AWS CloudTrailでEC2の起動を確認する方法

環境
AWS CloudTrail

概要
CloudTrailは3つのイベントを対象としています。デフォルトでは管理イベントのみ記録されます。
管理イベント
ログインやEC2インスタンス等の作成、削除等を指します。
データイベント
S3バケット内のデータ等の作成、削除等を指します。
インサイトイベント
異常時に記録されます。

操作方法
1.EC2のインスタンスを開始します。

2.検索入力欄で「CloudTrail」と入力し、サービス「CloudTrail」をクリックします。

3.左側のダッシュボードをクリックします。

4.イベント履歴の「StartInstances」をクリックします。

5.詳細でイベント時間、ユーザー名、イベント名、イベントソース、
AWS アクセスキー、発信元 IP アドレス、イベント ID、リクエスト ID等を確認します。

6.JSON形式でイベントレコードを確認できます。

Plain text
Copy to clipboard
Open code in new window
EnlighterJS 3 Syntax Highlighter
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDx",
"arn": "arn:aws:iam::634x:user/addUser1",
"accountId": "634x",
"accessKeyId": "ASIx",
"userName": "addUser1",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-08-02T13:45:49Z",
"mfaAuthenticated": "true"
}
}
},
"eventTime": "2023-08-02T14:41:21Z",
"eventSource": "ec2.amazonaws.com",
"eventName": "StartInstances",
"awsRegion": "ap-northeast-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"instancesSet": {
"items": [
{
"instanceId": "i-xxxx"
}
]
}
},
"responseElements": {
"requestId": "7f97c4c2-7394-4ac6-b833-aec58bff4c3a",
"instancesSet": {
"items": [
{
"instanceId": "i-xxxx",
"currentState": {
"code": 0,
"name": "pending"
},
"previousState": {
"code": 80,
"name": "stopped"
}
}
]
}
},
"requestID": "7f97c4c2-7394-4ac6-b833-aec58bff4c3a",
"eventID": "45aef5af-ef55-4946-a46b-a0bc723f2897",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "634x",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AIDx", "arn": "arn:aws:iam::634x:user/addUser1", "accountId": "634x", "accessKeyId": "ASIx", "userName": "addUser1", "sessionContext": { "sessionIssuer": {}, "webIdFederationData": {}, "attributes": { "creationDate": "2023-08-02T13:45:49Z", "mfaAuthenticated": "true" } } }, "eventTime": "2023-08-02T14:41:21Z", "eventSource": "ec2.amazonaws.com", "eventName": "StartInstances", "awsRegion": "ap-northeast-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "requestParameters": { "instancesSet": { "items": [ { "instanceId": "i-xxxx" } ] } }, "responseElements": { "requestId": "7f97c4c2-7394-4ac6-b833-aec58bff4c3a", "instancesSet": { "items": [ { "instanceId": "i-xxxx", "currentState": { "code": 0, "name": "pending" }, "previousState": { "code": 80, "name": "stopped" } } ] } }, "requestID": "7f97c4c2-7394-4ac6-b833-aec58bff4c3a", "eventID": "45aef5af-ef55-4946-a46b-a0bc723f2897", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "634x", "eventCategory": "Management", "sessionCredentialFromConsole": "true" }
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDx",
        "arn": "arn:aws:iam::634x:user/addUser1",
        "accountId": "634x",
        "accessKeyId": "ASIx",
        "userName": "addUser1",
        "sessionContext": {
            "sessionIssuer": {},
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-08-02T13:45:49Z",
                "mfaAuthenticated": "true"
            }
        }
    },
    "eventTime": "2023-08-02T14:41:21Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "StartInstances",
    "awsRegion": "ap-northeast-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "instancesSet": {
            "items": [
                {
                    "instanceId": "i-xxxx"
                }
            ]
        }
    },
    "responseElements": {
        "requestId": "7f97c4c2-7394-4ac6-b833-aec58bff4c3a",
        "instancesSet": {
            "items": [
                {
                    "instanceId": "i-xxxx",
                    "currentState": {
                        "code": 0,
                        "name": "pending"
                    },
                    "previousState": {
                        "code": 80,
                        "name": "stopped"
                    }
                }
            ]
        }
    },
    "requestID": "7f97c4c2-7394-4ac6-b833-aec58bff4c3a",
    "eventID": "45aef5af-ef55-4946-a46b-a0bc723f2897",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "634x",
    "eventCategory": "Management",
    "sessionCredentialFromConsole": "true"
}

json説明

Plain text
Copy to clipboard
Open code in new window
EnlighterJS 3 Syntax Highlighter
arn AWSリソースを一意に識別します。
eventSource
リクエストが行われたサービス
→ec2.amazonaws.com
eventName
リクエストされたアクション
→StartInstances
awsRegion
リクエストが行われた AWSリージョン
→ap-northeast-1
requestParameters 
リクエストとともに送信されたパラメータ
→指定のインスタンスID
responseElements
変更を行うアクションのレスポンスの要素
→結果で現在はpending
arn AWSリソースを一意に識別します。 eventSource リクエストが行われたサービス →ec2.amazonaws.com eventName リクエストされたアクション →StartInstances awsRegion リクエストが行われた AWSリージョン →ap-northeast-1 requestParameters  リクエストとともに送信されたパラメータ →指定のインスタンスID responseElements 変更を行うアクションのレスポンスの要素 →結果で現在はpending
arn AWSリソースを一意に識別します。
eventSource
リクエストが行われたサービス
→ec2.amazonaws.com

eventName
リクエストされたアクション
→StartInstances

awsRegion
リクエストが行われた AWSリージョン
→ap-northeast-1

requestParameters 
リクエストとともに送信されたパラメータ
→指定のインスタンスID

responseElements
変更を行うアクションのレスポンスの要素
→結果で現在はpending

 

関連投稿:

  1. AWS EC2からS3へアクセスする方法
  2. AWS  同じアカウントの同じリージョンにある VPC との VPC ピアリング接続を作成する方法
  3. AWS AMIバックアップを作成する手順
  4. AWS CloudShellでコマンドを実行する方法

AWS

Posted by arkgame