Log Analytics ワークスペース内のデータ保持を管理する

Log Analytics ワークスペースは、以下の 2 つの状態でデータを保持します。

  • 対話型保持: この状態では、データは監視、トラブルシューティング、ほぼリアルタイムの分析に利用できます。
  • 長期保持: この低コストの状態では、データをテーブル プラン機能で利用することはできませんが、検索ジョブを通してアクセスすることはできます。

この記事では、Log Analytics ワークスペースがどのようにデータを保持するのかと、ワークスペース内のテーブルのデータ保持を管理する方法について説明します。

対話型、長期、および合計保持期間

既定では、Log Analytics ワークスペース内のすべてのテーブルは、90 日間の既定の保持期間をもつ長期テーブルを除き、データを 30 日間保持します。 この期間 (対話型保持期間) 中は、クエリを通してテーブルからデータを取得でき、テーブル プランに基づいて視覚化、アラート、その他の機能やサービスでデータを利用できます。

Analytics プランでは、テーブルの対話型保持期間を最大 2 年間まで延長できます。 Basic プランと Auxiliary プランの対話型保持期間は 30 日間に固定されています。

Note

Analytics テーブルの対話型保持期間は、API または CLI を使用して 4 日間まで短くできます。 ただし、インジェスト価格には 31日間の対話型保持期間が含まれているため、保持期間を 31日間より短くしてもコストは下がりません。

同じテーブル内のデータを対話型保持期間を超えて保持するには、テーブルの合計保持期間を最大 12 年まで延長します。 対話型保持期間が終了すると、データは構成した合計保持期間の残りの期間テーブル内に残ります。 この期間 (長期保持期間) 中は、検索ジョブを実行して、必要な特定のデータをテーブルから取得し、検索結果テーブル内の対話型クエリで利用できるようにします。

Azure Monitor ログ内の対話型保持と長期保持を示す図。

保持期間変更のしくみ

テーブルの合計保持期間を短縮すると、Azure Monitor ログはデータの削除まで 30 日間の猶予を設けるため、構成で間違った場合は変更を元に戻しデータの喪失を防ぐことができます。

合計保持期間を増やすと、新しい保持期間は、テーブルに取り込み済みでまだ削除されていないすべてのデータに適用されます。

既存のデータを含むテーブルの長期保持設定を変更すると、その変更はすぐに有効になります。

例:

  • 180 日間の対話型保持期間を持ち、長期保持期間は持たない既存の Analytics テーブルがあります。
  • 180 日間という合計保持期間は変更せずに、対話型保持期間を 90 日間に変更します。
  • Azure Monitor は、経過時間が 90 日から 180 日間のデータが失われないように、合計保持期間の残り 90 日間を自動的に低コストな長期保持期間として扱います。

必要なアクセス許可

アクション 必要なアクセス許可
Log Analytics ワークスペース内の Analytics テーブルの既定の対話型保持期間を構成する たとえば、Log Analytics 共同作成者組み込みロールによって提供される、Log Analytics ワークスペースに対する Microsoft.OperationalInsights/workspaces/write および microsoft.operationalinsights/workspaces/tables/write 権限
Log Analytics ワークスペースでテーブルごとに保持設定を取得する たとえば、Log Analytics 閲覧者組み込みロールによって提供される、Log Analytics ワークスペースに対する Microsoft.OperationalInsights/workspaces/tables/read 権限

Analytics テーブルの既定の対話型保持期間を構成する

Log Analytics ワークスペース内のすべてのテーブルの既定の対話型保持期間は 30 日間です。 ワークスペースレベルのデータ保持設定を変更することで、Analytics テーブルの既定の対話型期間を最大 2 年に変更できます。 Basic および Auxiliary テーブルの対話型保持期間は 30 日間に固定されています。

既定のワークスペースレベルのデータ保持設定の変更は、ワークスペース内の既定の設定がまだ適用されているすべての Analytics テーブルに自動的に影響します。 特定のテーブルの対話型保持期間を既に変更済みである場合、ワークスペースの既定のデータ保持設定を変更しても、そのテーブルは影響を受けません。

重要

30 日間の保持期間が設定されているワークスペースでは、データが 31 日間保持される場合があります。 プライバシー ポリシーに準拠するためにのみデータを 30 日間を保持する必要がある場合は、API を使用して既定のワークスペースの保有期間を 30 日間に構成し、ワークスペースの immediatePurgeDataOn30Days プロパティを true に更新します。 現在、この操作は Workspaces - Update API を使用した場合にのみサポートされます。

Log Analytics ワークスペース内の Analytics テーブルの既定の対話型保持期間を設定するには:

  1. Azure portal の [Log Analytics ワークスペース] メニューからワークスペースを選択します。

  2. 左側のウィンドウから [使用量と推定コスト] を選択します。

  3. ページの上部にある [データ保持] を選択します。

    ワークスペースのデータ保持設定の変更を示すスクリーンショット。

  4. スライダーを動かして日数を増減してから、[OK] を選択します。

テーブルレベルの保持期間を構成する

既定では、Analytics データ プランを持つすべてのテーブルは、Log Analytics ワークスペースの既定の対話型保持設定を継承し、長期保持期間は持ちません。 追加のコストをかけることで Analytics テーブルの対話型保持期間を最大 730 日間まで延長できます。

何らかのデータ プランを持つテーブルに長期保持期間を追加するには、合計保持期間を最大 12 年 (4,383 日) に設定します。 Auxiliary テーブル プランは現在パブリック プレビュー段階であり、この間はプランの合計保持期間は 365 日に固定されます。

Note

現在、Azure portal と API を使用して、合計リテンション期間を最大 12 年に設定できます。 CLI と PowerShell は 7 年に制限されています。12年間のサポートが、後日提供される予定です。

Azure portal でテーブルの保持設定を変更するには:

  1. [Log Analytics ワークスペース] メニューから [テーブル] を選択します。

    [テーブル] 画面には、ワークスペース内のすべてのテーブルが一覧表示されます。

  2. 構成するテーブルのコンテキスト メニューを選択し、[テーブルの管理] を選択します。

    ワークスペース内のあるテーブルの [Manage table] (テーブルの管理) ボタンを示すスクリーンショット。

  3. テーブル構成画面の [データ保持設定] セクションで、対話型保持期間と合計保持期間の設定を構成します。

    テーブル構成画面のデータ保持設定を示すスクリーンショット。

テーブルごとに保持設定を取得する

Azure portal でテーブルの保持設定を表示するには、[Log Analytics ワークスペース] メニューから [テーブル] を選択します。

[テーブル] 画面には、ワークスペース内のすべてのテーブルの対話型保持期間および合計保持期間が表示されます。

ワークスペース内のあるテーブルの [Manage table] (テーブルの管理) ボタンを示すスクリーンショット。

Log Analytics ワークスペース内のテーブルを削除したときにデータに何が起こるか?

Log Analytics ワークスペースには、複数の種類のテーブルを含めることができます。 テーブルを削除するとどうなるかは、それぞれ場合によって異なります。

テーブルの種類です。 データ保持 推奨事項
Azure テーブル Azure テーブルは、Azure リソースからのログや Azure サービスまたはソリューションが必要とするデータを保持しているため、削除できません。 リソース、サービス、またはソリューションからのデータのストリーミングを停止すると、データはテーブルに対して定義された保持期間が終了するまでワークスペース内に残ります。 料金を最小限に抑えるには、テーブル レベルの保有期間を 4 日間に設定してから、テーブルへのログのストリーミングを停止します。
カスタム ログ テーブル (table_CL) テーブル レベルの保有期間または既定のワークスペースの保有期間が終了するまで、テーブルが論理的に削除されます。 論理的な削除期間中は、引き続きデータ保持料金を支払い、同じ名前とスキーマを持つテーブルを設定することで、テーブルを再作成してデータにアクセスできます。 カスタム テーブルを削除してから 14 日後、Azure Monitor はテーブル レベルの保有期間の構成を削除し、既定のワークスペースの保有期間を適用します。 料金を最小限に抑えるには、テーブル レベルの保有期間を 4 日間に設定してから、テーブルを削除します。
検索結果テーブル (table_SRCH) テーブルとデータを即時かつ完全に削除します。
復元されたテーブル (table_RST) 復元用にプロビジョニングされたホット キャッシュを削除しますが、ソース テーブル データは削除されません。

90 日間の既定の保持期間を持つログ テーブル

既定では、Usage および AzureActivity テーブルは少なくとも 90 日間、無料でデータを保持します。 ワークスペースの保持期間を 90 日より長くに延長すると、これらのテーブルの保持期間も長くなります。 これらのテーブルも、データ インジェスト料金の対象になりません。

Application Insights リソースに関連するテーブルでも、データは 90 日間無料で保持されます。 これらの各テーブルの保持は個別に調整できます。

  • AppAvailabilityResults
  • AppBrowserTimings
  • AppDependencies
  • AppExceptions
  • AppEvents
  • AppMetrics
  • AppPageViews
  • AppPerformanceCounters
  • AppRequests
  • AppSystemEvents
  • AppTraces

価格モデル

対話型保持期間と長期保持期間を追加するための料金は、保持するデータの量 (GB 単位)、およびデータを保持する日数に基づいて計算されます。 _IsBillable == false を持つログ データは、インジェストまたは保持の料金の対象になりません。

詳細については、「Azure Monitor の価格」を参照してください。

次のステップ

各項目の詳細情報