Wie finde ich den Benutzer, der meine EC2-Windows-Instance beendet, neu gestartet oder beendet hat?

Lesedauer: 3 Minute

Meine Amazon Elastic Compute Cloud (Amazon EC2)-Windows-Instance wurde unerwartet gestoppt, neu gestartet oder beendet. Ich möchte den Benutzer finden, der dafür verantwortlich ist.

Lösung

Eine EC2-Windows-Instance kann entweder über AWS oder das Windows-Betriebssystem (OS) gestoppt oder neu gestartet werden. Eine EC2-Windows-Instance kann nur über AWS beendet werden.

Die Instance wurde über AWS gestoppt, neu gestartet oder beendet

Sie können die folgenden Tools verwenden, um Ihre Instance über AWS zu beenden, neu zu starten oder zu beenden:

AWS-Managementkonsole
AWS Command Line Interface (AWS CLI)
AWS Tools für PowerShell
AWS-APIs
AWS-SDKs
AWS CloudShell

Wenn das Instance-Ereignis in den letzten 90 Tagen stattgefunden hat, verwenden Sie den AWS-CloudTrail-Ereignisverlauf, um weitere Informationen über das Ereignis zu erhalten.

Gehen Sie wie folgt vor, um Ihr Instance-Ereignis in CloudTrail anzuzeigen:

Öffnen Sie die CloudTrail-Konsole.
Wählen Sie im Navigationsbereich die Option Ereignisverlauf aus.
Wählen Sie in der Dropdownliste Suchattribute die Option Ereignisname aus.
Geben Sie in das Textfeld Ereignisname je nach Situation einen der folgenden Ereignisnamen ein:
- StopInstances, wenn Ihre Instance gestoppt wurde.
- RebootInstances, wenn Ihre Instance neu gestartet wurde.
- TerminateInstances, wenn Ihre Instance beendet wurde.
Wählen Sie in der Liste der Ereignisse den Namen des Ereignisses aus.
Auf der Seite Details sehen Sie den Benutzernamen der AWS Identity and Access Management (IAM)-Identität, die das Ereignis ausgelöst hat.

Die Instance wurde in Windows gestoppt oder neu gestartet

Wenn CloudTrail keine StopInstances- oder RebootInstances-Ereignisse für Ihre Instance anzeigt, wurde die Instance nicht mit AWS-Ressourcen gestoppt oder neu gestartet. In diesem Fall wurde das Instance-Ereignis wahrscheinlich in Windows ausgelöst.

Um weitere Informationen über das Instance-Ereignis in Windows zu erhalten, stellen Sie eine Verbindung zu Ihrer Instance her und führen Sie dann die folgenden Schritte aus:

Wählen Sie in der Windows-Taskleiste Suchen aus, geben Sie Ereignisanzeige ein und wählen Sie dann Ereignisanzeige aus, um das Tool zu öffnen.
Erweitern Sie im Navigationsbereich Windows-Protokolle und wählen Sie dann System aus.
Wählen Sie im Bereich Aktionen die Option Aktuelles Protokoll filtern aus.
Geben Sie im Dialogfeld Aktuelles Protokoll filtern im Feld Alle Ereignis-IDs 1074 oder 1076 ein und wählen Sie dann OK aus.
Das Ereignisprotokoll zeigt den Benutzer an, der das Ereignis initiiert hat.

Außerdem kann eine EC2-Windows-Instance in den folgenden Situationen in Windows angehalten oder neu gestartet werden:

Ein Benutzer ist bei der Instance angemeldet und ein Windows-Update startet das Betriebssystem neu.
Hardware fällt unerwartet aus.
Ein von AWS geplantes Wartungsereignis stoppt die Instance oder startet sie neu.
Ein Drittanbieter-Tool gibt den Befehl aus.

Hinweis: AWS sendet Benachrichtigungen über geplante Außerbetriebnahmen von Instances und unerwartete Hardwareausfälle per E-Mail oder über Ihr AWS-Servicestatus-Dashboard.

Themen

Kalkulation

Relevanter Inhalt

Warum hat Amazon EC2 meine Instance beendet?
AWS OFFICIALAktualisiert vor einem Jahr
Wie behebe ich, dass Amazon ECS-Aufgaben angehalten werden oder nicht gestartet werden, während mein Container beendet wird?
AWS OFFICIALAktualisiert vor einem Jahr
Warum hat Amazon EC2 Auto Scaling eine Instance beendet?
AWS OFFICIALAktualisiert vor 9 Monaten
Warum hat meine EC2-Linux-Instance neu gestartet oder sich selbst neu gestartet?
AWS OFFICIALAktualisiert vor einem Jahr