Avantages des Site-to-Site VPN journaux Politique relative CloudWatch aux ressources et restrictions relatives à la taille d'Amazon Logs Site-to-Site VPNcontenu du journal IAMexigences relatives à la publication dans CloudWatch Logs

AWS Site-to-Site VPN journaux

AWS Site-to-Site VPN les journaux vous offrent une meilleure visibilité sur vos Site-to-Site VPN déploiements. Grâce à cette fonctionnalité, vous avez accès aux journaux de Site-to-Site VPN connexion qui fournissent des détails sur l'établissement du tunnel de sécurité IP (IPsec), les négociations relatives à l'échange de clés Internet (IKE) et les messages du protocole de détection des pairs morts (DPD).

Site-to-Site VPNles journaux peuvent être publiés sur Amazon CloudWatch Logs. Cette fonctionnalité fournit aux clients un moyen unique et cohérent d'accéder aux journaux détaillés de toutes leurs Site-to-Site VPN connexions et de les analyser.

Rubriques

Avantages des Site-to-Site VPN journaux
Politique relative CloudWatch aux ressources et restrictions relatives à la taille d'Amazon Logs
Site-to-Site VPNcontenu du journal
IAMexigences relatives à la publication dans CloudWatch Logs
Afficher la configuration Site-to-Site VPN des journaux
Activer Site-to-Site VPN les journaux
Désactiver Site-to-Site VPN les journaux

Avantages des Site-to-Site VPN journaux

VPNDépannage simplifié : Site-to-Site VPN les journaux vous aident à identifier les incohérences de configuration entre AWS et votre dispositif de passerelle client, et à résoudre les problèmes de VPN connectivité initiaux. VPNles connexions peuvent échouer par intermittence au fil du temps en raison de paramètres mal configurés (tels que des délais d'expiration mal réglés), de problèmes liés aux réseaux de transport sous-jacents (comme la météo Internet), ou de modifications de routage ou de défaillances de chemin peuvent perturber la connectivité. VPN Cette fonctionnalité vous permet de diagnostiquer avec précision la cause des défaillances de connexion intermittentes et d'affiner la configuration du tunnel de bas niveau pour assurer la fiabilité du fonctionnement.
AWS Site-to-Site VPN Visibilité centralisée : les Site-to-Site VPN journaux peuvent fournir des journaux d'activité des tunnels pour les différents moyens de connexion : Virtual Gateway, Transit Gateway et CloudHub utilisation à la fois d'Internet et AWS Direct Connect comme moyen de transport. Site-to-Site VPN Cette fonctionnalité fournit aux clients un moyen unique et cohérent d'accéder aux journaux détaillés de toutes leurs Site-to-Site VPN connexions et de les analyser.
Sécurité et conformité : Site-to-Site VPN les journaux peuvent être envoyés à Amazon CloudWatch Logs pour une analyse rétrospective de l'état de VPN connexion et de l'activité au fil du temps. Cela peut vous aider à respecter les exigences réglementaires et de conformité.

Politique relative CloudWatch aux ressources et restrictions relatives à la taille d'Amazon Logs

CloudWatch Les politiques relatives aux ressources des journaux sont limitées à 5 120 caractères. Lorsque CloudWatch Logs détecte qu'une politique approche cette limite de taille, elle active automatiquement les groupes de journaux commençant par/aws/vendedlogs/. Lorsque vous activez la journalisation, vous Site-to-Site VPN devez mettre à jour votre politique de ressources de CloudWatch journaux avec le groupe de journaux que vous spécifiez. Pour éviter d'atteindre la limite de taille de la politique des CloudWatch journaux, préfixez les noms de vos groupes de journaux par/aws/vendedlogs/.

Site-to-Site VPNcontenu du journal

Les informations suivantes sont incluses dans le journal d'activité Site-to-Site VPN du tunnel.

Champ	Description
VpnLogCreationTimestamp	Horodatage de création du journal au format lisible par l'utilisateur.
VpnConnectionId	L'identifiant VPN de connexion.
TunnelOutsideIPAddress	L'adresse IP externe du VPN tunnel qui a généré l'entrée du journal.
T unnelDPDEnabled	Statut d'activation du protocole Dead Peer Detection (True/False).
unnelCGWNATTDetectionStatut T	NAT-T détecté sur le dispositif de passerelle client (Vrai/Faux).
État T unnelIKEPhase 1	IKEÉtat du protocole de phase 1 (établi \| Resaisie \| Négociation \| En panne).
État T unnelIKEPhase 2	IKEÉtat du protocole de phase 2 (établi \| Resaisie \| Négociation \| En panne).
VpnLogDetail	Messages détaillés pourIPsec, IKE et protocoles. DPD

IKEv1Messages d'erreur

Message	Explication
Le pair ne répond pas – Déclarer le pair mort	Le pair n'a pas répondu aux DPD messages, ce qui impose un DPD délai d'expiration.
AWS le déchiffrement de la charge utile du tunnel a échoué en raison d'une clé pré-partagée non valide	La même clé pré-partagée doit être configurée sur les deux IKE homologues.
Aucune proposition correspondante n'a été trouvée par AWS	Les attributs proposés pour la phase 1 (chiffrement, hachage et groupe DH) ne sont pas pris en charge par AWS VPN Endpoint, `3DES` par exemple.
Aucune proposition correspondante trouvée. Notifier avec « Aucune proposition choisie »	Le message d'erreur « Aucune proposition choisie » est échangé entre pairs pour indiquer que les propositions/politiques correctes doivent être configurées pour la phase 2 sur les pairs. IKE
AWS tunnel reçu DELETE pour la phase 2 SA avec SPI : xxxx	CGWa envoyé le message Delete_SA pour la phase 2
AWS tunnel reçu DELETE pour IKE _SA par CGW	CGWa envoyé le message Delete_SA pour la phase 1

IKEv2Messages d'erreur

Message	Explication
AWS le délai d'DPDexpiration du tunnel après la retransmission de {retry_count}	Le pair n'a pas répondu aux DPD messages, ce qui impose un DPD délai d'expiration.
AWS tunnel reçu DELETE pour IKE _SA par CGW	Le pair a envoyé le message Delete_SA pour Parent/ _SA IKE
AWS tunnel reçu DELETE pour la phase 2 SA avec SPI : xxxx	Le pair a envoyé le message Delete_SA pour _SA CHILD
AWS le tunnel a détecté une (CHILD_REKEY) collision sous la forme CHILD _ DELETE	CGWa envoyé le message Delete_SA pour l'Active SA, qui est en train d'être saisi à nouveau.
AWS le SA redondant du tunnel (CHILD_SA) est supprimé en raison d'une collision détectée	En raison d'une collision, si des redondants SAs sont générés, les pairs fermeront le SA redondant après avoir fait correspondre les valeurs nulles conformément à RFC
AWS la phase 2 du tunnel n'a pas pu être établie tout en maintenant la phase 1	Le pair n'a pas pu établir CHILD _SA en raison d'une erreur de négociation, par exemple d'une proposition incorrecte.
AWS: Sélecteur de trafic : TS_ UNACCEPTABLE : reçu du répondeur	Le pair a proposé des sélecteurs de trafic/un domaine de chiffrement incorrect(s). Les homologues doivent être configurés de manière identique et correcteCIDRs.
AWS le tunnel envoie AUTHENTICATION _ FAILED comme réponse	L'homologue n'est pas en mesure d'authentifier le pair en vérifiant le contenu du AUTH message IKE _
AWS le tunnel a détecté une incompatibilité de clé pré-partagée avec cgw : xxxx	La même clé pré-partagée doit être configurée sur les deux IKE homologues.
AWS délai d'expiration du tunnel : suppression de la phase 1 IKE _SA non établie avec cgw : xxxx	La suppression du IKE _SA à moitié ouvert en tant que pair n'a pas donné lieu à des négociations
Aucune proposition correspondante trouvée. Notifier avec « Aucune proposition choisie »	Le message d'erreur « Aucune proposition choisie » est échangé entre pairs pour indiquer que les propositions correctes doivent être configurées sur les IKE pairs.
Aucune proposition correspondante n'a été trouvée par AWS	Les attributs proposés pour la phase 1 ou la phase 2 (chiffrement, hachage et groupe DH) ne sont pas pris en charge par AWS VPN Endpoint, `3DES` par exemple.

IKEv2Messages de négociation

Message	Explication
AWS demande traitée par tunnel (id=xxx) pour _ _SA CREATE CHILD	AWS a reçu la demande CREATE _ CHILD _SA de CGW
AWS le tunnel envoie une réponse (id=xxx) pour _ _SA CREATE CHILD	AWS envoie une réponse CREATE _ CHILD _SA à CGW
AWS le tunnel envoie une demande (id=xxx) pour _ _SA CREATE CHILD	AWS envoie une requête CREATE _ CHILD _SA à CGW
AWS réponse traitée par tunnel (id=xxx) pour _ _SA CREATE CHILD	AWS a reçu un formulaire de réponse CREATE _ CHILD _SA CGW

IAMexigences relatives à la publication dans CloudWatch Logs

Pour que la fonctionnalité de journalisation fonctionne correctement, la IAM politique attachée au IAM principal utilisé pour configurer la fonctionnalité doit inclure au minimum les autorisations suivantes. Vous trouverez également plus de détails dans la section Activation de la journalisation à partir de certains AWS services du guide de l'utilisateur Amazon CloudWatch Logs.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Surveiller une Site-to-Site VPN connexion

Afficher la configuration Site-to-Site VPN des journaux