А какой тогда рекомендованный способ? Web API и SNMP?
С какой целью саппорт рекомендует WebAPI – я не знаю, оттуда можно вытащить ещё меньше, чем позволяют готовые хуки "для Tivoli".
SNMP – рекомендовать можно, но с кучей оговорок (нет готовых коннекторов, часто в корпоративных сетях запрещена передача пакетов SNMP и т.д.). Но во всяком случае, этот метод актуален, про него никто не забывает при развитии продукта.
Производители SIEM, которые выступают инициатором интеграции, пока что тащат нужные события вообще напрямую из БД. Тут снова оговорки. Во-первых, готовых вьюх, как у конкурентов, у нас нет, так что нет страховки от изменений в схеме БД. Во-вторых, там встречается много ещё не документированных числовых кодов.
В принципе, можно пользоваться хуками по аналогии с готовыми "для Tivoli", либо просто их дополнить по своему вкусу. Но для этого нужно писать код на Lua, хоть и довольно примитивный.
В общем, все доступные варианты имеют заметные недостатки, каждый свои.