Webroot Universal Syslog Connector è uno strumento a riga di comando per Windows che consente la sottoscrizione agli eventi dell’API WebrootTM Unity, ricevendo notifiche e traducendole in eventi Syslog, che sono quindi inoltrate a un server Syslog o a qualsiasi sistema software in grado di ricevere messaggi Syslog (come SIEM e monitor di rete).

La configurazione avviene tramite un Wizard (WebrootTM Universal Syslog Connector Setup) che permette di configurare le credenziali per Unity API, il tipo di server Syslog di destinazione e quali eventi da includere nelle comunicazioni ai Syslog.

Questo Wizard serve anche per la creazione di una nuova subscription alla Unity API di Webroot e, se necessario, e avvia il Connettore Syslog, che si connette alle Unity API e recupera/inoltra le notifiche.

Il Wizard offre una configurazione di base; per gli scenari avanzati, si può modificare il file di configurazione prodotto dal Wizard stesso, ottimizzando le impostazioni come la formattazione e il protocollo Syslog, o il numero e tipo di campi che vengono inoltrati.

Si può scaricare il setup di Webroot Universal Syslog Connector da qui.

Avvio della procedura guidata

Dopo aver scaricato il pacchetto del Collector dal sito di Webroot, scompattarlo e fare doppio clic su Webroot.UnityAPI.LogBridgeWizard.exe

Verrà presentata questa finestra:

Dalla quale si può procedere alla configurazione del connettore.

Configurazione del connettore

Inserire nome utente e password dell’API Unity, quindi client ID, client secret e parent keycode. Il Parent Keycode identifica la console Global Site Manager (GSM) i cui eventi Unity l’API deve monitorare.

Queste informazioni possono essere ricavate dalla console GSM, nella sezione Impostazioni -> Accesso all’Unity API.

Si può creare un nuovo accesso oppure editare un accesso esistente.

Mentre il parent keycode può essere recuperato da impostazioni -> informazioni account.

Tutti gli eventi che si verificano in questa console, se configurati nella pagina Tipi di evento verranno inoltrati al server Syslog.

Durante la convalida della connessione al server Syslog, un evento di test denominato “Webroot Universal Syslog Connector Test Event” viene tentato di essere inviato al server: si consiglia di verificare sul server Syslog stesso se l’evento è stato correttamente ricevuto e visualizzato.

Premendo Next si passerà all’ultima pagina di configurazione, nella quale si selezionano i tipi di evento che WebrootUniversal Syslog Connector invierà al server Syslog. Come i passaggi precedenti, se esiste una configurazione precedente, verrà presentata in questa fase.

È necessario selezionare almeno un tipo di evento per completare il processo di configurazione.

Al termine della selezione la configurazione è completa e il prodotto può essere utilizzato.

Per le modifiche alla configurazione effettuata e dettagli sugli eventi inviati al syslog, si può consultare la guida completa del prodotto presso questo link.