Az, hogy bizonyos eseményekről visszamenőleg több évre kellenek logok (törvényi kötelezettség miatt), nem keverendő össze a SIEM-mel, az teljesen más eset. És jellemzően olyankor nem egy eszköz minden logja kell, hanem egy/több adott rendszer bizonyos típusú logjai. Ez pedig nem (csak) gyűjtési, hanem archiválási kérdés is. A SIEM tipikusan sok mindent gyűjt, nem annyira célzottan, és ebből az adathalmazból próbál kiemelni dolgokat (jellemzően előre megadott minták alapján), illetve korreláltatni több eszköz hasonló logjai alapján, ugyanakkor pont a tárterület miatt ezeket nem fogja évekig tárolni (nagy rendszereknél már egy negyedév tárolás is komoly kihívás tud lenni).