管理 CloudTrail 跟踪成本

每个区域内的管理事件的第一个副本是免费传输的。例如，如果您的账户有 2 条单区域跟踪，一条在us-east-1单区域跟踪，另一条跟踪在内us-west-2，则不 CloudTrail 收取任何费用，因为每个相应区域中只有一个跟踪记录事件。但是，如果您的账户有一个多区域跟踪和一个额外的单区域跟踪，则单区域跟踪将产生费用，因为多区域跟踪已经在每个区域中记录事件。

如果您创建更多跟踪，将相同的管理事件传送到其他目的地，则这些后续交付会产生 CloudTrail 成本。您可以这样做，以允许不同的用户组（例如开发人员、安全人员和 IT 审计员）接收其日志文件副本。对于数据事件，所有交付都会产生 CloudTrail 费用，包括第一次交付。

在创建更多跟踪记录时，熟悉日志并了解账户中的资源所生成的事件的类型和数量尤为重要。这可以帮助您预测与账户关联的事件的数量，并计划跟踪成本。例如，在 S3 存储桶上使用 Amazon KMS托管服务器端加密 (SSE-KMS) 可能会导致在中出现大量管理事件。 Amazon KMS CloudTrail跨多个跟踪记录的大量事件也会影响成本。

为了帮助限制记录到您的跟踪的事件数量，您可以通过在 “创建跟踪” 或 “更新跟踪” 页面上选择 “排除 Amazon KMS 事件” 来筛选事件。 Amazon KMS 使用基本事件选择器时，您只能筛选管理事件。但是，您可以使用高级事件选择器来筛选管理事件、数据事件和网络活动事件。

您可以使用高级事件选择器来包含或排除数据事件，从而仅记录感兴趣的数据事件。有关更多信息，请参阅 使用高级事件选择器筛选数据事件。

您可以使用高级事件选择器根据 eventName、resources.type、resources.ARN、errorCode 和 vpcEndpointId 字段来包含或排除网络活动事件，从而使您能够仅记录感兴趣的数据事件。有关更多信息，请参阅 记录网络活动事件。

有关创建和更新跟踪记录的更多信息，请参阅本指南中的 使用 CloudTrail 控制台创建跟踪 或 使用 CloudTrail 控制台更新跟踪。

当您使用设置 Organizations 跟踪时 CloudTrail， CloudTrail 会将该跟踪复制到组织内的每个成员账户。除了成员账户中的任何现有跟踪记录之外，还会创建新的跟踪记录。确保组织跟踪的配置与您希望为组织中的所有账户配置跟踪的方式匹配，因为组织跟踪配置会传播到所有账户。

由于 Organizations 在每个成员账户中创建一个跟踪，因此，创建额外跟踪以收集与 Organizations 跟踪相同的管理事件的单个成员账户将收集第二个事件副本。将针对第二个副本向该账户收费。类似地，如果一个账户有一个多区域跟踪，并且在一单区域中创建第二个跟踪来收集与多区域跟踪相同的管理事件，则单区域中的跟踪将传送事件的第二个副本。第二个副本会产生费用。