Vantaggi dei log Site-to-Site VPN Restrizioni sulle dimensioni delle politiche relative alle risorse di Amazon CloudWatch Logs Site-to-Site Contenuti dei log VPN Requisiti IAM da CloudWatch pubblicare nei registri

AWS Site-to-Site VPN registri

AWS Site-to-Site VPN i log ti offrono una visibilità più approfondita sulle tue implementazioni Site-to-Site VPN. Con questa funzionalità, hai accesso ai registri delle connessioni Site-to-Site VPN che forniscono dettagli sulla creazione del tunnel IP Security (IPsec), sulle negoziazioni IKE (Internet Key Exchange) e sui messaggi del protocollo Dead Peer Detection (DPD).

Site-to-Site I log VPN possono essere pubblicati su Amazon CloudWatch Logs. Questa funzionalità offre ai clienti un unico modo coerente per accedere e analizzare i log dettagliati di tutte le loro Site-to-Site connessioni VPN.

Argomenti

Vantaggi dei log Site-to-Site VPN
Restrizioni sulle dimensioni delle politiche relative alle risorse di Amazon CloudWatch Logs
Site-to-Site Contenuti dei log VPN
Requisiti IAM da CloudWatch pubblicare nei registri
Visualizza la Site-to-Site configurazione dei log VPN
Abilita i log Site-to-Site VPN
Disattiva i Site-to-Site log VPN

Vantaggi dei log Site-to-Site VPN

Risoluzione dei problemi VPN semplificata: i log Site-to-Site VPN aiutano a individuare le discrepanze di configurazione tra il dispositivo gateway del cliente e il dispositivo gateway del cliente AWS e a risolvere i problemi iniziali di connettività VPN. Le connessioni VPN possono funzionare in modo intermittente a causa della configurazione errata delle impostazioni (ad esempio timeout mal regolati), possono verificarsi problemi nelle reti di trasporto sottostanti (come il meteo Internet) o modifiche di routing o errori di percorso possono causare l'interruzione della connettività su VPN. Questa caratteristica consente di diagnosticare con precisione la causa degli errori di connessione intermittente e di mettere a punto la configurazione del tunnel di basso livello per un funzionamento affidabile.
AWS Site-to-Site VPN Visibilità centralizzata: i log Site-to-Site VPN possono fornire registri delle attività del tunnel per tutti i diversi modi in cui la Site-to-Site VPN è connessa: Virtual Gateway, Transit Gateway e CloudHub, utilizzando sia Internet che come mezzo di trasporto. AWS Direct Connect Questa funzionalità offre ai clienti un unico modo coerente per accedere e analizzare i log dettagliati per tutte le loro connessioni VPN. Site-to-Site
Sicurezza e conformità: i log Site-to-Site VPN possono essere inviati ad Amazon CloudWatch Logs per un'analisi retrospettiva dello stato e dell'attività della connessione VPN nel tempo. Ciò consente di soddisfare i requisiti normativi e di conformità.

Restrizioni sulle dimensioni delle politiche relative alle risorse di Amazon CloudWatch Logs

CloudWatch Le politiche relative alle risorse di Logs sono limitate a 5120 caratteri. Quando CloudWatch Logs rileva che una policy si avvicina a questo limite di dimensione, abilita automaticamente i gruppi di log che iniziano con. /aws/vendedlogs/ Quando abiliti la registrazione, Site-to-Site VPN deve aggiornare la politica delle risorse CloudWatch Logs con il gruppo di log specificato. Per evitare di raggiungere il limite di dimensione della politica delle risorse CloudWatch Logs, inserisci come prefisso i nomi dei gruppi di log con. /aws/vendedlogs/

Site-to-Site Contenuti dei log VPN

Le seguenti informazioni sono incluse nel registro delle attività del tunnel Site-to-Site VPN. Il nome del file del flusso di registro utilizza VpnConnection ID e TunnelOutsideIPAddress.

Campo	Descrizione
VpnLogCreationTimestamp (`event_timestamp`)	Timestamp di creazione del registro in formato leggibile dall'utente.
Tunnel DPDEnabled (`dpd_enabled`)	Stato abilitato del protocollo Dead Peer Detection (True/False).
CGWNATTDetectionStato del tunnel (`nat_t_detected`)	NAT-T rilevato sul dispositivo gateway del cliente (True/False).
IKEPhase1Stato del tunnel (`ike_phase1_state`)	Stato del protocollo IKE Fase 1 (Established \| Rekeying \| Negotiating \| Down).
IKEPhase2Stato del tunnel (`ike_phase2_state`)	Stato del protocollo IKE Fase 2 (Established \| Rekeying \| Negotiating \| Down).
VpnLogDetail (`details`)	Messaggi dettagliati per i IPsec protocolli IKE e DPD.

IKEv1 Messaggi di errore

Messaggio	Spiegazione
Il peer non risponde - Dichiarazione di peer morto	Peer non ha risposto ai messaggi DPD, imponendo un'azione di timeout DPD.
AWS La decrittografia del payload del tunnel non è riuscita a causa di una chiave precondivisa non valida	La stessa chiave precondivisa deve essere configurata su entrambi i peer IKE.
Nessuna proposta corrispondente trovata da AWS	Gli attributi proposti per la fase 1 (crittografia, hashing e gruppo DH) non sono supportati da AWS VPN Endpoint, ad esempio. `3DES`
Nessuna corrispondenza proposta trovata. Notifica con "Nessuna proposta scelta"	Nessun messaggio di errore Proposta scelta viene scambiato tra peer per informare che è necessario configurare proposte/policy corrette per la fase 2 su IKE Peers.
AWS tunnel ha ricevuto DELETE per Phase 2 SA con SPI: xxxx	CGW ha inviato il messaggio Delete_SA per la Fase 2.
AWS tunnel ha ricevuto DELETE per IKE_SA da CGW	CGW ha inviato il messaggio Delete_SA per la Fase 1.

IKEv2 Messaggi di errore

Messaggio	Spiegazione
AWS Il tunnel DPD è scaduto dopo la ritrasmissione di {retry_count}	Peer non ha risposto ai messaggi DPD, imponendo un'azione di timeout DPD.
AWS tunnel ha ricevuto DELETE per IKE_SA da CGW	Peer ha inviato il messaggio Delete_SA per Parent/IKE_SA.
AWS tunnel ha ricevuto DELETE per Phase 2 SA con SPI: xxxx	Peer ha inviato il messaggio Delete_SA per CHILD_SA.
AWS il tunnel ha rilevato una collisione (CHILD_REKEY) come CHILD_DELETE	CGW ha inviato il messaggio Delete_SA per Active SA, che è in corso di identificazione.
AWS tunnel (CHILD_SA) una SA ridondante viene eliminata a causa della collisione rilevata	A causa della collisione, se SAs vengono generati valori nonce ridondanti, i peer chiuderanno la SA ridondante dopo aver abbinato i valori nonce come da RFC.
AWS non è stato possibile stabilire la fase 2 del tunnel mantenendo la fase 1	Peer non è riuscito a stabilire CHILD_SA a causa di un errore di negoziazione, ad esempio una proposta errata.
AWS: Selettore di traffico: TS_UNACCETTABLE: ricevuto dal risponditore	Peer ha proposto selettori di traffico/dominio di crittografia errati. I peer devono essere configurati con valori identici e corretti. CIDRs
AWS tunnel sta inviando AUTHENTICATION_FAILED come risposta	Il peer non è in grado di autenticare il peer verificando il contenuto del messaggio IKE_AUTH
AWS tunnel ha rilevato una mancata corrispondenza della chiave precondivisa con cgw: xxxx	La stessa chiave precondivisa deve essere configurata su entrambi i peer IKE.
AWS tunnel Timeout: eliminazione della fase 1 non stabilita IKE_SA con cgw: xxxx	L'eliminazione dell'IKE_SA semiaperto come peer non ha portato a termine le negoziazioni
Nessuna corrispondenza proposta trovata. Notifica con "Nessuna proposta scelta"	Nessun messaggio di errore Proposta scelta viene scambiato tra peer per informare che è necessario configurare proposte corrette su IKE Peers.
Nessuna proposta corrispondente trovata da AWS	Gli attributi proposti per la Fase 1 o la Fase 2 (Encryption, Hashing e DH Group) non sono supportati da AWS VPN Endpoint, ad esempio. `3DES`

IKEv2 Messaggi di negoziazione

Messaggio	Spiegazione
AWS richiesta elaborata dal tunnel (id=xxx) per CREATE_CHILD_SA	AWS ha ricevuto la richiesta CREATE_CHILD_SA da CGW.
AWS il tunnel sta inviando una risposta (id=xxx) per CREATE_CHILD_SA	AWS sta inviando la risposta CREATE_CHILD_SA a CGW.
AWS il tunnel sta inviando una richiesta (id=xxx) per CREATE_CHILD_SA	AWS sta inviando la richiesta CREATE_CHILD_SA a CGW.
AWS risposta elaborata dal tunnel (id=xxx) per CREATE_CHILD_SA	AWS ha ricevuto la risposta CREATE_CHILD_SA da CGW.

Requisiti IAM da CloudWatch pubblicare nei registri

Affinché la funzionalità di registrazione funzioni correttamente, la policy IAM collegata al principale IAM utilizzata per configurare la funzionalità deve includere almeno le seguenti autorizzazioni. Ulteriori dettagli sono disponibili anche nella sezione Abilitazione della registrazione da determinati AWS servizi della Amazon CloudWatch Logs User Guide.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Monitora una connessione Site-to-Site VPN

Visualizza la Site-to-Site configurazione dei log VPN