Indexのリテンション設定基準は幾つかあり、時間か容量（もしくはその裏に潜んでいるバケツの数云々）がありますので、一度以下参照いただいてご確認いただくことが安全かと思います。

設定内容としては、index.confのfrozenTimePeriodInSecsの設定をデフォルトの6年から1年に変更することになるかと思います。

frozenTimePeriodInSecs = 
* The number of seconds after which indexed data rolls to frozen.
* If you do not specify a 'coldToFrozenScript', data is deleted when rolled to
  frozen.
* NOTE: Every event in a bucket must be older than 'frozenTimePeriodInSecs'
  seconds before the bucket rolls to frozen.
* The highest legal value is 4294967295.
* Default: 188697600 (6 years)

https://docs.splunk.com/Documentation/Splunk/latest/Admin/Indexesconf

ただ、以下の注意書きもドキュメント中にありますので、一度ドキュメントに目を通していただいて、設定を確認しただいたほうがいいと思います。（不要にデータ消しちゃうとまずいので）

If maxTotalDataSizeMB is reached before frozenTimePeriodInSecs, data will be rolled to frozen before the configured time period has elapsed. If archiving policy has not been properly configured, unintended data loss can occur.

以下ご参考情報ということで掲載させていただきます。

ドキュメントは以下を参照していただければと思います。
https://docs.splunk.com/Documentation/Splunk/latest/Indexer/Setaretirementandarchivingpolicy
以下の日本語マニュアル(pdf)だと、「インデクサーおよびインデクサーのクラスタの管理 」の p42あたり。
https://docs.splunk.com/Documentation/Splunk/latest/Translated/Japanesemanuals
index.confの内容
https://docs.splunk.com/Documentation/Splunk/latest/Admin/Indexesconf