AWS CloudTrailでEC2の起動を確認する方法
環境
AWS CloudTrail
概要
CloudTrailは3つのイベントを対象としています。デフォルトでは管理イベントのみ記録されます。
管理イベント
ログインやEC2インスタンス等の作成、削除等を指します。
データイベント
S3バケット内のデータ等の作成、削除等を指します。
インサイトイベント
異常時に記録されます。
操作方法
1.EC2のインスタンスを開始します。
2.検索入力欄で「CloudTrail」と入力し、サービス「CloudTrail」をクリックします。
3.左側のダッシュボードをクリックします。
4.イベント履歴の「StartInstances」をクリックします。
5.詳細でイベント時間、ユーザー名、イベント名、イベントソース、
AWS アクセスキー、発信元 IP アドレス、イベント ID、リクエスト ID等を確認します。
6.JSON形式でイベントレコードを確認できます。
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDx",
"arn": "arn:aws:iam::634x:user/addUser1",
"accountId": "634x",
"accessKeyId": "ASIx",
"userName": "addUser1",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-08-02T13:45:49Z",
"mfaAuthenticated": "true"
}
}
},
"eventTime": "2023-08-02T14:41:21Z",
"eventSource": "ec2.amazonaws.com",
"eventName": "StartInstances",
"awsRegion": "ap-northeast-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"instancesSet": {
"items": [
{
"instanceId": "i-xxxx"
}
]
}
},
"responseElements": {
"requestId": "7f97c4c2-7394-4ac6-b833-aec58bff4c3a",
"instancesSet": {
"items": [
{
"instanceId": "i-xxxx",
"currentState": {
"code": 0,
"name": "pending"
},
"previousState": {
"code": 80,
"name": "stopped"
}
}
]
}
},
"requestID": "7f97c4c2-7394-4ac6-b833-aec58bff4c3a",
"eventID": "45aef5af-ef55-4946-a46b-a0bc723f2897",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "634x",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
json説明
arn AWSリソースを一意に識別します。 eventSource リクエストが行われたサービス →ec2.amazonaws.com eventName リクエストされたアクション →StartInstances awsRegion リクエストが行われた AWSリージョン →ap-northeast-1 requestParameters リクエストとともに送信されたパラメータ →指定のインスタンスID responseElements 変更を行うアクションのレスポンスの要素 →結果で現在はpending