接続ログ - AWS クライアント VPN
接続ログエントリ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

接続ログ

接続ログは、クライアント VPN エンドポイントの接続ログをキャプチャできる AWS Client VPN の機能です。

接続ログには、接続ログエントリが含まれます。各接続ログエントリには、クライアント (エンドユーザー) が接続するタイミング、接続を試行するタイミング、クライアント VPN エンドポイントから切断するタイミングなどの接続イベントに関する情報が含まれます。この情報を使用してフォレンジックを実行したり、クライアント VPN エンドポイントがどのように使用されているかを分析したり、接続の問題をデバッグしたりできます。

接続ログは、AWS クライアント VPN が使用可能なすべてのリージョンで使用できます。接続ログは、アカウントの CloudWatch Logs ロググループに発行されます。

注記

失敗した相互認証の試行は記録されません。

接続ログエントリ

接続ログエントリは、キーと値のペアの JSON 形式の BLOB です。次に、接続ログエントリの例を示します。

{
    "connection-log-type": "connection-attempt",
    "connection-attempt-status": "successful",
    "connection-reset-status": "NA",
    "connection-attempt-failure-reason": "NA",
    "connection-id": "cvpn-connection-abc123abc123abc12",
    "client-vpn-endpoint-id": "cvpn-endpoint-aaa111bbb222ccc33",
    "transport-protocol": "udp",
    "connection-start-time": "2020-03-26 20:37:15",
    "connection-last-update-time": "2020-03-26 20:37:15",
    "client-ip": "10.0.1.2",
    "common-name": "client1",
    "device-type": "mac",
    "device-ip": "98.247.202.82",
    "port": "50096",
    "ingress-bytes": "0",
    "egress-bytes": "0",
    "ingress-packets": "0",
    "egress-packets": "0",
    "connection-end-time": "NA",
    "username": "joe"
    }

接続ログエントリには、次のキーが含まれます。

  • connection-log-type — 接続ログエントリのタイプ (connection-attempt または connection-reset)。

  • connection-attempt-status — 接続リクエストのステータス (successfulfailedwaiting-for-assertion、または NA)。

  • connection-reset-status — 接続リセットイベントのステータス (NA または assertion-received)。

  • connection-attempt-failure-reason — 接続エラーの理由 (該当する場合)。

  • connection-id — 接続の ID。

  • client-vpn-endpoint-id — 接続が行われたクライアント VPN エンドポイントの ID。

  • transport-protocol — 接続に使用されたトランスポートプロトコル。

  • connection-start-time — 接続の開始時刻。

  • connection-last-update-time — 接続の最終更新時刻。この値は、ログ内で定期的に更新されます。

  • client-ip — クライアントの IP アドレス。クライアント VPN エンドポイントのクライアント IPv4 CIDR 範囲から割り当てられます。

  • common-name — 証明書ベースの認証に使用される証明書の共通名。

  • device-type — エンドユーザーが接続に使用するデバイスのタイプ。

  • device-ip — デバイスのパブリック IP アドレス。

  • port — 接続のポート番号。

  • ingress-bytes — 接続の受信 (インバウンド) バイト数。この値は、ログ内で定期的に更新されます。

  • egress-bytes — 接続の送信 (アウトバウンド) バイト数。この値は、ログ内で定期的に更新されます。

  • ingress-packets — 接続の受信 (インバウンド) パケット数。この値は、ログ内で定期的に更新されます。

  • egress-packets — 接続の送信 (アウトバウンド) パケット数。この値は、ログ内で定期的に更新されます。

  • connection-end-time — 接続の終了時刻。この値は、接続がまだ進行中の場合や接続の試行が失敗した場合は NA です。

  • posture-compliance-statusesクライアント接続ハンドラーによって返される体制コンプライアンスステータス (該当する場合)。

  • username - ユーザー名は、エンドポイントにユーザーベースの認証 (AD または SAML) を使用するときに記録されます。

  • connection-duration-seconds - 接続の継続時間 (秒)。「接続開始時間」と「接続終了時間」の差に等しくなります。

接続ログの有効化の詳細については、「接続ログの操作」を参照してください。