Microsoft Sentinel for SAP アプリケーション データ コネクタ エージェントの Kickstart デプロイ スクリプト リファレンス

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

この記事では、Microsoft Sentinel for SAP アプリケーション データ コネクタ エージェントのデプロイに使用される kickstart スクリプトで使用可能な構成可能なパラメーターのリファレンスを提供します。

詳細については、「SAP データ コネクタ エージェントをホストしているコンテナーをデプロイして構成する」を参照してください。

この記事の内容は、SAP BASIS チームを対象としています。

シークレットの保存場所

パラメーター名: --keymode

パラメーター値: kvmikvsicfgf

必須: いいえ。 kvmi は、既定で指定されていると見なされます。

説明: シークレット (ユーザー名、パスワード、ログ分析 ID、共有キー) をローカル構成ファイルまたは Azure Key Vault に格納するかどうかを指定します。 また、Azure Key Vault に対する認証を行う際に、VM の Azure システム割り当てマネージド ID か Microsoft Entra 登録済みアプリケーション ID のどちらを使用するかも制御します。

kvmi に設定すると、シークレットの格納には Azure Key Vault が使用され、Azure Key Vault に対する認証は仮想マシンの Azure システム割り当てマネージド ID を使用して行われます。

kvsi に設定すると、シークレットの格納には Azure Key Vault が使用され、Azure Key Vault に対する認証は Microsoft Entra 登録済みアプリケーション ID を使用して行われます。 kvsi モードを使用するには、--appid--appsecret、および--tenantidの値が必要です。

cfgfに設定すると、ローカルに格納されている構成ファイルを使用してシークレットが格納されます。

ABAP サーバー接続モード

パラメーター名: --connectionmode

パラメーター値: abapmserv

必須: いいえ。 指定されていない場合は、既定値は abap です。

説明: データ コレクター エージェントを ABAP サーバーに直接接続するか、メッセージ サーバー経由で接続するかを定義します。 abapを使用して、--abapserverパラメーターを使用して定義できる名前の ABAP サーバーにエージェントを直接接続します。 事前に名前を定義しないと、スクリプトによって名前の入力が求められます。 メッセージ サーバーを介して接続する場合は mserv を使用します。この場合、--messageserverhost--messageserverport--logongroup パラメーターを指定する必要があります

構成フォルダーの場所

パラメーター名: --configpath

パラメーター値: <path>

必須: いいえ。指定されない場合は /opt/sapcon/<SID> が想定されます。

説明: 既定では、kickstart は構成ファイル、メタデータの場所を /opt/sapcon/<SID>に初期化します。 構成とメタデータに別の場所を設定するには、--configpath パラメーターを使用します。

ABAP サーバー アドレス

パラメーター名: --abapserver

パラメーター値: <servername>

必須: いいえ。 パラメーターが指定されておらず、 ABAP サーバー接続モード パラメーターが abapに設定されている場合、スクリプトによってサーバーのホスト名/IP アドレスの入力が求められます。

説明: 接続モードが abapに設定されている場合にのみ使用されます。このパラメーターには、接続先の ABAP サーバーの完全修飾ドメイン名 (FQDN)、短い名前、または IP アドレスが含まれます。

システムのインスタンス番号

パラメーター名: --systemnr

パラメーター値: <system number>

必須: いいえ。 指定しない場合、ユーザーはシステム番号の入力を求められます。

説明: 接続先の SAP システム インスタンス番号を指定します。

システム ID

パラメーター名: --sid

パラメーター値: <SID>

必須: いいえ。 指定しない場合、ユーザーはシステム ID の入力を求められます。

説明: 接続先の SAP システム ID を指定します。

クライアント番号

パラメーター名: --clientnumber

パラメーター値: <client number>

必須: いいえ。 指定しない場合、ユーザーはクライアント番号の入力を求められます。

説明: 接続先のクライアント番号を指定します。

メッセージ サーバー ホスト

パラメーター名: --messageserverhost

パラメーター値: <servername>

必須: はい (ABAP サーバー接続モードmserv に設定されている場合)。

説明: 接続先のメッセージ サーバーのホスト名/IP アドレスを指定します。 ABAP サーバー接続モードmserv に設定されている場合にのみ使用できます。

メッセージ サーバーのポート

パラメーター名: --messageserverport

パラメーター値: <portnumber>

必須: はい (ABAP サーバー接続モードmserv に設定されている場合)。

説明: 接続先のメッセージ サーバーのサービス名 (ポート) を指定します。 ABAP サーバー接続モードmserv に設定されている場合にのみ使用できます。

ログオン グループ

パラメーター名: --logongroup

パラメーター値: <logon group>

必須: はい (ABAP サーバー接続モードmserv に設定されている場合)。

説明: メッセージ サーバーに接続するときに使用するサインイン グループを指定します。 ABAP サーバー接続モードmserv に設定されている場合にのみ使用できます。 ログオン グループ名にスペースが含まれている場合は、--logongroup "my logon group" の例のように二重引用符で囲んで渡す必要があります。

ログオン ユーザー名

パラメーター名: --sapusername

パラメーター値: <username>

必須: いいえ。 指定しない場合、認証に SNC (X.509) を使用 場合 ユーザー名の入力を求められます。

説明: ABAP サーバーに対する認証に使用されるユーザー名。

ログオン パスワード

パラメーター名: --sappassword

パラメーター値: <password>

必須: いいえ。 指定しない場合、ユーザーは認証に SNC (X.509) を使用 場合 パスワードの入力を求められます。 パスワード入力はマスクされます。

説明: ABAP サーバーに対する認証に使用されるパスワード。

NetWeaver SDK ファイルの場所

パラメーター名: --sdk

パラメーター値: <filename>

必須: いいえ。 スクリプトは、現在のフォルダー内の nwrfc*.zip ファイルの検索を試みます。 見つからない場合は、有効な NetWeaver SDK アーカイブ ファイルを指定するように求められます。

説明: NetWeaver SDK ファイル パス。 データ コレクターが動作するには、有効な SDK が必要です。 詳細については、「 SAP の前提条件を参照してください。

エンタープライズ アプリケーション ID

パラメーター名: --appid

パラメーター値: <guid>

必須: はい (シークレットの保存場所kvsi に設定されている場合)。

説明: Azure Key Vault 認証モードが kvsi に設定されている場合、キー コンテナーへの認証は、 enterprise アプリケーション (サービス プリンシパル) ID を使用して行われます。 このパラメーターで、アプリケーション ID を指定します。

エンタープライズ アプリケーション シークレット

パラメーター名: --appsecret

パラメーター値: <secret>

必須: はい (シークレットの保存場所kvsi に設定されている場合)。

説明: Azure Key Vault 認証モードが kvsi に設定されている場合、キー コンテナーへの認証は、 enterprise アプリケーション (サービス プリンシパル) ID を使用して行われます。 このパラメーターで、アプリケーション シークレットを指定します。

テナント ID

パラメーター名: --tenantid

パラメーター値: <guid>

必須: はい (シークレットの保存場所kvsi に設定されている場合)。

説明: Azure Key Vault 認証モードが kvsi に設定されている場合、キー コンテナーへの認証は、 enterprise アプリケーション (サービス プリンシパル) ID を使用して行われます。 このパラメーターは、Microsoft Entra テナント ID を指定します。

Key Vault 名

パラメーター名: --kvaultname

パラメーター値: <key vaultname>

必須: いいえ。 Secret ストレージの場所kvsiまたはkvmiに設定されている場合、指定されていない場合は、スクリプトによって値の入力が求められます。

説明: Secret ストレージの場所kvsi または kvmiに設定されている場合は、キー コンテナー名 (FQDN 形式) をここに入力する必要があります。

Log Analytics ワークスペース ID

パラメーター名: --loganalyticswsid

パラメーター値: <id>

必須: いいえ。 指定しない場合、スクリプトはワークスペース ID の入力を求めます。

説明:データ コレクターがデータを送信する Log Analytics ワークスペース ID を します。 ワークスペース ID を見つけるには、Azure portalで Log Analytics ワークスペースを見つけます。Microsoft Sentinel を開き、[構成] セクションで [設定] を選択し、[ワークスペース設定] を選択してから、[エージェント管理] を選択します。

Log Analytics のキー

パラメーター名: --loganalyticskey

パラメーター値: <key>

必須: いいえ。 指定しない場合は、スクリプトによってワークスペース キーの入力が求められます。 入力はマスクされます。

説明: データ コレクターがデータを送信する Log Analytics ワークスペースのプライマリ キーまたはセカンダリ キー。 プライマリまたはセカンダリ キーを見つけるには、Azure portalで Log Analytics ワークスペースを見つけます。Microsoft Sentinel を開き、[構成] セクションで [設定] を選択し、[ワークスペース設定] を選択してから、[エージェント管理] を選択します。

認証に X.509 (SNC) を使用する

パラメーター名: --use-snc

パラメーター値: なし

必須: いいえ。 指定しない場合は、認証にユーザー名とパスワードが使用されます。 指定した場合、--cryptolib--sapgenpse--client-cert--client-key または --client-pfx--client-pfx-passwd のいずれかの組み合わせ、および --server-cert、さらに特定の場合には --cacert スイッチが必要です。

説明: ユーザー名/パスワード認証ではなく、ABAP サーバーへの接続に X.509 認証を使用することを指定します。 詳細については、「セキュリティで保護された接続に SNC を使用するようにシステムを構成する」を参照してください。

SAP 暗号化ライブラリのパス

パラメーター名: --cryptolib

パラメーター値: <sapcryptolibfilename>

必須: はい (--use-snc が指定された場合)。

説明: SAP 暗号化ライブラリ (libsapcrypto.so) の場所とファイル名。

SAPGENPSE ツールのパス

パラメーター名: --sapgenpse

パラメーター値: <sapgenpsefilename>

必須: はい (--use-snc が指定された場合)。

説明: PSE ファイルと SSO 資格情報の作成と管理のための sapgenpse ツールの場所とファイル名。

クライアント証明書の公開キーのパス

パラメーター名: --client-cert

パラメーター値: <client certificate filename>

必須: はい( --use-snc and 証明書が .crt/.key base-64 形式の場合)。

説明: base-64 クライアントパブリック証明書の場所とファイル名。 クライアント証明書が .pfx 形式の場合は、代わりに --client-pfx スイッチを使用します。

クライアント証明書の秘密キーのパス

パラメーター名: --client-key

パラメーター値: <client key filename>

必須: はい (--use-snc が指定され、かつキーが .crt/.key base-64 形式の場合)。

説明: Base-64 クライアント秘密キーの場所とファイル名。 クライアント証明書が .pfx 形式の場合は、代わりに --client-pfx スイッチを使用します。

発行元/ルート証明機関証明書

パラメーター名: --cacert

パラメーター値: <trusted ca cert>

必須: はい (--use-snc が指定され、かつ証明書がエンタープライズ証明機関によって発行されている場合)。

説明: 証明書が自己署名されている場合は、発行元 CA がないため、検証する必要がある信頼チェーンはありません。

証明書がエンタープライズ CA によって発行された場合、発行元 CA 証明書と上位にあるすべての CA 証明書を検証する必要があります。 信頼チェーン内の CA ごとに --cacert スイッチの個別インスタンスを使用し、エンタープライズ証明機関の公開証明書の完全なファイル名を指定します。

クライアント PFX 証明書のパス

パラメーター名: --client-pfx

パラメーター値: <pfx filename>

Required: はい ( --use-snc and キーが .pfx/.p12 形式の場合)。

説明: pfx クライアント証明書の場所とファイル名。

クライアント PFX 証明書のパスワード

パラメーター名: --client-pfx-passwd

パラメーター値: <password>

必須; はい (--use-snc が使用され、証明書が .pfx/.p12 形式であり、証明書がパスワードで保護されている場合)。

説明: PFX/P12 ファイル パスワード。

サーバー証明書

パラメーター名: --server-cert

パラメーター値: <server certificate filename>

必須: はい (--use-snc が使用されている場合)。

説明:ABAP サーバー証明書の完全なパスと名前を します。

HTTP プロキシ サーバーの URL

パラメーター名: --http-proxy

パラメーター値: <proxy url>

必須: いいえ

説明: Microsoft Azure サービスへの接続を直接確立できないため、プロキシ サーバー経由の接続が必要なコンテナーには、コンテナーのプロキシ URL を定義するための --http-proxy スイッチも必要です。 プロキシ URL の形式は http://hostname:port

ホスト ベースのネットワーク

パラメーター名: --hostnetwork

必須: いいえ。

説明: hostnetwork スイッチが指定されている場合、エージェントはホスト ベースのネットワーク構成を使用します。 これにより、場合によっては内部 DNS 解決の問題を解決できます。

すべてのプロンプトを確認する

パラメーター名: --confirm-all-prompts

パラメーター値: なし

必須: いいえ

説明: --confirm-all-prompts スイッチが指定されている場合、スクリプトはユーザーの確認のために一時停止せず、ユーザー入力が必要な場合にのみプロンプトを表示します。 ゼロタッチ展開には、 --confirm-all-prompts スイッチを使用します。

コンテナーのプレビュー ビルドを使用する

パラメーター名: --preview

パラメーター値: なし

必須: いいえ

説明: 既定では、コンテナーデプロイ kickstart スクリプトは、 :latest タグを持つコンテナーをデプロイします。 パブリック プレビュー機能は、 :latest-preview タグに発行されます。 コンテナーのデプロイ スクリプトでコンテナーのパブリック プレビュー バージョンを使用するには、 --preview スイッチを指定します。

関連するコンテンツ

詳細については、以下を参照してください: