一ヶ月分の操作から調査

とある事情でログから特定操作をいつしたか探していました。

まずはデータを手元に持ってくる。

aws s3 cp s3://xx/AWSLogs/xx/CloudTrail/ap-northeast-1/2023/08/ . --recursive

続いてそれを解凍。gz形式なので。

find . -name '*.gz' | xargs gunzip

今回はSageMakerに関する調査なのでこんな感じ。

find . -name '*.json' | xargs cat |  jq '.Records[]'  | jq -r '"\(.eventTime) \(.awsRegion) \(.eventSource) \(.eventName) \(.userName)  \(.sourceIPAddress)  \(.requestParameters)   \(.userIdentity)"' | grep -i sagemaker

一行毎に指定したレコードのみが格納されるファイルとして出力できます。同じようなことをしたい方は参考にどうぞ。