<div dir="ltr"><div>In my previous job (where I was much more active on this list), we kept detailed URL and firewall event logs for just 4 days.   Long enough to address technical issues even on a long weekend,  and no longer.<br></div><div><br>I work with some very large organizations, and even F-100 don&#39;t have the resources to keep everything forever.   There is also the concept in certain organizations that you only retain data for as long as it is useful and no longer, optimizing the retention policy to discard debug logs quickly, keep &quot;audit trail&quot; logs for exactly 366 days for regulatory compliance, etc.<br><br></div><div>There&#39;s also the issue of &quot;Discovery&quot;:  If you are keeping everything and then you are sued, you need to put a freeze on the data you have and preserve it for delivery to your adversary.  Better not to have/keep the data in the first place if it has limited utility.<br></div><div><br></div><div>As mentioned,licensing costs definitely come into play.   Some clients use syslog-ng as a &quot;prefilter&quot; to discard low-value events before forwarding (spoofing source) to Splunk or Qradar.   This is particularly useful when you have appliance-like devices with little or no ability to filter what logs they generate and transmit.<br><br></div><div>Kevin<br></div></div>