Komut satırından SAP veri bağlayıcısı aracısı dağıtma

Bu makalede SAP veri bağlayıcısı aracısını dağıtmak için komut satırı seçenekleri sağlanır. Tipik dağıtımlar için, komut satırı üzerinden yüklenen veri bağlayıcı aracıları yalnızca komut satırı aracılığıyla yönetilebildiği için, komut satırı yerine portalı kullanmanızı öneririz.

Bununla birlikte, Azure Key Vault yerine kimlik bilgilerinizi depolamak için bir yapılandırma dosyası kullanıyorsanız veya kubernetes kümesinde olduğu gibi veri bağlayıcısını el ile dağıtmak isteyen ileri düzey bir kullanıcıysanız, bunun yerine bu makaledeki yordamları kullanın.

Tek bir makinede birden çok veri bağlayıcı aracısını çalıştırabilirsiniz ancak yalnızca bir aracıyla başlamanızı, performansı izlemenizi ve ardından bağlayıcı sayısını yavaş artırmanızı öneririz. Ayrıca, güvenlik ekibinizin SAP BASIS ekibinin yardımıyla bu yordamı gerçekleştirmesini öneririz.

Önkoşullar

• Veri bağlayıcınızı dağıtmadan önce bir sanal makine oluşturduğunuzdan ve kimlik bilgilerinize erişimi yapılandırdığından emin olun.

• Güvenli bağlantılar için SNC kullanıyorsanız SAP sisteminizin düzgün yapılandırıldığından emin olun ve veri bağlayıcısı aracısını dağıtmadan önce SNC ile güvenli iletişim için kickstart betiğini hazırlayın.

Daha fazla bilgi için SAP belgelerine ve RFC tümleştirmeleri için SAP SNC ile çalışmaya başlama - SAP bloguna bakın.

Yönetilen kimlik veya kayıtlı uygulama kullanarak veri bağlayıcısı aracısını dağıtma

Bu yordamda, yönetilen kimlik veya Microsoft Entra ID kayıtlı bir uygulamayla kimlik doğrulaması yaparak yeni bir aracı oluşturma ve bunu komut satırı aracılığıyla SAP sisteminize bağlama açıklanmaktadır.

• SNC kullanıyorsanız ilk olarak SNC ile güvenli iletişim için başlangıç betiğini hazırlama işlemini tamamladığınızdan emin olun.

• Kimlik bilgilerinizi depolamak için bir yapılandırma dosyası kullanıyorsanız bkz . Bunun yerine yapılandırma dosyası kullanarak veri bağlayıcısını dağıtma.

Veri bağlayıcısı aracınızı dağıtmak için:

1. Dağıtım başlangıç betiğini indirin ve çalıştırın:

   • Yönetilen kimlik için aşağıdaki komut seçeneklerinden birini kullanın:

     • Azure genel ticari bulutu için:

       wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
       

     • 21Vianet tarafından sağlanan Microsoft Azure için kopyalanan komutun sonuna ekleyin --cloud mooncake .

     • Azure Kamu - ABD için kopyalanan komutun sonuna ekleyin--cloud fairfax.

   • Kayıtlı bir uygulama için aşağıdaki komutu kullanarak Microsoft Sentinel GitHub deposundan dağıtım başlangıç betiğini indirin ve yürütülebilir olarak işaretleyin:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh
     

     Önceki adımlarda kopyaladığınız uygulama kimliğini, gizli diziyi ("parola"), kiracı kimliğini ve anahtar kasası adını belirterek betiği çalıştırın. Örneğin:

     ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>
     

   • Güvenli SNC yapılandırmasını yapılandırmak için aşağıdaki temel parametreleri belirtin:

     • --use-snc
     • --cryptolib <path to sapcryptolib.so>
     • --sapgenpse <path to sapgenpse>
     • --server-cert <path to server certificate public key>

     İstemci sertifikası .crt veya .key biçimindeyse aşağıdaki anahtarları kullanın:

     • --client-cert <path to client certificate public key>
     • --client-key <path to client certificate private key>

     İstemci sertifikası .pfx veya .p12 biçimindeyse aşağıdaki anahtarları kullanın:

     • --client-pfx <pfx filename>
     • --client-pfx-passwd <password>

     İstemci sertifikası bir kurumsal CA tarafından verildiyse, güven zincirindeki her CA için aşağıdaki anahtarı ekleyin:

     • --cacert <path to ca certificate>

     Örneğin:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh    --use-snc     --cryptolib /home/azureuser/libsapcrypto.so     --sapgenpse /home/azureuser/sapgenpse     --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt    --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt
     

   Betik işletim sistemi bileşenlerini güncelleştirir, Azure CLI ve Docker yazılımını ve diğer gerekli yardımcı programları (jq, netcat, curl) yükler ve yapılandırma parametresi değerlerini ister. Komut istemi sayısını en aza indirmek veya kapsayıcı dağıtımını özelleştirmek için betike ek parametreler sağlayın. Kullanılabilir komut satırı seçenekleri hakkında daha fazla bilgi için bkz . Kickstart betik başvurusu.

2. SAP ve anahtar kasası ayrıntılarınızı girmek ve dağıtımı tamamlamak için ekrandaki yönergeleri izleyin. Dağıtım tamamlandığında bir onay iletisi görüntülenir:

   The process has been successfully completed, thank you!
   

   Betik çıkışında Docker kapsayıcı adını not edin. VM'nizdeki docker kapsayıcılarının listesini görmek için şunu çalıştırın:

   docker ps -a
   

   Sonraki adımda docker kapsayıcısının adını kullanacaksınız.

3. SAP veri bağlayıcısı aracısını dağıtmak için, Microsoft Sentinel İş Uygulamaları Aracısı Operatörü ve Okuyucu rollerini kullanarak aracınızın VM kimliğine Microsoft Sentinel için etkinleştirilmiş Log Analytics çalışma alanı için belirli izinler vermenizi gerektirir.

   Bu adımda komutunu çalıştırmak için, Microsoft Sentinel için etkinleştirilmiş Log Analytics çalışma alanında bir kaynak grubu sahibi olmanız gerekir. Çalışma alanınızda kaynak grubu sahibi değilseniz, bu yordam daha sonra da gerçekleştirilebilir.

   Vm'nin kimliğine Microsoft Sentinel İş Uygulamaları Aracısı Operatör ve Okuyucu rollerini atayın:

   1. Aşağıdaki komutu çalıştırarak aracı kimliğini alın ve yer tutucusunu <container_name> oluşturduğunuz docker kapsayıcısının adıyla kickstart betiğiyle değiştirin:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
      

      Örneğin, döndürülen aracı kimliği olabilir 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Aşağıdaki komutları çalıştırarak Microsoft Sentinel İş Uygulamaları Aracısı Operatör ve Okuyucu rollerini atayın:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Yer tutucu değerlerini aşağıdaki gibi değiştirin:

   Yer tutucu	Değer
   <OBJ_ID>	VM kimlik nesne kimliğiniz. Azure'da VM kimlik nesne kimliğinizi bulmak için: - Yönetilen kimlik için nesne kimliği VM'nin Kimlik sayfasında listelenir. - Hizmet sorumlusu için Azure'da Kurumsal uygulama'ya gidin. Tüm uygulamalar'ı ve ardından VM'nizi seçin. Nesne kimliği Genel Bakış sayfasında görüntülenir.
   <SUB_ID>	Microsoft Sentinel için etkinleştirilen Log Analytics çalışma alanınız için abonelik kimliği
   <RESOURCE_GROUP_NAME>	Microsoft Sentinel için etkinleştirilen Log Analytics çalışma alanınızın kaynak grubu adı
   <WS_NAME>	Microsoft Sentinel için etkinleştirilen Log Analytics çalışma alanınızın adı
   <AGENT_IDENTIFIER>	Önceki adımda komutu çalıştırdıktan sonra görüntülenen aracı kimliği.

4. Docker kapsayıcısını otomatik olarak başlatılacak şekilde yapılandırmak için aşağıdaki komutu çalıştırın ve yer tutucusunu <container-name> kapsayıcınızın adıyla değiştirin:

   docker update --restart unless-stopped <container-name>
   

Dağıtım yordamı, SAP veri bağlayıcısı aracısının yapılandırma ayrıntılarını içeren bir systemconfig.json dosyası oluşturur. Dosya, VM'nizdeki dizinde /sapcon-app/sapcon/config/system bulunur.

Yapılandırma dosyası kullanarak veri bağlayıcısını dağıtma

Azure Key Vault, kimlik doğrulama kimlik bilgilerinizi ve yapılandırma verilerinizi depolamak için önerilen yöntemdir. Azure Key Vault kullanmanız engellenirse, bu yordam bunun yerine bir yapılandırma dosyası kullanarak veri bağlayıcısı aracı kapsayıcısını nasıl dağıtabileceğinizi açıklar.

• SNC kullanıyorsanız ilk olarak SNC ile güvenli iletişim için başlangıç betiğini hazırlama işlemini tamamladığınızdan emin olun.

• Yönetilen kimlik veya kayıtlı uygulama kullanıyorsanız bkz . Bunun yerine yönetilen kimlik veya kayıtlı uygulama kullanarak veri bağlayıcısı aracısını dağıtma.

Veri bağlayıcısı aracınızı dağıtmak için:

1. Aracının dağıtılacağı bir sanal makine oluşturun.

2. SAP NetWeaver SDK'sını aracısını yüklemek istediğiniz makineye aktarın.

3. Microsoft Sentinel GitHub deposundan dağıtım Kickstart betiğini indirmek ve yürütülebilir olarak işaretlemek için aşağıdaki komutları çalıştırın:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   chmod +x ./sapcon-sentinel-kickstart.sh
   

4. Betiği çalıştırın:

   ./sapcon-sentinel-kickstart.sh --keymode cfgf
   

   Betik işletim sistemi bileşenlerini güncelleştirir, Azure CLI ve Docker yazılımını ve diğer gerekli yardımcı programları (jq, netcat, curl) yükler ve yapılandırma parametresi değerlerini ister. İstem sayısını en aza indirmek veya kapsayıcı dağıtımını özelleştirmek için betik için gereken ek parametreleri sağlayın. Daha fazla bilgi için bkz . Kickstart betiği başvurusu.

5. ekrandaki yönergeleri izleyerek istenen ayrıntıları girin ve dağıtımı tamamlayın. Dağıtım tamamlandığında bir onay iletisi görüntülenir:

   The process has been successfully completed, thank you!
   

   Betik çıkışında Docker kapsayıcı adını not edin. VM'nizdeki docker kapsayıcılarının listesini görmek için şunu çalıştırın:

   docker ps -a
   

   Sonraki adımda docker kapsayıcısının adını kullanacaksınız.

6. SAP veri bağlayıcısı aracısını dağıtmak için, Microsoft Sentinel İş Uygulamaları Aracısı Operatörü ve Okuyucu rollerini kullanarak aracınızın VM kimliğine Microsoft Sentinel için etkinleştirilmiş Log Analytics çalışma alanı için belirli izinler vermenizi gerektirir.

   Bu adımda komutları çalıştırmak için çalışma alanınızda bir kaynak grubu sahibi olmanız gerekir. Çalışma alanınızda kaynak grubu sahibi değilseniz, bu adım daha sonra da gerçekleştirilebilir.

   Vm'nin kimliğine Microsoft Sentinel İş Uygulamaları Aracısı Operatör ve Okuyucu rollerini atayın:

   1. Aşağıdaki komutu çalıştırarak aracı kimliğini alın ve yer tutucusunu <container_name> oluşturduğunuz docker kapsayıcısının adıyla Kickstart betiğiyle değiştirin:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'
      

      Örneğin, döndürülen aracı kimliği olabilir 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Aşağıdaki komutları çalıştırarak Microsoft Sentinel İş Uygulamaları Aracısı Operatör ve Okuyucu rollerini atayın:

      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      
      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      

      Yer tutucu değerlerini aşağıdaki gibi değiştirin:

      Yer tutucu	Değer
      <OBJ_ID>	VM kimlik nesne kimliğiniz. Azure'da VM kimlik nesne kimliğinizi bulmak için: Yönetilen kimlik için nesne kimliği VM'nin Kimlik sayfasında listelenir. Hizmet sorumlusu için Azure'da Kurumsal uygulama'ya gidin. Tüm uygulamalar'ı ve ardından VM'nizi seçin. Nesne kimliği Genel Bakış sayfasında görüntülenir.
      <SUB_ID>	Microsoft Sentinel için etkinleştirilen Log Analytics çalışma alanınızın abonelik kimliği
      <RESOURCE_GROUP_NAME>	Microsoft Sentinel için etkinleştirilen Log Analytics çalışma alanınızın kaynak grubu adı
      <WS_NAME>	Microsoft Sentinel için etkinleştirilen Log Analytics çalışma alanınızın adı
      <AGENT_IDENTIFIER>	Önceki adımda komutu çalıştırdıktan sonra görüntülenen aracı kimliği.

7. Docker kapsayıcısını otomatik olarak başlatılacak şekilde yapılandırmak için aşağıdaki komutu çalıştırın.

   docker update --restart unless-stopped <container-name>
   

Dağıtım yordamı, SAP veri bağlayıcısı aracısının yapılandırma ayrıntılarını içeren bir systemconfig.json dosyası oluşturur. Dosya, VM'nizdeki dizinde /sapcon-app/sapcon/config/system bulunur.

SNC ile güvenli iletişim için başlangıç betiğini hazırlama

Bu yordamda, SNC kullanarak SAP sisteminizle güvenli iletişim için ayarları yapılandırmak üzere dağıtım betiğinin nasıl hazırlandığı açıklanır. SNC kullanıyorsanız, veri bağlayıcısı aracısını dağıtmadan önce bu yordamı gerçekleştirmeniz gerekir.

Kapsayıcıyı SNC ile güvenli iletişim için yapılandırmak için:

1. libsapcrypto.so ve sapgenpse dosyalarını kapsayıcıyı oluşturduğunuz sisteme aktarın.

2. Hem özel hem de ortak anahtarlar dahil olmak üzere istemci sertifikasını kapsayıcıyı oluşturduğunuz sisteme aktarın.

   İstemci sertifikası ve anahtarı .p12, .pfx veya Base64 .crt ve .key biçiminde olabilir.

3. Sunucu sertifikasını (yalnızca ortak anahtar) kapsayıcıyı oluşturduğunuz sisteme aktarın.

   Sunucu sertifikası Base64 .crt biçiminde olmalıdır.

4. İstemci sertifikası bir kuruluş sertifika yetkilisi tarafından verildiyse, veren CA ve kök CA sertifikalarını kapsayıcıyı oluşturduğunuz sisteme aktarın.

5. Microsoft Sentinel GitHub deposundan başlangıç betiğini alın:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   

6. Yürütülebilir hale getirmek için betiğin izinlerini değiştirin:

   chmod +x ./sapcon-sentinel-kickstart.sh
   

Daha fazla bilgi için bkz . SAP uygulamaları için Microsoft Sentinel veri bağlayıcısı aracısı için Kickstart dağıtım betiği başvurusu.

SAP PAHI tablo izlemeyi iyileştirme (önerilen)

SAP PAHI tablosunun izlenmesiyle ilgili en iyi sonuçlar için, systemconfig.json dosyasını düzenlemek üzere açın ve bölümünün altında [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) hem hem PAHI_INCREMENTAL hem de PAHI_FULL parametrelerini etkinleştirin.

Daha fazla bilgi için bkz . Systemconfig.json dosya başvurusu ve PAHI tablosunun düzenli aralıklarla güncelleştirildiğini doğrulama.

Bağlantıyı ve sistem durumunu denetleme

SAP veri bağlayıcısı aracısını dağıttığınızda, aracınızın durumunu ve bağlantısını denetleyin. Daha fazla bilgi için bkz . SAP sistemlerinizin sistem durumunu ve rolünü izleme.

Sonraki adım

Bağlayıcı dağıtıldıktan sonra SAP uygulamaları içeriği için Microsoft Sentinel çözümünü dağıtmaya devam edin: