webコンソールのCloudTrailのイベント履歴はリージョンごとって話

タイトルまんま。

CloudTrailのAthena解析が面倒だもんで、何かあった時誰か操作してるか確認する場合、イベント履歴から追ってました。

誰が直近ログインしたのかなーと漁ろうとしてみたものの自分のログイン履歴すらない。(12時半くらいにrootでログインしてみた)

なぜだと思ったら、

us-east-1にありました。

なんとなーく証跡画面はグローバルと思いこんでいましたが、webコンソール画面のイベント履歴はリージョンごとに分かれています。

CloudTrail Event 履歴でのイベントの表示

CloudTrail コンソールで過去 90 日間の運用およびセキュリティインシデントのトラブルシューティングを行うには、[イベント履歴] を表示します。 リージョンごとに、AWS アカウントでのリソース (IAM ユーザーまたは Amazon EC2 インスタンスなど) の作成、変更、または削除に関連するイベントを参照できます。

ので、確認の際にはAthenaか最近できたLakeを使いましょう。

マネージド型の監査およびセキュリティレイクである AWS CloudTrail Lake を発表