如何找到停止、重启或终止我的 EC2 Windows 实例的用户?

1 分钟阅读
0

我的 Amazon Elastic Compute Cloud(Amazon EC2)Windows 实例意外停止、重启或终止。我想找到这样做的用户。

解决方法

EC2 Windows 实例可以通过 AWS 或 Windows 操作系统(OS)停止或重启。EC2 Windows 实例只能通过 AWS 终止。

实例是通过 AWS 停止、重启或终止的

您可以使用以下工具通过 AWS 停止、重启或终止您的实例:

  • AWS 管理控制台
  • AWS 命令行界面(AWS CLI)
  • AWS Tools for PowerShell
  • AWS API
  • AWS SDK
  • AWS CloudShell

如果实例事件在过去 90 天内发生,则使用 AWS CloudTrail 事件历史记录来获取有关该事件的更多信息。

要在 CloudTrail 中查看您的实例事件,请完成以下步骤:

  1. 打开 CloudTrail 控制台
  2. 在导航窗格中,选择事件历史记录
  3. 查找属性下拉列表中,选择事件名称
  4. 对于事件名称文本框,根据您的情况输入以下事件名称之一:
    • 在您的实例停止时,输入 StopInstances
    • 在您的实例重启时,输入 RebootInstances
    • 在您的实例终止时,输入 TerminateInstances
  5. 从事件列表中选择事件名称。
  6. 详细信息页面上,您可以看到发起事件的 AWS Identity and Access Management(IAM)身份的用户名。

实例是在 Windows 中停止或重启的

如果 CloudTrail 未显示您的实例的 StopInstancesRebootInstances 事件,则该实例不是使用 AWS 资源停止或重启的。在这种情况下,实例事件很可能是在 Windows 中发起的。

要在 Windows 中查看有关实例事件的更多信息,请连接到您的实例,然后完成以下步骤:

  1. 在 Windows 任务栏上,选择搜索,输入事件查看器,然后选择事件查看器以打开该工具。
  2. 在导航窗格中,展开 Windows 日志,然后选择系统
  3. 操作窗格中,选择筛选当前日志
  4. 筛选当前日志对话框的所有事件 ID 字段中,输入 10741076,然后选择确定
  5. 事件日志显示了发起事件的用户。

此外,在以下情况下,EC2 Windows 实例可能会在 Windows 中停止或重启:

  • 用户登录实例,Windows 更新会重启操作系统。
  • 硬件意外出现故障。
  • AWS 计划内维护事件会停止或重启实例。
  • 第三方工具发出命令。

**注意:**AWS 通过电子邮件或您的 AWS Health Dashboard 发送有关计划内实例停用和意外硬件故障的通知。

AWS 官方
AWS 官方已更新 9 个月前