管理 CloudTrail 湖泊成本 - Amazon CloudTrail
事件数据存储定价选项了解 CloudTrail Lake 费用关于如何降低成本的建议另请参阅
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理 CloudTrail 湖泊成本

Amazon CloudTrail 湖泊事件数据存储和查询会产生费用。您可以配置事件数据存储,既能捕获所需的数据,又能保持成本效益。有关 CloudTrail 定价的信息,请参阅 Amazon CloudTrail 定价

事件数据存储定价选项

创建事件数据存储时,您可以选择要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本,以及事件数据存储的默认和最长保留期。

下表介绍了可用的定价选项。下表显示了控制台中的定价选项和 API 的相应 BillingMode 值,并列出了每个选项的默认保留期和最长保留期。

定价选项(控制台) BillingMode (API) 描述

一年的可延期保留定价

EXTENDABLE_RETENTION_PRICING

如果您希望每月摄取的事件数据少于 25TB,并且想要灵活的保留期(最长 10 年),则建议这样做。如果事件数据存储从 Amazon外部收集 Amazon Config 配置项目、Audit Manager 证据和事件,也建议使用此选项。

在前 366 天(默认保留期)内,存储包含在摄取定价中,没有额外费用。366 天后,可以按 pay-as-you-go定价延长保留期。

这是默认选项。

默认保留期:366 天

最长保留期:3653 天

七年期保留定价

FIXED_RETENTION_PRICING

如果您希望每月摄取的事件数据大于 25TB,并且需要最长 7 年的保留期,则建议这样做。

保留包含在摄取定价中,没有额外费用。

默认保留期:2557 天

最长保留期:2557 天

了解 CloudTrail Lake 费用

下表提供了有关 L CloudTrail ake 事件数据存储和查询如何产生费用的信息。有关 CloudTrail 定价的信息,请参阅 Amazon CloudTrail 定价

费用类型 您的费用是如何产生的

数据摄取(未压缩的数据)

对于 CloudTrail Lake,您需要根据提取的未压缩数据付费。事件数据存储的定价选项决定了摄取事件的成本:

  • 一年可延期保留定价:根据事件类型提供摄取定价。

  • 七年期保留定价:根据摄取的数据量提供摄取定价。当每月摄取的数据量超过 25TB 时,可以实现最大的节省。

复制跟踪事件

将跟踪事件复制到 CloudTrail Lake 时, CloudTrail 解压缩以 gzip(压缩)格式存储的日志。然后 CloudTrail 将日志中包含的事件复制到您的事件数据存储中。未压缩数据的大小可能大于 Amazon S3 的实际存储大小。要对未压缩数据的大小进行总体估计,将 S3 存储桶中日志的大小乘以 10。

注意

CloudTrail 如果事件的时间早于指定的保留期,则不会复制该事件。要确定适当的保留期,请计算要复制的最早事件(以天为单位)和要将事件在事件数据存储中保留的天数之和,如以下公式所示:

保留期限 = oldest-event-in-days+ number-days-to-retain

例如,如果您要复制的最早事件已有 45 天,并且您想将事件在事件数据存储中再保留 45 天,则可以将保留期设置为 90 天。

数据留存(经过优化和压缩的数据)

CloudTrail Lake 将基于行的 JSON 格式的现有事件转换为 Apache ORC 格式。ORC 是一种针对快速检索压缩数据进行优化的列式存储格式。

事件数据存储的保留期决定了事件数据在事件数据存储中保存多长时间。 CloudTrail Lake 通过检查事件的事件时间是否在指定的保留期内来决定是否保留事件。例如,如果您将保留期指定为 90 天,则 CloudTrail 会在事件时间超过 90 天时将其删除。

对于使用七年期保留定价选项的事件数据存储,存储包含在摄取定价中,没有额外费用。

对于使用一年可延期保留定价选项的事件数据存储,存储包含在前 366 天(默认保留期)的摄取定价中,无需付费。366 天后,将提供存储空间, pay-as-you-pricing 并根据事件数据存储中经过优化和压缩的数据收费。

在 CloudTrail Lake 中运行查询(经过优化和压缩的数据)

在 CloudTrail Lake 中运行查询时,您需要根据扫描的优化和压缩数据量付费。

关于如何降低成本的建议

本节提供了有关在使用 La CloudTrail ke 时如何降低成本的建议。

根据您的事件数据存储将收集的事件类型以及预计的每月摄入量来选择定价选项

创建事件数据存储时,根据您的事件数据存储将收集的事件类型以及预计的每月摄入量来选择定价选项。

如果您希望每月摄取的事件数据少于 25TB,并且想要灵活的保留期(最长 10 年),请选择一年可延期保留定价选项。对于从外部收集 Amazon Config 配置项目、Audit Manager 证据和事件的事件数据存储,我们通常也建议使用此选项 Amazon。

如果您希望每月摄取的事件数据多于 25TB,并且需要 7 年保留期,请选择i七年保留定价选项。

评估事件数据存储在一段时间内的月摄取量

评估事件数据存储的历史月度摄取量,了解是否有更适合您需求的定价选项。

如果您的现有事件数据存储使用七年保留定价选项,并且每月摄取的数据少于 25TB,请考虑更新事件数据存储以使用一年可延期保留定价。对于使用七年保留定价选项的事件数据存储,您可以使用CloudTrail 控制台UpdateEventDataStoreAPI 操作更改定价选项。Amazon CLI

如果您的现有事件数据存储使用一年可延期保留定价选项,并且每月摄取的数据多于 25TB,请考虑七年保留定价是否更适合您的需求。要使用新的定价选项,请停止对您的事件数据存储进行摄取,并使用七年保留定价选项创建一个新的事件数据存储。

请使用高级事件选择器筛选出不感兴趣的事件

为 CloudTrail 管理事件或数据事件配置事件数据存储时,请使用高级事件选择器筛选出不感兴趣的事件。

如果您要创建事件数据存储来收集管理事件,则可以筛选出 Amazon Key Management Service (Amazon KMS) 或亚马逊关系数据库服务 (Amazon RDS) 数据 API 管理事件。通常,诸如EncryptDecrypt、和之类的 Amazon KMS 操作GenerateDataKey会生成超过 99% 的事件。

如果您正在创建事件数据存储来收集数据事件,则可以使用高级事件选择器对 eventNameresources.typeresources.ARNreadOnly 字段进行筛选。有关更多信息,请参阅 使用高级事件选择器筛选数据事件

复制跟踪事件时,请选择较窄的时间范围

将跟踪事件复制到 CloudTrail Lake 时,请指定较窄的开始事件时间和结束事件时间,以减少摄取的数据量。

如果您要将跟踪事件复制到 CloudTrail Lake 进行历史分析,并且不想采集 future 事件,请取消选择采集事件的选项,这样您就不会因为摄取任何其他事件而产生费用。

设置查询格式,以使用开头和结尾 eventTime

在 Lake 中运行查询时,您需要按扫描的数据量付费。您可以通过指定查询的开头和结尾 eventTime 来限制成本。

另请参阅