CloudHSM インスタンスによって記録された監査ログイベントを表示またはモニタリングする方法を教えてください。

最終更新日: 2019 年 1 月 9 日

コンプライアンスまたはセキュリティ上の理由により、AWS CloudHSM アクティビティを表示またはモニタリングする必要があります。例えば、ユーザーがいつキーを作成または使用したかを知る必要があります。

簡単な説明

CloudHSM は、HSM インスタンスによって収集された監査ログを Amazon CloudWatch Logs に送信します。詳細については、「AWS CloudHSM ログのモニタリング」を参照してください。

解決方法

CloudHSM 監査ログを表示するには、以下の手順に従います。

AWS マネジメントコンソール

1.    リージョンCloudWatch コンソール を開きます。

2.    ナビゲーションペインで [ログ] を選択します。

3.    [フィルター] に、[ロググループ] 名のプレフィックスを入力します。例えば、/aws/cloudhsm/cluster-likphkxygsn と入力します。

4.    [ログストリーム] で、クラスターの HSM ID のログストリームを選択します。例えば、hsm-nwbbiqbj4jk を選択します。

注意: ロググループ、ログストリーム、フィルターイベントの使用の詳細については、「CloudWatch Logs で監査ログを表示する」を参照してください。

5.    ログストリームを展開して、HSM デバイスから収集された監査イベントを表示します。

6.    成功した CRYPTO_USER のログインを一覧表示するには、次のように入力します。

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS

7.    失敗した CRYPTO_USER のログインを一覧表示するには、次のように入力します。

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE

8.    成功したキーの削除イベントを一覧表示するには、次のように入力します。

Opcode CN_DESTROY_OBJECT Response SUCCESS

命令コードは、HSM で実行された管理コマンドを識別します。監査ログイベントの HSM 管理コマンドの詳細については、監査ログのリファレンスを参照してください。

AWS コマンドラインインターフェイス (AWS CLI)

1.    次の describe-log-groups コマンドを使用して、ロググループ名を一覧表示します。

aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName'

2.    次のコマンドを使用して、成功した CRYPTO_USER のログインを一覧表示します。

aws logs  filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd"  --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER
Response SUCCESS"  --output text"

3.    次のコマンドを使用して、失敗した CRYPTO_USER のログインを一覧表示します。

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE"  --output text

4.    次のコマンドを使用して、成功したキーの削除を一覧表示します。

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text

詳細については、CloudWatch Logs で監査ログを表示するを参照してください。


この記事はお役に立ちましたか?

改善できることはありますか?


さらにサポートが必要な場合