SAP-tietoyhdistinagentin käyttöönotto komentoriviltä

Tässä artikkelissa on komentorivivaihtoehtoja SAP-tietoyhdistinagentin käyttöönottoon. Tyypillisiä käyttöönottoja varten suosittelemme, että käytät portaalia komentorivin sijaan, koska komentorivin kautta asennettuja tietoyhdistimien agentteja voidaan hallita vain komentorivin kautta.

Jos käytät määritystiedostoa tunnistetietojen tallentamiseen Azure Key Vault sijaan tai jos olet edistynyt käyttäjä, joka haluaa ottaa tietoliittimen käyttöön manuaalisesti, esimerkiksi Kubernetes-klusterissa, käytä tämän artikkelin toimintosarjoja.

Vaikka voit suorittaa useita tietoliittimien agentteja yhdessä koneessa, suosittelemme, että aloitat vain yhdestä, valvot suorituskykyä ja kasvatat sitten liittimien määrää hitaasti. Suosittelemme myös, että suojaustiimisi suorittaa tämän toiminnon SAP BASIS - tiimin avulla.

Ennakkovaatimukset

• Ennen kuin otat tietoyhdistimen käyttöön, varmista, että luot näennäiskoneen ja määrität tunnistetietoihisi käyttöoikeudet.

• Jos käytät SNC:tä suojattuihin yhteyksiin, varmista, että SAP-järjestelmä on määritetty oikein, ja valmistele sitten kickstart-komentosarja suojattua viestintää varten SNC :n kanssa ennen tietoyhteysagentin käyttöönottoa.

Lisätietoja on SAP-dokumentaatiossa ja SAP SNC:n käytön aloittaminen RFC-integrointeja varten – SAP-blogi.

Ota käyttöön tietoyhdistinagentti käyttämällä hallittua käyttäjätietoa tai rekisteröityä sovellusta

Näissä ohjeissa kuvataan, miten voit luoda uuden agentin ja yhdistää sen SAP-järjestelmääsi komentorivin kautta ja todentaa sen hallituilla käyttäjätiedoilla tai Microsoft Entra ID rekisteröidyllä sovelluksella.

• Jos käytät SNC:tä, varmista, että olet ensin valmistellut kickstart-komentosarjan suojattua viestintää varten SNC:n kanssa .

• Jos käytät määritystiedostoa tunnistetietojen tallentamiseen, katso tietoliittimen käyttöönotto määritystiedoston avulla .

Ota käyttöön tietoyhdistinagenttisi:

1. Lataa ja suorita käyttöönoton kickstart-komentosarja:

   • Jos kyseessä on hallittu käyttäjätieto, käytä jotakin seuraavista komentovaihtoehdoista:

     • Azure julkisen kaupallisen pilvipalvelun osalta:

       wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
       

     • Jos Microsoft Azure jota 21Vianet käyttää, lisää --cloud mooncake kopioidun komennon loppuun.

     • Jos kyseessä on Azure Government – Yhdysvallat, lisää --cloud fairfax kopioidun komennon loppuun.

   • Rekisteröidyssä sovelluksessa voit ladata käyttöönoton kickstart-komentosarjan Microsoft Sentinel GitHub-säilöstä ja merkitä sen suoritettavaksi seuraavalla komennolla:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh
     

     Suorita komentosarja, joka määrittää sovellustunnuksen, salasanan (salasana), vuokraajan tunnuksen ja avainsäilön nimen, jotka kopioit edellisissä vaiheissa. Esimerkki:

     ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>
     

   • Voit määrittää suojatun SNC-määrityksen määrittämällä seuraavat perusparametrit:

     • --use-snc
     • --cryptolib <path to sapcryptolib.so>
     • --sapgenpse <path to sapgenpse>
     • --server-cert <path to server certificate public key>

     Jos asiakasvarmenne on .crt - tai .key-muodossa , käytä seuraavia valitsinta:

     • --client-cert <path to client certificate public key>
     • --client-key <path to client certificate private key>

     Jos asiakasvarmenne on .pfx - tai .p12-muodossa , käytä seuraavia valitsinta:

     • --client-pfx <pfx filename>
     • --client-pfx-passwd <password>

     Jos asiakasvarmenteen on myöntänyt yrityksen varmenteiden myöntäjä, lisää seuraava valitsin kullekin luottamusketjun varmenteiden myöntäjälle:

     • --cacert <path to ca certificate>

     Esimerkki:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh    --use-snc     --cryptolib /home/azureuser/libsapcrypto.so     --sapgenpse /home/azureuser/sapgenpse     --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt    --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt
     

   Komentosarja päivittää käyttöjärjestelmän osat, asentaa Azure CLI- ja Docker-ohjelmiston sekä muita tarvittavia apuohjelmia (jq, netcat, curl) ja pyytää määritysparametriarvoja. Lisää komentosarjaan ylimääräisiä parametreja kehotteiden määrän pienentämiseksi tai säilön käyttöönoton mukauttamiseksi. Lisätietoja käytettävissä olevista komentorivin asetuksista on kohdassa Kickstart-komentosarjaviittaus.

2. Anna SAP- ja key Vault -tiedot näytön ohjeiden mukaisesti ja viimeistele käyttöönotto. Kun käyttöönotto on valmis, näkyviin tulee vahvistusviesti:

   The process has been successfully completed, thank you!
   

   Kirjoita muistiin Docker-säilön nimi komentosarjan tulosteessa. Jos haluat tarkastella docker-säilöjen luetteloa näennäiskoneessa, suorita:

   docker ps -a
   

   Käytät docker-säilön nimeä seuraavassa vaiheessa.

3. SAP-tietoyhdistinagentin käyttöönotto edellyttää, että myönnät agentin näennäiskoneen käyttäjätiedot tietyin oikeuksilla Microsoft Sentinel käyttöön otettuun Log Analytics -työtilaan käyttämällä Microsoft Sentinel Business Applications Agent Operator- ja Reader-rooleja.

   Jotta voit suorittaa komennon tässä vaiheessa, sinun on oltava resurssiryhmän omistaja log analytics -työtilassa, joka on käytössä Microsoft Sentinel. Jos et ole työtilan resurssiryhmän omistaja, tämä toimintosarja voidaan suorittaa myös myöhemmin.

   Määritä Microsoft Sentinel Yrityssovellusten agenttioperaattori ja Lukija-roolit näennäiskoneen käyttäjätietoihin:

   1. Hae agentin tunnus suorittamalla seuraava komento ja korvaamalla <container_name> paikkamerkki kickstart-komentosarjalla luomasi docker-säilön nimellä:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
      

      Esimerkiksi palautettu agenttitunnus voi olla 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Määritä Microsoft Sentinel yrityssovellusten agenttioperaattorin ja lukijan roolit suorittamalla seuraavat komennot:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Korvaa paikkamerkkiarvot seuraavasti:

   Paikkamerkki	Arvo
   <OBJ_ID>	Näennäiskoneen käyttäjätietojen objektitunnus. Voit etsiä näennäiskoneen käyttäjätieto-objektitunnuksen Azure: - Jos kyseessä on hallittu käyttäjätieto, objektitunnus näkyy näennäiskoneen käyttäjätietosivulla . - Jos kyseessä on palvelun päänimi, siirry yrityssovellukseen Azure. Valitse Kaikki sovellukset ja valitse sitten näennäiskone. Objektitunnus näkyy Yleiskatsaus-sivulla .
   <SUB_ID>	Log Analytics -työtilan tilaustunnus on käytössä Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	Microsoft Sentinel käytössä olevan Log Analytics -työtilan resurssiryhmän nimi
   <WS_NAME>	Microsoft Sentinel käyttöönotetun Log Analytics -työtilasi nimi
   <AGENT_IDENTIFIER>	Agentin tunnus, joka näytetään komennon suorittamisen jälkeen edellisessä vaiheessa.

4. Määritä Docker-säilö käynnistymään automaattisesti suorittamalla seuraava komento ja korvaamalla <container-name> paikkamerkki säilön nimellä:

   docker update --restart unless-stopped <container-name>
   

Käyttöönottotoimintosarja luo systemconfig.json-tiedoston , joka sisältää SAP-tietoliitinagentin määritystiedot. Tiedosto sijaitsee näennäiskoneen hakemistossa /sapcon-app/sapcon/config/system .

Ota tietoyhdistin käyttöön määritystiedoston avulla

Azure Key Vault on suositeltu menetelmä todennustietojen ja määritystietojen tallentamiseen. Jos et voi käyttää Azure Key Vault, tässä ohjeessa kuvataan, miten voit ottaa tietoyhdistinagentin säilön käyttöön määritystiedoston avulla.

• Jos käytät SNC:tä, varmista, että olet ensin valmistellut kickstart-komentosarjan suojattua viestintää varten SNC:n kanssa .

• Jos käytät hallittua käyttäjätietoa tai rekisteröityä sovellusta, katso tietoyhdistinagentin käyttöönotto hallitun käyttäjätiedon tai rekisteröidyn sovelluksen avulla.

Ota käyttöön tietoyhdistinagenttisi:

1. Luo näennäiskone, jossa agentti otetaan käyttöön.

2. Siirrä SAP NetWeaver SDK koneeseen, johon haluat asentaa agentin.

3. Lataa Käyttöönoton Kickstart-komentosarja Microsoft Sentinel GitHub-säilöstä suorittamalla seuraavat komennot ja merkitse se suoritettavaksi:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   chmod +x ./sapcon-sentinel-kickstart.sh
   

4. Suorita komentosarja:

   ./sapcon-sentinel-kickstart.sh --keymode cfgf
   

   Komentosarja päivittää käyttöjärjestelmän osat, asentaa Azure CLI- ja Docker-ohjelmiston sekä muita tarvittavia apuohjelmia (jq, netcat, curl) ja pyytää määritysparametriarvoja. Anna komentosarjaan ylimääräisiä parametreja tarpeen mukaan kehotteiden määrän pienentämiseksi tai säilön käyttöönoton mukauttamiseksi. Lisätietoja on Kickstart-komentosarjan ohjeessa.

5. Anna pyydetyt tiedot ja suorita käyttöönotto loppuun noudattamalla näytön ohjeita. Kun käyttöönotto on valmis, näkyviin tulee vahvistusviesti:

   The process has been successfully completed, thank you!
   

   Kirjoita muistiin Docker-säilön nimi komentosarjan tulosteessa. Jos haluat tarkastella docker-säilöjen luetteloa näennäiskoneessa, suorita:

   docker ps -a
   

   Käytät docker-säilön nimeä seuraavassa vaiheessa.

6. SAP-tietoyhdistinagentin käyttöönotto edellyttää, että myönnät agentin näennäiskoneen käyttäjätiedot tietyin oikeuksilla Microsoft Sentinel käyttöön otettuun Log Analytics -työtilaan käyttämällä Microsoft Sentinel Business Applications Agent Operator- ja Reader-rooleja.

   Jotta voit suorittaa tämän vaiheen komennot, sinun on oltava työtilasi resurssiryhmän omistaja. Jos et ole työtilan resurssiryhmän omistaja, tämä vaihe voidaan suorittaa myös myöhemmin.

   Määritä Microsoft Sentinel Yrityssovellusten agenttioperaattori ja Lukija-roolit näennäiskoneen käyttäjätietoihin:

   1. Hae agentin tunnus suorittamalla seuraava komento ja korvaamalla <container_name> paikkamerkki Kickstart-komentosarjalla luomasi docker-säilön nimellä:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'
      

      Esimerkiksi palautettu agenttitunnus voi olla 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Määritä Microsoft Sentinel yrityssovellusten agenttioperaattorin ja lukijan roolit suorittamalla seuraavat komennot:

      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      
      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      

      Korvaa paikkamerkkiarvot seuraavasti:

      Paikkamerkki	Arvo
      <OBJ_ID>	Näennäiskoneen käyttäjätietojen objektitunnus. Jos haluat löytää näennäiskoneen käyttäjätieto-objektitunnuksen Azure: Jos kyseessä on hallittu käyttäjätieto, objektitunnus näkyy näennäiskoneen käyttäjätietosivulla. Jos kyseessä on palvelun päänimi, siirry yrityssovellukseen Azure. Valitse Kaikki sovellukset ja valitse sitten näennäiskone. Objektitunnus näkyy Yleiskatsaus-sivulla .
      <SUB_ID>	Log Analytics -työtilasi tilaustunnus, joka on otettu käyttöön Microsoft Sentinel
      <RESOURCE_GROUP_NAME>	Microsoft Sentinel käytössä olevan Log Analytics -työtilan resurssiryhmän nimi
      <WS_NAME>	Microsoft Sentinel käyttöönotetun Log Analytics -työtilasi nimi
      <AGENT_IDENTIFIER>	Agentin tunnus, joka näytetään komennon suorittamisen jälkeen edellisessä vaiheessa.

7. Määritä Docker-säilö käynnistymään automaattisesti suorittamalla seuraava komento.

   docker update --restart unless-stopped <container-name>
   

Käyttöönottotoimintosarja luo systemconfig.json-tiedoston , joka sisältää SAP-tietoliitinagentin määritystiedot. Tiedosto sijaitsee näennäiskoneen hakemistossa /sapcon-app/sapcon/config/system .

Kickstart-komentosarjan valmisteleminen suojattua viestintää varten SNC:n avulla

Näissä ohjeissa kuvataan, miten valmistellaan käyttöönottokomentosarja määrittämään suojatun tietoliikenteen asetukset SAP-järjestelmän kanssa SNC:n avulla. Jos käytät SNC:tä, sinun on suoritettava nämä toimet ennen tietoyhdistinagentin käyttöönottoa.

SNC:n suojatun tietoliikenteen säilön määrittäminen:

1. Siirrä libsapcrypto.so - ja sapgenpse-tiedostot järjestelmään, johon luot säilön.

2. Siirrä asiakasvarmenne, mukaan lukien sekä yksityiset että julkiset avaimet, järjestelmään, jossa luot säilön.

   Asiakasvarmenne ja avain voivat olla .p12-, .pfx- tai Base64 .crt-muodossa ja .key muodossa.

3. Siirrä palvelinvarmenne (vain julkinen avain) järjestelmään, johon luot säilön.

   Palvelinvarmenteen on oltava Base64 .crt-muodossa .

4. Jos asiakasvarmenteen on myöntänyt yrityksen varmenteiden myöntäjä, siirrä varmenteiden myöntäjän ja varmenteiden päämyöntäjän varmenteet järjestelmään, jossa luot säilön.

5. Hanki kickstart-komentosarja Microsoft Sentinel GitHub-säilöstä:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   

6. Muuta komentosarjan käyttöoikeuksia niin, että se tehdään suoritettavaksi:

   chmod +x ./sapcon-sentinel-kickstart.sh
   

Lisätietoja on artikkelissa Kickstart-käyttöönoton komentosarjaviittaus sap-sovellusten tietoliitinagentin Microsoft Sentinel.

SAP PAHI -taulukon seurannan optimointi (suositus)

Jos haluat optimaalisen tuloksen SAP PAHI -taulukon seurannassa, avaa systemconfig.json -tiedosto muokkausta varten ja osan alle [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) ottamalla sekä - että PAHI_FULL - PAHI_INCREMENTAL parametrit käyttöön.

Lisätietoja on kohdassa Systemconfig.json tiedostoviittaus ja Varmista, että PAHI-taulukkoa päivitetään säännöllisin väliajoin.

Tarkista liitettävyys ja kunto

Kun olet ottanut SAP-tietoliitinagentin käyttöön, tarkista agenttisi kunto ja yhteys. Lisätietoja on artikkelissa SAP-järjestelmien kunnon ja roolin valvonta.

Seuraavat vaiheet

Kun liitin on otettu käyttöön, ota käyttöön Microsoft Sentinel ratkaisu SAP-sovellusten sisällölle: