top of page

Módulo RT

El módulo RT permite la adquisición de logs procedentes de sistemas Windows, incluyendo equipos no pertenecientes al dominio y aquellos para los que se requiere registro en tiempo real.

El cliente RT debe instalarse en los equipos a monitorizar mediante un setup dedicado y de fácil ejecución; el único requisito es la presencia de .NET Core 9.0.

Para su correcto funcionamiento, es necesario que esté habilitado el puerto TCP configurado en la sección "Plugin":

Modulo RT 1.png

El puerto predeterminado es (TCP) 22422.

Lado Servidor

Es suficiente proceder con la activación del servidor y la configuración del puerto dedicado.
Una vez completada la operación, es necesario reiniciar el servicio BlogService para que los cambios se apliquen correctamente.

ATENCIÓN:

Verificar que los posibles firewalls, tanto de Windows como de terceros, permitan la comunicación a través del puerto configurado.

Lado Cliente

Una vez activada la licencia RT, es necesario descargar el setup de instalación.

Download

La instalación del módulo sigue un procedimiento similar al de BusinessLog, pero es significativamente más rápida.
Al finalizar el setup, es necesario ejecutar el archivo “RTConfig.exe”, que constituye el configurador del cliente RT.

Modulo RT 2.png

Dentro del configurador RTConfig.exe deben especificarse los siguientes parámetros:

  • IP del equipo host de BusinessLog.

  • IP secundaria (opcional), útil en escenarios con VPN o conexiones alternativas.

  • Puerto de comunicación a utilizar (por defecto: 22422).

  • Aplicación de criterios de auditoría automática en el equipo.

  • Plugins activos (algunos requieren licencia activada en el servidor):

    • Habilitar Monitoreo Energético (licencia “Energy”): permite detectar el consumo energético.

    • Habilitar PowerShell: activa el registro de los comandos PowerShell en los logs.

    • Habilitar Log de Impresión (licencia “Print”): activa el registro de impresiones.

    • Habilitar Log Antivirus: activa el registro nativo del antivirus Microsoft Defender.

    • Habilitar Log Procesos (licencia “Tracking”): activa el registro de procesos iniciados y finalizados.

    • Habilitar Log USB (licencia “Usb”): activa el registro de movimientos de archivos hacia dispositivos extraíbles.

Al finalizar la configuración, es posible ejecutar una prueba y luego hacer clic en [Guardar].

Es necesario verificar que el servicio BlogServiceRT esté en ejecución; en caso contrario, iniciarlo manualmente.

El servicio opera en segundo plano: el conector comenzará a recopilar los logs históricos presentes en el equipo y, a partir de ese momento, cada nuevo evento local será enviado al servidor RT para su registro en BusinessLog.

El módulo RT también se encarga de recopilar el Inventario de Software y Hardware del equipo local.

  • Gestión de doble IP y parámetros por línea de comandos

La nueva versión de RTConfig permite establecer una IP primaria (red interna) y una IP secundaria (por ejemplo, IP pública con NAT), solución ideal para equipos que operan tanto en sede como en remoto (por ejemplo, teletrabajo o sedes externas).

El módulo RTTransfer intentará inicialmente la conexión con la IP primaria; en caso de error, intentará automáticamente con la IP secundaria.
Todos los intentos quedan registrados en los logs.

Junto a los campos IP está presente el botón “R”, que permite la resolución del nombre del host: escribiendo, por ejemplo, Server1 y seleccionando “R”, el sistema intentará resolver la dirección IP correspondiente (ej. 192.168.10.1).
Si el campo ya contiene una IP válida, se mostrará un mensaje de confirmación

Distribución MSI para BlogRT

Está disponible una versión .msi del setup, útil para la distribución centralizada mediante GPO u otras herramientas de despliegue

Download

Una vez descargado el paquete de instalación, puede añadirse a las acciones de distribución.

Las estaciones individuales pueden configurarse en remoto utilizando el comando:
C:\Program Files (x86)\Enterprise\BusinessLogRT\rtconfig.exe /ip=[IP] /port=[PORTA] /script=true/false

Pueden añadirse los parámetros correspondientes a las habilitaciones necesarias:

/ip2= [IP secondario]

/energy= (true o false)

/powershell=(true o false)

/print=(true o false)

/antivirus=(true o false)

/tracking=(true o false)

/usb=(true o false)

Los parámetros deben sustituirse por los valores específicos requeridos.

Ejemplo:
C:\Program Files (x86)\Enterprise\BusinessLogRT\rtconfig.exe /ip=192.168.1.1 /port=22422 /script=true /energy=true

  • Configuración de RT desde red externa

Es posible configurar una estación RT para que envíe logs desde el exterior.
Casos típicos: servidor alojado en un datacenter o VM en un servicio cloud, estaciones externas a la empresa (por ejemplo, sucursal) con limitaciones de VPN, o portátiles asignados a empleados en teletrabajo.

En estos casos, las directrices son:

  • Configurar los clientes RT con la IP pública de la red empresarial (la que responde al firewall). Para portátiles, se recomienda configurar también la IP secundaria con la IP interna del servidor BusinessLog, en caso de que el usuario regrese a la red interna.

  • Configurar el firewall empresarial con un Port Forwarding hacia el puerto TCP 22422 (o el puerto configurado) dirigido a la IP interna del servidor BusinessLog.

  • Verificar que los equipos portátiles no tengan bloqueos en el firewall local sobre dicho puerto; en su caso, configurar una política específica.

El objetivo es muy simple:
Permitir que un dispositivo externo (por ejemplo, un portátil con RT instalado fuera de la red) envíe tráfico syslog hacia la IP pública del cliente en el puerto 514 (TCP y/o UDP, según la configuración).

Por lo tanto, en el firewall del cliente es necesario:

  1. Crear una regla de NAT / Virtual IP (o equivalente)

    • IP pública de destino (ej.: 5.3.128.55)

    • Puerto externo 514

    • Traducción hacia la IP privada del servidor BusinessLog

    • Puerto interno 514

  2. Crear una política de firewall que permita el tráfico:

    • De WAN hacia LAN

    • Protocolo UDP 514

    • Destino: IP del servidor BusinessLog (ej.: 192.168.x.x)

  3. Verificar que:

    • El servicio en el servidor esté efectivamente en escucha en el puerto 514

    • No existan bloqueos en el firewall local del servidor

    • Eventuales IPS / políticas de seguridad no intercepten el tráfico

El concepto es idéntico en Fortinet, Sophos, pfSense o cualquier otro firewall: se requiere la publicación del puerto 514 hacia el servidor interno y una política que permita el tráfico.

Guide

bottom of page