本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS CloudHSM 監控最佳實務
<a name="bp-monitoring"></a>

本節說明您可以用來監控叢集和應用程式的多種機制。如需監控的其他詳細資訊，請參閱 [監控 AWS CloudHSM](get-logs.md)。

## 監控用戶端日誌
<a name="w2aab9c15b5"></a>

每個用戶端 SDK 都會寫入您可以監控的日誌。如需用戶端記錄的資訊，請參閱 [使用 AWS CloudHSM 用戶端 SDK 日誌](hsm-client-logs.md)。

在設計為暫時性的平台上，例如 Amazon ECS 和 AWS Lambda，從檔案收集用戶端日誌可能很困難。在這些情況下，最佳實務是設定用戶端 SDK 記錄以將日誌寫入 主控台。大多數 服務會自動收集此輸出，並將其發佈至 Amazon CloudWatch logs，供您保留和檢視。

如果您在 AWS CloudHSM 用戶端 SDK 上使用任何第三方整合，您應該確保設定該軟體套件，將其輸出記錄到主控台。此套件可能會擷取來自 AWS CloudHSM 用戶端 SDK 的輸出，否則會寫入其自己的日誌檔案。

如需如何在應用程式中設定記錄選項的資訊[AWS CloudHSM 用戶端 SDK 5 設定工具](configure-sdk-5.md)，請參閱 。

## 監控稽核日誌
<a name="w2aab9c15b7"></a>

AWS CloudHSM 會將稽核日誌發佈到您的 Amazon CloudWatch 帳戶。稽核日誌來自 HSM，並追蹤特定操作以進行稽核。

您可以使用稽核日誌來追蹤 HSM 上叫用的任何管理命令。例如，當您注意到正在執行非預期的管理操作時，您可以觸發警示。

如需詳細資訊，請參閱[HSM 稽核記錄的運作方式](get-audit-logs-from-cloudwatch.md)。

## 監控 AWS CloudTrail
<a name="w2aab9c15b9"></a>

AWS CloudHSM 已與 服務整合 AWS CloudTrail，此服務提供使用者、角色或 AWS 服務 in. AWS CloudTrail captures 對 的所有 API 呼叫 AWS CloudHSM 作為事件所採取動作的記錄 AWS CloudHSM。擷取的呼叫包括來自 AWS CloudHSM 主控台的呼叫，以及對 AWS CloudHSM API 操作的程式碼呼叫。

您可以使用 AWS CloudTrail 來稽核對 AWS CloudHSM 控制平面所做的任何 API 呼叫，以確保您的帳戶中不會發生不必要的活動。

如需詳細資訊，請參閱 [使用 AWS CloudTrail 和 AWS CloudHSM](get-api-logs-using-cloudtrail.md)。

## 監控 Amazon CloudWatch 指標
<a name="w2aab9c15c11"></a>

您可以使用 Amazon CloudWatch 指標來即時監控 AWS CloudHSM 叢集。指標可以依區域、叢集 ID 或 HSM ID *和*叢集 ID 分組。

您可以使用 Amazon CloudWatch 指標來設定 Amazon CloudWatch 警示，以提醒您任何可能影響服務的潛在問題。我們建議您設定警示來監控下列項目：
+ 在 HSM 上接近您的金鑰限制
+ 在 HSM 上接近 HSM 工作階段計數限制
+ 接近 HSM 上的 HSM 使用者計數限制
+ HSM 使用者或金鑰計數的差異，以識別同步問題
+ 運作狀態不佳HSMs 可向上擴展叢集，直到 AWS CloudHSM 可以解決問題為止

如需詳細資訊，請參閱[使用 Amazon CloudWatch Logs 和 AWS CloudHSM 稽核日誌](get-hsm-audit-logs-using-cloudwatch.md)。