AWS CloudTrailの活用

AWSは、デフォルトで90日分のログがCloudTrailに取得されています。

誰が、いつ、どのような操作を行ったかを調べることができます。

下記は、直近100イベントのイベント名を集計するコマンドです。

$ aws cloudtrail lookup-events --max-items 500 --query 'Events[].EventName' | sort | uniq -c | sort -r
253     "AssumeRole",
225     "DescribeInstances",
21     "SendCommand",
1 ]
1 [
1     "DescribeInstances"

時間帯やユーザ、リソースといった観点でフィルタして必要な情報を検索できます。