不幸的是，您的问题没有“正确”的答案。数据保留政策特定于组织的需求，并且通常出于遵守各种法律要求的需要而实施，这些要求取决于所存储数据的性质以及数据所属的管辖范围。

如果发现违规行为，保留日志数据可以进行事后分析，正如您在问题中所暗示的那样。但是，如果日志包含敏感信息，保留的数据本身也可能构成安全风险，因此必须在必要时采取措施保护日志文件。另一个明显的影响因素是保留日志的成本。根据可用性要求，不同的备份解决方案可能比其他解决方案更具成本效益，例如将旧日志异地保存在磁带存储上，而不是使用磁盘冗余。

10年

存储日志很便宜，通常它们是 ASCII/UNICODE 并且很容易压缩以进行长期存档。

由于无法预料的原因，保留日志总比清除日志要好。

但是，自联邦诉讼时效以来，对于美国企业来说，至少十年保留政策是行业最佳实践，并且在大多数州，对于非严重人员犯罪而言，最长十年保留政策。

特定的行业部门走得更远，包括医院在内的医疗临床医生将健康记录和相应的电子日志数据保留50 年。

NYNEX（被 Verizon 收购）和其他“Baby Bells”等电信提供商保留了他们的Pen Registers，即他们用户电话通话的记录。

记录保留、镜像和安全的异地归档是每个大型组织都必须解决的一种做法，但在实施时就成为常规。

如果您是服务提供商、托管公司或个人身份数据的保管人，则 10 年保留政策将使您遵守所有知名和行业公认的安全标准，包括 PCI-DSS 和其他行业最佳实践电话簿。

展示统一的铁定保留政策有助于企业在 RFP 选择过程中快速确定主题，并将自己定义为“达标”。

无限期存储这些日志文件在欧盟可能是非法的。我说可能是，因为新的数据保护立法于 2018 年 5 月生效，但仍有一些不清楚的地方。但是，规则如下：

如果您没有明确同意（我想您没有），您只能出于法律允许的目的保留个人数据。出于调查数据泄露的目的保留日志文件是允许的，因为以下例外适用：“为了保护数据主体或其他自然人的切身利益，必须进行处理”。

但是，您仍然受到比例原则的约束，因此您只能在“必要”的范围内存储日志数据。在某些时候，数据的有用性只是理论上的，因此处理的法律依据消失了。没有硬性限制，但无论如何，举证责任在您这边——您必须证明存储日志文件对于保护安全是必要的。

即使您在美国经营，您也应该关注这一点，因为该法规适用范围非常广泛（例如，您在欧盟有客户）。

无论如何，有一种方法可以绕过该规定 - 如果您的日志不包含个人数据（例如，无法识别用户），则该规定不适用。但是，由于 IP 地址被视为个人数据（前夕