Site-to-Site VPN 로그의 이점 Amazon CloudWatch Logs 리소스 정책 크기 제한 Site-to-Site VPN 로그의 내용 CloudWatch Logs에 게시하기 위한 IAM 요구 사항

AWS Site-to-Site VPN 로그

AWS Site-to-Site VPN 로그는 Site-to-Site VPN 배포에 대한 심층적인 가시성을 제공합니다. 이 기능을 사용하면 IPsec(IP Security) 터널 설정, IKE(Internet Key Exchange) 협상 및 DPD(Dead Peer Detection) 프로토콜 메시지에 대한 세부 정보를 제공하는 Site-to-Site VPN 연결 로그에 액세스할 수 있습니다.

Site-to-Site VPN 로그는 Amazon CloudWatch Logs에 게시할 수 있습니다. 이 기능은 고객이 모든 Site-to-Site VPN 연결에 대한 세부 로그를 액세스하고 분석할 수 있는 일관된 단일 방법을 제공합니다.

주제

Site-to-Site VPN 로그의 이점
Amazon CloudWatch Logs 리소스 정책 크기 제한
Site-to-Site VPN 로그의 내용
CloudWatch Logs에 게시하기 위한 IAM 요구 사항
Site-to-Site VPN 로그 구성 보기
Site-to-Site VPN 로그 사용 설정
Site-to-Site VPN 로그 사용 중지

Site-to-Site VPN 로그의 이점

간소화된 VPN 문제 해결: Site-to-Site VPN 로그를 사용하면 AWS 와 고객 게이트웨이 디바이스 간의 구성 불일치를 정확히 파악하고 초기 VPN 연결 문제를 해결할 수 있습니다. 잘못 구성된 설정(예: 제한 시간이 잘못 조정됨)으로 인해 VPN 연결이 시간이 지남에 따라 간헐적으로 플랩되거나, 기본 전송 네트워크(예: 인터넷 날씨)에 문제가 있거나, 라우팅 변경 또는 경로 오류로 인해 VPN을 통한 연결이 중단될 수 있습니다. 이 기능을 사용하면 간헐적인 연결 실패의 원인을 정확하게 진단하고 안정적인 작동을 위해 저수준 터널 구성을 미세 조정할 수 있습니다.
중앙 집중식 AWS Site-to-Site VPN 가시성: Site-to-Site VPN 로그는 인터넷과 전송을 모두 사용하는 Virtual Gateway, Transit Gateway 및 CloudHub 등 Site-to-Site VPN이 연결되는 다양한 모든 방법에 대한 터널 활동 로그 AWS Direct Connect 를 제공할 수 있습니다. 이 기능은 고객이 모든 Site-to-Site VPN 연결에 대한 세부 로그를 액세스하고 분석할 수 있는 일관된 단일 방법을 제공합니다.
보안 및 규정 준수: Site-to-Site VPN 로그를 Amazon CloudWatch Logs로 전송하여 시간 경과에 따른 VPN 연결 상태 및 활동을 소급적으로 분석할 수 있습니다. 이렇게 하면 규정 준수 및 규제 요구 사항을 충족할 수 있습니다.

Amazon CloudWatch Logs 리소스 정책 크기 제한

CloudWatch Logs 리소스 정책은 5,120자로 제한됩니다. CloudWatch Logs는 정책이 이 크기 제한에 도달하는 것을 감지하면 /aws/vendedlogs/로 시작하는 로그 그룹을 자동으로 활성화합니다. 로깅을 활성화하는 경우 Site-to-Site VPN이 지정된 로그 그룹으로 CloudWatch Logs 리소스 정책을 업데이트해야 합니다. CloudWatch Logs 리소스 정책 크기 제한에 도달하는 것을 방지하려면 로그 그룹 이름에 접두사 /aws/vendedlogs/를 추가합니다.

Site-to-Site VPN 로그의 내용

Site-to-Site VPN 터널 활동 로그에는 다음 정보가 포함됩니다. 로그 스트림 파일 이름은 VpnConnectionID 및 TunnelOutsideIPAddress를 사용합니다.

필드	설명
VpnLogCreationTimestamp(`event_timestamp`)	사람이 읽을 수 있는 형식의 로그 생성 타임스탬프입니다.
TunnelDPDEnabled(`dpd_enabled`)	DPD(Dead Peer Detection) 프로토콜 사용 상태(True/False)입니다.
TunnelCGWNATTDetectionStatus(`nat_t_detected`)	고객 게이트웨이 디바이스에서 NAT-T가 감지되었는지 여부입니다(True/False).
TunnelIKEPhase1State(`ike_phase1_state`)	IKE 1단계 프로토콜 상태(설정됨 \| 키 재지정 \| 협상 \| 중단)입니다.
TunnelIKEPhase2State(`ike_phase2_state`)	IKE 2단계 프로토콜 상태(설정됨 \| 키 재지정 \| 협상 \| 중단)입니다.
VpnLogDetail(`details`)	IPSec, IKE 및 DPD 프로토콜에 대한 자세한 메시지입니다.

IKEv1 오류 메시지

메시지	설명
Peer is not responsive - Declaring peer dead(피어가 응답하지 않음 - 피어 작동 중지 선언)	피어가 DPD 메시지에 응답하지 않아 DPD 시간 초과 조치가 적용되었습니다.
AWS 터널 페이로드 복호화가 잘못된 사전 공유 키로 인해 실패했습니다.	두 IKE 피어 모두에서 동일한 사전 공유 키를 구성해야 합니다.
에서 제안 일치를 찾을 수 없음 AWS	1단계에 대해 제안된 속성(암호화, 해싱 및 DH 그룹)이 AWS VPN 엔드포인트에서 지원되지 않습니다(예: `3DES`).
No Proposal Match Found(일치하는 제안 항목을 찾을 수 없음). Notifying with "No proposal chosen"('선택한 제안 항목 없음'으로 알림)	IKE 피어의 2단계에 대해 올바른 제안 항목/정책을 구성해야 함을 알리는 No Proposal Chosen(선택한 제안 항목 없음) 오류 메시지가 피어 간에 교환됩니다.
AWS SPI가 xxxx인 2단계 SA에 대한 터널 수신 DELETE	CGW가 2단계에 대한 Delete_SA 메시지를 보냈습니다.
AWS 터널이 CGW에서 IKE_SA용 DELETE를 수신함	CGW가 1단계에 대한 Delete_SA 메시지를 보냈습니다.

IKEv2 오류 메시지

메시지	설명
AWS {retry_count} 재전송 후 터널 DPD 시간 초과	피어가 DPD 메시지에 응답하지 않아 DPD 시간 초과 조치가 적용되었습니다.
AWS 터널이 CGW에서 IKE_SA용 DELETE를 수신함	피어가 상위/IKE_SA에 대한 Delete_SA 메시지를 보냈습니다.
AWS SPI가 xxxx인 2단계 SA에 대한 터널 수신 DELETE	피어가 CHILD_SA에 대한 Delete_SA 메시지를 보냈습니다.
AWS 터널이 CHILD_DELETE로 (CHILD_REKEY) 충돌을 감지했습니다.	CGW에서 키가 다시 입력되는 활성 SA에 대해 Delete_SA 메시지를 보냈습니다.
AWS 터널(CHILD_SA) 중복 SA가 감지된 충돌로 인해 삭제되고 있습니다.	충돌로 인해 중복 SAs 생성되는 경우 피어는 RFC에 따라 nonce 값을 일치시킨 후 중복 SA를 닫습니다.
AWS 1단계를 유지하면서 터널 2단계를 설정할 수 없음	피어가 협상 오류(예: 잘못된 제안 항목)로 인해 CHILD_SA를 설정하지 못했습니다.
AWS: Traffic Selector: TS_UNACCEPTABLE: received from responder(트래픽 선택기: TS_UNAPLABLE: 응답자로부터 수신됨)	피어가 잘못된 트래픽 선택기/암호화 도메인을 제안했습니다. 피어들을 동일하고 올바른 CIDR로 구성해야 합니다.
AWS 터널이 응답으로 AUTHENTICATION_FAILED를 전송하고 있습니다.	피어가 IKE_AUTH 메시지 내용을 확인하여 피어를 인증할 수 없습니다.
AWS 터널에서 cgw: xxxx와 사전 공유 키 불일치를 감지했습니다.	두 IKE 피어 모두에서 동일한 사전 공유 키를 구성해야 합니다.
AWS 터널 제한 시간: cgw: xxxx를 사용하여 설정되지 않은 1단계 IKE_SA 삭제	협상에서 반개방된 IKE_SA를 피어로 삭제하는 작업이 진행되지 않았습니다.
No Proposal Match Found(일치하는 제안 항목을 찾을 수 없음). Notifying with "No proposal chosen"('선택한 제안 항목 없음'으로 알림)	IKE 피어에 대해 올바른 제안 항목을 구성해야 함을 알리는 No Proposal Chosen(선택한 제안 항목 없음) 오류 메시지가 피어 간에 교환됩니다.
에서 제안 일치를 찾을 수 없음 AWS	1단계 또는 2단계(암호화, 해싱 및 DH 그룹)에 대해 제안된 속성은 AWS VPN 엔드포인트에서 지원되지 않습니다. 예: `3DES`.

IKEv2 협상 메시지

메시지	설명
AWS CREATE_CHILD_SA에 대한 터널 처리 요청(id=xxx)	AWS 가 CGW로부터 CREATE_CHILD_SA 요청을 받았습니다.
AWS 터널이 CREATE_CHILD_SA에 대한 응답(id=xxx)을 보내고 있음	AWS 는 CREATE_CHILD_SA 응답을 CGW로 전송합니다.
AWS 터널이 CREATE_CHILD_SA에 대한 요청(id=xxx)을 보내고 있음	AWS 가 CREATE_CHILD_SA 요청을 CGW로 보내고 있습니다.
AWS CREATE_CHILD_SA에 대한 터널 처리 응답(id=xxx)	AWS 가 CREATE_CHILD_SA 응답 양식 CGW를 수신했습니다.

CloudWatch Logs에 게시하기 위한 IAM 요구 사항

로깅 기능이 제대로 작동하려면 기능을 구성하는 데 사용되는 IAM 보안 주체에 연결된 IAM 정책에 최소한 다음 권한이 포함되어야 합니다. 자세한 내용은 Amazon CloudWatch Logs 사용 설명서의 특정 AWS 서비스에서 로깅 활성화 섹션에서 확인할 수 있습니다.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

Site-to-Site VPN 연결 모니터링

Site-to-Site VPN 로그 구성 보기