Wie kann ich meine CloudHSM-Audit-Protokolle einsehen?

Lösung

CloudHSM sendet von HSM-Instances gesammelte Audit-Protokolle an Amazon CloudWatch Logs. Weitere Informationen findest du unter Arbeiten mit Amazon CloudWatch Logs und AWS CloudHSM Audit Logs.

Führe die folgenden Schritte aus, um die CloudHSM-Auditprotokolle anzuzeigen.

**Hinweis:**Wenn bei der Ausführung von AWS Command Line Interface (AWS CLI)-Befehlen Fehler auftreten, finden Sie weitere Informationen unter Troubleshoot AWS CLI errors. Stelle außerdem sicher, dass du die neueste Version von AWS CLI verwendest.

Deine HSM-Cluster-ID abrufen

Hinweis: Wenn du die HSM-Cluster-ID kennst, überspringe diesen Schritt.

Führe den folgenden Befehl aus, um die HSM-Cluster-IP-Adresse abzurufen:

cat /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg | grep hostname

Führe dann den AWS-CLI-Befehl describe-clusters aus:
Hinweis: Ersetze your-region durch deine AWS-Region und your-ip-adress durch deine HSM-Cluster-IP-Adresse.

aws cloudhsmv2 describe-clusters --region your-region --query 'Clusters[*].Hsms[?EniIp==`your-ip-address`].{ClusterId:ClusterId}'

Du erhältst eine Ausgabe wie die folgende:

"ClusterID": "cluster-likphkxygsn"

AWS-Managementkonsole

Führe die folgenden Schritte aus:

1. Öffne die CloudWatch-Konsole für deine Region.

2. Wähle im Navigationsbereich Protokolle aus.

3. Gib im Feld Filter das Namenspräfix für die Protokollgruppe ein. Zum Beispiel /aws/cloudhsm/cluster-likphkxygsn.

4. Wähle für Protokollstreams den Protokollstream für die HSM-ID im Cluster aus. Zum Beispiel hsm-nwbbiqbj4jk.

5. Erweitere die Protokollstreams, um vom HSM-Gerät gesammelte Audit-Ereignisse anzuzeigen.

6. Führe den folgenden Befehl aus, um erfolgreiche CRYPTO_USER-Anmeldungen aufzulisten:

   Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS

7. Führe den folgenden Befehl aus, um fehlgeschlagene CRYPTO_USER-Anmeldungen aufzulisten:

   Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE

8. Führe den folgenden Befehl aus, um erfolgreiche Ereignisse zum Löschen von Schlüsseln aufzulisten:

   Opcode CN_DESTROY_OBJECT Response SUCCESS

   Der Opcode identifiziert den Verwaltungsbefehl, der auf dem HSM ausgeführt wurde. Weitere Informationen zu HSM-Verwaltungsbefehlen in Audit-Protokollereignissen findest du unter HSM-Audit-Protokoll-Referenz.

AWS CLI

Führe die folgenden Schritte aus:

1. Führe den Befehl describe-log-groups aus, um die Namen der Protokollgruppen aufzulisten:

   aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName'

2. Um erfolgreiche CRYPTO_USER-Anmeldungen aufzulisten, führe den Befehl filter-log-events mit den folgenden Parametern aus:

   aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USERResponse SUCCESS" --output text"

3. Um fehlgeschlagene CRYPTO_USER-Anmeldungen aufzulisten, führe den Befehl filter-log-events mit den folgenden Parametern aus:

   aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE" --output text

4. Um erfolgreiche Löschungen von Schlüsseln aufzulisten, führe den Befehl filter-log-events mit den folgenden Parametern aus:

   aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text

Weitere Informationen zu Protokollgruppen, Protokollstreams und der Verwendung von Filterereignissen findest du unter HSM-Audit-Protokolle in CloudWatch-Protokollen anzeigen.

Ähnliche Informationen

Interpretation von HSM-Audit-Protokollen