事件資料存放區定價選項了解 CloudTrail 湖泊費用有關如何降低成本的建議另請參閱

管理 CloudTrail 湖泊成本

AWS CloudTrail Lake 事件資料存放區和查詢會產生費用。您可以透過擷取所需資料的方式設定事件資料存放區，同時保持符合成本效益。如需 CloudTrail 定價的資訊，請參閱 AWS CloudTrail 定價。

主題

事件資料存放區定價選項
了解 CloudTrail 湖泊費用
有關如何降低成本的建議
另請參閱

事件資料存放區定價選項

建立事件資料存放區時，您可以選擇要用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本，以及事件資料存放區的預設和最長保留期。

下表說明可用的定價選項。此表格顯示主控台中的「定價」選項以及對應的BillingMode值API，並列出每個選項的預設和最長保留期間。

定價選項 (主控台) BillingMode (API) 描述

定價選項 (主控台)	BillingMode (API)	描述
一年可延長保留定價	`EXTENDABLE_RETENTION_PRICING`	如果您預期每月擷取的事件資料少於 25 TB，並且需要長達 10 年的彈性保留期，則建議使用此選項。如果您的事件資料存放區收集 AWS Config 組態項目、Audit Manager 證據和 AWS外部事件，也建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中，無須額外付費。366 天之後，延長保留將按 pay-as-you-go價格提供。此為預設選項。預設保留期：366 天最長保留期：3,653 天
七年保留定價	`FIXED_RETENTION_PRICING`	如果您預期每月擷取的事件資料超過 25 TB，並且需要長達 7 年的彈性保留期，則建議使用此選項。保留已包含在擷取定價中，無須額外付費。預設保留期：2,557 天最長保留期：2,557 天

一年可延長保留定價

EXTENDABLE_RETENTION_PRICING

如果您預期每月擷取的事件資料少於 25 TB，並且需要長達 10 年的彈性保留期，則建議使用此選項。如果您的事件資料存放區收集 AWS Config 組態項目、Audit Manager 證據和 AWS外部事件，也建議使用此選項。

前 366 天 (預設保留期) 的儲存已包含在擷取定價中，無須額外付費。366 天之後，延長保留將按 pay-as-you-go價格提供。

此為預設選項。

預設保留期：366 天

最長保留期：3,653 天

七年保留定價

FIXED_RETENTION_PRICING

如果您預期每月擷取的事件資料超過 25 TB，並且需要長達 7 年的彈性保留期，則建議使用此選項。

保留已包含在擷取定價中，無須額外付費。

預設保留期：2,557 天

最長保留期：2,557 天

了解 CloudTrail 湖泊費用

下表提供 CloudTrail Lake 事件資料儲存和查詢如何產生費用的相關資訊。如需 CloudTrail 定價的資訊，請參閱 AWS CloudTrail 定價。

收費類型如何產生費用

收費類型	如何產生費用
資料擷取 (未壓縮的資料)	對於 CloudTrail Lake，您需要根據擷取的未壓縮資料付費。事件資料存放區的定價選項將決定擷取事件的成本：一年可延長保留定價：根據事件類型提供擷取定價。七年保留定價：根據擷取的資料量提供擷取定價。當每月擷取的資料量超過 25 TB 時，即可達到最大程度的節省。複製追蹤事件將追蹤事件複製到 CloudTrail Lake 時，會 CloudTrail 解壓縮以 gzip (壓縮) 格式儲存的記錄檔。然後 CloudTrail 將記錄檔中包含的事件複製到您的事件資料存放區。未壓縮資料的大小可能大於實際的 Amazon S3 儲存大小。若要取得未壓縮資料大小的一般估計值，請將 S3 儲存貯體中的日誌大小乘以 10。注意 CloudTrail 如果事件時間早於指定的保留期間，則不會複製事件。若要確定適當的保留期，請計算您要複製的最舊事件所經歷的天數，以及要將事件保留在事件資料存放區中的天數，並將兩者加總，如以下等式所示：保留期間 = `oldest-event-in-days` + `number-days-to-retain` 例如，如果您要複製的最舊事件為 45 天前的事件，並希望這些事件在事件資料存放區中再保留 45 天，則可以將保留期設為 90 天。
資料保留 (最佳化和壓縮的資料)	CloudTrail 湖泊將基於行的JSON格式現有的事件轉換為 Apache ORC 格式。ORC是針對快速擷取壓縮資料而最佳化的單欄式儲存格式。事件資料存放區的保留期決定了事件資料在事件資料存放區中保留的時間長度。 CloudTrail Lake 會檢查事件的事件時間是否在指定的保留期間內，以判斷是否要保留事件。例如，如果您指定 90 天的保留期，則 CloudTrail 會在事件時間超過 90 天時移除事件。若為使用七年保留定價選項的事件資料存放區，則儲存已包含在擷取定價中，無須額外付費。若為使用一年可延長保留定價選項的事件資料存放區，則前 366 天 (預設保留期) 的儲存已包含在擷取定價中，無須額外付費。366 天之後，儲存會依照事件資料存放區中最佳化 pay-as-you-pricing 和壓縮的資料提供，且會依據其中的最佳化和壓縮資料收費。
在 CloudTrail Lake 中執行查詢 (最佳化和壓縮資料)	在 CloudTrail Lake 中執行查詢時，您需要根據掃描的最佳化和壓縮資料量付費。

資料擷取 (未壓縮的資料)

對於 CloudTrail Lake，您需要根據擷取的未壓縮資料付費。事件資料存放區的定價選項將決定擷取事件的成本：

一年可延長保留定價：根據事件類型提供擷取定價。
七年保留定價：根據擷取的資料量提供擷取定價。當每月擷取的資料量超過 25 TB 時，即可達到最大程度的節省。

複製追蹤事件

將追蹤事件複製到 CloudTrail Lake 時，會 CloudTrail 解壓縮以 gzip (壓縮) 格式儲存的記錄檔。然後 CloudTrail 將記錄檔中包含的事件複製到您的事件資料存放區。未壓縮資料的大小可能大於實際的 Amazon S3 儲存大小。若要取得未壓縮資料大小的一般估計值，請將 S3 儲存貯體中的日誌大小乘以 10。

注意

CloudTrail 如果事件時間早於指定的保留期間，則不會複製事件。若要確定適當的保留期，請計算您要複製的最舊事件所經歷的天數，以及要將事件保留在事件資料存放區中的天數，並將兩者加總，如以下等式所示：

保留期間 = oldest-event-in-days + number-days-to-retain

例如，如果您要複製的最舊事件為 45 天前的事件，並希望這些事件在事件資料存放區中再保留 45 天，則可以將保留期設為 90 天。

資料保留 (最佳化和壓縮的資料)

CloudTrail 湖泊將基於行的JSON格式現有的事件轉換為 Apache ORC 格式。ORC是針對快速擷取壓縮資料而最佳化的單欄式儲存格式。

事件資料存放區的保留期決定了事件資料在事件資料存放區中保留的時間長度。 CloudTrail Lake 會檢查事件的事件時間是否在指定的保留期間內，以判斷是否要保留事件。例如，如果您指定 90 天的保留期，則 CloudTrail 會在事件時間超過 90 天時移除事件。

若為使用七年保留定價選項的事件資料存放區，則儲存已包含在擷取定價中，無須額外付費。

若為使用一年可延長保留定價選項的事件資料存放區，則前 366 天 (預設保留期) 的儲存已包含在擷取定價中，無須額外付費。366 天之後，儲存會依照事件資料存放區中最佳化 pay-as-you-pricing 和壓縮的資料提供，且會依據其中的最佳化和壓縮資料收費。

在 CloudTrail Lake 中執行查詢 (最佳化和壓縮資料)

在 CloudTrail Lake 中執行查詢時，您需要根據掃描的最佳化和壓縮資料量付費。

有關如何降低成本的建議

本節提供有關如何在使用 CloudTrail Lake 時降低成本的建議。

根據事件資料存放區將收集的事件類型，以及您預期的每月擷取量，選擇定價選項

建立事件資料存放區時，請根據事件資料存放區將收集的事件類型，以及您預期的每月擷取，選擇定價選項。

如果您預期每月擷取的事件資料少於 25 TB，並且需要長達 10 年的彈性保留期，請選擇一年可延長保留定價選項。對於從外部收集 AWS Config 組態項目、Audit Manager 證據和事件的事件資料存放區，我們通常也會建議使用此選項 AWS。

如果您預期每月擷取的事件資料超過 25 TB，並且需要長達 7 年的彈性保留期，請選擇七年保留定價選項。

評估事件資料存放區隨時間推移的每月擷取

評估事件資料存放區的歷史每月擷取，以查看是否有更符合您需求的定價選項。

如果您現有的事件資料存放區使用七年保留定價選項，而且您每月擷取的資料少於 25 TB，請考慮更新事件資料存放區，以使用一年可延長保留定價。對於使用七年保留定價選項的事件資料存放區，您可以使用CloudTrail 主控台或UpdateEventDataStoreAPI作業變更定價選項。AWS CLI

如果您現有的事件資料存放區使用一年可延長保留定價選項，而且您每月擷取的資料超過 25 TB，請考慮七年保留定價選項是否更符合您的需求。若要使用新的定價選項，請在您的事件資料存放區上停止擷取，並使用七年保留定價選項建立新的事件資料存放區。

使用進階事件選取器篩選掉不感興趣的事件

為 CloudTrail 管理或資料事件設定事件資料存放區時，請使用進階事件選取器篩選出不感興趣的事件。

如果您要建立事件資料存放區來收集管理事件，可以篩選掉 AWS Key Management Service (AWS KMS) 或 Amazon Relational Database Service (AmazonRDS) 資料API管理事件。通常情況下Encrypt， AWS KMS 動作如Decrypt、和GenerateDataKey產生超過 99% 的事件。

如果您要建立事件資料存放區來收集資料事件，則可以使用進階事件選取器依 eventName、resources.type、resources.ARN 和 readOnly 欄位進行篩選。如需詳細資訊，請參閱使用進階事件選取器篩選資料事件。

在複製追蹤事件時選擇較短的時間範圍

將追蹤事件複製到 CloudTrail Lake 時，請指定較窄的開始事件時間和結束事件時間，以減少擷取的資料量。

如果您要將追蹤事件複製到 CloudTrail Lake 以進行歷史分析，但不想擷取 future 事件，請取消選取擷取事件的選項，這樣您就不會因擷取任何其他事件而產生費用。

格式化查詢以使用開始和結束 eventTime

在 Lake 中執行查詢時，您需要依據掃描的資料量付費。您可以指定查詢的開始和結束 eventTime，藉此限制成本。

另請參閱

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

管理 CloudTrail 追蹤成本

使用 CloudTrail 事件歷史記錄