本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在日志中查看 AWS CloudHSM 审核 CloudWatch 日志
<a name="understand-audit-logs"></a>

Amazon Logs 将审核 CloudWatch *日志组织到日志组*中，并在日志组内组织到*日志流*中。每个日志条目都是一个*事件*。 AWS CloudHSM 为每个集群创建一个*日志组*，为集群中的每个 HSM 创建一个*日志流*。您无需创建任何 CloudWatch Logs 组件或更改任何设置。
+ *日志组*名称为 `/aws/cloudhsm/<cluster ID>`；例如 `/aws/cloudhsm/cluster-likphkxygsn`。在 AWS CLI 或 PowerShell 命令中使用日志组名称时，请务必用双引号将其括起来。
+ *日志流*名称为 HSM ID；例如 `hsm-nwbbiqbj4jk`。

  一般来说，每个 HSM 均有一个日志流。不过，任何更改 HSM ID 的操作（例如，当 HSM 发生故障并被替换时）都会创建新的日志流。

有关 CloudWatch 日志概念的更多信息，请参阅 *Amazon CloudWatch 日志用户指南*中的[概念](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogsConcepts.html)。

[您可以从中的日志页面、中的日志[命令 AWS 管理控制台、 CloudWatch 日志 PowerShell cmdlet 或CloudWatch 日志](https://docs.aws.amazon.com/cli/latest/reference/logs/index.html#cli-aws-logs)[中查看 HSM 的审核CloudWatch 日志](https://docs.aws.amazon.com/powershell/latest/reference/items/Amazon_CloudWatch_Logs_cmdlets.html)。 AWS CLI CloudWatch SDKs](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/)有关说明，请参阅 *Amazon 日志用户指南中的查看 CloudWatch 日志*[数据](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#ViewingLogData)。

例如，下图显示 AWS 管理控制台中的 `cluster-likphkxygsn` 群集的日志组。

![\[Log CloudWatch s 中集 AWS CloudHSM 群的日志组。\]](http://docs.aws.amazon.com/zh_cn/cloudhsm/latest/userguide/images/cloudwatch-logs-cluster.png)


选择集群日志组名称后，可以查看集群 HSMs 中每个日志组的日志流。下图显示了`cluster-likphkxygsn`集群 HSMs 中的日志流。

![\[Logs 中 HSM 的 CloudWatch 日志流。\]](http://docs.aws.amazon.com/zh_cn/cloudhsm/latest/userguide/images/cloudwatch-logs-hsm.png)


当您选择 HSM 日志流名称时，可以查看审核日志中的事件。例如，此事件（其序列号为 0x0 且 `CN_INIT_TOKEN` 为 `Opcode`）通常是每个群集中的第一个 HSM 的第一个事件。它记录群集中 HSM 的初始化。

![\[日志中 AWS CloudHSM 审核 CloudWatch 日志中的事件。\]](http://docs.aws.amazon.com/zh_cn/cloudhsm/latest/userguide/images/cloudwatch-logs-event.png)


您可以使用 CloudWatch 日志中的所有功能来管理审核日志。例如，您可以使用**筛选事件**功能来查找事件中的特定文本，例如 `CN_CREATE_USER` `Opcode`。

要查找所有不包含指定文本的事件，请在文本前添加减号 (-)。例如，要查找不包含 `CN_CREATE_USER` 的事件，请输入 **-CN\$1CREATE\$1USER**。

![\[在日志中按其Opcode值筛选 AWS CloudHSM 审核 CloudWatch 日志中的事件。\]](http://docs.aws.amazon.com/zh_cn/cloudhsm/latest/userguide/images/cloudwatch-logs-event-filter.png)