AWS Site-to-Site VPN 日誌 - AWS Site-to-Site VPN
站台對站台 VPN 日誌的優點Amazon CloudWatch 日誌資源政策大小限制發佈到 CloudWatch 日誌的 IAM 要求檢視站台對站台 VPN 日誌組態啟用站台對站台 VPN 日誌停用站台對站台 VPN 日誌

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Site-to-Site VPN 日誌

AWS Site-to-Site VPN 記錄可讓您更深入瞭解 Site-to-Site VPN 部署。透過此功能,您可以存取站台對站台 VPN 連接日誌,其中提供 IP 安全性 (IPsec) 通道建立、網際網路金鑰交換 (IKE) 交涉,以及失效對等偵測 (DPD) 通訊協定訊息的詳細資料。

網 Site-to-Site VPN 日誌可以發佈到 Amazon CloudWatch 日誌。此功能為客戶提供一個一致的方式,來存取和分析其所有站台對站台 VPN 連接的詳細日誌。

目錄

站台對站台 VPN 日誌的優點

  • 簡化 VPN 疑難排解:Site-to-Site VPN 記錄可協助您精確找出與客戶閘道裝置之間的組態不符, AWS 並解決初始 VPN 連線問題。VPN 連接可能會因為設定錯誤 (例如調整不良的逾時) 而間歇性地震盪一段時間,基礎傳輸網路 (例如網際網路天氣) 可能會發生問題,或者路由變更或路徑失敗可能會造成透過 VPN 的連接中斷。此功能可讓您準確診斷間歇性連線失敗的原因,並微調低階通道組態,讓作業穩定可靠。

  • 集中式可 AWS Site-to-Site VPN 見性:Site-to-Site VPN 記錄檔可針對 Site-to-Site VPN 連線的所有不同方式提供通道活動記錄:虛擬閘道、傳 Transit Gateway 道,以及使用網際網路和 CloudHub作為傳輸。 AWS Direct Connect 此功能為客戶提供一個一致的方式,來存取和分析其所有站台對站台 VPN 連接的詳細日誌。

  • 安全性和合規性:Site-to-Site VPN 日誌可以傳送到 Amazon 日 CloudWatch 誌,以便對 VPN 連線狀態和一段時間內的活動進行回溯性分析。這可以協助您滿足合規性與法規的要求。

Amazon CloudWatch 日誌資源政策大小限制

CloudWatch 記錄檔資源策略的長度限制為 5120 個字元。當 CloudWatch 記錄檔偵測到原則接近此大小限制時,會自動啟用以開頭的記錄群組/aws/vendedlogs/。當您啟用記錄時,Site-to-Site VPN 必須使用您指定的記 CloudWatch 錄群組更新記錄資源原則。若要避免達到 CloudWatch 記錄檔資源原則大小限制,請在記錄群組名稱前面加上/aws/vendedlogs/

發佈到 CloudWatch 日誌的 IAM 要求

若要讓記錄功能正常運作,用於設定功能、連接至 IAM 主體的 IAM 政策必須至少包含下列許可。您也可以在 Amazon CloudWatch 日誌使用者指南啟用特定 AWS 服務記錄一節中找到更多詳細資訊。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}

檢視站台對站台 VPN 日誌組態

檢視目前通道日誌設定

  1. 前往 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Site-to-Site VPN Connections (Site-to-Site VPN 連接)。

  3. VPN connections (VPN 連接) 清單選取您要檢視的 VPN 連接。

  4. 選擇 Tunnel details (通道詳細資料) 索引標籤。

  5. 展開 Tunnel 1 options (通道 1 選項) 和Tunnel 2 options (通道 2 選項),以檢視所有通道組態詳細資訊。

  6. 您可以在 T unnel VPN 記錄下檢視記錄功能的目前狀態,以及記錄群組下CloudWatch 目前設定的記 CloudWatch錄群組 (如果有的話)。

使用 AWS 命令列或 API 檢視 Site-to-Site VPN 連線上目前的通道記錄設定

啟用站台對站台 VPN 日誌

注意

當您為現有 VPN 連接通道啟用站台對站台 VPN 日誌時,該通道的連線可能會中斷數分鐘。不過,每個 VPN 連接都提供兩個通道以達到高可用性,因此您可以允許一次一個通道上的日誌功能,同時保持通道的連接不會遭到修改。如需詳細資訊,請參閱 替換站台對站台 VPN 通道端點

在建立新的站台對站台 VPN 連接期間啟用 VPN 日誌

遵循步驟 5:建立 VPN 連接程序。在進行步驟 9 通道選項期間,您可以指定要用於兩個通道的所有選項,包括 VPN logging (VPN 日誌) 選項。如需關於這些選項的詳細資訊,請參閱 站台對站台 VPN 連接的通道選項

使用 AWS 命令列或 API 在新的 Site-to-Site VPN 連線上啟用通道記錄
啟用現有站台對站台 VPN 連接的通道日誌

  1. 前往 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Site-to-Site VPN Connections (Site-to-Site VPN 連接)。

  3. VPN connections (VPN 連接)清單中,選取您要修改的 VPN 連接。

  4. 選取 Actions (動作)、Modify VPN tunnel options (修改 VPN 通道選項)。

  5. 選取您要修改的通道,方法是從 VPN tunnel outside IP address (IP 地址外的 VPN 通道) 清單中選擇適當的 IP 地址。

  6. Tunnel activity log (通道活動日誌) 下方選取 Enable (啟用)。

  7. Amazon 日 CloudWatch 誌群組下,選取您要傳送日 CloudWatch 誌的 Amazon 日誌群組。

  8. (選擇性) 在 Output format (輸出格式) 下方,選擇所需的日誌輸出格式 jsontext (文字)。

  9. 選取 Save Changes (儲存變更)。

  10. (選擇性) 視需要針對另一個通道重複步驟 4 到 9。

使用 AWS 命令列或 API 在現有 Site-to-Site VPN 連線上啟用通道記錄

停用站台對站台 VPN 日誌

停用站台對站台 VPN 連接上的通道日誌

  1. 前往 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Site-to-Site VPN Connections (Site-to-Site VPN 連接)。

  3. VPN connections (VPN 連接)清單中,選取您要修改的 VPN 連接。

  4. 選取 Actions (動作)、Modify VPN tunnel options (修改 VPN 通道選項)。

  5. 選取您要修改的通道,方法是從 VPN tunnel outside IP address (IP 地址外的 VPN 通道) 清單中選擇適當的 IP 地址。

  6. Tunnel activity log (通道活動日誌) 清除 Enable (啟用)。

  7. 選取 Save Changes (儲存變更)。

  8. (選擇性) 視需要針對另一個通道重複步驟 4 到 7。

使用 AWS 命令列或 API 停用 Site-to-Site VPN 連線上的通道記錄