翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# CloudWatch Logs での AWS CloudHSM 監査ログの表示
<a name="understand-audit-logs"></a>

Amazon CloudWatch Logs は、監査ログを [*ロググループ*] と、ロググループ内で [*ログストリーム*] に作成します。各ログエントリは *event*. AWS CloudHSM creates one *log group* for each cluster and one *log stream* for each HSM in the cluster。CloudWatch Logs コンポーネントを作成する必要も、設定を変更する必要もありません。
+ *ロググループ*の名前は `/aws/cloudhsm/<cluster ID>` です (たとえば、`/aws/cloudhsm/cluster-likphkxygsn`)。 AWS CLI あるいは PowerShell コマンドでロググループを使用する場合、必ずこれを二重引用符で囲んでください。
+ *ログストリーム*名は HSM ID です (たとえば、`hsm-nwbbiqbj4jk`)。

  一般的には、各 HSM に 1 つのログストリームがあります。ただし、HSM ID を変更するすべてのアクション (HSM が失敗して置き換えられた場合など) は新しいログストリームを作成します。

CloudWatch Logs コンセプトの詳細については、[[Amazon CloudWatch Logs ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogsConcepts.html)] の[*概念*] を参照してください。

HSM の監査ログは、 の CloudWatch Logs ページ AWS マネジメントコンソール、 の [CloudWatch Logs コマンド](https://docs.aws.amazon.com/cli/latest/reference/logs/index.html#cli-aws-logs) AWS CLI、[CloudWatch Logs PowerShell コマンドレット](https://docs.aws.amazon.com/powershell/latest/reference/items/Amazon_CloudWatch_Logs_cmdlets.html)、または [CloudWatch Logs SDKs](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/) から表示できます。手順については、[[Amazon CloudWatch Logs ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#ViewingLogData)] の [*ログデータの表示*] を参照してください。

たとえば、次の図は AWS マネジメントコンソールの `cluster-likphkxygsn` クラスターのロググループを示しています。

![\[CloudWatch Logs の AWS CloudHSM クラスターのロググループ。\]](http://docs.aws.amazon.com/ja_jp/cloudhsm/latest/userguide/images/cloudwatch-logs-cluster.png)


クラスターのロググループ名を選択すると、このクラスターの各 HSM のログストリームを表示することができます。つぎの図は、`cluster-likphkxygsn` クラスターの HSM のログストリームを示しています。

![\[CloudWatch Logs の HSM のログストリーミング\]](http://docs.aws.amazon.com/ja_jp/cloudhsm/latest/userguide/images/cloudwatch-logs-hsm.png)


HSM のログストリーム名を選択すると、監査ログのイベントを表示することができます。たとえば、0x0 のシーケンス番号と `CN_INIT_TOKEN` の `Opcode` があるこのイベントは、通常の場合、各クラスターの最初の HSM の最初のイベントです。これには、このクラスターで HSM が初期化されたことが記録されています。

![\[CloudWatch Logs の AWS CloudHSM 監査ログのイベント。\]](http://docs.aws.amazon.com/ja_jp/cloudhsm/latest/userguide/images/cloudwatch-logs-event.png)


CloudWatch Logs にある多くの機能を使用して、監査ログを管理できます。たとえば、**イベントのフィルター**機能を使用すると、イベント内で特定のテキスト (`CN_CREATE_USER` `Opcode` など) を検索できます。

特定のテキストを含まないすべてのイベントを検索するには、テキストの前に負符号 (-) を追加します。たとえば、`CN_CREATE_USER` を含まないイベントを見つけるには、**-CN\$1CREATE\$1USER** を入力します。

![\[CloudWatch Logs の AWS CloudHSM 監査ログ内のイベントをそのOpcode値でフィルタリングします。\]](http://docs.aws.amazon.com/ja_jp/cloudhsm/latest/userguide/images/cloudwatch-logs-event-filter.png)