Sentinel fornisce numerose opzioni per instradare, memorizzare ed estrarre i dati raccolti. Per default, Sentinel riceve i dati evento analizzati sintatticamente e i dati non elaborati dalle istanze di Collector Manager. I dati non elaborati vengono memorizzati per fornire una catena di evidenze sicura, mentre i dati degli eventi analizzati sintatticamente vengono instradati in base alle regole definite dall'utente. È possibile filtrare i dati evento analizzati sintatticamente, memorizzarli o analizzarli in tempo reale e instradarli verso sistemi esterni. Inoltre, Sentinel confronta tutti i dati degli eventi inviati alla memorizzazione con le policy di permanenza definite dall'utente, che controllano quando i dati degli eventi devono essere eliminati dal sistema.
In base alla frequenza degli eventi al secondo (EPS) e ai requisiti dell'installazione dell'utente, come opzione di memorizzazione dei dati è possibile scegliere fra la memorizzazione tradizionale basata su file e quella scalabile basata su Hadoop. Per ulteriori informazioni, consultare Considerazioni sulla memorizzazione dei dati.