CloudTrailのログから特定の作業を検索

たまに使うので個人用メモとして残しておく

準備

  • aws cliが導入済み
  • jqが導入済み
  • CloudTrailでログを出力

作業

ログの確認

1.ログを展開

# gunzip *.json.gz 等
gzになっているので閲覧出来るようにする

検索する

2-1. ログから指定のイベントを検索

SecurityGroupからの削除を検索
# cat CLOUDTRAIL_LOG_NAME.json | jq '.Records[]|select(contains({eventName:"RevokeSecurityGroupIngress"}))'
API名で検索すればOK

2-2. ユーザの名前で検索

admin-user01を検索
# cat CLOUDTRAIL_LOG_NAME.json | jq '.Records[]|select(.userIdentity.userName == "admin-user01")'

.userIdentity.sessionContext.sessionIssuer.userName の場合もあるからAPIによる?

元記事はこちら

CloudTrailから特定の作業を検索