L'Agent per la rilevazione accessi ed inoltro è un programma che si occupa di raccogliere i log prodotti da una fonte (Windows, Linux, Database, Applicazioni, ecc.), li filtra, li completa con eventuali informazioni mancanti, li firma con un hash calcolato in base al contenuto del record e alla licenza d'uso, e li inoltra al Server di Raccolta secondo lo standard SysLog-Signed. Secondo questo standard l'agent invia periodicamente un record riassuntivo che contiene i riferimenti ai record inviati in precedenza.

La presenza dell'hash su ciascun record ed il record di fine blocco generati alla fonte, cioè quando e dove si verifica l'evento, garantiscono la completezza e l'inalterabilità richieste dal Garante per le registrazioni degli accessi.

In assenza di connessione con il Server di Raccolta l'agent mantiene in locale le registrazioni e le invia non appena la connettività ritorna disponibile. In ambiente Windows l'Agent per la rilevazione degli accessi attiva e mantiene attivato l'audit di Windows sul Security Event Log.

L'agent, specifico del sistema operativo, va installato su server e client.

Domain Controller
Se ci sono più Domain Controller sulla rete, non è detto che l'autenticazione venga fatta dal Primary DC: di solito l'autenticazione viene effettuata dal prima DC che risponde, e la velocità di risposta potrebbe dipendere dalla vicinanza fisica, dal tipo di connessione con i diversi server, o dalle caratteristiche fisiche del server.
Quindi, soprattutto se si tratta di server distribuiti geograficamente, non è detto che client diversi siano serviti tutti dal PDC o dallo stesso server. E' necessario perciò monitorare tutti i server che possono effettuare l'autenticazione, sia il Primary, sia il backup, sia quelli delle sedi.

Il Server di Raccolta può essere installato sia su server Linux sia su server Windows, anche virtuali.