Sentinelのコストが不安?Log Analyticsの料金を抑える3つのポイント
- Microsoft Sentinel
- Log Analytics
- セキュリティ運用コスト
- Azure
- ログ最適化
- SOC運用改善
- ログが増えすぎて、月末にコストが跳ね上がる
- でも、何を減らせばいいか分からない
そんな方に向けて、本記事では「Sentinelのコストを無理なく抑える3つの実践ポイント」を分かりやすく解説します。
1. Log Analytics課金の仕組みをおさらい
Sentinelは「Log Analytics」の上に成り立っており、主に以下の2点で料金が発生します。
| 項目 | 課金単位 |
|---|---|
| ログの取り込み量 | GB単位(従量課金) |
| ログの保存期間超過 | 日数 × データ量 |
つまり、「入れすぎ・溜めすぎ」がコスト増加の原因です。
2. コスト削減ポイント1:不要なログを最初から入れない
Microsoft Sentinelでは、ログを取り込んだ瞬間から料金が発生します。
つまり、「あとで使うかも」と何でも入れていると、それだけでコストが増えてしまいます。
必要なログだけを選んで取り込むことで、無駄を防ぐことができます。
たとえば以下のようなケースがあります。
- サーバーの「エラーだけ」取り込めば十分なのに、「情報レベル」まで入れている
- Windowsの監視ログも、「セキュリティ関連」だけでいいのに「すべての種類」を集めている
こうしたケースは、最初の設定で取るログを絞っておくと、あとから削減するよりも楽になります。
設定方法としては、Azureポータルの診断設定などで、どのログを取得するかを選ぶことができます。
3. コスト削減ポイント2:テーブルごとに保持期間を短縮
Log Analyticsの既定の保持期間は90日です。
しかし、すべてのログを90日も保存する必要はありません。
たとえば、Heartbeat(死活監視)や Syslog などは14日で十分な場合もあります。
一方で、SecurityAlert や SigninLogs のように監査や証跡として残すべきものは長めに保存する、というように使い分けましょう。
設定手順:
- Log Analyticsワークスペースを開く
- 「テーブル」一覧から対象を選択
- 「保持期間の構成」で日数を変更
4. コスト削減ポイント3:月次レポートで急増ログを見える化
ログの急増に早く気づければ、その月のうちに対処できます。
たとえば以下のようなクエリを使うことで、日ごとの取り込み量を把握できます。
Usage
| summarize DailyIngestGB = sum(Quantity) by bin(TimeGenerated, 1d)
| order by TimeGenerated descこのクエリをワークブックに保存しておけば、ログ量の傾向を視覚的に把握できます。
さらに、Logic Appsと連携すれば、毎月通知を送るように自動化することも可能です。
5. まとめ:コストを抑える3つのステップ
- 不要なログを入れない -> 最初の設定で必要なログだけを選んで取り込む
- 保持期間を短くする -> テーブルごとに保持期間を見直し、短縮設定を行う
- 急増ログを見える化 -> 日次の取り込み量を定期的に確認し、早めの対応を心がける
セキュリティを強化しながら、無駄なコストはしっかり削減する。
そのためには、「見える化」と「事前の設計」がポイントです。
運用の最適化にお困りの場合は、Colorkrew Securityまでお気軽にご相談ください。
