Sagan kann warnen, wenn in den Syslogs Ereignisse auftauchen, die sofortige Beachtung erfordern. Es kann die Ereignisse in einer Snort-Datenbank speichern, damit IDS- und Log-Daten an einem Ort sind. So kann man mit einer einzelnen Konsole wie Snorby oder BASE alles zu sehen. Sagan korreliert die Daten und verwendet Regelsätze, die zu denen von Snort kompatibel sind. Es unterstützt mehrere Ausgabeformate und kann anhand der Log-Analyse Aktionen auslösen, beispielsweise mit Netzwerkgeräten kommunizieren. (non)