top of page

Módulo RT

El módulo RT permite la adquisición de logs procedentes de sistemas Windows, incluyendo equipos no pertenecientes al dominio y aquellos para los que se requiere registro en tiempo real.

El cliente RT debe instalarse en los equipos a monitorizar mediante un setup dedicado y de fácil ejecución; el único requisito es la presencia de .NET Core 9.0.

Para su correcto funcionamiento, es necesario que esté habilitado el puerto TCP configurado en la sección "Plugin":

Modulo RT 1.png

El puerto predeterminado es (TCP) 22422.

Lado Servidor

Es suficiente proceder con la activación del servidor y la configuración del puerto dedicado.
Una vez completada la operación, es necesario reiniciar el servicio BlogService para que los cambios se apliquen correctamente.

ATENCIÓN:

Verificar que los posibles firewalls, tanto de Windows como de terceros, permitan la comunicación a través del puerto configurado.

Lado Cliente

Una vez activada la licencia RT, es necesario descargar el setup de instalación.

Download

La instalación del módulo sigue un procedimiento similar al de BusinessLog, pero es significativamente más rápida.
Al finalizar el setup, es necesario ejecutar el archivo “RTConfig.exe”, que constituye el configurador del cliente RT.

Modulo RT 2.png

Dentro del configurador RTConfig.exe deben especificarse los siguientes parámetros:

  • IP del equipo host de BusinessLog.

  • IP secundaria (opcional), útil en escenarios con VPN o conexiones alternativas.

  • Puerto de comunicación a utilizar (por defecto: 22422).

  • Aplicación de criterios de auditoría automática en el equipo.

  • Plugins activos (algunos requieren licencia activada en el servidor):

    • Habilitar Monitoreo Energético (licencia “Energy”): permite detectar el consumo energético.

    • Habilitar PowerShell: activa el registro de los comandos PowerShell en los logs.

    • Habilitar Log de Impresión (licencia “Print”): activa el registro de impresiones.

    • Habilitar Log Antivirus: activa el registro nativo del antivirus Microsoft Defender.

    • Habilitar Log Procesos (licencia “Tracking”): activa el registro de procesos iniciados y finalizados.

    • Habilitar Log USB (licencia “Usb”): activa el registro de movimientos de archivos hacia dispositivos extraíbles.

Al finalizar la configuración, es posible ejecutar una prueba y luego hacer clic en [Guardar].

Es necesario verificar que el servicio BlogServiceRT esté en ejecución; en caso contrario, iniciarlo manualmente.

El servicio opera en segundo plano: el conector comenzará a recopilar los logs históricos presentes en el equipo y, a partir de ese momento, cada nuevo evento local será enviado al servidor RT para su registro en BusinessLog.

El módulo RT también se encarga de recopilar el Inventario de Software y Hardware del equipo local.

  • Gestión de doble IP y parámetros por línea de comandos

La nueva versión de RTConfig permite establecer una IP primaria (red interna) y una IP secundaria (por ejemplo, IP pública con NAT), solución ideal para equipos que operan tanto en sede como en remoto (por ejemplo, teletrabajo o sedes externas).

El módulo RTTransfer intentará inicialmente la conexión con la IP primaria; en caso de error, intentará automáticamente con la IP secundaria.
Todos los intentos quedan registrados en los logs.

Junto a los campos IP está presente el botón “R”, que permite la resolución del nombre del host: escribiendo, por ejemplo, Server1 y seleccionando “R”, el sistema intentará resolver la dirección IP correspondiente (ej. 192.168.10.1).
Si el campo ya contiene una IP válida, se mostrará un mensaje de confirmación

Distribución MSI para BlogRT

Está disponible una versión .msi del setup, útil para la distribución centralizada mediante GPO u otras herramientas de despliegue

Download

Una vez descargado el paquete de instalación, puede añadirse a las acciones de distribución.

Las estaciones individuales pueden configurarse en remoto utilizando el comando:
C:\Program Files (x86)\Enterprise\BusinessLogRT\rtconfig.exe /ip=[IP] /port=[PORTA] /script=true/false

Pueden añadirse los parámetros correspondientes a las habilitaciones necesarias:

/ip2= [IP secondario]

/energy= (true o false)

/powershell=(true o false)

/print=(true o false)

/antivirus=(true o false)

/tracking=(true o false)

/usb=(true o false)

Los parámetros deben sustituirse por los valores específicos requeridos.

Ejemplo:
C:\Program Files (x86)\Enterprise\BusinessLogRT\rtconfig.exe /ip=192.168.1.1 /port=22422 /script=true /energy=true

  • Configuración de RT desde red externa

Es posible configurar un puesto de trabajo remoto para que reciba los registros desde el exterior. Como ejemplos, podemos citar un servidor alojado en un centro de datos o una máquina virtual configurada en un servicio en la nube, puestos de trabajo externos a la empresa (por ejemplo, una sucursal) con recursos de VPN limitados, o dispositivos portátiles asignados a agentes o empleados que teletrabajan.

En estos casos, las directrices son las siguientes:​

  • Los clientes RT deben configurarse con la IP pública de la red corporativa (a la que responde el cortafuegos); en el caso de los portátiles, recomendamos configurar también la IP secundaria con la IP interna del servidor BusinessLog, por si el usuario vuelve a la red interna.

  • El cortafuegos de la empresa debe configurarse con un reenvío de puertos para el puerto TCP 22422 (u otro si se ha configurado de forma diferente) que apunte a la IP interna del servidor BusinessLog.

  • Comprueba que los portátiles no tengan bloqueos por parte del cortafuegos en ese puerto; si es necesario, aplica una política específica.

El objetivo es permitir que un dispositivo externo (por ejemplo, un ordenador portátil con RT instalado fuera de la red) envíe tráfico syslog a la dirección IP pública del cliente a través del puerto TCP 22422.

1. En el firewall del cliente es necesario:

  • Crear una regla NAT / IP virtual (o equivalente).

  • IP pública de destino (p. ej.: 5.3.128.55).

  • Puerto externo TCP 22422.

  • Enrutamiento hacia la IP privada del servidor Business Log.

  • Puerto interno TCP 22422.

2. Crear una política de firewall que permita el tráfico:

  • De la WAN a la LAN.

  • Protocolo TCP 22422.

  • Destino: IP del servidor Business Log (p. ej.: 192.168.x.x).

3. Verificar que:

  • El servicio del servidor esté efectivamente a la escucha en el puerto TCP 22422.

  • No haya bloqueos en el firewall local del servidor.

  • Ningún IPS ni política de seguridad intercepte el tráfico.

El concepto es idéntico en Fortinet, Sophos, pfSense o cualquier otro firewall: se necesita una publicación del puerto 22422 hacia el servidor interno y una política que permita el tráfico.

Guide

bottom of page