O Sentinel fornece várias opções para roteamento, armazenamento e extração de dados coletados. Por padrão, o Sentinel recebe os dados do evento analisados e os dados brutos das instâncias do Collector Manager. O Sentinel armazena os dados brutos para fornecer uma cadeia de evidências segura e faz o roteamento dos dados de evento analisados de acordo com as regras que você definir. Você pode filtrar os dados do evento analisados, enviá-los para armazenamento ou para a análise em tempo real e encaminhá-los para sistemas externos. O Sentinel ainda compara todos os dados de eventos enviados ao armazenamento para políticas de retenção definidas pelo usuário. As políticas de retenção controlam quando os dados de evento devem ser apagados do sistema.
Dependendo da taxa de EPS (Events Per Second - Eventos Por Segundo) e dos requisitos de implantação, é possível optar por usar o armazenamento de dados tradicional com base no arquivo ou o armazenamento escalável com base em Hadoop como opção de armazenamento de dados. Para obter mais informações, consulte Considerações sobre armazenamento de dados.