根据为审计子系统 maxEntriesOnlineAuditData 和 DaysOnline 参数指定的值在线保留在线审计条目。

有关 QueryAuditHistory 服务的可选参数，另请参阅 搜索审计消息，有关使用 ExportAuditData 服务导出 JSON 文件的信息，另请参阅 导出审计数据。

离线审计数据提供了不需要经常访问、但用于管理的审计数据存储位置。存档操作将在线审计数据复制到离线存储中。

审计子系统的保留条件可指定在线保留审计数据的天数以及在线审计数据表的行数阈值。自 ThingWorx Platform v.8.5.0 起，存档操作不再删除满足其中一个保留条件的数据。相反，当满足任何一个条件时，独立的清除操作会删除此数据。

导出操作会调用 ArchiveAuditHistory 服务，此服务会将请求的数据从 AuditArchiveFileRepository 复制到指定的导出文件。

默认情况下，存档和清除操作每天自动运行一次。在线审计消息会保存到审计子系统的 AuditArchiveFileRepository 中所存储的文件中。无法配置此信息库。

离线文件存档时不进行本地化。名为 ExportAuditData 的离线读取器服务，可基于指定的区域设置检索文件。有关详细信息，请参阅 导出审计数据。

离线存档文件的层次结构如下：

注有日期的文件夹针对所包含审计信息的日期，而不是运行存档的日期。如上图所示，注有日期的文件夹名称采用 YYYY-MM-DD (ISO 8601) 格式，系统每天为审计消息创建一个新文件夹。“离线审计块”为压缩的 JSON 文件，其中包含该日期的审计消息。默认块大小为 50,000 行 (最小大小)。系统管理员可以在“审计子系统”的配置中更改块的默认大小。例如，系统管理员可以指定 70,000 行的块大小。注有日期的文件夹中的多行消息存在压缩的块文件。如果每个审计条目约为 1KB，则未压缩或内存中的块文件大小约为 70MB。

要最大化性能，在线审计数据和离线数据存储需要达到平衡。“审计子系统”提供了存档和清除操作，以帮助您实现系统的最佳平衡。子系统的以下属性可用于控制在线审计数据的保留情况：

这些参数设置决定运行 PurgeAuditData 服务时将保留的审计数据量 (由 Scheduler 事物自动确定或手动调用)。ArchiveAuditHistory 服务会存档所有在线审计数据。只要计划首先运行存档操作，即会在执行清除操作之前，存档早于 DaysOnline 值的在线审计数据以及超过最大在线行数的在线数据。