Тролль!

Если я правильно уловил суть вопроса, то хотели понять как оценить время, через которое начнут деградировать логи в живой инфре

шаришь)))))

да) и как с этим жить?

Ну про «время события» только толлли начинают, когда аргументов нет)

мы же не хотели посчитать мат ожидание события 4688

Удар ниже пояса

как понять что процесс уже наступает/наступил/мы всё потеряли

Это как и риски в ИБ - как посчитать риски?)

экспертно )

Моя идея была в следующем: сама по себе структура лога измениться не может, ровно как и не может само по себе пропасть какое-то событие 4688 в потоке.
Это происходит под влиянием внешних воздействий.
Внешние воздействия: изменения конфигурации ОС/железок/приложух, обновление версий. Если происходит модернизация инфры, то она как раз будет видна как всплеск таких изменений
Чем больше изменений в инфре, тем выше шанс того, что с логами что-то случиться
Т.о. график кол-ва изменений - некая производная от мат ожидания деградации логов

При условии полной видимости, да

ну оценить с каких хостов получаешь полный лог а с каких не получаешь - не самая большая проблема.
Можно категориями, можно конкретными типами событий.
Кол-во "работающих" хостов тоже не самая сложная задача для вычисления (хоть и есть ньюансы).
Соответственно дальше все нормально считается и наверное даже предсказывается :)

И без учета сезонности/изменений в ИТ

да, это слабое место в теории

на регулярной основе. чтобы реагировать на моменты когда с каких то устройств лог не полный

ну в том числе, если есть силы и желание

если прям вот надо мониторить вплоть до конкретных источников, то тут без профилирования не обойтись

Но вот моя теория позволяет нарисовать график, отчеркнуть красную черту и сказать, что после такого кол-ва изменений в инфре пора покупать новый СИЕМ и делать новый проект по внедрению

Берите на вооружение для выбивания бюджета