如何查看或监控我的 CloudHSM 实例记录的审计日志事件?

上次更新时间:2019 年 1 月 9 日

出于合规或安全原因,我需要查看或监控 AWS CloudHSM 活动。例如,我需要了解用户何时创建或使用密钥。

简短描述

CloudHSM 将 HSM 实例收集的审计日志发送到 Amazon CloudWatch Logs 中。有关更多信息,请参阅监控 AWS CloudHSM 日志

解决方法

按照以下说明查看 CloudHSM 审计日志。

AWS 管理控制台

1.    打开您所在区域CloudWatch 控制台

2.    在导航窗格中,选择日志

3.    在筛选条件中,输入日志组名称前缀。例如 /aws/cloudhsm/cluster-likphkxygsn。

4.    在日志流中,为您的集群中的 HSM ID 选择日志流。例如 hsm-nwbbiqbj4jk。

注意:有关日志组、日志流和使用筛选条件事件的更多信息,请参阅查看 CloudWatch Logs 中的审计日志

5.    展开日志流,显示从 HSM 设备中收集的审计事件。

6.    要列出成功的 CRYPTO_USER 登录,请输入:

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS

7.    要列出失败的 CRYPTO_USER 登录,请输入:

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE

8.    要列出成功的密钥删除事件,请输入:

Opcode CN_DESTROY_OBJECT Response SUCCESS

Opcode 标识已在 HSM 上执行的管理命令。有关审计日志事件中 HSM 管理命令的更多信息,请参阅审计日志参考

AWS 命令行界面 (AWS CLI)

1.    使用 describe-log-groups 命令列出日志组名称。

aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName'

2.    使用此命令列出成功的 CRYPTO_USER 登录。

aws logs  filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd"  --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER
Response SUCCESS"  --output text"

3.    使用此命令列出失败的 CRYPTO_USER 登录。

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE"  --output text

4.    使用此命令列出成功的密钥删除。

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text

有关更多信息,请参阅查看 CloudWatch Logs 中的审计日志


这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?