我来帮你梳理下排查EC2实例自动关机问题需要查看的关键日志和几个排查方向，刚好覆盖你的两个问题：

一、EC2实例本地的系统日志 #

• 实例控制台系统日志：这是EC2虚拟机底层的启动、运行日志，能捕获BIOS、内核初始化、引导过程的关键信息，很多硬件级或系统级的关机原因（比如内核panic、引导失败）都会在这里留下痕迹。你可以在EC2控制台的实例详情页，找到「监控」标签下的「获取系统日志」；也可以用AWS CLI命令快速获取：

  aws ec2 get-console-output --instance-id <你的实例ID>
  

• 操作系统原生日志：
  • Linux实例：重点看/var/log/messages或/var/log/syslog（不同发行版略有差异），这里会记录系统服务启停、进程异常、电源管理操作；另外/var/log/auth.log可以排查是否有异常登录或权限变更触发了关机指令。
  • Windows实例：打开「事件查看器」，定位到「Windows日志 > 系统」，筛选事件ID（比如1074是进程/用户发起的关机，6008是意外关机）；还可以查看「应用程序和服务日志 > Amazon > EC2ConfigService」，了解EC2配置服务的操作记录。

二、AWS服务端的日志（针对CloudFormation部署场景） #

• CloudFormation堆栈事件日志：在CloudFormation控制台的堆栈详情页，查看「事件」标签，这里会逐条记录堆栈部署、更新、销毁的全流程。如果是堆栈本身的配置问题（比如资源依赖错误、参数冲突）导致实例被终止，这里会显示对应的错误信息和事件节点。
• AWS CloudTrail日志：CloudTrail会记录所有针对AWS资源的API调用，包括StopInstances、TerminateInstances这类操作。你可以搜索目标实例ID相关的API请求，查看发起操作的IAM主体（用户/角色）、时间、请求参数，这对排查是否是公司内部自动化脚本或权限策略触发的关机非常有用。
• EC2实例状态历史：在EC2控制台实例详情页的「状态历史记录」里，能看到实例从启动到关机的完整状态 timeline，部分情况下会直接标注状态变更的原因（比如「用户启动的停止」「实例故障」「容量不足」）。

三、针对公司限制的额外排查点 #

• 检查IAM权限与自动化策略：确认部署CloudFormation的角色/用户是否有意外的停止/终止EC2权限；另外看看公司有没有配置基于标签的自动化规则（比如Auto Scaling终止策略、AWS Config合规规则），这类规则可能会自动清理不符合要求的实例。
• 查看AWS Config评估结果：如果公司启用了Config来管控资源合规，某些合规规则可能会自动终止违规实例，你可以在Config控制台查看相关规则的评估记录。

内容的提问来源于stack exchange，提问作者AnonymousAlias