Administración de los costos de los registros de seguimiento de CloudTrail

La primera copia de los eventos de administración de cada región se entrega de forma gratuita. Por ejemplo, si su cuenta tiene 2 registros de seguimiento de una sola región (uno en us-east-1 y otro en us-west-2), no se cobrarán cargos de CloudTrail porque solo hay un registro de seguimiento registrando los eventos de cada región respectiva. Sin embargo, si su cuenta tiene un registro de seguimiento multirregión y otro de una sola región, el de una sola región incurrirá en cargos porque el multirregión ya registra los eventos de todas las regiones.

Si crea más registros de seguimiento que envían los mismos eventos de administración a otros destinos, las entregas posteriores generarán costos de CloudTrail. Puede hacerlo para permitir que diferentes grupos de usuarios (tales como desarrolladores, personal de seguridad y auditores de TI) reciban sus propias copias de los archivos de registro. En el caso de eventos de datos, todas las entregas generan costos de CloudTrail, incluida la primera.

A medida que crea más registros de seguimiento, es especialmente importante estar familiarizado con los registros y comprender los tipos y los volúmenes de eventos generados por los recursos de su cuenta. Esto le ayuda a prever el volumen de eventos que están asociados a una cuenta y a planificar los costos de registro de seguimiento. Por ejemplo, el uso del cifrado del lado del servidor administrado por AWS KMS (SSE-KMS) en los buckets de S3 puede dar lugar a un gran número de eventos de administración de AWS KMS en CloudTrail. Los volúmenes de mayor tamaño de eventos en varios registros de seguimiento también pueden repercutir en los costos.

Para ayudar a limitar la cantidad de eventos que se registran en el registro de seguimiento, puede filtrar los eventos de AWS KMS o de la API de datos de Amazon RDS al elegir Excluir eventos de AWS KMS o Excluir eventos de la API de datos de Amazon RDS en las páginas Crear registro de seguimiento o Actualizar registro de seguimiento. Cuando se utilizan selectores de eventos básicos, solo se pueden filtrar los eventos de administración. Sin embargo, puede utilizar selectores de eventos avanzados para filtrar eventos de administración y de datos.

Puede utilizar selectores de eventos avanzados para incluir o excluir eventos de datos, lo que le permite registrar solo los eventos de datos que le interesen. Para obtener más información, consulte Filtrado de los eventos de datos mediante selectores de eventos avanzados.

Puede utilizar selectores de eventos avanzados para incluir o excluir eventos de actividad de la red en función de los campos eventName, resources.type, resources.ARN, errorCode y vpcEndpointId, lo que le permite registrar solo los eventos de datos que le interesen. Para obtener más información, consulte Registro de eventos de actividad de la red.

Para obtener más información acerca de la creación y actualización de un registro de seguimiento, consulte Creación de un registro de seguimiento con la consola de CloudTrail o Actualización de un registro de seguimiento con la consola de CloudTrail en esta guía.

Al configurar un registro de seguimiento de Organizations con CloudTrail, CloudTrail reproduce el registro de seguimiento en cada cuenta miembro de su organización. Se crea el nuevo registro de seguimiento, además de los registros de seguimiento existentes en las cuentas miembro. Asegúrese de que la configuración del registro de seguimiento de organización coincida con la forma en que desea que los registros de seguimiento se configuren en todas las cuentas de una organización, ya que la configuración del registro de seguimiento de organización se propaga a todas las cuentas.

Dado que Organizations crea un registro de seguimiento en cada cuenta miembro, una cuenta miembro individual que crea un registro de seguimiento adicional para recopilar los mismos eventos de administración que el registro de seguimiento de Organizations recopila una segunda copia de los eventos. La segunda copia se cobra en la cuenta. Del mismo modo, si una cuenta tiene un registro de seguimiento de varias regiones y crea un segundo registro de seguimiento en una única región para recopilar los mismos eventos de administración que el registro de seguimiento de varias regiones, el registro de seguimiento de una única región envía una segunda copia de los eventos. Se aplican cargos a la segunda copia.