如何优化 CloudTrail 成本并保持合规性？

2 分钟阅读

我想降低 AWS CloudTrail 成本，同时仍能保持有效的事件日志记录和合规性。

解决方法

审查并整合 CloudTrail 跟踪记录

多个跟踪记录相同的事件可能会导致 CloudTrail 成本增加：

识别您的 AWS 账户及整个组织中的所有当前跟踪。
检查是否存在记录相同管理事件的重复跟踪。
保留一个用于管理事件日志的跟踪（该跟踪免费），并关闭其他跟踪上的管理事件记录。

优化事件日志

为了降低成本，请有选择地记录事件。

对于管理事件：

编辑您的跟踪，如果“读取”事件不重要，则取消选中。仅选择“写入”事件。有关如何更新跟踪的更多信息，请参阅使用 CloudTrail 控制台更新跟踪。
如果 AWS Key Management Service (AWS KMS) 和 Amazon Relational Database Service (Amazon RDS) 等高容量服务对您的合规性要求并非必需，请将其关闭。

要排除 AWS KMS 和 Amazon RDS 事件，请使用以下 AWS 命令行界面 (AWS CLI) 命令：

**注意：**如果您在运行 AWS CLI 命令时收到错误，请参阅 AWS CLI 错误故障排除。此外，请确保您使用的是最新版本的 AWS CLI。

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '\[{"ReadWriteType": "All","IncludeManagementEvents":true,"ExcludeManagementEventSources": \["kms.amazonaws.com","rds.amazonaws.com"\]}\]'

对于数据事件：

查看并移除不必要的资源监控器，例如非生产关键的 Amazon Simple Storage Service (Amazon S3) 存储桶或 AWS Lambda 函数。
使用高级事件选择器精准指定要记录的事件。

管理 CloudTrail Lake 使用情况

如果您使用 CloudTrail Lake，请执行以下操作：

使用 CloudTrail Lake 或组织跟踪来避免重复日志。
如果您使用 CloudTrail Lake，请关闭组织跟踪中的管理事件。
使用 Amazon CloudWatch 指标监控以下摄取成本：
命名空间： AWS/CloudTrail
指标名称： HourlyDataIngested

使用 Cost Explorer 监控成本

使用 AWS Cost Explorer 成本管理服务分析 CloudTrail 的使用情况和成本。

优化跟踪配置

根据您的日志需求，通过以下操作来调整跟踪配置：

如果适用于您的使用案例，请从多区域日志记录更改为单区域日志记录。
如果您仅为主区域启用单区域日志记录，则无法查看 us-east-1 区域中可用的全球服务的日志。这包括 AWS Identity and Access Management (IAM) 等服务。

有关更多信息，请参阅接收来自多个区域的 CloudTrail 日志文件。

管理保留和存储

通过以下操作来改进您的日志保留和存储策略：

查看您的 Amazon S3 存储桶生命周期策略，以便有效管理对象并移除超过所需保留期的日志。
考虑使用 Amazon S3 Intelligent-Tiering 或 Amazon S3 Glacier 存储类别来长期保留较旧的日志。

定期审查和优化

通过以下操作来定期审查和优化您的 CloudTrail 和 CloudWatch 配置：

每月或每季度对您的需求和配置进行审查。
使用 Cost Explorer 和 CloudWatch 指标来监控和分析一段时间内的使用情况和成本。
随时了解可能影响您成本的 CloudTrail 新功能或价格变化。