AWSは、デフォルトで90日分のログがCloudTrailに取得されています。
誰が、いつ、どのような操作を行ったかを調べることができます。
下記は、直近100イベントのイベント名を集計するコマンドです。
$ aws cloudtrail lookup-events --max-items 500 --query 'Events[].EventName' | sort | uniq -c | sort -r 253 "AssumeRole", 225 "DescribeInstances", 21 "SendCommand", 1 ] 1 [ 1 "DescribeInstances"
時間帯やユーザ、リソースといった観点でフィルタして必要な情報を検索できます。
コメント