Beneficios de los registros de Site-to-Site VPN Restricciones de tamaño de la política de recursos de Amazon CloudWatch Logs Requisitos de IAM para publicar en Logs CloudWatch Consultar la configuración de registros de Site-to-Site VPN Habilitar registros de Site-to-Site VPN Desactivar registros de Site-to-Site VPN

AWS Site-to-Site VPN registros

AWS Site-to-Site VPN los registros le proporcionan una mayor visibilidad de sus despliegues de VPN de Site-to-Site. Con esta característica, tiene acceso a los registros de conexión de Site-to-Site VPN que proporcionan detalles sobre el establecimiento del túnel de seguridad IP (IPsec), las negociaciones de intercambio de claves de Internet (IKE) y los mensajes del protocolo de detección de pares muertos (DPD).

Los registros de VPN de Site-to-Site se pueden publicar en Amazon Logs. CloudWatch Esta característica proporciona a los clientes una única forma coherente de acceder y analizar registros detallados para todas las conexiones de Site-to-Site VPN.

Contenido

Beneficios de los registros de Site-to-Site VPN
Restricciones de tamaño de la política de recursos de Amazon CloudWatch Logs
Contenido de los registros de Site-to-Site VPN
Requisitos de IAM para publicar en Logs CloudWatch
Consultar la configuración de registros de Site-to-Site VPN
Habilitar registros de Site-to-Site VPN
Desactivar registros de Site-to-Site VPN

Beneficios de los registros de Site-to-Site VPN

Solución de problemas de VPN simplificada: los registros de VPN de Site-to-Site le ayudan a identificar las discrepancias de configuración entre el dispositivo de puerta de enlace del cliente AWS y a solucionar los problemas iniciales de conectividad de la VPN. Las conexiones de VPN pueden cambiar de forma intermitente con el tiempo debido a ajustes mal configurados (como tiempos de espera mal ajustados), puede haber problemas en las redes de transporte subyacentes (como el tiempo de Internet) o los cambios de enrutamiento o los errores de ruta pueden provocar la interrupción de la conectividad a través de VPN. Esta característica le permite diagnosticar con precisión la causa de los errores de conexión intermitentes y ajustar la configuración del túnel de bajo nivel para lograr un funcionamiento fiable.
AWS Site-to-Site VPN Visibilidad centralizada: los registros de la VPN Site-to-Site pueden proporcionar registros de la actividad de los túneles para todas las diferentes formas en que se conecta la VPN Site-to-Site: Virtual Gateway, Transit Gateway y, a través de Internet y CloudHub como medio de transporte. AWS Direct Connect Esta característica proporciona a los clientes una única forma coherente de acceder y analizar registros detallados para todas las conexiones de Site-to-Site VPN.
Seguridad y conformidad: los registros de VPN de Site-to-Site se pueden enviar a Amazon CloudWatch Logs para un análisis retrospectivo del estado y la actividad de la conexión VPN a lo largo del tiempo. Esto puede ayudarle a cumplir con los requisitos reglamentarios y de conformidad.

Restricciones de tamaño de la política de recursos de Amazon CloudWatch Logs

CloudWatch Las políticas de recursos de Logs están limitadas a 5120 caracteres. Cuando CloudWatch Logs detecta que una política se acerca a este límite de tamaño, habilita automáticamente los grupos de registros que comiencen por. /aws/vendedlogs/ Al habilitar el registro, la VPN Site-to-Site debe actualizar la política de recursos de CloudWatch registros con el grupo de registros que especifique. Para evitar alcanzar el límite de tamaño de la política de recursos de CloudWatch registros, añada el prefijo a los nombres de los grupos de registros. /aws/vendedlogs/

Requisitos de IAM para publicar en Logs CloudWatch

Para que la característica de registro funcione correctamente, la política de IAM asociada a la entidad principal de IAM que se está utilizando para configurar la característica debe incluir los siguientes permisos como mínimo. También puedes encontrar más información en la sección Habilitar el registro desde determinados AWS servicios de la Guía del usuario de Amazon CloudWatch Logs.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}

Consultar la configuración de registros de Site-to-Site VPN

Para consultar la configuración actual de registro de túnel

Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
En el panel de navegación, elija Site-to-Site VPN Connections (Conexiones de Site-to-Site VPN).
Seleccione la conexión de VPN que desea ver en la lista VPN connections (Conexiones de VPN).
Elija la pestaña Tunnel details (Detalles de túnel).
Amplíe las secciones Tunnel 1 options (Opciones de túnel 1) y Tunnel 2 options (Opciones de túnel 2) para ver todos los detalles de configuración de los túneles.
Puede ver el estado actual de la función de registro en el registro de Tunnel VPN y el grupo de CloudWatch registros actualmente configurado (si lo hay) en el grupo de CloudWatch registros.

Para ver la configuración actual del registro de túneles en una conexión VPN de Site-to-Site mediante la línea de comandos o la API AWS

DescribeVpnConexiones (API de consultas de Amazon EC2)
describe-vpn-connections (AWS CLI)

Habilitar registros de Site-to-Site VPN

nota

Cuando habilita los registros de Site-to-Site VPN para un túnel de conexión de VPN existente, la conectividad a través de ese túnel se puede interrumpir durante varios minutos. Sin embargo, cada conexión de VPN ofrece dos túneles para una alta disponibilidad, por lo que puede habilitar el registro en un túnel a la vez mientras mantiene la conectividad a través del túnel que no se modifica. Para obtener más información, consulte Sustitución de los puntos de enlace de un túnel de Site-to-Site VPN.

Para habilitar el registro de VPN durante la creación de una nueva conexión de Site-to-Site VPN

Siga el procedimiento indicado en Paso 5: Crear una conexión de VPN. En las Tunnel Options (Opciones de túnel) del Paso 9, puede especificar todas las opciones que desea usar para ambos túneles, como las opciones de VPN logging (Registro de VPN). Para obtener más información sobre estas opciones, consulte Opciones del túnel de una conexión de Site-to-Site VPN.

Para habilitar el registro de túneles en una nueva conexión VPN de Site-to-Site mediante la línea de comandos o la API AWS

CreateVpnConexión (API de consultas de Amazon EC2)
create-vpn-connection (AWS CLI)

Para habilitar el registro de túnel en una conexión de Site-to-Site VPN existente

Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
En el panel de navegación, elija Site-to-Site VPN Connections (Conexiones de Site-to-Site VPN).
Seleccione la conexión de VPN que desea modificar de la lista VPN connections (Conexiones de VPN).
Seleccione Actions (Acciones), Modify VPN tunnel options (Modificar opciones de túnel de VPN).
Seleccione el túnel que desea modificar; para ello, elija la dirección IP adecuada en la lista VPN tunnel outside IP address (Túnel de VPN fuera de la dirección IP).
En Tunnel activity log (Registro de actividad de túnel), seleccione Enable (Habilitar).
En Grupo de CloudWatch registros de Amazon, selecciona el grupo de CloudWatch registros de Amazon al que quieres que se envíen los registros.
(Opcional) En Output format (Formato de salida), elija el formato deseado para la salida del registro, ya sea json o text (texto).
Seleccione Save changes (Guardar cambios).
(Opcional) Repita los pasos 4 a 9 para el otro túnel si lo desea.

Para habilitar el registro de túneles en una conexión VPN de Site-to-Site existente mediante la línea de comandos o la API AWS

ModifyVpnTunnelOptions(API de consultas de Amazon EC2)
modify-vpn-tunnel-options (AWS CLI)

Desactivar registros de Site-to-Site VPN

Para desactivar el registro de túnel en una conexión de Site-to-Site VPN

Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
En el panel de navegación, elija Site-to-Site VPN Connections (Conexiones de Site-to-Site VPN).
Seleccione la conexión de VPN que desea modificar de la lista VPN connections (Conexiones de VPN).
Seleccione Actions (Acciones), Modify VPN tunnel options (Modificar opciones de túnel de VPN).
Seleccione el túnel que desea modificar; para ello, elija la dirección IP adecuada en la lista VPN tunnel outside IP address (Túnel de VPN fuera de la dirección IP).
En Tunnel activity log (Registro de actividad de túnel), desactive Enable (Habilitar).
Seleccione Save changes (Guardar cambios).
(Opcional) Repita los pasos 4 a 7 para el otro túnel si lo desea.

Para deshabilitar el registro de túneles en una conexión VPN de Site-to-Site mediante la línea de comandos o la API AWS

ModifyVpnTunnelOptions(API de consultas de Amazon EC2)
modify-vpn-tunnel-options (AWS CLI)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Monitoreo de la conexión de Site-to-Site VPN

Contenido de los registros de Site-to-Site VPN