使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post

如何檢視我的 CloudHSM 稽核日誌?

2 分的閱讀內容
0

出於合規或安全原因,我想檢視或監控 AWS CloudHSM 活動。例如,我想知道使用者何時建立或使用金鑰。

解決方法

CloudHSM 會將 HSM 執行個體收集的稽核日誌傳送到 Amazon CloudWatch Logs。如需詳細資訊,請參閱使用 Amazon CloudWatch Logs 和 AWS CloudHSM 稽核日誌

若要檢視 CloudHSM 稽核日誌,請完成下列步驟。

**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤,請參閱AWS CLI 錯誤疑難排解。此外,請確定您使用的是最新的 AWS CLI 版本

取得您的 HSM 叢集 ID

注意: 如果您知道您的 HSM 叢集 ID,請跳過此步驟。

若要取得 HSM 叢集 IP 位址,請執行下列命令:

cat /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg | grep hostname

然後,執行 describe-clusters AWS CLI 命令:
**注意:**將 your-region 取代為您的 AWS 區域和將 your-ip-address 取代為您的 HSM 叢集 IP 地址。

aws cloudhsmv2 describe-clusters --region your-region --query 'Clusters[*].Hsms[?EniIp==`your-ip-address`].{ClusterId:ClusterId}'

您會收到類似於以下內容的輸出:

"ClusterID": "cluster-likphkxygsn"

AWS 管理主控台

請完成下列步驟:

  1. 為您的區域開啟 CloudWatch 主控台

  2. 在瀏覽窗格中,選擇 Logs (日誌)。

  3. Filter (篩選) 中,輸入 Log Group (日誌群組) 名稱首碼。例如,/aws/cloudhsm/cluster-likphkxygsn。

  4. Log Streams (日誌串流) 中,選擇您叢集中 HSM ID 的日誌串流。例如,hsm-nwbbiqbj4jk。

  5. 若要顯示從 HSM 裝置收集的稽核事件,請展開日誌串流。

  6. 若要列出成功的 CRYPTO_USER 登入,請執行以下命令:

    Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS

  7. 若要列出失敗的 CRYPTO\ _USER 登入,請執行以下命令:

    Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE

  8. 若要列出成功的金鑰刪除事件,請執行以下命令:

    Opcode CN_DESTROY_OBJECT Response SUCCESS

    作業碼可識別在 HSM 上執行的管理命令。如需稽核日誌事件中 HSM 管理命令的詳細資訊,請參閱 HSM 稽核日誌參考

AWS CLI

請完成下列步驟:

  1. 若要列出日誌群組名稱,請執行 describe-log-groups 命令:

    aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName'

  2. 若要列出成功的 CRYPTO\ _USER 登入,請使用以下參數執行 filter-log-events 命令:

    aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USERResponse SUCCESS" --output text"

  3. 若要列出失敗的 CRYPTO\ _USER 登入,請使用以下參數執行 filter-log-events 命令:

    aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE" --output text

  4. 若要列出成功的金鑰刪除,請使用以下參數執行 filter-log-events 命令:

    aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text

如需有關日誌群組、日誌串流和如何使用篩選事件的詳細資訊,請參閱在 CloudWatch 日誌中檢視 HSM 稽核日誌

相關資訊

解譯 HSM 稽核日誌

主題
安全性、身分識別與合規
標籤
AWS CloudHSM
語言
中文 (繁體)
AWS 官方
AWS 官方已更新 8 個月前
沒有評論

相關內容