Menyebarkan agen konektor data SAP dari baris perintah

Artikel ini menyediakan opsi baris perintah untuk menyebarkan agen konektor data SAP. Untuk penyebaran umum, kami sarankan Anda menggunakan portal alih-alih baris perintah, karena agen konektor data yang diinstal melalui baris perintah hanya dapat dikelola melalui baris perintah.

Namun, jika Anda menggunakan file konfigurasi untuk menyimpan kredensial Anda alih-alih Azure Key Vault, atau jika Anda adalah pengguna tingkat lanjut yang ingin menyebarkan konektor data secara manual, seperti di kluster Kubernetes, gunakan prosedur dalam artikel ini sebagai gantinya.

Meskipun Anda dapat menjalankan beberapa agen konektor data pada satu komputer, kami sarankan Anda memulai dengan satu saja, memantau performa, lalu meningkatkan jumlah konektor secara perlahan. Kami juga menyarankan agar tim keamanan Anda melakukan prosedur ini dengan bantuan dari tim SAP BASIS.

Prasyarat

• Sebelum menyebarkan konektor data Anda, pastikan untuk membuat komputer virtual dan mengonfigurasi akses ke kredensial Anda.

• Jika Anda menggunakan SNC untuk koneksi aman, pastikan sistem SAP Anda dikonfigurasi dengan benar, lalu siapkan skrip kickstart untuk komunikasi yang aman dengan SNC sebelum menyebarkan agen konektor data.

Untuk informasi selengkapnya, lihat dokumentasi SAP dan Mulai menggunakan SAP SNC untuk integrasi RFC - blog SAP.

Menyebarkan agen konektor data menggunakan identitas terkelola atau aplikasi terdaftar

Prosedur ini menjelaskan cara membuat agen baru dan menghubungkannya ke sistem SAP Anda melalui baris perintah, mengautentikasi dengan identitas terkelola atau aplikasi terdaftar ID Microsoft Entra.

• Jika Anda menggunakan SNC, pastikan Anda telah menyelesaikan Menyiapkan skrip kickstart untuk komunikasi yang aman dengan SNC terlebih dahulu.

• Jika Anda menggunakan file konfigurasi untuk menyimpan kredensial Anda, lihat Menyebarkan konektor data menggunakan file konfigurasi sebagai gantinya.

Untuk menyebarkan agen konektor data Anda:

1. Unduh dan jalankan skrip kickstart penyebaran:

   • Untuk identitas terkelola, gunakan salah satu opsi perintah berikut:

     • Untuk cloud komersial publik Azure:

       wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
       

     • Untuk Microsoft Azure yang dioperasikan oleh 21Vianet, tambahkan --cloud mooncake ke akhir perintah yang disalin.

     • Untuk Azure Government - AS, tambahkan --cloud fairfax ke akhir perintah yang disalin.

   • Untuk aplikasi terdaftar, gunakan perintah berikut untuk mengunduh skrip kickstart penyebaran dari repositori GitHub Microsoft Sentinel dan tandai dapat dieksekusi:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh
     

     Jalankan skrip, dengan menentukan ID aplikasi, rahasia ("kata sandi"), ID penyewa, dan nama brankas kunci yang Anda salin di langkah sebelumnya. Contohnya:

     ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>
     

   • Untuk mengonfigurasi konfigurasi SNC yang aman, tentukan parameter dasar berikut:

     • --use-snc
     • --cryptolib <path to sapcryptolib.so>
     • --sapgenpse <path to sapgenpse>
     • --server-cert <path to server certificate public key>

     Jika sertifikat klien dalam format .crt atau .key , gunakan sakelar berikut:

     • --client-cert <path to client certificate public key>
     • --client-key <path to client certificate private key>

     Jika sertifikat klien dalam format .pfx atau .p12 , gunakan sakelar berikut:

     • --client-pfx <pfx filename>
     • --client-pfx-passwd <password>

     Jika sertifikat klien dikeluarkan oleh OS perusahaan, tambahkan sakelar berikut untuk setiap CA dalam rantai kepercayaan:

     • --cacert <path to ca certificate>

     Contohnya:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh    --use-snc     --cryptolib /home/azureuser/libsapcrypto.so     --sapgenpse /home/azureuser/sapgenpse     --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt    --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt
     

   Skrip memperbarui komponen OS, menginstal perangkat lunak Azure CLI dan Docker dan utilitas yang diperlukan lainnya (jq, netcat, curl), dan meminta Anda memasukkan nilai parameter konfigurasi. Berikan parameter tambahan ke skrip untuk meminimalkan jumlah perintah atau untuk menyesuaikan penyebaran kontainer. Untuk informasi selengkapnya tentang opsi baris perintah yang tersedia, lihat Referensi skrip Kickstart.

2. Ikuti petunjuk di layar untuk memasukkan detail SAP serta brankas kunci Anda dan selesaikan penyebaran. Saat penyebaran selesai, pesan konfirmasi ditampilkan:

   The process has been successfully completed, thank you!
   

   Catat nama kontainer Docker dalam output skrip. Untuk melihat daftar kontainer docker di VM Anda, jalankan:

   docker ps -a
   

   Anda akan menggunakan nama kontainer docker di langkah berikutnya.

3. Menyebarkan agen konektor data SAP mengharuskan Anda memberikan identitas VM agen Anda dengan izin tertentu ke ruang kerja Log Analytics yang diaktifkan untuk Microsoft Azure Sentinel, menggunakan peran Operator dan Pembaca Agen Aplikasi Bisnis Microsoft Sentinel.

   Untuk menjalankan perintah dalam langkah ini, Anda harus menjadi pemilik grup sumber daya di ruang kerja Analitik Log yang diaktifkan untuk Microsoft Azure Sentinel. Jika Anda bukan pemilik grup sumber daya di ruang kerja Anda, prosedur ini juga dapat dilakukan nanti.

   Tetapkan peran Operator dan Pembaca Agen Aplikasi Bisnis Microsoft Sentinel ke identitas VM:

   1. Dapatkan ID agen dengan menjalankan perintah berikut, mengganti <container_name> tempat penampung dengan nama kontainer docker yang akan Anda buat dengan skrip kickstart:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
      

      Misalnya, ID agen yang dikembalikan mungkin .234fba02-3b34-4c55-8c0e-e6423ceb405b

   2. Tetapkan peran Operator dan Pembaca Agen Aplikasi Bisnis Microsoft Sentinel dengan menjalankan perintah berikut:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Ganti nilai tempat penampung sebagai berikut:

   Placeholder	Nilai
   <OBJ_ID>	ID objek identitas VM Anda. Untuk menemukan ID objek identitas VM Anda di Azure: - Untuk identitas terkelola, ID objek tercantum di halaman Identitas VM. - Untuk perwakilan layanan, buka Aplikasi perusahaan di Azure. Pilih Semua aplikasi lalu pilih VM Anda. ID objek ditampilkan di halaman Gambaran Umum .
   <SUB_ID>	ID langganan untuk ruang kerja Analitik Log Anda diaktifkan untuk Microsoft Azure Sentinel
   <RESOURCE_GROUP_NAME>	Nama grup sumber daya untuk ruang kerja Analitik Log Anda diaktifkan untuk Microsoft Azure Sentinel
   <WS_NAME>	Nama ruang kerja Analitik Log Anda diaktifkan untuk Microsoft Azure Sentinel
   <AGENT_IDENTIFIER>	ID agen ditampilkan setelah menjalankan perintah di langkah sebelumnya.

4. Untuk mengonfigurasi kontainer Docker agar dimulai secara otomatis, jalankan perintah berikut, ganti <container-name> tempat penampung dengan nama kontainer Anda:

   docker update --restart unless-stopped <container-name>
   

Prosedur penyebaran menghasilkan file systemconfig.json yang berisi detail konfigurasi untuk agen konektor data SAP. File terletak di /sapcon-app/sapcon/config/system direktori pada VM Anda.

Menyebarkan konektor data menggunakan file konfigurasi

Azure Key Vault adalah metode yang direkomendasikan untuk menyimpan kredensial autentikasi dan data konfigurasi Anda. Jika Anda dicegah menggunakan Azure Key Vault, prosedur ini menjelaskan bagaimana Anda dapat menyebarkan kontainer agen konektor data menggunakan file konfigurasi sebagai gantinya.

• Jika Anda menggunakan SNC, pastikan Anda telah menyelesaikan Menyiapkan skrip kickstart untuk komunikasi yang aman dengan SNC terlebih dahulu.

• Jika Anda menggunakan identitas terkelola atau aplikasi terdaftar, lihat Menyebarkan agen konektor data menggunakan identitas terkelola atau aplikasi terdaftar sebagai gantinya.

Untuk menyebarkan agen konektor data Anda:

1. Buat komputer virtual untuk menyebarkan agen.

2. Transfer SAP NetWeaver SDK ke mesin tempat Anda ingin menginstal agen.

3. Jalankan perintah berikut untuk mengunduh skrip Awal penyebaran dari repositori GitHub Microsoft Sentinel dan menandainya sebagai file yang dapat dieksekusi:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   chmod +x ./sapcon-sentinel-kickstart.sh
   

4. Jalankan skrip:

   ./sapcon-sentinel-kickstart.sh --keymode cfgf
   

   Skrip memperbarui komponen OS, menginstal perangkat lunak Azure CLI dan Docker dan utilitas yang diperlukan lainnya (jq, netcat, curl), dan meminta Anda memasukkan nilai parameter konfigurasi. Berikan parameter tambahan ke skrip sesuai kebutuhan untuk meminimalkan jumlah perintah atau untuk menyesuaikan penyebaran kontainer. Untuk informasi selengkapnya, lihat referensi skrip Kickstart.

5. Ikuti petunjuk di layar untuk memasukkan detail yang diminta dan menyelesaikan penyebaran. Saat penyebaran selesai, pesan konfirmasi ditampilkan:

   The process has been successfully completed, thank you!
   

   Catat nama kontainer Docker dalam output skrip. Untuk melihat daftar kontainer docker di VM Anda, jalankan:

   docker ps -a
   

   Anda akan menggunakan nama kontainer docker di langkah berikutnya.

6. Menyebarkan agen konektor data SAP mengharuskan Anda memberikan identitas VM agen Anda dengan izin tertentu ke ruang kerja Log Analytics yang diaktifkan untuk Microsoft Azure Sentinel, menggunakan peran Operator dan Pembaca Agen Aplikasi Bisnis Microsoft Sentinel.

   Untuk menjalankan perintah dalam langkah ini, Anda harus menjadi pemilik grup sumber daya di ruang kerja Anda. Jika Anda bukan pemilik grup sumber daya di ruang kerja Anda, langkah ini juga dapat dilakukan nanti.

   Tetapkan peran Operator dan Pembaca Agen Aplikasi Bisnis Microsoft Sentinel ke identitas VM:

   1. Dapatkan ID agen dengan menjalankan perintah berikut, mengganti <container_name> tempat penampung dengan nama kontainer docker yang Anda buat dengan skrip Kickstart:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'
      

      Misalnya, ID agen yang dikembalikan mungkin .234fba02-3b34-4c55-8c0e-e6423ceb405b

   2. Tetapkan peran Operator dan Pembaca Agen Aplikasi Bisnis Microsoft Sentinel dengan menjalankan perintah berikut:

      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      
      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      

      Ganti nilai tempat penampung sebagai berikut:

      Placeholder	Nilai
      <OBJ_ID>	ID objek identitas VM Anda. Untuk menemukan ID objek identitas VM Anda di Azure: Untuk identitas terkelola, ID objek tercantum di halaman Identitas VM. Untuk perwakilan layanan, buka Aplikasi perusahaan di Azure. Pilih Semua aplikasi lalu pilih VM Anda. ID objek ditampilkan di halaman Gambaran Umum .
      <SUB_ID>	ID langganan untuk ruang kerja Analitik Log Anda diaktifkan untuk Microsoft Azure Sentinel
      <RESOURCE_GROUP_NAME>	Nama grup sumber daya untuk ruang kerja Analitik Log Anda diaktifkan untuk Microsoft Azure Sentinel
      <WS_NAME>	Nama ruang kerja Analitik Log Anda diaktifkan untuk Microsoft Azure Sentinel
      <AGENT_IDENTIFIER>	ID agen ditampilkan setelah menjalankan perintah di langkah sebelumnya.

7. Jalankan perintah berikut untuk mengonfigurasi kontainer Docker untuk memulai secara otomatis.

   docker update --restart unless-stopped <container-name>
   

Prosedur penyebaran menghasilkan file systemconfig.json yang berisi detail konfigurasi untuk agen konektor data SAP. File terletak di /sapcon-app/sapcon/config/system direktori pada VM Anda.

Siapkan skrip kickstart untuk komunikasi yang aman dengan SNC

Prosedur ini menjelaskan cara menyiapkan skrip penyebaran untuk mengonfigurasi pengaturan untuk komunikasi yang aman dengan sistem SAP Anda menggunakan SNC. Jika Anda menggunakan SNC, Anda harus melakukan prosedur ini sebelum menyebarkan agen konektor data.

Untuk mengonfigurasi kontainer untuk komunikasi yang aman dengan SNC:

1. Transfer file libsapcrypto.so dan sapgenpse ke sistem tempat Anda membuat kontainer.

2. Transfer sertifikat klien, termasuk kunci privat dan publik ke sistem tempat Anda membuat kontainer.

   Sertifikat dan kunci klien dapat dalam format .p12, .pfx, atau Base64 .crt dan .key .

3. Transfer sertifikat server (hanya kunci publik) ke sistem tempat Anda membuat kontainer.

   Sertifikat server harus dalam format Base64 .crt .

4. Jika sertifikat klien dikeluarkan oleh otoritas sertifikasi perusahaan, transfer sertifikat CA dan CA akar penerbitan ke sistem tempat Anda membuat kontainer.

5. Dapatkan skrip kickstart dari repositori GitHub Microsoft Sentinel:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   

6. Ubah izin skrip untuk membuatnya dapat dieksekusi:

   chmod +x ./sapcon-sentinel-kickstart.sh
   

Untuk informasi selengkapnya, lihat Referensi skrip penyebaran Kickstart untuk agen konektor data aplikasi Microsoft Azure Sentinel untuk SAP.

Mengoptimalkan pemantauan tabel SAP PAHI (disarankan)

Untuk hasil optimal dalam memantau tabel SAP PAHI, buka file systemconfig.json untuk pengeditan dan di bawah bagian [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) , aktifkan PAHI_FULL parameter dan PAHI_INCREMENTAL .

Untuk informasi selengkapnya, lihat Systemconfig.json referensi file dan Verifikasi bahwa tabel PAHI diperbarui secara berkala.

Periksa konektivitas dan kesehatan

Setelah Anda menyebarkan agen konektor data SAP, periksa kesehatan dan konektivitas agen Anda. Untuk informasi selengkapnya, lihat Memantau kesehatan dan peran sistem SAP Anda.

Langkah selanjutnya

Setelah konektor disebarkan, lanjutkan untuk menyebarkan solusi Microsoft Sentinel untuk konten aplikasi SAP: