Logdatensammlung. Microsoft Sentinel sammelt Log-Daten von verschiedenen Quellen. Diese Sammlung ist die Grundvoraussetzung für die Angriffserkennung. Zu den Quellen zählen Firewalls, Server, Netzwerkgeräte und Arbeitsplatzgeräte. Die gesammelten Daten bestehen z. B. aus Auslastungswerten der Prozessoren und des Speichers, Fehler- und Warnmeldungen, geblockte Zugriffe, generelle Metriken über Dateisystem, Anwendungen und Netzwerkaktivität.
