로그에서 AWS CloudHSM 감사 CloudWatch 로그 보기

Amazon CloudWatch Logs는 감사 로그를 로그 그룹으로 구성하고 로그 그룹 내에서 로그 스트림 로 구성합니다. 각 로그 항목은 이벤트입니다. 는 각 클러스터에 대해 하나의 로그 그룹과 클러스터HSM에 대해 하나의 로그 스트림을 AWS CloudHSM 생성합니다. CloudWatch 로그 구성 요소를 생성하거나 설정을 변경할 필요가 없습니다.

• 로그 그룹 이름은 /aws/cloudhsm/<cluster ID>입니다(예: /aws/cloudhsm/cluster-likphkxygsn). AWS CLI 또는 PowerShell 명령에서 로그 그룹 이름을 사용하는 경우 큰따옴표로 묶어야 합니다.

• 로그 스트림 이름은 HSM ID입니다. 예: hsm-nwbbiqbj4jk.

  일반적으로 각 에 대해 하나의 로그 스트림이 있습니다HSM. 그러나 가 HSM 실패하고 교체되는 경우와 같이 HSM ID를 변경하는 작업은 새 로그 스트림을 생성합니다.

CloudWatch 로그 개념에 대한 자세한 내용은 Amazon Logs 사용 설명서의 개념을 참조하세요. CloudWatch

의 로그 CloudWatch 페이지 AWS Management Console, 의 로그 CloudWatch 명령, 로그 CloudWatch cmdlet PowerShell 또는 로그 HSM에서 에 CloudWatch 대한 감사 로그를 볼 수 있습니다SDKs. AWS CLI지침은 Amazon CloudWatch Logs 사용 설명서의 로그 데이터 보기를 참조하세요.

예를 들어 다음 이미지에서는 AWS Management Console에 있는 cluster-likphkxygsn 클러스터의 로그 그룹을 보여 줍니다.

클러스터 로그 그룹 이름을 선택하면 클러스터의 각 HSMs 에 대한 로그 스트림을 볼 수 있습니다. 다음 이미지는 cluster-likphkxygsn 클러스터의 HSMs에 대한 로그 스트림을 보여줍니다.

HSM 로그 스트림 이름을 선택하면 감사 로그에서 이벤트를 볼 수 있습니다. 예를 들어 시퀀스 번호가 0x0이고 Opcode 의 인 이 이벤트CN_INIT_TOKEN는 일반적으로 HSM 각 클러스터의 첫 번째 에 대한 첫 번째 이벤트입니다. 클러스터에서 의 초기화HSM를 기록합니다.

CloudWatch 로그의 다양한 기능을 모두 사용하여 감사 로그를 관리할 수 있습니다. 예를 들어 이벤트 필터링 기능을 사용하여 이벤트에서 CN_CREATE_USER Opcode와 같은 특정 텍스트를 찾을 수 있습니다.

지정된 텍스트를 포함하지 않는 모든 이벤트를 찾으려면 텍스트 앞에 빼기 기호(-)를 추가하십시오. 예를 들어 CN_CREATE_USER가 포함되지 않은 이벤트를 찾으려면 -CN_CREATE_USER를 입력합니다.