管理 CloudTrail 跟踪成本

每个区域内的管理事件的第一个副本是免费传输的。例如，如果您的账户有 2 个单区域跟踪，一个在 us-east-1 中，另一个在 us-west-2 中，则不会产生 CloudTrail 费用，因为每个相应区域中只有一个跟踪日志记录事件。但是，如果您的账户有一个多区域跟踪和一个额外的单区域跟踪，则单区域跟踪将产生费用，因为多区域跟踪已经在每个区域中记录事件。

如果您创建更多将相同管理事件传递到其他目标的跟踪记录，则后续交付会产生 CloudTrail 成本。您可以这样做，以允许不同的用户组（例如开发人员、安全人员和 IT 审计员）接收其日志文件副本。对于数据事件，所有交付都会产生 CloudTrail 成本，包括第一次交付。

在创建更多跟踪记录时，熟悉日志并了解账户中的资源所生成的事件的类型和数量尤为重要。这可以帮助您预测与账户关联的事件的数量，并计划跟踪成本。例如，对 S3 存储桶使用 AWS KMS 托管的服务器端加密 (SSE-KMS) 可能会在 CloudTrail 中生成大量 AWS KMS 管理事件。跨多个跟踪记录的大量事件也会影响成本。

为了帮助限制记录到跟踪的事件数量，您可以通过在创建跟踪或更新跟踪页面上选择排除 AWS KMS 事件或排除 Amazon RDS 数据 API 事件，筛选掉 AWS KMS 或 Amazon RDS 数据 API 事件。使用基本事件选择器时，您只能筛选管理事件。但是，您可以使用高级事件选择器来同时筛选管理事件和数据事件。

您可以使用高级事件选择器来包含或排除数据事件，从而使您能够仅记录感兴趣的数据事件。有关更多信息，请参阅 使用高级事件选择器筛选数据事件。

您可以使用高级事件选择器根据 eventName、resources.type、resources.ARN、errorCode 和 vpcEndpointId 字段来包含或排除网络活动事件，从而使您能够仅记录感兴趣的数据事件。有关更多信息，请参阅 记录网络活动事件。

有关创建和更新跟踪记录的更多信息，请参阅本指南中的 使用 CloudTrail 控制台创建跟踪 或 使用 CloudTrail 控制台更新跟踪。

在使用 CloudTrail 设置 Organizations 跟踪时，CloudTrail 会将跟踪复制到组织中的每个成员账户。除了成员账户中的任何现有跟踪记录之外，还会创建新的跟踪记录。确保组织跟踪的配置与您希望为组织中的所有账户配置跟踪的方式匹配，因为组织跟踪配置会传播到所有账户。

由于 Organizations 在每个成员账户中创建一个跟踪，因此，创建额外跟踪以收集与 Organizations 跟踪相同的管理事件的单个成员账户将收集第二个事件副本。将针对第二个副本向该账户收费。类似地，如果一个账户有一个多区域跟踪，并且在一单区域中创建第二个跟踪来收集与多区域跟踪相同的管理事件，则单区域中的跟踪将传送事件的第二个副本。第二个副本会产生费用。