"`」という句が含まれる場合は、署名が正常に確認されており、Linux 用 EC2Rescue のインストールスクリプトを実行できることを意味しています。
出力結果に「`BAD signature`」という句が含まれる場合、手順が正しいことをもう一度確認してください。この応答が続く場合は、Amazon Web Services に連絡してください。以前にダウンロードしたインストール ファイルを実行しないでください。
以下は、表示される可能性のある警告の詳細です。
+ **WARNING: This key is not certified with a trusted signature\$1 There is no indication that the signature belongs to the owner.** これは、Linux 用 EC2Rescue の認証済みパブリック キーを所有していると考えるユーザーの個人レベルの信頼を参照します。本来は、ユーザーが Amazon Web Services オフィスを訪問してキーを受け取ることが理想的です。しかし、キーは多くの場合 ウェブ サイトからダウンロードされます。この場合、ウェブサイトは Amazon Web Services ウェブサイトです。
+ **gpg2: no ultimately trusted keys found.** これは、特定のキーがユーザー (またはユーザーが信頼する他のユーザー) によって「最終的に信頼された」キーでないことを意味します。
詳細については、「[https://www.gnupg.org/](https://www.gnupg.org/)」を参照してください。
# Amazon EC2 Linux インスタンスで EC2Rescue コマンドを実行する
EC2Rescue はコマンドラインツールです。Linux インスタンスに EC2Rescue をインストールすると、`./ec2rl help` を実行してツールの使用方法に関する一般的なヘルプを得ることができます。`./ec2rl list` を実行して使用可能なモジュールを表示し、`./ec2rl help module_name` を実行して特定のモジュールに関するヘルプを取得できます。
ここでは、このツールを使い始めるために実行できる一般的なタスクについて説明します。
**Topics**
+ [EC2Rescue モジュールを実行する](#ec2rl_running_module)
+ [EC2Rescue モジュールの結果をアップロードする](#ec2rl_uploading_results)
+ [Amazon EC2 Linux インスタンスのバックアップを作成する](#ec2rl_creating_backups)
## EC2Rescue モジュールを実行する
**すべての EC2Rescue モジュールを実行するには**
追加のパラメータを指定せずに、**./ec2rl run** コマンドを使用します。一部のモジュールには、ルートアクセスが必要です。ルートユーザーでない場合は、コマンドを実行するときに **sudo** を使用します。
```
./ec2rl run
```
**特定の EC2Rescue モジュールを実行するには**
**./ec2rl run** コマンドを使用し、`--only-modules` には実行するモジュールの名前を指定します。一部のモジュールでは、それらを使用するための引数が必要です。
```
./ec2rl run --only-modules=module_name --arguments
```
例えば、**dig** モジュールを実行して `amazon.com` ドメインをクエリするには、次のコマンドを使用します。
```
./ec2rl run --only-modules=dig --domain=amazon.com
```
**EC2Rescue モジュールの結果を表示するには**
モジュールを実行し、`cat /var/tmp/ec2rl/logfile_location` のログファイルを表示します。例えば、**dig** モジュールのログファイルは次の場所にあります。
```
cat /var/tmp/ec2rl/timestamp/mod_out/run/dig.log
```
## EC2Rescue モジュールの結果をアップロードする
サポート が EC2Rescue モジュールの結果をリクエストした場合は、EC2Rescue ツールを使用してログファイルをアップロードできます。結果は、サポート が提供する場所にアップロードすることも、所有している Amazon S3 バケットにアップロードすることもできます。
**サポート から提供された場所に結果をアップロードするには**
**./ec2rl upload** コマンドを使用します。`--upload-directory` にはログファイルの場所を指定します。`--support-url` には、サポート によって提供される URL を指定します。
```
./ec2rl upload --upload-directory=/var/tmp/ec2rl/logfile_location --support-url="url_provided_by_aws_support"
```
**Amazon S3 バケットに結果をアップロードするには**
**./ec2rl upload** コマンドを使用します。`--upload-directory` にはログファイルの場所を指定します。`--presigned-url` には、S3 バケットの署名付き URL を指定します。Amazon S3 に署名付きの URL を生成するための詳細については、「[署名付き URL を使用したオブジェクトのアップロード](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html)」を参照してください。
```
./ec2rl upload --upload-directory=/var/tmp/ec2rl/logfile_location --presigned-url="presigned_s3_url"
```
## Amazon EC2 Linux インスタンスのバックアップを作成する
EC2Rescue を使用して Linux インスタンスをバックアップするには、AMI を作成するか、アタッチされたボリュームのスナップショットを作成します。
**AMI を作成するには**
`./ec2rl run` コマンドを使用し、--`backup` には `ami` を指定します。
```
./ec2rl run --backup=ami
```
**アタッチされたすべてのボリュームのマルチボリュームスナップショットを作成するには**
`./ec2rl run` コマンドを使用し、--`backup` には `allvolumes` を指定します。
```
./ec2rl run --backup=allvolumes
```
**特定のアタッチされたボリュームのスナップショットを作成するには**
`./ec2rl run` コマンドを使用し、--`backup` にはバックアップするボリュームの ID を指定します。
```
./ec2rl run --backup=vol-01234567890abcdef
```
# Amazon EC2 Linux インスタンス用の EC2Rescue モジュールを開発する
モジュールは、データシリアル化スタンダードである YAML デ書き込まれます。モジュールの YAML ファイルは、モジュールとその属性を示す単一のドキュメントで構成されます。
## モジュール属性の追加
次の表には、利用できるモジュールの属性が一覧表示されます。
| 属性 | 説明 |
| --- | --- |
| name | モジュールの名前。この名前は、長さが 18 文字以下である必要があります。 |
| version | モジュールのバージョン番号。 |
| タイトル | モジュールの短い説明タイトルです。この値は、長さが 50 文字以下である必要があります。 |
| helptext | モジュールの拡張された説明。各列は、長さが 75 文字以下である必要があります。必須あるいはオプションでモジュールが引数を消費する場合、helptext 値にこの引数を含めます。 次に例を示します。 helptext: !!str |
Collect output from ps for system analysis
Consumes --times= for number of times to repeat
Consumes --period= for time period between repetition
|
| placement | モジュールが実行されるべきステージ。サポートされる値。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rl_moduledev.html) |
| language | モジュールコードが書き込まれている言語。サポートされる値。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rl_moduledev.html) Python コードは、Python 2.7.9\$1 および Python 3.2\$1 の両方と互換性がある必要があります。 |
| 修復 | モジュールが修復をサポートするかどうかを示します。サポートされている値は `True` または `False` です。 この値がない場合、モジュールのデフォルトは `False` です。修復をサポートしないそれらのモジュールのオプション属性となります。 |
| コンテンツ | 全スクリプトコード。 |
| 制約 | 制約値を含むオブジェクトの名前。 |
| ドメイン | モジュールがどのようにグループ化または分類されているかの説明。含まれているモジュール一連は次のドメインを使用します。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rl_moduledev.html) |
| class | モジュールによって実行されるタスクの種類の説明。含まれているモジュール一連は次のクラスを使用します。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rl_moduledev.html) |
| distro | このモジュールがサポートする Linux ディストリビューションの一覧。含まれているモジュール一連は次のディストリビューションを使用します。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rl_moduledev.html) |
| 必須 | CLI オプションからモジュールが消費する必要な引数。 |
| optional | モジュールが使用できるオプションの引数。 |
| ソフトウェア | モジュールで使用される実行可能なソフトウェア。この属性は、デフォルトでインストールされないソフトウェアの特定を行います。Linux 用 EC2Rescue ロジックは、モジュールを実行する前に、このプログラムが存在し、実行可能であることを確認します。 |
| package | 実行ファイル用のソースソフトウェアパッケージ。この属性は、ソフトウェアのパッケージにダウンロード用 URL やそのほかの詳細などの詳しい情報を提供するためのものです。 |
| sudo | ルートアクセスがモジュールの実行に必要であるかどうかを示します。 モジュールスクリプトで sudo チェックを行う必要はありません。値が true になると、Linux 用 EC2Rescue ロジックは実行しているユーザーがルートアクセスを所持している場合にのみモジュールを実行します。 |
| perfimpact | モジュールが実行している環境に重要な影響を及ぼす可能性があるかどうかを示します。値が true であり、`--perfimpact=true` 引数が存在しない場合、モジュールはスキップされます。 |
| parallelexclusive | 相互占有を必要とするプログラムを特定します。例えば、「bpf」を指定するすべてのモジュールはシリアル方法で実行します。 |
## 環境変数の追加
次の表には、利用できるモジュールの属性が一覧表示されます。
| 環境変数 | 説明 |
| --- | --- |
| `EC2RL_CALLPATH` | ec2rl.py へのパス。このパスを使用すると、lib ディレクトリを見つけて、ベンダーの Python モジュールを使用できます。 |
| `EC2RL_WORKDIR` | 診断ツールの主要な tmp ディレクトリ。 デフォルト値: `/var/tmp/ec2rl`。 |
| `EC2RL_RUNDIR` | すべての出力が保存されているディレクトリ。 デフォルト値: `/var/tmp/ec2rl/`。 |
| `EC2RL_GATHEREDDIR` | 収集されたモジュールデータを配置するルートディレクトリ。 デフォルト値:`/var/tmp/ec2rl//mod_out/gathered/`。 |
| `EC2RL_NET_DRIVER` | 初めて使用されるドライバーが、インスタンスの非仮想ネットワークインターフェースでアルファベット順に順序付けされます。 例: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rl_moduledev.html) |
| `EC2RL_SUDO` | Linux 用 EC2Rescue がルートとして実行されている場合には true、そうでない場合には false。 |
| `EC2RL_VIRT_TYPE` | インスタンスメタデータから提供される仮想化タイプ。 例: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rl_moduledev.html) |
| `EC2RL_INTERFACES` | システム上のインターフェースの列挙一覧。この値は、`eth0` や `eth1` などの名前が含まれる文字列です。これは `functions.bash` を介して生成され、これをソースとするモジュールのみで利用できます。 |
## YAML 構文の使用
モジュール YAML ファイルを構築する際、以下に注意してください。
+ 3 つのハイフン (`---`) は、ドキュメントの明示的な開始を示します。
+ `!ec2rlcore.module.Module` タグは、データストリームからオブジェクトを作成する際にどのコンストラクタを呼び出すかを YAML パーサーに伝えます。`module.py` ファイル内コンストラクタを検索できます。
+ `!!str` タグは、データの種類を決定する試行を行なわず、代わりにコンテンツを文字列リテラルとして解釈するように YAML パーサーに伝えます。
+ パイプ文字 (`|`) は、値がリテラル形式のスカラーであることを YAML パーサーに伝えます。この場合、パーサーにはすべての空白が含まれます。インデントと改行文字が保持されるため、これはモジュールにとって重要です。
+ YAML スタンダードインデントは 2 つのスペースとなり、次の例で示されます。スクリプトでスタンダードインデント (例えば、Python では 4 つの空白) を維持して、モジュールファイル内で全コンテンツを 2 つのスペースでインデントすることを確認します。
## モジュールの例
例 1 (`mod.d/ps.yaml`):
```
--- !ec2rlcore.module.Module
# Module document. Translates directly into an almost-complete Module object
name: !!str ps
path: !!str
version: !!str 1.0
title: !!str Collect output from ps for system analysis
helptext: !!str |
Collect output from ps for system analysis
Requires --times= for number of times to repeat
Requires --period= for time period between repetition
placement: !!str run
package:
- !!str
language: !!str bash
content: !!str |
#!/bin/bash
error_trap()
{
printf "%0.s=" {1..80}
echo -e "\nERROR: "$BASH_COMMAND" exited with an error on line ${BASH_LINENO[0]}"
exit 0
}
trap error_trap ERR
# read-in shared function
source functions.bash
echo "I will collect ps output from this $EC2RL_DISTRO box for $times times every $period seconds."
for i in $(seq 1 $times); do
ps auxww
sleep $period
done
constraint:
requires_ec2: !!str False
domain: !!str performance
class: !!str collect
distro: !!str alami ubuntu rhel suse
required: !!str period times
optional: !!str
software: !!str
sudo: !!str False
perfimpact: !!str False
parallelexclusive: !!str
```
# EC2Rescue を使用して問題のある Amazon EC2 Windows インスタンスのトラブルシューティングを行う
EC2Rescue for Windows Server は、Amazon EC2 Windows Server インスタンス上で動作し、潜在的な問題の診断とトラブルシューティングを行うことができる使いやすいツールです。ログファイルを収集して問題を解決するだけでなく、問題がありそうな部分をプロアクティブに検索することができ、便利です。他のインスタンスから Amazon EBS ルートボリュームを調べて、そのボリュームを使用する Windows Server インスタンスをトラブルシューティングするために必要なログを収集することもできます。EC2Rescue が対処できる一般的な問題は次のとおりです。
+ ファイアウォール、リモートデスクトッププロトコル (RDP)、またはネットワークインターフェイスの設定が原因で発生したインスタンス接続の問題
+ 停止エラー、起動ループ、またはレジストリの破損によって生じたオペレーティングシステムの起動に関する問題
+ 高度なログ分析とトラブルシューティングが必要な問題
EC2Rescue for Windows Server には以下の 2 つのモジュールがあります。
+ さまざまなソースからデータを収集する**データコレクターモジュール**
+ 収集されたデータを一連の事前定義ルールと照合して解析し、問題を特定し、解決方法を提案する**アナライザーモジュール**
EC2Rescue for Windows Server ツールは、Windows Server 2012 以降を実行している Amazon EC2 インスタンスでのみ実行されます。ツールを起動すると、ツールが Amazon EC2 インスタンスで実行されているかどうかが確認されます。
**注記**
`AWSSupport-ExecuteEC2Rescue` AWS Systems Manager Automation ランブックでは、EC2Rescue ツールを使用してトラブルシューティングを行い、可能な場合は、特定の EC2 インスタンスの一般的な接続の問題を修復します。より詳しい情報を確認し、このオートメーションを実行するには、「[AWSSupport-ExecuteEC2Rescue](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-executeec2rescue.html)」をご覧ください。
Linux インスタンスを使用している場合は、「[EC2Rescue を使用して問題のある Amazon EC2 Linux インスタンスのトラブルシューティングを行う](Linux-Server-EC2Rescue.md)」を参照してください。
**Topics**
+ [EC2Rescue GUI を使用したトラブルシューティング](ec2rw-gui.md)
+ [EC2Rescue CLI を使用したトラブルシューティング](ec2rw-cli.md)
+ [EC2Rescue と Systems Manager を使用したトラブルシューティング](ec2rw-ssm.md)
# EC2Rescue GUI を使用して問題のある Windows インスタンスのトラブルシューティングを行う
EC2Rescue for Windows Server は、**オフラインインスタンス**で次の分析を実行できます。
| オプション | 説明 |
| --- | --- |
| 診断とレスキュー | EC2Rescue for Windows Server は、次のサービス設定を使用して、問題を検出し、対応できます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-gui.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-gui.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-gui.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-gui.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-gui.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-gui.html) |
| Restore | 次のいずれかのアクションを実行します。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-gui.html) |
| ログのキャプチャ | 分析用にインスタンスでログをキャプチャできます。 |
EC2Rescue for Windows Server は、**アクティブインスタンスおよびオフラインインスタンス**から次のデータを収集できます。
| 項目 | 説明 |
| --- | --- |
| イベントログ | アプリケーション、システム、および EC2Config のイベントログを収集します。 |
| [Registry] | SYSTEM および SOFTWARE Hive を収集します。 |
| [Windows Update Log] | Windows Update によって生成されたログファイルを収集します。 Windows Server 2016 以降では、ログは Windows イベントトレーシング (ETW) 形式で収集されます。 |
| [Sysprep Log] | Windows システム準備ツールによって生成されたログファイルを収集します。 |
| ドライバセットアップログ | Windows SetupAPI ログ (setupapi.dev.log および setupapi.setup.log) を収集します。 |
| [Boot Configuration] | HKEY\$1LOCAL\$1MACHINE\$1BCD00000000 を収集します。 |
| [Memory Dump] | インスタンスに存在するメモリダンプファイルを収集します。 |
| [EC2Config File] | EC2Config サービスによって生成されたログファイルを収集します。 |
| [EC2Launch File] | EC2Launch スクリプトによって生成されたログファイルを収集します。 |
| [SSM Agent File] | SSM Agent、および Patch Manager ログによって生成されたログファイルを収集します。 |
| EC2 ElasticGPU ファイル | Elastic GPU に関連するイベントログを収集します。 |
| ECS | Amazon ECS に関連するログを収集します。 |
| CloudEndure | CloudEndure エージェントに関連するログファイルを収集します。 |
| MGN または DRS ログファイルの AWS レプリケーションエージェント | AWS Application Migration Service または AWS Elastic Disaster Recovery に関連するログファイルを収集します。 |
EC2Rescue for Windows Serverは、**アクティブインスタンス**から、次の追加データを収集できます。
| 項目 | 説明 |
| --- | --- |
| [System Information] | MSInfo32 を収集します。 |
| グループポリシーの結果 | グループポリシーレポートを収集します。 |
## オフラインインスタンスの分析
[**Offline Instance**] オプションは、Windows インスタンスの起動に関する問題のデバッグに役立ちます。
**オフラインインスタンスでアクションを実行するには**
1. 動作中の Windows Server インスタンスから、[EC2Rescue for Windows Server](https://s3.amazonaws.com/ec2rescue/windows/EC2Rescue_latest.zip?x-download-source=docs) ツールをダウンロードしてファイルを抽出します。
Internet Explorer セキュリティ強化の構成 (ESC) を変更せずに EC2Rescue をダウンロードするには、次の PowerShell コマンドを実行します。
```
Invoke-WebRequest https://s3.amazonaws.com/ec2rescue/windows/EC2Rescue_latest.zip -OutFile $env:USERPROFILE\Desktop\EC2Rescue_latest.zip
```
このコマンドによって、現在ログインしているユーザーのデスクトップに EC2Rescue.zip ファイルがダウンロードされます。
**注記**
ファイルのダウンロード時にエラーが表示され、Windows Server 2016 以前のバージョンを使用している場合は、PowerShell ターミナルで TLS 1.2 を有効にする必要がある場合があります。次のコマンドで現在の PowerShell セッションの TLS 1.2 を有効にしてから、もう一度試してください。
```
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
```
1. 問題のあるインスタンスを、まだ停止していない場合は停止します。
1. 問題のあるインスタンスから EBS ルートボリュームをデタッチし、EC2Rescue for Windows Server がインストールされている動作中の Windows インスタンスにボリュームをアタッチします。
1. 動作しているインスタンスで EC2Rescue for Windows Server ツールを実行して、[**Offline Instance** (オフラインインスタンス] を選択してください。
1. 新しくマウントされたボリュームのディスクを選択し、[**Next**] を選択してください。
1. ディスクの選択を確認し、[**Yes**] を選択してください。
1. 実行するオフラインインスタンスオプションを選択し、[**Next**] を選択してください。
EC2Rescue for Windows Server ツールはボリュームをスキャンして、選択されたログファイルに基づいてトラブルシューティング情報を収集します。
## アクティブなインスタンスからのデータの収集
アクティブなインスタンスからログなどのデータを収集できます。
**アクティブなインスタンスからデータを収集するには**
1. Windows インスタンスに接続します。
1. [EC2Rescue for Windows Server](https://s3.amazonaws.com/ec2rescue/windows/EC2Rescue_latest.zip?x-download-source=docs) ツールを Windows インスタンスにダウンロードして、ファイルを展開します。
Internet Explorer セキュリティ強化の構成 (ESC) を変更せずに EC2Rescue をダウンロードするには、次の PowerShell コマンドを実行します。
```
Invoke-WebRequest https://s3.amazonaws.com/ec2rescue/windows/EC2Rescue_latest.zip -OutFile $env:USERPROFILE\Desktop\EC2Rescue_latest.zip
```
このコマンドによって、現在ログインしているユーザーのデスクトップに EC2Rescue.zip ファイルがダウンロードされます。
**注記**
ファイルのダウンロード時にエラーが表示され、Windows Server 2016 以前のバージョンを使用している場合は、PowerShell ターミナルで TLS 1.2 を有効にする必要がある場合があります。次のコマンドで現在の PowerShell セッションの TLS 1.2 を有効にしてから、もう一度試してください。
```
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
```
1. EC2Rescue for Windows Server アプリケーションを開き、使用許諾契約に同意します。
1. [**Next**]、[**Current instance**]、[**Capture logs**] を選択してください。
1. 収集するデータ項目を選択し、[**Collect...**] を選択してください。警告を読み、[**Yes**] を選択して続行します。
1. ZIP ファイルのファイル名と場所を選択し、[**保存**] を選択してください。
1. EC2Rescue for Windows Server が完了したら、[**Open Containing Folder** (含まれているフォルダを開く)] を選択して ZIP ファイルを表示します。
1. [**Finish**] を選択してください。
# EC2Rescue CLI を使用して問題のある Windows インスタンスのトラブルシューティングを行う
EC2Rescue for Windows Server コマンドラインインターフェース (CLI) を使用すると、EC2Rescue for Windows Server プラグイン (「アクション」と呼ばれます) をプログラムで実行できます。
EC2Rescue for Windows Server ツールには、次の 2 つの実行モードがあります。
+ [**/online**] — EC2Rescue for Windows Server がインストールされているインスタンス上で、ログファイルの収集などのアクションを実行できます。
+ **/offline:** — EC2Rescue for Windows Server がインストールされている別個の Amazon EC2 Windows インスタンスにアタッチされているオフラインルートボリュームに対してアクションを実行できます。
[EC2Rescue for Windows Server](https://s3.amazonaws.com/ec2rescue/windows/EC2Rescue_latest.zip?x-download-source=docs) ツールを Windows インスタンスにダウンロードして、ファイルを展開します。次のコマンドを使用してヘルプファイルを表示できます。
```
EC2RescueCmd.exe /help
```
EC2Rescue for Windows Server は、Amazon EC2 Windows インスタンス上で次のアクションを実行できます。
+ [収集アクション](#ec2rw-collect)
+ [レスキューアクション](#ec2rw-rescue)
+ [復元アクション](#ec2rw-restore)
## 収集アクション
**注記**
すべてのログ、ロググループ全体、またはグループ内の個々のログを収集できます。
EC2Rescue for Windows Server は、**アクティブインスタンスおよびオフラインインスタンス**から、次のデータを収集できます。
| ロググループ | 使用可能なログ | 説明 |
| --- | --- | --- |
| all | | 利用可能なすべてのログを収集します。 |
| eventlog | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-cli.html) | アプリケーション、システム、および EC2Config のイベントログを収集します。 |
| memory-dump | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-cli.html) | インスタンスに存在するメモリダンプファイルを収集します。 |
| ec2config | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-cli.html) | EC2Config サービスによって生成されたログファイルを収集します。 |
| ec2launch | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-cli.html) | EC2Launch スクリプトによって生成されたログファイルを収集します。 |
| ssm-agent | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-cli.html) | SSM エージェント、および Patch Manager ログによって生成されたログファイルを収集します。 |
| sysprep | 'Log Files' | Windows システム準備ツールによって生成されたログファイルを収集します。 |
| driver-setup | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-cli.html) | Windows SetupAPI ログ (setupapi.dev.log および setupapi.setup.log) を収集します。 |
| registry | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-cli.html) | SYSTEM および SOFTWARE Hive を収集します。 |
| egpu | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-cli.html) | Elastic GPU に関連するイベントログを収集します。 |
| boot-config | 'BCDEDIT Output' | HKEY\$1LOCAL\$1MACHINE\$1BCD00000000 を収集します。 |
| windows-update | 'Log Files' | Windows Update によって生成されたログファイルを収集します。 Windows Server 2016 以降では、ログは Windows イベントトレーシング (ETW) 形式で収集されます。 |
| cloudendure | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-cli.html) | CloudEndure エージェントに関連するログファイルを収集します。 |
EC2Rescue for Windows Serverは、**アクティブインスタンス**から次の追加データを収集できます。
| ロググループ | 使用可能なログ | 説明 |
| --- | --- | --- |
| system-info | 'MSInfo32 Output' | MSInfo32 を収集します。 |
| gpresult | 'GPResult Output' | グループポリシーレポートを収集します。 |
以下のオプションが利用できます。
+ [**/output:**] - 収集したログファイルを zip 形式で保存するために必須の送信先ファイルパスの場所。
+ [**/no-offline**] - オフラインモードで使用する省略可能な属性。アクション完了後もボリュームをオフラインに設定しません。
+ [**/no-fix-signature**] - オフラインモードで使用する省略可能な属性。アクション完了後にディスク署名の競合が発生した場合でも修正しません。
### 例
以下に、EC2Rescue for Windows Server CLI の使用例を示します。
#### オンラインモードの例
利用可能なすべてのログを収集します。
```
EC2RescueCmd /accepteula /online /collect:all /output:
```
特定ロググループのみ収集します。
```
EC2RescueCmd /accepteula /online /collect:ec2config /output:
```
ロググループ内の個々のログを収集します。
```
EC2RescueCmd /accepteula /online /collect:'ec2config.Log Files,driver-setup.SetupAPI Log Files' /output:
```
#### オフラインモードの例
EBS ボリュームから利用可能なすべてのログを収集します。ボリュームは、device\$1id 値を使用して指定します。
```
EC2RescueCmd /accepteula /offline:xvdf /collect:all /output:
```
特定ロググループのみ収集します。
```
EC2RescueCmd /accepteula /offline:xvdf /collect:ec2config /output:
```
## レスキューアクション
EC2Rescue for Windows Server は、次のサービス設定を使用して、問題を検出し、対応できます。
| サービスグループ | 使用可能なアクション | 説明 |
| --- | --- | --- |
| all | | |
| system-time | 'RealTimeIsUniversal' | システム時刻[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-cli.html) |
| firewall | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-cli.html) | Windows ファイアウォール [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-cli.html) |
| rdp | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-cli.html) | リモートデスクトップ [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-cli.html) |
| ec2config | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-cli.html) | EC2Config [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-cli.html) |
| ec2launch | 'Reset Administrator Password' | 新しい Windows 管理者パスワードを生成します。 |
| network | 'DHCP Service Startup' | ネットワークインターフェイス [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2rw-cli.html) |
以下のオプションが利用できます。
+ [**/level:**] - アクションをトリガーする必要があるチェックレベルの省略可能な属性。許容値は、`information`、`warning`、`error`、`all` のいずれかです。デフォルトでは、`error` に設定されます。
+ [**/check-only**] - レポートは生成するが、オフラインボリュームに変更は加えない省略可能な属性。
**注記**
EC2Rescue for Windows Server がディスク署名の衝突の可能性を検出すると、`/check-only` オプションを使用した場合でも、デフォルトではオフラインプロセスの完了後に署名を修正します。修正されないようにするには、`/no-fix-signature` オプションを使用する必要があります。
+ [**/no-offline**] - アクションの完了後にボリュームをオフラインに設定しないための省略可能な属性。
+ [**/no-fix-signature**] - アクションの完了後にディスク署名の競合が発生しても修正しないための省略可能な属性。
### レスキューの例
以下に、EC2Rescue for Windows Server CLI の使用例を示します。ボリュームは、device\$1id 値を使用して指定します。
ボリューム上で特定されたすべての問題の修正を試みる。
```
EC2RescueCmd /accepteula /offline:xvdf /rescue:all
```
ボリューム上のサービスグループ内のすべての問題の修正を試みる。
```
EC2RescueCmd /accepteula /offline:xvdf /rescue:firewall
```
ボリューム上の特定のサービスグループ内の特定の項目の修正を試みる。
```
EC2RescueCmd /accepteula /offline:xvdf /rescue:rdp.'Service Start'
```
ボリューム上で修正を試みる複数の問題を指定する。
```
EC2RescueCmd /accepteula /offline:xvdf /rescue:'system-time.RealTimeIsUniversal,ec2config.Service Start'
```
## 復元アクション
EC2Rescue for Windows Server は、次のサービス設定を使用して、問題を検出し、対応できます。
| サービスグループ | 使用可能なアクション | 説明 |
| --- | --- | --- |
| 最後の既知の正常な設定の復元 | lkgc | [最後に既知の良好な設定] - 最後に既知のブート可能状態でインスタンスの起動を試みます。 |
| 最新のバックアップからの Windows レジストリの復元 | regback | [バックアップからレジストリを復元] - \$1Windows\$1System32\$1config\$1RegBack からレジストリを復元します。 |
以下のオプションが利用できます。
+ [**/no-offline**] — アクションの完了後にボリュームをオフラインに設定しないための省略可能な属性。
+ [**/no-fix-signature**] — アクションの完了後にディスク署名の競合が発生しても修正しないための省略可能な属性。
### 復元の例
以下に、EC2Rescue for Windows Server CLI の使用例を示します。ボリュームは、device\$1id 値を使用して指定します。
ボリューム上の最後の既知の正常な設定を復元します。
```
EC2RescueCmd /accepteula /offline:xvdf /restore:lkgc
```
ボリューム上の最新の Windows レジストリバックアップを復元します。
```
EC2RescueCmd /accepteula /offline:xvdf /restore:regback
```
# EC2Rescue と Systems Manager を使用して問題のある Windows インスタンスのトラブルシューティングを行う
サポート では、Systems Manager Run Command のドキュメントを用意しています。これにより、ご使用の Systems Manager 対応インスタンスとのインターフェイスを使用して、EC2Rescue for Windows Server を実行できます。この Run Command のドキュメントは、`AWSSupport-RunEC2RescueForWindowsTool` と呼ばれます。
この Systems Manager Run Command のドキュメントでは、次のタスクを実行します。
+ EC2Rescue for Windows Server のダウンロードと検証。
+ PowerShell モジュールをインポートしてツールとの対話を簡素化。
+ 提供されたコマンドとパラメーターで EC2RescueCmd を実行。
Systems Manager Run Command のドキュメントでは、次の 3 つのパラメーターを指定できます。
+ [**コマンド**] — EC2Rescue for Windows Server アクション。現在許可された値は次のとおりです。
+ [**ResetAccess**] — ローカル管理者のパスワードをリセットします。現在のインスタンスのローカル管理者パスワードはリセットされ、ランダムに生成されたパスワードが `/EC2Rescue/Password/` としてパラメータストアに安全に保存されます。このアクションを選択したがパラメータを指定しない場合、パスワードはデフォルトの KMS キー で自動的に暗号化されます。必要に応じて、パラメータに KMS キー ID を指定して、独自のキーでパスワードを暗号化できます。
+ [**CollectLogs**] — `/collect:all` アクションを指定して、EC2Rescue for Windows Server を実行します。このアクションを選択する場合は、`Parameters` に必ずログのアップロード先となる Amazon S3 バケット名を含むようにしてください。
+ [**FixAll**] — `/rescue:all` アクションを指定して、EC2Rescue for Windows Server を実行します。このアクションを選択する場合は、`Parameters` に、レスキューするブロックデバイス名が含まれている必要があります。
+ [**パラメーター**] — 指定したコマンドに渡す PowerShell パラメーターを指定します。
## 要件
**ResetAccess** 暗号化されたパスワードを Parameter Store に書き込むアクセス許可を付与するポリシーが Amazon EC2 インスタンスにアタッチされている必要があります。ポリシーをアタッチした後、このポリシーを該当する IAM ロールにアタッチしてから、インスタンスのパスワードがリセットされるまで数分かかります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:PutParameter"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:parameter/EC2Rescue/Passwords/"
]
}
]
}
```
------
デフォルトの KMS キーではなくカスタム KMS キーを使用している場合、代わりにこのポリシーを使用します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:PutParameter"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:parameter/EC2Rescue/Passwords/"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/"
]
}
]
}
```
------
## ドキュメントの JSON を表示する
次の手順では、このドキュメントの JSON を表示する方法について説明します。
**Systems Manager Run Command のドキュメントの JSON を表示するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[変更管理ツール]** を展開し、**[ドキュメント]** を選択します。
1. 検索バーで `AWSSupport-RunEC2RescueForWindowsTool` と入力し、`AWSSupport-RunEC2RescueForWindowsTool` ドキュメントを選択します。
1. [**Content**] タブを選択します。
## 例
以下に、Systems Manager Run Command のドキュメントを使用して、AWS CLI で EC2Rescue for Windows Server を実行する方法をいくつかの例を挙げて説明します。AWS CLI でコマンドを送信する方法の詳細については、[ コマンドリファレンス](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html)を参照してください。
**Topics**
+ [オフラインルートボリュームで特定されたすべての問題の修正を試みる](#ec2rw-ssm-exam1)
+ [現在の Amazon EC2 Windows インスタンスからログを収集する](#ec2rw-ssm-exam2)
+ [ローカル管理者のパスワードをリセットする](#ec2rw-ssm-exam4)
### オフラインルートボリュームで特定されたすべての問題の修正を試みる
Amazon EC2 Windows インスタンスにアタッチされたオフラインルートボリュームに関するすべての特定された問題の修正を試みます。
```
aws ssm send-command --instance-ids "i-0cb2b964d3e14fd9f" --document-name "AWSSupport-RunEC2RescueForWindowsTool" --parameters "Command=FixAll, Parameters='xvdf'" --output text
```
### 現在の Amazon EC2 Windows インスタンスからログを収集する
現在のオンライン Amazon EC2 Windows インスタンスからすべてのログを収集し、Amazon S3 バケットにアップロードします。
```
aws ssm send-command --instance-ids "i-0cb2b964d3e14fd9f" --document-name "AWSSupport-RunEC2RescueForWindowsTool" --parameters "Command=CollectLogs, Parameters='amzn-s3-demo-bucket'" --output text
```
### ローカル管理者のパスワードをリセットする
次の例では、ローカル管理者パスワードをリセットするために使用するメソッドを示しています。パラメータストアへのリンクが表示され、ランダムに生成された安全なパスワードが発行されます。この RDP はローカル管理者として Amazon EC2 Windows インスタンスで使用します。
デフォルトの AWS KMS key/エイリアス/aws/ssm を使用してオンラインインスタンスのローカル管理者パスワードをリセットする場合:
```
aws ssm send-command --instance-ids "i-0cb2b964d3e14fd9f" --document-name "AWSSupport-RunEC2RescueForWindowsTool" --parameters "Command=ResetAccess" --output text
```
KMS キー を使用してオンラインインスタンスのローカル管理者パスワードをリセットする場合:
```
aws ssm send-command --instance-ids "i-0cb2b964d3e14fd9f" --document-name "AWSSupport-RunEC2RescueForWindowsTool" --parameters "Command=ResetAccess, Parameters=a133dc3c-a2g4-4fc6-a873-6c0720104bf0" --output text
```
**注記**
この例では、KMS キー は `a133dc3c-a2g4-4fc6-a873-6c0720104bf0` です。
# インスタンス用 EC2 シリアルコンソール
EC2 シリアルコンソールを使用すると、Amazon EC2 インスタンスのシリアルポートにアクセスできます。このシリアルポートを使用して、起動、ネットワーク設定、およびその他の問題をトラブルシューティングできます。シリアルコンソールではインスタンスにネットワーク機能を持たせる必要はありません。シリアルコンソールを使用すると、キーボードとモニターがインスタンスのシリアルポートに直接接続されているかのように、インスタンスにコマンドを入力できます。シリアルコンソールセッションはインスタンスの再起動中および停止中も継続します。再起動中は起動時のすべてのブートメッセージを表示できます。
デフォルトではシリアルコンソールにアクセスできません。組織はアカウントにシリアルコンソールへのアクセスを許可し、IAM ポリシーを設定して、ユーザーにシリアルコンソールへのアクセスを許可する必要があります。シリアルコンソールへのアクセスはインスタンス ID、リソースタグ、その他の IAM レバーを使用して、きめ細かいレベルで制御できます。詳細については「[EC2 シリアルコンソールへのアクセスを設定する](configure-access-to-serial-console.md)」を参照してください。
シリアルコンソールにはEC2 コンソールまたは AWS CLI を使用してアクセスできます。
シリアルコンソールは追加料金なしで利用できます。
**Topics**
+ [EC2 シリアルコンソールの前提条件](ec2-serial-console-prerequisites.md)
+ [EC2 シリアルコンソールへのアクセスを設定する](configure-access-to-serial-console.md)
+ [EC2 シリアルコンソールに接続する](connect-to-serial-console.md)
+ [EC2 シリアルコンソールからの切断](disconnect-serial-console-session.md)
+ [EC2 シリアルコンソールを使用して Amazon EC2 インスタンスをトラブルシューティングする](troubleshoot-using-serial-console.md)
# EC2 シリアルコンソールの前提条件
**Topics**
+ [AWS リージョン](#sc-prereqs-regions)
+ [Wavelength ゾーンと AWS Outposts](#sc-prereqs-wavelength-zones-outposts)
+ [ローカルゾーン](#sc-prereqs-local-zones)
+ [インスタンスタイプ](#sc-prereqs-instance-types)
+ [アクセス権を付与する](#sc-prereqs-configure-ec2-serial-console)
+ [ブラウザベースのクライアントのサポート](#sc-prereqs-for-browser-based-connection)
+ [インスタンスの状態](#sc-prereqs-instance-state)
+ [Amazon EC2 Systems Manager](#sc-prereqs-ssm)
+ [トラブルシューティングツールを選択](#sc-prereqs-configure-troubleshooting-tool)
## AWS リージョン
アジアパシフィック (台北) を除くすべての AWS リージョン でサポートされています。
## Wavelength ゾーンと AWS Outposts
サポート外。
## ローカルゾーン
すべての Local Zones ではサポートされています。
## インスタンスタイプ
サポートされるインスタンスタイプ:
+ **Linux**
+ Nitro システム上に構築されたすべての仮想化インスタンス。
+ 以下を除くすべてのベアメタルインスタンス:
+ 汎用: `a1.metal`, `mac1.metal`, `mac2.metal`
+ 高速コンピューティング: `g5g.metal`
+ メモリ最適化: `u-6tb1.metal`, `u-9tb1.metal`, `u-12tb1.metal`, `u-18tb1.metal`, `u-24tb1.metal`
+ **Windows**
Nitro システム上に構築されたすべての仮想化インスタンス。ベアメタルインスタンスではサポートされていません。
## アクセス権を付与する
EC2 シリアルコンソールへのアクセス権を付与する設定タスクを完了する必要があります。詳細については「[EC2 シリアルコンソールへのアクセスを設定する](configure-access-to-serial-console.md)」を参照してください。
## ブラウザベースのクライアントのサポート
[ブラウザベースのクライアントを使用して](connect-to-serial-console.md#sc-connect-browser-based-client)シリアルコンソールに接続するにはそのブラウザで WebSocket をサポートしている必要があります。お使いのブラウザが WebSocket をサポートしていない場合は[独自のキーとSSH クライアントを使用して](connect-to-serial-console.md#sc-connect-SSH)シリアルコンソールに接続します。
## インスタンスの状態
`running` を指定してください。
インスタンスが `pending`、`stopping`、`stopped`、`shutting-down`、または `terminated` 状態の場合、シリアルコンソールに接続できません。
インスタンスステータスの詳細については「[Amazon EC2 インスタンスの状態変更](ec2-instance-lifecycle.md)」を参照してください。
## Amazon EC2 Systems Manager
インスタンスで Amazon EC2 Systems Manager を使用する場合はSSM Agent のバージョン 3.0.854.0 以降を、そのインスタンスにインストールする必要があります。SSM Agent の詳細については*AWS Systems Manager ユーザーガイド*の「[SSM Agentを使用する](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html)」を参照してください。
## トラブルシューティングツールを選択
シリアルコンソールを使用してインスタンスのトラブルシューティングを行う際に、Linux インスタンスでは GRUB または SysRq、Windows インスタンスでは Special Admin Console (SAC) を使用できます。これらのツールを使用できるようにするにはツールを使用するすべてのインスタンスで設定手順を実行する必要があります。
インスタンスのオペレーティングシステムの手順を使用して、選択したトラブルシューティングツールを設定します。
### (Linux インスタンス) GRUB を設定する
GRUB を設定するにはインスタンスの起動に使用された AMI に基づいて、次のいずれかの手順を選択してください。
------
#### [ Amazon Linux 2 ]
**Amazon Linux 2 インスタンスで GRUB を設定するには**
1. [SSH を使用した Linux インスタンスへの接続](connect-to-linux-instance.md)
1. `/etc/default/grub` で、次のオプションを追加または変更します。
+ `GRUB_TIMEOUT=1` を設定します。
+ `GRUB_TERMINAL="console serial"` を追加します。
+ `GRUB_SERIAL_COMMAND="serial --speed=115200"` を追加します。
`/etc/default/grub` の例を次に示します。場合によってはシステム設定に基づいて設定を変更することが必要な場合があります。
```
GRUB_CMDLINE_LINUX_DEFAULT="console=tty0 console=ttyS0,115200n8 net.ifnames=0 biosdevname=0 nvme_core.io_timeout=4294967295 rd.emergency=poweroff rd.shell=0"
GRUB_TIMEOUT=1
GRUB_DISABLE_RECOVERY="true"
GRUB_TERMINAL="console serial"
GRUB_SERIAL_COMMAND="serial --speed=115200"
```
1. 次のコマンドを実行して、更新された設定を適用します。
```
[ec2-user ~]$ sudo grub2-mkconfig -o /boot/grub2/grub.cfg
```
------
#### [ Ubuntu ]
**Ubuntu インスタンスで GRUB を設定するには**
1. [インスタンスに接続します](connect-to-linux-instance.md)。
1. `/etc/default/grub.d/50-cloudimg-settings.cfg` で、次のオプションを追加または変更します。
+ `GRUB_TIMEOUT=1` を設定します。
+ `GRUB_TIMEOUT_STYLE=menu` を追加します。
+ `GRUB_TERMINAL="console serial"` を追加します。
+ `GRUB_HIDDEN_TIMEOUT` を削除します。
+ `GRUB_SERIAL_COMMAND="serial --speed=115200"` を追加します。
`/etc/default/grub.d/50-cloudimg-settings.cfg` の例を次に示します。場合によってはシステム設定に基づいて設定を変更することが必要な場合があります。
```
# Cloud Image specific Grub settings for Generic Cloud Images
# CLOUD_IMG: This file was created/modified by the Cloud Image build process
# Set the recordfail timeout
GRUB_RECORDFAIL_TIMEOUT=0
# Do not wait on grub prompt
GRUB_TIMEOUT=1
GRUB_TIMEOUT_STYLE=menu
# Set the default commandline
GRUB_CMDLINE_LINUX_DEFAULT="console=tty1 console=ttyS0 nvme_core.io_timeout=4294967295"
# Set the grub console type
GRUB_TERMINAL="console serial"
GRUB_SERIAL_COMMAND="serial --speed 115200"
```
1. 次のコマンドを実行して、更新された設定を適用します。
```
[ec2-user ~]$ sudo update-grub
```
------
#### [ RHEL ]
**RHEL インスタンスで GRUB を設定するには**
1. [インスタンスに接続します](connect-to-linux-instance.md)。
1. `/etc/default/grub` で、次のオプションを追加または変更します。
+ `GRUB_TERMINAL_OUTPUT` を削除します。
+ `GRUB_TERMINAL="console serial"` を追加します。
+ `GRUB_SERIAL_COMMAND="serial --speed=115200"` を追加します。
`/etc/default/grub` の例を次に示します。場合によってはシステム設定に基づいて設定を変更することが必要な場合があります。
```
GRUB_TIMEOUT=1
GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)"
GRUB_DEFAULT=saved
GRUB_DISABLE_SUBMENU=true
GRUB_CMDLINE_LINUX="console=tty0 console=ttyS0,115200n8 net.ifnames=0 rd.blacklist=nouveau nvme_core.io_timeout=4294967295 crashkernel=auto"
GRUB_DISABLE_RECOVERY="true"
GRUB_ENABLE_BLSCFG=true
GRUB_TERMINAL="console serial"
GRUB_SERIAL_COMMAND="serial --speed=115200"
```
1. 次のコマンドを実行して、更新された設定を適用します。
```
[ec2-user ~]$ sudo grub2-mkconfig -o /boot/grub2/grub.cfg --update-bls-cmdline
```
RHEL 9.2 を使用している場合は次のコマンドを使用します。
```
[ec2-user ~]$ sudo grub2-mkconfig -o /boot/grub2/grub.cfg
```
------
#### [ CentOS ]
CentOS AMI を使用して起動されるインスタンスの場合、GRUB はデフォルトでシリアルコンソール用に設定されます。
`/etc/default/grub` の例を次に示します。構成はシステム設定によって異なる場合があります。
```
GRUB_TIMEOUT=1
GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)"
GRUB_DEFAULT=saved
GRUB_DISABLE_SUBMENU=true
GRUB_TERMINAL="serial console"
GRUB_SERIAL_COMMAND="serial --speed=115200"
GRUB_CMDLINE_LINUX="console=tty0 crashkernel=auto console=ttyS0,115200"
GRUB_DISABLE_RECOVERY="true"
```
------
### (Linux インスタンス) SysRq を設定する
SysRq を設定するには現在のブートサイクルで SysRq コマンドを有効にします。設定を永続化するために、後続の起動で SysRq コマンドを有効にすることもできます。
**現在のブートサイクルについてすべての SysRq コマンドを有効にするには**
1. [インスタンスに接続します](connect-to-linux-instance.md)。
1. 次のコマンドを実行します。
```
[ec2-user ~]$ sudo sysctl -w kernel.sysrq=1
```
この設定は次回の再起動時にクリアされます。
**後続の起動についてすべての SysRq コマンドを有効にするには**
1. `/etc/sysctl.d/99-sysrq.conf` ファイルを作成し、お気に入りのエディタで開きます。
```
[ec2-user ~]$ sudo vi /etc/sysctl.d/99-sysrq.conf
```
1. 次の行を追加します。
```
kernel.sysrq=1
```
1. インスタンスを再起動して、変更を適用します。
```
[ec2-user ~]$ sudo reboot
```
1. `login` プロンプトで、[前に設定した](configure-access-to-serial-console.md#set-user-password)パスワードベースのユーザーのユーザー名を入力し、**Enter** キーを押します。
1. `Password` プロンプトで、パスワードを入力し、**Enter** キーを押します。
### (Windows インスタンス) SAC とブートメニューを有効にする
**注記**
インスタンスで SAC を有効にすると、パスワードの取得に依存する EC2 サービスは Amazon EC2 コンソールから操作できません。Amazon EC2 起動エージェント (EC2Config、EC2Launch v1、EC2Launch v2) での Windowsはシリアルコンソールを使用してさまざまなタスクを実行します。インスタンスで SAC を有効にすると、これらのタスクは正常に実行されません。Amazon EC2 の起動エージェント上の Windows の詳細については「[Amazon EC2 Windows インスタンスの設定](ec2-windows-instances.md)」を参照してください。SAC を有効にする場合は後で無効にすることができます。詳細については「[SAC とブートメニューを無効にする](troubleshoot-using-serial-console.md#disable-sac-bootmenu)」を参照してください。
インスタンスで SAC とブートメニューを有効にするには次のいずれかの方法を使用します。
------
#### [ PowerShell ]
**Windows インスタンスで SAC とブートメニューを有効にするには**
1. インスタンスに[接続](connecting_to_windows_instance.md)し、昇格された PowerShell コマンドラインから以下の手順を実行します。
1. SAC を有効にします。
```
bcdedit /ems '{current}' on
bcdedit /emssettings EMSPORT:1 EMSBAUDRATE:115200
```
1. ブートメニューを有効にします。
```
bcdedit /set '{bootmgr}' displaybootmenu yes
bcdedit /set '{bootmgr}' timeout 15
bcdedit /set '{bootmgr}' bootems yes
```
1. インスタンスを再起動して、更新された設定を適用します。
```
shutdown -r -t 0
```
------
#### [ Command prompt ]
**Windows インスタンスで SAC とブートメニューを有効にするには**
1. インスタンスに[接続](connecting_to_windows_instance.md)し、コマンドプロンプトから次の手順を実行します。
1. SAC を有効にします。
```
bcdedit /ems {current} on
bcdedit /emssettings EMSPORT:1 EMSBAUDRATE:115200
```
1. ブートメニューを有効にします。
```
bcdedit /set {bootmgr} displaybootmenu yes
bcdedit /set {bootmgr} timeout 15
bcdedit /set {bootmgr} bootems yes
```
1. インスタンスを再起動して、更新された設定を適用します。
```
shutdown -r -t 0
```
------
# EC2 シリアルコンソールへのアクセスを設定する
シリアルコンソールへのアクセスを設定するにはアカウントレベルでシリアルコンソールへのアクセスを許可し、ユーザーにアクセス権を付与するように IAM ポリシーを設定する必要があります。Linux インスタンスではユーザーがトラブルシューティングでシリアルコンソールを使用できるように、すべてのインスタンスでパスワードベースのユーザーの設定もする必要があります。
EC2 シリアルコンソールは、仮想シリアルポート接続を使用してインスタンスとやり取りします。この接続はインスタンス VPC から独立しているため、起動障害やネットワーク設定の問題が発生した場合でも、インスタンスオペレーティングシステムを操作しトラブルシューティングツールを実行することができます。この接続は VPC ネットワークの外部にあるため、EC2 シリアルコンソールは、インスタンスへのトラフィックを承認する際は、インスタンスセキュリティグループまたはサブネットネットワーク ACL を使用しません。
**[開始する前に]**
[前提条件](ec2-serial-console-prerequisites.md)が満たされていることを確認します。
**Topics**
+ [EC2 シリアルコンソールへのアクセスのレベル](#serial-console-access-levels)
+ [EC2 シリアルコンソールへのアカウントアクセスを管理する](#serial-console-account-access)
+ [EC2 シリアルコンソールのアクセスについての IAM ポリシーを設定する](#serial-console-iam)
+ [Linux インスタンスで OS ユーザーパスワードを設定する](#set-user-password)
## EC2 シリアルコンソールへのアクセスのレベル
デフォルトではアカウントレベルでシリアルコンソールにアクセスすることはできません。アカウントレベルでシリアルコンソールへのアクセスを明示的に許可する必要があります。詳細については「[EC2 シリアルコンソールへのアカウントアクセスを管理する](#serial-console-account-access)」を参照してください。
サービスコントロールポリシー (SCP) を使用して、組織内でシリアルコンソールへのアクセスを許可できます。その後、IAM ポリシーを使用してアクセスをコントロールすることで、ユーザーレベルできめ細かいアクセスコントロールを行うことができます。SCP ポリシーと IAM ポリシーを組み合わせて使用することで、シリアルコンソールに対するさまざまなレベルのアクセス制御が可能になります。
**組織レベル**
サービスコントロールポリシー (SCP) を使用して、組織内のメンバーアカウントのためにシリアルコンソールへのアクセスを許可できます。SCP の詳細については*AWS Organizations ユーザーガイド* の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
**インスタンスレベル**
IAM PrincipalTag および ResourceTag 構造を使用し、ID でインスタンスを指定することで、シリアルコンソールのアクセスポリシーを設定できます。詳細については「[EC2 シリアルコンソールのアクセスについての IAM ポリシーを設定する](#serial-console-iam)」を参照してください。
**ユーザーレベル**
特定のインスタンスのシリアルコンソールサービスに SSH パブリックキーをプッシュするためのアクセス権限を指定ユーザーに許可または拒否するように IAM ポリシーを設定することで、ユーザーレベルでアクセスを設定できます。詳細については「[EC2 シリアルコンソールのアクセスについての IAM ポリシーを設定する](#serial-console-iam)」を参照してください。
**OS レベル** (Linux インスタンスのみ)
ユーザーパスワードはゲスト OS レベルで設定できます。これにより、一部のユースケースのためにシリアルコンソールにアクセス権を付与します。ただし、ログをモニタリングするにはパスワードベースのユーザーは必要ありません。詳細については「[Linux インスタンスで OS ユーザーパスワードを設定する](#set-user-password)」を参照してください。
## EC2 シリアルコンソールへのアカウントアクセスを管理する
デフォルトではアカウントレベルでシリアルコンソールにアクセスすることはできません。アカウントレベルでシリアルコンソールへのアクセスを明示的に許可する必要があります。
この設定はアカウントレベルで直接、または宣言ポリシーを使用して設定されます。シリアルコンソールへのアクセスを許可する各 AWS リージョン で設定する必要があります。宣言型ポリシーを使用すると、複数のリージョンと複数のアカウントで同時に設定を適用できます。宣言ポリシーが使用されている場合、アカウント内で直接設定を変更することはできません。このトピックでは、アカウント内で設定を直接設定する方法について説明します。宣言ポリシーの使用の詳細については*AWS Organizations「 ユーザーガイド」*の[「宣言ポリシー」](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html)を参照してください。
**Contents**
+ [ユーザーにアカウントアクセスを管理するための許可を付与する](#sc-account-access-permissions)
+ [シリアルコンソールへのアカウントアクセスのステータスを表示する](#sc-view-account-access)
+ [シリアルコンソールへのアカウントアクセスを許可する](#sc-grant-account-access)
+ [シリアルコンソールへのアカウントアクセスを拒否する](#sc-deny-account-access)
### ユーザーにアカウントアクセスを管理するための許可を付与する
ユーザーが EC2 シリアルコンソールへのアカウントアクセスを管理できるようにするには必要な IAM 許可をユーザーに付与する必要があります。
次のポリシーはアカウントステータスを表示するためのアクセス権限、ならびに EC2 シリアルコンソールへのアカウントアクセスを許可および禁止するためのアクセス権限を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:GetSerialConsoleAccessStatus",
"ec2:EnableSerialConsoleAccess",
"ec2:DisableSerialConsoleAccess"
],
"Resource": "*"
}
]
}
```
------
詳細については、「*IAM ユーザーガイド*」の「[IAM ポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
### シリアルコンソールへのアカウントアクセスのステータスを表示する
------
#### [ Console ]
**シリアルコンソールにアカウントアクセスを表示するには**
1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。
1. ナビゲーションペインで、**ダッシュボード**を選択してください。
1. **[アカウント属性]** カードの **[設定]** で、**[EC2 シリアルコンソール]** を選択します。
1. [**EC2 シリアルコンソール**] タブで、[**EC2 シリアルコンソールアクセス**] の値は**許可**または**禁止**のいずれかです。
------
#### [ AWS CLI ]
**シリアルコンソールにアカウントアクセスを表示するには**
[get-serial-console-access-status](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-serial-console-access-status.html) コマンドを使用します。
```
aws ec2 get-serial-console-access-status
```
出力例を次に示します。`true` の値は、アカウントがシリアルコンソールへのアクセスを許可されていることを示します。
```
{
"SerialConsoleAccessEnabled": true,
"ManagedBy": "account"
}
```
`ManagedBy` フィールドは、設定を構成したエンティティを示します。指定できる値は `account` (直接設定) または `declarative-policy` です。詳細については「*AWS OrganizationsIAM ユーザーガイド*」の「[ マネージドポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html)」を参照してください。
------
#### [ PowerShell ]
**シリアルコンソールにアカウントアクセスを表示するには**
[Get-EC2SerialConsoleAccessStatus](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SerialConsoleAccessStatus.html) コマンドレットを使用します。
```
Get-EC2SerialConsoleAccessStatus -Select *
```
出力例を次に示します。`True` の値は、アカウントがシリアルコンソールへのアクセスを許可されていることを示します。
```
ManagedBy SerialConsoleAccessEnabled
--------- --------------------------
account True
```
`ManagedBy` フィールドは、設定を構成したエンティティを示します。指定できる値は `account` (直接設定) または `declarative-policy` です。詳細については「*AWS OrganizationsIAM ユーザーガイド*」の「[ マネージドポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html)」を参照してください。
------
### シリアルコンソールへのアカウントアクセスを許可する
------
#### [ Console ]
**シリアルコンソールへのアカウントアクセスを許可するには**
1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。
1. ナビゲーションペインで、**ダッシュボード**を選択してください。
1. **[アカウント属性]** カードの **[設定]** で、**[EC2 シリアルコンソール]** を選択します。
1. [**管理**] をクリックしてください。
1. アカウントにあるすべてのインスタンスの EC2 シリアルコンソールにアクセスを許可するには**[許可]** チェックボックスをオンにします。
1. **[Update]** (更新) を選択してください。
------
#### [ AWS CLI ]
**シリアルコンソールへのアカウントアクセスを許可するには**
[enable-serial-console-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-serial-console-access.html) コマンドを使用します。
```
aws ec2 enable-serial-console-access
```
出力例を次に示します。
```
{
"SerialConsoleAccessEnabled": true
}
```
------
#### [ PowerShell ]
**シリアルコンソールへのアカウントアクセスを許可するには**
[Enable-EC2SerialConsoleAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2SerialConsoleAccess.html) コマンドレットを使用します。
```
Enable-EC2SerialConsoleAccess
```
出力例を次に示します。
```
True
```
------
### シリアルコンソールへのアカウントアクセスを拒否する
------
#### [ Console ]
**シリアルコンソールへのアカウントアクセスを拒否するには**
1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。
1. ナビゲーションペインで、**ダッシュボード**を選択してください。
1. **[アカウント属性]** カードの **[設定]** で、**[EC2 シリアルコンソール]** を選択します。
1. [**管理**] をクリックしてください。
1. アカウントにあるすべてのインスタンスの EC2 シリアルコンソールにアクセスを禁止するには**[許可]** チェックボックスをオフにします。
1. **[Update]** (更新) を選択してください。
------
#### [ AWS CLI ]
**シリアルコンソールへのアカウントアクセスを拒否するには**
[disable-serial-console-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-serial-console-access.html) コマンドを使用します。
```
aws ec2 disable-serial-console-access
```
出力例を次に示します。
```
{
"SerialConsoleAccessEnabled": false
}
```
------
#### [ PowerShell ]
**シリアルコンソールへのアカウントアクセスを拒否するには**
[Disable-EC2SerialConsoleAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2SerialConsoleAccess.html) コマンドレットを使用します。
```
Disable-EC2SerialConsoleAccess
```
出力例を次に示します。
```
False
```
------
## EC2 シリアルコンソールのアクセスについての IAM ポリシーを設定する
デフォルトではユーザーはシリアルコンソールにアクセスできません。組織は IAM ポリシーを設定して、ユーザーに必要なアクセスを許可する必要があります。詳細については、「*IAM ユーザーガイド*」の「[IAM ポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
シリアルコンソールのアクセスについて、`ec2-instance-connect:SendSerialConsoleSSHPublicKey` アクションを含む JSON ポリシードキュメントを作成します。このアクションはシリアルコンソールセッションを開始するシリアルコンソールサービスにパブリックキーをプッシュするための許可をユーザーに付与します。特定の EC2 インスタンスへのアクセスを制限することをお勧めします。それ以外の場合、この許可を持つすべてのユーザーはすべての EC2 インスタンスのシリアルコンソールに接続できます。
**Topics**
+ [シリアルコンソールへのアクセスを明示的に許可する](#iam-explicitly-allow-access)
+ [シリアルコンソールへのアクセスを明示的に拒否する](#serial-console-IAM-policy)
+ [リソースタグを使用してシリアルコンソールへのアクセスを制御する](#iam-resource-tags)
### シリアルコンソールへのアクセスを明示的に許可する
デフォルトでは誰もシリアルコンソールにアクセスできません。シリアルコンソールへのアクセスを許可するには明示的にアクセスを許可するようにポリシーを設定する必要があります。特定のインスタンスへのアクセスを制限するポリシーを設定することをお勧めします。
次のポリシーはインスタンス ID によって識別される特定のインスタンスのシリアルコンソールへのアクセスを許可します。
`DescribeInstances`、`DescribeInstanceTypes`、`GetSerialConsoleAccessStatus` アクションはリソースレベルの権限をサポートしていないため、これらのアクションには `*` (アスタリスク) で示されるすべてのリソースを指定する必要があることに注意してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribeInstances",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes",
"ec2:GetSerialConsoleAccessStatus"
],
"Resource": "*"
},
{
"Sid": "AllowinstanceBasedSerialConsoleAccess",
"Effect": "Allow",
"Action": [
"ec2-instance-connect:SendSerialConsoleSSHPublicKey"
],
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance/i-0598c7d356eba48d7"
}
]
}
```
------
### シリアルコンソールへのアクセスを明示的に拒否する
次の IAM ポリシーは`*` (アスタリスク) で示されるすべてのインスタンスのシリアルコンソールへのアクセスを許可し、ID によって識別される特定のインスタンスのシリアルコンソールへのアクセスを明示的に拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSerialConsoleAccess",
"Effect": "Allow",
"Action": [
"ec2-instance-connect:SendSerialConsoleSSHPublicKey",
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes",
"ec2:GetSerialConsoleAccessStatus"
],
"Resource": "*"
},
{
"Sid": "DenySerialConsoleAccess",
"Effect": "Deny",
"Action": [
"ec2-instance-connect:SendSerialConsoleSSHPublicKey"
],
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance/i-0598c7d356eba48d7"
}
]
}
```
------
### リソースタグを使用してシリアルコンソールへのアクセスを制御する
リソースタグを使用して、インスタンスのシリアルコンソールへのアクセスを制御できます。
属性ベースアクセス制御はユーザーおよび AWS リソースにアタッチできるタグに基づいてアクセス権限を定義する認可戦略です。例えば、次のポリシーはインスタンスのリソースタグとプリンシパルのタグがタグキーについて同じ `SerialConsole` の値を持っている場合に限り、ユーザーがインスタンスのシリアルコンソール接続を開始することを許可します。
AWS リソースへのアクセスを制御するタグの使用の詳細については、「*IAM ユーザーガイド*」の「[AWS リソースへのアクセス制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources)」を参照してください。
`DescribeInstances`、`DescribeInstanceTypes`、`GetSerialConsoleAccessStatus` アクションはリソースレベルの権限をサポートしていないため、これらのアクションには `*` (アスタリスク) で示されるすべてのリソースを指定する必要があることに注意してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribeInstances",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes",
"ec2:GetSerialConsoleAccessStatus"
],
"Resource": "*"
},
{
"Sid": "AllowTagBasedSerialConsoleAccess",
"Effect": "Allow",
"Action": [
"ec2-instance-connect:SendSerialConsoleSSHPublicKey"
],
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SerialConsole": "${aws:PrincipalTag/SerialConsole}"
}
}
}
]
}
```
------
## Linux インスタンスで OS ユーザーパスワードを設定する
パスワードなしでシリアルコンソールに接続できます。ただし、Linux インスタンスのトラブルシューティングでシリアルコンソールを使用するにはインスタンスにパスワードベースの OS ユーザーがある必要があります。**
root ユーザーを含む任意の OS ユーザーに対し、パスワードを設定できます。root ユーザーはすべてのファイルを変更できますが、それ以外の OS ユーザーは権限が制限されていることに注意してください。
シリアルコンソールを使用するすべてのインスタンスについて、ユーザーパスワードを設定する必要があります。これはインスタンスごとに 1 回のみ必要なセットアップです。
**注記**
デフォルトでは、AWS が提供する AMI には、パスワードベースのユーザーが設定されていません。既にルートユーザーパスワードが設定されている AMI を使用してインスタンスを起動した場合はこれらの手順を省略できます。
**Linux インスタンスで OS ユーザーパスワードを設定するには**
1. [インスタンスに接続します](connect-to-linux-instance.md)。EC2 シリアルコンソールの接続方法を除き、インスタンスへの接続には任意の方法を使用できます。
1. ユーザーのパスワードを設定するには**passwd** コマンドを使用します。次の例ではユーザーは `root` です。
```
[ec2-user ~]$ sudo passwd root
```
出力例を次に示します。
```
Changing password for user root.
New password:
```
1. `New password` のプロンプトに従って、新しいパスワードを入力してください。
1. プロンプトに従って、パスワードを再入力してください。
# EC2 シリアルコンソールに接続する
Amazon EC2 コンソールまたは SSH を使用して EC2 インスタンスのシリアルコンソールに接続できます。シリアルコンソールに接続したら、起動、ネットワーク設定、およびその他の問題のトラブルシューティングに使用できます。トラブルシューティングの詳細については「[EC2 シリアルコンソールを使用して Amazon EC2 インスタンスをトラブルシューティングする](troubleshoot-using-serial-console.md)」を参照してください。
**考慮事項**
+ インスタンスごとにサポートされるアクティブなシリアルコンソール接続は 1 つだけです。
+ シリアルコンソール接続は[ユーザーが解除](disconnect-serial-console-session.md)しない限り、通常 1 時間継続します。ただし、システムメンテナンス中はAmazon EC2 によりシリアルコンソールのセッションが切断されます。
接続の期間は、IAM 認証情報の期間によって決定されません。IAM 認証情報の有効期限が切れても、シリアルコンソール接続の最大期間に達するまで接続は維持されます。EC2 シリアルコンソールコンソールエクスペリエンスを使用しているときに IAM 認証情報の有効期限が切れた場合は、ブラウザページを閉じて接続を終了します。
+ シリアルコンソールから切断した後、新しいセッションを許可するためにセッションを終了処理するには30 秒かかります。
+ サポートされているシリアルコンソールポート: `ttyS0` (Linux インスタンス) および `COM1` (Windows インスタンス)
+ シリアルコンソールに接続すると、インスタンスのスループットがわずかに低下することがあります。
**Topics**
+ [ブラウザベースのクライアントを使用した接続](#sc-connect-browser-based-client)
+ [独自のキーと SSH クライアントを使用して接続する](#sc-connect-SSH)
+ [EC2 シリアルコンソールエンドポイントとフィンガープリント](#sc-endpoints-and-fingerprints)
## ブラウザベースのクライアントを使用した接続
ブラウザベースのクライアントを使用して、EC2 インスタンスのシリアルコンソールに接続できます。これを行うにはAmazon EC2 コンソールでインスタンスを選択し、シリアルコンソールへの接続を選択してください。ブラウザベースのクライアントはアクセス権限を処理し、正常な接続を提供します。
EC2 シリアルコンソールはほとんどのブラウザで動作し、キーボードとマウスの入力をサポートしています。
接続する前に、[前提条件](ec2-serial-console-prerequisites.md)を満たしていることを確認してください。
**ブラウザベースのクライアントを使用してインスタンスのシリアルポートに接続するには (Amazon EC2 コンソール)**
1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。
1. ナビゲーションペインで、[**インスタンス**] を選択してください。
1. インスタンスを選択し、**[Actions]** (アクション)、**[Monitor and troubleshoot]** (モニタリングとトラブルシューティング)、**[EC2 Serial Console]** (EC2 シリアルコンソール)、**[Connect]** (接続) の順に選択してください。
またはインスタンスを選択し、**[Connect]** (接続)、**[EC2 Serial Console]** (EC2 シリアルコンソール)、**[Connect]** (接続) の順に選択してください。
ブラウザ内ターミナルウィンドウが開きます。
1. **Enter** キーを押します。ログインプロンプトが返された場合はシリアルコンソールに接続されています。
画面が黒いままの場合はシリアルコンソールへの接続に関する問題の解決に役立てるために次の情報を使用できます。
+ **シリアルコンソールへのアクセスが設定されていることを確認します。**詳細については「[EC2 シリアルコンソールへのアクセスを設定する](configure-access-to-serial-console.md)」を参照してください。
+ (Linux インスタンスのみ) **SysRq を使用してシリアルコンソールに接続します。**SysRq ではブラウザベースのクライアント経由で接続する必要はありません。詳細については「[(Linux インスタンス) SysRq を使用してインスタンスをトラブルシューティングするSysRq (Linux)](troubleshoot-using-serial-console.md#SysRq)」を参照してください。
+ (Linux インスタンスのみ) **getty を再起動します。**インスタンスへの SSH アクセスがある場合はSSH を使用してインスタンスに接続し、次のコマンドを使用して getty を再起動します。
```
[ec2-user ~]$ sudo systemctl restart serial-getty@ttyS0
```
+ **インスタンスを再起動します。**SysRq (Linux インスタンス)、EC2 コンソール、または AWS CLI を使用することで、インスタンスを再起動できます。詳細については「[(Linux インスタンス) SysRq を使用してインスタンスをトラブルシューティングするSysRq (Linux)](troubleshoot-using-serial-console.md#SysRq)」(Linux インスタンス) または「[Amazon EC2 インスタンスを再起動する](ec2-instance-reboot.md)」を参照してください。
1. (Linux インスタンスのみ) `login` プロンプトで、[前に設定した](configure-access-to-serial-console.md#set-user-password)パスワードベースのユーザーのユーザー名を入力し、**Enter** キーを押します。
1. (Linux インスタンスのみ) `Password` プロンプトで、パスワードを入力し、**Enter** を押します。
## 独自のキーと SSH クライアントを使用して接続する
シリアルコンソール API の使用中に、独自の SSH キーを使用して、選択した SSH クライアントからインスタンスに接続できます。これにより、インスタンスにパブリックキーをプッシュするシリアルコンソール機能を活用できます。
SSH キーをインスタンスにプッシュした後は、SSH 接続は、ユーザーに EC2 シリアルコンソールアクセスを許可するように設定した IAM ポリシーの対象ではなくなります。
**[開始する前に]**
[前提条件](ec2-serial-console-prerequisites.md)が満たされていることを確認します。
**SSH を使用してインスタンスのシリアルコンソールに接続するには**
1. **SSH パブリックキーをインスタンスにプッシュして、シリアルコンソールのセッションを開始する**
[send-serial-console-ssh-public-key](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/send-serial-console-ssh-public-key.html) コマンドを使用して、SSH パブリックキーをインスタンスにプッシュします。これにより、シリアルコンソールのセッションが開始されます。
このインスタンスについてシリアルコンソールのセッションが既に開始されている場合、一度に 1 つのセッションしか開くことができないため、コマンドは失敗します。シリアルコンソールから切断した後、新しいセッションを許可するためにセッションを終了処理するには30 秒かかります。
```
aws ec2-instance-connect send-serial-console-ssh-public-key \
--instance-id i-001234a4bf70dec41EXAMPLE \
--serial-port 0 \
--ssh-public-key file://my_key.pub \
--region us-east-1
```
1.
**プライベートキーを使用してシリアルコンソールに接続する**
パブリックキーをシリアルコンソールサービスから削除する前に、**ssh** コマンドを使用してシリアルコンソールに接続します。削除されるまで 60 秒かかります。
パブリックキーに対応するプライベートキーを使用します。
ユーザー名の形式は `instance-id.port0` であり、これはインスタンス ID とポート 0 で構成されます。次の例ではユーザー名は `i-001234a4bf70dec41EXAMPLE.port0` です。
シリアルコンソールサービスのエンドポイントはリージョンごとに異なります。各リージョンのエンドポイントについては[EC2 シリアルコンソールエンドポイントとフィンガープリント](#sc-endpoints-and-fingerprints) の表を参照してください。次の例ではシリアルコンソールサービスが *us-east-1* リージョンにあります。
```
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
```
次の例では、`timeout 3600` を使用して SSH セッションが 1 時間後に終了するように設定します。セッション中に開始されたプロセスは、セッション終了後もインスタンスで実行し続ける場合があります。
```
timeout 3600 ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
```
1.
**(オプション) フィンガープリントを検証する**
シリアルコンソールの初回接続時に、フィンガープリントを検証するように求めるメッセージが表示されます。シリアルコンソールのフィンガープリントと、検証のために表示されるフィンガープリントを比較できます。これらのフィンガープリントが一致しない場合、「中間者 (MITM) 」攻撃を受けている可能性があります。一致する場合は確信をもってシリアルコンソールに接続できます。
次のフィンガープリントはus-east-1 リージョンのシリアルコンソールサービス用です。各リージョンのフィンガープリントについては[EC2 シリアルコンソールエンドポイントとフィンガープリント](#sc-endpoints-and-fingerprints) をご参照ください。
```
SHA256:dXwn5ma/xadVMeBZGEru5l2gx+yI5LDiJaLUcz0FMmw
```
フィンガープリントはシリアルコンソールへの初回接続時のみ表示されます。
1. **Enter** キーを押します。プロンプトが返された場合はシリアルコンソールに接続されています。
画面が黒いままの場合はシリアルコンソールへの接続に関する問題の解決に役立てるために次の情報を使用できます。
+ **シリアルコンソールへのアクセスが設定されていることを確認します。**詳細については「[EC2 シリアルコンソールへのアクセスを設定する](configure-access-to-serial-console.md)」を参照してください。
+ (Linux インスタンスのみ) **SysRq を使用してシリアルコンソールに接続します。**SysRq ではSSH 経由で接続する必要はありません。詳細については「[(Linux インスタンス) SysRq を使用してインスタンスをトラブルシューティングするSysRq (Linux)](troubleshoot-using-serial-console.md#SysRq)」を参照してください。
+ (Linux インスタンスのみ) **getty を再起動します。**インスタンスへの SSH アクセスがある場合はSSH を使用してインスタンスに接続し、次のコマンドを使用して getty を再起動します。
```
[ec2-user ~]$ sudo systemctl restart serial-getty@ttyS0
```
+ **インスタンスを再起動します。**SysRq (Linux インスタンスのみ)、EC2 コンソール、または AWS CLI を使用することで、インスタンスを再起動できます。詳細については「[(Linux インスタンス) SysRq を使用してインスタンスをトラブルシューティングするSysRq (Linux)](troubleshoot-using-serial-console.md#SysRq)」(Linux インスタンスのみ) または 「[Amazon EC2 インスタンスを再起動する](ec2-instance-reboot.md)」を参照してください。
1. (Linux インスタンスのみ) `login` プロンプトで、[前に設定した](configure-access-to-serial-console.md#set-user-password)パスワードベースのユーザーのユーザー名を入力し、**Enter** キーを押します。
1. (Linux インスタンスのみ) `Password` プロンプトで、パスワードを入力し、**Enter** を押します。
## EC2 シリアルコンソールエンドポイントとフィンガープリント
EC2 シリアルコンソールのサービスエンドポイントとフィンガープリントは次のとおりです。インスタンスのシリアルコンソールにプログラムで接続するにはEC2 シリアルコンソールエンドポイントを使用します。EC2 シリアルコンソールエンドポイントとフィンガープリントはAWS リージョンごとに一意です。
| リージョン名 | リージョン | エンドポイント | Fingerprint |
| --- | --- | --- | --- |
| 米国東部 (オハイオ) | us-east-2 | serial-console.ec2-instance-connect.us-east-2.aws | SHA256:EhwPkTzRtTY7TRSzz26XbB0/HvV9jRM7mCZN0xw/d/0 |
| 米国東部 (バージニア北部) | us–east–1 | serial-console.ec2-instance-connect.us-east-1.aws | SHA256:dXwn5ma/xadVMeBZGEru5l2gx\$1yI5LDiJaLUcz0FMmw |
| 米国西部(北カリフォルニア) | us-west-1 | serial-console.ec2-instance-connect.us-west-1.aws | SHA256:OHldlcMET8u7QLSX3jmRTRAPFHVtqbyoLZBMUCqiH3Y |
| 米国西部 (オレゴン) | us-west-2 | serial-console.ec2-instance-connect.us-west-2.aws | SHA256:EMCIe23TqKaBI6yGHainqZcMwqNkDhhAVHa1O2JxVUc |
| アフリカ (ケープタウン) | af-south-1 | ec2-serial-console.af-south-1.api.aws | SHA256:RMWWZ2fVePeJUqzjO5jL2KIgXsczoHlz21Ed00biiWI |
| アジアパシフィック (香港) | ap-east-1 | ec2-serial-console.ap-east-1.api.aws | SHA256:T0Q1lpiXxChoZHplnAkjbP7tkm2xXViC9bJFsjYnifk |
| アジアパシフィック (ハイデラバード) | ap-south-2 | ec2-serial-console.ap-south-2.api.aws | SHA256:WJgPBSwV4/shN\$1OPITValoewAuYj15DVW845JEhDKRs |
| アジアパシフィック (ジャカルタ) | ap-southeast-3 | ec2-serial-console.ap-southeast-3.api.aws | SHA256:5ZwgrCh\$1lfns32XITqL/4O0zIfbx4bZgsYFqy3o8mIk |
| アジアパシフィック (マレーシア) | ap-southeast-5 | ec2-serial-console.ap-southeast-5.api.aws | SHA256:cQXTHQMRcqRdIjmAGoAMBSExeoRobYyRwT67yTjnEiA |
| アジアパシフィック (メルボルン) | ap-southeast-4 | ec2-serial-console.ap-southeast-4.api.aws | SHA256:Avaq27hFgLvjn5gTSShZ0oV7h90p0GG46wfOeT6ZJvM |
| アジアパシフィック (ムンバイ) | ap-south-1 | serial-console.ec2-instance-connect.ap-south-1.aws | SHA256:oBLXcYmklqHHEbliARxEgH8IsO51rezTPiSM35BsU40 |
| アジアパシフィック (大阪) | ap-northeast-3 | ec2-serial-console.ap-northeast-3.api.aws | SHA256:Am0/jiBKBnBuFnHr9aXsgEV3G8Tu/vVHFXE/3UcyjsQ |
| アジアパシフィック (ソウル) | ap-northeast-2 | serial-console.ec2-instance-connect.ap-northeast-2.aws | SHA256:FoqWXNX\$1DZ\$1\$1GuNTztg9PK49WYMqBX\$1FrcZM2dSrqrI |
| アジアパシフィック (シンガポール) | ap-southeast-1 | serial-console.ec2-instance-connect.ap-southeast-1.aws | SHA256:PLFNn7WnCQDHx3qmwLu1Gy/O8TUX7LQgZuaC6L45CoY |
| アジアパシフィック (シドニー) | ap-southeast-2 | serial-console.ec2-instance-connect.ap-southeast-2.aws | SHA256:yFvMwUK9lEUQjQTRoXXzuN\$1cW9/VSe9W984Cf5Tgzo4 |
| アジアパシフィック (タイ) | ap-southeast-7 | ec2-serial-console.ap-southeast-7.api.aws | SHA256:KCAZiRYrR1Q2lqsg7vTwixWmvc2wmjVT31XRgSdEfDY |
| アジアパシフィック (東京) | ap-northeast-1 | serial-console.ec2-instance-connect.ap-northeast-1.aws | SHA256:RQfsDCZTOfQawewTRDV1t9Em/HMrFQe\$1CRlIOT5um4k |
| カナダ (中部) | ca-central-1 | serial-console.ec2-instance-connect.ca-central-1.aws | SHA256:P2O2jOZwmpMwkpO6YW738FIOTHdUTyEv2gczYMMO7s4 |
| カナダ西部 (カルガリー) | ca-west-1 | ec2-serial-console.ca-west-1.api.aws | SHA256:s3rc8lI2xhbhr3iedjJNxGAFLPGOLjx7IxxXrGckk6Q |
| 中国 (北京) | cn-north-1 | ec2-serial-console---cn-north-1---api.amazonwebservices.com.rproxy.govskope.ca.cn | SHA256:2gHVFy4H7uU3\$1WaFUxD28v/ggMeqjvSlgngpgLgGT\$1Y |
| 中国 (寧夏) | cn-northwest-1 | ec2-serial-console---cn-northwest-1---api.amazonwebservices.com.rproxy.govskope.ca.cn | SHA256:TdgrNZkiQOdVfYEBUhO4SzUA09VWI5rYOZGTogpwmiM |
| 欧州 (フランクフルト) | eu-central-1 | serial-console.ec2-instance-connect.eu-central-1.aws | SHA256:aCMFS/yIcOdOlkXvOl8AmZ1Toe\$1bBnrJJ3Fy0k0De2c |
| 欧州 (アイルランド) | eu-west-1 | serial-console.ec2-instance-connect.eu-west-1.aws | SHA256:h2AaGAWO4Hathhtm6ezs3Bj7udgUxi2qTrHjZAwCW6E |
| 欧州 (ロンドン) | eu-west-2 | serial-console.ec2-instance-connect.eu-west-2.aws | SHA256:a69rd5CE/AEG4Amm53I6lkD1ZPvS/BCV3tTPW2RnJg8 |
| 欧州 (ミラノ) | eu-south-1 | ec2-serial-console.eu-south-1.api.aws | SHA256:lC0kOVJnpgFyBVrxn0A7n99ecLbXSX95cuuS7X7QK30 |
| 欧州 (パリ) | eu-west-3 | serial-console.ec2-instance-connect.eu-west-3.aws | SHA256:q8ldnAf9pymeNe8BnFVngY3RPAr/kxswJUzfrlxeEWs |
| 欧州 (スペイン) | eu-south-2 | ec2-serial-console.eu-south-2.api.aws | SHA256:GoCW2DFRlu669QNxqFxEcsR6fZUz/4F4n7T45ZcwoEc |
| 欧州 (ストックホルム) | eu-north-1 | serial-console.ec2-instance-connect.eu-north-1.aws | SHA256:tkGFFUVUDvocDiGSS3Cu8Gdl6w2uI32EPNpKFKLwX84 |
| 欧州 (チューリッヒ) | eu-central-2 | ec2-serial-console.eu-central-2.api.aws | SHA256:8Ppx2mBMf6WdCw0NUlzKfwM4/IfRz4OaXFutQXWp6mk |
| イスラエル (テルアビブ) | il-central-1 | ec2-serial-console.il-central-1.api.aws | SHA256:JR6q8v6kNNPi8\$1QSFQ4dj5dimNmZPTgwgsM1SNvtYyU |
| メキシコ (中部) | mx-central-1 | ec2-serial-console.mx-central-1.api.aws | SHA256:BCuVl13iQNk\$1CcVnt18Ef4p2ZHUrBBAOxlFetB32GS0 |
| 中東 (バーレーン) | me-south-1 | ec2-serial-console.me-south-1.api.aws | SHA256:nPjLLKHu2QnLdUq2kVArsoK5xvPJOMRJKCBzCDqC3k8 |
| 中東 (アラブ首長国連邦) | me-central-1 | ec2-serial-console.me-central-1.api.aws | SHA256:zpb5duKiBZ\$1l0dFwPeyykB4MPBYhI/XzXNeFSDKBvLE |
| 南米 (サンパウロ) | sa-east-1 | serial-console.ec2-instance-connect.sa-east-1.aws | SHA256:rd2\$1/32Ognjew1yVIemENaQzC\$1Botbih62OqAPDq1dI |
| AWS GovCloud (米国東部) | us-gov-east-1 | serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com | SHA256:tIwe19GWsoyLClrtvu38YEEh\$1DHIkqnDcZnmtebvF28 |
| AWS GovCloud (米国西部) | us-gov-west-1 | serial-console.ec2-instance-connect.us-gov-west-1.amazonaws.com | SHA256:kfOFRWLaOZfB\$1utbd3bRf8OlPf8nGO2YZLqXZiIw5DQ |
# EC2 シリアルコンソールからの切断
インスタンスの EC2 シリアルコンソール に接続する必要がなくなった場合は接続を切断できます。シリアルコンソールとの接続を切断しても、インスタンスで実行中のすべてのシェルセッションは引き続き実行されます。シェルセッションを終了したい場合はシリアルコンソールとの接続を切断する前に、そのセッションを終了しておく必要があります。
**考慮事項**
+ シリアルコンソール接続はユーザーが解除しない限り、通常 1 時間継続します。ただし、システムメンテナンス中はAmazon EC2 によりシリアルコンソールのセッションが切断されます。
+ シリアルコンソールから切断した後、新しいセッションを許可するためにセッションを終了処理するには30 秒かかります。
シリアルコンソールとの接続解除の方法はクライアントによって異なります。
**ブラウザベースのクライアント**
シリアルコンソールから切断するにはシリアルコンソールのブラウザ内ターミナルウィンドウを閉じます。
**標準 OpenSSH クライアント**
シリアルコンソールから切断するには次のコマンドを使用して SSH 接続を閉じます。このコマンドは新しい行の直後に実行する必要があります。
```
~.
```
SSH 接続を閉じるために使用するコマンドは使用している SSH クライアントによって異なる場合があります。
# EC2 シリアルコンソールを使用して Amazon EC2 インスタンスをトラブルシューティングする
EC2 シリアルコンソールを使用して、インスタンスのシリアルポートに接続することで、起動、ネットワーク設定、およびその他の問題をトラブルシューティングできます。
インスタンスのオペレーティングシステムと、インスタンスで設定したツールの手順を使用します。
**Topics**
+ [GRUB (Linux)](#grub)
+ [SysRq (Linux)](#SysRq)
+ [SAC (Windows)](#troubleshooting-sac)
**前提条件**
始める前に、選択したトラブルシューティングツールの設定など、[前提条件](ec2-serial-console-prerequisites.md)を満たしていることを確認してください。
## (Linux インスタンス) GRUB を使用してインスタンスをトラブルシューティングする
GNU GRUB (GNU GRand Unified Bootloader の略。一般に GRUB と呼ばれます) はほとんどの Linux オペレーティングシステムのデフォルトのブートローダーです。GRUB メニューから、起動先のカーネルを選択したり、メニューエントリを変更してカーネルの起動方法を変更したりできます。これは障害が発生したインスタンスをトラブルシューティングする際に役立ちます。
GRUB メニューはブートプロセス中に表示されます。通常の SSH ではメニューにアクセスできませんが、EC2 シリアルコンソールからアクセスできます。
シングルユーザーモードまたは緊急モードで起動できます。シングルユーザーモードではカーネルを低めの実行レベルで起動します。例えば、ファイルシステムをマウントしても、ネットワークをアクティブ化しない場合があり、インスタンスの修正に必要なメンテナンスを実行することができます。緊急モードはシングルユーザーモードと似ていますが、カーネルは可能な限り低い実行レベルで実行される点が異なります。
**シングルユーザーモードで起動するには**
1. インスタンスのシリアルコンソールに[接続](connect-to-serial-console.md)します。
1. 次のコマンドを実行して、インスタンスを再起動します。
```
[ec2-user ~]$ sudo reboot
```
1. 再起動時に GRUB メニューが表示されたら、任意のキーを押してブートプロセスを停止します。
1. GRUB メニューで、矢印キーを使用して起動先のカーネルを選択し、キーボードの `e` を押します。
1. 矢印キーを使用して、カーネルを含む行にカーソルを置きます。行はインスタンスの起動に使用された AMI に応じて、`linux` または `linux16` のいずれかで始まります。Ubuntu の場合、2 つの行は `linux` で始まります。どちらも次のステップで変更する必要があります。
1. 行の最後に、単語 `single` を追加します。
Amazon Linux 2 の例を次に示します。
```
linux /boot/vmlinuz-4.14.193-149.317.amzn2.aarch64 root=UUID=d33f9c9a-\
dadd-4499-938d-ebbf42c3e499 ro console=tty0 console=ttyS0,115200n8 net.ifname\
s=0 biosdevname=0 nvme_core.io_timeout=4294967295 rd.emergency=poweroff rd.she\
ll=0 single
```
1. シングルユーザーモードで起動するには**Ctrl\$1X** キーを押します。
1. `login` プロンプトで、[前に設定した](configure-access-to-serial-console.md#set-user-password)パスワードベースのユーザーのユーザー名を入力し、**Enter** キーを押します。
1. `Password` プロンプトで、パスワードを入力し、**Enter** キーを押します。
**緊急モードで起動するには**
シングルユーザーモードと同じ手順に従い、ステップ 6 で `single` の代わりに `emergency` という単語を追加します。
## (Linux インスタンス) SysRq を使用してインスタンスをトラブルシューティングする
システムリクエスト (SysRq) キーは「マジック SysRq」とも呼ばれ、シェルの外部でカーネルにコマンドを直接送信するために使用でき、カーネルが何をしているかにかかわらず、カーネルは応答します。例えば、インスタンスが応答を停止した場合、SysRq キーを使用して、カーネルにクラッシュまたは再起動するように指示できます。詳細についてはWikipedia の「[マジック SysRq キー](https://en.wikipedia.org/wiki/Magic_SysRq_key)」を参照してください。
SysRq コマンドはEC2 シリアルコンソールブラウザベースのクライアントまたは SSH クライアントで使用できます。中断リクエストを送信するコマンドはクライアントごとに異なります。
SysRq を使用するには使用しているクライアントに基づいて、次のいずれかの手順を選択してください。
------
#### [ Browser-based client ]
**シリアルコンソールのブラウザベースのクライアントで SysRq を使用するには**
1. インスタンスのシリアルコンソールに[接続](connect-to-serial-console.md)します。
1. 中断リクエストを送信するには`CTRL+0` (ゼロ) を押します。キーボードがサポートしている場合はPause キーまたは Break キーを使用して中断リクエストを送信することもできます。
```
[ec2-user ~]$ CTRL+0
```
1. SysRq コマンドを発行するには必要なコマンドに対応するキーボードのキーを押します。例えば、SysRq コマンドのリストを表示するには`h` を押します。
```
[ec2-user ~]$ h
```
`h` コマンドは次のような内容を出力します。
```
[ 1169.389495] sysrq: HELP : loglevel(0-9) reboot(b) crash(c) terminate-all-tasks(e) memory-full-oom-kill(f) kill-all-tasks(i) thaw-filesystems
(j) sak(k) show-backtrace-all-active-cpus(l) show-memory-usage(m) nice-all-RT-tasks(n) poweroff(o) show-registers(p) show-all-timers(q) unraw(r
) sync(s) show-task-states(t) unmount(u) show-blocked-tasks(w) dump-ftrace-buffer(z)
```
------
#### [ SSH client ]
**SSH クライアントで SysRq を使用するには**
1. インスタンスのシリアルコンソールに[接続](connect-to-serial-console.md)します。
1. 中断リクエストを送信するには`~B` (チルダ、その後に大文字の `B`) を押します。
```
[ec2-user ~]$ ~B
```
1. SysRq コマンドを発行するには必要なコマンドに対応するキーボードのキーを押します。例えば、SysRq コマンドのリストを表示するには`h` を押します。
```
[ec2-user ~]$ h
```
`h` コマンドは次のような内容を出力します。
```
[ 1169.389495] sysrq: HELP : loglevel(0-9) reboot(b) crash(c) terminate-all-tasks(e) memory-full-oom-kill(f) kill-all-tasks(i) thaw-filesystems
(j) sak(k) show-backtrace-all-active-cpus(l) show-memory-usage(m) nice-all-RT-tasks(n) poweroff(o) show-registers(p) show-all-timers(q) unraw(r
) sync(s) show-task-states(t) unmount(u) show-blocked-tasks(w) dump-ftrace-buffer(z)
```
**注記**
中断リクエストの送信に使用するコマンドは使用している SSH クライアントによって異なる場合があります。
------
## (Windows インスタンス) SAC を使用してインスタンスをトラブルシューティングする
Windows の Special Admin Console (SAC) 機能を使用して、Windows インスタンスをトラブルシューティングできます。インスタンスのシリアルコンソールに接続して SAC を使用すると、ブートプロセスを中断し、Windows をセーフモードで起動できます。
**注記**
インスタンスで SAC を有効にすると、パスワードの取得に依存する EC2 サービスは Amazon EC2 コンソールから操作できません。Amazon EC2 起動エージェント (EC2Config、EC2Launch v1、EC2Launch v2) での Windowsはシリアルコンソールを使用してさまざまなタスクを実行します。インスタンスで SAC を有効にすると、これらのタスクは正常に実行されません。Amazon EC2 の起動エージェント上の Windows の詳細については「[Amazon EC2 Windows インスタンスの設定](ec2-windows-instances.md)」を参照してください。SAC を有効にする場合は後で無効にすることができます。詳細については「[SAC とブートメニューを無効にする](#disable-sac-bootmenu)」を参照してください。
**Topics**
+ [SAC を使用する](#use-sac)
+ [ブートメニューを使用する](#use-boot-menu)
+ [SAC とブートメニューを無効にする](#disable-sac-bootmenu)
### SAC を使用する
**SAC を使用するには**
1. [シリアルコンソールに接続します。](connect-to-serial-console.md)
インスタンスで SAC が有効になっている場合、シリアルコンソールには `SAC>` プロンプトが表示されます。
![\[シリアルコンソールにSAC プロンプトが表示されます。\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/images/win-boot-3.png)
1. SAC コマンドを表示するには と入力し、 **Enter**.を押します。
正常な出力
![\[疑問符を入力して SAC コマンドを表示します。\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/images/win-boot-4.png)
1. コマンドプロンプトチャネル `cmd0001` やなど `cmd0002`を作成するには と入力し、 **Enter**.を押します。
1. コマンドプロンプトチャネルを表示するには**ESC** を押してから **TAB** を押します。
正常な出力
![\[コマンドプロンプトチャネル。\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/images/win-boot-5.png)
1. チャネルを切り替えるには**ESC \$1 TAB \$1 チャネル番号**を同時に押します。例えば、`cmd0002` チャネルに切り替えるには (チャネルが作成されている場合)、**ESC \$1 TAB \$1 2** を押します。
1. コマンドプロンプトチャネルに必要な認証情報を入力してください。
![\[コマンドプロンプトで認証情報が要求されます。\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/images/win-boot-6.png)
コマンドプロンプトは既に出力された文字の読み取りを許可しない点を除いて、デスクトップ上で取得するのと同じフル機能のコマンドシェルです。
![\[フル機能のコマンドシェル。\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/images/win-boot-7.png)
**PowerShell はコマンドプロンプトからも使用できます。**
進行状況の詳細設定をサイレントモードに設定する必要がある場合があります。
![\[コマンドプロンプト内の PowerShell。\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/images/win-boot-8.png)
### ブートメニューを使用する
インスタンスでブートメニューが有効になっていて、SSH 経由で接続した後に再起動した場合は次のようにブートメニューが表示されます。
![\[コマンドプロンプトのブートメニュー。\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/images/win-boot-1.png)
**ブートメニューのコマンド**
ENTER
オペレーティングシステムの選択したエントリを開始します。
TAB
[Tools] (ツール) メニューに切り替えます。
ESC
インスタンスをキャンセルして再起動します。
ESC、その後に 8
[**F8**] を押す操作に相当します。選択した項目の詳細オプションを表示します。
ESC キー \$1 左矢印
最初のブートメニューに戻ります。
ESC キーだけではWindows がエスケープシーケンスが進行中かどうかを確認するために待機しているため、メインメニューに戻ることはありません。
![\[高度なブートオプション。\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/images/win-boot-2.png)
### SAC とブートメニューを無効にする
SAC とブートメニューを有効にする場合、これらの機能を後で無効にできます。
インスタンスで SAC とブートメニューを無効にするには次のいずれかの方法を使用します。
------
#### [ PowerShell ]
**Windows インスタンスで SAC とブートメニューを無効にするには**
1. インスタンスに[接続](connecting_to_windows_instance.md)し、昇格された PowerShell コマンドラインから以下の手順を実行します。
1. まず、値を `no` に変更して、ブートメニューを無効にします。
```
bcdedit /set '{bootmgr}' displaybootmenu no
```
1. その後、値を `off` に変更して SAC を無効にします。
```
bcdedit /ems '{current}' off
```
1. インスタンスを再起動して、更新された設定を適用します。
```
shutdown -r -t 0
```
------
#### [ Command prompt ]
**Windows インスタンスで SAC とブートメニューを無効にするには**
1. インスタンスに[接続](connecting_to_windows_instance.md)し、コマンドプロンプトから次の手順を実行します。
1. まず、値を `no` に変更して、ブートメニューを無効にします。
```
bcdedit /set {bootmgr} displaybootmenu no
```
1. その後、値を `off` に変更して SAC を無効にします。
```
bcdedit /ems {current} off
```
1. インスタンスを再起動して、更新された設定を適用します。
```
shutdown -r -t 0
```
------
# 診断割り込みを送信して到達不能の Amazon EC2 インスタンスをデバッグする
**警告**
診断割り込みは上級ユーザーが使用することを目的としています。不適切な使用はインスタンスに悪影響を与える可能性があります。診断割り込みをインスタンスに送信すると、インスタンスがクラッシュして再起動し、データが失われる可能性があります。
到達できない、または応答しないインスタンスに診断割り込みを送信して、Linux インスタンスのカーネルパニック、または Windows インスタンスの*停止エラー* (通称*ブルースクリーンエラー*) を手動でトリガーできます。
**Linux インスタンス**
Linux オペレーティングシステムは一般的に、カーネルパニックが発生するとクラッシュして再起動されます。ただし、オペレーティングシステムの具体的な動作は設定によって異なります。カーネルパニックはインスタンスのオペレーティングシステムカーネルでクラッシュダンプファイルの生成などのタスクを実行するためにも使用できます。このクラッシュダンプファイル内の情報を使用すると、根本原因解析を実施してインスタンスのデバッグを行うことができます。クラッシュダンプデータはインスタンスの代わりにオペレーティングシステムによってローカルで生成されます。
**Windows インスタンス**
一般的に、Windows オペレーティングシステムは停止エラーが発生するとクラッシュして再起動されますが、具体的な動作は設定によって異なります。停止エラーが発生すると、オペレーティングシステムからカーネルメモリダンプなどのデバッグ情報がファイルに出力されることもあります。この情報を使用すると、根本原因解析を実施してインスタンスのデバッグを行うことができます。メモリダンプデータはインスタンスの代わりにオペレーティングシステムによってローカルで生成されます。
インスタンスに診断割り込みを送信する前に、OS のドキュメントを参照し、必要な設定変更を行うことをお勧めします。
**Topics**
+ [サポートされるインスタンスタイプ](#diagnostic-interrupt-instances)
+ [前提条件](#diagnostic-interrupt-prereqs)
+ [診断割り込みの送信](#diagnostic-interrupt-use)
## サポートされるインスタンスタイプ
診断割り込みはNitro ベースのすべてのインスタンスタイプでサポートされます。ただし、AWS Graviton プロセッサで動作するものを除きます。詳細については「[Instances built on the AWS Nitro System](https://docs.aws.amazon.com/ec2/latest/instancetypes/ec2-nitro-instances.html)」と「[AWS Graviton](https://aws.amazon.com/ec2/graviton/)」を参照してください。
## 前提条件
診断割り込みを使用する前に、インスタンスのオペレーティングシステムを設定する必要があります。こうすることで、カーネルパニック (Linux インスタンス) または停止エラー (Windows インスタンス) の発生時に必要なアクションが実行されるようになります。
### Linux インスタンス
**カーネルパニックの発生時にクラッシュダンプが生成されるように Amazon Linux 2 または Amazon Linux 2023 を設定するには**
1. インスタンスに接続します。
1. **kexec** と **kdump** をインストールします。
```
[ec2-user ~]$ sudo yum install kexec-tools -y
```
1. セカンダリカーネル用に適切な量のメモリが予約されるようにカーネルを設定します。予約するメモリの量はインスタンスで使用可能な合計メモリによって異なります。適切なテキストエディタを使用して `/etc/default/grub` ファイルを開き、`GRUB_CMDLINE_LINUX_DEFAULT` から始まる行を見つけて、`crashkernel` という形式で `crashkernel=memory_to_reserve` パラメータを追加します。例えば、`256MB` を予約するには`grub` ファイルを次のように変更します。
```
GRUB_CMDLINE_LINUX_DEFAULT="crashkernel=256M console=tty0 console=ttyS0,115200n8 net.ifnames=0 biosdevname=0 nvme_core.io_timeout=4294967295 rd.emergency=poweroff rd.shell=0"
GRUB_TIMEOUT=0
GRUB_DISABLE_RECOVERY="true"
```
1. 変更内容を保存し、`grub` ファイルを閉じます。
1. GRUB2 設定ファイルを再構築します。
```
[ec2-user ~]$ sudo grub2-mkconfig -o /boot/grub2/grub.cfg
```
1. Intel および AMD プロセッサをベースとしたインスタンスの場合、`send-diagnostic-interrupt` コマンドを実行すると *不明なマスク不可割り込み* (NMI、unknown non-maskable interrupt) がインスタンスに送信されます。不明な NMI を受信した際にはクラッシュするようにカーネルを設定しておく必要があります。適切なテキストエディタを使用して `/etc/sysctl.conf` ファイルを開き、以下を追加します。
```
kernel.unknown_nmi_panic=1
```
1. インスタンスを再起動して再接続します。
1. 正しい`crashkernel` パラメータを使用してカーネルが起動されていることを確認します。
```
$ grep crashkernel /proc/cmdline
```
次の出力例は適切な設定を示しています。
```
BOOT_IMAGE=/boot/vmlinuz-4.14.128-112.105.amzn2.x86_64 root=UUID=a1e1011e-e38f-408e-878b-fed395b47ad6 ro crashkernel=256M console=tty0 console=ttyS0,115200n8 net.ifnames=0 biosdevname=0 nvme_core.io_timeout=4294967295 rd.emergency=poweroff rd.shell=0
```
1. **kdump** サービスが実行中であることを確認します。
```
[ec2-user ~]$ systemctl status kdump.service
```
次の出力例は**kdump** サービスが実行中である場合の結果を示しています。
```
kdump.service - Crash recovery kernel arming
Loaded: loaded (/usr/lib/systemd/system/kdump.service; enabled; vendor preset: enabled)
Active: active (exited) since Fri 2019-05-24 23:29:13 UTC; 22s ago
Process: 2503 ExecStart=/usr/bin/kdumpctl start (code=exited, status=0/SUCCESS)
Main PID: 2503 (code=exited, status=0/SUCCESS)
```
**注記**
デフォルトではクラッシュダンプファイルは `/var/crash/` に保存されます。保存先を変更するには適切なテキストエディタを使用して `/etc/kdump.conf` ファイルを変更します。
**SUSE Linux Enterprise、Ubuntu、または Red Hat Enterprise Linux を設定するには**
Intel および AMD プロセッサをベースとしたインスタンスの場合、`send-diagnostic-interrupt` コマンドを実行すると *不明なマスク不可割り込み* (NMI、unknown non-maskable interrupt) がインスタンスに送信されます。オペレーティングシステムの設定ファイルを調整して、不明な NMI を受信したときにカーネルがクラッシュするように設定する必要があります。カーネルをクラッシュするように設定する方法についてはオペレーティングシステムのドキュメントを参照してください。
+ [SUSE Linux Enterprise](https://www.suse.com/support/kb/doc/?id=3374462)
+ [Ubuntu](https://ubuntu.com/server/docs/kernel-crash-dump)
+ [Red Hat Enterprise Linux (RHEL)](https://access.redhat.com/solutions/6038)
### Windows インスタンス
**停止エラーの発生時に Windows によってメモリダンプが生成されるように設定するには**
1. インスタンスに接続します。
1. [**コントロールパネル**] を開き、[**システム**]、[**システムの詳細設定**] の順に選択してください。
1. [**システムのプロパティ**] ダイアログボックスの [**詳細設定**] タブを選択してください。
1. [**起動と回復**] セクションで、[**設定...**] を選択してください。
1. [**システムエラー**] セクションで必要に応じて設定を行い、[**OK**] を選択してください。
Windows 停止エラーの設定の詳細については「[Overview of memory dump file options for Windows](https://support.microsoft.com/en-us/help/254649/overview-of-memory-dump-file-options-for-windows)」を参照してください。
## 診断割り込みの送信
必要な設定変更を完了したら、AWS CLI または Amazon EC2 API を使用して、診断割り込みをインスタンスに送信できます。
------
#### [ AWS CLI ]
**診断割り込みをインスタンスに送信するには**
[send-diagnostic-interrupt](https://docs.aws.amazon.com/cli/latest/reference/ec2/send-diagnostic-interrupt.html) コマンドを使用します。
```
aws ec2 send-diagnostic-interrupt --instance-id i-1234567890abcdef0
```
------
#### [ PowerShell ]
**診断割り込みをインスタンスに送信するには**
[Send-EC2DiagnosticInterrupt](https://docs.aws.amazon.com/powershell/latest/reference/items/Send-EC2DiagnosticInterrupt.html) コマンドレットを使用します。
```
Send-EC2DiagnosticInterrupt -InstanceId i-1234567890abcdef0
```
------