デフォルトでは、イベント時刻はSentinel処理時刻に設定されます。しかし、オブザーバイベント時刻を利用でき、それが信頼に値するのであれば、イベント時刻がオブザーバイベント時刻と一致するのが理想的です。デバイス時刻を利用でき、正確で、コレクタが正しく解析できるのであれば、データ収集を［信頼イベントソース時刻］に設定するのが最善です。コレクタは、オブザーバイベント時刻に合うようにイベント時刻を設定します。

イベント時刻がサーバ時刻の前後5分以内であるイベントは、アクティブビューによって普通に処理されます。イベント時刻が5分以上進んでいるイベントは、アクティブビューには表示されませんが、イベントストアには挿入されます。イベント時刻が5分以上進んでいるイベントと過去24時間以内のイベントは、チャートには表示されますが、チャートのイベントデータには表示されません。これらのイベントをイベントストアから取得するには、ドリルダウン操作が必要です。

相関エンジンはイベントを時間順に処理することができるように、イベントは30秒間隔でソートされます。イベント時刻がサーバ時刻よりも30秒を超えて古い場合、相関エンジンはイベントを処理しません。

イベント時刻がコレクタマネージャシステム時刻より5分を超えて古い場合、Sentinelはイベントを直接イベントストアにルーティングし、相関、アクティブビュー、セキュリティインテリジェンスなどのリアルタイムシステムはバイパスします。