Como posso descobrir o usuário que interrompeu, reinicializou ou encerrou minha instância Windows do EC2?

Resolução

Uma instância Windows do EC2 pode ser interrompida ou reinicializada por meio da AWS ou do sistema operacional (SO) Windows. Uma instância Windows do EC2 apenas pode ser encerrada por meio da AWS.

A instância foi interrompida, reinicializada ou encerrada por meio da AWS

Você pode usar as seguintes ferramentas para interromper, reinicializar ou encerrar sua instância por meio da AWS:

• Console de Gerenciamento da AWS
• AWS Command Line Interface (AWS CLI)
• Ferramentas da AWS para PowerShell
• APIs da AWS
• SDKs da AWS
• AWS CloudShell

Se o evento da instância aconteceu nos últimos 90 dias, use o histórico de eventos do AWS CloudTrail para obter mais informações sobre o evento.

Para ver seu evento de instância no CloudTrail, execute as etapas a seguir:

1. Abra o console do CloudTrail.
2. No painel de navegação, selecione Histórico de eventos.
3. Na lista suspensa Atributos de pesquisa selecione Nome do evento.
4. Na caixa de texto Nome do evento, insira um dos seguintes nomes de evento, dependendo da sua situação:
   • StopInstances quando sua instância foi interrompida.
   • RebootInstances quando sua instância foi reinicializada.
   • TerminateInstances quando sua instância foi encerrada.
5. Na lista de eventos, selecione o nome do evento.
6. Na página Detalhes, você pode ver o nome de usuário da identidade do AWS Identity and Access Management (IAM) que iniciou o evento.

A instância foi interrompida ou reinicializada no Windows

Se o CloudTrail não mostrar eventos StopInstances ou RebootInstances para sua instância, ela não foi interrompida ou reinicializada com recursos da AWS. Nesse caso, o evento da instância provavelmente foi iniciado no Windows.

Para ver mais informações sobre o evento da instância no Windows, conecte-se à sua instância e conclua as seguintes etapas:

1. Na barra de tarefas do Windows, selecione Pesquisar, insira Visualizador de eventos e selecione **Visualizador de eventos ** para abrir a ferramenta.
2. No painel de navegação, expanda Logs do Windows e selecione Sistema.
3. No painel Ações selecione Filtrar log atual.
4. Na caixa de diálogo Filtrar log atual, no campo Todas as IDs de eventos, digite 1074 ou 1076 e então selecione OK.
5. O log de eventos mostra o usuário que iniciou o evento.

Além disso, uma instância do EC2 do Windows pode parar ou reinicializar no Windows nas seguintes situações:

• Um usuário está conectado à instância e uma atualização do Windows reinicializa o sistema operacional.
• O hardware falha inesperadamente.
• Um evento de manutenção planejada da AWS interrompe ou reinicia a instância.
• Uma ferramenta de terceiros emite o comando.

Observação: a AWS envia notificações sobre retiradas planejadas de instâncias e falhas inesperadas de hardware por meio de mensagens de e-mail ou do seu AWS Health Dashboard.