Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen

Wie kann ich meine AWS CloudHSM-Audit-Protokolle einsehen?

Lesedauer: 3 Minute
0

Ich muss die Aktivitäten von AWS CloudHSM aus Compliance- oder Sicherheitsgründen einsehen oder überwachen. Ich muss zum Beispiel wissen, wann ein Benutzer einen Schlüssel erstellt oder verwendet hat.

Kurzbeschreibung

CloudHSM sendet von HSM-Instances gesammelte Audit-Protokolle an Amazon CloudWatch Logs. Weitere Informationen finden Sie unter Überwachung von AWS CloudHSM-Protokollen.

Lösung

Folgen Sie diesen Anweisungen, um die CloudHSM-Audit-Protokolle einzusehen.

Hinweis: Wenn Sie beim Ausführen von AWS-CLI-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste Version der AWS-CLI verwenden.

Ihre HSM-Cluster-ID abrufen

Hinweis: Wenn Sie bereits wissen, wie Ihre HSM-Cluster-ID lautet, können Sie diesen Schritt überspringen.

1.Führen Sie diesen AWS-CLI-Befehl aus, um die IP-Adresse Ihres HSM-Clusters abzurufen.

cat /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg | grep hostname

2.Führen Sie diesen AWS-CLI-Befehl aus.

Hinweis: Ersetzen Sie your-region durch Ihre AWS-Region und your-ip-adress durch Ihre HSM-Cluster-IP-Adresse.

aws cloudhsmv2 describe-clusters --region your-region --query 'Clusters[*].Hsms[?EniIp==`your-ip-address`].{ClusterId:ClusterId}'

Sie erhalten eine Ausgabe, die der folgenden ähnelt.

"ClusterID": "cluster-likphkxygsn"

AWS-Managementkonsole

1.Öffnen Sie die CloudWatch-Konsole für Ihre AWS-Region.

2.Wählen Sie im Navigationsbereich Protokolle aus.

3.Geben Sie im Feld Filter das Namenspräfix für die Protokollgruppe ein. Zum Beispiel /aws/cloudhsm/cluster-likphkxygsn.

4.Wählen Sie unter Protokollstreams den Protokollstream für Ihre HSM-ID in Ihrem Cluster aus. Zum Beispiel hsm-nwbbiqbj4jk.

Hinweis: Weitere Informationen zu Protokollgruppen, Protokollstreams und der Verwendung von Filterereignissen finden Sie unter Audit-Protokolle in CloudWatch-Protokollen anzeigen.

5.Erweitern Sie die Protokollstreams, um vom HSM-Gerät gesammelte Audit-Ereignisse anzuzeigen.

6.Um erfolgreiche CRYPTO_USER-Anmeldungen aufzulisten, geben Sie Folgendes ein:

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS

7.Um fehlgeschlagene CRYPTO_USER-Anmeldungen aufzulisten, geben Sie Folgendes ein:

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE

8.Um erfolgreiche Ereignisse zum Löschen von Schlüsseln aufzulisten, geben Sie Folgendes ein:

Opcode CN_DESTROY_OBJECT Response SUCCESS

Der Opcode identifiziert den Verwaltungsbefehl, der auf dem HSM ausgeführt wurde. Weitere Informationen zu HSM-Verwaltungsbefehlen in Audit-Protokollereignissen finden Sie unter Audit-Protokoll-Referenz.

AWS CLI

1.Verwenden Sie den Befehl describe-log-groups, um die Namen der Protokollgruppen aufzulisten.

aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName'

2.Verwenden Sie diesen Befehl, um erfolgreiche CRYPTO_USER-Anmeldungen aufzulisten.

aws logs  filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd"  --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER
Response SUCCESS"  --output text"

3.Verwenden Sie diesen Befehl, um fehlgeschlagene CRYPTO_USER-Anmeldungen aufzulisten.

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE"  --output text

4.Verwenden Sie diesen Befehl, um erfolgreiche Schlüssellöschungen aufzulisten.

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text

Weitere Informationen finden Sie unter HSM-Audit-Protokolle in CloudWatch-Protokollen anzeigen.


Ähnliche Informationen

Interpretation von HSM-Audit-Protokollen

filter-log-events

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 3 Jahren