如何找到停止、重新啟動或終止 EC2 Window 執行個體的使用者？

解決方法

EC2 Windows 執行個體可透過 AWS 或 Windows 作業系統 (OS) 停止或重新啟動。EC2 Windows 執行個體只能透過 AWS 終止。

執行個體已透過 AWS 停止、重新啟動或終止

您可以使用以下工具，透過 AWS 來停止、重新啟動或終止執行個體：

• AWS 管理主控台
• AWS Command Line Interface (AWS CLI)
• AWS Tools for PowerShell
• AWS API
• AWS SDK
• AWS CloudShell

如果執行個體事件發生在過去 90 天內，請使用 AWS CloudTrail 事件歷史記錄，取得關於該事件的詳細資訊。

若要在 CloudTrail 中查看執行個體事件，請完成以下步驟：

1. 開啟 CloudTrail 主控台。
2. 在導覽窗格中，選取事件歷史記錄。
3. 在查詢屬性下拉式清單中，選擇事件名稱。
4. 在事件名稱文字方塊中，根據您的情況，輸入以下任一事件名稱：
   • 若您的執行個體已停止，請輸入 StopInstances。
   • 若您的執行個體已重新啟動，請輸入 RebootInstances。
   • 若您的執行個體已終止，請輸入 TerminateInstances。
5. 從事件清單中，選取事件名稱。
6. 在詳細資訊頁面上，您可以看到啟動事件的 AWS Identity and Access Management (IAM) 身分的使用者名稱。

執行個體已在 Windows 中停止或重新啟動

如果 CloudTrail 未針對執行個體顯示 StopInstances 或 RebootInstances 事件，則表示執行個體未使用 AWS 資源停止或重新啟動。在這種情況下，執行個體事件可能是在 Windows 中啟動。

若要在 Windows 中查看執行個體事件的詳細資訊，請連接至執行個體，然後完成以下步驟：

1. 在 Windows 工作列上，選擇搜尋，輸入事件檢視器，然後選擇事件檢視器以開啟該工具。
2. 在導覽窗格中，展開 Windows 記錄，然後選擇系統。
3. 在動作窗格中，選擇篩選目前的記錄。
4. 在篩選目前的記錄對話方塊的所有事件識別碼欄位中，輸入 1074 或 1076，然後選擇確定。
5. 事件記錄會顯示啟動事件的使用者。

此外，在以下情況中，EC2 Windows 執行個體可能會在 Windows 中停止或重新啟動：

• 使用者已登入執行個體，但 Windows Update 重新啟動作業系統。
• 硬體意外故障。
• AWS 排程的維護事件停止或重新啟動執行個體。
• 第三方工具發出命令。

**注意：**AWS 會透過電子郵件或您的 AWS Health 儀板表，傳送已排程執行個體淘汰和意外硬體故障的通知。