変動する保持期間によるインデックスの管理

最後の更新
PDFとして保存

複数保持を使用すると、必要に応じてデータを格納できるインデックスパーティションと Scheduled View を作成し、そのパーティションと Scheduled View にさまざまな保持期間を設定できます。

会社のログデータには多くの種類があり、データの種類によって、必要となる保持期間が異なる場合があります。たとえば機密情報で必要となる保持期間は短く、顧客のログイン情報などの他の重要なデータは日常的に使用されるため、保持期間が長くなる場合があります。また他のデータは、毎日アクセスされることはなくても、履歴分析に使用したり、経営判断を行うためのメトリクスを収集するために必要になることがあります。

変動する保持期間を使用すると、必要に応じてデータを格納できるインデックスパーティションと Scheduled View を作成し、そのパーティションと Scheduled View にさまざまな保持期間を設定できます。このように必要なデータを必要な期間維持する一方で、重要性の低いその他のデータの保持期間を短くして、運用の総コストを削減することができます。

初めてパーティションまたは Scheduled View を作成するときに保持期間を設定します。また保持期間は将来いつでも編集することができます。

保持期間は、メッセージ時間ではなく、データの受信時間に基づいて測定されます。

最短の保持期間は 1 日、最大の保持期間は 5000 日です。

[Manage Data (データの管理)] > [Settings (設定)] ページには、[Partitions (パーティション)] タブと [Scheduled View] タブがあります。

[Partitions (パーティション)] タブの最初のエントリは、常に、以下から構成される一般的なインデックスになります。

デフォルトインデックス。パーティションのルーティング式に一致しないデータを含みます。
Sumo Logic Audit Index。sumologic_audit、sumologic_volume などの Source Category に格納されたデータを含みます。詳細については、「Audit Index の有効化と管理」を参照してください。
Scheduled Search が含まれるビュー。

一般的なインデックスのデフォルトの保持期間は 30 日です。

ここでは、次のような、各パーティションに取り込まれる総ボリュームを確認できます。

インデックス名
ルーティング式
ストレージ使用量 — 保持期間中に取り込まれた非圧縮データの合計ボリューム
保持期間
Data Forwarding

右側の青い矢印メニューから、次の操作を選択できます。

廃棄
詳細の表示。
保持期間の編集
Data Forwarding の編集

保持期間の編集

パーティションと Scheduled View の保持期間を編集できます。最短の保持期間は 1 日、最大の保持期間は 5000 日です。

[Manage Data (データの管理)] > [Settings (設定)] に移動します。
[Partitions (パーティション)] または [Scheduled Views (Scheduled View)] タブで、保持期間を編集する項目の上にカーソルを置きます。
右側の青い矢印をクリックして、メニューから [Edit Retention Period (保持期間の編集)] を選択します。(保持期間は展開された情報ダイアログからも編集できます。[Retention Period (保持期間)] の横の [Edit (編集)] をクリックします)。
[Edit Retention Period (保持期間の編集)] ダイアログで、新しい保持期間 (日数) を入力します。または、[Apply the retention period of the General Index (一般的なインデックスの保持期間の適用)] チェックボックスをオンにします。
1. 新しい保持期間が以前の保持期間より長い場合は、[Save (保存)] をクリックします。
2. 新しい保持期間が以前の保持期間より短い場合は、7 日で、または直ちにデータの一部が削除されます。[Save (保存)] をクリックして、以下のいずれかを選択します。
  - このデータ削除を数日間シミュレーションしてから、[Reduce retention period after 7 days (7 日後に保持期間を短縮)] を選択して、保持期間を永久に短縮します。データが永久に削除されるまで、このデータに対する請求が行われますが、これにより、削除が確定する前に、削除がどのような影響を及ぼすかがわかります。
    [Reduce Retention Period after 7 days (7 日後に保持期間を短縮)] を選択しても、[Partitions (パーティション)] ページの保持期間が直ちに変更されるわけではありません。保持期間の短縮が数日後に迫っていることを示すアイコンが表示されます。カウンタの有効期限が過ぎるとデータが削除されて、警告アイコンが消え、新しい保持ポリシーが有効になります。
    その期間中に考えを変え、元の保持期間に戻す場合は、[Click here to undo the reduction in retention period (ここをクリックして、保持期間の短縮を取り消す)] をクリックします。保持は以前の保持レベルにとどまり、保持期間を短縮するジョブはキャンセルされます。
  - また処理を進め、このデータへの請求を直ちに停止したい場合は、テキストボックスに [DELETE (削除)] を入力して、[Reduce retention period immediately (保持期間を直ちに短縮する)] をクリックします。データも直ちに削除されます。
保持期間は、[Retention Period (保持期間)] 列で更新および表示されます。[reduce retention after 7 days (7 日後に保持期間を短縮)] オプションを使用した場合、[Click here to undo the reduction in retention period (ここをクリックして、保持期間の短縮を取り消す)] をクリックして、指定された日付になるまでデータ保持期間の短縮を取り消すことができます。それ以外の場合、データは 7 日後に削除されます。