Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel bevat opdrachtregelopties voor het implementeren van een SAP-gegevensconnectoragent. Voor typische implementaties raden we u aan de portal te gebruiken in plaats van de opdrachtregel, omdat gegevensconnectoragents die via de opdrachtregel zijn geïnstalleerd, alleen via de opdrachtregel kunnen worden beheerd.
Als u echter een configuratiebestand gebruikt om uw referenties op te slaan in plaats van Azure Key Vault, of als u een ervaren gebruiker bent die de gegevensconnector handmatig wil implementeren, zoals in een Kubernetes-cluster, gebruikt u in plaats daarvan de procedures in dit artikel.
Hoewel u meerdere gegevensconnectoragents op één computer kunt uitvoeren, raden we u aan met slechts één te beginnen, de prestaties te bewaken en vervolgens het aantal connectors langzaam te verhogen. We raden uw beveiligingsteam ook aan deze procedure uit te voeren met behulp van het SAP BASIS-team .
Opmerking
Dit artikel is alleen relevant voor de gegevensconnectoragent en is niet relevant voor de SAP-gegevensconnector zonder agent.
Belangrijk
Alle Microsoft Sentinel functies worden officieel buiten gebruik gesteld in de Azure beheerd door de regio 21Vianet op 18 augustus 2026, volgens de aankondiging die is gepost door 21Vianet. Vanwege deze aanstaande buitengebruikstelling kunnen klanten geen nieuwe abonnementen meer onboarden voor de service.
We raden klanten aan samen te werken met hun accountvertegenwoordigers voor Microsoft Azure beheerd door 21Vianet om de impact van deze buitengebruikstelling op hun eigen activiteiten te beoordelen.
Vereisten
Voordat u uw gegevensconnector implementeert, moet u een virtuele machine maken en de toegang tot uw referenties configureren.
Als u SNC gebruikt voor beveiligde verbindingen, controleert u of uw SAP-systeem correct is geconfigureerd en bereidt u vervolgens het kickstartscript voor voor veilige communicatie met SNC voordat u de gegevensconnectoragent implementeert.
Zie de SAP-documentatie en Aan de slag met SAP SNC voor RFC-integraties - SAP-blog voor meer informatie.
De gegevensconnectoragent implementeren met behulp van een beheerde identiteit of geregistreerde toepassing
In deze procedure wordt beschreven hoe u een nieuwe agent maakt en deze verbindt met uw SAP-systeem via de opdrachtregel, waarbij u zich kunt verifiëren met een beheerde identiteit of een Microsoft Entra ID geregistreerde toepassing.
Als u SNC gebruikt, moet u ervoor zorgen dat u eerst Het kickstartscript voorbereiden voor veilige communicatie met SNC hebt voltooid.
Als u een configuratiebestand gebruikt om uw referenties op te slaan, raadpleegt u De gegevensconnector implementeren met behulp van een configuratiebestand .
Uw gegevensconnectoragent implementeren:
Download en voer het kickstartscript voor de implementatie uit:
Gebruik een van de volgende opdrachtopties voor een beheerde identiteit:
Voor de Azure openbare commerciële cloud:
wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.shVoor Microsoft Azure beheerd door 21Vianet, voegt u toe
--cloud mooncakeaan het einde van de gekopieerde opdracht.Voeg voor Azure Government - US toe
--cloud fairfaxaan het einde van de gekopieerde opdracht.
Voor een geregistreerde toepassing gebruikt u de volgende opdracht om het implementatie-kickstartscript te downloaden uit de Microsoft Sentinel GitHub-opslagplaats en deze als uitvoerbaar te markeren:
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh chmod +x ./sapcon-sentinel-kickstart.shVoer het script uit en geef de toepassings-id, het geheim (het 'wachtwoord'), de tenant-id en de naam van de sleutelkluis op die u in de vorige stappen hebt gekopieerd. Bijvoorbeeld:
./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>Als u een beveiligde SNC-configuratie wilt configureren, geeft u de volgende basisparameters op:
--use-snc--cryptolib <path to sapcryptolib.so>--sapgenpse <path to sapgenpse>--server-cert <path to server certificate public key>
Als het clientcertificaat de indeling .crt of .key heeft, gebruikt u de volgende schakelopties:
--client-cert <path to client certificate public key>--client-key <path to client certificate private key>
Als het clientcertificaat de indeling .pfx of .p12 heeft, gebruikt u de volgende schakelopties:
--client-pfx <pfx filename>--client-pfx-passwd <password>
Als het clientcertificaat is uitgegeven door een ondernemings-CA, voegt u de volgende switch toe voor elke CA in de vertrouwensketen:
--cacert <path to ca certificate>
Bijvoorbeeld:
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh chmod +x ./sapcon-sentinel-kickstart.sh --use-snc --cryptolib /home/azureuser/libsapcrypto.so --sapgenpse /home/azureuser/sapgenpse --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt
Het script werkt de onderdelen van het besturingssysteem bij, installeert de Azure CLI- en Docker-software en andere vereiste hulpprogramma's (jq, netcat, curl) en vraagt u om configuratieparameterwaarden. Geef extra parameters op voor het script om het aantal prompts te minimaliseren of om de containerimplementatie aan te passen. Zie Kickstart-scriptreferentie voor meer informatie over beschikbare opdrachtregelopties.
Volg de instructies op het scherm om de details van uw SAP- en sleutelkluis in te voeren en de implementatie te voltooien. Wanneer de implementatie is voltooid, wordt een bevestigingsbericht weergegeven:
The process has been successfully completed, thank you!Noteer de naam van de Docker-container in de scriptuitvoer. Voer de volgende opdracht uit om de lijst met Docker-containers op uw VM weer te geven:
docker ps -aIn de volgende stap gebruikt u de naam van de docker-container.
Voor het implementeren van de SAP-gegevensconnectoragent moet u de VM-identiteit van uw agent met specifieke machtigingen verlenen aan de Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel, met behulp van de rollen operator en lezer van Microsoft Sentinel Business Applications Agent.
Als u de opdracht in deze stap wilt uitvoeren, moet u eigenaar van een resourcegroep zijn in de Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel. Als u geen eigenaar van een resourcegroep voor uw werkruimte bent, kan deze procedure later ook worden uitgevoerd.
Wijs de rollen Operator en Lezervan de Microsoft Sentinel Business Applications Agent toe aan de identiteit van de VM:
Haal de agent-id op door de volgende opdracht uit te voeren, waarbij u de
<container_name>tijdelijke aanduiding vervangt door de naam van de Docker-container die u hebt gemaakt met het kickstartscript:docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+Een geretourneerde agent-id kan bijvoorbeeld zijn
234fba02-3b34-4c55-8c0e-e6423ceb405b.Wijs de rollen Microsoft Sentinel Business Applications Agent-operator en -lezer toe door de volgende opdrachten uit te voeren:
az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER> az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>Vervang tijdelijke aanduidingen als volgt:
Tijdelijke aanduiding Waarde <OBJ_ID>De object-id van uw VM-identiteit.
Ga als volgende te werk om de object-id van uw VM te vinden in Azure:
- Voor een beheerde identiteit wordt de object-id weergegeven op de pagina Identiteit van de VM.
- Ga voor een service-principal naar Bedrijfstoepassing in Azure. Selecteer Alle toepassingen en selecteer vervolgens uw VM. De object-id wordt weergegeven op de pagina Overzicht .<SUB_ID>De abonnements-id voor uw Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel <RESOURCE_GROUP_NAME>De naam van de resourcegroep voor uw Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel <WS_NAME>De naam van uw Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel <AGENT_IDENTIFIER>De agent-id die wordt weergegeven na het uitvoeren van de opdracht in de vorige stap. Als u wilt configureren dat de Docker-container automatisch wordt gestart, voert u de volgende opdracht uit, waarbij u de
<container-name>tijdelijke aanduiding vervangt door de naam van uw container:docker update --restart unless-stopped <container-name>
De implementatieprocedure genereert een systemconfig.json-bestand met de configuratiegegevens voor de SAP-gegevensconnectoragent. Het bestand bevindt zich in de /sapcon-app/sapcon/config/system map op uw VM.
De gegevensconnector implementeren met behulp van een configuratiebestand
Azure Key Vault is de aanbevolen methode om uw verificatiereferenties en configuratiegegevens op te slaan. Als u Azure Key Vault niet kunt gebruiken, wordt in deze procedure beschreven hoe u in plaats daarvan de agentcontainer voor de gegevensconnector kunt implementeren met behulp van een configuratiebestand.
Als u SNC gebruikt, moet u ervoor zorgen dat u eerst Het kickstartscript voorbereiden voor veilige communicatie met SNC hebt voltooid.
Als u een beheerde identiteit of geregistreerde toepassing gebruikt, raadpleegt u De gegevensconnectoragent implementeren met behulp van een beheerde identiteit of geregistreerde toepassing .
Uw gegevensconnectoragent implementeren:
Maak een virtuele machine waarop de agent moet worden geïmplementeerd.
Breng de SAP NetWeaver SDK over naar de computer waarop u de agent wilt installeren.
Voer de volgende opdrachten uit om het implementatie-Kickstart-script te downloaden vanuit de Microsoft Sentinel GitHub-opslagplaats en als uitvoerbaar te markeren:
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh chmod +x ./sapcon-sentinel-kickstart.shVoer het script uit:
./sapcon-sentinel-kickstart.sh --keymode cfgfHet script werkt de onderdelen van het besturingssysteem bij, installeert de Azure CLI- en Docker-software en andere vereiste hulpprogramma's (jq, netcat, curl) en vraagt u om configuratieparameterwaarden. Geef indien nodig extra parameters op voor het script om het aantal prompts te minimaliseren of om de containerimplementatie aan te passen. Zie de Referentie voor Kickstart-scripts voor meer informatie.
Volg de instructies op het scherm om de aangevraagde details in te voeren en de implementatie te voltooien. Wanneer de implementatie is voltooid, wordt een bevestigingsbericht weergegeven:
The process has been successfully completed, thank you!Noteer de naam van de Docker-container in de scriptuitvoer. Voer de volgende opdracht uit om de lijst met Docker-containers op uw VM weer te geven:
docker ps -aIn de volgende stap gebruikt u de naam van de docker-container.
Voor het implementeren van de SAP-gegevensconnectoragent moet u de VM-identiteit van uw agent met specifieke machtigingen verlenen aan de Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel, met behulp van de rollen operator en lezer van Microsoft Sentinel Business Applications Agent.
Als u de opdrachten in deze stap wilt uitvoeren, moet u de eigenaar van de resourcegroep voor uw werkruimte zijn. Als u geen eigenaar van de resourcegroep voor uw werkruimte bent, kan deze stap later ook worden uitgevoerd.
Wijs de rollen Operator en Lezervan de Microsoft Sentinel Business Applications Agent toe aan de identiteit van de VM:
Haal de agent-id op door de volgende opdracht uit te voeren, waarbij u de
<container_name>tijdelijke aanduiding vervangt door de naam van de docker-container die u hebt gemaakt met het Kickstart-script:docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'Een geretourneerde agent-id kan bijvoorbeeld zijn
234fba02-3b34-4c55-8c0e-e6423ceb405b.Wijs de rollen Microsoft Sentinel Business Applications Agent-operator en -lezer toe door de volgende opdrachten uit te voeren:
az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER> az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>Vervang tijdelijke aanduidingen als volgt:
Tijdelijke aanduiding Waarde <OBJ_ID>De object-id van uw VM-identiteit.
De object-id van uw VM-identiteit vinden in Azure: Voor een beheerde identiteit wordt de object-id weergegeven op de pagina Identiteit van de VM. Ga voor een service-principal naar Bedrijfstoepassing in Azure. Selecteer Alle toepassingen en selecteer vervolgens uw VM. De object-id wordt weergegeven op de pagina Overzicht .<SUB_ID>De abonnements-id voor uw Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel <RESOURCE_GROUP_NAME>De naam van de resourcegroep voor uw Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel <WS_NAME>De naam van uw Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel <AGENT_IDENTIFIER>De agent-id die wordt weergegeven na het uitvoeren van de opdracht in de vorige stap.
Voer de volgende opdracht uit om de Docker-container zo te configureren dat deze automatisch wordt gestart.
docker update --restart unless-stopped <container-name>
De implementatieprocedure genereert een systemconfig.json-bestand met de configuratiegegevens voor de SAP-gegevensconnectoragent. Het bestand bevindt zich in de /sapcon-app/sapcon/config/system map op uw VM.
Het kickstartscript voorbereiden voor veilige communicatie met SNC
In deze procedure wordt beschreven hoe u het implementatiescript voorbereidt voor het configureren van instellingen voor beveiligde communicatie met uw SAP-systeem met behulp van SNC. Als u SNC gebruikt, moet u deze procedure uitvoeren voordat u de gegevensconnectoragent implementeert.
De container configureren voor beveiligde communicatie met SNC:
Breng de libsapcrypto.so - en sapgenpse-bestanden over naar het systeem waar u de container maakt.
Breng het clientcertificaat, inclusief persoonlijke en openbare sleutels, over naar het systeem waar u de container maakt.
Het clientcertificaat en de sleutel kunnen de indeling .p12, .pfx of Base64 .crt en .key hebben.
Breng het servercertificaat (alleen openbare sleutel) over naar het systeem waar u de container maakt.
Het servercertificaat moet de crt-indeling Base64 hebben.
Als het clientcertificaat is uitgegeven door een certificeringsinstantie voor ondernemingen, moet u de verlenende CA- en basis-CA-certificaten overdragen naar het systeem waar u de container maakt.
Haal het kickstartscript op uit de Microsoft Sentinel GitHub-opslagplaats:
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.shWijzig de machtigingen van het script om het uitvoerbaar te maken:
chmod +x ./sapcon-sentinel-kickstart.sh
Zie Naslaginformatie over Kickstart-implementatiescripts voor de Microsoft Sentinel voor gegevensconnectoragent voor SAP-toepassingen voor meer informatie.
SAP PAHI-tabelbewaking optimaliseren (aanbevolen)
Voor optimale resultaten bij het bewaken van de SAP PAHI-tabel opent u het systemconfig.json-bestand voor bewerking en schakelt u onder de [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) sectie zowel de PAHI_FULL als de PAHI_INCREMENTAL parameters in.
Zie Systemconfig.json bestandsverwijzing enControleer of de PAHI-tabel regelmatig wordt bijgewerkt voor meer informatie.
Connectiviteit en status controleren
Nadat u de SAP-gegevensconnectoragent hebt geïmplementeerd, controleert u de status en connectiviteit van uw agent. Zie De status en rol van uw SAP-systemen bewaken voor meer informatie.
Volgende stap
Zodra de connector is geïmplementeerd, gaat u verder met het implementeren van Microsoft Sentinel oplossing voor inhoud van SAP-toepassingen: