如何找到是哪個使用者停止、重新啟動或終止我的 EC2 Windows 執行個體？

解決方法

您可以透過 AWS 或 Windows 作業系統 (OS) 停止或重新啟動 EC2 Windows 執行個體。您只能透過 AWS 終止 EC2 Windows 執行個體。

執行個體透過 AWS 停止、重新啟動或終止

您可以使用以下工具，透過 AWS 來停止、重新啟動或終止執行個體：

• AWS 管理主控台
• AWS Command Line Interface (AWS CLI)
• AWS Tools for PowerShell
• AWS API
• AWS SDK
• AWS CloudShell

如果執行個體事件發生在過去 90 天內，請使用 AWS CloudTrail 事件歷史記錄，取得關於該事件的詳細資訊。

若要在 CloudTrail 中查看執行個體事件，請完成以下步驟：

1. 開啟 CloudTrail 主控台。
2. 在導覽窗格中，選擇 Event history (事件歷史記錄)。
3. 在 Lookup attributes (查詢屬性) 功能表中，選擇 Event name (事件名稱)。
4. 在 Event name (事件名稱) 中，輸入下列其中一個事件名稱：
   StopInstances 可檢查您的執行個體何時停止。
   RebootInstances 可檢查您的執行個體何時重新啟動。
   TerminateInstances 可檢查您的執行個體何時終止。
5. 在事件清單中，選擇事件名稱。
6. 在詳細資訊頁面上，找到發起事件的 AWS Identity and Access Management (IAM) 身分的使用者名稱。

執行個體在 Windows 中停止或重新啟動

如果 CloudTrail 沒有顯示您執行個體的 StopInstances 或 RebootInstances 事件，則該執行個體事件很可能是在 Windows 中發起的。

若要在 Windows 中查看執行個體事件的詳細資訊，請連線至執行個體，然後完成以下步驟：

1. 在 Windows 工作列上，選擇搜尋，輸入事件檢視器，然後選擇事件檢視器以開啟該工具。
2. 在導覽窗格中，展開 Windows Logs (Windows 日誌)，然後選擇 System (系統)。
3. 在 Actions (動作) 中，選擇 Filter Current Log(篩選目前的日誌)。
4. 在 Filter Current Log (篩選目前的日誌) 對話方塊的 All Event IDs (所有事件識別碼) 欄位中，輸入 1074 或 1076，然後選擇 OK (確定)。
5. 若要識別發起事件的使用者，請檢視事件日誌。

在以下情況中，EC2 Windows 執行個體也可能會在 Windows 中停止或重新啟動：

• 使用者已登入執行個體，但 Windows Update 重新啟動作業系統。
• 硬體意外故障。
• AWS 排程的維護事件停止或重新啟動執行個體。
• 第三方工具發出命令。

**注意：**AWS 會透過電子郵件或您的 AWS Health 儀板表，傳送已排程執行個體淘汰和意外硬體故障的通知。