AWS Client VPN エンドポイントの接続ログ記録 - AWS Client VPN

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Client VPN エンドポイントの接続ログ記録

接続ログ記録は、クライアントVPNエンドポイントの接続ログをキャプチャ AWS Client VPN できる の機能です。

接続ログには、クライアント (エンドユーザー) がクライアントVPNエンドポイントに接続、接続の試行、切断を行うタイミングなど、接続イベントに関する情報をキャプチャする接続ログエントリが含まれます。この情報を使用して、フォレンジックの実行、クライアントVPNエンドポイントの使用方法の分析、接続の問題のデバッグを行うことができます。

接続ログ AWS Client VPN は、 が利用可能なすべてのリージョンで使用できます。接続ログは、アカウントの CloudWatch ロググループに発行されます。

注記

失敗した相互認証の試行は記録されません。

接続ログエントリ

接続ログエントリは、キーと値のペアの JSON形式の BLOB です。次に、接続ログエントリの例を示します。

{ "connection-log-type": "connection-attempt", "connection-attempt-status": "successful", "connection-reset-status": "NA", "connection-attempt-failure-reason": "NA", "connection-id": "cvpn-connection-abc123abc123abc12", "client-vpn-endpoint-id": "cvpn-endpoint-aaa111bbb222ccc33", "transport-protocol": "udp", "connection-start-time": "2020-03-26 20:37:15", "connection-last-update-time": "2020-03-26 20:37:15", "client-ip": "10.0.1.2", "common-name": "client1", "device-type": "mac", "device-ip": "98.247.202.82", "port": "50096", "ingress-bytes": "0", "egress-bytes": "0", "ingress-packets": "0", "egress-packets": "0", "connection-end-time": "NA", "username": "joe" }

接続ログエントリには、次のキーが含まれます。

  • connection-log-type — 接続ログエントリのタイプ (connection-attempt または connection-reset)。

  • connection-attempt-status — 接続リクエストのステータス (successfulfailedwaiting-for-assertion、または NA)。

  • connection-reset-status — 接続リセットイベントのステータス (NA または assertion-received)。

  • connection-attempt-failure-reason — 接続エラーの理由 (該当する場合)。

  • connection-id — 接続の ID。

  • client-vpn-endpoint-id — 接続が行われたクライアントVPNエンドポイントの ID。

  • transport-protocol — 接続に使用されたトランスポートプロトコル。

  • connection-start-time — 接続の開始時刻。

  • connection-last-update-time — 接続の最終更新時刻。この値は、ログ内で定期的に更新されます。

  • client-ip — クライアントの IP アドレス。クライアントVPNエンドポイントのクライアントIPv4CIDR範囲から割り当てられます。

  • common-name — 証明書ベースの認証に使用される証明書の共通名。

  • device-type — エンドユーザーが接続に使用するデバイスのタイプ。

  • device-ip — デバイスのパブリック IP アドレス。

  • port — 接続のポート番号。

  • ingress-bytes — 接続の受信 (インバウンド) バイト数。この値は、ログ内で定期的に更新されます。

  • egress-bytes — 接続の送信 (アウトバウンド) バイト数。この値は、ログ内で定期的に更新されます。

  • ingress-packets — 接続の受信 (インバウンド) パケット数。この値は、ログ内で定期的に更新されます。

  • egress-packets — 接続の送信 (アウトバウンド) パケット数。この値は、ログ内で定期的に更新されます。

  • connection-end-time — 接続の終了時刻。この値は、接続がまだ進行中の場合や接続の試行が失敗した場合は NA です。

  • posture-compliance-statusesクライアント接続ハンドラーによって返される体制コンプライアンスステータス (該当する場合)。

  • username — ユーザー名は、エンドポイントにユーザーベースの認証 (AD または SAML) が使用されたときに記録されます。

  • connection-duration-seconds - 接続の継続時間 (秒)。connection-start-time「」と「」の差に等しくなりますconnection-end-time。

接続ログの有効化の詳細については、「AWS Client VPN 接続ログ」を参照してください。