Como posso visualizar meus logs de auditoria do CloudHSM?
Quero visualizar ou monitorar a atividade do AWS CloudHSM por motivos de conformidade ou segurança. Por exemplo, quero saber quando um usuário criou ou usou uma chave.
Resolução
O CloudHSM envia logs de auditoria coletados pelas instâncias do HSM para o Amazon CloudWatch Logs. Para obter mais informações, consulte Trabalhando com o Amazon CloudWatch Logs e logs de auditoria do AWS CloudHSM.
Para visualizar os logs de auditoria do CloudHSM, conclua as etapas a seguir.
Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solucionar erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.
Obtenha sua ID de cluster HSM
Observação: Se você souber o ID do seu cluster do HSM, pule esta etapa.
Para obter o endereço IP do seu cluster do HSM, execute o seguinte comando:
cat /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg | grep hostname
Em seguida, execute o comando describe-clusters da AWS CLI:
Observação: Substitua sua região pela região da AWS e seu endereço IP pelo endereço IP de cluster HSM.
aws cloudhsmv2 describe-clusters --region your-region --query 'Clusters[*].Hsms[?EniIp==`your-ip-address`].{ClusterId:ClusterId}'
Você recebe uma saída semelhante à seguinte:
"ClusterID": "cluster-likphkxygsn"
Console de Gerenciamento da AWS
Conclua as etapas a seguir:
-
Abra o console do CloudWatch de sua região.
-
No painel de navegação, escolha Logs.
-
Em Filtro, insira o prefixo do nome do Grupo de logs. Por exemplo, /aws/cloudhsm/cluster-likphkxygsn.
-
Em Fluxos de logs, selecione o fluxo de logs de sua ID do HSM em seu cluster. Por exemplo, hsm-nwbbiqbj4jk.
-
Para exibir os eventos de auditoria coletados do dispositivo HSM, expanda os fluxos de logs.
-
Para listar logins CRYPTO_USER bem-sucedidos, execute o seguinte comando:
Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS -
Para listar logins CRYPTO_USER que falharam, execute o seguinte comando:
Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE -
Para listar eventos de exclusão de chave bem-sucedidos, execute o seguinte comando:
Opcode CN_DESTROY_OBJECT Response SUCCESSO opcode identifica o comando de gerenciamento executado no HSM. Para mais informações sobre os comandos de gerenciamento do HSM em eventos de logs de auditoria, consulte Referência de log de auditoria do HSM.
AWS CLI
Conclua as etapas a seguir:
-
Para listar os nomes dos grupos de logs, execute o comando describe-log-groups:
aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName' -
Para listar logins CRYPTO_USER bem-sucedidos, execute o comando filter-log-events com os seguintes parâmetros:
aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USERResponse SUCCESS" --output text" -
Para listar logins CRYPTO_USER que falharam, execute o comando filter-log-events com os seguintes parâmetros:
aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE" --output text -
Para listar a exclusão bem-sucedida da chave, execute o comando filter-log-events com os seguintes parâmetros:
aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text
Para mais informações sobre grupos de logs, fluxos de logs e como usar eventos de filtro, consulte Visualizar logs de auditoria do HSM no CloudWatch Logs.
Informações relacionadas
- Tags
- AWS CloudHSM
- Idioma
- Português
Conteúdo relevante
- feita há 8 meses
- feita há 6 meses
