Sự cố sự kiện Nhật ký S3

Có cách nào để xem những hành động mà người dùng IAM 'g2' đang thực hiện trong S3 và họ đang chạy (các) IP nào không? Tôi đã kích hoạt ghi nhật ký các hành động S3.

Một điểm mà tôi vẫn không thể hiểu được là khi tôi cố gắng tìm nhật ký trong Cloud trail bằng khóa truy cập AWS hoặc tên người dùng trong cả hai trường hợp, tôi nhận được kết quả là Không khớp. Nhưng trong suốt cả ngày, người dùng đó (g2) tương tác với S3, dựa trên số lần có vẻ như đó là một CRON đang chạy trên một số máy chủ. Làm thế nào để xác định nó?

Tôi đã phân tích lịch sử sự kiện CloudTrail và sử dụng CloudWatch Logs Insights để tìm hiểu quyền truy cập Địa chỉ IP ghi nhật ký trong 90 ngày bằng cách sử dụng cả usernameâ và âAWS Access Keyâ nhưng có vẻ như nó không nhiều trợ giúp để tìm dữ liệu người dùng âg2â. Người dùng âg2â IAM có Quyền truy cập quản trị viên. Người dùng không có quyền truy cập quản lý bảng điều khiển. Tôi nghi ngờ nó chỉ thực hiện 'ls' để kiểm tra sự tồn tại của một số tệp. Tôi nghĩ rằng những hành động tương tự sẽ xảy ra mỗi ngày đối với nó

Tôi biết ngày/giờ người dùng thực thi và tài nguyên (S3) nhưng đó là tất cả (không có bộ chứa, không có IP, v.v.). Có bất cứ điều gì chúng ta có thể làm với thông tin đó?

Tôi đã kiểm tra các truy vấn này nhưng không thể nhận được kết quả 

    các trường @timestamp, eventName, eventType, requestParameters.bucketName, requestParameters.key, resource.0.ARN
    | nguồn lọcIPAddress == "xx.xx.xx.xx" và userIdentity.sessionContext.sessionIssuer.userName == "g2" và eventSource == "s3.amazonaws.com"
    | sắp xếp @timestamp desc
    | giới hạn 100

    trường @timestamp, @message
    | lọc userIdentity.userName == "g2"
    | sắp xếp @timestamp desc
    | giới hạn 20

    trường @timestamp, @message
    | lọc nguồnIPAddress == "192.168.1.1"
    | sắp xếp @timestamp desc
    | giới hạn 20
    â

Truy vấn Athena của Nhật ký CloudTrail có hữu ích không? Nhật ký CloudTrail của công cụ CLI có hữu ích cho trường hợp của tôi không? Bất cứ ai có thể giúp tôi với điều này?

Tôi đã thiết lập một Đường mòn mới để kiểm tra điều này. Quy trình là thế này:

1. Tạo CloudTrail mới, cho phép phân phối tới CloudWatch như @Tim đã đề xuất, đồng thời bật Sự kiện dữ liệu trên S3. Có thể bạn chỉ muốn bật Sự kiện dữ liệu trên S3 và lọc nhóm được đề cập, nếu không, bạn có thể tạo nhiều nhật ký!
2. Đã sao chép một số tệp vào thùng thử nghiệm (foo.txt)
3. CloudWatch -> Nhóm nhật ký -> Nhóm của tôi -> "Xem trong thông tin chi tiết về nhật ký"

Khi nhật ký bắt đầu đến, tôi có thể dễ dàng thực hiện các thao tác sau:

Tìm cách sử dụng từ IP của tôi (nếu bạn biết IP thay thế 192.168.1.1):

trường @timestamp, @message
| lọc nguồnIPAddress == "192.168.1.1"
| sắp xếp @timestamp desc
| giới hạn 20

Tìm hoạt động từ vai trò mà tôi đảm nhận:

trường @timestamp, @message
| lọc userIdentity.sessionContext.sessionIssuer.userName == "Quản trị viên"
| sắp xếp @timestamp desc
| giới hạn 20

Sau đó, tôi có thể mở rộng bất kỳ hàng nào có mũi tên ở bên trái để tìm các trường hữu ích hơn. Bất kỳ trường nào cũng có thể được thêm vào lĩnh vực list để làm cho nó hiển thị độc đáo, ví dụ: sử dụng IP & Vai trò & Dịch vụ để thu hẹp tìm kiếm và hiển thị thông tin hữu ích:

các trường @timestamp, eventName, eventType, requestParameters.bucketName, requestParameters.key, resource.0.ARN
| nguồn lọcIPAddress == "xx.xx.xx.xx" và userIdentity.sessionContext.sessionIssuer.userName == "Quản trị viên" và eventSource == "s3.amazonaws.com"
| sắp xếp @timestamp desc
| giới hạn 100

Cập nhật nhanh: Tôi đã đăng nhập vào tài khoản lưu trữ dự phòng của mình, để tìm người dùng IAM thực tế, khóa là:

lọc userIdentity.userName == "iam-user-name"