Site-to-Site VPN ログの利点 Amazon CloudWatch Logs リソースポリシーのサイズ制限 Site-to-Site VPN ログの内容 CloudWatch Logs に発行するための IAM 要件

AWS Site-to-Site VPN ログ

AWS Site-to-Site VPN ログを使用すると、Site-to-Site VPN デプロイをより詳細に可視化できます。この機能を使用すると、IP セキュリティ (IPsec)トンネル確立、インターネットキー交換 (IKE) ネゴシエーション、およびデッドピア検出 (DPD) プロトコルメッセージの詳細を示す Site-to-Site VPN 接続ログにアクセスできます。

Site-to-Site VPN ログは Amazon CloudWatch Logs に発行できます。この機能により、単一の一貫した方法で、すべての Site-to-Site VPN 接続の詳細なログにアクセスして分析できます。

トピック

Site-to-Site VPN ログの利点

VPN のトラブルシューティングの簡素化： Site-to-Site VPN ログは、 AWS とカスタマーゲートウェイデバイス間の設定の不一致を特定し、最初の VPN 接続の問題に対処するのに役立ちます。VPN 接続は、設定の誤り (不適切なタイムアウトの調整など) が原因で、時間の経過とともに断続的にフラップすることがあります。また、基盤となるトランスポートネットワークに問題 (インターネットの不安定など) が発生したり、ルーティングの変更やパスの障害によって VPN 経由の接続が中断されたりすることがあります。この機能により、断続的な接続障害の原因を正確に診断し、低レベルのトンネル設定を微調整して信頼性の高い動作を実現できます。
一元的な AWS Site-to-Site VPN 可視性： Site-to-Site VPN ログは、インターネットと AWS Direct Connect トランスポートの両方を使用する仮想ゲートウェイ、トランジットゲートウェイ、CloudHub など、Site-to-Site VPN が接続されるすべての方法のトンネルアクティビティログを提供できます。この機能により、単一の一貫した方法で、すべての Site-to-Site VPN 接続の詳細なログにアクセスして分析できます。
セキュリティとコンプライアンス: Site-to-Site VPN ログを Amazon CloudWatch Logs に送信して、VPN 接続のステータスと、時間の経過に伴うアクティビティを遡及的に分析できます。これはコンプライアンスおよび規制要件に準拠するのに役立ちます。

Amazon CloudWatch Logs リソースポリシーのサイズ制限

CloudWatch Logs リソースポリシーは 5120 文字に制限されています。CloudWatch Logs は、ポリシーがこのサイズ制限に近づいていることを検出すると、/aws/vendedlogs/ でスタートするロググループを自動的に有効にします。ログ記録を有効にする場合、Site-to-Site VPN は、指定するロググループで CloudWatch Logs リソースポリシーを更新する必要があります。CloudWatch Logs リソースポリシーのサイズ制限に達しないようにするには、ロググループ名の先頭にプレフィックスとして /aws/vendedlogs/ を付けます。

Site-to-Site VPN ログの内容

Site-to-Site VPN トンネルのアクティビティログに含まれる情報は以下のとおりです。ログストリームファイル名は、VpnConnectionID と TunnelOutsideIPAddress を使用します。

フィールド	説明
VpnLogCreationTimestamp (`event_timestamp`）	人間が読める形式でのログ作成タイムスタンプ。
TunnelDPDEnabled (`dpd_enabled`）	デッドピア検出プロトコルの有効ステータス (True/False)。
TunnelCGWNATTDetectionStatus (`nat_t_detected`）	カスタマーゲートウェイデバイスでの NAT-T の検出 (True/False)。
TunnelIKEPhase1State (`ike_phase1_state`）	IKE フェーズ 1 プロトコル状態 (確立済み \| キー更新中 \| ネゴシエーション中 \| ダウン)。
TunnelIKEPhase2State (`ike_phase2_state`）	IKE フェーズ 2 プロトコル状態 (確立済み \| キー更新中 \| ネゴシエーション中 \| ダウン)。
VpnLogDetail (`details`）	IPsec、IKE、および DPD プロトコルの詳細メッセージ。

IKEv1 エラーメッセージ

メッセージ	説明
ピアが応答しない - ピア停止が宣言される	ピアが DPD メッセージに応答しなかったため、DPD タイムアウトアクションが強制されます。
AWS 事前共有キーが無効であるため、トンネルペイロードの復号に失敗しました	両方の IKE ピアに同じ事前共有キーを設定する必要があります。
による提案一致が見つかりません AWS	フェーズ 1 で提案された属性 (暗号化、ハッシュ、DH グループ) は AWS VPN エンドポイントではサポートされていません。例: `3DES`。
一致する提案が見つかりませんでした。「提案が選択されていません」と通知される	IKE ピアのフェーズ 2 で正しい提案/ポリシーを設定する必要があることを通知するため、「提案が選択されていません」というエラーメッセージがピア間で交換されます。
AWS SPI: xxxx のフェーズ 2 SA の DELETE を受信したトンネル	CGW は、フェーズ 2 の Delete_SA メッセージを送信しました。
AWS トンネルが CGW から IKE_SA の DELETE を受信しました	CGW は、フェーズ 1 の Delete_SA メッセージを送信しました。

IKEv2 エラーメッセージ

メッセージ	説明
AWS {retry_count} の再送信後にトンネル DPD がタイムアウトしました	ピアが DPD メッセージに応答しなかったため、DPD タイムアウトアクションが強制されます。
AWS トンネルが CGW から IKE_SA の DELETE を受信しました	ピアが親/IKE_SA の Delete_SA メッセージを送信しました。
AWS SPI: xxxx のフェーズ 2 SA の DELETE を受信したトンネル	ピアが CHILD_SA の Delete_SA メッセージを送信しました。
AWS トンネルが (CHILD_REKEY) 衝突を CHILD_DELETE として検出しました	CGW は Active SA に Delete_SA メッセージを送信しました。このメッセージはキー変更中です。
AWS トンネル (CHILD_SA) の冗長 SA は、衝突が検出されたため削除中です	衝突により、冗長 SAs が生成された場合、ピアは RFC に従ってノンス値を一致させた後に冗長 SA を閉じます。
AWS トンネルフェーズ 2 がフェーズ 1 を維持中にを確立できませんでした	提案の誤りなどのネゴシエーションエラーにより、ピアは CHILD_SA を確立できませんでした。
AWS: トラフィックセレクタ: TS_UNACCEPLABLE: レスポンダから受信	ピアが不正なトラフィックセレクタ/暗号化ドメインを提案しました。ピアは、同一の正しい CIDR で設定する必要があります。
AWS トンネルが応答として AUTHENTICATION_FAILED を送信しています	ピアは IKE_AUTH メッセージ内容の検証によりピアを認証できません
AWS トンネルが cgw: xxxx との事前共有キーの不一致を検出しました	両方の IKE ピアに同じ事前共有キーを設定する必要があります。
AWS トンネルタイムアウト: cgw: xxxx で確立されていないフェーズ 1 IKE_SA を削除する	ピアがネゴシエーションを進めていないため、半分開いている IKE_SA を削除しています
一致する提案が見つかりませんでした。「提案が選択されていません」と通知される	IKE ピアには正しい提案を設定する必要があることを通知する、「提案が選択されていません」というエラーメッセージがピア間で交換されます。
による提案一致が見つかりません AWS	フェーズ 1 またはフェーズ 2 (暗号化、ハッシュ、DH グループ) の提案された属性は AWS 、VPN エンドポイントではサポートされていません。たとえば、です`3DES`。

IKEv2 ネゴシエーションメッセージ

メッセージ	説明
AWS CREATE_CHILD_SA のトンネル処理リクエスト (id=xxx)	AWS が CGW から CREATE_CHILD_SA リクエストを受信しました。
AWS トンネルが CREATE_CHILD_SA のレスポンス (id=xxx) を送信しています	AWS は CREATE_CHILD_SA レスポンスを CGW に送信しています。
AWS トンネルが CREATE_CHILD_SA のリクエストを送信しています (id=xxx)	AWS は CREATE_CHILD_SA リクエストを CGW に送信しています。
AWS CREATE_CHILD_SA のトンネル処理レスポンス (id=xxx)	AWS が CREATE_CHILD_SA レスポンスフォーム CGW を受信しました。

CloudWatch Logs に発行するための IAM 要件

ログ機能が正しく動作するためには、機能の設定に使用されている IAM プリンシパルにアタッチされた IAM ポリシーに、少なくとも以下のアクセス許可が含まれている必要があります。詳細については、Amazon CloudWatch Logs ユーザーガイド」の「特定の AWS サービスからのログ記録の有効化」セクションにも記載されています。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Site-to-Site VPN 接続のモニタリング

Site-to-Site VPN ログ設定を表示する