Avantages des journaux Site-to-Site VPN Politique relative CloudWatch aux ressources et restrictions relatives à la taille d'Amazon Logs Site-to-Site Contenu du journal VPN Exemple de format de journal pour les journaux Tunnel BGP Exigences IAM pour publier dans Logs CloudWatch

AWS Site-to-Site VPN journaux

AWS Site-to-Site VPN les journaux vous offrent une meilleure visibilité sur vos déploiements Site-to-Site VPN. Grâce à cette fonctionnalité, vous avez accès aux journaux de connexion Site-to-Site VPN qui fournissent des informations sur l'établissement du tunnel de sécurité IP (IPsec), les négociations relatives à l'échange de clés Internet (IKE), les messages du protocole de détection des pairs morts (DDP), l'état du protocole Border Gateway (BGP) et les mises à jour du routage.

Site-to-Site Les journaux VPN peuvent être publiés sur Amazon CloudWatch Logs. Cette fonctionnalité fournit aux clients un moyen unique et cohérent d'accéder aux journaux détaillés de toutes leurs connexions Site-to-Site VPN et de les analyser.

Rubriques

Avantages des journaux Site-to-Site VPN
Politique relative CloudWatch aux ressources et restrictions relatives à la taille d'Amazon Logs
Site-to-Site Contenu du journal VPN
Exemple de format de journal pour les journaux Tunnel BGP
Exigences IAM pour publier dans Logs CloudWatch
Afficher la configuration des journaux Site-to-Site VPN
Activer les journaux Site-to-Site VPN
Désactiver les journaux Site-to-Site VPN

Avantages des journaux Site-to-Site VPN

Résolution des problèmes VPN simplifiés : les journaux Site-to-Site VPN vous aident à identifier les incohérences de configuration entre AWS le dispositif de passerelle de votre client et à résoudre les problèmes de connectivité VPN initiaux. Les connexions VPN peuvent échouer par intermittence au fil du temps en raison de paramètres mal configurés (tels que des délais d'expiration mal réglés), des problèmes peuvent se produire dans les réseaux de transport sous-jacents (comme la météo Internet), ou des modifications de routage/défaillances de chemin peuvent interrompre la connectivité au VPN. Cette fonctionnalité vous permet de diagnostiquer avec précision la cause des défaillances de connexion intermittentes et d'affiner la configuration du tunnel de bas niveau pour assurer la fiabilité du fonctionnement.
AWS Site-to-Site VPN Visibilité centralisée : les journaux Site-to-Site VPN peuvent fournir des journaux d'activité du tunnel et de routage BGP pour tous les types de connexions Site-to-Site VPN. Cette fonctionnalité fournit aux clients un moyen unique et cohérent d'accéder aux journaux détaillés de toutes leurs connexions Site-to-Site VPN et de les analyser.
Sécurité et conformité : les journaux Site-to-Site VPN peuvent être envoyés à Amazon CloudWatch Logs pour une analyse rétrospective de l'état et de l'activité de la connexion VPN au fil du temps. Cela peut vous aider à respecter les exigences réglementaires et de conformité.

Politique relative CloudWatch aux ressources et restrictions relatives à la taille d'Amazon Logs

CloudWatch Les politiques relatives aux ressources des journaux sont limitées à 5 120 caractères. Lorsque CloudWatch Logs détecte qu'une politique approche cette limite de taille, elle active automatiquement les groupes de journaux commençant par/aws/vendedlogs/. Lorsque vous activez la journalisation, le Site-to-Site VPN doit mettre à jour votre politique de ressources de CloudWatch journaux avec le groupe de journaux que vous spécifiez. Pour éviter d'atteindre la limite de taille de la politique des CloudWatch journaux, préfixez les noms de vos groupes de journaux par/aws/vendedlogs/.

Site-to-Site Contenu du journal VPN

Les informations suivantes sont incluses dans le journal d'activité du tunnel Site-to-Site VPN. Le nom du fichier journal utilise les VpnConnection identifiants ID et TunnelOutsideIPAddress.

Champ	Description
VpnLogCreationTimestamp (`event_timestamp`)	Horodatage de création du journal au format epoch time.
VpnLogCreationTimestampReadable (`timestamp`)	Horodatage de création du journal au format temporel lisible par l'homme.
Tunnel DPDEnabled (`dpd_enabled`)	Statut d'activation du protocole Dead Peer Detection (True/False).
CGWNATTDetectionÉtat du tunnel (`nat_t_detected`)	Détection de NAT-T sur l'appareil de passerelle client (True/False).
IKEPhase1État du tunnel (`ike_phase1_state`)	État du protocole IKE en phase 1 (Established \| Rekeying \| Negotiating \| Down).
IKEPhase2État du tunnel (`ike_phase2_state`)	État du protocole IKE en phase 2 (Established \| Rekeying \| Negotiating \| Down).
VpnLogDetail (`details`)	Messages détaillés pour IPsec les protocoles IKE et DDP.

Les informations suivantes sont incluses dans le journal BGP du tunnel Site-to-Site VPN. Le nom du fichier journal utilise les VpnConnection identifiants ID et TunnelOutsideIPAddress.

Champ	Description
identifiant_ressource	Un identifiant unique pour identifier le tunnel et la connexion VPN à laquelle le journal est associé.
event_timestamp	Horodatage de création du journal au format epoch time.
timestamp	Horodatage de création du journal au format temporel lisible par l'homme.
type	Type d'événement du journal BGP (BGPStatus \| RouteStatus).
status	mise à jour du statut pour un type spécifique d'événement de journal (BGPStatus: UP \| DOWN) (RouteStatus: ANNONCÉ {l'itinéraire a été annoncé par le pair} \| MIS À JOUR : {l'itinéraire existant a été mis à jour par le pair} \| RETIRÉ : {l'itinéraire a été retiré par le pair}).
message	Fournit des informations supplémentaires sur l'événement et le statut du journal. Ce champ vous aidera à comprendre pourquoi les BGPStatus attributs de route échangés dans le RouteStatus message sont en panne.

IKEv1 Messages d'erreur

Message	Explication
Le pair ne répond pas – Déclarer le pair mort	Le pair n'a pas répondu aux messages DDP, ce qui a imposé une action de temporisation de DDP.
AWS le déchiffrement de la charge utile du tunnel a échoué en raison d'une clé pré-partagée non valide	La même clé pré-partagée doit être configurée sur les deux pairs IKE.
Aucune proposition correspondante n'a été trouvée par AWS	Les attributs proposés pour la phase 1 (chiffrement, hachage et groupe DH) ne sont pas pris en charge par le point de terminaison VPN AWS, `3DES` par exemple.
Aucune proposition correspondante trouvée. Notifier avec « Aucune proposition choisie »	Le message d'erreur No Proposal Chosen est échangé entre pairs pour indiquer que la configuration correcte Proposals/Policies doit être configurée pour la phase 2 sur les homologues IKE.
AWS tunnel a reçu DELETE pour la phase 2 SA avec SPI : xxxx	CGW a envoyé le message Delete_SA pour la phase 2.
AWS le tunnel a reçu la commande DELETE pour IKE_SA de la part de CGW	CGW a envoyé le message Delete_SA pour la phase 1.

IKEv2 Messages d'erreur

Message	Explication
AWS le délai imparti au tunnel DDP a expiré après les retransmissions de {retry_count}	Le pair n'a pas répondu aux messages DDP, ce qui a imposé une action de temporisation de DDP.
AWS le tunnel a reçu la commande DELETE pour IKE_SA de la part de CGW	Peer a envoyé le message Delete_SA pour Parent/IKE_SA.
AWS tunnel a reçu DELETE pour la phase 2 SA avec SPI : xxxx	Peer a envoyé le message Delete_SA pour CHILD_SA.
AWS le tunnel a détecté une collision (CHILD_REKEY) en tant que CHILD_DELETE	CGW a envoyé le message Delete_SA pour la SA active, dont la clé est en cours de changement.
AWS le SA redondant du tunnel (CHILD_SA) est supprimé en raison d'une collision détectée	En raison d'une collision, si des redondants SAs sont générés, les pairs fermeront le SA redondant après avoir fait correspondre les valeurs de nonce conformément à la RFC.
AWS la phase 2 du tunnel n'a pas pu être établie tout en maintenant la phase 1	Le pair n'a pas pu établir CHILD_SA en raison d'une erreur de négociation, par exemple d'une proposition incorrecte.
AWS : sélecteur de trafic : TS_UNACCEPTABLE : reçu du répondeur	Le pair a proposé un Selectors/Encryption domaine de trafic incorrect. Les homologues doivent être configurés de manière identique et correcte CIDRs.
AWS le tunnel envoie AUTHENTICATION_FAILED comme réponse	Le pair ne peut pas authentifier le pair en vérifiant le contenu du message IKE_AUTH
AWS le tunnel a détecté une incompatibilité de clé pré-partagée avec cgw : xxxx	La même clé pré-partagée doit être configurée sur les deux pairs IKE.
AWS délai d'expiration du tunnel : suppression de la phase 1 non établie IKE_SA avec cgw : xxxx	La suppression de IKE_SA à moitié ouvert en tant que pair n'a pas donné lieu à des négociations
Aucune proposition correspondante trouvée. Notifier avec « Aucune proposition choisie »	Le message d'erreur « Aucune proposition choisie » est échangé entre les pairs pour informer que des propositions correctes doivent être configurées sur les pairs IKE.
Aucune proposition correspondante n'a été trouvée par AWS	Les attributs proposés pour la phase 1 ou la phase 2 (chiffrement, hachage et groupe DH) ne sont pas pris en charge par le point de terminaison AWS VPN, `3DES` par exemple.

IKEv2 Messages de négociation

Message	Explication
AWS demande traitée par tunnel (id=xxx) pour CREATE_CHILD_SA	AWS a reçu la demande CREATE_CHILD_SA de CGW.
AWS le tunnel envoie une réponse (id=xxx) pour CREATE_CHILD_SA	AWS envoie une réponse CREATE_CHILD_SA à CGW.
AWS le tunnel envoie une demande (id=xxx) pour CREATE_CHILD_SA	AWS envoie une demande CREATE_CHILD_SA à CGW.
AWS réponse traitée par tunnel (id=xxx) pour CREATE_CHILD_SA	AWS a reçu une réponse CREATE_CHILD_SA de CGW.

Messages d'état BGP

Les messages d'état BGP contiennent des informations relatives aux transitions d'état des sessions BGP, aux avertissements relatifs aux limites de préfixes, aux violations des limites, aux notifications de session BGP, aux messages BGP OPEN et aux mises à jour d'attributs pour un voisin BGP pour une session BGP donnée.

Message	État du BGP	Explication
L'état de la session BGP du pair AWS est passé de Idle à Connect with neighbor {ip : xxx}	VERS LE BAS	L'état de la connexion BGP côté AWS a été mis à jour pour devenir Connect.
L'état de la session BGP du pair côté AWS est passé de Connect à OpenSent with neighbor {ip : xxx}	VERS LE BAS	L'état de la connexion BGP du côté AWS a été mis à jour à OpenSent.
L'état de la session BGP du pair côté AWS est passé de OpenSent à OpenConfirm avec voisin {ip : xxx}	VERS LE BAS	L'état de la connexion BGP du côté AWS a été mis à jour à OpenConfirm.
L'état de la session BGP du pair côté AWS est passé de OpenConfirm à Établi avec le voisin {ip : xxx}	EN HAUT	L'état de la connexion BGP du côté AWS a été mis à jour à Established.
L'état de la session BGP du pair côté AWS est passé de Établi à Inactif avec le voisin {ip : xxx}	VERS LE BAS	L'état de la connexion BGP côté AWS a été mis à jour à Idle.
L'état de la session BGP du pair côté AWS est passé de Connect à Active with neighbor {ip : xxx}	VERS LE BAS	L'état de connexion BGP du côté AWS est passé de Connect à Active. Vérifiez la disponibilité du port TCP 179 sur CGW si la session BGP est bloquée dans l'état Connect.
Un homologue côté AWS signale un avertissement relatif à la limite maximale de préfixes : {prefixes (count) : xxx} préfixes reçus du voisin {ip : xxx}, la limite est {limit (numeric) : xxx}	EN HAUT	Le côté AWS génère régulièrement un message de journal lorsque le nombre de préfixes reçus du CGW approche de la limite autorisée.
Le pair AWS a détecté que la limite maximale de préfixes était dépassée. Il a reçu {prefixes (count) : xxx} préfixes du voisin {ip : xxx}, la limite est {limit (numeric) : xxx}	VERS LE BAS	Le côté AWS génère un message de journal lorsque le nombre de préfixes reçus du CGW a dépassé la limite autorisée.
Le pair côté AWS a envoyé une notification 6/1 (cessation/nombre maximum de préfixes atteints) au voisin {ip : xxx}	VERS LE BAS	La partie AWS a envoyé une notification à l'homologue BGP CGW pour indiquer que la session BGP avait été interrompue en raison d'une violation de la limite de préfixe.
Le pair côté AWS a reçu une notification 6/1 (cessation/nombre maximum de préfixes atteints) du voisin {ip : xxx}	VERS LE BAS	La partie AWS a reçu une notification de l'homologue CGW indiquant que la session BGP avait été interrompue en raison d'une violation de la limite de préfixe.
Le pair côté AWS a envoyé une notification 6/2 (cessation/arrêt administratif) au voisin {ip : xxx}	VERS LE BAS	La partie AWS a envoyé une notification à l'homologue BGP CGW pour indiquer que la session BGP avait été interrompue.
Le pair côté AWS a reçu une notification 6/2 (cessation/arrêt administratif) du voisin {ip : xxx}	VERS LE BAS	La partie AWS a reçu une notification de l'homologue CGW indiquant que la session BGP avait été interrompue.
Le pair côté AWS a envoyé une notification 6/3 (Cease/Peer Unconfigured) au voisin {ip : xxx}	VERS LE BAS	La partie AWS a envoyé une notification à l'homologue CGW pour indiquer que celui-ci n'est pas configuré ou qu'il a été retiré de la configuration.
Le pair côté AWS a reçu une notification 6/3 (cessation/homologue non configuré) du voisin {ip : xxx}	VERS LE BAS	La partie AWS a reçu une notification de l'homologue CGW indiquant que celui-ci n'est pas configuré ou qu'il a été retiré de la configuration.
Le pair côté AWS a envoyé une notification 6/4 (cessation/réinitialisation administrative) au voisin {ip : xxx}	VERS LE BAS	La partie AWS a envoyé une notification à l'homologue BGP CGW pour indiquer que la session BGP avait été réinitialisée.
Le pair côté AWS a reçu une notification 6/4 (cessation/réinitialisation administrative) du voisin {ip : xxx}	VERS LE BAS	La partie AWS a reçu une notification de l'homologue CGW indiquant que la session BGP avait été réinitialisée.
Le pair côté AWS a envoyé une notification 6/5 (cessation/connexion rejetée) au voisin {ip : xxx}	VERS LE BAS	La partie AWS a envoyé une notification à l'homologue BGP CGW pour indiquer que la session BGP avait été rejetée.
Le pair côté AWS a reçu une notification 6/5 (cessation/connexion rejetée) du voisin {ip : xxx}	VERS LE BAS	La partie AWS a reçu une notification de l'homologue CGW indiquant que la session BGP avait été rejetée.
Le pair côté AWS a envoyé une notification 6/6 (cessation/autre modification de configuration) au voisin {ip : xxx}	VERS LE BAS	La partie AWS a envoyé une notification à l'homologue BGP CGW pour indiquer qu'un changement de configuration de session BGP avait eu lieu.
Le pair côté AWS a reçu une notification 6/6 (cessation/autre modification de configuration) du voisin {ip : xxx}	VERS LE BAS	La partie AWS a reçu une notification de l'homologue CGW indiquant qu'un changement de configuration de session BGP a eu lieu.
Le pair côté AWS a envoyé une notification 6/7 (résolution des collisions de cessation/de connexion) au voisin {ip : xxx}	VERS LE BAS	La partie AWS a envoyé une notification à l'homologue CGW pour résoudre une collision de connexion lorsque les deux homologues tentent d'établir une connexion simultanément.
Le pair côté AWS a reçu une notification 6/7 (résolution des collisions de cessation/de connexion) de la part du voisin {ip : xxx}	VERS LE BAS	La partie AWS a reçu une notification de l'homologue CGW indiquant la résolution d'une collision de connexion lorsque les deux homologues tentent d'établir une connexion simultanément.
Un pair côté AWS a envoyé une notification d'expiration du délai d'attente au voisin {ip : xxx}	VERS LE BAS	Le délai de blocage du BGP a expiré et une notification a été envoyée par AWS au CGW.
Un pair côté AWS a détecté un message OPEN incorrect provenant du voisin {ip : xxx} - remote AS is {asn : xxx}, attendu {asn : xxx}	VERS LE BAS	Le côté AWS a détecté qu'un message OPEN erroné avait été reçu de l'homologue CGW, ce qui indique une incompatibilité de configuration.
Le pair côté AWS a reçu un message OUVERT du voisin {ip : xxx} - version 4, AS {asn : xxx}, holdtime {holdtime (seconds) : xxx}, router-id {id : xxx}}	VERS LE BAS	La partie AWS a reçu un message d'ouverture BGP pour lancer une session BGP avec l'homologue CGW.
Le pair côté AWS a envoyé un message OUVERT au voisin {ip : xxx} - version 4, AS {asn : xxx}, holdtime {holdtime (seconds) : xxx}, router-id {id : xxx}	VERS LE BAS	L'homologue CGW a envoyé un message d'ouverture BGP pour lancer une session BGP avec l'homologue BGP côté AWS.
L'homologue côté AWS établit une connexion (via Connect) avec le voisin {ip : xxx}	VERS LE BAS	Le côté AWS tente de se connecter au voisin BGP CGW.
Le pair côté AWS a envoyé un End-of-RIB message au voisin {ip : xxx}	EN HAUT	Le côté AWS a fini de transmettre les itinéraires au CGW après l'établissement de la session BGP.
Le pair côté AWS a reçu une mise à jour avec les attributs du voisin {ip : xxx} - AS path : {aspath (list) : xxx xxx xxx}	EN HAUT	Le côté AWS a reçu une mise à jour de l'attribut de session BGP de la part du voisin.

Messages d'état de l'itinéraire

Contrairement aux messages d'état BGP, les messages d'état de route contiennent des données sur les attributs BGP d'un préfixe donné, tels que le chemin AS, les préférences locales, le discriminateur à sorties multiples (MED), l'adresse IP du prochain saut et le poids. Un message d'état de l'itinéraire ne contiendra un champ de détails qu'en cas d'erreur concernant un itinéraire ANNONCÉ, MIS À JOUR ou RETIRÉ. Les exemples suivants en sont les suivants :

Message	Explication
REFUSÉ car : as-path contient notre propre AS	Les messages de mise à jour BGP pour un nouveau préfixe provenant de CGW ont été refusés par AWS en raison de la route contenant le propre AS du pair côté AWS.
REFUSÉ pour cause de : prochain saut non connecté	AWS a rejeté une annonce de route BGP pour le préfixe émise par le CGW en raison d'un échec de validation du prochain saut non connecté. Assurez-vous que l'itinéraire est accessible du côté de la CGW.

Exemple de format de journal pour les journaux Tunnel BGP



{
    "resource_id": "vpn-1234abcd_1.2.3.4",
    "event_timestamp": 1762580429641,
    "timestamp": "2025-11-08 05:40:29.641Z",
    "type": "BGPStatus",
    "status": "UP",
    "message": {
        "details": "AWS-side peer BGP session state has changed from OpenConfirm to Established with neighbor 169.254.50.85"
    }
}

{
    "resource_id": "vpn-1234abcd_1.2.3.4",
    "event_timestamp": 1762579573243,
    "timestamp": "2025-11-08 05:26:13.243Z",
    "type": "RouteStatus",
    "status": "UPDATED",
    "message": {
        "prefix": "172.31.0.0/16",
        "asPath": "64512",
        "localPref": 100,
        "med": 100,
        "nextHopIp": "169.254.50.85",
        "weight": 32768,
        "details": "DENIED due to: as-path contains our own AS"
    }
}

Exigences IAM pour publier dans Logs CloudWatch

Pour que la fonctionnalité de journalisation fonctionne correctement, la politique IAM attachée au principal IAM utilisée pour configurer la fonctionnalité doit inclure au minimum les autorisations suivantes. Vous trouverez également plus de détails dans la section Activation de la journalisation à partir de certains AWS services du guide de l'utilisateur Amazon CloudWatch Logs.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Surveiller une connexion Site-to-Site VPN

Afficher la configuration des journaux Site-to-Site VPN