CloudTrail

2024.05.17

コマンドの実行可否は、主に AWS Cloud9 で確認しています。
コマンド例を提供してくださる方は、以下のフォームから送信してください。
記載されているコマンド例の修正もこちらからお願いします。

スクリプトを提案
提案された内容は改変されて記載される場合があります。ご了承の上ご提案ください。

過去90日で EC2 の起動を試みた時間とユーザーをリストする

aws cloudtrail lookup-events \
--lookup-attributes AttributeKey=EventName,AttributeValue=RunInstances \
--query 'Events[*].[EventTime, Username] | map(&[], @)' \
--output text

出力

2024-05-10T07:00:19+09:00     i-5203422c
2024-05-10T07:00:19+09:00     AutoScaling
2024-05-09T07:00:16+09:00     UserA
2024-05-09T07:00:13+09:00     UserB
2024-05-08T07:00:16+09:00     UserC
2024-05-08T07:00:13+09:00     UserD
<以下省略>

by anonymous

過去90日で EC2 の起動に失敗した時間とユーザーをリストする

aws cloudtrail lookup-events \
--lookup-attributes AttributeKey=EventName,AttributeValue=RunInstances \
--query 'Events[?contains(CloudTrailEvent,`errorMessage`)].[EventTime, Username] | map(&[], @)' \
--output text

出力

2024-05-10T07:00:19+09:00     i-5203422c
2024-05-08T07:00:16+09:00     UserC
2024-05-08T07:00:13+09:00     UserD
<以下省略>

by anonymous

過去90日で EC2 を起動した時間とインスタンス ID とユーザーをリストする

aws cloudtrail lookup-events \
--lookup-attributes AttributeKey=EventName,AttributeValue=RunInstances \
--query 'Events[?!contains(CloudTrailEvent,`errorMessage`)].[EventTime, Resources[?ResourceType==`AWS::EC2::Instance`].ResourceName[], Username] | map(&[], @)' \
--output text

出力

2024-05-10T07:00:19+09:00     i-5203422c       AutoScaling
2024-05-09T07:00:16+09:00     i-5203422d       UserA
2024-05-09T07:00:13+09:00     i-5203422e       UserB
<以下省略>

by anonymous

過去3日で特定のルートテーブルを操作した時間とアクションとユーザーをリストする

start=$(date --date '3 days ago' '+%s')
aws cloudtrail lookup-events \
--lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::RouteTable \
--start-time $start \
--query 'Events[?Resources[0].ResourceName==`rtb-01234567890123456`].[EventTime, EventName, Username]' \
--output text

出力

2024-05-18T13:26:30+00:00       DeleteRoute     UserA
2024-05-18T13:25:42+00:00       CreateRoute     UserB
2024-05-18T13:05:00+00:00       AssociateRouteTable     UserA
2024-05-18T12:30:28+00:00       DeleteRoute     UserB
<以下省略>

by anonymous

タイトルとURLをコピーしました