Microsoft Sentinel for SAP アプリケーション データ コネクタ エージェントの Kickstart デプロイ スクリプト リファレンス

この記事では、Microsoft Sentinel for SAP アプリケーション データ コネクタ エージェントのデプロイに使用される kickstart スクリプトで使用可能な構成可能なパラメーターのリファレンスを提供します。

詳細については、「SAP データ コネクタ エージェントをホストしているコンテナーをデプロイして構成する」を参照してください。

この記事の内容は、SAP BASIS チームを対象としています。

シークレットの保存場所

パラメーター名: --keymode

パラメーター値: kvmi, , kvsicfgf

必須: いいえ。 kvmi は、既定で指定されていると見なされます。

説明: シークレット (ユーザー名、パスワード、ログ分析 ID、共有キー) をローカル構成ファイルまたは Azure Key Vault に格納するかどうかを指定します。 また、Azure Key Vault に対する認証を行う際に、VM の Azure システム割り当てマネージド ID か Microsoft Entra 登録済みアプリケーション ID のどちらを使用するかも制御します。

kvmi に設定すると、シークレットの格納には Azure Key Vault が使用され、Azure Key Vault に対する認証は仮想マシンの Azure システム割り当てマネージド ID を使用して行われます。

kvsi に設定すると、シークレットの格納には Azure Key Vault が使用され、Azure Key Vault に対する認証は Microsoft Entra 登録済みアプリケーション ID を使用して行われます。 モードのkvsi使用には、必要な値--appsecretと値--tenantidが必要--appidです。

に cfgf設定すると、ローカルに格納されている構成ファイルがシークレットの格納に使用されます。

ABAP サーバー接続モード

パラメーター名: --connectionmode

パラメーター値: abap, mserv

必須: いいえ。 指定されていない場合は、既定値は abap です。

説明: データ コレクター エージェントを ABAP サーバーに直接接続するか、メッセージ サーバー経由で接続するかを定義します。 パラメーターを使用して定義できる名前の ABAP サーバーにエージェントを--abapserver直接接続するために使用abapします。 事前に名前を定義しないと、スクリプトによって名前の入力が求められます。 メッセージ サーバーを介して接続する場合は mserv を使用します。この場合、--messageserverhost、--messageserverport、--logongroup パラメーターを指定する必要があります。

構成フォルダーの場所

パラメーター名: --configpath

パラメーター値: <path>

必須: いいえ。指定されない場合は /opt/sapcon/<SID> が想定されます。

説明: 既定では、kickstart は構成ファイル、メタデータの場所を初期化します /opt/sapcon/<SID>。 構成とメタデータに別の場所を設定するには、--configpath パラメーターを使用します。

ABAP サーバー アドレス

パラメーター名: --abapserver

パラメーター値: <servername>

必須: いいえ。 パラメーターが指定されておらず、ABAP サーバー接続モードパラメーターが設定abapされている場合、スクリプトによってサーバーのホスト名/IP アドレスの入力が求められます。

説明: 接続モードが設定 abapされている場合にのみ使用されます。このパラメーターには、接続先の ABAP サーバーの完全修飾ドメイン名 (FQDN)、短い名前、または IP アドレスが含まれます。

システムのインスタンス番号

パラメーター名: --systemnr

パラメーター値: <system number>

必須: いいえ。 指定しない場合、ユーザーはシステム番号の入力を求められます。

説明: 接続先の SAP システム インスタンス番号を指定します。

システム ID

パラメーター名: --sid

パラメーター値: <SID>

必須: いいえ。 指定しない場合、ユーザーはシステム ID の入力を求められます。

説明: 接続先の SAP システム ID を指定します。

クライアント番号

パラメーター名: --clientnumber

パラメーター値: <client number>

必須: いいえ。 指定しない場合、ユーザーはクライアント番号の入力を求められます。

説明: 接続先のクライアント番号を指定します。

メッセージ サーバー ホスト

パラメーター名: --messageserverhost

パラメーター値: <servername>

必須: はい (ABAP サーバー接続モードが mserv に設定されている場合)。

説明: 接続先のメッセージ サーバーのホスト名/IP アドレスを指定します。 ABAP サーバー接続モードが mserv に設定されている場合にのみ使用できます。

メッセージ サーバーのポート

パラメーター名: --messageserverport

パラメーター値: <portnumber>

必須: はい (ABAP サーバー接続モードが mserv に設定されている場合)。

説明: 接続先のメッセージ サーバーのサービス名 (ポート) を指定します。 ABAP サーバー接続モードが mserv に設定されている場合にのみ使用できます。

ログオン グループ

パラメーター名: --logongroup

パラメーター値: <logon group>

必須: はい (ABAP サーバー接続モードが mserv に設定されている場合)。

説明: メッセージ サーバーに接続するときに使用するサインイン グループを指定します。 ABAP サーバー接続モードが mserv に設定されている場合にのみ使用できます。 ログオン グループ名にスペースが含まれている場合は、--logongroup "my logon group" の例のように二重引用符で囲んで渡す必要があります。

ログオン ユーザー名

パラメーター名: --sapusername

パラメーター値: <username>

必須: いいえ。 指定しない場合、認証に SNC (X.509) を使用していない場合、ユーザーはユーザー名の入力を求められます。

説明: ABAP サーバーに対する認証に使用されるユーザー名。

ログオン パスワード

パラメーター名: --sappassword

パラメーター値: <password>

必須: いいえ。 指定しない場合、認証に SNC (X.509) を使用していない場合、ユーザーはパスワードの入力を求められます。 パスワード入力はマスクされます。

説明: ABAP サーバーに対する認証に使用されるパスワード。

NetWeaver SDK ファイルの場所

パラメーター名: --sdk

パラメーター値: <filename>

必須: いいえ。 スクリプトは、現在のフォルダー内の nwrfc*.zip ファイルの検索を試みます。 見つからない場合は、有効な NetWeaver SDK アーカイブ ファイルを指定するように求められます。

説明: NetWeaver SDK のファイル パス。 データ コレクターが動作するには、有効な SDK が必要です。 詳細については、SAP の前提条件を参照してください。

エンタープライズ アプリケーション ID

パラメーター名: --appid

パラメーター値: <guid>

必須: はい (シークレットの保存場所が kvsi に設定されている場合)。

説明: Azure Key Vault 認証モードが設定kvsiされている場合、キー コンテナーへの認証はエンタープライズ アプリケーション (サービス プリンシパル) ID を使用して行われます。 このパラメーターで、アプリケーション ID を指定します。

エンタープライズ アプリケーション シークレット

パラメーター名: --appsecret

パラメーター値: <secret>

必須: はい (シークレットの保存場所が kvsi に設定されている場合)。

説明: Azure Key Vault 認証モードが設定kvsiされている場合、キー コンテナーへの認証はエンタープライズ アプリケーション (サービス プリンシパル) ID を使用して行われます。 このパラメーターで、アプリケーション シークレットを指定します。

テナント ID

パラメーター名: --tenantid

パラメーター値: <guid>

必須: はい (シークレットの保存場所が kvsi に設定されている場合)。

説明: Azure Key Vault 認証モードが設定kvsiされている場合、キー コンテナーへの認証はエンタープライズ アプリケーション (サービス プリンシパル) ID を使用して行われます。 このパラメーターは、Microsoft Entra テナント ID を指定します。

Key Vault 名

パラメーター名: --kvaultname

パラメーター値: <key vaultname>

必須: いいえ。 シークレットストレージの場所がまたはkvmiにkvsi設定されている場合、スクリプトは値を指定しない場合にプロンプトを表示します。

説明: シークレットストレージの場所が設定kvsiされている場合、kvmiキー コンテナー名 (FQDN 形式) をここに入力する必要があります。

Log Analytics ワークスペース ID

パラメーター名: --loganalyticswsid

パラメーター値: <id>

必須: いいえ。 指定しない場合、スクリプトはワークスペース ID の入力を求めます。

説明: データ コレクターがデータを送信する Log Analytics ワークスペース ID。 ワークスペース ID を見つけるには、Azure portalで Log Analytics ワークスペースを見つけます。Microsoft Sentinel を開き、[構成] セクションで [設定] を選択し、[ワークスペース設定] を選択してから、[エージェント管理] を選択します。

Log Analytics のキー

パラメーター名: --loganalyticskey

パラメーター値: <key>

必須: いいえ。 指定しない場合は、スクリプトによってワークスペース キーの入力が求められます。 入力はマスクされます。

説明: データ コレクターがデータを送信する Log Analytics ワークスペースのプライマリキーまたはセカンダリ キー。 プライマリまたはセカンダリ キーを見つけるには、Azure portalで Log Analytics ワークスペースを見つけます。Microsoft Sentinel を開き、[構成] セクションで [設定] を選択し、[ワークスペース設定] を選択してから、[エージェント管理] を選択します。

認証に X.509 (SNC) を使用する

パラメーター名: --use-snc

パラメーター値: なし

必須: いいえ。 指定しない場合は、認証にユーザー名とパスワードが使用されます。 指定した場合、--cryptolib、--sapgenpse、--client-cert と --client-key または --client-pfx と --client-pfx-passwd のいずれかの組み合わせ、および --server-cert、さらに特定の場合には --cacert スイッチが必要です。

説明: ユーザー名/パスワード認証ではなく、ABAP サーバーへの接続に X.509 認証を使用することを指定します。 詳細については、セキュリティで保護された接続に SNC を使用するようにシステムを構成するを参照してください。

SAP 暗号化ライブラリのパス

パラメーター名: --cryptolib

パラメーター値: <sapcryptolibfilename>

必須: はい (--use-snc が指定された場合)。

説明: SAP 暗号化ライブラリ (libsapcrypto.so) の場所とファイル名。

SAPGENPSE ツールのパス

パラメーター名: --sapgenpse

パラメーター値: <sapgenpsefilename>

必須: はい (--use-snc が指定された場合)。

説明: PSE ファイルと SSO 資格情報を 作成および管理するための sapgenpse ツールの場所とファイル名。

クライアント証明書の公開キーのパス

パラメーター名: --client-cert

パラメーター値: <client certificate filename>

必須: はい (証明書が .crt/.key base-64 形式の場合--use-snc)。

説明: base-64 クライアントパブリック証明書の場所とファイル名。 クライアント証明書が .pfx 形式の場合は、代わりに switch を使用 --client-pfx します。

クライアント証明書の秘密キーのパス

パラメーター名: --client-key

パラメーター値: <client key filename>

必須: はい (--use-snc が指定され、かつキーが .crt/.key base-64 形式の場合)。

説明: base-64 クライアント秘密キーの場所とファイル名。 クライアント証明書が .pfx 形式の場合は、代わりに switch を使用 --client-pfx します。

発行元/ルート証明機関証明書

パラメーター名: --cacert

パラメーター値: <trusted ca cert>

必須: はい (--use-snc が指定され、かつ証明書がエンタープライズ証明機関によって発行されている場合)。

説明: 証明書が自己署名されている場合は、発行元 CA がないため、検証する必要がある信頼チェーンはありません。

証明書がエンタープライズ CA によって発行された場合、発行元 CA 証明書と上位にあるすべての CA 証明書を検証する必要があります。 信頼チェーン内の CA ごとに --cacert スイッチの個別インスタンスを使用し、エンタープライズ証明機関の公開証明書の完全なファイル名を指定します。

クライアント PFX 証明書のパス

パラメーター名: --client-pfx

パラメーター値: <pfx filename>

必須: はい (キーが .pfx/.p12 形式の場合--use-snc)。

説明: pfx クライアント証明書の場所とファイル名。

クライアント PFX 証明書のパスワード

パラメーター名: --client-pfx-passwd

パラメーター値: <password>

必須; はい (--use-snc が使用され、証明書が .pfx/.p12 形式であり、証明書がパスワードで保護されている場合)。

説明: PFX/P12 ファイル パスワード。

サーバー証明書

パラメーター名: --server-cert

パラメーター値: <server certificate filename>

必須: はい (--use-snc が使用されている場合)。

説明: ABAP サーバー証明書の完全なパスと名前。

HTTP プロキシ サーバーの URL

パラメーター名: --http-proxy

パラメーター値: <proxy url>

必須: いいえ

説明: Microsoft Azure サービスへの接続を直接確立できないコンテナーでは、プロキシ サーバー経由の接続が必要です。また、コンテナーのプロキシ URL を定義するためのスイッチも必要 --http-proxy です。 プロキシ URL の形式は http://hostname:port.

ホスト ベースのネットワーク

パラメーター名: --hostnetwork

必須: いいえ。

説明: スイッチが hostnetwork 指定されている場合、エージェントはホスト ベースのネットワーク構成を使用します。 これにより、場合によっては内部 DNS 解決の問題を解決できます。

すべてのプロンプトを確認する

パラメーター名: --confirm-all-prompts

パラメーター値: なし

必須: いいえ

説明: スイッチが --confirm-all-prompts 指定されている場合、スクリプトはユーザーの確認のために一時停止せず、ユーザー入力が必要な場合にのみプロンプトを表示します。 --confirm-all-promptsゼロタッチ展開にはスイッチを使用します。

コンテナーのプレビュー ビルドを使用する

パラメーター名: --preview

パラメーター値: なし

必須: いいえ

説明: 既定では、コンテナーデプロイ kickstart スクリプトによって、タグを使用してコンテナーが :latest デプロイされます。 パブリック プレビュー機能がタグに :latest-preview 公開されます。 コンテナーのデプロイ スクリプトでコンテナーのパブリック プレビュー バージョンを使用するには、スイッチを --preview 指定します。

関連するコンテンツ

詳細については、以下を参照してください:

• SAP データ コネクタ エージェントをホストしてるコンテナーをデプロイして構成する
• SAP アプリケーション ソリューションのデプロイに関する Microsoft Sentinel ソリューションのトラブルシューティング
• Systemconfig.json ファイル リファレンス