[初心者向け]MacからEC2 WindowsへRDP接続してみた

Mac PCからWindowsのイベントログ(EVTX形式)が見たかった時の対処。いろいろ考えるよりAWS上にEC2 Windowsを立ててそこから確認するのが良さそうです。
2020.06.07

こんにちは。オペレーション部の橋本です。
私は普段業務でMac PCを利用していますが、サーバのイベントログを確認する際など、Windowsの環境が欲しくなる時があります。
EC2でWindows Serverを起動し、RDP接続することで解決できたので、同じような状況の方の助けになればと記事にしました。

結論:いろいろ考えるよりEC2 Windows起動するのが簡単

まず、イベントログ(EVTXファイル)を確認する用途であれば、EC2 WindowsへRDP接続して環境を手に入れるのが早かったです。
私は方法を調べる段階で迷走してしまい、スクリプトでCSV出力可能かなど色々な手段を調べていました。
結局チームの先輩に「EC2立てるのが簡単だよ」と教えてもらい、この方法に落ち着いた次第です。

手順

下記のMicrosoftドキュメントを参考にしました。
手順は基本的にWindows標準のリモートデスクトップを利用する際と同じです。


Microsoft Remote Desktopをインストールする

Microsoft Remote Desktop というアプリケーションをインストールします。
Microsoft Remote Desktop以外のお好みのクライアントアプリケーションをインストールいただいても構いません。

EC2を起動する

Windows OSのEC2インスタンスを起動します。新規に起動しても、既存のEC2インスタンスを利用しても、どちらでも構いません。
ただし既存のEC2インスタンスを利用する場合は、下記のいずれかの条件を満たしている必要があることに注意してください。

  • Windowsへログインする際のパスワードを知っている(パスワード復号の手順を実施済みか、OS側でパスワードを変更済み)
  • EC2インスタンスを作成した際に設定したキーペアのファイルを所持している

新規にEC2インスタンスを起動する場合は、下記のドキュメントの手順が参考になります。


新規にインスタンスを起動する場合は、下記の手順は必ず実施してください。
実施しなかった場合、インスタンスへ接続できなくなります。

キーペアの入力を求められたら、[Choose an existing key pair] を選択し、セットアップ中に作成したキーペアを選択します。

新しいキーペアを作成することもできます。[Create a new key pair] を選択し、キーペアの名前を入力してから、[Download Key Pair] を選択します。秘密キーファイルはこのときしか保存できないため、必ずダウンロードしてください。プライベートキーファイルを安全な場所に保存します。インスタンスと対応するプライベートキーの起動時には、毎回インスタンスに接続するたびに、キーペアの名前を入力する必要があります。

RDP接続用のパスワードを取得する

※既にパスワードがわかっている場合は、この手順は不要です。「EC2へ接続する」までジャンプしてください。

EC2インスタンスの起動が完了したら、インスタンスへログインするために使用するパスワードを取得します。
対象のインスタンスを選択し、[アクション]-[Windows パスワードの取得]をクリックします。

[ファイルを選択]から、作成したキーペアファイルを選択します。
[パスワードの復号]をクリックします。

「パスワードの復号に成功しました」のメッセージと、リモートログインのための接続情報が表示されます。表示された接続情報をメモしておきます。
Windows OSの場合、デフォルトのログインユーザー名は[Administrator]となります。
パスワードの文字列横のアイコンをクリックすると、パスワード文字列をクリップボードにコピーすることが可能です。場合に応じて活用しましょう。

EC2インスタンスへ接続する

インストールしたMicrosoft Remote Desktopアプリケーションを起動し、EC2インスタンスへ接続します。
[Add PC]をクリックします。

[PC name]欄に、EC2インスタンスのパブリックDNSを入力します。
[Add]をクリックします。

入力したパブリックDNSの接続先が追加されていることを確認します。
これをダブルクリックすると、ログイン情報の認証ウィンドウが表示されます。

「RDP接続用のパスワードを取得する」の手順でメモしたユーザー名とパスワードを入力します。
[Continue]をクリックします。

無事、EC2 Windowsに接続することができました!
イベントビューアーも起動できます。

ファイルのコピー&ペーストは、Mac(ローカルマシン)でコピー→EC2上へペーストは可能でした。
逆のEC2上でコピー→Mac(ローカルマシン)へペーストは不可のようです。
EC2上のファイルをローカルマシンに転送する場合は、一時的にS3上にアップロードしてそこからダウンロードするなどの方法を検討してください。

注意すること

作業前にEC2インスタンス側のタイムゾーン設定を確認する
EVTXファイルなどのログをイベントビューアーで確認する場合、表示されるタイムスタンプはログを表示している端末のタイムゾーン設定が反映されます。
ログ取得元のサーバのタイムゾーンがJSTに設定されていても、今回起動したEC2インスタンスのタイムゾーンがUTCに設定されている場合、ログのタイムスタンプはUTC時間に変換されて表示されます。
トラブルシューティングのためにこの記事の手順を実施する場合、認識の齟齬を防ぐためにOS日本語化・タイムゾーンをJSTに設定することを推奨します。
(私はこの手順を忘れて慌ててしまいました……)
下記の記事を参考にすると、WindowsServer2019を簡単に日本語化できるのでおすすめです。


最後に

簡単に様々なOSの環境が手に入るEC2インスタンスの便利さを、改めて実感しました。
MacでWindowsのログを確認したい!という方の助けになれば幸いです。