かべぎわブログ

ブログです

AWSCLIでcloudtrailを利用してインスタンスになにがあったのかを調べる

概要

AWSCLIとcloudtrailを利用して特定のインスタンスになにがあったのかを調べてみたいと思います。

だれかが雑にインスタンスを停止してしまって誰が止めたんだ!!!!みたいな犯人探しのときにつかえます(遠い目)

コマンド例

コマンドは以下のとおり。
AttributeValueのところは調べたいインスタンスIDをいれてあげます。

$ aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceName,AttributeValue=i-XXXXXXXXXXXX --query 'Events[].{username:Username,time:EventTime,event:EventName}'

[
    {
        "username": "kabegiwa", 
        "event": "StopInstances", 
        "time": 1530802833.0
    }, 
    {
        "username": "kabegiwa", 
        "event": "StartInstances", 
        "time": 1530801178.0
    }
]

timeの箇所はUNIXTIMEです。
若干わかりにくい。

おわりに

遠い目

AWS Security Automation and Orchestration: Modernizing Governance through Security Design

AWS Security Automation and Orchestration: Modernizing Governance through Security Design