如何收集 AWS CloudHSM Classic 日志进行问题排查?

上次更新时间:2019 年 5 月 14 日

我的 AWS CloudHSM Classic 客户端或设备存在问题。我如何收集 CloudHSM 日志来对这些问题进行问题排查?

简短描述

请按照以下步骤收集 CloudHSM 客户端 c_supportInfo.txt 文件、CloudHSM 设备 supportInfo.txt 文件和 syslogs 进行问题排查。

解决方法

收集 CloudHSM supportInfo.txt 文件

1.    通过运行以下命令在每个 CloudHSM 客户端设备上创建 supportInfo.txt 文件:

$ vtl supportinfo

示例结果:

'vtl supportInfo' completed. File "c_supportInfo.txt" created.

2.    在 CloudHSM 客户端上创建 c_supportInfo.txt 文件后,通过运行以下命令连接到每个 CloudHSM 设备并生成 supportInfo.txt

$ ssh 10.0.1.10
lunash:>hsm supportInfo

示例结果:

'hsm supportInfo' successful.

Use 'scp' from a client machine to get file named:
supportInfo.txt

3.    运行 exit 以返回您的客户端实例。

4.    生成 supportInfo.txt 后,通过运行以下命令使用客户端计算机中的 SCP 来获取文件名称,如 supportInfo.txt

$ scp manager@<IP-ADDRESS-HSM1>:supportInfo.txt ~/supportInfo-HSM1.txt
$ scp manager@<IP-ADDRESS-HSM2>:supportInfo.txt ~/supportInfo-HSM2.txt

5.    向 AWS Support 提供每个支持文件,以获得进一步帮助。下面是 c_supportInfo.txtsupportInfo.txt 文件中提供的一些信息。

c_supportInfo.txt 文件的内容。

已从 HSM 客户端中检索。

supportInfo.txt 文件的内容。

已从 HSM 设备检索。

  • 客户端信息和日期/时间
  • 客户端 CHRYSTOKI 配置文件
  • 客户端文件检查
  • 客户端证书
  • 已注册的服务器证书
  • LOOKUP 及 PING HOST 和 REGISTERED 服务器
  • 已安装的 LUNA SA 客户端软件包
  • HSM DUALPORT
  • 备份令牌 DUALPORT
  • 备份令牌信息和策略B
  • 主机信息和日期/时间
  • HSM 详细信息:HSM 标签、序列号、固件、硬件型号等。
  • 在 HSM 上创建的分区
  • FIPS 140-2 操作状态
  • HSM 存储信息(字节):HSM 最大存储空间、使用中的空间、剩余的可用空间
  • HSM 政策、HSM 分区和分区策略
  • HSM 许可证/HSM 能力许可证
  • HSM 设备的 CPU 使用情况、NETSTAT、SYSLOG 设置、磁盘、内存、网络信息、RESOLV 文件、软件包、证书、NTLS 绑定信息
  • HSM 问题(构建)文件
  • HSM 更新路径
  • HSM 设备流程
  • 已加载的客户端证书
  • 客户端身份验证数据库
  • 客户端身份验证配置文件

从您的 CloudHSM 设备中收集 syslog

HSM 设备生成可以通过 syslog 导出的日志。Syslog 可用于审计安全事件、检查设备硬件事件和错误记录。

1.    连接到每一个 CloudHSM 设备,并运行以下命令以生成 syslog:

$ ssh <IP-ADDRESS-HSM>
lunash:> syslog tarlogs

2.    运行 exit 以返回您的客户端实例。

3.    从 CloudHSM 客户端中,使用 SCP 将每个 CloudHSM 设备中的 logs.tgz 文件复制到 CloudHSM 客户端。您可以通过运行类似于以下内容的命令收集这些文件:

$ scp manager@<IP-ADDRESS-HSM1>:logs.tgz ~/logs-HSM1.tgz
$ scp manager@<IP-ADDRESS-HSM2>:logs.tgz ~/logs-HSM2.tgz

4.    通过运行类似于以下内容的命令将 HSM 客户端中的 logs.tgz 文件复制到工作站:

$ scp -i "privatekeyfile.pem" ec2-user@<CLIENT-PUBLIC-IP>:logs-HSM1.tgz ~/logs-HSM1.tgz
$ scp -i "privatekeyfile.pem" ec2-user@<CLIENT-PUBLIC-IP>:logs-HSM2.tgz ~/logs-HSM2.tgz

这篇文章对您有帮助吗?

您觉得我们哪些地方需要改进?


需要更多帮助?