Comment puis-je optimiser les coûts de CloudTrail tout en assurant la conformité ?

Résolution

Examiner et consolider les journaux de suivi CloudTrail

L’existence de plusieurs journaux de suivi qui enregistrent les mêmes événements peut entraîner une augmentation des coûts de CloudTrail :

• Identifiez tous les journaux de suivi actuels sur votre compte AWS et dans l'ensemble de votre organisation.
• Vérifiez l’absence de journaux de suivi en double qui enregistrent les mêmes événements de gestion.
• Conservez un journal de suivi pour les journaux des événements de gestion (gratuit) et désactivez l'enregistrement des événements de gestion sur les autres journaux de suivi.

Pour plus d'informations, consultez la section Consolider et interroger les données AWS CloudTrail sur l'ensemble des comptes et des régions à l'aide d'AWS CloudTrail Lake.

Optimiser les journaux d'événements

Pour réduire les coûts, sélectionnez soigneusement les événements que vous enregistrez.

Pour les événements de gestion :

• Modifiez votre parcours et désactivez la case « Lire » les événements s'ils ne sont pas critiques. Ne sélectionnez que les événements « Écrire ». Pour plus d'informations sur la mise à jour d'un historique, consultez la section Mettre à jour un historique à l'aide de la console CloudTrail.
• Désactivez les services à volume élevé tels qu'AWS Key Management Service (AWS KMS) et Amazon Relational Database Service (Amazon RDS) s'ils ne sont pas essentiels pour répondre à vos besoins de conformité.

Pour exclure les événements AWS KMS et Amazon RDS, utilisez la commande de l’interface de la ligne de commande AWS (AWS CLI) suivante :

Remarque : si des erreurs surviennent lorsque vous exécutez des commandes de l’interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre les erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez la version la plus récente de l'interface AWS CLI.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '\[{"ReadWriteType": "All","IncludeManagementEvents":true,"ExcludeManagementEventSources": \["kms.amazonaws.com","rds.amazonaws.com"\]}\]'

Pour les événements de données :

• Vérifiez et supprimez les outils de surveillance des ressources inutiles, tels que les compartiments Amazon Simple Storage Service (Amazon S3) ou les fonctions AWS Lambda qui ne sont pas critiques pour la production.
• Utilisez des sélecteurs d'événements avancés pour spécifier exactement les événements à journaliser.

Gérer l'utilisation de CloudTrail Lake

Si vous utilisez CloudTrail Lake, effectuez les actions suivantes :

• Utilisez CloudTrail Lake ou un journal de suivi d'organisation pour éviter la duplication des journaux.
• Si vous utilisez CloudTrail Lake, désactivez les événements de gestion dans le journal de votre organisation.
• Surveillez les coûts d'ingestion suivants à l'aide des métriques Amazon CloudWatch :
  Espace de noms : AWS/CloudTrail
  Nom de la métrique : HourlyDataIngested

Surveillez les coûts avec l’Explorateur de coûts

Utilisez l’Explorateur de coûts AWS pour analyser l'utilisation et les coûts de CloudTrail.

Optimiser la configuration des journaux de suivi

Tenez compte de vos besoins en matière de journaux et ajustez la configuration de vos journaux de suivi en procédant comme suit :

• Si cela convient à votre cas d'utilisation, passez de la journalisation multirégionale à la journalisation monorégionale.
• Si vous activez la journalisation monorégionale pour votre région d'origine uniquement, vous ne pouvez pas afficher les journaux des services mondiaux disponibles dans la région us-east-1. Cela inclut des services tels que Gestion des identités et des accès AWS (AWS IAM).

Pour plus d'informations, consultez la section Réception de fichiers journaux CloudTrail en provenance de plusieurs régions.

Gérer la conservation et le stockage

Améliorez votre stratégie de conservation et de stockage des journaux grâce aux actions suivantes :

• Passez en revue les politiques de cycle de vie de vos compartiments Amazon S3 afin de gérer efficacement les objets et de supprimer les journaux au-delà de la période de conservation requise.
• Envisagez les classes de stockage Amazon S3 Intelligent-Tiering ou Amazon S3 Glacier pour la conservation à long terme des anciens journaux.

Réviser et optimiser régulièrement

Examinez et optimisez régulièrement vos configurations CloudTrail et CloudWatch grâce aux actions suivantes :

• Effectuez des examens mensuels ou trimestriels de vos besoins et de vos configurations.
• Utilisez l’Explorateur de coûts et les métriques CloudWatch pour surveiller et analyser votre utilisation et vos coûts au fil du temps.
• Restez informé des nouvelles fonctionnalités de CloudTrail ou des modifications de prix susceptibles d'affecter vos coûts.

Informations connexes

Tarification AWS CloudTrail

Gestion des coûts liés aux journaux de suivi CloudTrail

Journalisation des événements de données