AWS CloudTrailでEC2の起動を確認する方法

環境
AWS CloudTrail

概要
CloudTrailは3つのイベントを対象としています。デフォルトでは管理イベントのみ記録されます。
管理イベント
ログインやEC2インスタンス等の作成、削除等を指します。
データイベント
S3バケット内のデータ等の作成、削除等を指します。
インサイトイベント
異常時に記録されます。

操作方法
1.EC2のインスタンスを開始します。

2.検索入力欄で「CloudTrail」と入力し、サービス「CloudTrail」をクリックします。

3.左側のダッシュボードをクリックします。

4.イベント履歴の「StartInstances」をクリックします。

5.詳細でイベント時間、ユーザー名、イベント名、イベントソース、
AWS アクセスキー、発信元 IP アドレス、イベント ID、リクエスト ID等を確認します。

6.JSON形式でイベントレコードを確認できます。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDx",
        "arn": "arn:aws:iam::634x:user/addUser1",
        "accountId": "634x",
        "accessKeyId": "ASIx",
        "userName": "addUser1",
        "sessionContext": {
            "sessionIssuer": {},
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-08-02T13:45:49Z",
                "mfaAuthenticated": "true"
            }
        }
    },
    "eventTime": "2023-08-02T14:41:21Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "StartInstances",
    "awsRegion": "ap-northeast-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "instancesSet": {
            "items": [
                {
                    "instanceId": "i-xxxx"
                }
            ]
        }
    },
    "responseElements": {
        "requestId": "7f97c4c2-7394-4ac6-b833-aec58bff4c3a",
        "instancesSet": {
            "items": [
                {
                    "instanceId": "i-xxxx",
                    "currentState": {
                        "code": 0,
                        "name": "pending"
                    },
                    "previousState": {
                        "code": 80,
                        "name": "stopped"
                    }
                }
            ]
        }
    },
    "requestID": "7f97c4c2-7394-4ac6-b833-aec58bff4c3a",
    "eventID": "45aef5af-ef55-4946-a46b-a0bc723f2897",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "634x",
    "eventCategory": "Management",
    "sessionCredentialFromConsole": "true"
}

json説明

arn AWSリソースを一意に識別します。
eventSource
リクエストが行われたサービス
→ec2.amazonaws.com

eventName
リクエストされたアクション
→StartInstances

awsRegion
リクエストが行われた AWSリージョン
→ap-northeast-1

requestParameters 
リクエストとともに送信されたパラメータ
→指定のインスタンスID

responseElements
変更を行うアクションのレスポンスの要素
→結果で現在はpending

 

AWS

Posted by arkgame