翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS CloudHSM 監査ログの解釈
HSM 監査ログ内のイベントには、標準フィールドがあります。一部のイベントタイプには、イベントに関する有益な情報をキャプチャする追加のフィールドがあります。たとえば、ユーザーログインおよびユーザー管理イベントには、ユーザーのユーザー名とユーザータイプが含まれています。キー管理コマンドには、キーハンドルが含まれます。
いくつかのフィールドは、特に重要な情報を提供しています。`Opcode` は、記録している管理コマンドを識別します。`Sequence No` は、イベントをログストリームで識別して、記録された順序を示します。
たとえば、次のログイベント例は、HSM のログストリームで 2 番目のイベント (`Sequence No: 0x1`) です。これには、HSM が生成するパスワード暗号化キーが示され、これは起動ルーチンの一部です。
```
Time: 12/19/17 21:01:17.140812, usecs:1513717277140812
Sequence No : 0x1
Reboot counter : 0xe8
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_GEN_PSWD_ENC_KEY (0x1d)
Session Handle : 0x1004001
Response : 0:HSM Return: SUCCESS
Log type : MINIMAL_LOG_ENTRY (0)
```
次のフィールドは、監査ログのすべての AWS CloudHSM イベントに共通です。
**Time**
イベントが発生した時間 (UTC タイムゾーン)。この時間は、人間が読み取れる時間と Unix 時間 (マイクロ秒) で表示されます。
**再起動カウンタ**
HSM ハードウェアが再起動されたときに増加する、32 ビットの永続的な序数カウンタ。
ログストリームのすべてのイベントには、同じ再起動カウンタ値があります。ただし、再起動カウンタは同じクラスターの別々の HSM インスタンスでは異なることがあるため、このカウンタはログストリームに固有ではないことがあります。
**シーケンスなし**
ログイベントごとに増加する 64 ビット序数カウンタ。各ログストリームの最初のイベントのシーケンス番号は 0 x 0 です。`Sequence No` 値でギャップがないようにする必要があります。シーケンス番号は、ログストリーム内でのみ一意です。
**コマンドタイプ**
コマンドのカテゴリを示す 16 進値です。 AWS CloudHSM ログストリームのコマンドには、`CN_MGMT_CMD` (0x0) あるいは `CN_CERT_AUTH_CMD` (0x9) のコマンドタイプがあります。
**Opcode**
実行された管理コマンドを識別します。 AWS CloudHSM 監査ログ`Opcode`の値のリストについては、「」を参照してください[AWS CloudHSM 監査ログリファレンス](cloudhsm-audit-log-reference.md)。
**セッションハンドル**
コマンドが実行され、イベントがログされたセッションを識別します。
**応答**
レスポンスを管理コマンドに記録します。`Response` フィールドで `SUCCESS` および `ERROR` 値を検索できます。
**ログタイプ**
コマンドを記録したログの AWS CloudHSM ログタイプを示します。
+ `MINIMAL_LOG_ENTRY (0)`
+ `MGMT_KEY_DETAILS_LOG (1)`
+ `MGMT_USER_DETAILS_LOG (2)`
+ `GENERIC_LOG`
## 監査ログイベントの例
ログストリーム内のイベントには、作成から削除までの HSM の履歴が記録されます。ログを使用して HSM のライフサイクルを確認し、オペレーションを把握することができます。イベントを解釈するときに、管理コマンドあるいはアクションを示す `Opcode` とイベントの順序を示す `Sequence No` に注目します。
**Topics**
+ [例: クラスターの最初の HSM を初期化する](#example-audit-log-first-hsm)
+ [ログインとログアウトイベント](#example-audit-log-login-logout)
+ [例: ユーザーの作成と削除](#example-audit-log-first-hsm)
+ [例: キーペアの作成と削除](#example-audit-log-manage-keys)
+ [例: キーの生成と同期](#audit-log-example-gen-key)
+ [例: キーのエクスポート](#audit-log-example-export-key)
+ [例: キーのインポート](#audit-log-example-import-key)
+ [例: キーの共有と共有解除](#audit-log-example-share-unshare-key)
### 例: クラスターの最初の HSM を初期化する
各クラスターの最初の HSM の監査ログストリームは、クラスターの他の HSM のログストリームとは大幅に異なります。各クラスターの最初の HSM の監査ログは、この HSM の作成と初期化を記録します。クラスターに追加する HSM のログはバックアップから生成され、ログインイベントで始まります。
**重要**
以下の初期化エントリは、CloudHSM 監査ログ記録機能のリリース (2018 年 8 月 30 日) 前に初期化されたクラスターの CloudWatch Logs には表示されません。詳細については、「[ドキュメント履歴](document-history.md)」を参照してください。
次のイベント例には、クラスターの最初の HSM のログストリームを表示しています。ログの最初のイベント (`Sequence No 0x0` がついているもの) は、HSM(`CN_INIT_TOKEN`) を初期化するコマンドを表しています。このレスポンスは、コマンドが正常に実行されたことを示します (`Response : 0: HSM Return: SUCCESS`)。
```
Time: 12/19/17 21:01:16.962174, usecs:1513717276962174
Sequence No : 0x0
Reboot counter : 0xe8
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_INIT_TOKEN (0x1)
Session Handle : 0x1004001
Response : 0:HSM Return: SUCCESS
Log type : MINIMAL_LOG_ENTRY (0)
```
このログストリーム例の 2 番目のイベント (`Sequence No 0x1`) は、HSM が使用するパスワード暗号化キーを作成するコマンド (`CN_GEN_PSWD_ENC_KEY`) を記録します。
これは、各クラスターの最初の HSM の一般的な起動シーケンスです。同じクラスターの後続の HSM は最初の HSM のクローンであるため、これらはおなじパスワード暗号化キーを使用します。
```
Time: 12/19/17 21:01:17.140812, usecs:1513717277140812
Sequence No : 0x1
Reboot counter : 0xe8
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_GEN_PSWD_ENC_KEY (0x1d)
Session Handle : 0x1004001
Response : 0:HSM Return: SUCCESS
Log type : MINIMAL_LOG_ENTRY (0)
```
この例のログストリーミング (`Sequence No 0x2`) の 3 番目のイベントは、[[Appliance User (AU)](understanding-users-cmu.md#appliance-user-cmu)] が作成したもので、 AWS CloudHSM サービスです。HSM ユーザーに関係するイベントには、ユーザー名とユーザータイプ用の追加フィールドが含まれています。
```
Time: 12/19/17 21:01:17.174902, usecs:1513717277174902
Sequence No : 0x2
Reboot counter : 0xe8
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_CREATE_APPLIANCE_USER (0xfc)
Session Handle : 0x1004001
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : app_user
User Type : CN_APPLIANCE_USER (5)
```
このログストリーム例の 4 番目のイベント (`Sequence No 0x3`) は、HSM の初期化を完了する `CN_INIT_DONE` イベントを記録します。
```
Time: 12/19/17 21:01:17.298914, usecs:1513717277298914
Sequence No : 0x3
Reboot counter : 0xe8
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_INIT_DONE (0x95)
Session Handle : 0x1004001
Response : 0:HSM Return: SUCCESS
Log type : MINIMAL_LOG_ENTRY (0)
```
起動シーケンスの残りのイベントを追跡することができます。これらのイベントには、いくつかのログイン/ログアウトイベント、およびキー暗号化キー (KEK) の生成が含まれている場合があります。次のイベントは、[Precrypto Officer (PRECO)](understanding-users-cmu.md#preco) のパスワードを変更するコマンドを記録します。このコマンドは、クラスターをアクティブ化します。
```
Time: 12/13/17 23:04:33.846554, usecs:1513206273846554
Sequence No: 0x1d
Reboot counter: 0xe8
Command Type(hex): CN_MGMT_CMD (0x0)
Opcode: CN_CHANGE_PSWD (0x9)
Session Handle: 0x2010003
Response: 0:HSM Return: SUCCESS
Log type: MGMT_USER_DETAILS_LOG (2)
User Name: admin
User Type: CN_CRYPTO_PRE_OFFICER (6)
```
### ログインとログアウトイベント
監査ログを解釈するときに、ユーザーのロギングおよび HSM のログイン/ログアウトを記録するイベントに注目します。このイベントは、どのユーザーがログインとログアウト間のシーケンスに示される管理コマンドの責任者であるかを判断するために役立ちます。
たとえば、このログエントリは `admin` という名前の crypto officer のログインを記録しています。シーケンス番号 (`0x0`) は、これがこのログストリームの最初のイベントであることを示しています。
ユーザーが HSM にログインすると、このクラスターの他の HSM にもこのユーザーのログインイベントが記録されます。ログインイベントの開始からすぐに、クラスターの他の HSM のログストリームで該当するログインイベントが見つかります。
```
Time: 01/16/18 01:48:49.824999, usecs:1516067329824999
Sequence No : 0x0
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGIN (0xd)
Session Handle : 0x7014006
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : admin
User Type : CN_CRYPTO_OFFICER (2)
```
次のイベント例では、`admin` crypto officer のログアウトを記録しています。シーケンス番号 (`0x2`) は、これがログストリームの 3 番目のイベントであることを示しています。
ログインしているユーザーがログアウトせずにセッションを終了すると、ログストリームには、`CN_LOGOUT` イベントの代わりに`CN_APP_FINALIZE` あるいは終了セッションイベント (`CN_SESSION_CLOSE`) が含まれます。ログインイベントとは異なり、このログアウトイベントは通常の場合、このコマンドを実行する HSM にのみ記録されます。
```
Time: 01/16/18 01:49:55.993404, usecs:1516067395993404
Sequence No : 0x2
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGOUT (0xe)
Session Handle : 0x7014000
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : admin
User Type : CN_CRYPTO_OFFICER (2)
```
ユーザー名が無効なためにログイン試行が失敗した場合、HSM はログインコマンドで提供されたユーザー名およびユーザータイプを `CN_LOGIN` イベントに記録します。このレスポンスには、ユーザー名が存在しないことを示すメッセージ 157 が表示されます。
```
Time: 01/24/18 17:41:39.037255, usecs:1516815699037255
Sequence No : 0x4
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGIN (0xd)
Session Handle : 0xc008002
Response : 157:HSM Error: user isn't initialized or user with this name doesn't exist
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : ExampleUser
User Type : CN_CRYPTO_USER (1)
```
パスワードが無効なためにログイン試行が失敗した場合、HSM はログインコマンドで提供されたユーザー名およびユーザータイプを `CN_LOGIN` イベントに記録します。レスポンスには、`RET_USER_LOGIN_FAILURE` エラーコードを示すエラーメッセージが表示されます。
```
Time: 01/24/18 17:44:25.013218, usecs:1516815865013218
Sequence No : 0x5
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGIN (0xd)
Session Handle : 0xc008002
Response : 163:HSM Error: RET_USER_LOGIN_FAILURE
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : testuser
User Type : CN_CRYPTO_USER (1)
```
### 例: ユーザーの作成と削除
この例には、crypto officer (CO) がユーザーの作成および削除をしたことを記録するログイベントが示されています。
最初のイベントでは、CO (`admin`) の HSM へのログインを記録しています。シーケンス番号 (`0x0`) は、これがログストリームの最初のイベントであることを示しています。このイベントには、ログインしたユーザーのユーザー名とタイプが含まれています。
```
Time: 01/16/18 01:48:49.824999, usecs:1516067329824999
Sequence No : 0x0
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGIN (0xd)
Session Handle : 0x7014006
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : admin
User Type : CN_CRYPTO_OFFICER (2)
```
ログストリームの次のイベント (シーケンス `0x1`) には、CO が新しい Crypto User (CU) を作成したことが記録されています。このイベントには、新しいユーザーのユーザー名とタイプが含まれています。
```
Time: 01/16/18 01:49:39.437708, usecs:1516067379437708
Sequence No : 0x1
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_CREATE_USER (0x3)
Session Handle : 0x7014006
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : bob
User Type : CN_CRYPTO_USER (1)
```
次に、CO は別の crypto officer (`alice`) を作成します。このシーケンス番号は、このアクションが前のアクションに従っていること (介在するアクションなしで) を示しています。
```
Time: 01/16/18 01:49:55.993404, usecs:1516067395993404
Sequence No : 0x2
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_CREATE_CO (0x4)
Session Handle : 0x7014007
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : alice
User Type : CN_CRYPTO_OFFICER (2)
```
後で、`admin` という名前の CO がログインし、`alice` という名前の crypto officer を削除しています。HSM は `CN_DELETE_USER` イベントを記録します。このイベントには、削除されたユーザーのユーザー名とタイプが含まれています。
```
Time: 01/23/18 19:58:23.451420, usecs:1516737503451420
Sequence No : 0xb
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_DELETE_USER (0xa1)
Session Handle : 0x7014007
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : alice
User Type : CN_CRYPTO_OFFICER (2)
```
### 例: キーペアの作成と削除
この例では、キーペアを作成/削除したことを HSM 監査ログに記録したイベントを示しています。
次のイベントでは、`crypto_user` という名前の Crypto User (CU) が HSM にログインしたことを記録しています。
```
Time: 12/13/17 23:09:04.648952, usecs:1513206544648952
Sequence No: 0x28
Reboot counter: 0xe8
Command Type(hex): CN_MGMT_CMD (0x0)
Opcode: CN_LOGIN (0xd)
Session Handle: 0x2014005
Response: 0:HSM Return: SUCCESS
Log type: MGMT_USER_DETAILS_LOG (2)
User Name: crypto_user
User Type: CN_CRYPTO_USER (1)
```
次に、CU がキーペア (`CN_GENERATE_KEY_PAIR`) を生成します。プライベートキーのキーハンドルは `131079` です。パブリックキーのキーハンドルは `131078` です。
```
Time: 12/13/17 23:09:04.761594, usecs:1513206544761594
Sequence No: 0x29
Reboot counter: 0xe8
Command Type(hex): CN_MGMT_CMD (0x0)
Opcode: CN_GENERATE_KEY_PAIR (0x19)
Session Handle: 0x2014004
Response: 0:HSM Return: SUCCESS
Log type: MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle: 131079
Public Key Handle: 131078
```
CU はすぐにこのキーペアを削除します。CN\_DESTROY\_OBJECT イベントは、パブリックキー (131078) の削除を記録しています。
```
Time: 12/13/17 23:09:04.813977, usecs:1513206544813977
Sequence No: 0x2a
Reboot counter: 0xe8
Command Type(hex): CN_MGMT_CMD (0x0)
Opcode: CN_DESTROY_OBJECT (0x11)
Session Handle: 0x2014004
Response: 0:HSM Return: SUCCESS
Log type: MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle: 131078
Public Key Handle: 0
```
次に、2 番目の `CN_DESTROY_OBJECT` イベントに、プライベートキー (`131079`) の削除が記録されています。
```
Time: 12/13/17 23:09:04.815530, usecs:1513206544815530
Sequence No: 0x2b
Reboot counter: 0xe8
Command Type(hex): CN_MGMT_CMD (0x0)
Opcode: CN_DESTROY_OBJECT (0x11)
Session Handle: 0x2014004
Response: 0:HSM Return: SUCCESS
Log type: MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle: 131079
Public Key Handle: 0
```
最後に、CU がログアウトします。
```
Time: 12/13/17 23:09:04.817222, usecs:1513206544817222
Sequence No: 0x2c
Reboot counter: 0xe8
Command Type(hex): CN_MGMT_CMD (0x0)
Opcode: CN_LOGOUT (0xe)
Session Handle: 0x2014004
Response: 0:HSM Return: SUCCESS
Log type: MGMT_USER_DETAILS_LOG (2)
User Name: crypto_user
User Type: CN_CRYPTO_USER (1)
```
### 例: キーの生成と同期
この例では、複数の HSM のクラスターでキーを作成した結果が示されています。1 つの HSM で生成されたキーはこの HSM からマスクされたオブジェクトとして抽出され、別の HSM にマスクされたオブジェクトとして挿入されます。
**注記**
クライアントツールで、キーを同期できない場合があります。または、特定数の HSM のみにキーを同期する **min\_srv** パラメータがコマンドに含まれている場合があります。いずれの場合も、 AWS CloudHSM サービスはキーをクラスター内の他の HSMsに同期します。HSM はクライアント側の管理コマンドのみをログに記録するため、サーバー側の同期はこの HSM ログには記録されません。
まず、このコマンドを受信して実行する HSM のログストリームを検討します。このログストリームは HSM ID (`hsm-abcde123456`) で名付けられていますが、この HSM ID はログイベントには表示されません。
まず、 `testuser` Crypto User(CU) が `hsm-abcde123456` HSM にログインします。
```
Time: 01/24/18 00:39:23.172777, usecs:1516754363172777
Sequence No : 0x0
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGIN (0xd)
Session Handle : 0xc008002
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : testuser
User Type : CN_CRYPTO_USER (1)
```
CU は [exSymKey](key_mgmt_util-genSymKey.md) コマンドを実行して対称キーを生成します。`hsm-abcde123456` HSM は `262152` のキーハンドルを使用して対称キーを生成します。HSM はそのログに `CN_GENERATE_KEY` イベントを記録します。
```
Time: 01/24/18 00:39:30.328334, usecs:1516754370328334
Sequence No : 0x1
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_GENERATE_KEY (0x17)
Session Handle : 0xc008004
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 262152
Public Key Handle : 0
```
`hsm-abcde123456` のログストリームの次のイベントには、キーの同期プロセスの最初のステップが記録されています。新しいキー (キーハンドル `262152`) は HSM からマスクオブジェクトとして抽出されています。
```
Time: 01/24/18 00:39:30.330956, usecs:1516754370330956
Sequence No : 0x2
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_EXTRACT_MASKED_OBJECT_USER (0xf0)
Session Handle : 0xc008004
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 262152
Public Key Handle : 0
```
ここで、同じクラスターの別の HSM である HSM `hsm-zyxwv987654` のログストリームを検討します。このログストリームにも、`testuser` CU のログインイベントが含まれています。時刻値は、ユーザーが `hsm-abcde123456` HSM に ログインしたすぐあとで発生したことを示しています。
```
Time: 01/24/18 00:39:23.199740, usecs:1516754363199740
Sequence No : 0xd
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGIN (0xd)
Session Handle : 0x7004004
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : testuser
User Type : CN_CRYPTO_USER (1)
```
HSM のこのログストリームには、`CN_GENERATE_KEY` イベントがありません。ただし、この HSM へのキーの同期を記録するイベントはあります。`CN_INSERT_MASKED_OBJECT_USER` イベントは、キー `262152` をマスクされたオブジェクトとして受信したことを記録しています。これで、キー `262152` がクラスターの両方の HSM に存在するようになりました。
```
Time: 01/24/18 00:39:30.408950, usecs:1516754370408950
Sequence No : 0xe
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_INSERT_MASKED_OBJECT_USER (0xf1)
Session Handle : 0x7004003
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 262152
Public Key Handle : 0
```
CU ユーザーがログアウトすると、この `CN_LOGOUT` イベントはコマンドを受信する HSM のログストリームのみに表示されます。
### 例: キーのエクスポート
この例では、Crypto User (CU) が複数の HSM があるクラスターからキーをエクスポートすることを記録した監査ログイベントを示しています。
次のイベントは、CU (`testuser`) が [[key\_mgmt\_util](key_mgmt_util.md)] にログインしたことを記録しています。
```
Time: 01/24/18 19:42:22.695884, usecs:1516822942695884
Sequence No : 0x26
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGIN (0xd)
Session Handle : 0x7004004
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : testuser
User Type : CN_CRYPTO_USER (1)
```
CU は [exSymKey](key_mgmt_util-exSymKey.md) コマンドを実行して、キー `7` (256 ビット AES キー) をエクスポートします。このコマンドは、ラップキーとして HSM でキー `6` (256 ビット AES キー) を使用します。
コマンドを受信した HSM は、エクスポートされたキー `7` の `CN_WRAP_KEY` イベントを記録します。
```
Time: 01/24/18 19:51:12.860123, usecs:1516823472860123
Sequence No : 0x27
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_WRAP_KEY (0x1a)
Session Handle : 0x7004003
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 7
Public Key Handle : 0
```
次に、HSM はラップされたキーであるキー `6` の `CN_NIST_AES_WRAP` イベントを記録します。このキーはラップされ、すぐにラップ解除されますが、HSM は 1 つのイベントのみを記録します。
```
Time: 01/24/18 19:51:12.905257, usecs:1516823472905257
Sequence No : 0x28
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_NIST_AES_WRAP (0x1e)
Session Handle : 0x7004003
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 6
Public Key Handle : 0
```
この **exSymKey** コマンドはエクスポートされたキーをファイルに書き込みますが、HSM でキーの変更は行いません。したがって、クラスターの他の HSM のログには対応するイベントはありません。
### 例: キーのインポート
この例では、クラスターの HSM にキーをインポートしたことを記録する監査ログイベントを示しています。この例では、Crypto User (CU) が [imSymKey](key_mgmt_util-imSymKey.md) コマンドを使用して AES キーを HSM にインポートしています。このコマンドは、キー `6` をラップされたキーとして使用します。
コマンドを受信した HSM は、ラップされたキー `6` の `CN_NIST_AES_WRAP` イベントをまず記録します。
```
Time: 01/24/18 19:58:23.170518, usecs:1516823903170518
Sequence No : 0x29
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_NIST_AES_WRAP (0x1e)
Session Handle : 0x7004003
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 6
Public Key Handle : 0
```
次に、この HSM はインポートオペレーションを表す `CN_UNWRAP_KEY` イベントを記録します。インポートされたキーには、`11` のキーハンドルが割り当てられます。
```
Time: 01/24/18 19:58:23.200711, usecs:1516823903200711
Sequence No : 0x2a
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_UNWRAP_KEY (0x1b)
Session Handle : 0x7004003
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 11
Public Key Handle : 0
```
新しいキーが生成あるいはインポートされると、クライアントツールは自動的にこの新しいキーをクラスターの他の HSM に同期する試みを行います。この場合、HSM はキー `11` がマスクオブジェクトとして HSM から抽出されたことを `CN_EXTRACT_MASKED_OBJECT_USER` イベントに記録します。
```
Time: 01/24/18 19:58:23.203350, usecs:1516823903203350
Sequence No : 0x2b
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_EXTRACT_MASKED_OBJECT_USER (0xf0)
Session Handle : 0x7004003
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 11
Public Key Handle : 0
```
クラスターの他の HSM のログストリームには、新しくインポートされたキーの到着が示されます。
たとえば、同じクラスターの異なる HSM のログストリームには、このイベントが記録されています。この `CN_INSERT_MASKED_OBJECT_USER` イベントは、キー `11` を表すマスクされたオブジェクトの到着を記録します。
```
Time: 01/24/18 19:58:23.286793, usecs:1516823903286793
Sequence No : 0xb
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_INSERT_MASKED_OBJECT_USER (0xf1)
Session Handle : 0xc008004
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 11
Public Key Handle : 0
```
### 例: キーの共有と共有解除
この例では、Crypto User (CU) が他の Crypto User (CU) とECC プライベートキーを共有または共有解除したときに記録される監査ログイベントを示します。CU は、[shareKey](cloudhsm_mgmt_util-shareKey.md) コマンドを使用し、キーのハンドル、ユーザー ID、値 `1` (共有) または `0` (共有解除) を行います。
次の例では、コマンドを受け取る HSM は、共有オペレーションを表す `CM_SHARE_OBJECT` イベントを記録します。
```
Time: 02/08/19 19:35:39.480168, usecs:1549654539480168
Sequence No : 0x3f
Reboot counter : 0x38
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_SHARE_OBJECT (0x12)
Session Handle : 0x3014007
Response : 0:HSM Return: SUCCESS
Log type : UNKNOWN_LOG_TYPE (5)
```