Distribuer en SAP-datakoblingsagent fra kommandolinjen

Denne artikkelen inneholder kommandolinjealternativer for distribusjon av en SAP-datakoblingsagent. For vanlige distribusjoner anbefaler vi at du bruker portalen i stedet for kommandolinjen, siden datakoblingsagenter som er installert via kommandolinjen, bare kan administreres via kommandolinjen.

Hvis du imidlertid bruker en konfigurasjonsfil til å lagre legitimasjonen i stedet for Azure Key Vault, eller hvis du er en avansert bruker som ønsker å distribuere datakoblingen manuelt, for eksempel i en Kubernetes-klynge, bruker du prosedyrene i denne artikkelen i stedet.

Selv om du kan kjøre flere datakoblingsagenter på én enkelt maskin, anbefaler vi at du bare starter med én, overvåker ytelsen og øker antall koblinger sakte. Vi anbefaler også at sikkerhetsteamet utfører denne prosedyren med hjelp fra SAP BASIS-teamet .

Forutsetninger

• Før du distribuerer datakoblingen, må du sørge for å opprette en virtuell maskin og konfigurere tilgang til legitimasjonen din.

• Hvis du bruker SNC for sikre tilkoblinger, må du kontrollere at SAP-systemet er riktig konfigurert, og deretter klargjøre kickstart-skriptet for sikker kommunikasjon med SNC før du distribuerer datakoblingsagenten.

Hvis du vil ha mer informasjon, kan du se SAP-dokumentasjonen og Komme i gang med SAP SNC for RFC-integreringer – SAP-blogg.

Distribuer datakoblingsagenten ved hjelp av en administrert identitet eller et registrert program

Denne fremgangsmåten beskriver hvordan du oppretter en ny agent og kobler den til SAP-systemet via kommandolinjen, godkjenner med en administrert identitet eller et Microsoft Entra ID registrert program.

• Hvis du bruker SNC, må du først sørge for at du er ferdig med å klargjøre kickstart-skriptet for sikker kommunikasjon med SNC .

• Hvis du bruker en konfigurasjonsfil til å lagre legitimasjonen, kan du se Distribuere datakoblingen ved hjelp av en konfigurasjonsfil i stedet.

Slik distribuerer du datakoblingsagenten:

1. Last ned og kjør kickstart-skriptet for distribusjon:

   • Bruk ett av følgende kommandoalternativer for en administrert identitet:

     • For den Azure offentlige kommersielle skyen:

       wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
       

     • For Microsoft Azure drevet av 21Vianet, legger --cloud mooncake du til på slutten av den kopierte kommandoen.

     • Legg til --cloud fairfax på slutten av den kopierte kommandoen for Azure Government – USA.

   • For et registrert program bruker du følgende kommando til å laste ned kickstart-skriptet for distribusjon fra Microsoft Sentinel GitHub-repositoriet og merke det som kjørbart:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh
     

     Kjør skriptet, angi program-ID, hemmelighet («passord»), leier-ID og nøkkelhvelvnavn som du kopierte i de forrige trinnene. Eksempel:

     ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>
     

   • Hvis du vil konfigurere sikker SNC-konfigurasjon, angir du følgende grunnleggende parametere:

     • --use-snc
     • --cryptolib <path to sapcryptolib.so>
     • --sapgenpse <path to sapgenpse>
     • --server-cert <path to server certificate public key>

     Hvis klientsertifikatet er i CRT - eller .key-format , bruker du følgende brytere:

     • --client-cert <path to client certificate public key>
     • --client-key <path to client certificate private key>

     Hvis klientsertifikatet er i PFX - eller P12-format , bruker du følgende brytere:

     • --client-pfx <pfx filename>
     • --client-pfx-passwd <password>

     Hvis klientsertifikatet ble utstedt av en virksomhetsinstans, legger du til følgende bryter for hver sertifiseringsinstans i klareringskjeden:

     • --cacert <path to ca certificate>

     Eksempel:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh    --use-snc     --cryptolib /home/azureuser/libsapcrypto.so     --sapgenpse /home/azureuser/sapgenpse     --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt    --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt
     

   Skriptet oppdaterer OS-komponentene, installerer Azure CLI og Docker-programvare og andre nødvendige verktøy (jq, netcat, curl), og ber deg om konfigurasjonsparameterverdier. Angi ekstra parametere til skriptet for å minimere antall ledetekster eller tilpasse beholderdistribusjonen. Hvis du vil ha mer informasjon om tilgjengelige kommandolinjealternativer, kan du se Kickstart-skriptreferanse.

2. Følg instruksjonene på skjermen for å angi SAP- og nøkkelhvelvdetaljer og fullføre distribusjonen. Når distribusjonen er fullført, vises en bekreftelsesmelding:

   The process has been successfully completed, thank you!
   

   Noter navnet på Docker-beholderen i skriptutdataene. Hvis du vil se listen over docker-beholdere på den virtuelle maskinen, kjører du:

   docker ps -a
   

   Du bruker navnet på docker-beholderen i neste trinn.

3. Distribusjon av SAP-datakoblingsagenten krever at du gir agentens VM-identitet spesifikke tillatelser til Log Analytics-arbeidsområdet som er aktivert for Microsoft Sentinel, ved hjelp av rollene Microsoft Sentinel Business Applications Agent Operator og Reader.

   Hvis du vil kjøre kommandoen i dette trinnet, må du være ressursgruppeeier i arbeidsområdet Log Analytics som er aktivert for Microsoft Sentinel. Hvis du ikke er ressursgruppeeier i arbeidsområdet, kan denne prosedyren også utføres senere.

   Tilordne rollene agent for Microsoft Sentinel business applications agent og leser til vm-ens identitet:

   1. Hent agent-ID-en ved å kjøre følgende kommando, og <container_name> erstatte plassholderen med navnet på docker-beholderen som du hadde opprettet med kickstart-skriptet:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
      

      En agent-ID som returneres, kan for eksempel være 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Tilordne rollene Microsoft Sentinel Agent for forretningsprogrammer og Leser ved å kjøre følgende kommandoer:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Erstatt plassholderverdier på følgende måte:

   Plassholder	Verdi
   <OBJ_ID>	Objekt-ID-en for vm-identiteten din. Slik finner du objekt-ID-en for vm-identiteten i Azure: - Objekt-ID-en er oppført på identitetssiden til den virtuelle maskinen for en administrert identitet. - Hvis du vil ha en tjenestekontohaver, kan du gå til Enterprise-programmet i Azure. Velg Alle programmer , og velg deretter den virtuelle maskinen. Objekt-ID-en vises på Oversikt-siden .
   <SUB_ID>	Abonnements-ID-en for log analytics-arbeidsområdet er aktivert for Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	Ressursgruppenavnet for Log Analytics-arbeidsområdet som er aktivert for Microsoft Sentinel
   <WS_NAME>	Navnet på log analytics-arbeidsområdet som er aktivert for Microsoft Sentinel
   <AGENT_IDENTIFIER>	Agent-ID-en vises etter å ha kjørt kommandoen i forrige trinn.

4. Hvis du vil konfigurere Docker-beholderen til å starte automatisk, kjører du følgende kommando og erstatter plassholderen <container-name> med navnet på beholderen:

   docker update --restart unless-stopped <container-name>
   

Distribusjonsprosedyren genererer en systemconfig.json fil som inneholder konfigurasjonsdetaljene for SAP-datakoblingsagenten. Filen er plassert i katalogen /sapcon-app/sapcon/config/system på den virtuelle maskinen.

Distribuer datakoblingen ved hjelp av en konfigurasjonsfil

Azure Key Vault er den anbefalte metoden for å lagre godkjenningslegitimasjonen og konfigurasjonsdataene. Hvis du er hindret i å bruke Azure Key Vault, beskriver denne prosedyren hvordan du kan distribuere beholderen for datakoblingsagenten ved hjelp av en konfigurasjonsfil i stedet.

• Hvis du bruker SNC, må du først sørge for at du er ferdig med å klargjøre kickstart-skriptet for sikker kommunikasjon med SNC .

• Hvis du bruker en administrert identitet eller et registrert program, kan du se Distribuere datakoblingsagenten ved hjelp av en administrert identitet eller et registrert program i stedet.

Slik distribuerer du datakoblingsagenten:

1. Opprett en virtuell maskin der agenten skal distribueres.

2. Overfør SAP NetWeaver SDK-en til maskinen der du vil installere agenten.

3. Kjør følgende kommandoer for å laste ned kickstart-skriptet for distribusjon fra Microsoft Sentinel GitHub-repositoriet, og merk det som kjørbart:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   chmod +x ./sapcon-sentinel-kickstart.sh
   

4. Kjør skriptet:

   ./sapcon-sentinel-kickstart.sh --keymode cfgf
   

   Skriptet oppdaterer OS-komponentene, installerer Azure CLI og Docker-programvare og andre nødvendige verktøy (jq, netcat, curl), og ber deg om konfigurasjonsparameterverdier. Angi ekstra parametere til skriptet etter behov for å minimere antall ledetekster eller tilpasse beholderdistribusjonen. Hvis du vil ha mer informasjon, kan du se kickstart-skriptreferansen.

5. Følg instruksjonene på skjermen for å angi de forespurte detaljene og fullføre distribusjonen. Når distribusjonen er fullført, vises en bekreftelsesmelding:

   The process has been successfully completed, thank you!
   

   Noter navnet på Docker-beholderen i skriptutdataene. Hvis du vil se listen over docker-beholdere på den virtuelle maskinen, kjører du:

   docker ps -a
   

   Du bruker navnet på docker-beholderen i neste trinn.

6. Distribusjon av SAP-datakoblingsagenten krever at du gir agentens VM-identitet spesifikke tillatelser til Log Analytics-arbeidsområdet som er aktivert for Microsoft Sentinel, ved hjelp av rollene Microsoft Sentinel Business Applications Agent Operator og Reader.

   Hvis du vil kjøre kommandoene i dette trinnet, må du være ressursgruppeeier på arbeidsområdet. Hvis du ikke er ressursgruppeeier i arbeidsområdet, kan dette trinnet også utføres senere.

   Tilordne rollene agent for Microsoft Sentinel business applications agent og leser til vm-ens identitet:

   1. Hent agent-ID-en ved å kjøre følgende kommando, og <container_name> erstatte plassholderen med navnet på docker-beholderen du opprettet med Kickstart-skriptet:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'
      

      En agent-ID som returneres, kan for eksempel være 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Tilordne rollene Microsoft Sentinel Agent for forretningsprogrammer og Leser ved å kjøre følgende kommandoer:

      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      
      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      

      Erstatt plassholderverdier på følgende måte:

      Plassholder	Verdi
      <OBJ_ID>	Objekt-ID-en for vm-identiteten din. Slik finner du objekt-ID-en for vm-identiteten i Azure: Objekt-ID-en er oppført på identitetssiden for den virtuelle maskinen for en administrert identitet. Hvis du vil ha en tjenestekontohaver, kan du gå til Virksomhetsprogram i Azure. Velg Alle programmer , og velg deretter den virtuelle maskinen. Objekt-ID-en vises på Oversikt-siden .
      <SUB_ID>	Abonnements-ID-en for Log Analytics-arbeidsområdet aktivert for Microsoft Sentinel
      <RESOURCE_GROUP_NAME>	Ressursgruppenavnet for Log Analytics-arbeidsområdet som er aktivert for Microsoft Sentinel
      <WS_NAME>	Navnet på log analytics-arbeidsområdet som er aktivert for Microsoft Sentinel
      <AGENT_IDENTIFIER>	Agent-ID-en vises etter å ha kjørt kommandoen i forrige trinn.

7. Kjør følgende kommando for å konfigurere Docker-beholderen til å starte automatisk.

   docker update --restart unless-stopped <container-name>
   

Distribusjonsprosedyren genererer en systemconfig.json fil som inneholder konfigurasjonsdetaljene for SAP-datakoblingsagenten. Filen er plassert i katalogen /sapcon-app/sapcon/config/system på den virtuelle maskinen.

Klargjøre kickstart-skriptet for sikker kommunikasjon med SNC

Denne fremgangsmåten beskriver hvordan du klargjør distribusjonsskriptet for å konfigurere innstillinger for sikker kommunikasjon med SAP-systemet ved hjelp av SNC. Hvis du bruker SNC, må du utføre denne prosedyren før du distribuerer datakoblingsagenten.

Slik konfigurerer du beholderen for sikker kommunikasjon med SNC:

1. Overfør filene libsapcrypto.so og sapgenpse til systemet der du oppretter beholderen.

2. Overfør klientsertifikatet, inkludert både private og offentlige nøkler, til systemet der du oppretter beholderen.

   Klientsertifikatet og nøkkelen kan være i formatet .p12, .pfx eller Base64 .crt og .key .

3. Overfør serversertifikatet (bare fellesnøkkelen) til systemet der du oppretter beholderen.

   Serversertifikatet må være i Formatet Base64 .crt .

4. Hvis klientsertifikatet ble utstedt av en foretakssertifiseringsinstans, overfører du de utstedende sertifiseringsinstans- og rotsertifiseringsinstanssertifikatene til systemet der du oppretter beholderen.

5. Få kickstart-skriptet fra Microsoft Sentinel GitHub-repositoriet:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   

6. Endre skriptets tillatelser for å gjøre det kjørbart:

   chmod +x ./sapcon-sentinel-kickstart.sh
   

Hvis du vil ha mer informasjon, kan du se referanse for kickstart-distribusjonsskript for Microsoft Sentinel for datakoblingsagenten for SAP-programmer.

Optimaliser overvåking av SAP PAHI-tabell (anbefales)

Hvis du vil ha optimale resultater når du overvåker SAP PAHI-tabellen, åpner du systemconfig.json-filen for redigering og aktiverer både PAHI_FULL parameterne og under [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) inndelingenPAHI_INCREMENTAL.

Hvis du vil ha mer informasjon, kan du se Systemconfig.json filreferanse ogkontrollere at PAHI-tabellen oppdateres med jevne mellomrom.

Kontroller tilkobling og tilstand

Når du har distribuert SAP-datakoblingsagenten, må du kontrollere agentens tilstand og tilkobling. Hvis du vil ha mer informasjon, kan du se Overvåke tilstanden og rollen til SAP-systemene.

Neste trinn:

Når koblingen er distribuert, fortsetter du å distribuere Microsoft Sentinel løsning for SAP-programinnhold: