タイトルまんま。
CloudTrailのAthena解析が面倒だもんで、何かあった時誰か操作してるか確認する場合、イベント履歴から追ってました。
誰が直近ログインしたのかなーと漁ろうとしてみたものの自分のログイン履歴すらない。(12時半くらいにrootでログインしてみた)
なぜだと思ったら、
us-east-1にありました。
なんとなーく証跡画面はグローバルと思いこんでいましたが、webコンソール画面のイベント履歴はリージョンごとに分かれています。
CloudTrail コンソールで過去 90 日間の運用およびセキュリティインシデントのトラブルシューティングを行うには、[イベント履歴] を表示します。 リージョンごとに、AWS アカウントでのリソース (IAM ユーザーまたは Amazon EC2 インスタンスなど) の作成、変更、または削除に関連するイベントを参照できます。
ので、確認の際にはAthenaか最近できたLakeを使いましょう。