kirie.net blog

CloudTrailのデータは日次でディレクトリが作成された中に保存されるので、面倒なのでCLI使ってまとめて表示してみた。

$ bucket_name=[bucket_name] ;mkdir /tmp/trail-temp 2>/dev/null; aws s3 sync s3://${bucket_name} /tmp/trail-temp > /dev/null; find /tmp/trail-temp -type f -name "*.json.gz" | xargs -i gzip -cd {} | sed "s/\]}{\"Records\":\[/,/g"

一番最初の[bucket_name]だけCloudTrailの保存先に指定しているbucket名を指定して使います。

これでだらだらJSONが表示されるのでpytnonのjson.toolなんかを利用するとフォーマットされます。

$ bucket_name=[bucket_name] ;mkdir /tmp/trail-temp 2>/dev/null; aws s3 sync s3://${bucket_name} /tmp/trail-temp > /dev/null; find /tmp/trail-temp -type f -name "*.json.gz" | xargs -i gzip -cd {} | sed "s/\]}{\"Records\":\[/,/g" | python -m json.tool

DBとかにつっこんで利用する方法、まで書ければかっこよかったんですが
僕の場合ファイルに出力してvimで検索して満足したんで、これで終わりです。