AWS Site-to-Site VPN troncos - AWS Site-to-Site VPN
Benefícios dos logs do Site-to-Site VPNRestrições de tamanho da política de recursos do Amazon CloudWatch LogsRequisitos do IAM para publicar no CloudWatch LogsExibir configuração de logs do Site-to-Site VPNHabilitar os logs do Site-to-Site VPNDesabilitar logs do Site-to-Site VPN

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Site-to-Site VPN troncos

AWS Site-to-Site VPN os registros fornecem uma visibilidade mais profunda de suas implantações de VPN Site-to-Site. Com esse recurso, você pode ter acesso a logs de conexão do Site-to-Site VPN que fornecem detalhes sobre estabelecimento do túnel de segurança IP (IPsec), negociações do Internet Key Exchange (IKE) e mensagens de protocolo Dead Peer Detection (DPD).

Os registros de VPN site-to-site podem ser publicados no Amazon Logs. CloudWatch Esse recurso fornece aos clientes uma maneira única e consistente de acessar e analisar logs detalhados de todas as conexões do Site-to-Site VPN.

Conteúdo

Benefícios dos logs do Site-to-Site VPN

  • Solução de problemas simplificada de VPN: os registros de VPN site-to-site ajudam você a identificar incompatibilidades de configuração AWS entre o dispositivo de gateway do cliente e a resolver os problemas iniciais de conectividade da VPN. As conexões VPN podem oscilar intermitentemente ao longo do tempo devido a configurações incorretas (como tempos limite mal ajustados). Pode haver problemas nas redes de transporte subjacentes (como clima da Internet) ou alterações de roteamento ou falhas de caminho podem provocar interrupção da conectividade pela VPN. Esse recurso permite diagnosticar com precisão a causa de falhas de conexão intermitentes e ajustar a configuração do túnel de baixo nível para uma operação confiável.

  • AWS Site-to-Site VPN Visibilidade centralizada: os registros de VPN site a site podem fornecer registros de atividades de túneis para todas as diferentes maneiras pelas quais a VPN site a site está conectada: gateway virtual, gateway de trânsito e, usando a Internet e como transporte. CloudHub AWS Direct Connect Esse recurso fornece aos clientes uma maneira única e consistente de acessar e analisar logs detalhados de todas as conexões do Site-to-Site VPN.

  • Segurança e conformidade: os registros de VPN site-to-site podem ser enviados ao CloudWatch Amazon Logs para análise retrospectiva do status e da atividade da conexão VPN ao longo do tempo. Isso pode ajudar você a atender a requisitos de conformidade e regulamentares.

Restrições de tamanho da política de recursos do Amazon CloudWatch Logs

CloudWatch As políticas de recursos de registros estão limitadas a 5120 caracteres. Quando o CloudWatch Logs detecta que uma política se aproxima desse limite de tamanho, ele ativa automaticamente grupos de registros que começam com/aws/vendedlogs/. Quando você ativa o registro, a VPN Site-to-Site deve atualizar CloudWatch sua política de recursos de registros com o grupo de registros especificado. Para evitar atingir o limite de tamanho da política de recursos de CloudWatch registros, prefixe os nomes dos seus grupos de registros com/aws/vendedlogs/.

Requisitos do IAM para publicar no CloudWatch Logs

Para que o recurso de log funcione corretamente, a política do IAM anexada à entidade principal do IAM que está sendo usada para configurar o recurso deve incluir, no mínimo, as permissões a seguir. Mais detalhes também podem ser encontrados na seção Habilitando o registro em determinados AWS serviços do Guia do usuário do Amazon CloudWatch Logs.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}

Exibir configuração de logs do Site-to-Site VPN

Como visualizar configurações atuais do registro em log do túnel

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Conexões de VPN de local a local.

  3. Selecione a conexão VPN que você deseja visualizar por meio da lista VPN connections (Conexões de VPN).

  4. Selecione a guia Tunnel details (Detalhes do túnel).

  5. Expanda as seções Tunnel 1 options (Opções de túnel 1) e Tunnel 2 options (Opções de túnel 2) para visualizar todos os detalhes de configuração do túnel.

  6. Você pode ver o status atual do recurso de registro em Registro do Tunnel VPN e o grupo de CloudWatch registros atualmente configurado (se houver) em Grupo de CloudWatch registros.

Para visualizar as configurações atuais de registro de túneis em uma conexão VPN Site-to-Site usando a linha de comando ou a API AWS

Habilitar os logs do Site-to-Site VPN

nota

Quando você habilita os logs do Site-to-Site VPN para um túnel de conexão VPN existente, a conectividade por esse túnel pode ser interrompida por vários minutos. No entanto, cada conexão VPN oferece dois túneis para alta disponibilidade, a fim de que você possa ativar o registro em log em um túnel por vez e manter a conectividade pelo túnel inalterada. Para ter mais informações, consulte Substituições de endpoint de túnel Site-to-Site VPN.

Como habilitar o log do Site-to-Site VPN durante a criação de uma conexão do Site-to-Site VPN

Siga o procedimento do Etapa 5: criar uma conexão VPN. Durante a Etapa 9 Tunnel Options (Opções de túnel), você pode especificar todas as opções que deseja usar para ambos os túneis, incluindo as opções de VPN logging (Registro em log de VPN). Para obter mais informações sobre essas opções, consulte Opções de túnel para a conexão do Site-to-Site VPN.

Para habilitar o registro de túneis em uma nova conexão VPN Site-to-Site usando a linha de comando ou a API AWS
Como habilitar o registro em log do túnel em uma conexão existente do Site-to-Site VPN

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Conexões de VPN de local a local.

  3. Selecione a conexão VPN que você deseja modificar por meio da lista VPN connections (Conexões de VPN).

  4. Selecione Actions (Ações), Modify VPN tunnel options (Modificar opções de túnel VPN).

  5. Selecione o túnel que você deseja modificar escolhendo o endereço IP apropriado na lista VPN tunnel outside IP address (Endereço IP externo do túnel VPN).

  6. Em Tunnel activity log (Log de atividades do túnel), selecione Enable (Habilitar).

  7. Em Grupo de CloudWatch registros da Amazon, selecione o grupo de CloudWatch registros da Amazon para o qual você deseja que os registros sejam enviados.

  8. (Opcional) Em Output format (Formato de saída), escolha o formato desejado para a saída do log, json ou texto.

  9. Selecione Save Changes (Salvar alterações).

  10. (Opcional) Repita as etapas de 4 a 9 para o outro túnel, se desejar.

Para habilitar o registro de túneis em uma conexão VPN Site-to-Site existente usando a linha de comando ou a API AWS

Desabilitar logs do Site-to-Site VPN

Como habilitar o registro em log do túnel em uma conexão do Site-to-Site VPN

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Conexões de VPN de local a local.

  3. Selecione a conexão VPN que você deseja modificar por meio da lista VPN connections (Conexões de VPN).

  4. Selecione Actions (Ações), Modify VPN tunnel options (Modificar opções de túnel VPN).

  5. Selecione o túnel que você deseja modificar escolhendo o endereço IP apropriado na lista VPN tunnel outside IP address (Endereço IP externo do túnel VPN).

  6. Em Tunnel activity log (Log de atividades do túnel), desmarque Enable (Habilitar).

  7. Selecione Save Changes (Salvar alterações).

  8. (Opcional) Repita as etapas de 4 a 7 para o outro túnel, se desejar.

Para desativar o registro de túneis em uma conexão VPN Site-to-Site usando a linha de comando ou a API AWS