AWS Systems Manager の使用

AWSSystems Manager Run Command は、Linux シェルスクリプトと Windows PowerShell コマンドをターゲットインスタンスで実行するオンデマンドの変更をリモートで安全に実行するのに役立ちます。Run Command コマンドは、AWS IAM サービスの許可から呼び出すことができますが、まずは Amazon EC2 インスタンスをマネージドインスタンスとしてアクティベートし、SSM Agent をマシンにインストールして (デフォルトでインストールされていない場合)、AWS IAM の許可を設定する必要があります。Run Command をオートメーションアクティビティや対応アクティビティに使用する場合は、調査を実行する前に前提条件となるアクティビティを必ず完了してください。

Run Command を含む AWS Systems Manager は、AWS CloudTrail と統合されています。このサービスは、Systems Manager 自体が行った API コールまたは Systems Manager に代わって行われた API コールをキャプチャし、そのログファイルを指定先の Amazon S3 バケットに渡します。AWS CloudTrail が収集した情報を使用して、リクエストの内容、リクエスト元のソース IP アドレス、リクエスト者、リクエスト日時などを確認できます。CloudTrail は、Systems Manager のすべての API アクションのログを作成します。これには、Run Command を使用してコマンドを実行するための API リクエストや、Systems Manager ドキュメントを作成するための API リクエストなどが含まれます。

AWS Systems Manager Run Command サービスを使用して SSM Agent を呼び出し、Linux シェルスクリプトや Windows PowerShell コマンドを実行できます。これらのスクリプトは、Linux Memory Extractor (LIME) カーネルモジュールなどのホストから追加データをキャプチャする特定のツールをロードして実行できます。その後、メモリキャプチャを VPC ネットワーク内のフォレンジック Amazon EC2 インスタンスに転送したり、Amazon S3 バケットに転送して永続的に保存したりできます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

揮発性データのキャプチャ

キャプチャの自動化