Cos’è un Relay Agent o Agent-less per rilevazione ed inoltro?

L’Agent per la rilevazione accessi ed inoltro è un programma che si occupa di raccogliere i log prodotti da una fonte (Windows, Linux, Database, Applicazioni, ecc.), li filtra, li completa con eventuali informazioni mancanti, li numera in modo progressivo univoco, li firma con un hash calcolato in base al contenuto del record e alla licenza d’uso, e li inoltra al Server di Raccolta secondo lo standard SysLog-Signed. Inoltre l’agent invia periodicamente un record riassuntivo numerato e firmato che contiene i riferimenti ai record inviati in precedenza.

La presenza della numerazione protocollare e dell’hash su ciascun record più  il record di fine blocco generati alla fonte, cioè quando e dove si verifica l’evento, garantiscono assieme ad altri accorgimenti secondari la completezza e l’inalterabilità richieste dal Garante per le registrazioni degli accessi.

In assenza di connessione con il Server di Raccolta l’agent memorizza in locale le registrazioni e le invia non appena la connettività ritorna disponibile. In ambiente Windows l’Agent per la rilevazione degli accessi attiva e mantiene attivato l’audit di Windows sul Security Event Log per gli eventi necessari ai fini dell’ottemperanza alla norma.

L’agent, specifico del sistema operativo, va installato su server e client che trattano dati personali. In alternativa è possibile usufruire del Relay Agent-less che raccoglie gli eventi su computer (Windows o Linux) diversi da quelli che li hanno generati.

La versione Windows si può installare massivamente da remoto.