AWSは、デフォルトで90日分のログがCloudTrailに取得されています。

誰が、いつ、どのような操作を行ったかを調べることができます。

下記は、直近100イベントのイベント名を集計するコマンドです。

$ aws cloudtrail lookup-events --max-items 500 --query 'Events[].EventName' | sort | uniq -c | sort -r
    253     "AssumeRole",
    225     "DescribeInstances",
     21     "SendCommand",
      1 ]
      1 [
      1     "DescribeInstances"

時間帯やユーザ、リソースといった観点でフィルタして必要な情報を検索できます。