AWS CloudHSM 监控最佳实践

本节介绍可用于监控集群和应用的多种机制。有关监控的更多详细信息，请参阅 监控 AWS CloudHSM。

监控客户端日志

每个客户端软件开发工具包都会写入您可监控的日志。有关日志记录的信息，请参阅 使用 AWS CloudHSM Client SDK 日志。

在设计为临时性的平台（例如 Amazon ECS 和 AWS Lambda），从文件中收集客户端日志可能很困难。在这些情况下，最佳做法是配置客户端软件开发工具包日志以将日志写入控制台。大多数服务会自动收集此输出，并将其发布到 Amazon CloudWatch Logs 中，以供您保存和查看。

如果您在 AWS CloudHSM 客户端软件开发工具包之上使用任何第三方集成，则应确保将配置该软件包，同样将其输出记录至控制台。此软件包可能会捕获 AWS CloudHSM 客户端软件开发工具包输出，或者写入自己的日志文件。

有关如何在应用程序中配置日志记录选项的信息，请参阅 AWS CloudHSM Client SDK 5 configure 工具。

监控审核日志

AWS CloudHSM 将审核日志发布到您的 Amazon CloudWatch 账户。审核日志来自 HSM，用于跟踪某些需要审核的操作。

您可以使用审核日志来跟踪在 HSM 上调用的、任何管理命令。例如，当您注意到正在执行意外的管理操作时，可触发警报。

有关更多信息，请参阅HSM 审核日志记录的工作原理。

监控 AWS CloudTrail

AWS CloudHSM 与 AWS CloudTrail 集成，后者是一项服务，该服务提供了由用户、角色或 AWS 中的 AWS CloudHSM 服务执行的操作的记录。AWS CloudTrail 将捕获 AWS CloudHSM 的所有 API 调用作为事件。捕获的调用包含来自 AWS CloudHSM 控制台和代码的 AWS CloudHSM API 操作调用。

您可以使用 AWS CloudTrail 来审核向 AWS CloudHSM 控制面板发出的任何 API 调用，以确保您的账户中没有发生任何不必要的活动。

有关详细信息，请参阅使用 AWS CloudTrail 和 AWS CloudHSM。

监控 Amazon CloudWatch 指标。

您可以使用 Amazon CloudWatch 指标来监控您的 AWS CloudHSM 集群。指标可按区域、集群 ID 或 HSM ID 和集群 ID 分组。

您可通过 Amazon CloudWatch 指标，配置 Amazon CloudWatch 警报，提醒您注意可能出现的、任何可能影响您的服务的潜在问题。我们建议配置警报，以监控以下内容：

有关更多详细信息，请参阅 使用 Amazon CloudWatch Logs 和 AWS CloudHSM 审核日志。