如何檢視我的 AWS CloudHSM 稽核日誌?

2 分的閱讀內容
0

出於合規或安全原因,我需要檢視或監控 AWS CloudHSM 活動。例如,我需要知道使用者何時建立或使用金鑰。

簡短描述

CloudHSM 會將 HSM 執行個體收集的稽核日誌傳送到 Amazon CloudWatch Logs。如需詳細資訊,請參閱監控 AWS CloudHSM 日誌

解決方法

請依照下列指示檢視 CloudHSM 稽核日誌。

**注意:**如果您在執行 AWS CLI 命令時收到錯誤,請確定您使用的是最新版本的 AWS CLI

取得您的 HSM 叢集 ID

**注意:**如果您已經知道 HSM 叢集 ID 是什麼,則可以略過此步驟。

1.    執行此 AWS CLI 命令以取得您的 HSM 叢集 IP 地址。

cat /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg | grep hostname

2.    執行這個 AWS CLI 命令。

**注意:**將 your-region 取代為您的 AWS 區域和將 your-ip-address 取代為您的 HSM 叢集 IP 地址。

aws cloudhsmv2 describe-clusters --region your-region --query 'Clusters[*].Hsms[?EniIp==`your-ip-address`].{ClusterId:ClusterId}'

您會收到類似下列內容的輸出。

"ClusterID": "cluster-likphkxygsn"

AWS 管理主控台

1.    為您的 AWS 區域開啟 CloudWatch 主控台

2.    在導覽窗格中,選擇日誌

3.    在篩選中,輸入日誌群組名稱字首。例如,/aws/cloudhsm/cluster-likphkxygsn。

4.    在日誌串流中,選擇叢集中 HSM ID 的日誌串流。例如,hsm-nwbbiqbj4jk。

**注意:**如需有關日誌群組、日誌串流和使用篩選事件的詳細資訊,請參閱在 CloudWatch 日誌中檢視稽核日誌

5.    展開日誌串流以顯示從 HSM 裝置收集的稽核事件。

6.    若要列出成功的 CRYPTO_USER 登入資訊,請輸入:

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS

7.    若要列出失敗的 CRYPTO_USER 登入資訊,請輸入:

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE

8.    若要列出成功的金鑰刪除事件,請輸入:

Opcode CN_DESTROY_OBJECT Response SUCCESS

作業碼可識別在 HSM 上執行的管理命令。如需稽核日誌事件中 HSM 管理命令的詳細資訊,請參閱稽核日誌參考

AWS CLI

1.    使用 describe-log-groups 命令列出日誌群組名稱。

aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName'

2.    使用此命令列出成功的 CRYPTO_USER 登入資訊。

aws logs  filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd"  --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER
Response SUCCESS"  --output text"

3.    使用此命令列出失敗的 CRYPTO_USER 登入資訊。

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE"  --output text

4.    使用此命令列出成功的金鑰刪除。

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text

如需詳細資訊,請參閱在 CloudWatch 日誌中檢視 HSM 稽核日誌


相關資訊

解譯 HSM 稽核日誌

filter-log-events

AWS 官方
AWS 官方已更新 2 年前