Sentinel proporciona numerosas opciones de encaminamiento, almacenamiento y extracción de los datos recopilados. Por defecto, Sentinel recibe los datos de eventos analizados y los datos en bruto que envían las instancias de Collector Manager. Sentinel almacena los datos en bruto para ofrecer una cadena de evidencia segura y encamina los datos de eventos analizados de conformidad con las reglas que defina. Puede filtrar los datos de eventos analizados, enviarlos para su almacenamiento o análisis en tiempo real, y encaminarlos a sistemas externos. Sentinel hace coincidir todos los datos de eventos enviados al almacenamiento con las directivas de retención definidas por el usuario. Las directivas de retención controlan cuándo deben suprimirse los datos de eventos del sistema.
En función de la tasa de eventos por segundo (EPS) y los requisitos de implantación, se puede optar por utilizar el almacenamiento de datos tradicional basado en archivos o el almacenamiento ampliable basado en Hadoop como la opción de almacenamiento de datos. Para obtener más información, consulte Consideraciones de almacenamiento de datos.