Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post

Como posso visualizar meus logs de auditoria do AWS CloudHSM?

3 minuto de leitura
0

Preciso visualizar ou monitorar a atividade do AWS CloudHSM por motivos de conformidade ou segurança. Por exemplo, preciso saber quando um usuário criou ou usou uma chave.

Breve descrição

O CloudHSM envia logs de auditoria coletados pelas instâncias do HSM para Amazon CloudWatch Logs. Obtenha mais informações consultando Monitoramento de logs do AWS CloudHSM.

Resolução

Siga estas instruções para visualizar os logs de auditoria do CloudHSM.

Observação: se você receber erros ao executar comandos da AWS CLI, verifique se está usando a versão mais recente da AWS CLI.

Obtenha sua ID de cluster HSM

Observação: pule esta etapa se já souber sua ID de cluster HSM.

1.    Execute esse comando da AWS CLI para obter seu endereço IP de cluster HSM.

cat /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg | grep hostname

2.    Execute esse comando da AWS CLI.

Observação: Substitua sua região pela região da AWS e seu endereço IP pelo endereço IP de cluster HSM.

aws cloudhsmv2 describe-clusters --region your-region --query 'Clusters[*].Hsms[?EniIp==`your-ip-address`].{ClusterId:ClusterId}'

Você receberá uma saída como esta.

"ClusterID": "cluster-likphkxygsn"

Console de Gerenciamento da AWS

1.    Abra o console do CloudWatch de sua região da AWS.

2.    No painel de navegação, seleciona Logs.

3.    Em Filtro, insira o prefixo do nome do Grupo de logs. Por exemplo, /aws/cloudhsm/cluster-likphkxygsn.

4.    Em Fluxos de logs, selecione o fluxo de logs de sua HSM ID em seu cluster. Por exemplo, hsm-nwbbiqbj4jk.

**Observação:**obtenha mais informações sobre grupos de logs, fluxos de logs e uso de eventos de filtro consultando Visualizar logs de auditoria nos logs do CloudWatch.

5.    Expanda os fluxos de logs para exibir os eventos de auditoria coletados do dispositivo HSM.

6.    Relacione logins de CRYPTO_USER bem-sucedidos digitando:

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS

7.    Relacione logins de CRYPTO_USER com falhas digitando:

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE

8.    Relacione eventos de exclusão de chave bem-sucedidos digitando:

Opcode CN_DESTROY_OBJECT Response SUCCESS

O opcode identifica o comando de gerenciamento executado no HSM. Obtenha mais informações sobre os comandos de gerenciamento do HSM em eventos de logs de auditoria consultando Referência de log de auditoria.

AWS CLI

1.    Use o comando describe-log-groups para listar os nomes dos grupos de logs.

aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName'

2.    Use este comando para listar logins de CRYPTO_USER bem-sucedidos.

aws logs  filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd"  --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER
Response SUCCESS"  --output text"

3.    Use este comando para listar logins de CRYPTO_USER com falhas.

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE"  --output text

4.    Use este comando para listar exclusões de chave bem-sucedidas.

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text

Obtenha mais informações consultando Visualizar logs de auditoria do HSM nos logs do CloudWatch.

Informações relacionadas

Interpretar logs de auditoria do HSM

filter-log-events

Tópicos
Segurança, identidade e conformidade
Tags
AWS CloudHSM
Idioma
Português

Vídeos relacionados

Assista ao vídeo de Shubhansu para saber mais (2:42)
Assista ao vídeo de Shubhansu para saber mais (2:42)
AWS OFICIAL
AWS OFICIALAtualizada há 3 anos

Conteúdo relevante