Sentinelは、収集したデータをルーティング、保存、および抽出するためのさまざまなオプションを備えています。デフォルトでは、Sentinelは解析済みイベントデータと生データをCollector Manager instancesから受信します。Sentinelは、セキュアなエビデンスチェーンを提供するために生データを保存し、解析済みイベントデータをユーザ定義のルールに従ってルーティングします。解析済みイベントデータはフィルタ処理することで、ストレージやリアルタイム分析に送信することも、外部システムにルーティングすることもできます。Sentinelは、ストレージに送信されたすべてのイベントデータをユーザ定義の保持ポリシーに一致させます。保持ポリシーは、イベントデータをシステムから削除する必要がある場合に制御します。
1秒あたりのイベント数(EPS)レートと展開の要件に応じて、データストレージのオプションとして、従来のファイルベースのデータストレージを使用するか、Hadoopベースのスケーラブルストレージを使用するかを選択できます。詳細については、データストレージの考慮事項を参照してください。