翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudWatch Logs での HSM 監査ログの表示
Amazon CloudWatch Logs は、監査ログをロググループに、ロググループ内でログストリーム に整理します。各ログエントリはイベント です。 は、クラスターごとに 1 つのロググループを作成し、クラスター内の HSM ごとに 1 つのログストリーム AWS CloudHSM を作成します。 CloudWatch Logs コンポーネントを作成したり、設定を変更したりする必要はありません。
-
ロググループの名前は
/aws/cloudhsm/
です (たとえば、<cluster ID>
/aws/cloudhsm/cluster-likphkxygsn
)。 AWS CLI または PowerShell コマンドでロググループ名を使用する場合は、必ず二重引用符で囲みます。 -
ログストリーム名は HSM ID です (たとえば、
hsm-nwbbiqbj4jk
)。一般的には、各 HSM に 1 つのログストリームがあります。ただし、HSM ID を変更するすべてのアクション (HSM が失敗して置き換えられた場合など) は新しいログストリームを作成します。
CloudWatch ログの概念の詳細については、「Amazon Logs ユーザーガイド」の「概念」を参照してください。 CloudWatch
HSM の監査ログは、 の CloudWatch 「ログ」ページ AWS Management Console、 のCloudWatch 「ログ」コマンド AWS CLI、CloudWatch 「ログコマンドレット PowerShell」、またはCloudWatch 「ログ SDKs」から表示できます。手順については、「Amazon Logs ユーザーガイド」の「ログデータの表示」を参照してください。 CloudWatch
たとえば、次の図は AWS Management Consoleの cluster-likphkxygsn
クラスターのロググループを示しています。
クラスターのロググループ名を選択すると、このクラスターの各 HSM のログストリームを表示することができます。つぎの図は、cluster-likphkxygsn
クラスターの HSM のログストリームを示しています。
HSM のログストリーム名を選択すると、監査ログのイベントを表示することができます。たとえば、0x0 のシーケンス番号と CN_INIT_TOKEN
の Opcode
があるこのイベントは、通常の場合、各クラスターの最初の HSM の最初のイベントです。これには、このクラスターで HSM が初期化されたことが記録されています。
CloudWatch ログのすべての機能を使用して、監査ログを管理できます。たとえば、イベントのフィルター機能を使用すると、イベント内で特定のテキスト (CN_CREATE_USER
Opcode
など) を検索できます。
特定のテキストを含まないすべてのイベントを検索するには、テキストの前に負符号 (-) を追加します。たとえば、CN_CREATE_USER
を含まないイベントを見つけるには、-CN_CREATE_USER を入力します。