Log Analytics ワークスペースは、以下の 2 つの状態でデータを保持します。
- 対話型保持: この状態では、データは監視、トラブルシューティング、ほぼリアルタイムの分析に利用できます。
- 長期保持: この低コストの状態では、データをテーブル プラン機能で利用することはできませんが、検索ジョブを通してアクセスすることはできます。
この記事では、Log Analytics ワークスペースがどのようにデータを保持するのかと、ワークスペース内のテーブルのデータ保持を管理する方法について説明します。
対話型、長期、および合計保持期間
既定では、Log Analytics ワークスペース内のすべてのテーブルは、90 日間の既定の保持期間をもつ長期テーブルを除き、データを 30 日間保持します。 この期間 (対話型保持期間) 中は、クエリを通してテーブルからデータを取得でき、テーブル プランに基づいて視覚化、アラート、その他の機能やサービスでデータを利用できます。
Analytics プランでは、テーブルの対話型保持期間を最大 2 年間まで延長できます。 Basic プランと Auxiliary プランの対話型保持期間は 30 日間に固定されています。
注
Analytics テーブルの対話型保持期間は、API または CLI を使用して 4 日間まで短くできます。 ただし、インジェスト価格には 31日間の対話型保持期間が含まれているため、保持期間を 31日間より短くしてもコストは下がりません。
同じテーブル内のデータを対話型保持期間を超えて保持するには、テーブルの合計保持期間を最大 12 年まで延長します。 対話型保持期間が終了すると、データは構成した合計保持期間の残りの期間テーブル内に残ります。 この期間 (長期保持期間) 中は、検索ジョブを実行して、必要な特定のデータをテーブルから取得し、検索結果テーブル内の対話型クエリで利用できるようにします。
保持期間変更のしくみ
テーブルの合計保持期間を短縮すると、Azure Monitor ログはデータの削除まで 30 日間の猶予を設けるため、構成で間違った場合は変更を元に戻しデータの喪失を防ぐことができます。
合計保持期間を増やすと、新しい保持期間は、テーブルに取り込み済みでまだ削除されていないすべてのデータに適用されます。
既存のデータを含むテーブルの長期保持設定を変更すると、その変更はすぐに有効になります。
例:
- 180 日間の対話型保持期間を持ち、長期保持期間は持たない既存の Analytics テーブルがあります。
- 180 日間という合計保持期間は変更せずに、対話型保持期間を 90 日間に変更します。
- Azure Monitor は、経過時間が 90 日から 180 日間のデータが失われないように、合計保持期間の残り 90 日間を自動的に低コストな長期保持期間として扱います。
必要なアクセス許可
| アクション |
必要なアクセス許可 |
| Log Analytics ワークスペース内の Analytics テーブルの既定の対話型保持期間を構成する |
たとえば、Microsoft.OperationalInsights/workspaces/writeによって提供される、Log Analytics ワークスペースに対する microsoft.operationalinsights/workspaces/tables/write および 権限 |
| Log Analytics ワークスペースでテーブルごとに保持設定を取得する |
たとえば、Microsoft.OperationalInsights/workspaces/tables/readによって提供される、Log Analytics ワークスペースに対する 権限 |
Log Analytics ワークスペース内のすべてのテーブルの既定の対話型保持期間は 30 日間です。 ワークスペースレベルのデータ保持設定を変更することで、Analytics テーブルの既定の対話型期間を最大 2 年に変更できます。 Basic および Auxiliary テーブルの対話型保持期間は 30 日間に固定されています。
既定のワークスペースレベルのデータ保持設定の変更は、ワークスペース内の既定の設定がまだ適用されているすべての Analytics テーブルに自動的に影響します。 特定のテーブルの対話型保持期間を既に変更済みである場合、ワークスペースの既定のデータ保持設定を変更しても、そのテーブルは影響を受けません。
重要
30 日間の保持期間が設定されているワークスペースでは、データが 31 日間保持される場合があります。 プライバシー ポリシーに準拠するためにのみデータを 30 日間を保持する必要がある場合は、API を使用して既定のワークスペースの保有期間を 30 日間に構成し、ワークスペースの immediatePurgeDataOn30Days プロパティを true に更新します。 現在、この操作は Workspaces - Update API を使用した場合にのみサポートされます。
Log Analytics ワークスペース内の Analytics テーブルの既定の対話型保持期間を設定するには:
Azure portal の [Log Analytics ワークスペース] メニューからワークスペースを選択します。
左側のウィンドウから [使用量と推定コスト] を選択します。
ページの上部にある [データ保持] を選択します。
スライダーを動かして日数を増減してから、[OK] を選択します。
Log Analytics ワークスペース内の Analytics テーブルの既定の対話型保持期間を設定するには、Workspaces - Create Or Update API を呼び出します。
PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}?api-version=2023-09-01
要求本文
要求本文には、次の票の値が含まれています。
| 名前 |
種類 |
説明 |
properties.retentionInDays |
整数 (integer) |
ワークスペースのデータ保有期間 (日数)。 使用できる値は価格プランごとになります。 詳細については、価格レベル ドキュメントを参照してください。 |
location |
ひも |
リソースの地理的な場所。 |
immediatePurgeDataOn30Days |
ブーリアン |
データが 30 日後に直ちに削除され回復不可能になるかどうかを示すフラグ。 ワークスペースの保有期間が 30 日間に設定されている場合にのみ適用されます。 |
例
次の例では、ワークスペースの保持期間をワークスペースの既定の 30 日間に設定し、データが 30 日後に直ちに削除され回復不可能になることを確認します。
依頼
PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}?api-version=2023-09-01
{
"properties": {
"retentionInDays": 30,
"features": {"immediatePurgeDataOn30Days": true}
},
"location": "australiasoutheast"
}
**Response**
Status code: 200
```http
{
"properties": {
...
"retentionInDays": 30,
"features": {
"legacy": 0,
"searchVersion": 1,
"immediatePurgeDataOn30Days": true,
...
},
...
Log Analytics ワークスペース内の Analytics テーブルの既定の対話型保持期間を設定するには、az monitor log-analytics workspace update コマンドを実行し、--retention-time パラメーターを渡します。
次の例では、テーブルの対話型リテンション期間を 30 日に設定します。
az monitor log-analytics workspace update --resource-group myresourcegroup --retention-time 30 --workspace-name myworkspace
Set-AzOperationalInsightsWorkspace コマンドレットを使用して、Log Analytics ワークスペース内の Analytics テーブルの既定の対話型保持期間を設定します。 次の例では、既定の対話型保持期間を 30 日間に設定します。
Set-AzOperationalInsightsWorkspace -ResourceGroupName "myResourceGroup" -Name "MyWorkspace" -RetentionInDays 30
既定では、Analytics データ プランを持つすべてのテーブルは、Log Analytics ワークスペースの既定の対話型保持設定を継承し、長期保持期間は持ちません。 追加のコストをかけることで Analytics テーブルの対話型保持期間を最大 730 日間まで延長できます。
何らかのデータ プランを持つテーブルに長期保持期間を追加するには、合計保持期間を最大 12 年 (4,383 日) に設定します。
注
現在、Azure portal と API を使用して、合計リテンション期間を最大 12 年に設定できます。 CLI と PowerShell は 7 年に制限されています。12年間のサポートが、後日提供される予定です。
Azure portal でテーブルの保持設定を変更するには:
[Log Analytics ワークスペース] メニューから [テーブル] を選択します。
[テーブル] 画面には、ワークスペース内のすべてのテーブルが一覧表示されます。
構成するテーブルのコンテキスト メニューを選択し、[テーブルの管理] を選択します。
![ワークスペース内のあるテーブルの [Manage table] (テーブルの管理) ボタンを示すスクリーンショット。](media/basic-logs-configure/log-analytics-table-configuration.png)
テーブル構成画面の [データ保持設定] セクションで、対話型保持期間と合計保持期間の設定を構成します。
テーブルの保持設定を変更するには、Tables - Update API を呼び出します。
PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName}?api-version=2022-10-01
PUT または PATCH を使用できます。違いは次のとおりです。
- null 以外の値を設定しない場合、PUT API は
retentionInDays と totalRetentionInDays を既定値に設定します。
- 値を指定しない場合、PATCH API は
retentionInDays または totalRetentionInDays の値を変更しません。
要求本文
要求本文には、次の票の値が含まれています。
| 名前 |
種類 |
説明 |
| properties.retentionInDays |
整数 (integer) |
テーブルのデータ保有期間 (日数)。 この値の範囲は 4 から 730 です。
このプロパティを null 値 に設定すると、ワークスペースの保持期間に適用されます。 Basic および Auxiliary ログ テーブルの場合、この値は常に 30 です。 |
| properties.totalRetentionInDays |
整数 (integer) |
長期保持期間を含むテーブルの合計データ保持期間。 この値は、4 から 730、または 1095、1460、1826、2191、2556、2922、3288、3653、4018、4383 です。 長期保持期間が必要ない場合は、このプロパティを null に設定します。 |
例
この例では、テーブルの対話型保持期間をワークスペースの既定値である 30 日間に、合計保持期間を 2 年間に設定します。これは長期保持期間が 23 か月間であることを意味します。
依頼
PATCH https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/CustomLog_CL?api-version=2022-10-01
要求本文
{
"properties": {
"retentionInDays": null,
"totalRetentionInDays": 730
}
}
応答
状態コード:200
{
"properties": {
"retentionInDays": 30,
"totalRetentionInDays": 730,
"archiveRetentionInDays": 700,
...
},
...
}
テーブルの保持設定を変更するには、az monitor log-analytics workspace table update コマンドを実行し、--retention-time および --total-retention-time パラメーターを渡します。
次の例では、テーブルの対話型保持期間を 30 日間に、合計保持期間を 2 年間に設定します。これは、長期保持期間が 23 か月間であることを意味します。
az monitor log-analytics workspace table update --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name AzureMetrics --retention-time 30 --total-retention-time 730
ワークスペースの既定の対話型リテンション期間の値をテーブルに再適用し、合計リテンション期間を 0 にリセットするには、 パラメーターと --retention-time パラメーターを --total-retention-time に設定して、-1 コマンドを実行します。
次に例を示します。
az monitor log-analytics workspace table update --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name Syslog --retention-time -1 --total-retention-time -1
テーブルの保持設定を変更するには、Update-AzOperationalInsightsTable コマンドレットを使用します。 次の例では、テーブルの対話型保持期間を 30 日間に、合計保持期間を 2 年間に設定します。これは、長期保持期間が 23 か月間であることを意味します。
Update-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName AzureMetrics -RetentionInDays 30 -TotalRetentionInDays 730
ワークスペースの既定の対話型保持値をテーブルに再適用し、合計保持を 0 にリセットするには、 および -RetentionInDays パラメータを -TotalRetentionInDays に設定して -1 コマンドレットを実行します。
次に例を示します。
Update-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName Syslog -RetentionInDays -1 -TotalRetentionInDays -1
このサンプル ARM テンプレートとパラメーター ファイルを使用して、特定のテーブルの保持期間を更新します。
テンプレート ファイル
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"workspaceName": {
"type": "string",
"defaultValue": "sampleWorkspace",
"metadata": {
"description": "The number of days to retain the data."
}
},
"tableName": {
"type": "string",
"defaultValue": "sampleTable",
"metadata": {
"description": "The name of the Log Analytics table to modify."
}
},
"retentionInDays": {
"type": "int",
"defaultValue": 30,
"metadata": {
"description": "The number of days to retain the data."
}
}
},
"resources": [
{
"type": "Microsoft.OperationalInsights/workspaces",
"apiVersion": "2025-02-01",
"name": "[parameters('workspaceName')]",
"location": "[resourceGroup().location]",
"resources": [
{
"type": "Microsoft.OperationalInsights/workspaces/tables",
"apiVersion": "2025-02-01",
"name": "[concat(parameters('workspaceName'), '/', parameters('tableName'))]",
"properties": {
"retentionInDays": "[parameters('retentionInDays')]"
},
"dependsOn": [ "[resourceId('Microsoft.OperationalInsights/workspaces/', parameters('workspaceName'))]" ]
}
]
}
]
}
パラメーター ファイル
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"workspaceName": {
"value": "MyWorkspace"
},
"tableName": {
"value": "AppRequests"
},
"retentionInDays": {
"value": 120
}
}
}
テーブルごとに保持設定を取得する
Azure portal でテーブルの保持設定を表示するには、[Log Analytics ワークスペース] メニューから [テーブル] を選択します。
[テーブル] 画面には、ワークスペース内のすべてのテーブルの対話型保持期間および合計保持期間が表示されます。
![ワークスペース内のあるテーブルの [Manage table] (テーブルの管理) ボタンを示すスクリーンショット。](media/data-retention-configure/log-analytics-view-table-retention-auxiliary.png)
特定のテーブル (この例では SecurityEvent) の保持設定を取得するには、Tables - Get API を呼び出します。
GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2022-10-01
ワークスペース内のテーブルレベルの保持設定をすべて取得するには、テーブル名を設定しないでください。
次に例を示します。
GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables?api-version=2022-10-01
特定のテーブルの保持設定を取得するには、az monitor log-analytics workspace table show コマンドを実行します。
次に例を示します。
az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name SecurityEvent
特定のテーブルの保持設定を取得するには、Get-AzOperationalInsightsTable コマンドレットを実行します。
次に例を示します。
Get-AzOperationalInsightsTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -tableName SecurityEvent
Log Analytics ワークスペース内のテーブルを削除したときにデータに何が起こるか?
Log Analytics ワークスペースには、複数の種類のテーブルを含めることができます。 テーブルを削除するとどうなるかは、それぞれ場合によって異なります。
| テーブルの種類です。 |
データ保持 |
推奨事項 |
| Azure テーブル |
Azure テーブルは、Azure リソースからのログや Azure サービスまたはソリューションが必要とするデータを保持しているため、削除できません。 リソース、サービス、またはソリューションからのデータのストリーミングを停止すると、データはテーブルに対して定義された保持期間が終了するまでワークスペース内に残ります。 |
料金を最小限に抑えるには、テーブル レベルの保有期間を 4 日間に設定してから、テーブルへのログのストリーミングを停止します。 |
カスタム ログ テーブル (table_CL) |
テーブル レベルの保有期間または既定のワークスペースの保有期間が終了するまで、テーブルが論理的に削除されます。 論理的な削除期間中は、引き続きデータ保持料金を支払い、同じ名前とスキーマを持つテーブルを設定することで、テーブルを再作成してデータにアクセスできます。 カスタム テーブルを削除してから 14 日後、Azure Monitor はテーブル レベルの保有期間の構成を削除し、既定のワークスペースの保有期間を適用します。 |
料金を最小限に抑えるには、テーブル レベルの保有期間を 4 日間に設定してから、テーブルを削除します。 |
検索結果テーブル (table_SRCH) |
テーブルとデータを即時かつ完全に削除します。 |
|
復元されたテーブル(table_RST) |
復元用にプロビジョニングされたホット キャッシュを削除しますが、ソース テーブル データは削除されません。 |
|
90 日間の既定の保持期間を持つログ テーブル
既定では、Usage および AzureActivity テーブルは少なくとも 90 日間、無料でデータを保持します。 ワークスペースの保持期間を 90 日より長くに延長すると、これらのテーブルの保持期間も長くなります。 これらのテーブルも、データ インジェスト料金の対象になりません。
Application Insights リソースに関連するテーブルでも、データは 90 日間無料で保持されます。 これらの各テーブルの保持は個別に調整できます。
AppAvailabilityResultsAppBrowserTimingsAppDependenciesAppExceptionsAppEventsAppMetricsAppPageViewsAppPerformanceCountersAppRequestsAppSystemEventsAppTraces
価格モデル
対話型保持期間と長期保持期間を追加するための料金は、保持するデータの量 (GB 単位)、およびデータを保持する日数に基づいて計算されます。 _IsBillable == false を持つログ データは、インジェストまたは保持の料金の対象になりません。
詳細については、「Azure Monitor の価格」を参照してください。
次のステップ
各項目の詳細情報
![ワークスペース内のあるテーブルの [Manage table] (テーブルの管理) ボタンを示すスクリーンショット。](media/basic-logs-configure/log-analytics-table-configuration.png#lightbox)
![ワークスペース内のあるテーブルの [Manage table] (テーブルの管理) ボタンを示すスクリーンショット。](media/data-retention-configure/log-analytics-view-table-retention-auxiliary.png#lightbox)