Gerenciar custos das trilhas do CloudTrail

A primeira cópia dos eventos de gerenciamento em cada região é entregue gratuitamente. Por exemplo, se sua conta tiver duas trilhas de uma região única, uma trilha em us-east-1 e outra em us-west-2, não haverá cobranças do CloudTrail porque há apenas uma trilha registrando eventos em cada região. No entanto, se sua conta tiver uma trilha de várias regiões e uma trilha adicional de região única, a trilha de região única incorrerá em cobranças porque a trilha de várias regiões já está registrando eventos em cada região.

Se você criar mais trilhas que entreguem os mesmos eventos de gerenciamento a outros destinos, essas entregas subsequentes incorrerão em custos do CloudTrail. Você pode fazer isso para permitir que diferentes grupos de usuários (como desenvolvedores, pessoal de segurança e auditores de TI) recebam suas próprias cópias dos arquivos de log. Para eventos de dados, todas as entregas incorrem em custos do CloudTrail, incluindo a primeira.

Conforme você cria mais trilhas, é especialmente importante estar familiarizado com seus logs e compreender os tipos e os volumes de eventos que são gerados pelos recursos em sua conta. Isso ajuda você a prever o volume de eventos associados a uma conta e planejar os custos de trilha. Por exemplo, usar a criptografia no lado do servidor gerenciada pelo AWS KMS (SSE-KMS) nos buckets do S3 pode resultar em um grande número de eventos de gerenciamento do AWS KMS no CloudTrail. Volumes maiores de eventos em várias trilhas também podem influenciar os custos.

Para ajudar a limitar o número de eventos que são registrados em sua trilha, você pode filtrar AWS KMS ou eventos API Data do Amazon RDS escolhendo Exclude AWS KMS events (Excluir eventos) ou Exclude Amazon RDS Data API events (Excluir eventos da API de dados do Amazon RDS) em Create trail (Criar trilha) ou Update trail (Atualizar trilha). Ao usar seletores de eventos básicos, você só pode filtrar eventos de gerenciamento. No entanto, é possível usar seletores de eventos avançados para filtrar eventos de gerenciamento e dados.

Você pode usar seletores de eventos avançados para incluir ou excluir eventos de dados, o que permite que você registre em log apenas os eventos de dados de interesse. Para obter mais informações, consulte Filtrar todos os eventos de dados utilizando seletores de eventos avançados.

Você pode usar seletores de eventos avançados para incluir ou excluir eventos de atividade de rede com base nos campos eventName, resources.type, resources.ARN, errorCode e vpcEndpointId, permitindo que você registre somente os eventos de dados de interesse. Para obter mais informações, consulte Registrar em log os eventos de atividade de rede.

Para obter mais informações sobre como criar e atualizar uma trilha, consulte Criar uma trilha com o console do CloudTrail ou Atualizar uma trilha com o console do CloudTrail neste guia.

Quando você configura uma trilha do Organizations com o CloudTrail, o CloudTrail replica a trilha para cada conta-membro em sua organização. A nova trilha é criada além de quaisquer trilhas existentes nas contas-membro. Certifique-se de que a configuração da trilha da organização corresponda à forma como você deseja que as trilhas sejam configuradas para todas as contas em uma organização, pois a configuração da trilha da organização é propagada para todas as contas.

Como o Organizations cria uma trilha em cada conta-membro, uma conta-membro individual que crie uma trilha adicional para coletar os mesmos eventos de gerenciamento que a trilha do Organizations estará coletando uma segunda cópia dos eventos. A conta será cobrada pela segunda cópia. Da mesma forma, se uma conta tiver uma trilha de várias regiões e criar uma segunda trilha em uma região única para coletar os mesmos eventos de gerenciamento que a trilha de várias regiões, a trilha na região única estará fornecendo uma segunda cópia dos eventos. A segunda cópia gerará cobranças.