Avantages des journaux Site-to-Site VPN Politique relative CloudWatch aux ressources et restrictions relatives à la taille d'Amazon Logs Exigences relatives à l'IAM pour publier dans Logs CloudWatch Affichage de la configuration des journaux Site-to-Site VPN Activation des journaux Site-to-Site VPN Désactivation des journaux Site-to-Site VPN

AWS Site-to-Site VPN journaux

AWS Site-to-Site VPN les journaux vous offrent une meilleure visibilité sur vos déploiements de VPN de site à site. Cette fonctionnalité vous permet d'accéder aux journaux de connexion Site-to-Site VPN qui fournissent des détails sur l'établissement d'un tunnel IP Security (IPsec), les négociations IKE (Internet Key Exchange) et les messages de protocole DPD (Dead Peer Detection).

Les journaux VPN de site à site peuvent être publiés sur Amazon Logs. CloudWatch Cette fonctionnalité permet aux clients d'accéder et d'analyser de manière cohérente les journaux détaillés de toutes leurs connexions Site-to-Site VPN.

Table des matières

Avantages des journaux Site-to-Site VPN
Politique relative CloudWatch aux ressources et restrictions relatives à la taille d'Amazon Logs
Contenu des journaux Site-to-Site VPN
Exigences relatives à l'IAM pour publier dans Logs CloudWatch
Affichage de la configuration des journaux Site-to-Site VPN
Activation des journaux Site-to-Site VPN
Désactivation des journaux Site-to-Site VPN

Avantages des journaux Site-to-Site VPN

Résolution des problèmes VPN simplifiés : les journaux VPN de site à site vous aident à identifier les incohérences de configuration entre le dispositif de passerelle de votre client AWS et à résoudre les problèmes de connectivité VPN initiaux. Les connexions VPN peuvent échouer par intermittence au fil du temps en raison de paramètres mal configurés (tels que des délais d'expiration mal réglés), des problèmes peuvent se produire dans les réseaux de transport sous-jacents (comme la météo Internet), ou des modifications de routage/défaillances de chemin peuvent interrompre la connectivité au VPN. Cette fonctionnalité vous permet de diagnostiquer avec précision la cause des défaillances de connexion intermittentes et d'affiner la configuration du tunnel de bas niveau pour assurer la fiabilité du fonctionnement.
AWS Site-to-Site VPN Visibilité centralisée : les journaux VPN de site à site peuvent fournir des journaux d'activité des tunnels pour les différentes manières dont le VPN de site à site est connecté : passerelle virtuelle, passerelle de transit et utilisation à la fois d'Internet et CloudHub comme moyen de transport. AWS Direct Connect Cette fonctionnalité permet aux clients d'accéder et d'analyser de manière cohérente les journaux détaillés de toutes leurs connexions Site-to-Site VPN.
Sécurité et conformité : les journaux VPN de site à site peuvent être envoyés à Amazon CloudWatch Logs pour une analyse rétrospective de l'état et de l'activité de la connexion VPN au fil du temps. Cela peut vous aider à respecter les exigences réglementaires et de conformité.

Politique relative CloudWatch aux ressources et restrictions relatives à la taille d'Amazon Logs

CloudWatch Les politiques relatives aux ressources des journaux sont limitées à 5 120 caractères. Lorsque CloudWatch Logs détecte qu'une politique approche cette limite de taille, elle active automatiquement les groupes de journaux commençant par/aws/vendedlogs/. Lorsque vous activez la journalisation, le VPN Site-to-Site doit mettre à jour votre politique de ressources de CloudWatch journaux avec le groupe de journaux que vous spécifiez. Pour éviter d'atteindre la limite de taille de la politique des CloudWatch journaux, préfixez les noms de vos groupes de journaux par/aws/vendedlogs/.

Exigences relatives à l'IAM pour publier dans Logs CloudWatch

Pour que la fonctionnalité de journalisation fonctionne correctement, la politique IAM attachée au principal IAM utilisée pour configurer la fonctionnalité doit inclure au minimum les autorisations suivantes. Vous trouverez également plus de détails dans la section Activation de la journalisation à partir de certains AWS services du guide de l'utilisateur Amazon CloudWatch Logs.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}

Affichage de la configuration des journaux Site-to-Site VPN

Pour afficher les paramètres de journalisation de tunnel en cours

Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.
Dans le volet de navigation, choisissez Site-to-Site VPN Connections (Connexions Site-to-Site VPN).
Sélectionnez la connexion VPN que vous souhaitez afficher dans la liste Connexions VPN.
Cliquez sur l'onglet Détails du tunnel.
Développez les sections Tunnel 1 options (Options du tunnel 1) et Tunnel 2 options (Options du tunnel 2) pour afficher tous les détails de configuration du tunnel.
Vous pouvez consulter l'état actuel de la fonctionnalité de journalisation dans le journal Tunnel VPN et le groupe de CloudWatch journaux actuellement configuré (le cas échéant) sous groupe de CloudWatch journaux.

Pour consulter les paramètres actuels de journalisation du tunnel sur une connexion VPN Site-to-Site à l'aide de la AWS ligne de commande ou de l'API

DescribeVpnConnexions (API de requête Amazon EC2)
describe-vpn-connections (AWS CLI)

Activation des journaux Site-to-Site VPN

Note

Lorsque vous activez les journaux Site-to-Site VPN pour un tunnel de connexion VPN existant, votre connectivité à ce tunnel peut être interrompue pendant plusieurs minutes. Cependant, chaque connexion VPN propose deux tunnels pour assurer la haute disponibilité, de sorte que vous pouvez activer la journalisation sur un tunnel à la fois tout en maintenant la connectivité sur le tunnel qui n'est pas modifié. Pour plus d’informations, consultez Remplacements de points de terminaison de tunnel Site-to-Site VPN.

Pour activer la journalisation du VPN lors de la création d'une connexion Site-to-Site VPN

Suivez la procédure Étape 5 : Création d'une connexion VPN. Au cours de l'étape 9 Options de tunnel, vous pouvez spécifier toutes les options que vous souhaitez utiliser pour les deux tunnels, y compris les options de journalisation du VPN. Pour plus d’informations sur ces options, consultez Options de tunnel pour votre connexion Site-to-Site VPN.

Pour activer la journalisation par tunnel sur une nouvelle connexion VPN Site-to-Site à l'aide de la AWS ligne de commande ou de l'API

CreateVpnConnexion (API de requête Amazon EC2)
create-vpn-connection (AWS CLI)

Pour activer la journalisation du tunnel sur une connexion Site-to-Site VPN existante

Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.
Dans le volet de navigation, choisissez Site-to-Site VPN Connections (Connexions Site-to-Site VPN).
Sélectionnez la connexion VPN que vous souhaitez modifier dans la liste Connexions VPN.
Sélectionnez Actions, Modify VPN tunnel options (Modifier les options de tunnel VPN).
Sélectionnez le tunnel que vous souhaitez modifier en choisissant l'adresse IP appropriée dans la liste VPN tunnel outside IP address (Adresse IP extérieure du tunnel VPN).
Sous Tunnel activity log (Journal d'activité du tunnel), sélectionnez Enable (Activer).
Sous Groupe de CloudWatch journaux Amazon, sélectionnez le groupe de CloudWatch journaux Amazon dans lequel vous souhaitez que les journaux soient envoyés.
(Facultatif) Sous Output format (Format de sortie), choisissez le format souhaité pour la sortie du journal, à savoir json ou text.
Sélectionnez Save changes (Enregistrer les modifications).
(Facultatif) Répétez les étapes 4 à 9 pour l'autre tunnel si vous le souhaitez.

Pour activer la journalisation par tunnel sur une connexion VPN Site-to-Site existante à l'aide de la AWS ligne de commande ou de l'API

ModifyVpnTunnelOptions(API de requête Amazon EC2)
modify-vpn-tunnel-options (AWS CLI)

Désactivation des journaux Site-to-Site VPN

Pour désactiver la journalisation du tunnel sur une connexion Site-to-Site VPN

Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.
Dans le volet de navigation, choisissez Site-to-Site VPN Connections (Connexions Site-to-Site VPN).
Sélectionnez la connexion VPN que vous souhaitez modifier dans la liste Connexions VPN.
Sélectionnez Actions, Modify VPN tunnel options (Modifier les options de tunnel VPN).
Sélectionnez le tunnel que vous souhaitez modifier en choisissant l'adresse IP appropriée dans la liste VPN tunnel outside IP address (Adresse IP extérieure du tunnel VPN).
Sous Tunnel activity log (Journal d'activité du tunnel), décochez Enable (Activer).
Sélectionnez Save changes (Enregistrer les modifications).
(Facultatif) Répétez les étapes 4 à 7 pour l'autre tunnel si vous le souhaitez.

Pour désactiver la journalisation par tunnel sur une connexion VPN Site-to-Site à l'aide de la AWS ligne de commande ou de l'API

ModifyVpnTunnelOptions(API de requête Amazon EC2)
modify-vpn-tunnel-options (AWS CLI)

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Surveillance de votre connexion Site-to-Site VPN

Contenu des journaux Site-to-Site VPN