Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Site-to-Site VPN log
AWS Site-to-Site VPN log memberi Anda visibilitas yang lebih dalam ke penerapan Site-to-Site VPN Anda. Dengan fitur ini, Anda memiliki akses ke log koneksi Site-to-Site VPN yang memberikan rincian tentang pembentukan terowongan IP Security (IPsec), negosiasi Internet Key Exchange (IKE), dan pesan protokol deteksi rekan mati (DPD).
Site-to-Site Log VPN dapat dipublikasikan ke Amazon CloudWatch Logs. Fitur ini memberi pelanggan satu cara konsisten untuk mengakses dan menganalisis log terperinci untuk semua koneksi Site-to-Site VPN mereka.
Topik
Manfaat log Site-to-Site VPN
-
Pemecahan masalah VPN yang disederhanakan: Log Site-to-Site VPN membantu Anda menentukan ketidakcocokan konfigurasi antara AWS dan perangkat gateway pelanggan Anda, dan mengatasi masalah konektivitas VPN awal. Koneksi VPN dapat sebentar-sebentar menutup dari waktu ke waktu karena pengaturan yang salah konfigurasi (seperti batas waktu yang disetel dengan buruk), mungkin ada masalah di jaringan transportasi yang mendasarinya (seperti cuaca internet), atau perubahan perutean atau kegagalan jalur dapat menyebabkan gangguan konektivitas melalui VPN. Fitur ini memungkinkan Anda untuk secara akurat mendiagnosis penyebab kegagalan koneksi intermiten dan menyempurnakan konfigurasi terowongan tingkat rendah untuk operasi yang andal.
-
AWS Site-to-Site VPN Visibilitas terpusat: Log Site-to-Site VPN dapat menyediakan log aktivitas terowongan untuk semua cara berbeda yang terhubung dengan Site-to-Site VPN: Virtual Gateway, Transit Gateway, dan CloudHub, menggunakan internet dan AWS Direct Connect sebagai transportasi. Fitur ini memberi pelanggan satu cara konsisten untuk mengakses dan menganalisis log terperinci untuk semua koneksi Site-to-Site VPN mereka.
-
Keamanan dan kepatuhan: Log Site-to-Site VPN dapat dikirim ke Amazon CloudWatch Logs untuk analisis retrospektif status dan aktivitas koneksi VPN dari waktu ke waktu. Ini dapat membantu Anda memenuhi persyaratan kepatuhan dan peraturan.
Pembatasan ukuran kebijakan sumber daya Amazon CloudWatch Logs
CloudWatch Kebijakan sumber daya log dibatasi hingga 5120 karakter. Ketika CloudWatch Log mendeteksi bahwa kebijakan mendekati batas ukuran ini, secara otomatis mengaktifkan grup log yang memulai/aws/vendedlogs/. Saat Anda mengaktifkan logging, Site-to-Site VPN harus memperbarui kebijakan sumber daya CloudWatch Log Anda dengan grup log yang Anda tentukan. Untuk menghindari mencapai batas ukuran kebijakan sumber daya CloudWatch Log, awali nama grup log Anda dengan/aws/vendedlogs/.
Site-to-Site Konten log VPN
Informasi berikut disertakan dalam log aktivitas terowongan Site-to-Site VPN. Nama file log stream menggunakan VpnConnection ID dan TunnelOutsideIPAddress.
| Bidang | Deskripsi |
|---|---|
|
VpnLogCreationTimestamp ( |
Stempel waktu pembuatan log dalam format yang dapat dibaca manusia. |
|
Terowongan DPDEnabled ( |
Status Diaktifkan Protokol Deteksi Rekan Mati (Benar/Salah). |
|
CGWNATTDetectionStatus Terowongan ( |
NAT-T terdeteksi pada perangkat gateway pelanggan (Benar/Salah). |
|
IKEPhase1Negara Terowongan ( |
Status Protokol Fase 1 IKE (Didirikan | Rekeying | Negosiasi | Turun). |
IKEPhase2Negara Terowongan (ike_phase2_state) |
Status Protokol IKE Fase 2 (Didirikan | Rekeying | Negosiasi | Turun). |
VpnLogDetail (details) |
Pesan verbose untuk IPsec, protokol IKE dan DPD. |
IKEv1 Pesan Kesalahan
| Pesan | Penjelasan |
|---|---|
|
Peer tidak responsif - Mendeklarasikan peer dead |
Sebaya belum menanggapi Pesan DPD, menegakkan aksi time-out DPD. |
|
AWS Dekripsi payload terowongan tidak berhasil karena Kunci Pra-bersama yang tidak valid |
Kunci Pra-Bersama yang sama perlu dikonfigurasi pada kedua Peer IKE. |
|
Tidak Ada Pencocokan Proposal Ditemukan oleh AWS |
Atribut yang Diusulkan untuk Fase 1 (Enkripsi, Hashing, dan Grup DH) tidak didukung oleh AWS VPN Endpoint— misalnya,. |
|
Tidak Ada Pencocokan Proposal yang Ditemukan. Memberi tahu dengan “Tidak ada proposal yang dipilih” |
Tidak ada Proposal Pesan kesalahan yang dipilih dipertukarkan antara Rekan untuk menginformasikan bahwa Proposal/Kebijakan yang benar harus dikonfigurasi untuk fase 2 di IKE Peers. |
|
AWS terowongan menerima DELETE untuk Fase 2 SA dengan SPI: xxxx |
CGW telah mengirim pesan Delete_SA untuk Fase 2. |
|
AWS terowongan menerima DELETE untuk IKE_SA dari CGW |
CGW telah mengirim pesan Delete_SA untuk Fase 1. |
IKEv2 Pesan Kesalahan
| Pesan | Penjelasan |
|---|---|
|
AWS terowongan DPD habis setelah {retry_count} mentransmisikan ulang |
Sebaya belum menanggapi Pesan DPD, menegakkan aksi time-out DPD. |
|
AWS terowongan menerima DELETE untuk IKE_SA dari CGW |
Peer telah mengirim pesan Delete_SA untuk Parent/IKE_SA. |
AWS terowongan menerima DELETE untuk Fase 2 SA dengan SPI: xxxx |
Peer telah mengirim pesan Delete_SA untuk CHILD_SA. |
|
AWS terowongan mendeteksi tabrakan (CHILD_REKEY) sebagai CHILD_DELETE |
CGW telah mengirim pesan Delete_SA untuk SA Aktif, yang sedang di-rekeyed. |
|
AWS tunnel (CHILD_SA) SA redundan sedang dihapus karena tabrakan yang terdeteksi |
Karena Tabrakan, Jika SAs redundan dihasilkan, Peers akan menutup SA redundan setelah mencocokkan nilai nonce sesuai RFC. |
|
AWS terowongan Fase 2 tidak dapat dibangun sambil mempertahankan Fase 1 |
Peer tidak dapat membuat CHILD_SA karena kesalahan negosiasi - misalnya, proposal yang salah. |
AWS: Pemilih Lalu Lintas: TS_UNACCEPTABLE: diterima dari responden |
Peer telah mengusulkan Pemilih Lalu Lintas/Domain Enkripsi yang Salah. Peer harus dikonfigurasi dengan identik dan benar CIDRs. |
AWS terowongan mengirim AUTHENTICATION_FAILED sebagai respons |
Peer tidak dapat Mengautentikasi Peer dengan memverifikasi isi pesan IKE_AUTH |
AWS terowongan mendeteksi ketidakcocokan kunci yang telah dibagikan sebelumnya dengan cgw: xxxx |
Kunci Pra-Bersama yang sama perlu dikonfigurasi pada kedua Peer IKE. |
AWS tunnel Timeout: menghapus Fase 1 IKE_SA yang tidak ditetapkan dengan cgw: xxxx |
Menghapus IKE_SA yang setengah terbuka karena rekan belum melanjutkan negosiasi |
Tidak Ada Pencocokan Proposal yang Ditemukan. Memberi tahu dengan “Tidak ada proposal yang dipilih” |
Tidak ada Proposal Pesan kesalahan yang dipilih dipertukarkan antara Rekan untuk menginformasikan bahwa Proposal yang benar harus dikonfigurasi pada Rekan IKE. |
Tidak Ada Pencocokan Proposal Ditemukan oleh AWS |
Atribut yang Diusulkan untuk Fase 1 atau Fase 2 (Enkripsi, Hashing, dan Grup DH) tidak didukung oleh AWS VPN Endpoint— misalnya,. |
IKEv2 Pesan Negosiasi
| Pesan | Penjelasan |
|---|---|
|
AWS permintaan yang diproses terowongan (id=xxx) untuk CREATE_CHILD_SA |
AWS telah menerima permintaan CREATE_CHILD_SA dari CGW. |
|
AWS terowongan mengirimkan respons (id=xxx) untuk CREATE_CHILD_SA |
AWS mengirim respons CREATE_CHILD_SA ke CGW. |
AWS terowongan mengirim permintaan (id=xxx) untuk CREATE_CHILD_SA |
AWS mengirim permintaan CREATE_CHILD_SA ke CGW. |
|
AWS respons yang diproses terowongan (id=xxx) untuk CREATE_CHILD_SA |
AWS telah menerima formulir respons CREATE_CHILD_SA CGW. |
Persyaratan IAM untuk mempublikasikan ke CloudWatch Log
Agar fitur logging berfungsi dengan baik, kebijakan IAM yang dilampirkan pada prinsipal IAM yang digunakan untuk mengonfigurasi fitur, minimal harus menyertakan izin berikut. Detail selengkapnya juga dapat ditemukan di bagian Mengaktifkan logging dari AWS layanan tertentu di Panduan Pengguna Amazon CloudWatch Logs.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries" ], "Resource": [ "*" ], "Effect": "Allow", "Sid": "S2SVPNLogging" }, { "Sid": "S2SVPNLoggingCWL", "Action": [ "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource": [ "*" ], "Effect": "Allow" } ] }
