本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 CloudWatch Logs 中檢視 AWS CloudHSM 稽核日誌
<a name="understand-audit-logs"></a>

Amazon CloudWatch Logs 會將稽核日誌組織到*日誌群組*，並在日誌群組內組織到*日誌串流*。每個日誌項目都是 *event*。 會為每個叢集 AWS CloudHSM 建立一個*日誌群組*，並為叢集中的每個 HSM 建立一個*日誌串流*。您不需要建立任何 CloudWatch Logs 元件或變更任何設定。
+ *日誌群組*名稱是 `/aws/cloudhsm/<cluster ID>`；例如 `/aws/cloudhsm/cluster-likphkxygsn`。當您在 AWS CLI 或 PowerShell 命令中使用日誌群組名稱時，請務必將它括上雙引號。
+ *日誌串流*名稱是 HSM ID；例如 `hsm-nwbbiqbj4jk`。

  一般而言，每個 HSM 都有一個日誌串流。不過，任何變更 HSM ID 的動作 (例如 HSM 故障及更換時) 都會建立新的日誌串流。

如需 CloudWatch Logs 概念的詳細資訊，請參閱 *Amazon CloudWatch Logs 使用者指南*中的[概念](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogsConcepts.html)。

您可以從 中的 CloudWatch Logs 頁面 AWS 管理主控台、 中的 [CloudWatch Logs 命令](https://docs.aws.amazon.com/cli/latest/reference/logs/index.html#cli-aws-logs) AWS CLI、[CloudWatch Logs PowerShell cmdlet ](https://docs.aws.amazon.com/powershell/latest/reference/items/Amazon_CloudWatch_Logs_cmdlets.html)或 [CloudWatch Logs SDKs檢視 HSM 的稽核日誌](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/)。如需詳細資訊，請參閱 *Amazon CloudWatch Logs 使用者指南*中的[檢視日誌資料](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#ViewingLogData)。

例如，下圖顯示 AWS 管理主控台中 `cluster-likphkxygsn` 叢集的日誌群組。

![\[CloudWatch Logs 中 AWS CloudHSM 叢集的日誌群組。\]](http://docs.aws.amazon.com/zh_tw/cloudhsm/latest/userguide/images/cloudwatch-logs-cluster.png)


當您選擇叢集日誌群組名稱時，可以檢視叢集中每個 HSM 的日誌串流。下圖顯示 `cluster-likphkxygsn` 叢集中 HSM 的日誌串流。

![\[CloudWatch Logs 中 HSM 的日誌串流。\]](http://docs.aws.amazon.com/zh_tw/cloudhsm/latest/userguide/images/cloudwatch-logs-hsm.png)


當您選擇 HSM 日誌串流名稱時，可以檢視稽核日誌中的事件。例如，此事件 (序號為 0x0 且 `Opcode` 為 `CN_INIT_TOKEN`) 一般是每個叢集中第一個 HSM 的第一個事件。它記錄叢集中 HSM 的初始化。

![\[CloudWatch Logs AWS CloudHSM 稽核日誌中的事件。\]](http://docs.aws.amazon.com/zh_tw/cloudhsm/latest/userguide/images/cloudwatch-logs-event.png)


您可以使用 CloudWatch Logs 中的所有許多功能來管理稽核日誌。例如，您可以使用**篩選事件**功能來尋找事件中的特定文字，例如 `CN_CREATE_USER` `Opcode`。

若要尋找所有未包含指定文字的事件，請在文字前面新增減號 (-)。例如，若要尋找未包含 `CN_CREATE_USER` 的事件，請輸入 **-CN\$1CREATE\$1USER**。

![\[在 CloudWatch Logs 中依事件Opcode的值篩選 AWS CloudHSM 稽核日誌中的事件。\]](http://docs.aws.amazon.com/zh_tw/cloudhsm/latest/userguide/images/cloudwatch-logs-event-filter.png)