AWS Site-to-Site VPN ログ - AWS Site-to-Site VPN
VPN ログの利点 Site-to-Site Amazon CloudWatch Logs リソースポリシーのサイズ制限Site-to-Site VPN ログの内容IAM CloudWatch ログに発行する要件

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Site-to-Site VPN ログ

AWS Site-to-Site VPN ログを使用すると、VPNデプロイをより詳細に把握できます Site-to-Site。この機能を使用すると、IP Security (IPsec) トンネルの確立、Internet Key Exchange (IKE) ネゴシエーション、デッドピア検出 (DPD) プロトコルメッセージの詳細を提供するVPN接続ログにアクセスできます Site-to-Site。

Site-to-Site VPN ログは Amazon CloudWatch Logs に発行できます。この機能は、すべてのVPN接続の詳細ログにアクセスして分析する単一の一貫した方法を提供します Site-to-Site。

トピック

VPN ログの利点 Site-to-Site

  • VPN トラブルシューティングの簡素化: Site-to-Site VPNログは、 AWS とカスタマーゲートウェイデバイス間の設定の不一致を特定し、初期VPNの接続問題に対処するのに役立ちます。VPN 設定ミス (タイムアウトのチューニングが不十分など)、基盤となるトランスポートネットワークの問題 (インターネットの天候など)、ルーティングの変更やパス障害により、接続が断続的に時間経過とともにフラップする可能性がありますVPN。この機能により、断続的な接続障害の原因を正確に診断し、低レベルのトンネル設定を微調整して信頼性の高い動作を実現できます。

  • 一元的な AWS Site-to-Site VPN 可視性: Site-to-Site VPNログ Site-to-SiteVPNは、インターネットと AWS Direct Connect トランスポートの両方を使用して、Virtual Gateway、Transit Gateway、 など CloudHub、接続されているすべての方法のトンネルアクティビティログを提供できます。この機能は、すべてのVPN接続の詳細ログにアクセスして分析する単一の一貫した方法を提供します Site-to-Site。

  • セキュリティとコンプライアンス: Site-to-Site VPN ログを Amazon CloudWatch Logs に送信して、VPN接続ステータスとアクティビティを経時的に遡及的に分析できます。これはコンプライアンスおよび規制要件に準拠するのに役立ちます。

Amazon CloudWatch Logs リソースポリシーのサイズ制限

CloudWatch ログリソースポリシーは 5,120 文字に制限されています。 CloudWatch Logs は、ポリシーがこのサイズ制限に近づくことを検出した場合、 で始まるロググループを自動的に有効にします/aws/vendedlogs/。ログ記録を有効にすると、 Site-to-Site VPNは指定したロググループで CloudWatch Logs リソースポリシーを更新する必要があります。 CloudWatch Logs リソースポリシーのサイズ制限に達しないようにするには、ロググループ名に をプレフィックスします/aws/vendedlogs/

Site-to-Site VPN ログの内容

VPN トンネルアクティビティログには Site-to-Site、次の情報が含まれています。

フィールド 説明

VpnLogCreationTimestamp

人間が読める形式でのログ作成タイムスタンプ。

VpnConnectionId

VPN 接続識別子。

TunnelOutsideIPAddress

ログエントリを生成したVPNトンネルの外部 IP。

TunnelDPDEnabled

デッドピア検出プロトコルの有効ステータス (True/False)。

T unnelCGWNATTDetectionステータス

 NAT- カスタマーゲートウェイデバイスで検出された T (True/False)。

TunnelIKEPhase1State

 IKE フェーズ 1 プロトコルの状態 (確立済み | 再キーイング | ネゴシエーション | ダウン)。
TunnelIKEPhase2State IKE フェーズ 2 プロトコルの状態 (確立済み | 再キーイング | ネゴシエーション | ダウン)。
VpnLogDetail IPsec、、IKEおよび DPDプロトコルの詳細なメッセージ。

IKEv1 エラーメッセージ

メッセージ 説明

ピアが応答しない - ピア停止が宣言される

ピアはDPDメッセージに応答せず、DPDタイムアウトアクションを実行します。

AWS トンネルペイロードの復号は、事前共有キーが無効であるため失敗しました

両方のIKEピアで同じ事前共有キーを設定する必要があります。

によって提案一致が見つかりませんでした AWS

フェーズ 1 (暗号化、ハッシュ、DH グループ) の提案された属性は、 などのAWSVPNエンドポイントではサポートされていません3DES

一致する提案が見つかりませんでした。「提案が選択されていません」と通知される

Peers でフェーズ 2 に正しい提案/ポリシーを設定する必要があることを通知するために、Peers IKE 間でプロポーサル選択エラーメッセージが交換されることはありません。

AWS でフェーズ 2 SA DELETEに対して受信されたトンネルSPI: xxxx

 CGW はフェーズ 2 の Delete_SA メッセージを送信しました

AWS IKE_SA DELETEに対して から受信したトンネル CGW

 CGW はフェーズ 1 の Delete_SA メッセージを送信しました

IKEv2 エラーメッセージ

メッセージ 説明

AWS {retry_count} の再送信後にDPDトンネルがタイムアウトしました

ピアはDPDメッセージに応答せず、DPDタイムアウトアクションを実行します。

AWS IKE_SA DELETEに対して から受信したトンネル CGW

ピアが Parent/_SA の DeleteIKE_SA メッセージを送信しました

AWS でフェーズ 2 SA DELETEに対して受信されたトンネルSPI: xxxx

ピアが _SA の DeleteCHILD_SA メッセージを送信しました

AWS トンネルが (CHILD_REKEY) 衝突を CHILD_ として検出しましたDELETE

CGW は、再キーイングされるアクティブ SA の Delete_SA メッセージを送信しました。

AWS トンネル (CHILD_SA) の冗長 SA は、衝突が検出されたため削除されています

衝突により、冗長SAsが生成された場合、ピアは に従って非ce 値に一致すると冗長 SA を閉じます。 RFC

AWS トンネルフェーズ 2 はフェーズ 1 を維持中に を確立できませんでした

ピアはネゴシエーションエラーにより CHILD_SA を確立できませんでした。例えば、誤った提案などです。

AWS: トラフィックセレクタ: TS_UNACCEPTABLE: レスポンダーから受信

ピアが不正なトラフィックセレクタ/暗号化ドメインを提案しました。ピアは、同一かつ正しい で設定する必要がありますCIDRs。

AWS トンネルはレスポンスとして AUTHENTICATION_FAILED を送信しています

ピアは IKE_AUTH メッセージの内容を検証してピアを認証できません

AWS トンネルが cgw: xxxx との事前共有キーの不一致を検出しました

両方のIKEピアで同じ事前共有キーを設定する必要があります。

AWS トンネルタイムアウト: cgw: xxxx で確立されていないフェーズ 1 IKE_SA を削除する

半分開いた IKE_SA をピアとして削除しても、交渉は進行していません

一致する提案が見つかりませんでした。「提案が選択されていません」と通知される

No Proposal Chosen エラーメッセージは Peers 間で交換され、正しい Proposals を Peers IKE に設定する必要があることを知らせます。

によって提案一致が見つかりません AWS

フェーズ 1 またはフェーズ 2 (暗号化、ハッシュ、DH グループ) の提案された属性は、 などのエンドポイントでは AWS VPNサポートされていません3DES

IKEv2 交渉メッセージ

メッセージ 説明

AWS CREATE_CHILD_SA のトンネル処理リクエスト (id=xxx)

AWS は から CREATE_CHILD_SA リクエストを受信しました CGW

AWS トンネルは CREATE_CHILD_SA のレスポンス (id=xxx) を送信しています

AWS は CREATE_CHILD_SA レスポンスを に送信しています CGW

AWS トンネルは CREATE_CHILD_SA のリクエスト (id=xxx) を送信しています

AWS は CREATE_CHILD_SA リクエストを に送信しています CGW

AWS CREATE_CHILD_SA のトンネル処理レスポンス (id=xxx)

AWS は CREATE_CHILD_SA レスポンスフォームを受信しました CGW

IAM CloudWatch ログに発行する要件

ログ記録機能が正しく機能するには、機能の設定に使用されるIAMプリンシパルにアタッチされたIAMポリシーに、少なくとも次のアクセス許可が含まれている必要があります。詳細については、Amazon CloudWatch Logs ユーザーガイド特定の AWS サービスからのログ記録の有効化セクションにも記載されています。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}