管理 CloudTrail Lake 成本 - AWS CloudTrail
事件数据存储定价选项了解 CloudTrail Lake 费用关于如何降低成本的建议另请参阅

管理 CloudTrail Lake 成本

AWS CloudTrail Lake 事件数据存储和查询会产生费用。您可以采用捕获所需数据的方式配置事件数据存储,同时保持经济高效。有关 CloudTrail 定价的信息,请参阅 AWS CloudTrail 定价

事件数据存储定价选项

创建事件数据存储时,您可以选择要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本,以及事件数据存储的默认和最长保留期。

下表介绍了可用的定价选项。下表显示了控制台中的定价选项和 API 的相应 BillingMode 值,并列出了每个选项的默认保留期和最长保留期。

定价选项(控制台) BillingMode(API) 描述

一年的可延期保留定价

EXTENDABLE_RETENTION_PRICING

如果您希望每月摄取的事件数据少于 25TB,并且想要灵活的保留期(最长 10 年),则建议这样做。如果事件数据存储从 AWS 外部收集 AWS Config 配置项目、Audit Manager 证据和事件,也建议使用此选项。

在前 366 天(默认保留期)内,存储包含在摄取定价中,没有额外费用。366 天后,可按即用即付定价模式提供延长保留。

这是默认选项。

默认保留期:366 天

最长保留期:3653 天

七年期保留定价

FIXED_RETENTION_PRICING

如果您希望每月摄取的事件数据大于 25TB,并且需要最长 7 年的保留期,则建议这样做。

保留包含在摄取定价中,没有额外费用。

默认保留期:2557 天

最长保留期:2557 天

了解 CloudTrail Lake 费用

下表提供了有关 CloudTrail Lake 事件数据存储和查询如何产生费用的信息。有关 CloudTrail 定价的信息,请参阅 AWS CloudTrail 定价

费用类型 您的费用是如何产生的

数据摄取(未压缩的数据)

对于 CloudTrail Lake,将根据未压缩的摄取数据向您收费。事件数据存储的定价选项决定了摄取事件的成本:

  • 一年可延期保留定价:根据事件类型提供摄取定价。

  • 七年期保留定价:根据摄取的数据量提供摄取定价。当每月摄取的数据量超过 25TB 时,可以实现最大的节省。

复制跟踪事件

将跟踪事件复制到 CloudTrail Lake 时,CloudTrail 会解压缩以 gzip(压缩)格式存储的日志。然后,CloudTrail 将日志中包含的事件复制到事件数据存储。未压缩数据的大小可能大于 Amazon S3 的实际存储大小。要对未压缩数据的大小进行总体估计,将 S3 存储桶中日志的大小乘以 10。

注意

如果事件的时间晚于指定的保留期,则 CloudTrail 不会复制该事件。要确定适当的保留期,请计算要复制的最早事件(以天为单位)和要将事件在事件数据存储中保留的天数之和,如以下公式所示:

保留期 = 最早事件(天数) + 要保留的天数

例如,如果您要复制的最早事件已有 45 天,并且您想将事件在事件数据存储中再保留 45 天,则可以将保留期设置为 90 天。

数据留存(经过优化和压缩的数据)

CloudTrail Lake 可将基于行的 JSON 格式的现有事件转换为 Apache ORC 格式。ORC 是一种针对快速检索压缩数据进行优化的列式存储格式。

事件数据存储的保留期决定了事件数据在事件数据存储中保留的时长。CloudTrail Lake 通过检查事件的事件时间是否在指定的保留期内来确定是否保留该事件。例如,如果您将保留期指定为 90 天,CloudTrail 将移除其事件时间超过 90 天的事件。

对于使用七年期保留定价选项的事件数据存储,存储包含在摄取定价中,没有额外费用。

对于使用一年可延期保留定价选项的事件数据存储,存储包含在前 366 天(默认保留期)的摄取定价中,无需付费。366 天后,存储按即用即付模式提供,并根据事件数据存储中经过优化和压缩的数据收费。

在 CloudTrail Lake 中运行查询(经过优化和压缩的数据)

在 CloudTrail Lake 中运行查询时,您需要按扫描的经过优化和压缩的数据量付费。

关于如何降低成本的建议

本部分提供了有关在使用 CloudTrail Lake 时如何降低成本的建议。

根据您的事件数据存储将收集的事件类型以及预计的每月摄入量来选择定价选项

创建事件数据存储时,根据您的事件数据存储将收集的事件类型以及预计的每月摄入量来选择定价选项。

如果您希望每月摄取的事件数据少于 25TB,并且想要灵活的保留期(最长 10 年),请选择一年可延期保留定价选项。对于从 AWS 外部收集 AWS Config 配置项目、Audit Manager 证据和事件的事件数据存储,我们通常也建议使用此选项。

如果您希望每月摄取的事件数据多于 25TB,并且需要 7 年保留期,请选择i七年保留定价选项。

评估事件数据存储在一段时间内的月摄取量

评估事件数据存储的历史月度摄取量,了解是否有更适合您需求的定价选项。

如果您的现有事件数据存储使用七年保留定价选项,并且每月摄取的数据少于 25TB,请考虑更新事件数据存储以使用一年可延期保留定价。对于使用七年保留定价选项的事件数据存储,您可以使用 CloudTrail 控制台AWS CLIUpdateEventDataStore API 操作更改定价选项。

如果您的现有事件数据存储使用一年可延期保留定价选项,并且每月摄取的数据多于 25TB,请考虑七年保留定价是否更适合您的需求。要使用新的定价选项,请停止对您的事件数据存储进行摄取,并使用七年保留定价选项创建一个新的事件数据存储。

请使用高级事件选择器筛选出不感兴趣的事件

在为 CloudTrail 管理事件、数据事件或网络活动事件(预览版)配置事件数据存储时,您可以使用高级事件选择器筛选出不感兴趣的事件。

如果您正在创建事件数据存储来收集管理事件,则可以筛选出 AWS Key Management Service(AWS KMS)或 Amazon Relational Database Service(Amazon RDS)数据 API 管理事件。通常,诸如 EncryptDecryptGenerateDataKey 之类的 AWS KMS 操作会生成超过 99% 的事件。

如果您正在创建事件数据存储来收集数据事件,则可以使用高级事件选择器对 eventNameresources.typeresources.ARNreadOnly 字段进行筛选。有关更多信息,请参阅 使用高级事件选择器筛选数据事件

如果您正在创建事件数据存储来收集网络活动事件,则可以使用高级事件选择器来按 eventNameresources.typeresources.ARNerrorCodevpcEndpointId 字段进行筛选,从而使您能够仅记录感兴趣的数据事件。有关更多信息,请参阅 记录网络活动事件

复制跟踪事件时,请选择较窄的时间范围

将跟踪事件复制到 CloudTrail Lake 时,请指定更短的开始事件时间和结束事件时间,以减少摄取的数据量。

如果您要将跟踪事件复制到 CloudTrail Lake 进行历史分析,并且不想摄取未来的事件,请取消选择摄取事件的选项,这样您就不会因为摄取任何其他事件而产生费用。

设置查询格式,以使用开头和结尾 eventTime

在 Lake 中运行查询时,您需要按扫描的数据量付费。您可以通过指定查询的开头和结尾 eventTime 来限制成本。

另请参阅