チュートリアル: Log Analytics ワークスペース内のテーブルのデータ保持ポリシーを構成する
このチュートリアルでは、Microsoft Sentinel または Azure Monitor に使用する Log Analytics ワークスペース内のテーブルの保持ポリシーを設定します。 これらの手順を実行することで、ワークスペース内のアクセス頻度の低下した古いデータをより低コストで保持できます。
Log Analytics ワークスペースのアイテム保持ポリシーは、ワークスペース内のデータ テーブルの古いレコードを、低コストで最小限のアクセスの "長期保有" (以前はアーカイブと呼ばれていました) 状態に移行するタイミングを定義します。 既定では、ワークスペース内のすべてのテーブルはワークスペースの "対話型の保持" 設定を継承し、長期保有 (アーカイブ) ポリシーはありません。 従来の無料試用版価格レベルのワークスペースを除き、個々のテーブルに対して対話型および長期保有ポリシーを修正できます。
このチュートリアルでは、次の作業を行う方法について説明します。
- テーブルの保持ポリシーを設定する
- 対話型および長期保有ポリシーを確認する
前提条件
このチュートリアルの手順を完了するには、次のリソースとロールが必要です。
アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。
次のロールを持つ Azure アカウント
組み込みロール Scope 理由 Log Analytics Contributor いずれかを満たす - サブスクリプション
- Resource group
- テーブル
Log Analytics のテーブルに保持ポリシーを設定するため Log Analytics ワークスペース。
テーブルの保持ポリシーを設定する
Log Analytics ワークスペースで、SecurityEvent テーブルの対話型のアイテム保持ポリシーをワークスペースの既定の 90 日から 180 日に、合計アイテム保持ポリシーを 3 年に変更します。 "合計保持" 期間は、"対話型" と "長期" (アーカイブ) 保持期間の合計です。
Azure portal にサインインします。
Azure portal で、[Log Analytics ワークスペース] を検索して開きます。
適切なワークスペースを選択します。
[設定] で [テーブル] を選択します。
一覧で SecurityEvent テーブルを見つけて、コンテキスト メニュー (...) を開きます。
[Manage table](テーブルの管理) を選択します。
[データ保持設定] で、次の値を入力します。
フィールド 値 [対話型の保持] 180 日 [保持期間の合計] 3 年 時間グラフは、長期保有期間が合計保持期間 (日) から対話型の保持期間 (日) を差し引いたものに等しいことを示しています。 この場合は 915 日、つまり 2.5 年です。
[保存] を選択します。
対話型および合計アイテム保持ポリシーを確認する
更新したテーブルの [テーブル] ページで、[対話型の保持] と [合計保持] のフィールド値を確認します。
リソースをクリーンアップする
リソースは作成されませんでしたが、変更したデータ保持設定を復元することができます。