ActionTrail を使用すると、Elastic Compute Service (ECS) に関連するイベントをクエリできます。ECS の異常な操作が発生した場合、イベントをクエリすることで、発生時間、リージョン、影響を受けた ECS インスタンスなどの情報を迅速に取得できます。この Topic では、ECS 関連のイベントの例を示します。
Alibaba Cloud アカウントによるコンソールからの ECS インスタンス停止
次の例は、2021 年 8 月 4 日 14:11:36 (UTC+08:00) に発生したイベントを示しています。このイベントでは、Alibaba Cloud アカウントが StopInstance 操作を呼び出し、中国 (北京) リージョンにある ID が i-2zeip56clb391fpf**** の ECS インスタンスを停止しました。
{
"eventId": "239EB588-CD24-522E-B0B5-174A1A588BE0",
"eventVersion": 1,
"eventSource": "ecs-cn-hangzhou-share.aliyuncs.com",
"requestParameters": {
"charset": "UTF-8",
"AcsHost": "ecs-cn-hangzhou-share.aliyuncs.com",
"AcsProduct": "Ecs",
"RequestId": "239EB588-CD24-522E-B0B5-174A1A588BE0",
"InstanceId": "i-2zeip56clb391fpf****",
"ForceStop": false,
"AcceptLanguage": "zh-CN"
},
"sourceIpAddress": "192.168.XX.XX",
"userAgent": "Apache-HttpClient/4.5.7 (Java/1.8.0_275)",
"eventType": "ApiCall",
"referencedResources": {
"ACS::ECS::Instance": [
"i-2zeip56clb391fpf****"
]
},
"userIdentity": {
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-08-04T06:11:36Z"
}
},
"accountId": "154735325685****",
"principalId": "154735325685****",
"type": "root-account",
"userName": "root"
},
"serviceName": "Ecs",
"additionalEventData": {
"Scheme": "http",
"CallerBid": "26842"
},
"apiVersion": "2014-05-26",
"requestId": "239EB588-CD24-522E-B0B5-174A1A588BE0",
"eventTime": "2021-08-04T06:11:36Z",
"isGlobal": false,
"acsRegion": "cn-beijing",
"eventName": "StopInstance"
}以下に、この例の主要なフィールドについて説明します。
userIdentity.type:リクエスト元の ID タイプ。値root-accountは Alibaba Cloud アカウントを示します。serviceName:Alibaba Cloud サービスの名称。値Ecsは ECS を示します。eventName:イベントの名称。値StopInstanceはインスタンスが停止されたことを示します。referencedResources:イベントの影響を受けるリソース。値{"ACS::ECS::Instance": ["i-2zeip56clb391fpf****"]}は ECS インスタンスi-2zeip56clb391fpf****を示します。acsRegion:イベントが発生したリージョン。値cn-beijingは中国 (北京) リージョンを示します。eventTime:イベントの発生時間 (UTC)。値2021-08-04T06:11:36Zは 2021 年 8 月 4 日 14:11:36 (UTC+08:00) に相当します。
RAM ユーザーによるコンソールからの ECS インスタンス停止
次の例は、2021 年 8 月 4 日 13:29:30 (UTC+08:00) に発生したイベントを示しています。このイベントでは、Resource Access Management (RAM) ユーザー ecs_operator3 が StopInstance 操作を呼び出し、中国 (北京) リージョンにある ID が i-2zegxcy8f0htnq1o**** の ECS インスタンスを停止しました。
{
"eventId": "5E197C8B-081F-5A0C-A86A-4B6F266CA80B",
"eventVersion": 1,
"eventSource": "ecs.cn-hangzhou.aliyuncs.com",
"requestParameters": {
"AcsHost": "ecs.cn-hangzhou.aliyuncs.com",
"AcsProduct": "Ecs",
"RequestId": "5E197C8B-081F-5A0C-A86A-4B6F266CA80B",
"InstanceId": "i-2zegxcy8f0htnq1o****",
"ForceStop": "True",
"https": "False"
},
"sourceIpAddress": "192.168.XX.XX",
"userAgent": "ros.console.alibabacloud.com",
"eventType": "ApiCall",
"referencedResources": {
"ACS::ECS::Instance": [
"i-2zegxcy8f0htnq1o****"
]
},
"userIdentity": {
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-08-04T05:29:30Z"
}
},
"accountId": "182872313731****",
"principalId": "20499042382297****",
"type": "ram-user",
"userName": "ecs_operator3"
},
"serviceName": "Ecs",
"additionalEventData": {
"Scheme": "http",
"CallerBid": "26842"
},
"apiVersion": "2014-05-26",
"requestId": "5E197C8B-081F-5A0C-A86A-4B6F266CA80B",
"eventTime": "2021-08-04T05:29:30Z",
"isGlobal": false,
"acsRegion": "cn-beijing",
"eventName": "StopInstance"
}以下に、この例の主要なフィールドについて説明します。
userIdentity.type:リクエスト元の ID タイプ。値ram-userは RAM ユーザーを示します。userIdentity.userName:リクエストを行った RAM ユーザーのユーザー名。serviceName:Alibaba Cloud サービスの名称。値Ecsは ECS を示します。eventName:イベントの名称。値StopInstanceはインスタンスが停止されたことを示します。referencedResources:イベントの影響を受けるリソース。値{"ACS::ECS::Instance": ["i-2zegxcy8f0htnq1o****"]}は ECS インスタンスi-2zegxcy8f0htnq1o****を示します。acsRegion:イベントが発生したリージョン。値cn-beijingは中国 (北京) リージョンを示します。eventTime:イベントの発生時間 (UTC)。値2021-08-04T05:29:30Zは 2021 年 8 月 4 日 13:29:30 (UTC+08:00) に相当します。
RAM ユーザーによる API 呼び出しでの ECS インスタンス停止
次の例は、2021 年 8 月 4 日 11:42:20 (UTC+08:00) に発生したイベントを示しています。このイベントでは、RAM ユーザーが AccessKey ID LTAI**************** を使用して StopInstance 操作を呼び出しました。この API 呼び出しにより、中国 (杭州) リージョンにある ID が i-bp1buct0j6jywbfp**** の ECS インスタンスが停止されました。
{
"eventId": "A9171DC9-638E-5561-BA2E-69B1B956C8F4",
"eventVersion": 1,
"eventSource": "ecs.aliyuncs.com",
"requestParameters": {
"AcsHost": "ecs.aliyuncs.com",
"AcsProduct": "Ecs",
"RequestId": "A9171DC9-638E-5561-BA2E-69B1B956C8F4",
"InstanceId": "i-bp1buct0j6jywbfp****",
"ForceStop": true
},
"sourceIpAddress": "192.168.XX.XX",
"eventType": "ApiCall",
"referencedResources": {
"ACS::ECS::Instance": [
"i-bp1buct0j6jywbfp****"
]
},
"userIdentity": {
"accessKeyId": "LTAI****************",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-08-04T03:42:20Z"
}
},
"accountId": "122196828764****",
"principalId": "23079124770506****",
"type": "ram-user",
"userName": "hz-perf-cluster"
},
"serviceName": "Ecs",
"additionalEventData": {
"Scheme": "https",
"CallerBid": "26842"
},
"apiVersion": "2014-05-26",
"requestId": "A9171DC9-638E-5561-BA2E-69B1B956C8F4",
"eventTime": "2021-08-04T03:42:20Z",
"isGlobal": false,
"acsRegion": "cn-hangzhou",
"eventName": "StopInstance"
}以下に、この例の主要なフィールドについて説明します。
userIdentity.accessKeyId:API 呼び出しに使用された AccessKey ID。値はLTAI****************です。userIdentity.principalId:AccessKey を所有する Alibaba Cloud アカウントの ID。値は23079124770506****です。serviceName:Alibaba Cloud サービスの名称。値Ecsは ECS を示します。eventName:イベントの名称。値StopInstanceはインスタンスが停止されたことを示します。referencedResources:イベントの影響を受けるリソース。値{"ACS::ECS::Instance": ["i-bp1buct0j6jywbfp****"]}は ECS インスタンスi-bp1buct0j6jywbfp****を示します。acsRegion:イベントが発生したリージョン。値cn-hangzhouは中国 (杭州) リージョンを示します。eventTime:イベントの発生時間 (UTC)。値2021-08-04T03:42:20Zは 2021 年 8 月 4 日 11:42:20 (UTC+08:00) に相当します。
RAM ロールを引き受けての ECS インスタンス停止
次の例は、2021 年 8 月 4 日 14:50:10 (UTC+08:00) に発生したイベントを示しています。このイベントでは、Auto Scaling がサービスリンクロール aliyunserviceroleforautoscaling を引き受け、中国 (北京) リージョンにある ID が i-2zeeryqubk6402qw**** の ECS インスタンスを停止しました。
{
"eventId": "E7233050-120B-5684-93E4-49A6754D8252",
"eventVersion": 1,
"eventSource": "ecs-cn-hangzhou-inner.aliyuncs.com",
"requestParameters": {
"securityToken": "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****",
"stsTokenPrincipalName": "aliyunserviceroleforautoscaling/ess-session-ecs_default",
"AcsHost": "ecs-cn-hangzhou-inner.aliyuncs.com",
"ServiceCode": "ecs",
"AcsProduct": "Ecs",
"RequestId": "E7233050-120B-5684-93E4-49A6754D8252",
"InstanceId": "i-2zeeryqubk6402qw****",
"RegionId": "cn-beijing",
"stsTokenPlayerUid": 158643649596****
},
"sourceIpAddress": "Internal",
"userAgent": "AlibabaCloud (Linux; amd64) Java/1.8.0_102-b52 Core/4.5.3 HTTPClient/InternalHttpClient",
"eventType": "ApiCall",
"referencedResources": {
"ACS::ECS::Instance": [
"i-2zeeryqubk6402qw****"
]
},
"userIdentity": {
"accessKeyId": "STS.NUkP7B698ftsks5q9yAa9****",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-08-04T06:50:10Z"
}
},
"accountId": "138549619371****",
"principalId": "37164024024963****:ess-session-ecs_default",
"type": "assumed-role",
"userName": "aliyunserviceroleforautoscaling:ess-session-ecs_default"
},
"serviceName": "Ecs",
"additionalEventData": {
"Scheme": "http",
"CallerBid": "26842"
},
"apiVersion": "2014-05-26",
"requestId": "E7233050-120B-5684-93E4-49A6754D8252",
"eventTime": "2021-08-04T06:50:10Z",
"isGlobal": false,
"acsRegion": "cn-beijing",
"eventName": "StopInstance"
}以下に、この例の主要なフィールドについて説明します。
userIdentity.type:リクエスト元の ID タイプ。値assumed-roleは RAM ロールを示します。userIdentity.userName:リクエスト元のユーザー名。フォーマットは{roleName}:{sessionName}です。roleNameは引き受けたロールの名前です。sessionNameはロールセッションに指定された名前です。値aliyunserviceroleforautoscaling:ess-session-ecs_defaultは、引き受けた RAM ロールがaliyunserviceroleforautoscalingで、セッション名がess-session-ecs_defaultであることを示します。説明aliyunserviceroleforautoscalingは Auto Scaling のサービスリンクロールです。このロールは、Auto Scaling に関連するクラウドリソースへのアクセス権限を付与します。requestParameters.stsTokenPlayerUid:ロールを引き受けたエンティティの Alibaba Cloud アカウント ID。値は158643649596****です。referencedResources:イベントの影響を受けるリソース。値{"ACS::ECS::Instance": ["i-2zeeryqubk6402qw****"]}は ECS インスタンスi-2zeeryqubk6402qw****を示します。serviceName:Alibaba Cloud サービスの名称。値Ecsは ECS を示します。eventName:イベントの名称。値StopInstanceはインスタンスが停止されたことを示します。acsRegion:イベントが発生したリージョン。値cn-beijingは中国 (北京) リージョンを示します。eventTime:イベントの発生時間 (UTC)。値2021-08-04T06:50:10Zは 2021 年 8 月 4 日 14:50:10 (UTC+08:00) に相当します。