接続ログ - AWS クライアント VPN
接続ログエントリ

接続ログ

接続ログは、クライアント VPN エンドポイントの接続ログをキャプチャできる AWS Client VPN の機能です。

接続ログには、接続ログエントリが含まれます。各接続ログエントリには、クライアント (エンドユーザー) が接続するタイミング、接続を試行するタイミング、クライアント VPN エンドポイントから切断するタイミングなどの接続イベントに関する情報が含まれます。この情報を使用してフォレンジックを実行したり、クライアント VPN エンドポイントがどのように使用されているかを分析したり、接続の問題をデバッグしたりできます。

接続ログは、AWS クライアント VPN が使用可能なすべてのリージョンで使用できます。接続ログは、アカウントの CloudWatch Logs ロググループに発行されます。

接続ログエントリ

接続ログエントリは、キーと値のペアの JSON 形式の BLOB です。次に、接続ログエントリの例を示します。

{
    "connection-log-type": "connection-attempt",
    "connection-attempt-status": "successful",
    "connection-reset-status": "NA",
    "connection-attempt-failure-reason": "NA",
    "connection-id": "cvpn-connection-abc123abc123abc12",
    "client-vpn-endpoint-id": "cvpn-endpoint-aaa111bbb222ccc33",
    "transport-protocol": "udp",
    "connection-start-time": "2020-03-26 20:37:15",
    "connection-last-update-time": "2020-03-26 20:37:15",
    "client-ip": "10.0.1.2",
    "common-name": "client1",
    "device-type": "mac",
    "device-ip": "98.247.202.82",
    "port": "50096",
    "ingress-bytes": "0",
    "egress-bytes": "0",
    "ingress-packets": "0",
    "egress-packets": "0",
    "connection-end-time": "NA"
}

接続ログエントリには、次のキーが含まれます。

  • connection-log-type — 接続ログエントリのタイプ (connection-attempt または connection-reset)。

  • connection-attempt-status — 接続リクエストのステータス (successfulfailedwaiting-for-assertion、または NA)。

  • connection-reset-status — 接続リセットイベントのステータス (NA または assertion-received)。

  • connection-attempt-failure-reason — 接続エラーの理由 (該当する場合)。

  • connection-id — 接続の ID。

  • client-vpn-endpoint-id — 接続が行われたクライアント VPN エンドポイントの ID。

  • transport-protocol — 接続に使用されたトランスポートプロトコル。

  • connection-start-time — 接続の開始時刻。

  • connection-last-update-time — 接続の最終更新時刻。この値は、ログ内で定期的に更新されます。

  • client-ip — クライアントの IP アドレス。クライアント VPN エンドポイントのクライアント IPv4 CIDR 範囲から割り当てられます。

  • common-name — 証明書ベースの認証に使用される証明書の共通名。

  • device-type — エンドユーザーが接続に使用するデバイスのタイプ。

  • device-ip — デバイスのパブリック IP アドレス。

  • port — 接続のポート番号。

  • ingress-bytes — 接続の受信 (インバウンド) バイト数。この値は、ログ内で定期的に更新されます。

  • egress-bytes — 接続の送信 (アウトバウンド) バイト数。この値は、ログ内で定期的に更新されます。

  • ingress-packets — 接続の受信 (インバウンド) パケット数。この値は、ログ内で定期的に更新されます。

  • egress-packets — 接続の送信 (アウトバウンド) パケット数。この値は、ログ内で定期的に更新されます。

  • connection-end-time — 接続の終了時刻。この値は、接続がまだ進行中の場合や接続の試行が失敗した場合は NA です。

  • posture-compliance-statusesクライアント接続ハンドラーによって返される体制コンプライアンスステータス (該当する場合)。

接続ログの有効化の詳細については、「接続ログの操作」を参照してください。