EC2 Windows インスタンスを停止、再起動、または破棄したユーザーを特定する方法を教えてください。

解決策

EC2 Windows インスタンスは、AWS または Windows オペレーティングシステム (OS) を使用して停止または再起動できます。EC2 Windows インスタンスの破棄は、AWS 経由でのみ行えます。

インスタンスが AWS により停止、再起動、または破棄された

次のツールを使用すると、AWS 経由でインスタンスを停止、再起動、または破棄できます。

• AWS マネジメントコンソール
• AWS コマンドラインインターフェイス (AWS CLI)
• AWS Tools for PowerShell
• AWS API
• AWS SDK
• AWS CloudShell

過去 90 日間にインスタンスイベントが発生したことがある場合、AWS CloudTrail イベント履歴 を使用してイベントに関する詳細情報を取得してください。

CloudTrail でインスタンスイベントを確認するには、次の手順を実行します。

1. CloudTrail コンソールを開きます。
2. ナビゲーションペインで [イベント履歴] を選択します。
3. [ルックアップ属性] メニューで [イベント名] を選択します。
4. [イベント名] に次のイベント名のいずれかを入力します。
   StopInstances: インスタンスが停止したタイミングを確認します。
   RebootInstances: インスタンスが再起動されたタイミングを確認します。
   TerminateInstances インスタンスが破棄されたタイミングを確認します。
5. イベントリストでイベント名を選択します。
6. [詳細] ページでイベントを開始した AWS Identity and Access Management (IAM) ID のユーザー名を探します。

Windows でインスタンスが停止または再起動された

CloudTrail でインスタンスの StopInstances イベントまたは RebootInstances イベントが表示されない場合、そのインスタンスイベントは Windows で開始された可能性があります。

Windows のインスタンスイベントに関する詳細情報を確認するには、インスタンスに接続し、次の手順を実行します。

1. Windows タスクバーで、[Search] (検索) を選択し、[Event Viewer] (イベントビューア) と入力し、[Event Viewer] (イベントビューア) を選択してツールを開きます。
2. ナビゲーションペインで [Windows ログ] を展開し、[システム] を選択します。
3. [アクション] で [現在のログをフィルター] を選択します。
4. [現在のログをフィルター] ダイアログボックスの [すべてのイベント ID] フィールドに 1074 または 1076 と入力し、[OK] を選択します。
5. イベントを開始したユーザーを特定するには、イベントログを参照します。

次の状況において、EC2 Windows インスタンスが Windows で停止または再起動することがあります。

• ユーザーがインスタンスにログインし、Windows アップデートにより OS が再起動した。
• ハードウェアに予期しない障害が発生した。
• AWS が予定したメンテナンスイベントにより、インスタンスが停止または再起動した。
• サードパーティのツールがコマンドを発行した。

注: AWS は、予定されているインスタンスの廃止や予期しないハードウェアの障害について、メールによるメッセージまたは AWS Health Dashboard を通じて通知します。