在 CloudWatch Logs 中查看 AWS CloudHSM 审核日志 - AWS CloudHSM

在 CloudWatch Logs 中查看 AWS CloudHSM 审核日志

Amazon CloudWatch Logs 将审核日志整理为日志组和日志组内的日志流。每个日志条目都是一个事件。AWS CloudHSM 为每个集群创建一个日志组,并为集群中的每个 HSM 创建一个日志流。您无需创建任何 CloudWatch Logs 组件或更改任何设置。

  • 日志组名称为 /aws/cloudhsm/<cluster ID>;例如 /aws/cloudhsm/cluster-likphkxygsn。当您在 AWS CLI 或 PowerShell 命令中使用日志组名称时,请确保用双引号将其引起来。

  • 日志流名称为 HSM ID;例如 hsm-nwbbiqbj4jk

    一般来说,每个 HSM 均有一个日志流。不过,任何更改 HSM ID 的操作(例如,当 HSM 发生故障并被替换时)都会创建新的日志流。

有关 Amazon CloudWatch Logs 概念的更多信息,请参阅《Amazon CloudWatch Logs 用户指南》中的概念

您可以从 AWS 管理控制台 中的 CloudWatch 日志页面、AWS CLI 中的 CloudWatch Logs 命令CloudWatch Logs PowerShell cmdletsCloudWatch Logs 软件开发工具包查看 HSM 的审核日志。有关说明,请参阅《Amazon CloudWatch Logs 用户指南》中的查看日志数据

例如,下图显示 cluster-likphkxygsn 中的 AWS 管理控制台 群集的日志组。

CloudWatch Logs 中 AWS CloudHSM 集群的日志组。

当您选择群集日志组名称时,可以查看群集中每个 HSM 的日志流。下图显示 cluster-likphkxygsn 群集中的 HSM 的日志流。

CloudWatch Logs 中的 HSM 的日志流。

当您选择 HSM 日志流名称时,可以查看审核日志中的事件。例如,此事件(其序列号为 0x0 且 OpcodeCN_INIT_TOKEN)通常是每个群集中的第一个 HSM 的第一个事件。它记录群集中 HSM 的初始化。

CloudWatch Logs 中的 AWS CloudHSM 审核日志中的一个事件。

您可以使用 CloudWatch Logs 中的所有功能来管理审核日志。例如,您可以使用筛选事件功能来查找事件中的特定文本,例如 CN_CREATE_USER Opcode

要查找所有不包含指定文本的事件,请在文本前添加减号 (-)。例如,要查找不包含 CN_CREATE_USER 的事件,请输入 -CN_CREATE_USER

在 CloudWatch Logs 的 AWS CloudHSM 审核日志中按事件的 Opcode 值筛选事件。