CloudWatch Logs での HSM 監査ログの表示 - AWS CloudHSM

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudWatch Logs での HSM 監査ログの表示

Amazon CloudWatch Logs は、監査ログをロググループに、ロググループ内でログストリーム に整理します。各ログエントリはイベント です。 は、クラスターごとに 1 つのロググループを作成し、クラスター内の HSM ごとに 1 つのログストリーム AWS CloudHSM を作成します。 CloudWatch Logs コンポーネントを作成したり、設定を変更したりする必要はありません。

  • ロググループの名前は /aws/cloudhsm/<cluster ID> です (たとえば、/aws/cloudhsm/cluster-likphkxygsn)。 AWS CLI または PowerShell コマンドでロググループ名を使用する場合は、必ず二重引用符で囲みます。

  • ログストリーム名は HSM ID です (たとえば、hsm-nwbbiqbj4jk)。

    一般的には、各 HSM に 1 つのログストリームがあります。ただし、HSM ID を変更するすべてのアクション (HSM が失敗して置き換えられた場合など) は新しいログストリームを作成します。

CloudWatch ログの概念の詳細については、「Amazon Logs ユーザーガイド」の「概念」を参照してください。 CloudWatch

HSM の監査ログは、 の CloudWatch 「ログ」ページ AWS Management Console、 のCloudWatch 「ログ」コマンド AWS CLI、CloudWatch 「ログコマンドレット PowerShell」、またはCloudWatch 「ログ SDKs」から表示できます。手順については、「Amazon Logs ユーザーガイド」の「ログデータの表示」を参照してください。 CloudWatch

たとえば、次の図は AWS Management Consoleの cluster-likphkxygsn クラスターのロググループを示しています。

Logs の AWS CloudHSM クラスターの CloudWatch ロググループ。

クラスターのロググループ名を選択すると、このクラスターの各 HSM のログストリームを表示することができます。つぎの図は、cluster-likphkxygsn クラスターの HSM のログストリームを示しています。

Logs の HSM の CloudWatch ログストリーム。

HSM のログストリーム名を選択すると、監査ログのイベントを表示することができます。たとえば、0x0 のシーケンス番号と CN_INIT_TOKENOpcode があるこのイベントは、通常の場合、各クラスターの最初の HSM の最初のイベントです。これには、このクラスターで HSM が初期化されたことが記録されています。

CloudWatch Logs の AWS CloudHSM 監査ログのイベント。

CloudWatch ログのすべての機能を使用して、監査ログを管理できます。たとえば、イベントのフィルター機能を使用すると、イベント内で特定のテキスト (CN_CREATE_USER Opcode など) を検索できます。

特定のテキストを含まないすべてのイベントを検索するには、テキストの前に負符号 (-) を追加します。たとえば、CN_CREATE_USER を含まないイベントを見つけるには、-CN_CREATE_USER を入力します。

CloudWatch Logs の AWS CloudHSM 監査ログ内のイベントをそのOpcode値でフィルタリングします。