Beneficios de los registros de Site-to-Site VPN Restricciones de tamaño de política de recursos de registros de Amazon CloudWatch Contenido del registro de Site-to-Site VPN Requisitos de IAM para publicar en CloudWatch Logs

AWS Site-to-Site VPNRegistros de

Los registros de AWS Site-to-Site VPN le proporcionan una mayor visibilidad de las implementaciones de Site-to-Site VPN. Con esta característica, tiene acceso a los registros de conexión de Site-to-Site VPN que proporcionan detalles sobre el establecimiento del túnel de seguridad IP (IPsec), las negociaciones de intercambio de claves de Internet (IKE) y los mensajes del protocolo de detección de pares muertos (DPD).

Los registros de Site-to-Site VPN se pueden publicar en registros de Amazon CloudWatch. Esta característica proporciona a los clientes una única forma coherente de acceder y analizar registros detallados para todas las conexiones de Site-to-Site VPN.

Temas

Beneficios de los registros de Site-to-Site VPN
Restricciones de tamaño de política de recursos de registros de Amazon CloudWatch
Contenido del registro de Site-to-Site VPN
Requisitos de IAM para publicar en CloudWatch Logs
Consultar la configuración de registros de Site-to-Site VPN
Habilitar registros de Site-to-Site VPN
Desactivar registros de Site-to-Site VPN

Beneficios de los registros de Site-to-Site VPN

Solución de problemas de VPN simplificada: los registros de Site-to-Site VPN le ayudan a identificar desajustes de configuración entre AWS y el dispositivo de puerta de enlace de cliente y abordar los problemas iniciales de conectividad de VPN. Las conexiones de VPN pueden cambiar de forma intermitente con el tiempo debido a ajustes mal configurados (como tiempos de espera mal ajustados), puede haber problemas en las redes de transporte subyacentes (como el tiempo de Internet) o los cambios de enrutamiento o los errores de ruta pueden provocar la interrupción de la conectividad a través de VPN. Esta característica le permite diagnosticar con precisión la causa de los errores de conexión intermitentes y ajustar la configuración del túnel de bajo nivel para lograr un funcionamiento fiable.
Visibilidad de AWS Site-to-Site VPN centralizada: los registros de Site-to-Site VPN pueden proporcionar registros de actividad de túnel para todas las diferentes formas en que se conecta Site-to-Site VPN: puerta de enlace virtual, puerta de enlace de tránsito y CloudHub, con Internet y Direct Connect como transporte. Esta característica proporciona a los clientes una única forma coherente de acceder y analizar registros detallados para todas las conexiones Site-to-Site VPN.
Seguridad y conformidad: los registros de Site-to-Site VPN se pueden enviar a registros de Amazon CloudWatch para realizar un análisis retrospectivo del estado y la actividad de la conexión de VPN a lo largo del tiempo. Esto puede ayudarle a cumplir con los requisitos reglamentarios y de conformidad.

Restricciones de tamaño de política de recursos de registros de Amazon CloudWatch

Las políticas de recursos de Registros de Amazon CloudWatch están limitadas a 5120 caracteres. Cuando Registros de Amazon CloudWatch detecta que una política se acerca a este límite de tamaño, habilita automáticamente los grupos de registro que comienzan con /aws/vendedlogs/. Al habilitar el registro, Site-to-Site VPN debe actualizar la política de recursos de Registros de Amazon CloudWatch con el grupo de registro que especifique. Para evitar alcanzar el límite de tamaño de la política de recursos de Registros de Amazon CloudWatch, ponga el prefijo a los nombres del grupo de registro con /aws/vendedlogs/.

Contenido del registro de Site-to-Site VPN

La siguiente información se incluye en el registro de actividad de túnel de Site-to-Site VPN. El nombre del archivo de flujo de registro utiliza VpnConnectionID y TunnelOutsideIPAddress.

Campo	Descripción
VpnLogCreationTimestamp (`event_timestamp`)	Marca temporal de creación de registros en formato legible por humanos.
TunnelDPDEnabled (`dpd_enabled`)	Estado habilitado del protocolo de detección de pares muertos (verdadero/falso).
TunnelCGWNATTDetectionStatus (`nat_t_detected`)	NAT-T detectado en el dispositivo de puerta de enlace de cliente (verdadero/falso).
TunnelIKEPhase1State (`ike_phase1_state`)	Estado del protocolo de fase 1 de IKE (Establecido \| Cambio de clave \| Negociación \| Inactivo).
TunnelIKEPhase2State (`ike_phase2_state`)	Estado del protocolo de fase 2 de IKE (Establecido \| Cambio de clave \| Negociación \| Inactivo).
VpnLogDetail (`details`)	Mensajes detallados para los protocolos IPsec, IKE y DPD.

Mensajes de error de IKEv1

Mensaje	Explicación
El par no responde: declarar muerto al par	El par no ha respondido a los mensajes de DPD, por lo que se ha impuesto la acción de tiempo de espera del DPD.
El descifrado de la carga del túnel de AWS no se ha realizado correctamente debido a la clave previamente compartida no válida	Se debe configurar la misma clave previamente compartida en ambos pares de IKE.
No se encontró ninguna coincidencia de propuesta de AWS	El punto de conexión de AWS VPN no admite los atributos propuestos para la fase 1 (cifrado, hash y grupo DH), por ejemplo, `3DES`.
No se encontró ninguna coincidencia de propuesta. Notificación con la opción «No se ha elegido ninguna propuesta»	Los pares no intercambian ningún mensaje de error de propuesta elegida para informar de que se deben configurar las propuestas/políticas correctas para la fase 2 en pares de IKE.
El túnel de AWS recibió DELETE para la fase 2 SA con SPI: xxxx	CGW ha enviado el mensaje Delete_SA para la fase 2.
El túnel de AWS recibió DELETE para IKE_SA de CGW	CGW ha enviado el mensaje Delete_SA para la fase 1.

Mensajes de error de IKEv2

Mensaje	Explicación
Se agotó el tiempo de espera del DPD del túnel de AWS después de que {retry_count} retransmita	El par no ha respondido a los mensajes de DPD, por lo que se ha impuesto la acción de tiempo de espera del DPD.
El túnel de AWS recibió DELETE para IKE_SA de CGW	El par ha enviado el mensaje Delete_SA para Parent/IKE_SA.
El túnel de AWS recibió DELETE para la fase 2 SA con SPI: xxxx	El par ha enviado el mensaje Delete_SA para CHILD_SA.
El túnel de AWS detectó una colisión (CHILD_REKEY) como CHILD_DELETE	CGW ha enviado el mensaje Delete_SA para la SA activa, a la que se le está cambiando la clave.
Se está eliminando la SA redundante del túnel de AWS (CHILD_SA) debido a la colisión detectada	Debido a una colisión, si se generan SA redundantes, los pares cerrarán la SA redundante después de hacer coincidir los valores nonce según RFC.
La fase 2 del túnel de AWS no se pudo establecer mientras se mantenía la fase 1	El par no pudo establecer CHILD_SA debido a un error de negociación, por ejemplo, a una propuesta incorrecta.
AWS: Selector de tráfico: TS_UNACCEPTABLE: recibido del agente de respuesta	El par ha propuesto selectores de tráfico o dominio de cifrado incorrectos. Los pares se deben configurar con CIDR idénticos y correctos.
El túnel de AWS envía AUTHENTICATION_FAILED como respuesta	El par no puede autenticar al par al verificar el contenido del mensaje IKE_AUTH
El túnel de AWS detectó una discrepancia de clave previamente compartida con cgw: xxxx	Se debe configurar la misma clave previamente compartida en ambos pares de IKE.
Tiempo de espera del túnel de AWS: eliminación de IKE_SA de fase 1 no establecido con cgw: xxxx	La eliminación de IKE_SA semiabierto como par no ha continuado con las negociaciones
No se encontró ninguna coincidencia de propuesta. Notificación con la opción «No se ha elegido ninguna propuesta»	Los pares no intercambian ningún mensaje de error de propuesta elegida para informar que las propuestas correctas se deben configurar en pares de IKE.
No se encontró ninguna coincidencia de propuesta de AWS	El punto de conexión de AWS VPN no admite los atributos propuestos para la fase 1 o la fase 2 (cifrado, hash y grupo DH), por ejemplo, `3DES`.

Mensajes de negociación de IKEv2

Mensaje	Explicación
El túnel de AWS ha procesado una solicitud (id=xxx) para CREATE_CHILD_SA	AWS ha recibido la solicitud CREATE_CHILD_SA de CGW.
El túnel de AWS envía una respuesta (id=xxx) para CREATE_CHILD_SA	AWS envía una respuesta CREATE_CHILD_SA a CGW.
El túnel de AWS envía una solicitud (id=xxx) para CREATE_CHILD_SA	AWS envía una solicitud CREATE_CHILD_SA a CGW.
El túnel de AWS ha procesado una respuesta (id=xxx) para CREATE_CHILD_SA	AWS ha recibido la respuesta CREATE_CHILD_SA de CGW.

Requisitos de IAM para publicar en CloudWatch Logs

Para que la característica de registro funcione correctamente, la política de IAM asociada a la entidad principal de IAM que se está utilizando para configurar la característica debe incluir los siguientes permisos como mínimo. También puede encontrar más detalles en la sección Habilitar el registro desde determinados servicios de AWS de la Guía del usuario de Registros de Amazon CloudWatch.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Supervisión de una conexión de Site-to-Site VPN

Consultar la configuración de registros de Site-to-Site VPN