AWS Site-to-Site VPN ログ

AWS Site-to-Site VPN ログを使用すると、Site-to-Site VPN デプロイをより詳細に把握できます。この機能を使用すると、IP セキュリティ (IPsec)トンネル確立、インターネットキー交換 (IKE) ネゴシエーション、およびデッドピア検出 (DPD) プロトコルメッセージの詳細を示す Site-to-Site VPN 接続ログにアクセスできます。

Site-to-Site VPN ログは Amazon CloudWatch Logs に発行できます。この機能により、単一の一貫した方法で、すべての Site-to-Site VPN 接続の詳細なログにアクセスして分析できます。

コンテンツ

• Site-to-Site VPN ログの利点
• Amazon CloudWatch Logs リソースポリシーのサイズ制限
• Site-to-Site VPN ログの内容
• CloudWatch ログに発行する IAM 要件
• Site-to-Site VPN ログ設定を表示する
• Site-to-Site VPN ログを有効にする
• Site-to-Site VPN ログを無効にする

Site-to-Site VPN ログの利点

• VPN のトラブルシューティングの簡素化： Site-to-Site VPN ログは、 と AWS カスタマーゲートウェイデバイス間の設定の不一致を特定し、VPN 接続の初期の問題に対処するのに役立ちます。VPN 接続は、設定の誤り (不適切なタイムアウトの調整など) が原因で、時間の経過とともに断続的にフラップすることがあります。また、基盤となるトランスポートネットワークに問題 (インターネットの不安定など) が発生したり、ルーティングの変更やパスの障害によって VPN 経由の接続が中断されたりすることがあります。この機能により、断続的な接続障害の原因を正確に診断し、低レベルのトンネル設定を微調整して信頼性の高い動作を実現できます。

• 一元的な AWS Site-to-Site VPN 可視性： Site-to-Site VPN ログは、インターネットと AWS Direct Connect トランスポートの両方を使用して、Site-to-Site VPN が接続されているすべてのさまざまな方法のトンネルアクティビティログを提供できます。仮想ゲートウェイ、トランジットゲートウェイ CloudHub、および です。この機能により、単一の一貫した方法で、すべての Site-to-Site VPN 接続の詳細なログにアクセスして分析できます。

• セキュリティとコンプライアンス： Site-to-Site VPN ログを Amazon CloudWatch Logs に送信して、VPN 接続のステータスとアクティビティを時系列で遡及的に分析できます。これはコンプライアンスおよび規制要件に準拠するのに役立ちます。

Amazon CloudWatch Logs リソースポリシーのサイズ制限

CloudWatch ログリソースポリシーは 5,120 文字に制限されています。 CloudWatch Logs は、ポリシーがこのサイズ制限に近づいていることを検出すると、 で始まるロググループを自動的に有効にします/aws/vendedlogs/。ログ記録を有効にすると、Site-to-Site VPN は、指定したロググループで CloudWatch Logs リソースポリシーを更新する必要があります。 CloudWatch Logs リソースポリシーのサイズ制限に達しないようにするには、ロググループ名の前に を付けます/aws/vendedlogs/。

CloudWatch ログに発行する IAM 要件

ログ機能が正しく動作するためには、機能の設定に使用されている IAM プリンシパルにアタッチされた IAM ポリシーに、少なくとも以下のアクセス許可が含まれている必要があります。詳細については、「Amazon CloudWatch Logs ユーザーガイド」の「特定の AWS サービスからのログ記録を有効にする」セクションにも記載されています。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}  

Site-to-Site VPN ログ設定を表示する

現在のトンネルログ記録設定を表示するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[Site-to-Site VPN Connections] (Site-to-Site VPN 接続) を選択します。

3. 表示する VPN 接続を [VPN connections] (VPN 接続) リストから選択します。

4. [Tunnel details] (トンネルの詳細) タブを選択します。

5. [Tunnel 1 options] (トンネル 1 オプション) セクションと [Tunnel 2 options] (トンネル 2 オプション) セクションを展開して、すべてのトンネル設定詳細を表示します。

6. ログ記録機能の現在のステータスは、トンネル VPN ログ で確認できます。また、現在設定 CloudWatchされているロググループ (存在する場合) はCloudWatch 、ロググループ で確認できます。

AWS コマンドラインまたは API を使用して Site-to-Site VPN 接続の現在のトンネルログ記録設定を表示するには

• DescribeVpnConnections (Amazon EC2 クエリ API)

• describe-vpn-connections (AWS CLI)

Site-to-Site VPN ログを有効にする

注記

既存の VPN 接続トンネルで Site-to-Site VPN ログを有効にする場合、そのトンネルを介した接続が数分間中断される可能性があります。ただし、各 VPN 接続は高可用性を確保するために 2 つのトンネルを提供しているため、一度に 1 つのトンネルでログ記録を有効にし、変更していないトンネルを介して接続を維持できます。詳細については、「Site-to-Site VPN トンネルエンドポイントの置換」を参照してください。

新しい Site-to-Site VPN 接続の作成中に VPN ログ記録を有効にするには

「」の手順に従います。ステップ 5: VPN 接続を作成するステップ 9 の「トンネルオプション」では、両方のトンネルで使用するすべてのオプション (VPN ログ記録オプションを含む) を指定できます。これらのパラメータの詳細については、「Site-to-Site VPN 接続のトンネルオプション」を参照してください。

AWS コマンドラインまたは API を使用して新しい Site-to-Site VPN 接続でトンネルログ記録を有効にするには

• CreateVpnConnection (Amazon EC2 クエリ API)

• create-vpn-connection (AWS CLI)

既存の Site-to-Site VPN 接続のトンネルログ記録を有効にするには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[Site-to-Site VPN Connections] (Site-to-Site VPN 接続) を選択します。

3. 変更する VPN 接続を [VPN connections] (VPN 接続) リストから選択します。

4. [Actions] (アクション)、[Modify VPN tunnel options] (VPN トンネルオプションを変更) の順に選択します。

5. [VPN tunnel outside IP address] (IP アドレス外の VPN トンネル) リストから適切な IP アドレスを選択し、変更するトンネルを選択します。

6. [Tunnel activity log] (トンネルアクティビティログ) で、[Enable] (有効化) を選択します。

7. Amazon CloudWatch ロググループ で、 CloudWatch ログを送信する Amazon ロググループを選択します。

8. (オプション) [Output format] (出力形式) で、希望するログ出力の形式 (json またはテキスト) を選択します。

9. [Save Changes] (変更を保存) を選択します。

10. (オプション) 必要に応じて、他のトンネルに対してステップ 4〜9 を繰り返します。

AWS コマンドラインまたは API を使用して既存の Site-to-Site VPN 接続でトンネルログ記録を有効にするには

• ModifyVpnTunnelOptions (Amazon EC2 クエリ API)

• modify-vpn-tunnel-options (AWS CLI)

Site-to-Site VPN ログを無効にする

Site-to-Site VPN 接続のトンネルログ記録を無効にするには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[Site-to-Site VPN Connections] (Site-to-Site VPN 接続) を選択します。

3. 変更する VPN 接続を [VPN connections] (VPN 接続) リストから選択します。

4. [Actions] (アクション)、[Modify VPN tunnel options] (VPN トンネルオプションを変更) の順に選択します。

5. [VPN tunnel outside IP address] (IP アドレス外の VPN トンネル) リストから適切な IP アドレスを選択し、変更するトンネルを選択します。

6. [Tunnel activity log] (トンネルアクティビティログ) で、[Enable] (有効化) を選択します。

7. [Save Changes] (変更を保存) を選択します。

8. (オプション) 必要に応じて、他のトンネルに対してステップ 4〜7 を繰り返します。

AWS コマンドラインまたは API を使用して Site-to-Site VPN 接続のトンネルログ記録を無効にするには

• ModifyVpnTunnelOptions (Amazon EC2 クエリ API)

• modify-vpn-tunnel-options (AWS CLI)