ある企業の Log Analytics ワークスペースには、過去 2 年間のセキュリティ監査ログが蓄積されており、月次コスト最適化の観点から保持コストを削減したいと考えている。直近 90 日間は検索・分析用途で頻繁にクエリされるが、90 日以降は法令上の保持義務があるが検索頻度は極めて低い。最もコスト効率の高いデータ管理設定はどれか。
- A. ワークスペースの対話型保持期間(interactive retention)を 90 日に設定し、合計保持期間(total retention)を 730 日に設定して、差分期間はアーカイブ層で低コスト保持する
- B. ワークスペースの保持期間を 90 日に設定し、90 日を超えたデータは診断設定で Azure Storage アカウント(クールまたはアーカイブ層)にアーカイブする
- C. Log Analytics ワークスペースを 90 日で削除・再作成するサイクルで運用し、古いデータは別のワークスペースに移行する
- D. ワークスペース全体の保持期間を 2 年に設定し、頻繁にクエリされるデータもそうでないデータも同一コストで保持する
解答と解説を見る
正解: A
Log Analytics ワークスペースは「対話型保持期間(Interactive retention)」と「合計保持期間(Total retention)」を分けて設定できる。対話型保持期間は通常のクエリ操作が可能で料金が高く(最大 730 日)、合計保持期間はアーカイブ状態で保持(最大 2557 日/7 年)され、検索には追加クエリコスト(Search jobs)がかかるが月額保持コストは大幅に安い。90 日を超えたデータへのアクセス頻度が低い場合、この差分期間をアーカイブに設定することが最もコスト効率的である。選択肢Dは全データを同一コストで 2 年保持するため過剰な費用がかかる。選択肢BはStorage アカウントへの転送を別途構築する必要があり、構成・管理の複雑さが増すうえ、ワークスペース内でのクエリ統合性が失われる。選択肢Cは定期的なワークスペース再作成という非現実的な手動運用であり、ID 連続性・クエリ互換性も失われる。