イベントデータストアの料金オプション CloudTrail Lake 料金についてコスト削減方法に関する推奨事項関連情報

CloudTrail Lake のコスト管理

AWS CloudTrail Lake イベントデータストアとクエリには料金が発生します。コスト効率を維持しながら必要なデータをキャプチャするように、イベントデータストアを構成することができます。CloudTrail の料金の詳細については、「AWS CloudTrail の料金」を参照してください。

トピック

イベントデータストアの料金オプション
CloudTrail Lake 料金について
コスト削減方法に関する推奨事項
関連情報

イベントデータストアの料金オプション

イベントデータストアを作成するときは、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかるコスト、および、そのイベントデータストアの保持期間のデフォルトと最大が決まります。

次の表は利用可能な料金オプションを説明しています。この表には、コンソールの [料金オプション] とそれに対応する API の BillingMode の値と、各オプションの保持期間のデフォルトと最大が一覧表示されています。

料金オプション (コンソール) BillingMode (API) 説明

料金オプション (コンソール)	BillingMode (API)	説明
[延長可能な 1 年間の保持料金]	`EXTENDABLE_RETENTION_PRICING`	1 か月あたり取り込むイベントデータが 25 TB 未満と予想され、最大 10 年間の柔軟な保持期間を希望する場合にお勧めします。このオプションは、イベントデータストアが AWS Config 設定項目、Audit Manager の証拠、およびイベントを AWS外から収集する場合にもお勧めします。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加コストはありません。366 日経過後は、保存期間を従量制料金で延長してご利用いただけます。これがデフォルトのオプションです。デフォルトの保持期間: 366 日間最大保持期間: 3,653 日
[7 年間の保持料金]	`FIXED_RETENTION_PRICING`	1 か月あたり取り込むイベントデータが 25 TB を超えると予想され、必要な保持期間が最長 7 年の場合にお勧めします。データの保持は取り込み料金に含まれており、追加料金は発生しません。デフォルトの保持期間: 2,557 日間最長保持期間: 2,557 日間

[延長可能な 1 年間の保持料金]

EXTENDABLE_RETENTION_PRICING

1 か月あたり取り込むイベントデータが 25 TB 未満と予想され、最大 10 年間の柔軟な保持期間を希望する場合にお勧めします。このオプションは、イベントデータストアが AWS Config 設定項目、Audit Manager の証拠、およびイベントを AWS外から収集する場合にもお勧めします。

最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加コストはありません。366 日経過後は、保存期間を従量制料金で延長してご利用いただけます。

これがデフォルトのオプションです。

デフォルトの保持期間: 366 日間

最大保持期間: 3,653 日

[7 年間の保持料金]

FIXED_RETENTION_PRICING

1 か月あたり取り込むイベントデータが 25 TB を超えると予想され、必要な保持期間が最長 7 年の場合にお勧めします。

データの保持は取り込み料金に含まれており、追加料金は発生しません。

デフォルトの保持期間: 2,557 日間

最長保持期間: 2,557 日間

CloudTrail Lake 料金について

次の表は、CloudTrail Lake のイベントデータストアとクエリに対する課金についての説明です。CloudTrail の料金の詳細については、「AWS CloudTrail の料金」を参照してください。

料金タイプ課金の方法

料金タイプ	課金の方法
データの取り込み (非圧縮データ)	CloudTrail Lake では、取り込んだ非圧縮データに基づいて課金されます。イベントデータストアの料金オプションによって、イベントを取り込むコストが決まります。 [延長可能な 1 年間の保持料金]: イベントタイプに基づく取り込み料金が設定されます。 [7 年間の保持料金]: 取り込んだデータ量に基づく取り込み料金が設定されます。毎月取り込まれるデータ量が 25 TB を超えると、非常に大きな節約になります。証跡イベントのコピー CloudTrail Lake に証跡イベントをコピーすると、CloudTrail は gzip (圧縮) 形式で保存されているログを解凍します。次に CloudTrail はログに含まれているイベントをイベントデータストアにコピーします。非圧縮データのサイズは、実際の Amazon S3 ストレージサイズよりも大きくなる可能性があります。非圧縮データのサイズを概算するには、S3 バケット内のログのサイズに 10 を掛けます。注記 CloudTrail は、イベントの時刻が指定された保持期間より古い場合はイベントをコピーしません。適切な保持期間を決定するには、次の式に示すように、コピーしたい最も古いイベントの日数と、イベントデータストアにイベントを保持したい日数の合計を計算します。保持期間 = `最も古いイベントの日数` + `保持する日数` 例えば、コピーする最も古いイベントが 45 日前のもので、そのイベントをイベントデータストアにさらに 45 日間保持したい場合は、保持期間を 90 日間に設定します。
データ保持 (最適化され圧縮されたデータ)	CloudTrail Lake は、行ベースの JSON 形式の既存のイベントを Apache ORC 形式に変換します。ORC は、圧縮データを高速に取得するために最適化された列指向ストレージ形式です。イベントデータストアの保持期間によって、イベントデータがイベントデータストアに保持される期間が決まります。CloudTrail Lake は、イベントのイベント時刻が指定した保持期間内にあるかどうかを確認し、イベントを保持するかどうかを決定します。例えば、90 日間の保持期間を指定した場合、イベント時刻が 90 日前よりも古くなると、CloudTrail はイベントを削除します。 [7 年間の保持料金] オプションを使用するイベントデータストアの場合、ストレージは追加料金なしで取り込み料金に含まれます。 [延長可能な 1 年間の保持料金] オプションを使用するイベントデータストアの場合、最初の 366 日間 (デフォルトの保持期間) のストレージは取り込み料金に無料で含まれています。366 日を過ぎると、ストレージは従量課金制で提供され、イベントデータストア内の最適化され圧縮されたデータに基づいて課金されます。
CloudTrail Lake でのクエリの実行 (最適化され圧縮されたデータ)	CloudTrail Lake でクエリを実行すると、最適化され圧縮されたデータがスキャンされた量に基づいて課金されます。

データの取り込み (非圧縮データ)

CloudTrail Lake では、取り込んだ非圧縮データに基づいて課金されます。イベントデータストアの料金オプションによって、イベントを取り込むコストが決まります。

[延長可能な 1 年間の保持料金]: イベントタイプに基づく取り込み料金が設定されます。
[7 年間の保持料金]: 取り込んだデータ量に基づく取り込み料金が設定されます。毎月取り込まれるデータ量が 25 TB を超えると、非常に大きな節約になります。

証跡イベントのコピー

CloudTrail Lake に証跡イベントをコピーすると、CloudTrail は gzip (圧縮) 形式で保存されているログを解凍します。次に CloudTrail はログに含まれているイベントをイベントデータストアにコピーします。非圧縮データのサイズは、実際の Amazon S3 ストレージサイズよりも大きくなる可能性があります。非圧縮データのサイズを概算するには、S3 バケット内のログのサイズに 10 を掛けます。

注記

CloudTrail は、イベントの時刻が指定された保持期間より古い場合はイベントをコピーしません。適切な保持期間を決定するには、次の式に示すように、コピーしたい最も古いイベントの日数と、イベントデータストアにイベントを保持したい日数の合計を計算します。

保持期間 = 最も古いイベントの日数 + 保持する日数

例えば、コピーする最も古いイベントが 45 日前のもので、そのイベントをイベントデータストアにさらに 45 日間保持したい場合は、保持期間を 90 日間に設定します。

データ保持 (最適化され圧縮されたデータ)

CloudTrail Lake は、行ベースの JSON 形式の既存のイベントを Apache ORC 形式に変換します。ORC は、圧縮データを高速に取得するために最適化された列指向ストレージ形式です。

イベントデータストアの保持期間によって、イベントデータがイベントデータストアに保持される期間が決まります。CloudTrail Lake は、イベントのイベント時刻が指定した保持期間内にあるかどうかを確認し、イベントを保持するかどうかを決定します。例えば、90 日間の保持期間を指定した場合、イベント時刻が 90 日前よりも古くなると、CloudTrail はイベントを削除します。

[7 年間の保持料金] オプションを使用するイベントデータストアの場合、ストレージは追加料金なしで取り込み料金に含まれます。

[延長可能な 1 年間の保持料金] オプションを使用するイベントデータストアの場合、最初の 366 日間 (デフォルトの保持期間) のストレージは取り込み料金に無料で含まれています。366 日を過ぎると、ストレージは従量課金制で提供され、イベントデータストア内の最適化され圧縮されたデータに基づいて課金されます。

CloudTrail Lake でのクエリの実行 (最適化され圧縮されたデータ)

CloudTrail Lake でクエリを実行すると、最適化され圧縮されたデータがスキャンされた量に基づいて課金されます。

コスト削減方法に関する推奨事項

このセクションでは、CloudTrail Lake を使用する際のコスト削減方法に関する推奨事項について説明します。

イベントデータストアが収集するイベントの種類と、予想される毎月の取り込み量に基づいて料金オプションを選択する

イベントデータストアを作成するときに、イベントデータストアが収集するイベントの種類と、予想される毎月の取り込み量に基づいて料金オプションを選択します。

1 か月あたり取り込むイベントデータが 25 TB 未満と予想され、最大 10 年間の柔軟な保持期間を希望する場合、[延長可能な 1 年間の保持料金] オプションをお勧めします。通常、このオプションは、設定項目、Audit Manager の証拠、およびの外部からイベントを収集する AWS Config イベントデータストアにもお勧めします AWS。

1 か月あたり取り込むイベントデータが 25 TB を超えると予想され、7 年間の保持期間が必要な場合、[7 年間の保持料金] オプションをお勧めします。

イベントデータストアの毎月の取り込み量を時系列で評価する

イベントデータストアの毎月の取り込み量の履歴を評価して、ニーズにより適した料金オプションがあるかどうかを確認します。

[7 年間の保持料金] オプションを使用する既存のイベントデータストアがあり、1 か月あたり取り込むデータが 25 TB 未満の場合は、[延長可能な 1 年間の保持料金] を使用するようにイベントデータストアを更新することを検討してください。[7 年間の保持料金] オプションを使用するイベントデータストアの場合は、CloudTrail コンソール、AWS CLI、または UpdateEventDataStoreAPI オペレーションを使用して料金オプションを変更できます。

[延長可能な 1 年間の保持料金] オプションを使用する既存のイベントデータストアがあり、1 か月あたり取り込むイベントデータが 25 TB を超える場合は、[7 年間の保持料金] の方がニーズに適しているかどうか検討してください。新しい料金オプションを使用するには、イベントデータストアへの取り込みを停止し、[7 年間の保持料金] オプションで新しいイベントデータストアを作成します。

高度なイベントセレクタを使用して、関連性の低いイベントを除外する

CloudTrail 管理イベント、データイベント、またはネットワークアクティビティイベント用にイベントデータストアを設定する場合、高度なイベントセレクタを使用して、関心のないイベントを除外できます。

管理イベントは、、eventName、eventSource、、eventTypereadOnlysessionCredentialFromConsole、およびの高度なイベントセレクタフィールドでフィルタリングできますuserIdentity.arn。

データイベントは、、eventName、eventSource、、、、sessionCredentialFromConsole、および eventType resources.type resources.ARN readOnlyの高度なイベントセレクタフィールドでフィルタリングできますuserIdentity.arn。詳細については、「高度なイベントセレクタを使用してデータイベントをフィルタする」を参照してください。

ネットワークアクティビティイベントは、、eventName、errorCodeおよびの高度なイベントセレクタフィールドでフィルタリングできますvpcEndpointId。詳細については、「ネットワークアクティビティイベントのログ記録」を参照してください。

証跡イベントをコピーするときは、時間範囲を短くします。

証跡イベントを CloudTrail Lake にコピーするときは、取り込むデータの量を減らすために、開始イベントの時間と終了イベントの時間を短く指定してください。

履歴分析のために証跡イベントを CloudTrail Lake にコピーしていて、将来のイベントを取り込まない場合は、追加イベントの取り込みで料金が発生しないように、イベントを取り込むオプションを選択解除してください。

eventTime の開始と終了を使用するようにクエリをフォーマットします。

Lake でクエリを実行すると、スキャンされたデータ量に基づいて料金が発生します。クエリの eventTime の開始と終了を指定することでコストを抑えることができます。