Problem z danymi polega na tym, że każde urządzenie, system operacyjny i aplikacja (źródło) generuje logi w innym formacie. Co gorsza, niektórzy dostawcy, tacy jak Microsoft, oferują kilka form rejestrowania; dlatego też, w zależności od tego, czego szukasz, dane mogą równie dobrze mieć format inny niż pozostałe dzienniki tego dostawcy. Na przykład firma Microsoft przechowuje dzienniki w Podglądzie zdarzeń (EVT), udostępnia dostęp na poziomie interfejsu API do dzienników na poziomie jądra za pośrednictwem śledzenia zdarzeń dla systemu Windows (ETW) i może przekazywać dzienniki za pośrednictwem serwerów przekazywania zdarzeń systemu Windows (WEF). Ponadto firma Microsoft udostępnia narzędzie Sysmon, które w prosty sposób udostępnia dzienniki procesów, plików i działań sieciowych na poziomie systemu. Każda z tych metod rejestrowania, żeby wymienić tylko kilka, zapewnia inny format. Jak więc znormalizować te źródła dzienników i setki innych źródeł w formacie umożliwiającym przeszukiwanie i skalowalny?