.json fájlt, amely tartalmazza az SAP-adatösszekötő-ügynök konfigurációs adatait. A fájl a /sapcon-app/sapcon/config/system virtuális gép könyvtárában található.

Az adatösszekötő üzembe helyezése konfigurációs fájl használatával

Az Azure Key Vault az ajánlott módszer a hitelesítési hitelesítő adatok és a konfigurációs adatok tárolására. Ha nem tudja használni az Azure Key Vaultot, ez az eljárás azt ismerteti, hogyan helyezheti üzembe az adatösszekötő-ügynök tárolóját konfigurációs fájl használatával.

• Ha SNC-t használ, győződjön meg arról, hogy elvégezte a kickstart szkript előkészítését az SNC-vel való biztonságos kommunikációhoz.

• Ha felügyelt identitást vagy regisztrált alkalmazást használ, olvassa el az adatösszekötő-ügynök központi telepítését felügyelt identitással vagy regisztrált alkalmazással .

Az adatösszekötő-ügynök üzembe helyezése:

1. Hozzon létre egy virtuális gépet, amelyen üzembe szeretné helyezni az ügynököt.

2. Helyezze át az SAP NetWeaver SDK-t arra a gépre, amelyre telepíteni szeretné az ügynököt.

3. Futtassa az alábbi parancsokat az üzembe helyezési Kickstart-szkript letöltéséhez a Microsoft Sentinel GitHub-adattárból, és jelölje meg végrehajthatóként:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   chmod +x ./sapcon-sentinel-kickstart.sh
   

4. Futtassa a szkriptet:

   ./sapcon-sentinel-kickstart.sh --keymode cfgf
   

   A szkript frissíti az operációs rendszer összetevőit, telepíti az Azure CLI- és Docker-szoftvert, valamint egyéb szükséges segédprogramokat (jq, netcat, curl), és konfigurációs paraméterértékeket kér. Szükség szerint adjon meg további paramétereket a szkriptnek a kérések számának minimalizálása vagy a tároló üzembe helyezésének testreszabása érdekében. További információkért tekintse meg a Kickstart-szkript referenciáit.

5. Kövesse a képernyőn megjelenő utasításokat a kért adatok megadásához és az üzembe helyezés befejezéséhez. Ha az üzembe helyezés befejeződött, megjelenik egy megerősítést kérő üzenet:

   The process has been successfully completed, thank you!
   

   Jegyezze fel a Docker-tároló nevét a szkript kimenetében. A docker-tárolók listájának megtekintéséhez futtassa a következőt:

   docker ps -a
   

   A következő lépésben a docker-tároló nevét fogja használni.

6. Az SAP-adatösszekötő-ügynök üzembe helyezéséhez az ügynök virtuálisgép-identitásának adott engedélyekkel kell rendelkeznie a Microsoft Sentinel számára engedélyezett Log Analytics-munkaterülethez a Microsoft Sentinel üzletialkalmazás-ügynök operátori és olvasói szerepköreinek használatával.

   A parancsok ebben a lépésben való futtatásához erőforráscsoport-tulajdonosnak kell lennie a munkaterületen. Ha ön nem erőforráscsoport-tulajdonos a munkaterületen, ezt a lépést később is végrehajthatja.

   Rendelje hozzá a Microsoft Sentinel üzletialkalmazás-ügynök operátori és olvasói szerepköreit a virtuális gép identitásához:

   1. Az ügynök azonosítójának lekéréséhez futtassa a következő parancsot, és cserélje le a <container_name> helyőrzőt a létrehozott Docker-tároló nevére a Kickstart-szkripttel:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'
      

      Például egy visszaadott ügynökazonosító lehet 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Rendelje hozzá a Microsoft Sentinel Business Applications Agent operátori és olvasói szerepköreit az alábbi parancsok futtatásával:

      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      
      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      

      Cserélje le a helyőrző értékeket az alábbiak szerint:

      Helyőrző	Érték
      <OBJ_ID>	A virtuális gép identitásobjektum-azonosítója. A virtuálisgép-identitás objektumazonosítójának megkeresése az Azure-ban: Felügyelt identitás esetén az objektumazonosító megjelenik a virtuális gép Identitás lapján. Szolgáltatásnév esetén lépjen az Azure Nagyvállalati alkalmazásba . Válassza a Minden alkalmazás lehetőséget, majd válassza ki a virtuális gépet. Az objektumazonosító megjelenik az Áttekintés lapon.
      <SUB_ID>	A Log Analytics-munkaterület előfizetés-azonosítója engedélyezve van a Microsoft Sentinelhez
      <RESOURCE_GROUP_NAME>	A Log Analytics-munkaterület erőforráscsoportjának neve engedélyezve van a Microsoft Sentinelhez
      <WS_NAME>	A Microsoft Sentinelhez engedélyezett Log Analytics-munkaterület neve
      <AGENT_IDENTIFIER>	Az ügynök azonosítója az előző lépésben a parancs futtatása után jelenik meg.

7. Futtassa az alábbi parancsot a Docker-tároló automatikus indításának konfigurálásához.

   docker update --restart unless-stopped <container-name>
   

Az üzembe helyezési eljárás létrehoz egy systemconfig.json fájlt, amely tartalmazza az SAP-adatösszekötő-ügynök konfigurációs adatait. A fájl a /sapcon-app/sapcon/config/system virtuális gép könyvtárában található.

A kickstart szkript előkészítése az SNC-vel való biztonságos kommunikációhoz

Ez az eljárás azt ismerteti, hogyan készítheti elő az üzembehelyezési szkriptet az SAP-rendszer és az SNC használatával történő biztonságos kommunikáció beállításainak konfigurálásához. Ha SNC-t használ, az adatösszekötő-ügynök üzembe helyezése előtt végre kell hajtania ezt az eljárást.

A tároló konfigurálása az SNC-vel való biztonságos kommunikációhoz:

1. Vigye át a libsapcrypto.so és a sapgenpse fájlokat arra a rendszerre, ahol a tárolót létrehozza.

2. Vigye át az ügyféltanúsítványt, beleértve a titkos és a nyilvános kulcsokat is arra a rendszerre, ahol a tárolót létrehozza.

   Az ügyféltanúsítvány és -kulcs lehet .p12, .pfx vagy Base64 .crt és .key formátumban.

3. A kiszolgálótanúsítvány (csak nyilvános kulcs) átvitele arra a rendszerre, ahol a tárolót létrehozza.

   A kiszolgálótanúsítványnak Base64 .crt formátumban kell lennie.

4. Ha az ügyféltanúsítványt egy vállalati hitelesítésszolgáltató adta ki, a kiállító hitelesítésszolgáltatói és fő hitelesítésszolgáltatói tanúsítványokat adja át a tárolót létrehozó rendszerbe.

5. Szerezze be a kickstart szkriptet a Microsoft Sentinel GitHub-adattárból:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   

6. Módosítsa a szkript engedélyeit, hogy végrehajthatóvá tegyék:

   chmod +x ./sapcon-sentinel-kickstart.sh
   

További információ: Kickstart deployment script reference for the Microsoft Sentinel for SAP applications data connector agent.

SAP PAHI-táblafigyelés optimalizálása (ajánlott)

Az SAP PAHI-tábla figyelésének optimális eredményéhez nyissa meg a systemconfig.json fájlt szerkesztésre, és a [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) szakasz alatt engedélyezze mind a paramétereket, mind a PAHI_FULLPAHI_INCREMENTAL paramétereket.

További információ: Systemconfig.json fájlhivatkozás és annak ellenőrzése, hogy a PAHI-tábla rendszeres időközönként frissül-e.

Kapcsolat és állapot ellenőrzése

Az SAP-adatösszekötő-ügynök üzembe helyezése után ellenőrizze az ügynök állapotát és kapcsolatát. További információ: Az SAP-rendszerek állapotának és szerepének monitorozása.

Következő lépés

Az összekötő üzembe helyezése után folytassa a Microsoft Sentinel-megoldás üzembe helyezését az SAP-alkalmazások tartalmához: