我可以如何最佳化 CloudTrail 成本，同時維持合規性？

2 分的閱讀內容

我想降低 AWS CloudTrail 成本，同時維持有效的事件記錄和合規性。

解決方法

檢閱並合併 CloudTrail 軌跡

記錄相同事件的多個軌跡可能會導致 CloudTrail 成本增加：

識別您 AWS 帳戶內以及整個組織中的所有現有軌跡。
檢查是否有記錄相同管理事件的重複軌跡。
保留一個用於管理事件日誌的軌跡 (這是免費的)，並關閉其他軌跡上的管理事件記錄。

最佳化事件日誌

若要降低成本，請選擇性地記錄事件。

對於管理事件：

編輯您的軌跡，並在「讀取」事件不是關鍵事件時取消勾選。只保留選取「寫入」事件。如需更多如何更新軌跡的資訊，請參閱使用 CloudTrail 主控台更新軌跡。
如果 AWS Key Management Service (KMS) 與 Amazon Relational Database Service (Amazon RDS) 等高輸送量服務對您的合規需求並非必要，請關閉這些服務。

若要排除 AWS KMS 和 Amazon RDS 事件，請使用以下 AWS Command Line Interface (AWS CLI) 命令：

**注意：**如果您在執行 AWS CLI 命令時收到錯誤，請參閱對 AWS CLI 錯誤進行疑難排解。此外，請確認您使用的是最新的 AWS CLI 版本。

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '\[{"ReadWriteType": "All","IncludeManagementEvents":true,"ExcludeManagementEventSources": \["kms.amazonaws.com","rds.amazonaws.com"\]}\]'

對於資料事件：

檢閱並移除不必要的資源監控，例如非生產關鍵的 Amazon Simple Storage Service (Amazon S3) 儲存貯體或 AWS Lambda 函式。
使用進階事件選取器精確指定要記錄的事件。

管理 CloudTrail Lake 使用量

如果您使用 CloudTrail Lake，請採取以下動作：

使用 CloudTrail Lake 或組織軌跡其中之一，以避免重複日誌。
如果您使用 CloudTrail Lake，請關閉組織軌跡中的管理事件。
使用 Amazon CloudWatch 指標監控以下擷取成本：
命名空間： AWS/CloudTrail
指標名稱： HourlyDataIngested

使用 Cost Explorer 監控成本

使用 AWS Cost Explorer 分析 CloudTrail 使用量和成本。

最佳化軌跡組態

請考量您的日誌需求，並透過以下動作調整軌跡組態：

若適用於您的使用案例，請將多區域記錄變更為單一區域記錄。
如果您僅為主區域開啟單一區域記錄，則無法查看在 us-east-1 區域提供的全域服務日誌。這包括 AWS Identity and Access Management (IAM) 等服務。

如需更多資訊，請參閱從多個區域接收 CloudTrail 日誌檔案。

管理保留和儲存

請透過以下動作改善您的日誌保留和儲存策略：

檢閱您的 Amazon S3 儲存貯體生命週期政策，以有效管理物件，並移除超出所需保留期間的日誌。
針對較舊日誌的長期保留，請考慮使用 Amazon S3 Intelligent-Tiering 或 Amazon S3 Glacier 儲存類別。

定期檢閱並最佳化

請透過以下動作定期檢閱並最佳化您的 CloudTrail 和 CloudWatch 組態：

每月或每季檢閱您的需求和組態。
使用 Cost Explorer 和 CloudWatch Metrics 監控並分析您隨時間變化的使用量和成本。
隨時掌握可能影響您成本的 CloudTrail 新功能或價格變更。