本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理 CloudTrail Lake 成本
AWS CloudTrail Lake 事件資料存放區和查詢會產生費用。您可以採用擷取所需資料的方式設定事件資料存放區,同時保持成本效益。如需有關 CloudTrail 定價的資訊,請參閱AWS CloudTrail 定價。
事件資料存放區定價選項
建立事件資料存放區時,您可以選擇要用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。
下表說明可用的定價選項。資料表顯示主控台中的定價選項和 的對應BillingMode值API,並列出每個選項的預設和最長保留期。
| 定價選項 (主控台) | BillingMode (API) | 描述 |
|---|---|---|
|
一年可延長保留定價 |
|
如果您預期每月擷取的事件資料少於 25 TB,並且需要長達 10 年的彈性保留期,則建議使用此選項。如果您的事件資料存放區收集 AWS Config 組態項目、Audit Manager 證據和 AWS外部事件,也建議使用此選項。 前 366 天 (預設保留期) 的儲存已包含在擷取定價中,無須額外付費。在 366 天後,延長的保留可以定價 pay-as-you-go使用。 此為預設選項。 預設保留期:366 天 最長保留期:3,653 天 |
|
七年保留定價 |
|
如果您預期每月擷取的事件資料超過 25 TB,並且需要長達 7 年的彈性保留期,則建議使用此選項。 保留已包含在擷取定價中,無須額外付費。 預設保留期:2,557 天 最長保留期:2,557 天 |
了解 CloudTrail Lake 費用
下表提供 CloudTrail Lake 事件資料存放和查詢產生費用的相關資訊。如需有關 CloudTrail 定價的資訊,請參閱AWS CloudTrail 定價。
| 收費類型 | 如何產生費用 |
|---|---|
|
資料擷取 (未壓縮的資料) |
對於 CloudTrail Lake,您需根據擷取的未壓縮資料支付 。事件資料存放區的定價選項將決定擷取事件的成本:
複製追蹤事件 當您將追蹤事件複製到 CloudTrail Lake 時, 會 CloudTrail 解壓縮以 gzip (壓縮) 格式儲存的日誌。然後將日誌中包含的事件 CloudTrail 複製到您的事件資料存放區。未壓縮資料的大小可能大於實際的 Amazon S3 儲存大小。若要取得未壓縮資料大小的一般估計值,請將 S3 儲存貯體中的日誌大小乘以 10。 注意CloudTrail 如果事件時間早於指定的保留期間, 將不會複製事件。若要確定適當的保留期,請計算您要複製的最舊事件所經歷的天數,以及要將事件保留在事件資料存放區中的天數,並將兩者加總,如以下等式所示: 保留期 = 例如,如果您要複製的最舊事件為 45 天前的事件,並希望這些事件在事件資料存放區中再保留 45 天,則可以將保留期設為 90 天。 |
|
資料保留 (最佳化和壓縮的資料) |
CloudTrail Lake 會以資料列型JSON格式將現有事件轉換為 Apache ORC 事件資料存放區的保留期決定事件資料在事件資料存放區中保留多久。 CloudTrail Lake 透過檢查事件的事件時間是否在指定的保留期間內,來決定是否保留事件。例如,如果您指定 90 天的保留期, CloudTrail 會在事件時間超過 90 天時移除事件。 若為使用七年保留定價選項的事件資料存放區,則儲存已包含在擷取定價中,無須額外付費。 若為使用一年可延長保留定價選項的事件資料存放區,則前 366 天 (預設保留期) 的儲存已包含在擷取定價中,無須額外付費。366 天後, 會提供 pay-as-you-pricing儲存空間,並根據事件資料存放區中的最佳化和壓縮資料收費。 |
|
在 CloudTrail Lake 中執行查詢 (最佳化和壓縮資料) |
當您在 CloudTrail Lake 中執行查詢時,您需要根據掃描的最佳化和壓縮資料量來支付 。 |
有關如何降低成本的建議
本節提供使用 CloudTrail Lake 時如何降低成本的建議。
- 根據事件資料存放區將收集的事件類型,以及您預期的每月擷取量,選擇定價選項
-
建立事件資料存放區時,請根據事件資料存放區將收集的事件類型,以及您預期的每月擷取,選擇定價選項。
如果您預期每月擷取的事件資料少於 25 TB,並且需要長達 10 年的彈性保留期,請選擇一年可延長保留定價選項。對於收集 AWS Config 組態項目、Audit Manager 證據和 外部事件的事件資料存放區,我們通常會建議此選項 AWS。
如果您預期每月擷取的事件資料超過 25 TB,並且需要長達 7 年的彈性保留期,請選擇七年保留定價選項。
- 評估事件資料存放區隨時間推移的每月擷取
-
評估事件資料存放區的歷史每月擷取,以查看是否有更符合您需求的定價選項。
如果您現有的事件資料存放區使用七年保留定價選項,而且您每月擷取的資料少於 25 TB,請考慮更新事件資料存放區,以使用一年可延長保留定價。對於使用七年保留定價選項的事件資料存放區,您可以使用CloudTrail 主控台 、 AWS CLI或 變更定價選項 UpdateEventDataStore API 操作。
如果您現有的事件資料存放區使用一年可延長保留定價選項,而且您每月擷取的資料超過 25 TB,請考慮七年保留定價選項是否更符合您的需求。若要使用新的定價選項,請在您的事件資料存放區上停止擷取,並使用七年保留定價選項建立新的事件資料存放區。
- 使用進階事件選取器篩選掉不感興趣的事件
-
為 CloudTrail 管理事件、資料事件或網路活動事件 (預覽中) 設定事件資料存放區時,您可以使用進階事件選取器來篩選不感興趣的事件。
如果您要建立事件資料存放區以收集管理事件,您可以篩選掉 AWS Key Management Service (AWS KMS) 或 Amazon Relational Database Service (Amazon ) RDS API資料管理事件。一般而言,例如
Encrypt、Decrypt和 等 AWS KMS 動作GenerateDataKey會產生超過 99% 的事件。如果您要建立事件資料存放區來收集資料事件,則可以使用進階事件選取器依
eventName、resources.type、resources.ARN和readOnly欄位進行篩選。如需詳細資訊,請參閱使用進階事件選取器篩選資料事件。如果您要建立事件資料存放區以收集網路活動事件,您可以使用進階事件選取器來篩選
eventName、、errorCode、resources.typeresources.ARN和vpcEndpointId欄位,讓您僅記錄感興趣的資料事件。如需詳細資訊,請參閱記錄網路活動事件。 - 在複製追蹤事件時選擇較短的時間範圍
-
將追蹤事件複製到 CloudTrail Lake 時,請指定較窄的開始事件時間和結束事件時間,以減少擷取的資料量。
如果您要將追蹤事件複製到 CloudTrail Lake 進行歷史分析,且不想擷取未來事件,請取消選取擷取事件的選項,以免在擷取任何其他事件時產生費用。
- 格式化查詢以使用開始和結束
eventTime -
在 Lake 中執行查詢時,您需要依據掃描的資料量付費。您可以指定查詢的開始和結束
eventTime,藉此限制成本。
另請參閱
