Прием и обработка журналов в Логикор выполняется компонентом Saturn, внутри которого используется модифицированный инструмент Logstash для сбора, преобразования и доставки логических событий.

Логикор поддерживает несколько базовых способов подключения источников событий. В зависимости от типа источника и требований к сбору данных система может принимать журналы по сетевым протоколам, через агент или напрямую из файловой системы.

В базовой поставке Saturn предоставляет, но не ограничивается, несколькими базовыми интерфейсами для приема данных:

• Beats — используется для подключения журналов аудита и других источников, передающих данные через агент;
• Syslog — используется для подключения источников, отправляющих данные по протоколу Syslog, такие как:
  • Linux\Unix файлы журналы — sshd, pam, boot, auth, messages, kern и другие;
  • Сетевое оборудование — Palo Alto, Cisco, UserGate и другое;
  • ПО, отправляющее записи журналов по протоколу Syslog (или с использованием ППО rsyslog, syslog-ng, и подобных), например, веб-серверы (Apache/Nginx): /var/log/apache2/, /var/log/httpd/, /var/log/nginx/ (access.log, error.log), базы данных (MySQL/PostgreSQL): /var/log/mysql.log, /var/log/mysqld.log, /var/lib/postgres/.../pg_log, почтовые серверы: /var/log/mail.log, /var/log/exim4/, планировщик задач (cron): /var/log/cron.
• File — используется для чтения журналов напрямую из файловой системы.

Saturn может принимать данные в нескольких режимах:

• пассивный прием данных по протоколу Syslog;
• пересылка данных с помощью агента Winlogbeat, устанавливаемого на сервер и АРМ на базе Windows;
• активный сбор данных со стороны Saturn.

Ниже приведена сводная таблица по источникам, типам приема, документации и заметок: