Wie finde ich heraus, welcher Benutzer meine EC2-Windows-Instance angehalten, neu gestartet oder beendet hat?

Lösung

Du kannst eine EC2-Windows-Instance entweder über AWS oder das Windows-Betriebssystem (OS) anhalten oder neu starten. Du kannst eine EC2-Windows-Instance nur über AWS beenden.

Die Instance wird über AWS angehalten, neu gestartet oder beendet

Du kannst die folgenden Tools verwenden, um deine Instance über AWS anzuhalten, neu zu starten oder zu beenden:

• AWS-Managementkonsole
• AWS Command Line Interface (AWS CLI)
• AWS Tools für PowerShell
• AWS-APIs
• AWS-SDKs
• AWS CloudShell

Wenn das Instance-Ereignis in den letzten 90 Tagen stattgefunden hat, verwende den AWS-CloudTrail-Ereignisverlauf, um weitere Informationen über das Ereignis zu erhalten.

Gehe wie folgt vor, um dein Instance-Ereignis in CloudTrail anzuzeigen:

1. Öffne die CloudTrail-Konsole.
2. Wähle im Navigationsbereich die Option Ereignisverlauf aus.
3. Wähle im Menü Suchattribute die Option Ereignisname.
4. Gib für Ereignisname einen der folgenden Ereignisnamen ein:
   StopInstances, um zu überprüfen, wann die Instance angehalten wurde.
   RebootInstances, um zu überprüfen, wann die Instance neu gestartet wurde.
   TerminateInstances, um zu überprüfen, wann die Instance beendet wurde.
5. Wähle in der Liste de Ereignisse den Namen des Ereignisses aus.
6. Auf der Seite Details findest du den Benutzernamen der AWS Identity and Access Management (IAM)-Identität, die das Ereignis ausgelöst hat.

Die Instance wird in Windows angehalten oder neu gestartet

Wenn CloudTrail keine StopInstances oder RebootInstances-Ereignisse für die Instance anzeigt, wird das Instance-Ereignis wahrscheinlich in Windows initiiert.

Um weitere Informationen über das Instance-Ereignis in Windows zu erhalten, stelle eine Verbindung zu deiner Instance her und führe dann die folgenden Schritte aus:

1. Wähle in der Windows-Taskleiste Suchen aus, gib Ereignisanzeige ein und wähle dann Ereignisanzeige aus, um das Tool zu öffnen.
2. Erweitere im Navigationsbereich Windows-Protokolle und wähle dann System.
3. Wähle unter Aktionen die Option Aktuelles Protokoll filtern.
4. Gib im Dialogfeld Aktuelles Protokoll filtern im Feld Alle Ereignis-IDs 1074 oder 1076 ein und wähle dann OK aus.
5. Um den Benutzer zu identifizieren, der das Ereignis initiiert hat, sieh dir das Ereignisprotokoll an.

Eine EC2-Windows-Instance kann außerdem in den folgenden Situationen in Windows angehalten oder neu gestartet werden:

• Ein Benutzer ist bei der Instance angemeldet und ein Windows-Update startet das Betriebssystem neu.
• Hardware fällt unerwartet aus.
• Ein von AWS geplantes Wartungsereignis stoppt die Instance oder startet sie neu.
• Ein Drittanbieter-Tool gibt den Befehl aus.

Hinweis: AWS sendet Benachrichtigungen über geplante Außerbetriebnahmen von Instances und unerwartete Hardwareausfälle per E-Mail oder über dein AWS-Servicestatus-Dashboard.