Проблема с журналом событий S3

Есть ли способ увидеть, какие действия пользователь IAM «g2» выполняет в S3 и с каких IP-адресов он работает? Я уже включил регистрацию действий S3.

Один момент, который я до сих пор не могу понять, заключается в том, что когда я пытаюсь найти журналы в облачном следе, используя ключ доступа AWS или имя пользователя, в обоих случаях я получаю результаты как Нет совпадений. Но в течение дня этот пользователь (g2) взаимодействует с S3, исходя из времени, когда кажется, что это CRON, работающий на каком-то сервере. Как это определить?

Я проанализировал историю событий CloudTrail и использовал CloudWatch Logs Insights, чтобы узнать IP-адрес регистрации доступа за 90 дней, используя как «имя пользователя», так и «ключ доступа AWS», но кажется, что это не так уж много. помощь в поиске пользовательских данных «g2». «g2» Пользователь IAM имеет доступ администратора. У пользователя нет доступа к управлению консолью. Я подозреваю, что он просто выполняет «ls» для проверки существования некоторых файлов. Я думаю, что одни и те же действия будут происходить каждый день для него

Я знаю дату/время, которое пользователь выполняет, и ресурс (S3), но это все (без ведра, без IP и т. д.). Можем ли мы что-нибудь сделать с этой информацией?

Я уже тестировал эти запросы, но не смог получить результат 

    поля @timestamp, eventName, eventType, requestParameters.bucketName, requestParameters.key, resources.0.ARN
    | filter sourceIPAddress == "xx.xx.xx.xx" и userIdentity.sessionContext.sessionIssuer.userName == "g2" и eventSource == "s3.amazonaws.com"
    | сортировать @timestamp desc
    | лимит 100

    поля @timestamp, @message
    | фильтр userIdentity.userName == "g2"
    | сортировать @timestamp desc
    | ограничение 20

    поля @timestamp, @message
    | фильтровать sourceIPAddress == "192.168.1.1"
    | сортировать @timestamp desc
    | ограничение 20
    ✓

Может ли запрос Athena к журналам CloudTrail быть полезным? Будет ли журнал CLI CloudTrail полезен для моего сценария? Кто-нибудь может мне с этим помочь?

Я создал новый трейл, чтобы проверить это. Процесс был такой:

1. Создайте новый CloudTrail, включив доставку в CloudWatch, как предложил @Tim, а также активируйте Data Events на S3. Вы можете просто включить Data Events на S3 и отфильтровать для рассматриваемого сегмента, иначе вы можете создать много журналов!
2. Скопировал некоторые файлы в тестовую корзину (foo.txt)
3. CloudWatch -> Группы журналов -> Моя группа -> «Просмотр в Log Insights»

Как только журналы начинают поступать, я могу легко сделать следующее:

Найти использование с моего IP-адреса (если вы знаете IP-адрес, замените 192.168.1.1):

поля @timestamp, @message
| фильтровать sourceIPAddress == "192.168.1.1"
| сортировать @timestamp desc
| ограничение 20

Найдите активность в роли, которую я беру на себя:

поля @timestamp, @message
| filter userIdentity.sessionContext.sessionIssuer.userName == "Администратор"
| сортировать @timestamp desc
| ограничение 20

Затем я могу развернуть любую из строк с помощью стрелки слева, чтобы найти более полезные поля. Любое поле может быть добавлено в поля список, чтобы он отображался красиво, например. используйте IP, роль и сервис, чтобы сузить поиск и показать полезную информацию:

поля @timestamp, eventName, eventType, requestParameters.bucketName, requestParameters.key, resources.0.ARN
| filter sourceIPAddress == "xx.xx.xx.xx" и userIdentity.sessionContext.sessionIssuer.userName == "Admin" и eventSource == "s3.amazonaws.com"
| сортировать @timestamp desc
| лимит 100

Быстрое обновление: я вошел в свою учетную запись хранилища резервных копий, чтобы найти фактического пользователя IAM, ключ:

filter userIdentity.userName == "iam-user-name"