Vorteile von Site-to-Site VPN Protokollen Größenbeschränkungen der Amazon CloudWatch Logs-Ressourcenrichtlinie Site-to-Site VPNInhalt protokollieren IAMAnforderungen für die Veröffentlichung in Logs CloudWatch

AWS Site-to-Site VPN Logs

AWS Site-to-Site VPN Protokolle bieten Ihnen einen tieferen Einblick in Ihre Site-to-Site VPN Bereitstellungen. Mit dieser Funktion haben Sie Zugriff auf Site-to-Site VPN Verbindungsprotokolle, die Einzelheiten zur Einrichtung eines IP-Security-Tunnels (IPsec), zu Verhandlungen über den Austausch von Internetschlüsseln (IKE) und zu Protokollmeldungen mit Dead-Peer-Erkennung (DPD) enthalten.

Site-to-Site VPNProtokolle können in Amazon CloudWatch Logs veröffentlicht werden. Diese Funktion bietet Kunden eine einzige konsistente Möglichkeit, auf detaillierte Protokolle für all ihre Site-to-Site VPN Verbindungen zuzugreifen und diese zu analysieren.

Themen

Vorteile von Site-to-Site VPN Protokollen
Größenbeschränkungen der Amazon CloudWatch Logs-Ressourcenrichtlinie
Site-to-Site VPNInhalt protokollieren
IAMAnforderungen für die Veröffentlichung in Logs CloudWatch
Site-to-SiteVPNProtokollkonfiguration anzeigen
Site-to-SiteVPNLogs aktivieren
Site-to-SiteVPNProtokolle deaktivieren

Vorteile von Site-to-Site VPN Protokollen

Vereinfachte VPN Fehlerbehebung: Mithilfe von Site-to-Site VPN Protokollen können Sie Konfigurationsunterschiede zwischen dem Gateway-Gerät AWS und Ihrem Kunden-Gateway-Gerät ermitteln und anfängliche VPN Verbindungsprobleme beheben. VPNVerbindungen können im Laufe der Zeit aufgrund falsch konfigurierter Einstellungen (z. B. schlecht eingestellte Timeouts) unterbrochen werden, es kann zu Problemen in den zugrunde liegenden Transportnetzwerken kommen (z. B. Wetter im Internet) oder Routingänderungen oder Pfadausfälle können zu Verbindungsunterbrechungen führen. VPN Mit dieser Funktion können Sie die Ursache von zeitweise auftretenden Verbindungsfehlern genau diagnostizieren und die Low-Level-Tunnelkonfiguration optimieren, um einen zuverlässigen Betrieb zu ermöglichen.
Zentrale AWS Site-to-Site VPN Sichtbarkeit: Site-to-Site VPN Protokolle können Tunnelaktivitätsprotokolle für alle Verbindungsarten bereitstellen Site-to-SiteVPN: virtuelles Gateway, Transit Gateway und CloudHub sowohl über das Internet als auch AWS Direct Connect als Transport. Diese Funktion bietet Kunden eine einzige konsistente Möglichkeit, auf detaillierte Protokolle für all ihre Site-to-Site VPN Verbindungen zuzugreifen und diese zu analysieren.
Sicherheit und Compliance: Site-to-Site VPN Protokolle können zur nachträglichen Analyse des VPN Verbindungsstatus und der Aktivität im Laufe der Zeit an Amazon CloudWatch Logs gesendet werden. Dies hilft Ihnen, Compliance-Anforderungen und gesetzliche Vorschriften besser einzuhalten.

Größenbeschränkungen der Amazon CloudWatch Logs-Ressourcenrichtlinie

CloudWatch Die Ressourcenrichtlinien für Logs sind auf 5120 Zeichen begrenzt. Wenn CloudWatch Logs feststellt, dass sich eine Richtlinie dieser Größenbeschränkung nähert, werden automatisch Protokollgruppen aktiviert, die mit /aws/vendedlogs/ beginnen. Wenn Sie die Protokollierung aktivieren, Site-to-Site VPN müssen Sie Ihre CloudWatch Logs-Ressourcenrichtlinie mit der von Ihnen angegebenen Protokollgruppe aktualisieren. Um zu verhindern, dass die Größenbeschränkung der CloudWatch Protokollressourcenrichtlinie erreicht wird, stellen Sie Ihren Protokollgruppennamen ein Präfix voran/aws/vendedlogs/.

Site-to-Site VPNInhalt protokollieren

Die folgenden Informationen sind im Site-to-Site VPN Tunnelaktivitätsprotokoll enthalten.

Feld	Beschreibung
VpnLogCreationTimestamp	Zeitstempel für die Protokollerstellung in vom Menschen lesbarem Format.
VpnConnectionId	Die VPN Verbindungs-ID.
TunnelOutsideIPAddress	Die externe IP des VPN Tunnels, der den Protokolleintrag generiert hat.
T unnelDPDEnabled	Status Dead-Peer-Detection-Protokoll aktiviert (Wahr/Falsch).
unnelCGWNATTDetectionT-Status	NAT-T wurde auf dem Kunden-Gateway-Gerät erkannt (Wahr/Falsch).
unnelIKEPhaseT 1-Status	IKEPhase 1-Protokollstatus (eingerichtet \| Neueingabe \| Verhandlung \| Inaktiv).
T 2-Status unnelIKEPhase	IKEPhase 2-Protokollstatus (eingerichtet \| Neueingabe \| Verhandlung \| Inaktiv).
VpnLogDetail	Ausführliche Meldungen für IPsec und Protokolle. IKE DPD

IKEv1-Fehlermeldungen

Fehlermeldung	Erklärung
Peer reagiert nicht – Peer wird für tot erklärt	Der Peer hat nicht auf DPD Nachrichten geantwortet, wodurch eine DPD Timeout-Aktion erzwungen wurde.
AWS Die Entschlüsselung der Tunnel-Payloads war aufgrund eines ungültigen Pre-Shared Keys nicht erfolgreich	Derselbe Pre-Shared Key muss auf beiden Peers konfiguriert werden. IKE
Es wurde kein passender Vorschlag gefunden von AWS	Vorgeschlagene Attribute für Phase 1 (Verschlüsselung, Hashing und DH-Gruppe) werden von AWS VPN Endpoint nicht unterstützt — zum Beispiel`3DES`.
Keine Übereinstimmung mit Vorschlag gefunden. Benachrichtigen mit „Kein Vorschlag ausgewählt“	Die Fehlermeldung „No Proposal Chosen“ wird zwischen Peers ausgetauscht, um darüber zu informieren, dass für Phase 2 auf Peers die richtigen Vorschläge/Richtlinien konfiguriert werden müssen. IKE
AWS Der Tunnel wurde DELETE für Phase 2 SA empfangen mit: xxxx SPI	CGWhat die Delete_SA-Nachricht für Phase 2 gesendet
AWS Der Tunnel wurde für _SA empfangen von DELETE IKE CGW	CGWhat die Delete_SA-Nachricht für Phase 1 gesendet

IKEv2-Fehlermeldungen

Fehlermeldung	Erklärung
AWS Der Tunnel hat nach der erneuten Übertragung von {retry_count} eine DPD Zeitüberschreitung erlitten	Der Peer hat nicht auf DPD Nachrichten geantwortet, wodurch eine Timeout-Aktion erzwungen wurde. DPD
AWS Der Tunnel wurde DELETE für _SA empfangen von IKE CGW	Peer hat die Delete_SA-Nachricht für Parent/ _SA gesendet IKE
AWS Der Tunnel wurde DELETE für Phase 2 SA empfangen mit: xxxx SPI	Peer hat die Delete_SA-Nachricht für _SA gesendet CHILD
AWS Der Tunnel hat eine Kollision (CHILD_) als _ REKEY erkannt CHILD DELETE	CGWhat die Delete_SA-Nachricht für die Active SA gesendet, die gerade neu eingegeben wird.
AWS Die redundante SA von tunnel (CHILD_SA) wurde aufgrund einer erkannten Kollision gelöscht	Wenn aufgrund einer Kollision redundante Verbindungen generiert SAs werden, schließen Peers die redundante SA, nachdem sie die Nonce-Werte wie angegeben abgeglichen haben RFC
AWS Der Tunnel von Phase 2 konnte nicht eingerichtet werden, während Phase 1 beibehalten wurde	Peer konnte CHILD _SA aufgrund eines Verhandlungsfehlers nicht einrichten, z. B. aufgrund eines falschen Vorschlags.
AWS: Traffic Selector: TS_UNACCEPTABLE: vom Responder empfangen	Peer hat falsche Traffic Selectors/Encryption Domain vorgeschlagen. Peers sollten identisch und korrekt konfiguriert sein. CIDRs
AWS Der Tunnel sendet AUTHENTICATION _ FAILED als Antwort	Der Peer kann den Peer nicht authentifizieren, indem er den Inhalt der AUTH Nachricht IKE _ überprüft
AWS Der Tunnel hat festgestellt, dass der Pre-Shared-Schlüssel nicht mit cgw übereinstimmt: xxxx	Derselbe Pre-Shared Key muss auf beiden Peers konfiguriert werden. IKE
AWS Tunnel-Timeout: Löschen nicht etablierter Phase 1 IKE _SA mit cgw: xxxx	Beim Löschen der halb geöffneten Datei IKE _SA als Peer wurden keine Verhandlungen abgeschlossen
Keine Übereinstimmung mit Vorschlag gefunden. Benachrichtigen mit „Kein Vorschlag ausgewählt“	Die Fehlermeldung „No Proposal Chosen“ wird zwischen Peers ausgetauscht, um darüber zu informieren, dass die richtigen Vorschläge auf Peers konfiguriert werden müssen. IKE
Es wurde kein passender Vorschlag gefunden von AWS	Vorgeschlagene Attribute für Phase 1 oder Phase 2 (Verschlüsselung, Hashing und DH-Gruppe) werden von AWS VPN Endpoint nicht unterstützt — zum Beispiel`3DES`.

IKEv2Verhandlungsnachrichten

Fehlermeldung	Erklärung
AWS Die Anfrage (id=xxx) für CREATE _ _SA wurde vom Tunnel verarbeitet CHILD	AWS hat die CREATE _ CHILD _SA-Anfrage von erhalten CGW
AWS Der Tunnel sendet eine Antwort (id=xxx) für _ _SA CREATE CHILD	AWS sendet eine CREATE _ _SA-Antwort CHILD an CGW
AWS Der Tunnel sendet eine Anfrage (id=xxx) für _ _SA CREATE CHILD	AWS sendet eine CREATE _ _SA-Anfrage CHILD an CGW
AWS vom Tunnel verarbeitete Antwort (id=xxx) für _ _SA CREATE CHILD	AWS hat ein CREATE _ _SA-Antwortformular CHILD erhalten CGW

IAMAnforderungen für die Veröffentlichung in Logs CloudWatch

Damit die Protokollierungsfunktion ordnungsgemäß funktioniert, muss die IAM Richtlinie, die dem IAM Prinzipal zugeordnet ist, der zur Konfiguration der Funktion verwendet wird, mindestens die folgenden Berechtigungen enthalten. Weitere Informationen finden Sie auch im Abschnitt Aktivieren der Protokollierung für bestimmte AWS Dienste im Amazon CloudWatch Logs-Benutzerhandbuch.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Überwachen Sie eine Site-to-Site VPN Verbindung

Site-to-SiteVPNProtokollkonfiguration anzeigen