AWS Site-to-Site VPN Logs - AWS Site-to-Site VPN
Vorteile von Site-to-Site-VPN-ProtokollenGrößenbeschränkungen der Amazon CloudWatch Logs-RessourcenrichtlinieIAM-Anforderungen für die Veröffentlichung in Logs CloudWatch Konfiguration von Site-to-Site-VPN-Protokollen anzeigenSite-to-Site-VPN-Protokolle aktivierenSite-to-Site-VPN-Protokolle deaktivieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Site-to-Site VPN Logs

AWS Site-to-Site VPN Protokolle bieten Ihnen einen tieferen Einblick in Ihre Site-to-Site-VPN-Bereitstellungen. Mit dieser Funktion erhalten Sie Zugriff auf Site-to-Site-VPN-Verbindungsprotokolle mit Details zur Einrichtung von IP-Sicherheitstunneln (IPSec), Internet Key Exchange (IKE)-Aushandlungen und Dead Peer Detection (DPD)-Protokollmeldungen.

Site-to-Site-VPN-Protokolle können in Amazon Logs veröffentlicht werden. CloudWatch Diese Funktion bietet Kunden eine einheitliche Möglichkeit, auf detaillierte Protokolle für alle ihre Site-to-Site-VPN-Verbindungen zuzugreifen und diese zu analysieren.

Inhalt

Vorteile von Site-to-Site-VPN-Protokollen

  • Vereinfachte VPN-Fehlerbehebung: Site-to-Site-VPN-Protokolle helfen Ihnen dabei, Konfigurationsunterschiede zwischen AWS und Ihrem Kunden-Gateway-Gerät zu ermitteln und anfängliche VPN-Verbindungsprobleme zu beheben. VPN-Verbindungen können im Laufe der Zeit aufgrund von falsch konfigurierten Einstellungen (z. B. schlecht abgestimmten Timeouts) zeitweise ausfallen, es kann zu Problemen in den zugrunde liegenden Transportnetzwerken kommen (z. B. Internetwetter) oder Routing-Änderungen bzw. Pfadfehler können zu einer Unterbrechung der Konnektivität über VPN führen. Mit dieser Funktion können Sie die Ursache von zeitweise auftretenden Verbindungsfehlern genau diagnostizieren und die Low-Level-Tunnelkonfiguration optimieren, um einen zuverlässigen Betrieb zu ermöglichen.

  • Zentrale AWS Site-to-Site VPN Sichtbarkeit: Site-to-Site-VPN-Protokolle können Tunnelaktivitätsprotokolle für all die verschiedenen Verbindungsarten von Site-to-Site VPN bereitstellen: virtuelles Gateway, Transit Gateway und CloudHub sowohl Internet als auch als Transport. AWS Direct Connect Diese Funktion bietet Kunden eine einheitliche Möglichkeit, auf detaillierte Protokolle für alle ihre Site-to-Site-VPN-Verbindungen zuzugreifen und diese zu analysieren.

  • Sicherheit und Compliance: Site-to-Site-VPN-Protokolle können an Amazon Logs gesendet werden, um den Status und die CloudWatch Aktivität der VPN-Verbindung im Laufe der Zeit rückwirkend zu analysieren. Dies hilft Ihnen, Compliance-Anforderungen und gesetzliche Vorschriften besser einzuhalten.

Größenbeschränkungen der Amazon CloudWatch Logs-Ressourcenrichtlinie

CloudWatch Die Ressourcenrichtlinien für Logs sind auf 5120 Zeichen begrenzt. Wenn CloudWatch Logs feststellt, dass sich eine Richtlinie dieser Größenbeschränkung nähert, werden automatisch Protokollgruppen aktiviert, die mit /aws/vendedlogs/ beginnen. Wenn Sie die Protokollierung aktivieren, muss Site-to-Site VPN Ihre CloudWatch Logs-Ressourcenrichtlinie mit der von Ihnen angegebenen Protokollgruppe aktualisieren. Um zu verhindern, dass die Größenbeschränkung der CloudWatch Protokollressourcenrichtlinie erreicht wird, stellen Sie Ihren Protokollgruppennamen ein Präfix voran. /aws/vendedlogs/

IAM-Anforderungen für die Veröffentlichung in Logs CloudWatch

Damit die Protokollierungsfunktion ordnungsgemäß funktioniert, muss die an den IAM-Prinzipal angefügte IAM-Richtlinie, die zur Konfiguration der Funktion verwendet wird, mindestens die folgenden Berechtigungen enthalten. Weitere Informationen finden Sie auch im Abschnitt Aktivieren der Protokollierung für bestimmte AWS Dienste im Amazon CloudWatch Logs-Benutzerhandbuch.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}

Konfiguration von Site-to-Site-VPN-Protokollen anzeigen

So zeigen Sie die aktuellen Tunnelprotokollierungseinstellungen an

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Site-to-Site VPN Connections (Site-to-Site-VPN-Verbindungen) aus.

  3. Wählen Sie in der Liste VPN connections (VPN–Verbindungen) die VPN-Verbindung aus, die Sie anzeigen möchten.

  4. Wählen Sie die Registerkarte Tunnel details (Tunneldetails) aus.

  5. Erweitern Sie die Abschnitte Tunnel 1 options (Tunnel-1-Optionen) und Tunnel 2 options (Tunnel-2-Optionen), um alle Details der Tunnelkonfiguration anzuzeigen.

  6. Sie können den aktuellen Status der Protokollierungsfunktion unter Tunnel-VPN-Protokoll und die aktuell konfigurierte CloudWatch Protokollgruppe (falls vorhanden) unter CloudWatch Protokollgruppe einsehen.

So zeigen Sie die aktuellen Tunnelprotokollierungseinstellungen für eine Site-to-Site-VPN-Verbindung über die AWS Befehlszeile oder API an

Site-to-Site-VPN-Protokolle aktivieren

Anmerkung

Wenn Sie Site-to-Site-VPN-Protokolle für einen vorhandenen VPN-Verbindungstunnel aktivieren, kann Ihre Verbindung über diesen Tunnel für mehrere Minuten unterbrochen werden. Um hohe Verfügbarkeit zu gewährleisten, bietet jede VPN-Verbindung jedoch zwei Tunnel, sodass Sie die Protokollierung für jeweils einen Tunnel aktivieren können, während die Konnektivität über den Tunnel erhalten bleibt, der nicht geändert wird. Weitere Informationen finden Sie unter Ersatz für Site-to-Site VPN-Tunnelendpunkte.

So aktivieren Sie die VPN-Protokollierung beim Erstellen einer neuen Site-to-Site-VPN-Verbindung

Folgen Sie dem Verfahren unter Schritt 5: Eine VPN-Verbindung erstellen. In Schritt 9, Tunnel Options (Tunneloptionen), können Sie alle Optionen angeben, die Sie für beide Tunnel verwenden möchten, einschließlich Optionen für die VPN-Protokollierung. Weitere Informationen zu diesen Optionen finden Sie unter Tunnel-Optionen für Ihre Site-to-Site-VPN-Verbindung.

So aktivieren Sie die Tunnelprotokollierung für eine neue Site-to-Site-VPN-Verbindung über die AWS Befehlszeile oder API
So aktivieren Sie die Tunnelprotokollierung für eine vorhandene Site-to-Site-VPN-Verbindung

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Site-to-Site VPN Connections (Site-to-Site-VPN-Verbindungen) aus.

  3. Wählen Sie in der Liste VPN connections (VPN-Verbindungen) die VPN-Verbindung aus, die Sie ändern möchten.

  4. Wählen Sie Actions (Aktionen), Modify VPN tunnel options (VPN-Tunneloptionen ändern) aus.

  5. Wählen Sie den zu ändernden Tunnel aus, indem Sie die entsprechende IP-Adresse in der Liste VPN tunnel outside IP address (Externe IP-Adresse des VPN-Tunnels) auswählen.

  6. Wählen Sie unter Tunnel activity log (Tunnelaktivitätsprotokoll) die Option Enable (Aktivieren) aus.

  7. Wählen Sie unter CloudWatch Amazon-Protokollgruppe die CloudWatch Amazon-Protokollgruppe aus, an die die Protokolle gesendet werden sollen.

  8. (Optional) Wählen Sie unter Output format (Ausgabeformat) das gewünschte Format für die Protokollausgabe: json oder Text.

  9. Wählen Sie Save Changes (Änderungen speichern) aus.

  10. (Optional) Wiederholen Sie die Schritte 4 bis 9 gegebenenfalls für den anderen Tunnel.

So aktivieren Sie die Tunnelprotokollierung für eine bestehende Site-to-Site-VPN-Verbindung mithilfe der AWS Befehlszeile oder API

Site-to-Site-VPN-Protokolle deaktivieren

So deaktivieren Sie die Tunnelprotokollierung für eine Site-to-Site-VPN-Verbindung

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Site-to-Site VPN Connections (Site-to-Site-VPN-Verbindungen) aus.

  3. Wählen Sie in der Liste VPN connections (VPN-Verbindungen) die VPN-Verbindung aus, die Sie ändern möchten.

  4. Wählen Sie Actions (Aktionen), Modify VPN tunnel options (VPN-Tunneloptionen ändern) aus.

  5. Wählen Sie den zu ändernden Tunnel aus, indem Sie die entsprechende IP-Adresse in der Liste VPN tunnel outside IP address (Externe IP-Adresse des VPN-Tunnels) auswählen.

  6. Deaktivieren Sie unter Tunnel activity log (Tunnelaktivitätsprotokoll) die Option Enable (Aktivieren).

  7. Wählen Sie Save Changes (Änderungen speichern) aus.

  8. (Optional) Wiederholen Sie die Schritte 4 bis 7 gegebenenfalls für den anderen Tunnel.

So deaktivieren Sie die Tunnelprotokollierung für eine Site-to-Site-VPN-Verbindung mithilfe der AWS Befehlszeile oder API