AWS Site-to-Site VPN ログ - AWS Site-to-Site VPN
VPN ログの利点 Site-to-Site Amazon CloudWatch Logs リソースポリシーのサイズ制限Site-to-Site VPN ログの内容IAM CloudWatch Logs に発行するための 要件

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Site-to-Site VPN ログ

AWS Site-to-Site VPN ログを使用すると、VPNデプロイをより詳細に把握できます Site-to-Site。この機能を使用すると、IP Security (IPsec) トンネル確立、Internet Key Exchange (IKE) ネゴシエーション、およびデッドピア検出 (DPD) プロトコルメッセージの詳細を提供するVPN接続ログにアクセスできます Site-to-Site。

Site-to-Site VPN ログは Amazon CloudWatch Logs に発行できます。この機能により、お客様はすべてのVPN接続の詳細ログにアクセスして分析するための一貫した単一の方法を利用できます Site-to-Site。

トピック

VPN ログの利点 Site-to-Site

  • VPN トラブルシューティングの簡素化: Site-to-Site VPNログは、 AWS とカスタマーゲートウェイデバイス間の設定の不一致を特定し、初期VPN接続の問題に対処するのに役立ちます。 VPN接続は、設定の誤り (タイムアウトの調整が不十分など)、基盤となるトランスポートネットワークの問題 (インターネットの状況など)、ルーティングの変更やパスの障害により、 を介した接続の中断を引き起こす可能性がありますVPN。この機能により、断続的な接続障害の原因を正確に診断し、低レベルのトンネル設定を微調整して信頼性の高い動作を実現できます。

  • 一元的な AWS Site-to-Site VPN 可視性: Site-to-Site VPNログ Site-to-SiteVPNは、仮想ゲートウェイ、トランジットゲートウェイ、およびインターネットと AWS Direct Connect トランスポートの両方 CloudHubを使用する接続されているすべての方法のトンネルアクティビティログを提供できます。この機能により、お客様はすべてのVPN接続の詳細ログにアクセスして分析するための一貫した単一の方法を利用できます Site-to-Site。

  • セキュリティとコンプライアンス: Site-to-Site VPNログを Amazon CloudWatch Logs に送信して、VPN接続ステータスとアクティビティを経時的に遡及的に分析できます。これはコンプライアンスおよび規制要件に準拠するのに役立ちます。

Amazon CloudWatch Logs リソースポリシーのサイズ制限

CloudWatch ログリソースポリシーは 5,120 文字に制限されています。 CloudWatch Logs は、ポリシーがこのサイズ制限に近づいていることを検出すると、 で始まるロググループを自動的に有効にします/aws/vendedlogs/。ログ記録を有効にすると、 Site-to-Site は指定した CloudWatch ロググループで Logs リソースポリシーを更新VPNする必要があります。 CloudWatch Logs リソースポリシーのサイズ制限に達しないようにするには、ロググループ名の前に を付けます/aws/vendedlogs/

Site-to-Site VPN ログの内容

VPN トンネルアクティビティログには、 Site-to-Site次の情報が含まれています。

フィールド 説明

VpnLogCreationTimestamp

人間が読める形式でのログ作成タイムスタンプ。

VpnConnectionId

VPN 接続識別子。

TunnelOutsideIPAddress

ログエントリを生成したVPNトンネルの外部 IP。

TunnelDPDEnabled

デッドピア検出プロトコルの有効ステータス (True/False)。

T unnelCGWNATTDetectionステータス

 NATカスタマーゲートウェイデバイスで検出された -T (True/False)。

TunnelIKEPhase1State

 IKE フェーズ 1 プロトコルの状態 (確立済み | キーの再作成 | ネゴシエーション | ダウン)。
TunnelIKEPhase2State IKE フェーズ 2 プロトコルの状態 (確立済み | キーの再作成 | ネゴシエーション | ダウン)。
VpnLogDetail IPsec、、IKEおよび DPDプロトコルの詳細メッセージ。

IKEv1 エラーメッセージ

メッセージ 説明

ピアが応答しない - ピア停止が宣言される

ピアはDPDメッセージに応答せず、DPDタイムアウトアクションを強制します。

AWS 事前共有キーが無効であるため、トンネルペイロードの復号に失敗しました

両方のIKEピアで同じ事前共有キーを設定する必要があります。

による提案一致が見つかりません AWS

フェーズ 1 (暗号化、ハッシュ、DH グループ) の提案された属性は、 などのAWSVPNエンドポイントではサポートされていません3DES

一致する提案が見つかりませんでした。「提案が選択されていません」と通知される

提案なし 選択されたエラーメッセージは、ピア間で交換され、IKEピアのフェーズ 2 で正しい提案/ポリシーを設定する必要があることを知らせます。

AWS を使用したフェーズ 2 SA DELETEの トンネル受信SPI: xxxx

 CGW がフェーズ 2 の Delete_SA メッセージを送信しました

AWS IKE_SA DELETEの トンネルが から受信されました CGW

 CGW がフェーズ 1 の Delete_SA メッセージを送信しました

IKEv2 エラーメッセージ

メッセージ 説明

AWS {retry_count} の再送信後にDPDトンネルがタイムアウトしました

ピアはDPDメッセージに応答せず、DPDタイムアウトアクションを強制します。

AWS IKE_SA DELETEの トンネルが から受信されました CGW

ピアが親/_SA の DeleteIKE_SA メッセージを送信しました

AWS を使用したフェーズ 2 SA DELETEの トンネル受信SPI: xxxx

ピアが _SA の DeleteCHILD_SA メッセージを送信しました

AWS トンネルが (CHILD_REKEY) 衝突を CHILD_ として検出しましたDELETE

CGW は、再キーされるアクティブ SA の Delete_SA メッセージを送信しました。

AWS トンネル (CHILD_SA) の冗長 SA は、検出された衝突により削除されています

衝突のため、冗長が生成された場合、ピアSAsは に従ってノンス値を一致させた後に冗長 SA を閉じます。 RFC

AWS トンネルフェーズ 2 は、フェーズ 1 を維持している間に を確立できませんでした

ネゴシエーションエラーのため、ピアは CHILD_SA を確立できませんでした。たとえば、誤った提案です。

AWS: Traffic Selector: TS_UNACCEPTABLE: レスポンダーから受信

ピアが不正なトラフィックセレクタ/暗号化ドメインを提案しました。ピアは、同一で正しい で設定する必要がありますCIDRs。

AWS トンネルがレスポンスとして AUTHENTICATION_FAILED を送信しています

ピアは IKE_AUTH メッセージの内容を検証してピアを認証できません

AWS トンネルが cgw: xxxx との事前共有キーの不一致を検出しました

両方のIKEピアで同じ事前共有キーを設定する必要があります。

AWS トンネルタイムアウト: cgw: xxxx で確立されていないフェーズ 1 IKE_SA を削除する

ピアとしての半オープン IKE_SA の削除はネゴシエーションに進みません

一致する提案が見つかりませんでした。「提案が選択されていません」と通知される

提案なし 選択されたエラーメッセージは、ピア間で交換され、IKEピアで正しい提案を設定する必要があることを知らせます。

による提案一致が見つかりません AWS

フェーズ 1 またはフェーズ 2 (暗号化、ハッシュ、DH グループ) の提案された属性は、 などのエンドポイントでは AWS VPNサポートされていません3DES

IKEv2 ネゴシエーションメッセージ

メッセージ 説明

AWS CREATE_CHILD_SA のトンネル処理リクエスト (id=xxx)

AWS は から CREATE_CHILD_SA リクエストを受信しました CGW

AWS トンネルが CREATE_CHILD_SA のレスポンス (id=xxx) を送信しています

AWS は CREATE_CHILD_SA レスポンスを に送信しています CGW

AWS トンネルが CREATE_CHILD_SA のリクエスト (id=xxx) を送信しています

AWS は CREATE_CHILD_SA リクエストを に送信しています CGW

AWS CREATE_CHILD_SA のトンネル処理レスポンス (id=xxx)

AWS が CREATE_CHILD_SA レスポンスフォームを受信しました CGW

IAM CloudWatch Logs に発行するための 要件

ログ記録機能を正しく機能させるには、機能の設定に使用されているIAMプリンシパルにアタッチされたIAMポリシーに、少なくとも次のアクセス許可が含まれている必要があります。詳細については、「Amazon CloudWatch Logs ユーザーガイド」の「特定の AWS サービスからのログ記録の有効化」セクションにも記載されています。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}