¿Cómo puedo ver mis registros de auditoría de AWS CloudHSM?

Breve descripción

CloudHSM envía los registros de auditoría recopilados por las instancias HSM a los registros de Amazon CloudWatch. Para obtener más información, consulte Supervisión de los registros de AWS CloudHSM.

Resolución

Siga estas instrucciones para ver los registros de auditoría de CloudHSM.

**Nota:**Si recibe errores al ejecutar los comandos de AWS CLI, asegúrese de utilizar la versión más reciente de AWS CLI.

Obtener el ID de su clúster de HSM

**Nota:**Si ya sabe cuál es el ID de su clúster de HSM, puede omitir este paso.

1.    Ejecute este comando de AWS CLI para obtener la dirección IP de su clúster de HSM.

cat /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg | grep hostname

2.    Ejecute este comando de AWS CLI.

Nota: Sustituya su región por su región de AWS y su dirección IP por la dirección IP de su clúster de HSM.

aws cloudhsmv2 describe-clusters --region your-region --query 'Clusters[*].Hsms[?EniIp==`your-ip-address`].{ClusterId:ClusterId}'

Recibirá un resultado similar al siguiente.

"ClusterID": "cluster-likphkxygsn"

Consola de administración de AWS

1.    Abra la consola de CloudWatch para su región de AWS.

2.    En el panel de navegación, seleccione Registros.

3.    En Filtrar, introduzca el prefijo del nombre del Grupo de registro. Por ejemplo, /aws/cloudhsm/cluster-likphkxygsn.

4.    En Secuencias de registro, elija la secuencia de registro para la ID de su clúster de HSM. Por ejemplo, hsm-nwbbiqbj4jk.

**Nota:**Para obtener más información sobre los grupos de registros, las secuencias de registro y el uso de la función Filtrar eventos, consulte Visualización de los registros de auditoría en los registros de CloudWatch.

5.    Amplíe las secuencias de registro para mostrar los eventos de auditoría recopilados desde el dispositivo HSM.

6.    Para enumerar los inicios de sesión realizados correctamente en CRYPTO\ _USER, introduzca:

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS

7.    Para enumerar los inicios de sesión fallidos en CRYPTO\ _USER, introduzca:

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE

8.    Para enumerar los eventos de eliminación de claves realizados correctamente, introduzca:

Opcode CN_DESTROY_OBJECT Response SUCCESS

El código de operación identifica el comando de administración que se ejecutó en HSM. Para obtener más información sobre los comandos de administración de HSM en los eventos de registro de auditoría, consulte Referencia de registros de auditoría.

AWS CLI

1.    Utilice el comando describe-log-groups para enumerar los nombres de los grupos de registro.

aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName'

2.    Utilice este comando para enumerar los inicios de sesión realizados correctamente en CRYPTO_USER.

aws logs  filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd"  --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER
Response SUCCESS"  --output text"

3.    Utilice este comando para enumerar los inicios de sesión fallidos en CRYPTO_USER.

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE"  --output text

4.    Utilice este comando para enumerar los eventos de eliminación de claves realizados correctamente.

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text

Para obtener más información, consulte Visualización de los registros de auditoría de HSM en los registros de CloudWatch.

Información relacionada

Interpretación de registros de auditoría de HSM

Filtrar eventos de registro