Direkt zum Inhalt
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Warum kann ich CloudTrail-Ereignisprotokolle nicht durchsuchen, um den Benutzernamen, der ein EBS-Volume erstellt hat, zu finden?

Lesedauer: 3 Minute
0

Ich möchte die AWS CloudTrail-Ereignisprotokolle durchsuchen, um herauszufinden, wer ein Amazon Elastic Block Store (Amazon EBS)-Volume erstellt hat.

Kurzbeschreibung

Für CloudTrail-Ereignisprotokolle ist das Feld CreateVolume nicht für Amazon EBS-Volumes verfügbar, die du beim Start von Amazon Elastic Compute Cloud (Amazon EC2) erstellst.

Um den Benutzernamen zu finden, der das EBS-Volume erstellt hat, ermittle zunächst, wie das EBS-Volume erstellt wurde. Führe dann eine der folgenden Aufgaben aus:

  • Für manuell erstellte EBS-Volumes verwende die Volume-ID, um CloudTrail-Ereignisprotokolle für CreateVolume einzusehen.
  • Für EBS-Volumes, die während eines Amazon EC2-Starts erstellt wurden, verwende die EC2-Instance-ID, um CloudTrail-Ereignisprotokolle für RunInstances einzusehen.

Weitere Informationen findest du unter Aktuelle Verwaltungsereignisse mit der Konsole anzeigen.

Hinweis: Diese Lösung gilt nur für EBS-Volumes, die du nach der Aktivierung von AWS Config und CloudTrail erstellst.

Lösung

Feststellen, wie das EBS-Volume erstellt wurde

Führe die folgenden Schritte aus:

  1. Öffne die Amazon-EC2-Konsole.
  2. Wähle im Navigationsbereich unter Elastic Block Store die Option Volumes.
  3. Kopiere die Volume-ID des EBS-Volumes.
  4. Öffne die AWS Config-Konsole und wähle dann Ressourcen.
  5. Wähle unter Ressourcentyp die Option AWS EC2 Volume.
  6. Gib unter Ressource-Kennung die Volume-ID ein.
  7. WähleRessourcenzeitrahmen aus.
  8. Erweitere unter Ereignisse die Konfigurationsänderung. Wähle dann Vollständigen Datensatz anzeigen.
  9. Erweitere Beziehungen und kopiere dann die EC2-Instance-ID.
    Hinweis: Wenn du keine EC2-Instance-ID siehst, hast su das EBS-Volume manuell erstellt.

Benutzernamen suchen, der das EBS-Volume erstellt hat

Manuell erstellte EBS-Volumes

Führe die folgenden Schritte aus:

  1. Öffne die CloudTrail-Konsole.
  2. Wähle im Navigationsbereich die Option Ereignisverlauf.
  3. Wähle unter Filter den Ressourcennamen.
  4. Gib in das Feld Ressourcennamen eingeben die Volume-ID des EBS-Volumes ein und drücke dann auf dem Gerät die „Eingabe“.
  5. Wähle das Ereignis, um es zu erweitern und den vollständigen Ereignisdatensatz anzuzeigen. Notiere dir den Amazon-Ressourcennamen (ARN) und den Benutzernamen, um den Benutzer zu identifizieren, der das EBS-Volume erstellt hat.

EBS-Volumes, die während eines Amazon EC2-Starts erstellt wurden

Führe die folgenden Schritte aus:

  1. Öffne die CloudTrail-Konsole.
  2. Wähle im Navigationsbereich die Option Ereignisverlauf.
  3. Wähle unter Filter den Ressourcennamen.
  4. Gib unter Ressourcennamen eingeben die EC2-Instance-ID ein. Drücke dann auf dem Gerät „Eingabe“.
  5. Wähle das Ereignis, um es zu erweitern und den vollständigen Ereignisdatensatz anzuzeigen. Notiere dir ARN und userName, um den Benutzer zu identifizieren, der die EC2-Instance gestartet hat.

Hinweis: Wenn das DeleteonTermination-Attribut auf Falsch gesetzt ist, dann kannst du ein EBS-Volume nicht löschen. Weitere Informationen findest du unter Daten beibehalten, wenn eine Instance beendet wird.

Themen
Management & Governance
Tags
AWS Config
Sprache
Deutsch

Ähnliche Videos

Sehen Sie sich das Video von Prashant und Attalla an, um mehr zu erfahren (5:37)
Sehen Sie sich das Video von Prashant und Attalla an, um mehr zu erfahren (5:37)
AWS OFFICIALAktualisiert vor einem Jahr

Relevanter Inhalt