CloudWatch Logs での AWS CloudHSM 監査ログの表示

Amazon CloudWatch Logs は、監査ログを [ロググループ] と、ロググループ内で [ログストリーム] に作成します。各ログエントリは 1 つの [イベント] です。AWS CloudHSM は各クラスターに 1 つの [ロググループ]と、クラスターの各 HSM に 1 つの [ログストリーミング] を作成します。CloudWatch Logs コンポーネントを作成する必要も、設定を変更する必要もありません。

ロググループの名前は /aws/cloudhsm/<cluster ID> です (たとえば、/aws/cloudhsm/cluster-likphkxygsn)。AWS CLI あるいは PowerShell コマンドでロググループを使用する場合、必ずこれを二重引用符で囲んでください。
ログストリーム名は HSM ID です (たとえば、hsm-nwbbiqbj4jk)。

一般的には、各 HSM に 1 つのログストリームがあります。ただし、HSM ID を変更するすべてのアクション (HSM が失敗して置き換えられた場合など) は新しいログストリームを作成します。

CloudWatch Logs コンセプトの詳細については、[Amazon CloudWatch Logs ユーザーガイド] の[概念] を参照してください。

HSM の監査ログは、AWS Management Console の CloudWatch Logs ページ、AWS CLI の CloudWatch Logs コマンド、CloudWatch Logs PowerShell cmdlets、またはCloudWatch Logs SDK から閲覧できます。手順については、[Amazon CloudWatch Logs ユーザーガイド] の [ログデータの表示] を参照してください。

たとえば、次の図は AWS Management Console の cluster-likphkxygsn クラスターのロググループを示しています。

CloudWatch Logs の AWS CloudHSM クラスターのロググループ

クラスターのロググループ名を選択すると、このクラスターの各 HSM のログストリームを表示することができます。つぎの図は、cluster-likphkxygsn クラスターの HSM のログストリームを示しています。

HSM のログストリーム名を選択すると、監査ログのイベントを表示することができます。たとえば、0x0 のシーケンス番号と CN_INIT_TOKEN の Opcode があるこのイベントは、通常の場合、各クラスターの最初の HSM の最初のイベントです。これには、このクラスターで HSM が初期化されたことが記録されています。

CloudWatch Logs の AWS CloudHSM 監査ログのイベント

CloudWatch Logs にある多くの機能を使用して、監査ログを管理できます。たとえば、イベントのフィルター機能を使用すると、イベント内で特定のテキスト (CN_CREATE_USER Opcode など) を検索できます。

特定のテキストを含まないすべてのイベントを検索するには、テキストの前に負符号 (-) を追加します。たとえば、CN_CREATE_USER を含まないイベントを見つけるには、-CN_CREATE_USER を入力します。

AWS CloudHSM の値によって CloudWatch Logs の Opcode 監査ログのイベントをフィルタします。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ログ記録の仕組み

ログの解釈