AWS Site-to-Site VPN 日志 - AWS Site-to-Site VPN
Site-to-Site VPN 日志的优势Amaz CloudWatch on Logs 资源策略大小限制发布到 CloudWatch 日志的 IAM 要求查看 Site-to-Site VPN 日志配置启用 Site-to-Site VPN 日志禁用 Site-to-Site VPN 日志

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Site-to-Site VPN 日志

AWS Site-to-Site VPN 日志可让您更深入地了解您的站点到站点 VPN 部署。使用此功能,您可以访问 Site-to-Site VPN 连接日志,这些日志提供有关 IP 安全性(IPsec)隧道建立、互联网密钥交换(IKE)协商和失效对端检测(DPD)协议消息的详细信息。

站点到站点 VPN 日志可以发布到 Amazon 日志。 CloudWatch 此功能为客户提供了一种一致的方式来访问和分析其所有 Site-to-Site VPN 连接的详细日志。

内容

Site-to-Site VPN 日志的优势

  • 简化的 VPN 故障排除:站点到站点 VPN 日志可帮助您查明与您的客户网关设备之间的配置不匹配情况, AWS 并解决初始 VPN 连接问题。VPN 连接可能由于设置配置错误(例如超时调整不当)而随时间推移发生间歇性抖动,底层传输网络中可能存在问题(例如互联网天气),或者路由更改或路径故障可能导致通过 VPN 的连接中断。此功能可让您准确地诊断间歇性连接故障的原因,并微调低级别隧道配置以实现可靠运行。

  • 集中 AWS Site-to-Site VPN 可见性:站点到站点 VPN 日志可以为站点到站点 VPN 的所有不同连接方式提供隧道活动日志:虚拟网关、Transit Gateway,以及同时使用互联网和 CloudHub作为传输方式。 AWS Direct Connect 此功能为客户提供了一种一致的方式来访问和分析其所有 Site-to-Site VPN 连接的详细日志。

  • 安全与合规:可以将站点到站点 VPN 日志发送到 Amazon Logs,以便对一 CloudWatch 段时间内的 VPN 连接状态和活动进行回顾性分析。这可以帮助您满足合规性和法规要求。

Amaz CloudWatch on Logs 资源策略大小限制

CloudWatch 日志资源策略限制为 5120 个字符。当 CloudWatch Logs 检测到策略接近此大小限制时,它会自动启用以开头的日志组/aws/vendedlogs/。启用日志记录后,站点到站点 VPN 必须使用您指定的 CloudWatch 日志组更新您的日志资源策略。为避免达到 CloudWatch 日志资源策略大小限制,请在日志组名称前加上/aws/vendedlogs/

发布到 CloudWatch 日志的 IAM 要求

为了使日志记录功能正常运行,附加到用于配置该功能的 IAM 主体的 IAM policy 必须至少包含以下权限。更多详情也可以在《Amazon L og CloudWatch s 用户指南》的 “启用某些 AWS 服务的日志记录” 部分中找到。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}

查看 Site-to-Site VPN 日志配置

查看当前隧道日志记录设置

  1. 通过 https://console.aws.amazon.com/vpc/ 打开 Amazon VPC 控制台。

  2. 在导航窗格中,选择 Site-to-Site VPN Connections(Site-to-Site VPN 连接)。

  3. VPN connections(VPN 连接)列表中选择要查看的 VPN 连接。

  4. 选择 Tunnel details(隧道详细信息)选项卡。

  5. 展开 Tunnel 1 options(隧道 1 选项)和 Tunnel 2 options(隧道 2 选项)部分,以查看所有隧道配置详细信息。

  6. 您可以在 Tunn el VPN 日志下查看日志功能的当前状态,也可以在 CloudWatch日志组下查看当前配置的CloudWatch 日志组(如果有)。

使用命令行或 API 查看站点到站点 VPN 连接上的当前隧道日志设置 AWS

启用 Site-to-Site VPN 日志

注意

当您为现有 VPN 连接隧道启用 Site-to-Site VPN 日志时,通过该隧道的连接可能会中断几分钟。但是,每个 VPN 连接都提供两条隧道以实现高可用性,因此,您可以一次对一条隧道启用日志记录,同时保持通过此隧道的连接不被修改。有关更多信息,请参阅 站点到站点 VPN 隧道终端节点替换

创建新的 Site-to-Site VPN 连接时启用 VPN 日志记录

按照步骤 5:创建 VPN 连接过程操作。在步骤 9 Tunnel Options(隧道选项)期间,您可以指定要用于这两条隧道的所有选项,包括 VPN logging(VPN 日志记录)选项。有关这些选项的详细信息,请参阅 站点到站点 VPN 连接的隧道选项

使用命令行或 API 在新的站点到站点 VPN 连接上启用隧道日志记录 AWS
对现有 Site-to-Site VPN 连接启用隧道日志记录

  1. 通过 https://console.aws.amazon.com/vpc/ 打开 Amazon VPC 控制台。

  2. 在导航窗格中,选择 Site-to-Site VPN Connections(Site-to-Site VPN 连接)。

  3. VPN connections(VPN 连接)列表中选择要修改的 VPN 连接。

  4. 依次选择 Actions(操作)、Modify VPN tunnel options(修改 VPN 隧道选项)。

  5. 通过从 VPN tunnel outside IP address(VPN 隧道外部 IP 地址)列表中选择适当的 IP 地址,选择要修改的隧道。

  6. Tunnel activity log(隧道活动日志)下,选择 Enable(启用)。

  7. Amazon CloudWatch 日志组下,选择要将日志发送到的亚马逊 CloudWatch 日志组。

  8. (可选)在 Output format(输出格式)下,选择日志输出的所需格式:jsontext(文本)。

  9. 选择 Save changes(保存更改)。

  10. (可选)如果需要,对其它隧道重复步骤 4 到 9。

使用命令行或 API 在现有站点到站点 VPN 连接上启用隧道日志记录 AWS

禁用 Site-to-Site VPN 日志

对 Site-to-Site VPN 连接禁用隧道日志记录

  1. 通过 https://console.aws.amazon.com/vpc/ 打开 Amazon VPC 控制台。

  2. 在导航窗格中,选择 Site-to-Site VPN Connections(Site-to-Site VPN 连接)。

  3. VPN connections(VPN 连接)列表中选择要修改的 VPN 连接。

  4. 依次选择 Actions(操作)、Modify VPN tunnel options(修改 VPN 隧道选项)。

  5. 通过从 VPN tunnel outside IP address(VPN 隧道外部 IP 地址)列表中选择适当的 IP 地址,选择要修改的隧道。

  6. Tunnel activity log(隧道活动日志)下,清除 Enable(启用)。

  7. 选择 Save changes(保存更改)。

  8. (可选)如果需要,对其它隧道重复步骤 4 到 7。

使用命令行或 API 在站点到站点 VPN 连接上禁用隧道日志记录 AWS