本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理 CloudTrail 湖泊成本
<a name="cloudtrail-lake-manage-costs"></a>

AWS CloudTrail 湖泊事件数据存储和查询会产生费用。您可以采用捕获所需数据的方式配置事件数据存储，同时保持经济高效。有关 CloudTrail 定价的信息，请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。

**Topics**
+ [事件数据存储定价选项](#cloudtrail-lake-manage-costs-pricing-option)
+ [了解 CloudTrail Lake 费用](#cloudtrail-lake-charges)
+ [关于如何降低成本的建议](#cloudtrail-lake-manage-costs-recommendations)
+ [另请参阅](#w2aab9c23c13)

## 事件数据存储定价选项
<a name="cloudtrail-lake-manage-costs-pricing-option"></a>

创建事件数据存储时，您可以选择要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本，以及事件数据存储的默认和最长保留期。

下表介绍了可用的定价选项。下表显示了控制台中的**定价选项**和 API 的相应 `BillingMode` 值，并列出了每个选项的默认保留期和最长保留期。


| 定价选项（控制台） | BillingMode (API) | 说明 | 
| --- | --- | --- | 
|  **一年的可延期保留定价**  |  `EXTENDABLE_RETENTION_PRICING`  |  如果您希望每月摄取的事件数据少于 25 TB，并且想要灵活的保留期（最长 10 年），则建议这样做。如果事件数据存储从 AWS外部收集 AWS Config 配置项目、Audit Manager 证据和事件，也建议使用此选项。 在前 366 天（默认保留期）内，存储包含在摄取定价中，没有额外费用。366 天后，可以按 pay-as-you-go定价延长保留期。 这是默认选项。 **默认保留期：**366 天 **最长保留期：**3653 天  | 
|  **七年期保留定价**  |  `FIXED_RETENTION_PRICING`  |  如果您希望每月摄取的事件数据大于 25TB，并且需要最长 7 年的保留期，则建议这样做。  保留包含在摄取定价中，没有额外费用。 **默认保留期：**2557 天 **最长保留期：**2557 天  | 

## 了解 CloudTrail Lake 费用
<a name="cloudtrail-lake-charges"></a>

下表提供了有关 L CloudTrail ake 事件数据存储和查询如何产生费用的信息。有关 CloudTrail 定价的信息，请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。


| 费用类型 | 您的费用是如何产生的 | 
| --- | --- | 
|  数据摄取（未压缩的数据）  |  对于 CloudTrail Lake，您需要根据提取的未压缩数据付费。事件数据存储的[定价选项](#cloudtrail-lake-manage-costs-pricing-option)决定了摄取事件的成本： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html) **复制跟踪事件** [将跟踪事件复制](cloudtrail-copy-trail-to-lake-eds.md)到 CloudTrail Lake 时， CloudTrail 解压缩以 gzip（压缩）格式存储的日志。然后 CloudTrail 将日志中包含的事件复制到您的事件数据存储中。未压缩数据的大小可能大于 Amazon S3 的实际存储大小。要对未压缩数据的大小进行总体估计，将 S3 存储桶中日志的大小乘以 10。  CloudTrail 如果事件的时间早于指定的保留期，则不会复制该事件。要确定适当的保留期，请计算要复制的最早事件（以天为单位）和要将事件在事件数据存储中保留的天数之和，如以下公式所示： **保留期** = *oldest-event-in-days* \$1 *number-days-to-retain* 例如，如果您要复制的最早事件已有 45 天，并且您想将事件在事件数据存储中再保留 45 天，则可以将保留期设置为 90 天。   | 
|  数据留存（经过优化和压缩的数据）  |  CloudTrail Lake 将基于行的 JSON 格式的现有事件转换为 [Apache ORC](https://orc.apache.org/) 格式。ORC 是一种针对快速检索压缩数据进行优化的列式存储格式。 事件数据存储的*保留期*决定了事件数据在事件数据存储中保存多长时间。 CloudTrail Lake 通过检查事件的事件时间是否在指定的保留期内来决定是否保留事件。例如，如果您将保留期指定为 90 天，则 CloudTrail 会在事件时间超过 90 天时将其删除。 对于使用**七年期保留定价**选项的事件数据存储，存储包含在摄取定价中，没有额外费用。 对于使用**一年可延期保留定价**选项的事件数据存储，存储包含在前 366 天（默认保留期）的摄取定价中，无需付费。366 天后，将提供存储空间， pay-as-you-pricing并根据事件数据存储中经过优化和压缩的数据收费。  | 
|  在 CloudTrail Lake 中运行查询（经过优化和压缩的数据）  |  在 CloudTrail Lake 中运行查询时，您需要根据扫描的优化和压缩数据量付费。  | 

## 关于如何降低成本的建议
<a name="cloudtrail-lake-manage-costs-recommendations"></a>

本节提供了有关在使用 La CloudTrail ke 时如何降低成本的建议。

**根据您的事件数据存储将收集的事件类型以及预计的每月摄入量来选择定价选项**  
创建事件数据存储时，根据您的事件数据存储将收集的事件类型以及预计的每月摄入量来选择定价选项。  
如果您希望每月摄取的事件数据少于 25 TB，并且想要灵活的保留期（最长 10 年），请选择**一年可延期保留定价**选项。对于从外部收集 AWS Config 配置项目、Audit Manager 证据和事件的事件数据存储，我们通常也建议使用此选项 AWS。  
如果您希望每月摄取的事件数据多于 25TB，并且需要 7 年保留期，请选择**i七年保留定价**选项。

**评估事件数据存储在一段时间内的月摄取量**  
评估事件数据存储的历史月度摄取量，了解是否有更适合您需求的定价选项。  
如果您的现有事件数据存储使用**七年保留定价**选项，并且每月摄取的数据少于 25TB，请考虑更新事件数据存储以使用**一年可延期保留定价**。对于使用**七年保留定价**选项的事件数据存储，您可以使用[CloudTrail 控制台](query-event-data-store-update.md)或 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_UpdateEventDataStore.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_UpdateEventDataStore.html)API 操作更改定价选项。[AWS CLI](lake-cli-update-eds.md#lake-cli-update-billing-mode)  
如果您的现有事件数据存储使用**一年可延期保留定价**选项，并且每月摄取的数据多于 25TB，请考虑**七年保留定价**是否更适合您的需求。要使用新的定价选项，请[停止对您的事件数据存储进行摄取](query-eds-stop-ingestion.md)，并使用**七年保留定价**选项创建一个新的事件数据存储。

**请使用高级事件选择器筛选出不感兴趣的事件**  
在为 CloudTrail 管理事件、数据事件或网络活动事件配置事件数据存储时，您可以使用高级事件选择器筛选出不感兴趣的事件。  
您可以根据以下高级事件选择器字段筛选管理事件：`eventName`、`eventSource`、`eventType`、`readOnly`、`sessionCredentialFromConsole` 和 `userIdentity.arn`。  
您可以根据以下高级事件选择器字段筛选数据事件：`eventName`、`eventSource`、`eventType`、`resources.type`、`resources.ARN`、`readOnly`、`sessionCredentialFromConsole` 和 `userIdentity.arn`。有关更多信息，请参阅 [使用高级事件选择器筛选数据事件](filtering-data-events.md)。  
您可以根据以下高级事件选择器字段筛选网络活动事件：`eventName`、`errorCode` 和 `vpcEndpointId`。有关更多信息，请参阅 [记录网络活动事件](logging-network-events-with-cloudtrail.md)。

**复制跟踪事件时，请选择较窄的时间范围**  
将跟踪事件复制到 CloudTrail Lake 时，请指定较窄的开始事件时间和结束事件时间，以减少摄取的数据量。  
如果您要将跟踪事件复制到 CloudTrail Lake 进行历史分析，并且不想采集 future 事件，请取消选择采集事件的选项，这样您就不会因为摄取任何其他事件而产生费用。

**设置查询格式，以使用开头和结尾 `eventTime`**  
在 Lake 中运行查询时，您需要按扫描的数据量付费。您可以通过指定查询的开头和结尾 `eventTime` 来限制成本。

## 另请参阅
<a name="w2aab9c23c13"></a>
+ [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)
+ [支持的 CloudWatch 指标](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-cloudwatch-metrics.html)
+ [通过以下方式管理成本 AWS Budgets](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-managing-costs.html)
+ [开始使用 Cost Explorer 成本管理服务](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-getting-started.html)