AWS Site-to-Site VPN log

AWS Site-to-Site VPN log memberi Anda visibilitas yang lebih dalam ke penerapan VPN Site-to-Site Anda. Dengan fitur ini, Anda memiliki akses ke log koneksi VPN Site-to-Site yang memberikan rincian tentang pembentukan terowongan IP Security (IPsec), negosiasi Internet Key Exchange (IKE), dan pesan protokol deteksi rekan mati (DPD).

Log VPN Site-to-Site dapat dipublikasikan ke Amazon Logs. CloudWatch Fitur ini memberi pelanggan satu cara konsisten untuk mengakses dan menganalisis log terperinci untuk semua koneksi VPN Site-to-Site mereka.

Daftar Isi

• Manfaat log VPN Site-to-Site
• Pembatasan ukuran kebijakan sumber daya Amazon CloudWatch Logs
• Isi log VPN Site-to-Site
• Persyaratan IAM untuk mempublikasikan ke CloudWatch Log
• Lihat konfigurasi log VPN Site-to-Site
• Aktifkan log VPN Site-to-Site
• Nonaktifkan log VPN Site-to-Site

Manfaat log VPN Site-to-Site

• Pemecahan masalah VPN yang disederhanakan: Log VPN Site-to-Site membantu Anda menentukan AWS ketidakcocokan konfigurasi antara dan perangkat gateway pelanggan Anda, dan mengatasi masalah konektivitas VPN awal. Koneksi VPN dapat sebentar-sebentar menutup dari waktu ke waktu karena pengaturan yang salah konfigurasi (seperti batas waktu yang disetel dengan buruk), mungkin ada masalah di jaringan transportasi yang mendasarinya (seperti cuaca internet), atau perubahan perutean atau kegagalan jalur dapat menyebabkan gangguan konektivitas melalui VPN. Fitur ini memungkinkan Anda untuk secara akurat mendiagnosis penyebab kegagalan koneksi intermiten dan menyempurnakan konfigurasi terowongan tingkat rendah untuk operasi yang andal.

• AWS Site-to-Site VPN Visibilitas terpusat: Log VPN Site-to-Site dapat menyediakan log aktivitas terowongan untuk semua cara berbeda yang terhubung dengan Site-to-Site VPN: Virtual Gateway, Transit Gateway, dan, menggunakan internet dan sebagai transportasi. CloudHub AWS Direct Connect Fitur ini memberi pelanggan satu cara konsisten untuk mengakses dan menganalisis log terperinci untuk semua koneksi VPN Site-to-Site mereka.

• Keamanan dan kepatuhan: Log VPN Site-to-Site dapat dikirim ke CloudWatch Amazon Logs untuk analisis retrospektif status dan aktivitas koneksi VPN dari waktu ke waktu. Ini dapat membantu Anda memenuhi persyaratan kepatuhan dan peraturan.

Pembatasan ukuran kebijakan sumber daya Amazon CloudWatch Logs

CloudWatch Kebijakan sumber daya log dibatasi hingga 5120 karakter. Ketika CloudWatch Log mendeteksi bahwa kebijakan mendekati batas ukuran ini, secara otomatis mengaktifkan grup log yang memulai/aws/vendedlogs/. Saat Anda mengaktifkan logging, Site-to-Site VPN harus memperbarui kebijakan sumber daya Log CloudWatch Anda dengan grup log yang Anda tentukan. Untuk menghindari mencapai batas ukuran kebijakan sumber daya CloudWatch Log, awali nama grup log Anda dengan/aws/vendedlogs/.

Persyaratan IAM untuk mempublikasikan ke CloudWatch Log

Agar fitur logging berfungsi dengan baik, kebijakan IAM yang dilampirkan pada prinsipal IAM yang digunakan untuk mengonfigurasi fitur, minimal harus menyertakan izin berikut. Detail selengkapnya juga dapat ditemukan di bagian Mengaktifkan logging dari AWS layanan tertentu di Panduan Pengguna Amazon CloudWatch Logs.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}  

Lihat konfigurasi log VPN Site-to-Site

Untuk melihat setelan pencatatan terowongan saat ini

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

2. Di panel navigasi, pilih Koneksi Site-to-Site VPN.

3. Pilih koneksi VPN yang ingin Anda lihat dari daftar koneksi VPN.

4. Pilih tab Detail terowongan.

5. Perluas opsi Tunnel 1 dan bagian opsi Tunnel 2 untuk melihat semua detail konfigurasi terowongan.

6. Anda dapat melihat status fitur logging saat ini di bawah log Tunnel VPN, dan grup CloudWatch log yang saat ini dikonfigurasi (jika ada) di bawah grup CloudWatch log.

Untuk melihat pengaturan pencatatan terowongan saat ini pada koneksi VPN Site-to-Site menggunakan baris perintah atau API AWS

• DescribeVpnConnections (Amazon EC2 Query API)

• describe-vpn-connections (AWS CLI)

Aktifkan log VPN Site-to-Site

catatan

Saat Anda mengaktifkan log VPN Site-to-Site untuk terowongan koneksi VPN yang ada, konektivitas Anda melalui terowongan itu dapat terganggu selama beberapa menit. Namun, setiap koneksi VPN menawarkan dua terowongan untuk ketersediaan tinggi, sehingga Anda dapat mengaktifkan logging pada satu terowongan pada satu waktu sambil mempertahankan konektivitas melalui terowongan yang tidak dimodifikasi. Untuk informasi selengkapnya, lihat Penggantian titik akhir terowongan Site-to-Site VPN.

Untuk mengaktifkan logging VPN selama pembuatan koneksi VPN Site-to-Site baru

Ikuti prosedur Langkah 5: Buat koneksi VPN. Selama Langkah 9 Opsi Tunnel, Anda dapat menentukan semua opsi yang ingin Anda gunakan untuk kedua terowongan, termasuk opsi pencatatan VPN. Untuk informasi selengkapnya tentang opsi ini, lihat Opsi terowongan untuk koneksi Site-to-Site VPN Anda.

Untuk mengaktifkan pencatatan terowongan pada koneksi VPN Site-to-Site baru menggunakan baris perintah atau API AWS

• CreateVpnConnection (Amazon EC2 Query API)

• create-vpn-connection (AWS CLI)

Untuk mengaktifkan pencatatan terowongan pada koneksi VPN Site-to-Site yang ada

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

2. Di panel navigasi, pilih Koneksi Site-to-Site VPN.

3. Pilih koneksi VPN yang ingin Anda modifikasi dari daftar koneksi VPN.

4. Pilih Tindakan, Ubah opsi terowongan VPN.

5. Pilih terowongan yang ingin Anda modifikasi dengan memilih alamat IP yang sesuai dari terowongan VPN di luar daftar alamat IP.

6. Di bawah Log aktivitas terowongan, pilih Aktifkan.

7. Di bawah grup CloudWatch log Amazon, pilih grup CloudWatch log Amazon tempat Anda ingin log dikirim.

8. (Opsional) Di bawah Format output, pilih format yang diinginkan untuk output log, baik json atau teks.

9. Pilih Simpan perubahan.

10. (Opsional) Ulangi langkah 4 hingga 9 untuk terowongan lain jika diinginkan.

Untuk mengaktifkan pencatatan terowongan pada koneksi VPN Site-to-Site yang ada menggunakan baris perintah atau API AWS

• ModifyVpnTunnelOptions (Amazon EC2 Query API)

• modify-vpn-tunnel-options (AWS CLI)

Nonaktifkan log VPN Site-to-Site

Untuk menonaktifkan pencatatan terowongan pada koneksi VPN Site-to-Site

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

2. Di panel navigasi, pilih Koneksi Site-to-Site VPN.

3. Pilih koneksi VPN yang ingin Anda modifikasi dari daftar koneksi VPN.

4. Pilih Tindakan, Ubah opsi terowongan VPN.

5. Pilih terowongan yang ingin Anda modifikasi dengan memilih alamat IP yang sesuai dari terowongan VPN di luar daftar alamat IP.

6. Di bawah Log aktivitas terowongan, hapus Aktifkan.

7. Pilih Simpan perubahan.

8. (Opsional) Ulangi langkah 4 hingga 7 untuk terowongan lain jika diinginkan.

Untuk menonaktifkan pencatatan terowongan pada koneksi VPN Site-to-Site menggunakan baris perintah atau API AWS

• ModifyVpnTunnelOptions (Amazon EC2 Query API)

• modify-vpn-tunnel-options (AWS CLI)