概要

AWSCLIでCloudtrailを操作してインスタンスを停止した犯人をコマンド一発でさがしだしてみたいとおもいます。

コマンド

コマンドはこんなかんじ。

$ aws cloudtrail lookup-events --start-time 2019-01-23T17:00:02+0900 --end-time 2019-01-24T17:1
1:02+0900 --query 'Events[?EventName==`StopInstances`].{user:Username,event:EventName}'

--start-timeと--end-timeにさがす時間帯をいれてあげます。
結構時間がかかるので時間帯はしぼったほうがいいです。

EventNameをさがしたいイベントにかえてあげるとインスタンスを停止した犯人の他にも、削除したひとをさがしだすこともできます。

ちなみに

こんなかんじのコマンドで--start-timeと--end-timeに利用できるフォーマットで時間帯を取得することができます。

$ date -Iseconds --date '1days ago'
2019-01-28T07:02:32+09:00

おわりに

罪を憎んで人を憎まず