https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-lake.html
https://dev.classmethod.jp/articles/aws-cloudtrail-lake-audit-security/

イベントデータストアには、過去 7 日から 2555 日 (1 週間から最大 7 年間) にアカウントでログに記録したイベントを含めることができます。

-- 1. コマンド等のインストール

-- 1.1 aws cli version 2 インストール

curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install

aws --version

-- 1.2 jqインストール
sudo yum -y install jq

 

-- 2. イベントデータストアを作成する

aws cloudtrail create-event-data-store \
--name eds01 \
--retention-period 7 \
--no-multi-region-enabled \
--no-organization-enabled \
--no-termination-protection-enabled

aws cloudtrail get-event-data-store \
--event-data-store arn:aws:cloudtrail:ap-northeast-1:999999999999:eventdatastore/11111111-2222-3333-4444-555555555555

 

-- 3. クエリを開始する

aws cloudtrail start-query \
--query-statement 'SELECT * FROM 11111111-2222-3333-4444-555555555555 LIMIT 10'

 

-- 4. クエリに関するメタデータを取得する

aws cloudtrail list-queries \
--event-data-store arn:aws:cloudtrail:ap-northeast-1:999999999999:eventdatastore/11111111-2222-3333-4444-555555555555

aws cloudtrail describe-query \
--event-data-store 11111111-2222-3333-4444-555555555555 \
--query-id 00000000-0000-0000-0000-000000000000

-- 5. クエリ結果を取得する

aws cloudtrail get-query-results \
--event-data-store 11111111-2222-3333-4444-555555555555 \
--query-id 00000000-0000-0000-0000-000000000000

-- 6. クリーンアップ

-- イベントデータストアの削除
aws cloudtrail get-event-data-store \
--event-data-store arn:aws:cloudtrail:ap-northeast-1:999999999999:eventdatastore/11111111-2222-3333-4444-555555555555

aws cloudtrail delete-event-data-store \
--event-data-store arn:aws:cloudtrail:ap-northeast-1:999999999999:eventdatastore/11111111-2222-3333-4444-555555555555