Avantages des journaux Site-to-Site VPN Politique relative CloudWatch aux ressources et restrictions relatives à la taille d'Amazon Logs Site-to-Site Contenu du journal VPN Exigences relatives à l'IAM pour publier dans Logs CloudWatch

AWS Site-to-Site VPN journaux

AWS Site-to-Site VPN les journaux vous offrent une meilleure visibilité sur vos déploiements Site-to-Site VPN. Grâce à cette fonctionnalité, vous avez accès aux journaux de connexion Site-to-Site VPN qui fournissent des détails sur l'établissement du tunnel de sécurité IP (IPsec), les négociations sur l'échange de clés Internet (IKE) et les messages du protocole de détection des pairs morts (DDP).

Site-to-Site Les journaux VPN peuvent être publiés sur Amazon CloudWatch Logs. Cette fonctionnalité fournit aux clients un moyen unique et cohérent d'accéder aux journaux détaillés de toutes leurs connexions Site-to-Site VPN et de les analyser.

Rubriques

Avantages des journaux Site-to-Site VPN
Politique relative CloudWatch aux ressources et restrictions relatives à la taille d'Amazon Logs
Site-to-Site Contenu du journal VPN
Exigences relatives à l'IAM pour publier dans Logs CloudWatch
Afficher la configuration des journaux Site-to-Site VPN
Activer les journaux Site-to-Site VPN
Désactiver les journaux Site-to-Site VPN

Avantages des journaux Site-to-Site VPN

Résolution des problèmes VPN simplifiés : les journaux Site-to-Site VPN vous aident à identifier les incohérences de configuration entre AWS le dispositif de passerelle de votre client et à résoudre les problèmes de connectivité VPN initiaux. Les connexions VPN peuvent échouer par intermittence au fil du temps en raison de paramètres mal configurés (tels que des délais d'expiration mal réglés), des problèmes peuvent se produire dans les réseaux de transport sous-jacents (comme la météo Internet), ou des modifications de routage/défaillances de chemin peuvent interrompre la connectivité au VPN. Cette fonctionnalité vous permet de diagnostiquer avec précision la cause des défaillances de connexion intermittentes et d'affiner la configuration du tunnel de bas niveau pour assurer la fiabilité du fonctionnement.
AWS Site-to-Site VPN Visibilité centralisée : les journaux Site-to-Site VPN peuvent fournir des journaux d'activité des tunnels pour les différentes manières dont le Site-to-Site VPN est connecté : Virtual Gateway, Transit Gateway et CloudHub utilisation à la fois d'Internet et AWS Direct Connect comme moyen de transport. Cette fonctionnalité fournit aux clients un moyen unique et cohérent d'accéder aux journaux détaillés de toutes leurs connexions Site-to-Site VPN et de les analyser.
Sécurité et conformité : les journaux Site-to-Site VPN peuvent être envoyés à Amazon CloudWatch Logs pour une analyse rétrospective de l'état et de l'activité de la connexion VPN au fil du temps. Cela peut vous aider à respecter les exigences réglementaires et de conformité.

Politique relative CloudWatch aux ressources et restrictions relatives à la taille d'Amazon Logs

CloudWatch Les politiques relatives aux ressources des journaux sont limitées à 5 120 caractères. Lorsque CloudWatch Logs détecte qu'une politique approche cette limite de taille, elle active automatiquement les groupes de journaux commençant par/aws/vendedlogs/. Lorsque vous activez la journalisation, le Site-to-Site VPN doit mettre à jour votre politique de ressources de CloudWatch journaux avec le groupe de journaux que vous spécifiez. Pour éviter d'atteindre la limite de taille de la politique des CloudWatch journaux, préfixez les noms de vos groupes de journaux par/aws/vendedlogs/.

Site-to-Site Contenu du journal VPN

Les informations suivantes sont incluses dans le journal d'activité du tunnel Site-to-Site VPN. Le nom du fichier journal utilise les VpnConnection identifiants ID et TunnelOutsideIPAddress.

Champ	Description
VpnLogCreationTimestamp (`event_timestamp`)	Horodatage de création du journal au format lisible par l'utilisateur.
Tunnel DPDEnabled (`dpd_enabled`)	Statut d'activation du protocole Dead Peer Detection (True/False).
CGWNATTDetectionÉtat du tunnel (`nat_t_detected`)	Détection de NAT-T sur l'appareil de passerelle client (True/False).
IKEPhase1État du tunnel (`ike_phase1_state`)	État du protocole IKE en phase 1 (Established \| Rekeying \| Negotiating \| Down).
IKEPhase2État du tunnel (`ike_phase2_state`)	État du protocole IKE en phase 2 (Established \| Rekeying \| Negotiating \| Down).
VpnLogDetail (`details`)	Messages détaillés pour IPsec les protocoles IKE et DDP.

IKEv1 Messages d'erreur

Message	Explication
Le pair ne répond pas – Déclarer le pair mort	Le pair n'a pas répondu aux messages DDP, ce qui a imposé une action de temporisation de DDP.
AWS le déchiffrement de la charge utile du tunnel a échoué en raison d'une clé pré-partagée non valide	La même clé pré-partagée doit être configurée sur les deux pairs IKE.
Aucune proposition correspondante n'a été trouvée par AWS	Les attributs proposés pour la phase 1 (chiffrement, hachage et groupe DH) ne sont pas pris en charge par le point de terminaison VPN AWS, `3DES` par exemple.
Aucune proposition correspondante trouvée. Notifier avec « Aucune proposition choisie »	Le message d'erreur « Aucune proposition choisie » est échangé entre les pairs pour informer que des propositions/politiques correctes doivent être configurées pour la phase 2 sur les pairs IKE.
AWS tunnel a reçu DELETE pour la phase 2 SA avec SPI : xxxx	CGW a envoyé le message Delete_SA pour la phase 2.
AWS le tunnel a reçu la commande DELETE pour IKE_SA de la part de CGW	CGW a envoyé le message Delete_SA pour la phase 1.

IKEv2 Messages d'erreur

Message	Explication
AWS le délai imparti au tunnel DDP a expiré après les retransmissions de {retry_count}	Le pair n'a pas répondu aux messages DDP, ce qui a imposé une action de temporisation de DDP.
AWS le tunnel a reçu la commande DELETE pour IKE_SA de la part de CGW	Peer a envoyé le message Delete_SA pour Parent/IKE_SA.
AWS tunnel a reçu DELETE pour la phase 2 SA avec SPI : xxxx	Peer a envoyé le message Delete_SA pour CHILD_SA.
AWS le tunnel a détecté une collision (CHILD_REKEY) en tant que CHILD_DELETE	CGW a envoyé le message Delete_SA pour la SA active, dont la clé est en cours de changement.
AWS le SA redondant du tunnel (CHILD_SA) est supprimé en raison d'une collision détectée	En raison d'une collision, si des redondants SAs sont générés, les pairs fermeront le SA redondant après avoir fait correspondre les valeurs de nonce conformément à la RFC.
AWS la phase 2 du tunnel n'a pas pu être établie tout en maintenant la phase 1	Le pair n'a pas pu établir CHILD_SA en raison d'une erreur de négociation, par exemple d'une proposition incorrecte.
AWS : sélecteur de trafic : TS_UNACCEPTABLE : reçu du répondeur	Le pair a proposé des sélecteurs de trafic/un domaine de chiffrement incorrect(s). Les pairs doivent être configurés de manière identique et correcte CIDRs.
AWS le tunnel envoie AUTHENTICATION_FAILED comme réponse	Le pair ne peut pas authentifier le pair en vérifiant le contenu du message IKE_AUTH
AWS le tunnel a détecté une incompatibilité de clé pré-partagée avec cgw : xxxx	La même clé pré-partagée doit être configurée sur les deux pairs IKE.
AWS délai d'expiration du tunnel : suppression de la phase 1 non établie IKE_SA avec cgw : xxxx	La suppression de IKE_SA à moitié ouvert en tant que pair n'a pas donné lieu à des négociations
Aucune proposition correspondante trouvée. Notifier avec « Aucune proposition choisie »	Le message d'erreur « Aucune proposition choisie » est échangé entre les pairs pour informer que des propositions correctes doivent être configurées sur les pairs IKE.
Aucune proposition correspondante n'a été trouvée par AWS	Les attributs proposés pour la phase 1 ou la phase 2 (chiffrement, hachage et groupe DH) ne sont pas pris en charge par le point de terminaison AWS VPN, `3DES` par exemple.

IKEv2 Messages de négociation

Message	Explication
AWS demande traitée par tunnel (id=xxx) pour CREATE_CHILD_SA	AWS a reçu la demande CREATE_CHILD_SA de CGW.
AWS le tunnel envoie une réponse (id=xxx) pour CREATE_CHILD_SA	AWS envoie une réponse CREATE_CHILD_SA à CGW.
AWS le tunnel envoie une demande (id=xxx) pour CREATE_CHILD_SA	AWS envoie une demande CREATE_CHILD_SA à CGW.
AWS réponse traitée par tunnel (id=xxx) pour CREATE_CHILD_SA	AWS a reçu une réponse CREATE_CHILD_SA de CGW.

Exigences relatives à l'IAM pour publier dans Logs CloudWatch

Pour que la fonctionnalité de journalisation fonctionne correctement, la politique IAM attachée au principal IAM utilisée pour configurer la fonctionnalité doit inclure au minimum les autorisations suivantes. Vous trouverez également plus de détails dans la section Activation de la journalisation à partir de certains AWS services du guide de l'utilisateur Amazon CloudWatch Logs.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Surveiller une connexion Site-to-Site VPN

Afficher la configuration des journaux Site-to-Site VPN