コマンドの実行可否は、主に AWS Cloud9 で確認しています。
コマンド例を提供してくださる方は、お問い合わせフォームから送信してください。
記載されているコマンド例の修正もこちらからご連絡ください。
過去90日で EC2 の起動を試みた時間とユーザーをリストする
aws cloudtrail lookup-events \
--lookup-attributes AttributeKey=EventName,AttributeValue=RunInstances \
--query 'Events[*].[EventTime, Username] | map(&[], @)' \
--output text出力
2024-05-10T07:00:19+09:00 i-5203422c
2024-05-10T07:00:19+09:00 AutoScaling
2024-05-09T07:00:16+09:00 UserA
2024-05-09T07:00:13+09:00 UserB
2024-05-08T07:00:16+09:00 UserC
2024-05-08T07:00:13+09:00 UserD
<以下省略>by anonymous
過去90日で EC2 の起動に失敗した時間とユーザーをリストする
aws cloudtrail lookup-events \
--lookup-attributes AttributeKey=EventName,AttributeValue=RunInstances \
--query 'Events[?contains(CloudTrailEvent,`errorMessage`)].[EventTime, Username] | map(&[], @)' \
--output text出力
2024-05-10T07:00:19+09:00 i-5203422c
2024-05-08T07:00:16+09:00 UserC
2024-05-08T07:00:13+09:00 UserD
<以下省略>by anonymous
過去90日で EC2 を起動した時間とインスタンス ID とユーザーをリストする
aws cloudtrail lookup-events \
--lookup-attributes AttributeKey=EventName,AttributeValue=RunInstances \
--query 'Events[?!contains(CloudTrailEvent,`errorMessage`)].[EventTime, Resources[?ResourceType==`AWS::EC2::Instance`].ResourceName[], Username] | map(&[], @)' \
--output text出力
2024-05-10T07:00:19+09:00 i-5203422c AutoScaling
2024-05-09T07:00:16+09:00 i-5203422d UserA
2024-05-09T07:00:13+09:00 i-5203422e UserB
<以下省略>by anonymous
過去3日で特定のルートテーブルを操作した時間とアクションとユーザーをリストする
start=$(date --date '3 days ago' '+%s')
aws cloudtrail lookup-events \
--lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::RouteTable \
--start-time $start \
--query 'Events[?Resources[0].ResourceName==`rtb-01234567890123456`].[EventTime, EventName, Username]' \
--output text出力
2024-05-18T13:26:30+00:00 DeleteRoute UserA
2024-05-18T13:25:42+00:00 CreateRoute UserB
2024-05-18T13:05:00+00:00 AssociateRouteTable UserA
2024-05-18T12:30:28+00:00 DeleteRoute UserB
<以下省略>by anonymous
