ECS インスタンスの操作記録を表示するにはどうすればよいですか? - Elastic Compute Service

Alibaba Cloud は、Elastic Compute Service (ECS) インスタンスとそれに関連付けられたリソースの操作記録 (時刻、場所、各操作のオペレーターを含む) を 90 日間保持します。技術的な問題や障害が発生した場合、操作記録を確認することで、問題を迅速に特定し、影響範囲を評価し、責任を判断できます。

説明

ECS [操作] [記録] 機能のログデータは、ActionTrail によって提供されます。デフォルトでは、データは 90 日間保持されます。データをより長期間保持する場合は、独自のストレージサービスに配信できます。詳細については、「単一アカウント証跡を作成する」をご参照ください。

手順

ECS コンソール - インスタンスに移動します。
上部のナビゲーションバーで、管理するリソースのリージョンとリソースグループを選択します。

クエリする ECS インスタンスの ID をクリックしてインスタンスの詳細ページに移動し、[操作記録] タブをクリックします。

デフォルトでは、タブには、過去 7 日間の ECS インスタンスとその関連リソースのすべての操作記録が表示されます。

[範囲] や [操作の重要度レベル] などのフィルター条件で操作記録をフィルタリングできます。次の表に、サポートされているフィルター条件を示します。

フィルター条件	説明
[範囲]	ECS インスタンスに影響を与える操作をフィルタリングします。次のカテゴリが含まれます。 ECS インスタンスに対する操作: インスタンス構成の操作: vCPU の数、メモリサイズ、ディスク容量など、インスタンスのハードウェア構成を変更します。インスタンスステータスの操作: インスタンスを「実行中」状態から「停止」状態に変更するなど、インスタンスのステータスを変更します。インスタンス属性の操作: 名前、説明、タグなど、インスタンスの属性を変更します。インスタンス課金の操作: 従量課金からサブスクリプションへの変更など、インスタンスの課金方法を変更します。インスタンスの作成またはリリース: インスタンスを作成するか、不要になったときにリリースします。インスタンスの起動または停止: インスタンスを起動または停止します。オペレーティングシステムのシャットダウンによるエコノミーモード: 不要なコストを削減するために、エコノミーモードでインスタンスを停止します。 ECS インスタンスに関連するリソースに対する操作: セキュリティグループの作成または削除: インスタンスまたはインスタンスグループのセキュリティグループを作成するか、不要になったセキュリティグループを削除します。セキュリティグループ構成の変更: インスタンスに関連付けられたセキュリティグルールールを変更して、特定の種類の受信または送信ネットワークトラフィックを許可または拒否します。関連付けられたセキュリティグループの操作: インスタンスに関連付けられたセキュリティグループルールを更新し、インスタンスのセキュリティ対策を変更します。関連付けられた ENI の操作: IP アドレスやサブネットなど、インスタンスにバインドされている Elastic Network Interface (ENI) の構成を変更します。関連付けられたディスクの操作: ディスクのサイズ変更やディスクのカテゴリの変更など、インスタンスに接続されているディスクの構成を変更します。
[読み取りまたは書き込み]	読み取りまたは書き込みタイプで操作をフィルタリングします。[書き込み] のみがサポートされています。
時間範囲	一定期間内に行われた操作をフィルタリングします。過去 90 日間の操作記録をクエリできます。クエリする時間範囲の開始日と終了日は、最大 7 日間離れている場合があります。
[操作の重要度レベル]	操作の重要度レベルで操作をフィルタリングします。操作によって、インスタンスに対する操作の重要度レベルが異なります。有効値: [高]: このレベルの操作は、インスタンスの停止 (StopInstance) やインスタンスの再起動 (RebootInstance) など、サービスの中断を引き起こす可能性があります。操作はビジネスオペレーションに影響を与える可能性があるため、事前にデータのバックアップと復元ポリシーを準備する必要があります。 [中]: ほとんどの場合、このレベルの操作はサービスの中断を引き起こしませんが、特定のシナリオではビジネスに一時的な影響を与える可能性があります。操作には、インスタンスの起動 (StartInstance) が含まれます。操作を実行する場合は、インスタンスのステータス変更に注意し、できるだけ早く潜在的な問題に対処することをお勧めします。 [低]: ほとんどの場合、このレベルの操作は、ディスクの作成 (CreateDisk) など、ビジネスに影響を与えません。
[操作名]	API 操作名で操作をフィルタリングします。「関数別の操作リスト」で API 操作を検索して説明を表示できます。
[ユーザー名]	操作を実行したユーザーで操作をフィルタリングします。
[関連リソース ID]	操作が実行されたインスタンスの ID で操作をフィルタリングします。インスタンス ID は、インスタンスに関連付けられたリソースを一意に識別します。

[操作記録] タブで、各操作の [操作] 列の [詳細] をクリックして、インスタンスとその関連リソースの詳細な操作記録を表示します。詳細な操作記録のパラメーターについては、「管理イベントの構造」をご参照ください。

ユースケース

ある企業の IT 部門は、Alibaba Cloud ECS インスタンスを使用して重要なビジネスアプリケーションをホストしています。ある朝、同社のカスタマーサービスチームは、Web サイトの応答が遅いという報告を多数受け取ります。IT O&M チームはすぐに Alibaba Cloud 管理コンソールにログインして問題のトラブルシューティングを行います。

1. 問題を確認する

問題を確認するために、IT O&M チームは CloudMonitor [操作記録] と Alibaba Cloud ActionTrail を使用して、ECS インスタンスの最近のすべてのログと操作記録を取得します。

2. ECS 操作記録を使用する

IT O&M チームは、ECS コンソールの ECS インスタンスの [操作記録] タブに移動し、過去数日間のすべての関連操作記録を確認し、操作の重要度レベルが高い疑わしい操作をいくつか発見します。

問題をさらに特定するために、チームは各操作の [操作] 列の [詳細] をクリックして、操作に関する詳細情報を取得します。次のサンプルコードは、操作の詳細の例を示しています。

{
	"eventId": "11D139B3-BF38-5E16-B369-******",
	"eventVersion": 1,
	"responseElements": {
		"RequestId": "11D139B3-BF38-5E16-B369-******"
	},
	"eventSource": "ecs-cn-hangzhou-share.aliyuncs.com",
	"requestParameters": {
		"SourceRegionId": "cn-shanghai",
		"AcsProduct": "Ecs",
		"InstanceId": "i-uf******",
		"__referer__": "https://ecs.console.aliyun.com/server/region/cn-shanghai?instanceId=i-uf******&__refreshToken=1745474781230",
		"AcceptLanguage": "zh-CN",
		"ClientPort": 42079,
		"X-Acs-Client-Tls-Version": "TLSv1.3",
		"RegionId": "cn-shanghai",
		"InstanceType": "ecs.******",
		"X-Acs-Client-Tls-Cipher-Suite": "TLS_AES_256_GCM_SHA384"
	},
	"sourceIpAddress": "124.89.******",
	"userAgent": "ecs.console.aliyun.com",
	"eventRW": "Write",
	"eventType": [
		"spec",
		"instanceCost"
	],
	"referencedResources": {
		"ACS::ECS::Instance": [
			"i-uf******"
		]
	},
	"userIdentity": {
		"sessionContext": {
			"attributes": {
				"mfaAuthenticated": "false",
				"creationDate": "2025-04-24T06:06:54Z"
			}
		},
		"accountId": "5237******",
		"principalId": "523******",
		"type": "root-account",
		"userName": "ZhangSan"  // ユーザー名
	},
	"serviceName": "Ecs",
	"additionalEventData": {
		"CallerBid": "26888"
	},
	"apiVersion": "2014-05-26",
	"requestId": "11D139B3-BF38-5E16-B369-*******",
	"eventTime": "2025-04-24T06:06:54Z", // イベント発生時刻
	"isGlobal": false,
	"acsRegion": "cn-shanghai",
	"eventName": "ModifyInstanceSpec", // イベント名
	"resourceName": "i-uf*******", // リソース名
	"userName": "root",
	"originEventType": "ConsoleOperation",
	"eventLevel": "high"
}

eventTime は、操作が実行された時刻を示します。
sourceIpAddress は、操作を開始した IP アドレスを示します。
resourceName は、操作が実行されたリソースを示します。
accountId と userName は、オペレーターのアカウント ID と名前を示します。
eventName は、操作の名前を示します。たとえば、ModifyInstanceSpec 操作は、ECS インスタンスタイプが変更されたことを示します。
説明
「関数別の操作リスト」で API 操作を検索して説明を表示できます。

3. 操作記録を分析する

IT O&M チームは ECS 操作記録から、前日の午後に構成が変更されたことを知ります。変更後すぐに問題は発見されませんでしたが、時間が経ち、ユーザートラフィックが増加するにつれて、CPU 使用率が継続的に 100% に上昇し、最終的にオンラインビジネスに損害を与えました。

4. 関係者に連絡する

IT O&M チームは、構成の変更を担当するエンジニアに連絡して、変更の詳細を取得します。構成を変更するときに、エンジニアはリソース要件の変更を正しく評価していない可能性があり、構成変更後にパフォーマンスが不足する結果になります。

5. ActionTrail を使用して補助分析を行う

問題の原因をさらに確認および検証するために、IT O&M チームは Alibaba Cloud ActionTrail を使用します。ActionTrail は、API 操作呼び出しの特定のパラメーターやイベント ID など、より詳細なログ情報を提供します。チームは ActionTrail の [イベントクエリ] を使用して、同じアカウント内の他の ECS インスタンスが変更されていないことを確認します。

6. リソース構成を復元および最適化する

ECS 操作記録と ActionTrail から提供された情報に基づいて、IT O&M チームは元の構成を復元し、現在の実際の負荷に基づいてリソース構成を再評価および変更することを決定します。次の手順を実行します。

元の構成を復元する。元のインスタンスタイプなど、ECS インスタンスの元の構成を手動で復元します。
インスタンスのパフォーマンスを監視する。ECS インスタンスの元の構成を復元した後、インスタンスのパフォーマンスを継続的に監視して、インスタンス上のサービスが回復することを確認します。
リソース要件を再評価する。リソース要件を再評価し、より合理的なリソース構成プランを作成します。