ストレージの管理

Oracle Log Analyticsに収集されたログ・データは、分析のためにアクティブ・ストレージで使用できます。ログは、アーカイブ、削除またはパージするまでアクティブ・ストレージに格納されます。

必要に応じて、次のストレージ関連アクティビティを実行できます。

ログのアーカイブ: 将来、分析に古いログを使用する必要がある場合、アーカイブを有効にし、ログのタイムスタンプからの日数を指定します(それを過ぎることで、ログ・データは、アクティブ・ストレージから低コストで使用できるアーカイブ・ストレージに自動的に移動されます)。アクティブな使用のためにアーカイブ・ログ・データをリコールすることもできます。ログ・データのアーカイブを参照してください。
- アーカイブ・ログのリコール: ログ・データがアーカイブされた後、アクティブな使用のために、選択したログ・データをリコールできます。ログのタイムスタンプが存在する時間範囲を指定して、リコールするログを選択します。リコールされたログは、アクティブな使用の後に、アーカイブ・プールに解放して戻すことができます。リコールされたデータは、解放するまでアクティブ・ストレージの使用量に加算されることに注意してください。アーカイブ・ログのリコールを参照してください。
- リコールされたログの解放: このオプションを使用して、リコールされたログをアーカイブ・ストレージに解放し、ストレージ・コストを最適化します。アーカイブ・ログのリコールのステップ8を参照してください。
ログのパージ: 未使用または古いログ・データをパージして、消費しているアクティブ・ストレージのサイズを削減できます。オンデマンド・パージを実行することも、パージ・ポリシーを作成することもできます。ログ・データのパージを参照してください。
ストレージ・アクティビティ・レポートの表示: この単一ペイン・ウィンドウを使用して、すべてのストレージ管理アクティビティをトラッキングし、追加の管理タスクを実行します。ストレージ・アクティビティ・レポートの表示を参照してください。

次の図は、Oracle Log Analyticsの一般的なストレージ管理ワークフローを示しています。

問合せでRecall述語を使用して、リコールされたログ、アクティブ・ログまたはその両方をフィルタできます。リコールされたログをフィルタするための問合せ述語を参照してください。

ノート

タイム・ラインがパージ・ポリシーと重複している場合、アーカイブ・ポリシーとリコール・アクティビティは完了しない可能性があります。アーカイブする必要があるログ・データが失われないように、パージ・ポリシーとアーカイブ設定を確認してください。

ログ・データのアーカイブ

Oracle Log Analyticsで検索および分析タスクに最近のログのみを使用している場合、アーカイブを有効にするとストレージ・コストを最適化できます。

ノート

指定された最小サイズのデータがアクティブ・ストレージに配置された後にのみ、アーカイブを有効にできます。現在、これは1 TBです。
アーカイブ可能になる前のログの最小のアクティブ・ストレージ期間(日数)は、30日です。

ナビゲーション・メニューを開き、「監視および管理」をクリックします。「Log Analytics」で、「管理」をクリックします。「管理の概要」ページが開きます。
管理リソースが、左側のナビゲーション・ペインの「リソース」の下にリストされます。「ストレージ」をクリックします。

「ストレージ」ページが表示されます。
「アーカイブの有効化」をクリックします。「アーカイブの有効化」ダイアログ・ボックスで、
- 「アクティブ・ストレージ期間(日数)」フィールドに、アクティブ・ストレージのログ・データをアーカイブするまでの日数を入力します。
  
  ログのタイムスタンプに基づいて数が計算されます。たとえば、ログのタイムスタンプがNovember 4, 2020 23:43:12で、アクティブ・ストレージ期間を30と指定した場合、ログは通常、December 3, 2020にアーカイブ・ストレージに移動されます。
  ノート
  
  ログのアクティブ・ストレージ期間を指定して、アーカイブ・ストレージに移動する必要があるログを決定した場合でも、ログ索引構造は、ログの格納に使用されるバケットに基づいていることに注意してください。通常のシナリオでは、バケット全体がアーカイブ・ストレージに移動されるのは、その中のすべてのログが指定した基準より古くなったときです。
  
  たとえば、「アクティブ・ストレージ期間」フィールドが30日に設定されている場合を考えます:
  - ログの経過時間が40 - 80日であるBucket_1: ログ・データは適格で、アーカイブ・ストレージに移動されます。
  - ログの経過時間が25 - 40日であるBucket_2: 一部のログ・データはアーカイブに適格ですが、すべてのログが指定した経過時間に達するまでアーカイブされません。
  - ログの経過時間が0 - 25日であるBucket_3: どのログもアーカイブに適していません。すべてのログが適格になると、バケット全体がアーカイブされます。
  前述のシナリオで、Bucket_1のログがアーカイブされた後で、40日より古い別のログが収集されると、それらは通常、Bucket_2に追加されます。
- デフォルトでは、ログ・データは無期限にアーカイブ・ストレージに残ります。「アーカイブ・ストレージ期間(日数)」フィールドの横にあるチェック・ボックス「無期限」が有効になります。
  
  期間を変更するには、チェック・ボックスを無効にし、アーカイブ・ストレージのログ・データをパージするまでの日数を「アーカイブ・ストレージ期間(日数)」フィールドに入力します。
「有効化」をクリックします。
アーカイブがすでに有効で、アーカイブ設定を変更する場合は、「アーカイブ設定の変更」をクリックします。次のタスクを実行できます:
- 「アクティブ・ストレージ期間(日数)」でアーカイブのために指定した日数の値を変更できます。
- アーカイブ・ストレージからログをパージするために指定した日数の値を「アーカイブ・ストレージ期間(日数)」で変更するか、チェック・ボックス「無期限」を有効にして、アーカイブ・ストレージにログを永続的に保持できます。
- 「アーカイブの無効化」をクリックしてアーカイブを停止します。
「変更の保存」をクリックします。

アーカイブ・ログのリコール

アーカイブ・ログは、表示および分析のためにリコールできます。リコールされると、アーカイブに解放されるまで、アクティブ・ストレージの使用量に対してデータがカウントされます。

同じログ・セットを複数回リコールおよびリリースできます。時間範囲または問合せが重複する場合でも、リコール間の依存関係はありません。

ノート

各リコールは、生成されるアクティブなストレージ使用量に基づいて請求されます。

ナビゲーション・メニューを開き、「監視および管理」をクリックします。「Log Analytics」で、「管理」をクリックします。「管理の概要」ページが開きます。
管理リソースが、左側のナビゲーション・ペインの「リソース」の下にリストされます。「ストレージ」をクリックします。

「ストレージ」ページが表示されます。
「ストレージ」ページの左側のパネルの「リソース」で、「アーカイブ・リコール・リクエスト」をクリックします。

「アーカイブ・リコール・リクエスト」ページに、以前開始されたリコール・リクエストが表示されます。
「リコール・リクエストの作成」をクリックします。「リコール・リクエストの作成」ダイアログ・ボックスが開きます。
「リコールの目的」を指定します。これにより、リコール・リクエストを識別できます。
オプションで、ログ・セットを定義した場合は、1つ以上のログ・セットを指定して、リコールされたデータをフィルタできます。複数のログ・セットを指定するには、カンマ区切りを使用します。
「ユーザー定義の開始時間」および「ユーザー定義の終了時間」を指定して、リコールするログの時間の範囲を選択します。
「リコール・ログ・サイズの見積り」をクリックします。「分析用の推奨データ・セット」セクションが開きます。リコール用に選択したログのサイズが、見出し「フィルタ処理前のリコール済最大データ・サイズ」の横に表示されます。

開始時間と終了時間は、バケットに基づいているログ索引構造に合せて延長されます。そのため、アクティブなリコールのリストを表示したり、「アクティビティ」タブにアクセスしたりすると、選択した時間範囲を超える開始および終了時間が表示されることがあります。
データの可用性に基づいて、別の時間範囲をお薦めします。推奨時間範囲ではなく、前に指定した時間範囲を選択するには、「推奨データ・セットをリコールに使用しない」チェック・ボックスを選択します。
「データ・セットをフィルタする問合せ」を指定します。問合せから時間およびログ・セットを除外します。

フィルタを指定すると、実際のリコール・データ・サイズが小さくなります。ただし、フィルタはこの見積りに影響しません。

ノート

問合せでは、検索フィルタまたは正規表現のみがサポートされています。問合せにパイプ、集計または統計関数を追加しないでください。

問合せを使用してデータをフィルタするために任意のログ・フィールドを使用できます(時間およびログ・セットを除く)。

無効な検索の例のいくつかを次に示します:
- Entity = ‘test1’ | search ‘xyz’
  
  かわりに、有効なEntity = 'test1' and 'xyz'を使用できます。同様に、より有効な例として、'Entity = 'test1'および'Log Source' = 'AVDF Alert Linux Syslog' and 'xyz'があります。
- Entity = ‘test1’ | stats count
  
  前述の問合せには統計関数とパイプがあるため、回避策はありません。ただし、エンティティ・フィルタのみを使用することは有効なEntity = ‘test1’です。
「リコール・リクエストの作成」をクリックして、選択したログのリコールを続行します。

リコール・アクティビティは、「アーカイブ・リコール・リクエスト」ページにリストされます。この表は、リコール・アクティビティのステータス、時間範囲、データ・サイズおよび要求日時、リコールを開始したユーザー、およびリコールの目的を示しています。

リコール・アクティビティのステータスを確認します。リコール・アクティビティが完了したら、リコールされたログを使用して表示や分析を行うことができます。

ノート

リコールのステータスがPARTIAL_RECALLEDの場合は、現在のリコールに分析用の完全なデータが含まれないため、リリースおよびリコールを再実行します。

コレクションのデータ・サイズ・アイコンがオレンジ色で表示されている場合は、新しい追加ログ・データをリコールできます。データ・アイコンをクリックし、「新規データのリコール」をクリックして、新規データのリコールを開始します。「新規データのリコール」ダイアログ・ボックスが開きます。データ・セットをフィルタする問合せおよびデータ・リコールの時間範囲が事前定義されています。リコールの目的を指定し、「リコール・リクエストの作成」をクリックします。
リコールされたログをアクティブに使用した後、アーカイブ・プールに解放する場合は、リコールされたログに対応する行でアクション・メニュー・アイコンをクリックし、「リリース」を選択します。

リコールされたログがアーカイブ・プールに解放されます。これにより、ストレージのサイズとコストを最適化できます。
ノート

REST APIを使用してリコールされたログをリリースする場合は、コンソールまたはCLIからのリコール時間範囲に注意し、時間を次のように書式設定します。
- リコール開始時間: 値を端数処理(床)します。リコール開始時間がFrom Mon, Mar 7, 2022, 05:45:33 UTCの場合は、時間を切り捨ててfrom_time=2022-03-07T5:45:32.000Zと指定します。
- リコール終了時間: 値を切り上げ(切上げ)します。リコール終了時間がTo Wed, Mar 15, 2023, 17:26:53 UTCの場合は、時間を切り上げてto_time=2023-03-15T17:26:54.000Zと指定します。

重複するリコールが2つ以上あるため、ログ・エクスプローラまたはダッシュボードに重複するログ・データが表示される場合は、検索にrecall purpose問合せ述語を追加して、関連するリコールのみを表示できます。リコールされたログをフィルタするための問合せ述語を参照してください

ログ・データのパージ

Oracle Log Analyticsでは、エージェントまたはオンデマンド・アップロードによってロードされたログ・イベントをパージし、ログ・データの索引サイズを削減します。

パージすることで、使用を停止して超過料金を削減できます。Oracle Log Analyticsでは、設定したスケジュールに従って自動的に、または必要に応じて手動でログ・データをパージできます。ログ・データをパージする前に、IAMポリシーを作成してタスクの権限を設定します。ユーザーにログ・データのパージを許可を参照してください。

ログ・データをパージするには、複数の方法があります。

オンデマンドでパージする方法: 選択した時間範囲より前に作成された、指定されたコンパートメントのすべてのログ・データがパージされます。
CLIを使用してオンデマンドでパージするには、purge-storage-dataを参照してください。

REST APIを使用してオンデマンドでパージするには、PurgeStorageDataを参照してください。
パージ・ポリシーを作成する方法: パージのスケジュールとパージ対象のデータをフィルタする問合せを指定することで、古いログ・データをパージできます。パージ・アクティビティを自動化する場合は、パージ・スケジュールを指定し、パージ対象のログ・データを選択してポリシーを有効にすることで、パージ・ポリシーを作成できます。
パージ・ポリシーの作成にCLIを使用するには、create-standard-taskを参照してください。

パージ・ポリシーの作成にREST APIを使用するには、CreateScheduledTaskを参照してください。

CLIまたはREST APIを使用してパージ・ポリシーを作成する場合は、パラメータtask-typeの値をPURGEに設定する必要があります。

ナビゲーション・メニューを開き、「監視および管理」をクリックします。「Log Analytics」で、「管理」をクリックします。「管理の概要」ページが開きます。

管理リソースが、左側のナビゲーション・ペインの「リソース」の下にリストされます。「ストレージ」をクリックします。

「ストレージ」ページが表示されます。
「ストレージ」ページで、次のいずれかの方法でログ・データをパージできます:
- オンデマンド・パージの実行:
  「ログのパージ」をクリックします。「ログのパージ」ダイアログ・ボックスが表示されます。
  - ログをパージする必要があるコンパートメントを選択します。
  - パージにサブコンパートメントも含める必要があるかどうかを指定します。
  - どの日時より前に収集されたログ・データをパージする必要があるかを選択します。
    
    パージ・アクションは、指定した期間より前に収集された、選択済コンパートメント内のすべてのバケットのログ・データに対して実行されます。たとえば、日時をNovember 2, 2020 12:00:00、コンパートメントをAnalyzeと指定すると、コンパートメントAnalyzeに格納されているNovember 2, 2020 12:00:00より古いタイムスタンプを持つログ・データが削除されます。
  - 「問合せ」フィールドに問合せを入力して、特定のログ・データのセットを選択します。たとえば、Linux Hostタイプのエンティティからログを選択するには、問合せ'Entity Type'='Host (Linux)'を指定します。
    
    ログ・データをパージするための問合せの例を参照してください。
  - 「再利用されるストレージの見積り」をクリックして、前のフィールドで選択した内容に基づいて再利用できるストレージのサイズを確認します。
  - 「パージ」をクリックします。
- 問合せまたは経過時間に基づいてログをパージするパージ・ポリシーの作成:
  「パージ・ポリシー」で、「作成」をクリックします。「パージ・ポリシーの作成」ダイアログ・ボックスが開きます。
  - 新しいパージ・ポリシーの名前を入力します。
  - ログを問い合せるログ・グループ・コンパートメントを選択します。オプションで、指定したログに対してサブコンパートメントも問い合せる必要があるかどうかを指定できます。
  - 「次より古いログのパージ」で、ログ・データをパージする必要がある期間を選択します。
  - 「スケジュール間隔」で、パージ・アクションの周期と時間を選択します。
  - 「問合せ」フィールドに問合せを入力して、特定のログ・データのセットを選択します。たとえば、ソースApache HTTP Server Access Logsからログを選択するには、問合せ'Log Source'='Apache HTTP Server Access Logs'を指定します。
    
    ログ・データをパージするための問合せの例を参照してください。
  - 「リクレイムされたストレージの見積り」をクリックして、前のフィールドでの選択を今すぐ適用する場合にリクレイムされるストレージのサイズを決定します。
  - オプションで、「拡張オプションの表示」をクリックし、パージ・ポリシーにタグを追加します。
  - 「作成」をクリックします。
  パージ・ポリシーが作成され、前のステップで設定したとおりに定期的に実行されます。
  
  ノート
  
  パージ・ポリシーに必要な権限がない場合、IAMポリシーが変更された場合、またはパージ・コンパートメントが削除された場合、パージ・タスクは「一時停止」状態になります。モニタリング・サービスに表示されるパージ・タスクのステータス・メトリック値は、NotAuthorizedOrNotFoundPurgeResourceまたはPausedByUserです。
  
  必要に応じてIAMポリシー・ステートメントを変更/リストアし、パージ・コンパートメントが以前に削除された場合はリストアし、パージ・タスクを手動で再開します。
ポリシーを削除するには、ポリシー名の横にある「アクション」アイコンをクリックし、「削除」の順にクリックします。

実行されたパージ・アクティビティを表示するには、「ストレージ」ページの「リソース」で、「アクティビティ・レポート」をクリックします。すべてのストレージ・アクティビティが要約された「アクティビティ・レポート」ページが表示されます。「ステータス」および「時間」フィルタを使用して、目的のパージ・アクティビティを表示します。

ユーザーにログ・データのパージを許可

ログ・データをパージするには、最初に次のIAMポリシーを作成して適切な権限を設定します:

パージを許可するコンパートメントのパージを許可する動的グループを作成します:
```
ALL {resource.type='loganalyticsscheduledtask', resource.compartment.id='<compartment ocid>'}
```
または、すべてのコンパートメントでパージを許可するには:
```
ALL {resource.type='loganalyticsscheduledtask'}
```
動的グループがパージ操作を実行できるようにするポリシーを作成します。
```
allow dynamic-group <group_name> to read compartments in tenancy
allow dynamic-group <group_name> to {LOG_ANALYTICS_STORAGE_PURGE} in tenancy
allow dynamic-group <group_name> to {LOG_ANALYTICS_QUERY_VIEW} in tenancy
allow dynamic-group <group_name> to {LOG_ANALYTICS_STORAGE_WORK_REQUEST_CREATE} in tenancy
allow dynamic-group <group_name> to {LOG_ANALYTICS_LOG_GROUP_DELETE_LOGS} in tenancy
allow dynamic-group <group_name> to {LOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READ} in tenancy
```
ノート
- パージ・ポリシーが正しく機能するには、権限read compartments、LOG_ANALYTICS_STORAGE_PURGEおよびLOG_ANALYTICS_QUERY_VIEWをテナンシ・レベルで作成する必要があります。パージ・アクション権限を特定のコンパートメントに制限するために、権限LOG_ANALYTICS_STORAGE_WORK_REQUEST_CREATE、LOG_ANALYTICS_LOG_GROUP_DELETE_LOGSおよびLOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READを必要なコンパートメント・レベルで設定できます。
- 動的グループを含む前述のポリシー・ステートメントで、動的グループが「デフォルト」以外のドメインにある場合、ポリシー・ステートメントは次の形式である必要があります:
```
allow dynamic-group '<domain>'/'<group_name>' to ...
```
  ドメイン名と動的グループ名を一重引用符で囲みます。
また、loganalytics-features-familyおよびloganalytics-resources-familyに対するMANAGE権限がユーザーにあることを確認します。オンデマンド・パージまたはスケジュール済パージを作成するユーザーに管理者権限がある場合は、必要な権限がすでに使用可能です:
```
allow group <group_name> to MANAGE loganalytics-features-family in tenancy
allow group <group_name> to MANAGE loganalytics-resources-family in tenancy
```

前述のポリシー・ステートメントの一部は、すぐに使用可能なOracle定義のポリシー・テンプレートに含まれています。ユース・ケースにテンプレートを使用することを検討してください。一般的なユースケース用のOracle定義のポリシー・テンプレートを参照してください。

動的グループおよびIAMポリシーの詳細は、OCIドキュメント: 動的グループの管理およびOCIドキュメント: ポリシーの管理を参照してください。

ログ・データをパージする問合せの例

単純なフィルタ問合せを指定して、パージする必要があるログ・データを識別します。問合せのワイルドカード文字(*、?、%など)の場合は、パージ・ポリシーでワイルドカード文字を使用しないでください。Oracleでは、パージ・タスクで将来のデータに拡張フィールド定義を使用することをお薦めします。

ログ・データをフィルタ処理するための問合せの作成のガイドラインは、問合せ検索を参照してください。

毎週日曜日の午前0時に、30日より古いすべてのデータを削除します:

次より古いログのパージ: 30 Days
スケジュール間隔: Every Week、日: Sunday、時間: 00:00、タイムゾーン: Asia/Calcutta
問合せ: *

2か月より古いソースのOCI監査ログからログを削除します:

次より古いログの削除: 2 Months
問合せ: 'Log Source' = 'OCI Audit Logs'

1年より古いソースに関連付けられたログ・ソースおよび特定のエンティティのログをパージします:

次より古いログの削除: 1 Year
問合せ: 'Log Source' = 'OCI VCN Flow Unified Schema Logs' and Entity in ('Entity1', 'Entity2')

リコールされたログをフィルタするための問合せ述語

Recall述語を使用して、リコールされたログのみ、アクティブ・データのみ、またはその両方をフィルタできます。リコールの名前と一致する値を指定します。=、!=、IN、NOT IN、LIKE、NOT LIKEなどのブール演算子と比較演算子を問合せで使用できます。

例:

「供給中止分析」2025-03-01のデータのみをフィルタするには:
```
Recall = 'Outage Analysis 2025-03-01'
```
「Network Traffic Analysis 2024」と「Labor Day Traffic 2024」の両方のデータをフィルタするには:
```
Recall IN ('Network Traffic Analysis', 'Labor Day Sale')
```
「供給中止分析2025...」のような名前/目的を持つすべてのリコールのデータをフィルタするには:
```
Recall like 'Outage Analysis 2025*'
```
「労務日トラフィック2024」および「クリスマス・トラフィック2024」以外のすべてのデータをフィルタするには:
```
Recall not in ('Labor Day Traffic 2024', 'Christmas Traffic 2024')
```
アクティブ・データのみを表示するには:
```
Recall = null
```

ストレージ・アクティビティ・レポートの表示

アーカイブ、リコール、解放およびパージ・アクティビティのサマリーを表示して、ストレージ使用の詳細な制御を維持したり、アクティビティの一部であったキー・ログのステータスをトラッキングしたりできます。

ナビゲーション・メニューを開き、「監視および管理」をクリックします。「Log Analytics」で、「管理」をクリックします。「管理の概要」ページが開きます。
管理リソースが、左側のナビゲーション・ペインの「リソース」の下にリストされます。「ストレージ」をクリックします。

「ストレージ」ページが表示されます。
左側のパネルの「リソース」で、「アクティビティ・レポート」をクリックします。

ページに、パージ・ポリシー、オンデマンド・パージ、アーカイブ、アーカイブ・リコール・リクエスト、リコール解放など、開始されたストレージ・アクティビティのサマリーが表示されます。
左側のパネルの「アクティビティ・タイプ」、「ステータス」および「時間」フィルタを使用して、ストレージ・アクティビティの検索を絞り込みます。
ストレージ・アクティビティ行を展開して、その詳細を表示します。

Oracle Cloud Infrastructureドキュメント