Distribuera en SAP-dataanslutningsagent från kommandoraden

Den här artikeln innehåller kommandoradsalternativ för att distribuera en SAP-dataanslutningsagent. För vanliga distributioner rekommenderar vi att du använder portalen i stället för kommandoraden, eftersom dataanslutningsagenter som installeras via kommandoraden endast kan hanteras via kommandoraden.

Men om du använder en konfigurationsfil för att lagra dina autentiseringsuppgifter i stället för Azure Key Vault, eller om du är en avancerad användare som vill distribuera dataanslutningen manuellt, till exempel i ett Kubernetes-kluster, använder du procedurerna i den här artikeln i stället.

Du kan köra flera dataanslutningsagenter på en enda dator, men vi rekommenderar att du börjar med en enda, övervakar prestanda och sedan ökar antalet anslutningsappar långsamt. Vi rekommenderar också att ditt säkerhetsteam utför den här proceduren med hjälp av SAP BASIS-teamet .

Obs!

Den här artikeln är endast relevant för dataanslutningsagenten och är inte relevant för sap-agentlös dataanslutning.

Viktigt

Alla Microsoft Sentinel funktioner kommer att dras tillbaka officiellt i Azure som drivs av 21Vianet-regionen den 18 augusti 2026, enligt tillkännagivandet som publicerades av 21Vianet. På grund av den kommande tillbakadragningen kan kunderna inte längre registrera nya prenumerationer på tjänsten.

Vi rekommenderar att kunderna samarbetar med sina kontorepresentanter för Microsoft Azure som drivs av 21Vianet för att utvärdera effekten av denna tillbakadragning på deras egna åtgärder.

Förhandskrav

Mer information finns i SAP-dokumentationen och Komma igång med SAP SNC för RFC-integreringar – SAP-bloggen.

Distribuera dataanslutningsagenten med hjälp av en hanterad identitet eller ett registrerat program

Den här proceduren beskriver hur du skapar en ny agent och ansluter den till ditt SAP-system via kommandoraden, autentiserar med en hanterad identitet eller ett Microsoft Entra ID registrerat program.

Så här distribuerar du din dataanslutningsagent:

  1. Ladda ned och kör distributionsstartskriptet:

    • Använd något av följande kommandoalternativ för en hanterad identitet:

      • För det Azure offentliga kommersiella molnet:

        wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh

      • För Microsoft Azure som drivs av 21Vianet lägger du till --cloud mooncake i slutet av det kopierade kommandot.

      • För Azure Government – USA lägger du till --cloud fairfax i slutet av det kopierade kommandot.

    • För ett registrerat program använder du följande kommando för att ladda ned distributionsstartskriptet från Microsoft Sentinel GitHub-lagringsplats och markera det som körbart:

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
chmod +x ./sapcon-sentinel-kickstart.sh

      Kör skriptet, ange program-ID, hemlighet ("lösenord"), klient-ID och nyckelvalvsnamn som du kopierade i föregående steg. Till exempel:

      ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>

    • Om du vill konfigurera en säker SNC-konfiguration anger du följande basparametrar:

      • --use-snc
      • --cryptolib <path to sapcryptolib.so>
      • --sapgenpse <path to sapgenpse>
      • --server-cert <path to server certificate public key>

      Om klientcertifikatet är i .crt - eller .key-format använder du följande växlar:

      • --client-cert <path to client certificate public key>
      • --client-key <path to client certificate private key>

      Om klientcertifikatet har formatet .pfx eller .p12 använder du följande växlar:

      • --client-pfx <pfx filename>
      • --client-pfx-passwd <password>

      Om klientcertifikatet har utfärdats av en företagscertifikatutfärdare lägger du till följande växel för varje certifikatutfärdare i förtroendekedjan:

      • --cacert <path to ca certificate>

      Till exempel:

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
chmod +x ./sapcon-sentinel-kickstart.sh    --use-snc     --cryptolib /home/azureuser/libsapcrypto.so     --sapgenpse /home/azureuser/sapgenpse     --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt    --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt

    Skriptet uppdaterar OS-komponenterna, installerar Azure CLI- och Docker-programvara och andra nödvändiga verktyg (jq, netcat, curl) och frågar efter konfigurationsparametervärden. Ange extra parametrar i skriptet för att minimera antalet frågor eller anpassa containerdistributionen. Mer information om tillgängliga kommandoradsalternativ finns i Referens för Kickstart-skript.

  2. Följ anvisningarna på skärmen för att ange sap- och nyckelvalvets information och slutföra distributionen. När distributionen är klar visas ett bekräftelsemeddelande:

    The process has been successfully completed, thank you!

    Anteckna Docker-containernamnet i skriptutdata. Om du vill se listan över Docker-containrar på den virtuella datorn kör du:

    docker ps -a

    Du använder namnet på docker-containern i nästa steg.

  3. Distribution av SAP-dataanslutningsagenten kräver att du beviljar agentens VM-identitet med specifika behörigheter till Log Analytics-arbetsytan som är aktiverad för Microsoft Sentinel, med hjälp av rollerna Microsoft Sentinel Business Applications Agent Operator och Reader.

    Om du vill köra kommandot i det här steget måste du vara resursgruppsägare på Log Analytics-arbetsytan som är aktiverad för Microsoft Sentinel. Om du inte är resursgruppsägare på arbetsytan kan den här proceduren också utföras senare.

    Tilldela rollerna Microsoft Sentinel Business Applications Agent Operator och Reader till den virtuella datorns identitet:

    1. Hämta agent-ID:t genom att köra följande kommando och ersätta <container_name> platshållaren med namnet på docker-containern som du skapade med kickstart-skriptet:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+

      Ett agent-ID som returneras kan till exempel vara 234fba02-3b34-4c55-8c0e-e6423ceb405b.

    2. Tilldela rollerna Microsoft Sentinel Business Applications Agent Operator och Reader genom att köra följande kommandon:

    az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>

az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>

    Ersätt platshållarvärden på följande sätt:

    Platshållare Värde
    <OBJ_ID> Objekt-ID för den virtuella datorns identitet.

    Så här hittar du objekt-ID:t för den virtuella datorns identitet i Azure:
    - För en hanterad identitet visas objekt-ID:t på den virtuella datorns identitetssida .
    - För tjänstens huvudnamn går du till Företagsprogram i Azure. Välj Alla program och välj sedan den virtuella datorn. Objekt-ID:t visas på sidan Översikt .
    <SUB_ID> Prenumerations-ID:t för log analytics-arbetsytan är aktiverat för Microsoft Sentinel
    <RESOURCE_GROUP_NAME> Resursgruppens namn för log analytics-arbetsytan har aktiverats för Microsoft Sentinel
    <WS_NAME> Namnet på din Log Analytics-arbetsyta som är aktiverad för Microsoft Sentinel
    <AGENT_IDENTIFIER> Agent-ID:t visas när kommandot har körts i föregående steg.

  4. Om du vill konfigurera Docker-containern så att den startar automatiskt kör du följande kommando och ersätter <container-name> platshållaren med namnet på containern:

    docker update --restart unless-stopped <container-name>

Distributionsproceduren genererar en systemconfig.json fil som innehåller konfigurationsinformationen för SAP-dataanslutningsagenten. Filen finns i katalogen på den /sapcon-app/sapcon/config/system virtuella datorn.

Distribuera dataanslutningsappen med hjälp av en konfigurationsfil

Azure Key Vault är den rekommenderade metoden för att lagra dina autentiseringsuppgifter och konfigurationsdata. Om du inte kan använda Azure Key Vault beskriver den här proceduren hur du kan distribuera agentcontainern för dataanslutningsappen med hjälp av en konfigurationsfil i stället.

Så här distribuerar du din dataanslutningsagent:

  1. Skapa en virtuell dator där agenten ska distribueras.

  2. Överför SAP NetWeaver SDK till den dator där du vill installera agenten.

  3. Kör följande kommandon för att ladda ned kickstartskriptet för distributionen från Microsoft Sentinel GitHub-lagringsplats och markera det som körbart:

    wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
chmod +x ./sapcon-sentinel-kickstart.sh

  4. Kör skriptet:

    ./sapcon-sentinel-kickstart.sh --keymode cfgf

    Skriptet uppdaterar OS-komponenterna, installerar Azure CLI- och Docker-programvara och andra nödvändiga verktyg (jq, netcat, curl) och frågar efter konfigurationsparametervärden. Ange extra parametrar till skriptet efter behov för att minimera antalet frågor eller anpassa containerdistributionen. Mer information finns i referensen för Kickstart-skript.

  5. Följ anvisningarna på skärmen för att ange den begärda informationen och slutföra distributionen. När distributionen är klar visas ett bekräftelsemeddelande:

    The process has been successfully completed, thank you!

    Anteckna Docker-containernamnet i skriptutdata. Om du vill se listan över Docker-containrar på den virtuella datorn kör du:

    docker ps -a

    Du använder namnet på docker-containern i nästa steg.

  6. Distribution av SAP-dataanslutningsagenten kräver att du beviljar agentens VM-identitet med specifika behörigheter till Log Analytics-arbetsytan som är aktiverad för Microsoft Sentinel, med hjälp av rollerna Microsoft Sentinel Business Applications Agent Operator och Reader.

    Om du vill köra kommandona i det här steget måste du vara resursgruppsägare på din arbetsyta. Om du inte är resursgruppsägare på din arbetsyta kan det här steget också utföras senare.

    Tilldela rollerna Microsoft Sentinel Business Applications Agent Operator och Reader till den virtuella datorns identitet:

    1. Hämta agent-ID:t genom att köra följande kommando och ersätta <container_name> platshållaren med namnet på docker-containern som du skapade med Kickstart-skriptet:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'

      Ett agent-ID som returneras kan till exempel vara 234fba02-3b34-4c55-8c0e-e6423ceb405b.

    2. Tilldela rollerna Microsoft Sentinel Business Applications Agent Operator och Reader genom att köra följande kommandon:

      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>

az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>

      Ersätt platshållarvärden på följande sätt:

      Platshållare Värde
      <OBJ_ID> Objekt-ID för den virtuella datorns identitet.

      Så här hittar du objekt-ID:t för den virtuella datorns identitet i Azure: För en hanterad identitet visas objekt-ID:t på den virtuella datorns identitetssida. För tjänstens huvudnamn går du till Företagsprogram i Azure. Välj Alla program och välj sedan den virtuella datorn. Objekt-ID:t visas på sidan Översikt .
      <SUB_ID> Prenumerations-ID:t för Log Analytics-arbetsytan har aktiverats för Microsoft Sentinel
      <RESOURCE_GROUP_NAME> Resursgruppens namn för log analytics-arbetsytan har aktiverats för Microsoft Sentinel
      <WS_NAME> Namnet på din Log Analytics-arbetsyta som är aktiverad för Microsoft Sentinel
      <AGENT_IDENTIFIER> Agent-ID:t visas när kommandot har körts i föregående steg.

  7. Kör följande kommando för att konfigurera Docker-containern så att den startar automatiskt.

    docker update --restart unless-stopped <container-name>

Distributionsproceduren genererar en systemconfig.json fil som innehåller konfigurationsinformationen för SAP-dataanslutningsagenten. Filen finns i katalogen på den /sapcon-app/sapcon/config/system virtuella datorn.

Förbereda kickstartskriptet för säker kommunikation med SNC

Den här proceduren beskriver hur du förbereder distributionsskriptet för att konfigurera inställningar för säker kommunikation med DITT SAP-system med hjälp av SNC. Om du använder SNC måste du utföra den här proceduren innan du distribuerar dataanslutningsagenten.

Så här konfigurerar du containern för säker kommunikation med SNC:

  1. Överför libsapcrypto.so - och sapgenpse-filerna till det system där du skapar containern.

  2. Överför klientcertifikatet, inklusive både privata och offentliga nycklar till det system där du skapar containern.

    Klientcertifikatet och nyckeln kan vara i formatet .p12, .pfx eller Base64 .crt och .key .

  3. Överför servercertifikatet (endast offentlig nyckel) till det system där du skapar containern.

    Servercertifikatet måste vara i Base64 .crt-format .

  4. Om klientcertifikatet har utfärdats av en företagscertifikatutfärdare överför du certifikatutfärdare och rotcertifikatutfärdare till det system där du skapar containern.

  5. Hämta kickstartskriptet från Microsoft Sentinel GitHub-lagringsplatsen:

    wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh

  6. Ändra skriptets behörigheter så att det blir körbart:

    chmod +x ./sapcon-sentinel-kickstart.sh

Mer information finns i Referens för Kickstart-distributionsskript för Microsoft Sentinel för SAP-programdataanslutningsagenten.

För optimala resultat vid övervakning av SAP PAHI-tabellen öppnar du filen systemconfig.json för redigering och under [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) avsnittet aktiverar du både parametrarna PAHI_FULLPAHI_INCREMENTAL och .

Mer information finns i Systemconfig.json filreferens och Kontrollera att PAHI-tabellen uppdateras med jämna mellanrum.

Kontrollera anslutning och hälsa

När du har distribuerat SAP-dataanslutningsagenten kontrollerar du agentens hälsa och anslutning. Mer information finns i Övervaka hälsotillståndet och rollen för dina SAP-system.

Nästa steg

När anslutningsappen har distribuerats fortsätter du med att distribuera Microsoft Sentinel lösning för SAP-programinnehåll:

Aktivera SAP-identifieringar och skydd mot hot

  • Last updated on