CloudTrailのログから特定の作業を検索
たまに使うので個人用メモとして残しておく
準備
- aws cliが導入済み
- jqが導入済み
- CloudTrailでログを出力
作業
ログの確認
- ログを展開
# gunzip *.json.gz 等
gzになっているので閲覧出来るようにする
検索する
2-1. ログから指定のイベントを検索
SecurityGroupからの削除を検索
# cat CLOUDTRAIL_LOG_NAME.json | jq '.Records[]|select(contains({eventName:"RevokeSecurityGroupIngress"}))'
API名で検索すればOK
2-2. ユーザの名前で検索
admin-user01を検索
# cat CLOUDTRAIL_LOG_NAME.json | jq '.Records[]|select(.userIdentity.userName == "admin-user01")'
.userIdentity.sessionContext.sessionIssuer.userName
の場合もあるからAPIによる?