イベントデータストアの料金オプション CloudTrail Lake 料金についてコスト削減方法に関する推奨事項以下も参照してください。

CloudTrail Lake コストの管理

AWS CloudTrail Lake イベントデータストアとクエリには料金が発生します。イベントデータストアは、コスト効率を維持しながら、必要なデータをキャプチャする方法で設定できます。 CloudTrail の料金については、「AWS CloudTrail の料金」を参照してください。

トピック

イベントデータストアの料金オプション
CloudTrail Lake 料金について
コスト削減方法に関する推奨事項
以下も参照してください。

イベントデータストアの料金オプション

イベントデータストアを作成するときは、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかるコスト、および、そのイベントデータストアの保持期間のデフォルトと最大が決まります。

次の表は利用可能な料金オプションを説明しています。この表は、コンソールの料金オプションとに対応するBillingMode値を示しAPI、各オプションのデフォルト保持期間と最大保持期間を示しています。

料金オプション (コンソール) BillingMode (API) 説明

料金オプション (コンソール)	BillingMode (API)	説明
[延長可能な 1 年間の保持料金]	`EXTENDABLE_RETENTION_PRICING`	1 か月あたり取り込むイベントデータが 25 TB 未満と予想され、最大 10 年間の柔軟な保持期間を希望する場合にお勧めします。このオプションは、イベントデータストアが AWS Config 設定項目、Audit Manager の証拠、およびイベントを AWS外から収集する場合にもお勧めします。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加コストはありません。366 日が経過すると、延長保持は料金で pay-as-you-go利用できます。これがデフォルトのオプションです。デフォルトの保持期間: 366 日間最大保持期間: 3,653 日
[7 年間の保持料金]	`FIXED_RETENTION_PRICING`	1 か月あたり取り込むイベントデータが 25 TB を超えると予想され、必要な保持期間が最長 7 年の場合にお勧めします。データの保持は取り込み料金に含まれており、追加料金は発生しません。デフォルトの保持期間: 2,557 日間最長保持期間: 2,557 日間

[延長可能な 1 年間の保持料金]

EXTENDABLE_RETENTION_PRICING

1 か月あたり取り込むイベントデータが 25 TB 未満と予想され、最大 10 年間の柔軟な保持期間を希望する場合にお勧めします。このオプションは、イベントデータストアが AWS Config 設定項目、Audit Manager の証拠、およびイベントを AWS外から収集する場合にもお勧めします。

最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加コストはありません。366 日が経過すると、延長保持は料金で pay-as-you-go利用できます。

これがデフォルトのオプションです。

デフォルトの保持期間: 366 日間

最大保持期間: 3,653 日

[7 年間の保持料金]

FIXED_RETENTION_PRICING

1 か月あたり取り込むイベントデータが 25 TB を超えると予想され、必要な保持期間が最長 7 年の場合にお勧めします。

データの保持は取り込み料金に含まれており、追加料金は発生しません。

デフォルトの保持期間: 2,557 日間

最長保持期間: 2,557 日間

CloudTrail Lake 料金について

次の表は、 CloudTrail Lake イベントデータストアとクエリで料金が発生する方法に関する情報です。 CloudTrail の料金については、「AWS CloudTrail の料金」を参照してください。

料金タイプ課金の方法

料金タイプ	課金の方法
データの取り込み (非圧縮データ)	CloudTrail Lake の場合、取り込まれた非圧縮データに基づいて料金が発生します。イベントデータストアの料金オプションによって、イベントを取り込むコストが決まります。 [延長可能な 1 年間の保持料金]: イベントタイプに基づく取り込み料金が設定されます。 [7 年間の保持料金]: 取り込んだデータ量に基づく取り込み料金が設定されます。毎月取り込まれるデータ量が 25 TB を超えると、非常に大きな節約になります。証跡イベントのコピー証跡イベントを Lake にコピーすると、は gzip (圧縮) 形式で保存されているログを CloudTrail 解凍します。 CloudTrail 次に、ログに含まれるイベントをイベントデータストア CloudTrail にコピーします。非圧縮データのサイズは、実際の Amazon S3 ストレージサイズよりも大きくなる可能性があります。非圧縮データのサイズを概算するには、S3 バケット内のログのサイズに 10 を掛けます。注記 CloudTrail は、イベント時間が指定された保持期間よりも古い場合、イベントをコピーしません。適切な保持期間を決定するには、次の式に示すように、コピーしたい最も古いイベントの日数と、イベントデータストアにイベントを保持したい日数の合計を計算します。保持期間 = `oldest-event-in-days` + `number-days-to-retain` 例えば、コピーする最も古いイベントが 45 日前のもので、そのイベントをイベントデータストアにさらに 45 日間保持したい場合は、保持期間を 90 日間に設定します。
データ保持 (最適化され圧縮されたデータ)	CloudTrail Lake は、行ベースのJSON形式の既存のイベントを Apache ORC 形式に変換します。ORC は、圧縮データの高速取得に最適化された列指向ストレージ形式です。イベントデータストアの保持期間は、イベントデータがイベントデータストアに保持される期間を決定します。 CloudTrail Lake は、イベントのイベント時間が指定された保持期間内であるかどうかをチェックして、イベントを保持するかどうかを決定します。例えば、保持期間を 90 日と指定すると、イベント時刻が 90 日を超えると、はイベント CloudTrail を削除します。 [7 年間の保持料金] オプションを使用するイベントデータストアの場合、ストレージは追加料金なしで取り込み料金に含まれます。 [延長可能な 1 年間の保持料金] オプションを使用するイベントデータストアの場合、最初の 366 日間 (デフォルトの保持期間) のストレージは取り込み料金に無料で含まれています。366 日後、ストレージはで提供され pay-as-you-pricing 、イベントデータストア内の最適化および圧縮されたデータに基づいて課金されます。
CloudTrail Lake でのクエリの実行 (最適化および圧縮されたデータ）	CloudTrail Lake でクエリを実行すると、スキャンされた最適化および圧縮されたデータの量に基づいて料金が発生します。

データの取り込み (非圧縮データ)

CloudTrail Lake の場合、取り込まれた非圧縮データに基づいて料金が発生します。イベントデータストアの料金オプションによって、イベントを取り込むコストが決まります。

[延長可能な 1 年間の保持料金]: イベントタイプに基づく取り込み料金が設定されます。
[7 年間の保持料金]: 取り込んだデータ量に基づく取り込み料金が設定されます。毎月取り込まれるデータ量が 25 TB を超えると、非常に大きな節約になります。

証跡イベントのコピー

証跡イベントを Lake にコピーすると、は gzip (圧縮) 形式で保存されているログを CloudTrail 解凍します。 CloudTrail 次に、ログに含まれるイベントをイベントデータストア CloudTrail にコピーします。非圧縮データのサイズは、実際の Amazon S3 ストレージサイズよりも大きくなる可能性があります。非圧縮データのサイズを概算するには、S3 バケット内のログのサイズに 10 を掛けます。

注記

CloudTrail は、イベント時間が指定された保持期間よりも古い場合、イベントをコピーしません。適切な保持期間を決定するには、次の式に示すように、コピーしたい最も古いイベントの日数と、イベントデータストアにイベントを保持したい日数の合計を計算します。

保持期間 = oldest-event-in-days + number-days-to-retain

例えば、コピーする最も古いイベントが 45 日前のもので、そのイベントをイベントデータストアにさらに 45 日間保持したい場合は、保持期間を 90 日間に設定します。

データ保持 (最適化され圧縮されたデータ)

CloudTrail Lake は、行ベースのJSON形式の既存のイベントを Apache ORC 形式に変換します。ORC は、圧縮データの高速取得に最適化された列指向ストレージ形式です。

イベントデータストアの保持期間は、イベントデータがイベントデータストアに保持される期間を決定します。 CloudTrail Lake は、イベントのイベント時間が指定された保持期間内であるかどうかをチェックして、イベントを保持するかどうかを決定します。例えば、保持期間を 90 日と指定すると、イベント時刻が 90 日を超えると、はイベント CloudTrail を削除します。

[7 年間の保持料金] オプションを使用するイベントデータストアの場合、ストレージは追加料金なしで取り込み料金に含まれます。

[延長可能な 1 年間の保持料金] オプションを使用するイベントデータストアの場合、最初の 366 日間 (デフォルトの保持期間) のストレージは取り込み料金に無料で含まれています。366 日後、ストレージはで提供され pay-as-you-pricing 、イベントデータストア内の最適化および圧縮されたデータに基づいて課金されます。

CloudTrail Lake でのクエリの実行 (最適化および圧縮されたデータ）

CloudTrail Lake でクエリを実行すると、スキャンされた最適化および圧縮されたデータの量に基づいて料金が発生します。

コスト削減方法に関する推奨事項

このセクションでは、 CloudTrail Lake を使用する際にコストを削減する方法に関する推奨事項を提供します。

イベントデータストアが収集するイベントの種類と、予想される毎月の取り込み量に基づいて料金オプションを選択する

イベントデータストアを作成するときに、イベントデータストアが収集するイベントの種類と、予想される毎月の取り込み量に基づいて料金オプションを選択します。

1 か月あたり取り込むイベントデータが 25 TB 未満と予想され、最大 10 年間の柔軟な保持期間を希望する場合、[延長可能な 1 年間の保持料金] オプションをお勧めします。通常、このオプションは、設定項目、Audit Manager の証拠、およびの外部からイベントを収集する AWS Config イベントデータストアにもお勧めします AWS。

1 か月あたり取り込むイベントデータが 25 TB を超えると予想され、7 年間の保持期間が必要な場合、[7 年間の保持料金] オプションをお勧めします。

イベントデータストアの毎月の取り込み量を時系列で評価する

イベントデータストアの毎月の取り込み量の履歴を評価して、ニーズにより適した料金オプションがあるかどうかを確認します。

[7 年間の保持料金] オプションを使用する既存のイベントデータストアがあり、1 か月あたり取り込むデータが 25 TB 未満の場合は、[延長可能な 1 年間の保持料金] を使用するようにイベントデータストアを更新することを検討してください。7 年間の保持料金オプションを使用するイベントデータストアの場合、CloudTrail コンソール、、AWS CLIまたは UpdateEventDataStoreAPIオペレーションを使用して料金オプションを変更できます。

[延長可能な 1 年間の保持料金] オプションを使用する既存のイベントデータストアがあり、1 か月あたり取り込むイベントデータが 25 TB を超える場合は、[7 年間の保持料金] の方がニーズに適しているかどうか検討してください。新しい料金オプションを使用するには、イベントデータストアへの取り込みを停止し、[7 年間の保持料金] オプションで新しいイベントデータストアを作成します。

高度なイベントセレクタを使用して、関連性の低いイベントを除外する

CloudTrail 管理イベントまたはデータイベント用にイベントデータストアを設定する場合は、高度なイベントセレクタを使用して、関心のないイベントを除外します。

管理イベントを収集するイベントデータストアを作成する場合は、 AWS Key Management Service （AWS KMS) または Amazon Relational Database Service (Amazon RDS ) APIデータ管理イベントを除外できます。通常、Encrypt、、などの AWS KMS アクションはDecrypt、イベントの 99% 以上GenerateDataKeyを生成します。

データイベントを収集するイベントデータストアを作成する場合は、高度なイベントセレクタを使用して、eventName、resources.type、resources.ARN、readOnly の各フィールドで絞り込むことができます。詳細については、「高度なイベントセレクタを使用したデータイベントのフィルタリング」を参照してください。

証跡イベントをコピーするときは、時間範囲を短くします。

証跡イベントを CloudTrail Lake にコピーするときは、取り込まれるデータの量を減らすために、開始イベント時間と終了イベント時間を短く指定します。

履歴分析のために証跡イベントを CloudTrail Lake にコピーしていて、今後のイベントを取り込まない場合は、イベントを取り込むオプションの選択を解除して、追加のイベントを取り込む際に料金が発生しないようにします。

eventTime の開始と終了を使用するようにクエリをフォーマットします。

Lake でクエリを実行すると、スキャンされたデータ量に基づいて料金が発生します。クエリの eventTime の開始と終了を指定することでコストを抑えることができます。

以下も参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

CloudTrail 証跡コストの管理

CloudTrail イベント履歴の使用