如何查看我的 AWS CloudHSM 审计日志?

2 分钟阅读
0

出于合规或安全原因,我需要查看或监控 AWS CloudHSM 活动。例如,我需要了解用户何时创建或使用了密钥。

简短描述

CloudHSM 会将 HSM 实例收集的审计日志发送到 Amazon CloudWatch Logs。有关更多信息,请参阅监控 AWS CloudHSM 日志

解决方法

按照这些说明查看 CloudHSM 审计日志。

**注意:**如果在运行 AWS CLI 命令时遇到错误,请确保您使用的是最新版本的 AWS CLI

获取您的 HSM 集群 ID

**注意:**如果您已知道自己的 HSM 集群 ID,可以跳过此步骤。

1.    运行此 AWS CLI 命令以获取您的 HSM 集群 IP 地址。

cat /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg | grep hostname

2.    运行以下 AWS CLI 命令。

**注意:**将 your-region 替换为您的 AWS 区域,将 your-ip-address 替换为您的 HSM 集群 IP 地址。

aws cloudhsmv2 describe-clusters --region your-region --query 'Clusters[*].Hsms[?EniIp==`your-ip-address`].{ClusterId:ClusterId}'

您会收到类似如下内容的输出。

"ClusterID": "cluster-likphkxygsn"

AWS 管理控制台

1.    打开适用于您 AWS 区域CloudWatch 控制台

2.    在导航窗格中,选择 Logs

3.    在筛选条件中,输入日志组名称前缀。例如,/aws/cloudhsm/cluster-likphkxygsn。

4.    在日志流中,选择集群中 HSM ID 的日志流。例如 hsm-nwbbiqbj4jk。

**注意:**有关日志组、日志流和使用筛选条件事件的更多信息,请参阅查看 CloudWatch Logs 中的审计日志

5.    展开日志流以显示从 HSM 设备收集的审核事件。

6.    要列出成功的 CRYPTO_USER 登录,请输入:

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS

7.    要列出失败的 CRYPTO_USER 登录,请输入:

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE

8.    要列出成功的密钥删除事件,请输入:

Opcode CN_DESTROY_OBJECT Response SUCCESS

opcode 可标识已在 HSM 上执行的管理命令。有关审计日志事件中 HSM 管理命令的更多信息,请参阅审计日志参考

AWS CLI

1.    使用 describe-log-groups 命令列出日志组名称。

aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName'

2.    使用此命令列出成功的 CRYPTO_USER 登录。

aws logs  filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd"  --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER
Response SUCCESS"  --output text"

3.    使用此命令列出失败的 CRYPTO_USER 登录。

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE"  --output text

4.    使用此命令列出成功的密钥删除。

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text

有关更多信息,请参阅查看 CloudWatch Logs 中的 HSM 审计日志


相关信息

解读 HSM 审计日志

filter-log-events

相关视频

AWS 官方
AWS 官方已更新 3 年前