Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Denne artikel indeholder kommandolinjeindstillinger til installation af en SAP-dataconnectoragent. I forbindelse med typiske installationer anbefaler vi, at du bruger portalen i stedet for kommandolinjen, da de dataconnectoragenter, der er installeret via kommandolinjen, kun kan administreres via kommandolinjen.
Men hvis du bruger en konfigurationsfil til at gemme dine legitimationsoplysninger i stedet for Azure Key Vault, eller hvis du er en avanceret bruger, der vil udrulle dataconnectoren manuelt, f.eks. i en Kubernetes-klynge, skal du i stedet bruge procedurerne i denne artikel.
Selvom du kan køre flere dataconnectoragenter på en enkelt maskine, anbefaler vi, at du starter med kun én, overvåger ydeevnen og derefter øger antallet af forbindelser langsomt. Vi anbefaler også, at dit sikkerhedsteam udfører denne procedure med hjælp fra SAP BASIS-teamet .
Bemærk!
Denne artikel er kun relevant for dataconnectoragenten og er ikke relevant for den SAP-agentløse dataconnector.
Vigtigt!
Alle Microsoft Sentinel funktioner udgår officielt i Azure drevet af 21Vianet-regionen den 18. august 2026 pr. meddelelse sendt af 21Vianet. På grund af denne kommende udfasning kan kunderne ikke længere onboarde nye abonnementer til tjenesten.
Vi anbefaler, at kunderne samarbejder med deres kontorepræsentanter for Microsoft Azure drevet af 21Vianet for at vurdere virkningen af denne tilbagetrækning på deres egne drift.
Forudsætninger
Før du installerer din dataconnector, skal du sørge for at oprette en virtuel maskine og konfigurere adgang til dine legitimationsoplysninger.
Hvis du bruger SNC til sikre forbindelser, skal du sørge for, at dit SAP-system er konfigureret korrekt, og derefter forberede kickstartscriptet til sikker kommunikation med SNC , før du installerer dataconnectoragenten.
Du kan finde flere oplysninger i SAP-dokumentationen og Introduktion til SAP SNC til RFC-integrationer – SAP-blog.
Udrul dataconnectoragenten ved hjælp af en administreret identitet eller et registreret program
I denne procedure beskrives det, hvordan du opretter en ny agent og forbinder den til dit SAP-system via kommandolinjen, godkender med en administreret identitet eller et Microsoft Entra ID registreret program.
Hvis du bruger SNC, skal du sørge for, at du har fuldført Forbered kickstart-scriptet til sikker kommunikation med SNC først.
Hvis du bruger en konfigurationsfil til at gemme dine legitimationsoplysninger, skal du se Installér dataconnectoren ved hjælp af en konfigurationsfil i stedet.
Sådan udruller du din dataconnectoragent:
Download og kør installationsstartsscriptet:
Brug en af følgende kommandoindstillinger til en administreret identitet:
Til den Azure offentlige kommercielle cloud:
wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.shFor Microsoft Azure, der drives af 21Vianet, skal du tilføje
--cloud mooncakeslutningen af den kopierede kommando.For Azure Government – USA skal du føje
--cloud fairfaxtil slutningen af den kopierede kommando.
I forbindelse med et registreret program skal du bruge følgende kommando til at downloade installationsstartsscriptet fra Microsoft Sentinel GitHub-lageret og markere det som eksekverbart:
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh chmod +x ./sapcon-sentinel-kickstart.shKør scriptet, og angiv det program-id, den hemmelighed ("adgangskoden"), lejer-id og key vault-navn, som du kopierede i de forrige trin. Det kan f.eks. være:
./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>Hvis du vil konfigurere sikker SNC-konfiguration, skal du angive følgende basisparametre:
--use-snc--cryptolib <path to sapcryptolib.so>--sapgenpse <path to sapgenpse>--server-cert <path to server certificate public key>
Hvis klientcertifikatet er i .crt - eller .key-format , skal du bruge følgende parametre:
--client-cert <path to client certificate public key>--client-key <path to client certificate private key>
Hvis klientcertifikatet er i .pfx - eller .p12-format , skal du bruge følgende parametre:
--client-pfx <pfx filename>--client-pfx-passwd <password>
Hvis klientcertifikatet blev udstedt af et virksomhedsnøglecenter, skal du tilføje følgende parameter for hvert nøglecenter i tillidskæden:
--cacert <path to ca certificate>
Det kan f.eks. være:
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh chmod +x ./sapcon-sentinel-kickstart.sh --use-snc --cryptolib /home/azureuser/libsapcrypto.so --sapgenpse /home/azureuser/sapgenpse --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt
Scriptet opdaterer OS-komponenterne, installerer Azure CLI- og Docker-softwaren og andre påkrævede hjælpeprogrammer (jq, netcat, curl) og beder dig om konfigurationsparameterværdier. Angiv ekstra parametre til scriptet for at minimere antallet af prompts eller for at tilpasse installationen af objektbeholderen. Du kan få flere oplysninger om tilgængelige kommandolinjeindstillinger under Kickstart-scriptreference.
Følg vejledningen på skærmen for at angive oplysninger om din SAP og key vault og fuldføre udrulningen. Når installationen er fuldført, vises der en bekræftelsesmeddelelse:
The process has been successfully completed, thank you!Notér navnet på Docker-objektbeholderen i scriptoutputtet. Hvis du vil se en liste over dockerobjektbeholdere på din VM, skal du køre:
docker ps -aDu skal bruge navnet på dockerobjektbeholderen i næste trin.
Hvis du installerer SAP-dataconnectoragenten, kræver det, at du tildeler din agents VM-identitet med bestemte tilladelser til det Log Analytics-arbejdsområde, der er aktiveret for Microsoft Sentinel, ved hjælp af rollerne Microsoft Sentinel agent for virksomhedsprogrammer og læser.
Hvis du vil køre kommandoen i dette trin, skal du være ressourcegruppeejer i det Log Analytics-arbejdsområde, der er aktiveret til Microsoft Sentinel. Hvis du ikke er ejer af en ressourcegruppe i dit arbejdsområde, kan denne procedure også udføres senere.
Tildel rollerne Microsoft Sentinel Business Applications Agent Operator og Reader til vm'ens identitet:
Hent agent-id'et ved at køre følgende kommando og erstatte pladsholderen
<container_name>med navnet på den dockerobjektbeholder, du har oprettet med kickstart-scriptet:docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+Et agent-id, der returneres, kan f.eks. være
234fba02-3b34-4c55-8c0e-e6423ceb405b.Tildel rollerne Microsoft Sentinel Business Applications Agent ogReader ved at køre følgende kommandoer:
az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER> az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>Erstat pladsholderværdier på følgende måde:
Pladsholder Værdi <OBJ_ID>Id'et for dit VM-identitetsobjekt.
Sådan finder du id'et for din VM-identitet i Azure:
- For en administreret identitet vises objekt-id'et på vm'ens identitetsside .
- For en tjenesteprincipal skal du gå til Virksomhedsprogram i Azure. Vælg Alle programmer, og vælg derefter din VM. Objekt-id'et vises på siden Oversigt .<SUB_ID>Abonnements-id'et for dit Log Analytics-arbejdsområde, der er aktiveret for Microsoft Sentinel <RESOURCE_GROUP_NAME>Navnet på ressourcegruppen for dit Log Analytics-arbejdsområde, der er aktiveret for Microsoft Sentinel <WS_NAME>Navnet på dit Log Analytics-arbejdsområde, der er aktiveret for Microsoft Sentinel <AGENT_IDENTIFIER>Det agent-id, der vises, efter at kommandoen er kørt i det forrige trin. Hvis du vil konfigurere Docker-objektbeholderen til at starte automatisk, skal du køre følgende kommando og erstatte pladsholderen
<container-name>med navnet på din objektbeholder:docker update --restart unless-stopped <container-name>
Udrulningsproceduren genererer en systemconfig.json fil, der indeholder konfigurationsoplysningerne for SAP-dataconnectoragenten. Filen er placeret i /sapcon-app/sapcon/config/system mappen på din VM.
Installér dataconnectoren ved hjælp af en konfigurationsfil
Azure Key Vault er den anbefalede metode til lagring af dine legitimationsoplysninger til godkendelse og konfigurationsdata. Hvis du er forhindret i at bruge Azure Key Vault, beskrives det i denne procedure, hvordan du i stedet kan udrulle dataconnectorens objektbeholder ved hjælp af en konfigurationsfil.
Hvis du bruger SNC, skal du sørge for, at du har fuldført Forbered kickstart-scriptet til sikker kommunikation med SNC først.
Hvis du bruger en administreret identitet eller et registreret program, skal du se Installér dataconnectoragenten ved hjælp af en administreret identitet eller et registreret program i stedet.
Sådan udruller du din dataconnectoragent:
Opret en virtuel maskine, som agenten skal installeres på.
Overfør SAP NetWeaver SDK til den computer, hvor du vil installere agenten.
Kør følgende kommandoer for at downloade Kickstart-installationsscriptet fra Microsoft Sentinel GitHub-lageret, og markér det som eksekverbart:
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh chmod +x ./sapcon-sentinel-kickstart.shKør scriptet:
./sapcon-sentinel-kickstart.sh --keymode cfgfScriptet opdaterer OS-komponenterne, installerer Azure CLI- og Docker-softwaren og andre påkrævede hjælpeprogrammer (jq, netcat, curl) og beder dig om konfigurationsparameterværdier. Angiv ekstra parametre til scriptet efter behov for at minimere antallet af prompts eller for at tilpasse installationen af objektbeholderen. Du kan få flere oplysninger i referencen til Kickstart-scriptet.
Følg vejledningen på skærmen for at angive de ønskede oplysninger og fuldføre udrulningen. Når installationen er fuldført, vises der en bekræftelsesmeddelelse:
The process has been successfully completed, thank you!Notér navnet på Docker-objektbeholderen i scriptoutputtet. Hvis du vil se en liste over dockerobjektbeholdere på din VM, skal du køre:
docker ps -aDu skal bruge navnet på dockerobjektbeholderen i næste trin.
Hvis du installerer SAP-dataconnectoragenten, kræver det, at du tildeler din agents VM-identitet med bestemte tilladelser til det Log Analytics-arbejdsområde, der er aktiveret for Microsoft Sentinel, ved hjælp af rollerne Microsoft Sentinel agent for virksomhedsprogrammer og læser.
Hvis du vil køre kommandoerne i dette trin, skal du være ejer af ressourcegruppen i dit arbejdsområde. Hvis du ikke er ejer af en ressourcegruppe i dit arbejdsområde, kan dette trin også udføres senere.
Tildel rollerne Microsoft Sentinel Business Applications Agent Operator og Reader til vm'ens identitet:
Hent agent-id'et ved at køre følgende kommando og erstatte pladsholderen
<container_name>med navnet på dockerobjektbeholderen, som du har oprettet med Kickstart-scriptet:docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'Et agent-id, der returneres, kan f.eks. være
234fba02-3b34-4c55-8c0e-e6423ceb405b.Tildel rollerne Microsoft Sentinel Business Applications Agent ogReader ved at køre følgende kommandoer:
az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER> az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>Erstat pladsholderværdier på følgende måde:
Pladsholder Værdi <OBJ_ID>Id'et for dit VM-identitetsobjekt.
Sådan finder du id'et for dit VM-identitetsobjekt i Azure: For en administreret identitet vises objekt-id'et på vm'ens identitetsside. For en tjenesteprincipal skal du gå til Virksomhedsprogram i Azure. Vælg Alle programmer, og vælg derefter din VM. Objekt-id'et vises på siden Oversigt .<SUB_ID>Abonnements-id'et for dit Log Analytics-arbejdsområde, der er aktiveret for Microsoft Sentinel <RESOURCE_GROUP_NAME>Navnet på ressourcegruppen for dit Log Analytics-arbejdsområde, der er aktiveret for Microsoft Sentinel <WS_NAME>Navnet på dit Log Analytics-arbejdsområde, der er aktiveret for Microsoft Sentinel <AGENT_IDENTIFIER>Det agent-id, der vises, efter at kommandoen er kørt i det forrige trin.
Kør følgende kommando for at konfigurere Docker-objektbeholderen til at starte automatisk.
docker update --restart unless-stopped <container-name>
Udrulningsproceduren genererer en systemconfig.json fil, der indeholder konfigurationsoplysningerne for SAP-dataconnectoragenten. Filen er placeret i /sapcon-app/sapcon/config/system mappen på din VM.
Forbered kickstart-scriptet til sikker kommunikation med SNC
I denne procedure beskrives det, hvordan du forbereder installationsscriptet til at konfigurere indstillinger for sikker kommunikation med dit SAP-system ved hjælp af SNC. Hvis du bruger SNC, skal du udføre denne procedure, før du installerer dataconnectoragenten.
Sådan konfigurerer du objektbeholderen til sikker kommunikation med SNC:
Overfør libsapcrypto.so - og sapgenpse-filerne til det system, hvor du opretter objektbeholderen.
Overfør klientcertifikatet, herunder både private og offentlige nøgler, til det system, hvor du opretter objektbeholderen.
Klientcertifikatet og -nøglen kan være i formatet .p12, .pfx eller Base64 .crt og .key .
Overfør servercertifikatet (kun den offentlige nøgle) til det system, hvor du opretter objektbeholderen.
Servercertifikatet skal være i Base64 .crt-format .
Hvis klientcertifikatet er udstedt af et virksomhedsnøglecenter, skal du overføre det udstedende nøglecenter og rodnøglecentercertifikater til det system, hvor du opretter objektbeholderen.
Få kickstart-scriptet fra GitHub-lageret Microsoft Sentinel:
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.shRediger scriptets tilladelser for at gøre det eksekverbart:
chmod +x ./sapcon-sentinel-kickstart.sh
Du kan få flere oplysninger under Reference til Kickstart-installationsscript for Microsoft Sentinel til SAP-programdataconnectoragent.
Optimer overvågning af SAP PAHI-tabel (anbefales)
Hvis du vil have optimale resultater i forbindelse med overvågning af SAP PAHI-tabellen, skal du åbne filen systemconfig.json til redigering og aktivere både parametrene PAHI_FULLPAHI_INCREMENTAL og under [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) afsnittet .
Du kan finde flere oplysninger under Systemconfig.json filreference og Kontrollér, at PAHI-tabellen opdateres med jævne intervaller.
Kontrollér forbindelsen og tilstanden
Når du har udrullet SAP-dataconnectoragenten, skal du kontrollere din agents tilstand og forbindelse. Du kan få flere oplysninger under Overvåg tilstanden og rollen for dine SAP-systemer.
Næste trin
Når connectoren er installeret, skal du fortsætte med at installere Microsoft Sentinel løsning til indhold i SAP-programmer: