本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Site-to-Site VPN 日誌
AWS Site-to-Site VPN 記錄可讓您更深入瞭解 Site-to-Site VPN 部署。透過此功能,您可以存取站台對站台 VPN 連接日誌,其中提供 IP 安全性 (IPsec) 通道建立、網際網路金鑰交換 (IKE) 交涉,以及失效對等偵測 (DPD) 通訊協定訊息的詳細資料。
網 Site-to-Site VPN 日誌可以發佈到 Amazon CloudWatch 日誌。此功能為客戶提供一個一致的方式,來存取和分析其所有站台對站台 VPN 連接的詳細日誌。
目錄
站台對站台 VPN 日誌的優點
-
簡化 VPN 疑難排解:Site-to-Site VPN 記錄可協助您精確找出與客戶閘道裝置之間的組態不符, AWS 並解決初始 VPN 連線問題。VPN 連接可能會因為設定錯誤 (例如調整不良的逾時) 而間歇性地震盪一段時間,基礎傳輸網路 (例如網際網路天氣) 可能會發生問題,或者路由變更或路徑失敗可能會造成透過 VPN 的連接中斷。此功能可讓您準確診斷間歇性連線失敗的原因,並微調低階通道組態,讓作業穩定可靠。
-
集中式可 AWS Site-to-Site VPN 見性:Site-to-Site VPN 記錄檔可針對 Site-to-Site VPN 連線的所有不同方式提供通道活動記錄:虛擬閘道、傳 Transit Gateway 道,以及使用網際網路和 CloudHub作為傳輸。 AWS Direct Connect 此功能為客戶提供一個一致的方式,來存取和分析其所有站台對站台 VPN 連接的詳細日誌。
-
安全性和合規性:Site-to-Site VPN 日誌可以傳送到 Amazon 日 CloudWatch 誌,以便對 VPN 連線狀態和一段時間內的活動進行回溯性分析。這可以協助您滿足合規性與法規的要求。
Amazon CloudWatch 日誌資源政策大小限制
CloudWatch 記錄檔資源策略的長度限制為 5120 個字元。當 CloudWatch 記錄檔偵測到原則接近此大小限制時,會自動啟用以開頭的記錄群組/aws/vendedlogs/
。當您啟用記錄時,Site-to-Site VPN 必須使用您指定的記 CloudWatch 錄群組更新記錄資源原則。若要避免達到 CloudWatch 記錄檔資源原則大小限制,請在記錄群組名稱前面加上/aws/vendedlogs/
。
發佈到 CloudWatch 日誌的 IAM 要求
若要讓記錄功能正常運作,用於設定功能、連接至 IAM 主體的 IAM 政策必須至少包含下列許可。您也可以在 Amazon CloudWatch 日誌使用者指南的啟用特定 AWS 服務記錄一節中找到更多詳細資訊。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries" ], "Resource": [ "*" ], "Effect": "Allow", "Sid": "S2SVPNLogging" }, { "Sid": "S2SVPNLoggingCWL", "Action": [ "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource": [ "*" ], "Effect": "Allow" } ] }
檢視站台對站台 VPN 日誌組態
檢視目前通道日誌設定
前往 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Site-to-Site VPN Connections (Site-to-Site VPN 連接)。
-
從 VPN connections (VPN 連接) 清單選取您要檢視的 VPN 連接。
-
選擇 Tunnel details (通道詳細資料) 索引標籤。
-
展開 Tunnel 1 options (通道 1 選項) 和Tunnel 2 options (通道 2 選項),以檢視所有通道組態詳細資訊。
-
您可以在 T unnel VPN 記錄下檢視記錄功能的目前狀態,以及記錄群組下CloudWatch 目前設定的記 CloudWatch錄群組 (如果有的話)。
使用 AWS 命令列或 API 檢視 Site-to-Site VPN 連線上目前的通道記錄設定
-
DescribeVpnConnections(Amazon EC2 查詢 API)
-
describe-vpn-connections
(AWS CLI)
啟用站台對站台 VPN 日誌
注意
當您為現有 VPN 連接通道啟用站台對站台 VPN 日誌時,該通道的連線可能會中斷數分鐘。不過,每個 VPN 連接都提供兩個通道以達到高可用性,因此您可以允許一次一個通道上的日誌功能,同時保持通道的連接不會遭到修改。如需詳細資訊,請參閱 替換站台對站台 VPN 通道端點。
在建立新的站台對站台 VPN 連接期間啟用 VPN 日誌
遵循步驟 5:建立 VPN 連接程序。在進行步驟 9 通道選項期間,您可以指定要用於兩個通道的所有選項,包括 VPN logging (VPN 日誌) 選項。如需關於這些選項的詳細資訊,請參閱 站台對站台 VPN 連接的通道選項。
使用 AWS 命令列或 API 在新的 Site-to-Site VPN 連線上啟用通道記錄
-
CreateVpnConnection(Amazon EC2 查詢 API)
-
create-vpn-connection
(AWS CLI)
啟用現有站台對站台 VPN 連接的通道日誌
前往 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Site-to-Site VPN Connections (Site-to-Site VPN 連接)。
-
從 VPN connections (VPN 連接)清單中,選取您要修改的 VPN 連接。
-
選取 Actions (動作)、Modify VPN tunnel options (修改 VPN 通道選項)。
-
選取您要修改的通道,方法是從 VPN tunnel outside IP address (IP 地址外的 VPN 通道) 清單中選擇適當的 IP 地址。
-
在 Tunnel activity log (通道活動日誌) 下方選取 Enable (啟用)。
-
在 Amazon 日 CloudWatch 誌群組下,選取您要傳送日 CloudWatch 誌的 Amazon 日誌群組。
-
(選擇性) 在 Output format (輸出格式) 下方,選擇所需的日誌輸出格式 json 或 text (文字)。
-
選取 Save Changes (儲存變更)。
-
(選擇性) 視需要針對另一個通道重複步驟 4 到 9。
使用 AWS 命令列或 API 在現有 Site-to-Site VPN 連線上啟用通道記錄
-
ModifyVpnTunnelOptions(Amazon EC2 查詢 API)
-
modify-vpn-tunnel-options
(AWS CLI)
停用站台對站台 VPN 日誌
停用站台對站台 VPN 連接上的通道日誌
前往 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Site-to-Site VPN Connections (Site-to-Site VPN 連接)。
-
從 VPN connections (VPN 連接)清單中,選取您要修改的 VPN 連接。
-
選取 Actions (動作)、Modify VPN tunnel options (修改 VPN 通道選項)。
-
選取您要修改的通道,方法是從 VPN tunnel outside IP address (IP 地址外的 VPN 通道) 清單中選擇適當的 IP 地址。
-
在 Tunnel activity log (通道活動日誌) 清除 Enable (啟用)。
-
選取 Save Changes (儲存變更)。
-
(選擇性) 視需要針對另一個通道重複步驟 4 到 7。
使用 AWS 命令列或 API 停用 Site-to-Site VPN 連線上的通道記錄
-
ModifyVpnTunnelOptions(Amazon EC2 查詢 API)
-
modify-vpn-tunnel-options
(AWS CLI)