top of page

Modulo RT

Il modulo RT consente l’acquisizione dei log provenienti da sistemi Windows, incluse le macchine non appartenenti al dominio e quelle per le quali è richiesta una registrazione in RealTime.

Il client RT deve essere installato sulle macchine da monitorare tramite un setup dedicato e di facile esecuzione, il cui unico prerequisito è la presenza del .NET Core 9.0.

Per il corretto funzionamento è inoltre necessario che sia abilitata la porta TCP configurata all’interno della sezione "Plugin":

Pink Poppy Flowers

La porta predefinita e la (TCP) 22422.

Lato Server

È sufficiente procedere con l’attivazione del server e la configurazione della porta dedicata. Una volta completata l’operazione, è necessario riavviare il servizio BlogService affinché le modifiche vengano applicate correttamente.

ATTENZIONE:

Occorre verificare che eventuali firewall, sia di Windows che di terze parti, consentano la comunicazione attraverso la porta configurata.

Lato Client

Una volta attivata la licenza RT, è necessario scaricare il setup di installazione:

Download

L’installazione del modulo segue una procedura analoga a quella di BusinessLog, ma risulta significativamente più rapida.

Al termine del setup è necessario eseguire il file "RTConfig.exe", che costituisce il configuratore del client RT.

Pink Poppy Flowers

All’interno del configuratore "RTConfig.exe" è necessario specificare i seguenti parametri:​

  • IP della macchina host di BusinessLog.

  • Eventuale IP secondario, utile in scenari con VPN o connessioni alternative.

  • Porta di comunicazione da utilizzare (default = 22422).

  • Applicazione dei criteri di audit automatici sulla macchina.

  • Plugin attivi: Per alcuni è necessaria una licenza che deve essere attivata lato server.

    • Abilita Monitoraggio Energetico (con licenza "Energy"): permette di rilevare i consumi energetici​

    • Abilita PowerShell: attiva la registrazione dei comandi  Powershell registrati nei log

    • Abilita Log Stampa (con licenza "Print"): abilita le registrazione delle stampe

    • Abilita Log Antivirus: abilita la registrazione nativa per l'antivirus Microsoft Defender

    • Abilita Log Processi (con licenza "Tracking"): attiva la registrazione dei processi avviati e chiusi

    • Abilita Log USB (con licenza "Usb"): attiva la registrazione dei movimenti dei file verso dispositivi removibili.

Al termine della configurazione è possibile eseguire un test, successivamente fare clic su [Salva].

È necessario verificare che il servizio BlogServiceRT risulti avviato, avviandolo manualmente in caso contrario.

Il servizio opera in background: il connettore inizierà a raccogliere i log storici presenti nella macchina e, da quel momento, ogni nuovo evento locale verrà inviato al server RT per la registrazione in BusinessLog.

Il modulo RT provvede inoltre a raccogliere l’Inventario Software e Hardware della macchina locale.

  • Gestione doppio IP e parametri da riga di comando

La nuova versione di RTConfig consente di impostare un IP primario (rete interna) e un IP secondario (ad esempio IP pubblico nattato), soluzione ideale per postazioni che operano sia in sede che da remoto (es. smart working o sedi esterne).

Il modulo "RTTransfer" tenterà inizialmente la connessione con l’IP primario, in caso di errore effettuerà automaticamente un tentativo con l’IP secondario. Tutti i tentativi vengono tracciati nei log.

Accanto ai campi IP è presente il pulsante “R” che consente la risoluzione del nome host: digitando, ad esempio, Server1 e selezionando “R”, il sistema tenterà di risolvere l’indirizzo IP corrispondente (es. 192.168.10.1).

Se il campo contiene già un indirizzo IP valido, verrà restituito un messaggio di conferma.

Distribuzione MSI per BlogRT

È disponibile una versione .msi del setup, utile per la distribuzione centralizzata tramite GPO o altri strumenti di deployment.

Download

Una volta scaricato il pacchetto di installazione, è possibile aggiungerlo alle azioni di distribuzione.

Le singole postazioni possono essere configurate in remoto utilizzando il comando:
C:\Program Files (x86)\Enterprise\BusinessLogRT\rtconfig.exe /ip=[IP] /port=[PORTA] /script=true/false

si possono aggiungere i tag corrispondenti alle abilitazioni necessarie:

/ip2= [IP secondario]

/energy= (true o false)

/powershell=(true o false)

/print=(true o false)

/antivirus=(true o false)

/tracking=(true o false)

/usb=(true o false)

I parametri devono essere sostituiti con i valori specifici richiesti.

Ad esempio:
C:\Program Files (x86)\Enterprise\BusinessLogRT\rtconfig.exe /ip=192.168.1.1 /port=22422 /script=true /energy=true

  • Configurazione di RT da rete esterna

È possibile configurare una postazione RT in modo che invii i log dall'esterno, come casistica possiamo avere un server ospitato in un datacenter o una VM configurata in un servizio cloud, postazioni esterne all'azienda (es. una filiale) con scarsità di risorse VPN, oppure dispositivi portatili assegnati ad agenti o dipendenti in smartworking.

Per questi casi le linee guida sono:

  • I client RT vanno configurati con l'IP PUBBLICO della rete aziendale (a cui risponde il firewall), per i portatili, suggeriamo di configurare anche l'IP secondario con l'IP INTERNO del server BusinessLog, nel caso l'utente torni nella rete interna.

  • Il Firewall aziendale deve essere configurato con un Port Forwarding per la porta TCP 22422 (o altra se configurata diversamente) che punta all'IP interno del server BusinessLog

  • Verificate che i notebook non abbiano blocchi lato firewall su quella porta, eventualmente inserite una policy mirata.

L’obiettivo è molto semplice:

Consentire a un dispositivo esterno (es. portatile con RT installato fuori rete) di inviare traffico syslog verso l’IP pubblico del cliente sulla porta 514 (TCP e/o UDP, a seconda della configurazione).

Quindi lato firewall del cliente è necessario:

  1. Creare una regola di NAT / Virtual IP (o equivalente)

    • IP pubblico di destinazione (es: 5.3.128.55)

    • Porta esterna 514

    • Traduzione verso IP privato del server Business Log

    • Porta interna 514

  2. Creare una policy firewall che consenta il traffico:

    • Da WAN verso LAN

    • Protocollo UDP 514

    • Destinazione: ip del server Business Log (es: 192.168.x.x)

  3. Verificare che:

    • Il servizio sul server sia effettivamente in ascolto sulla 514

    • Non ci siano blocchi lato firewall locale del server

    • Eventuali IPS / policy di sicurezza non intercettino il traffico

 

Il concetto è identico su Fortinet, Sophos, pfSense o qualunque altro firewall: serve una pubblicazione della porta 514 verso il server interno e una policy che permetta il traffico.

Guide

bottom of page