Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Site-to-Site VPN log
AWS Site-to-Site VPN log memberi Anda visibilitas yang lebih dalam ke penerapan Site-to-Site VPN Anda. Dengan fitur ini, Anda memiliki akses ke log koneksi Site-to-Site VPN yang memberikan rincian tentang pembentukan terowongan IP Security (IPsec), negosiasi Internet Key Exchange (IKE), pesan protokol deteksi rekan mati (DPD), status protokol Border Gateway (BGP), dan pembaruan perutean.
Site-to-Site Log VPN dapat dipublikasikan ke Amazon CloudWatch Logs. Fitur ini memberi pelanggan satu cara konsisten untuk mengakses dan menganalisis log terperinci untuk semua koneksi Site-to-Site VPN mereka.
Manfaat log Site-to-Site VPN
-
Pemecahan masalah VPN yang disederhanakan: Log Site-to-Site VPN membantu Anda menentukan ketidakcocokan konfigurasi antara AWS dan perangkat gateway pelanggan Anda, dan mengatasi masalah konektivitas VPN awal. Koneksi VPN dapat sebentar-sebentar menutup dari waktu ke waktu karena pengaturan yang salah konfigurasi (seperti batas waktu yang disetel dengan buruk), mungkin ada masalah di jaringan transportasi yang mendasarinya (seperti cuaca internet), atau perubahan perutean atau kegagalan jalur dapat menyebabkan gangguan konektivitas melalui VPN. Fitur ini memungkinkan Anda untuk secara akurat mendiagnosis penyebab kegagalan koneksi intermiten dan menyempurnakan konfigurasi terowongan tingkat rendah untuk operasi yang andal.
-
AWS Site-to-Site VPN Visibilitas terpusat: Log Site-to-Site VPN dapat menyediakan aktivitas terowongan dan log perutean BGP di semua jenis koneksi VPN. Site-to-Site Fitur ini memberi pelanggan satu cara konsisten untuk mengakses dan menganalisis log terperinci untuk semua koneksi Site-to-Site VPN mereka.
-
Keamanan dan kepatuhan: Log Site-to-Site VPN dapat dikirim ke Amazon CloudWatch Logs untuk analisis retrospektif status dan aktivitas koneksi VPN dari waktu ke waktu. Ini dapat membantu Anda memenuhi persyaratan kepatuhan dan peraturan.
Pembatasan ukuran kebijakan sumber daya Amazon CloudWatch Logs
CloudWatch Kebijakan sumber daya log dibatasi hingga 5120 karakter. Ketika CloudWatch Log mendeteksi bahwa kebijakan mendekati batas ukuran ini, secara otomatis mengaktifkan grup log yang memulai/aws/vendedlogs/. Saat Anda mengaktifkan logging, Site-to-Site VPN harus memperbarui kebijakan sumber daya CloudWatch Log Anda dengan grup log yang Anda tentukan. Agar tidak mencapai batas ukuran kebijakan sumber daya CloudWatch Log, awali nama grup log Anda dengan/aws/vendedlogs/.
Site-to-Site Konten log VPN
Informasi berikut disertakan dalam log aktivitas terowongan Site-to-Site VPN. Nama file log stream menggunakan VpnConnection ID dan TunnelOutsideIPAddress.
| Bidang | Deskripsi |
|---|---|
|
VpnLogCreationTimestamp ( |
Stempel waktu pembuatan log dalam format waktu epoch. |
|
VpnLogCreationTimestampReadable ( |
Stempel waktu pembuatan log dalam format waktu yang dapat dibaca manusia. |
|
Terowongan DPDEnabled ( |
Status Diaktifkan Protokol Deteksi Rekan Mati (Benar/Salah). |
|
CGWNATTDetectionStatus Terowongan ( |
NAT-T terdeteksi pada perangkat gateway pelanggan (Benar/Salah). |
|
IKEPhase1Negara Terowongan ( |
Status Protokol Fase 1 IKE (Didirikan | Rekeying | Negosiasi | Turun). |
IKEPhase2Negara Terowongan (ike_phase2_state) |
Status Protokol IKE Fase 2 (Didirikan | Rekeying | Negosiasi | Turun). |
VpnLogDetail (details) |
Pesan verbose untuk IPsec, protokol IKE dan DPD. |
Informasi berikut disertakan dalam log BGP terowongan Site-to-Site VPN. Nama file log stream menggunakan VpnConnection ID dan TunnelOutsideIPAddress.
| Bidang | Deskripsi |
|---|---|
|
resource_id |
ID unik untuk mengidentifikasi terowongan dan koneksi VPN yang terkait dengan log. |
|
event_timestamp |
Stempel waktu pembuatan log dalam format waktu epoch. |
|
timestamp |
Stempel waktu pembuatan log dalam format waktu yang dapat dibaca manusia. |
|
jenis |
Jenis Peristiwa Log BGP (BGPStatus | RouteStatus). |
|
status |
pembaruan status untuk jenis peristiwa log tertentu (BGPStatus: ATAS | BAWAH) (RouteStatus: DIIKLANKAN {rute diiklankan oleh rekan} | DIPERBARUI: {rute yang ada diperbarui oleh rekan} | DITARIK: {rute ditarik oleh rekan}). |
| pesan | Memberikan detail tambahan pada log genap dan status. Bidang ini akan membantu Anda memahami mengapa BGPStatus ada di bawah atribut rute apa yang dipertukarkan dalam RouteStatus pesan. |
Daftar Isi
IKEv1 Pesan Kesalahan
| Pesan | Penjelasan |
|---|---|
|
Peer tidak responsif - Mendeklarasikan rekan mati |
Sebaya belum menanggapi Pesan DPD, menegakkan aksi time-out DPD. |
|
AWS Dekripsi payload terowongan tidak berhasil karena Kunci Pra-bersama yang tidak valid |
Kunci Pra-Bersama yang sama perlu dikonfigurasi pada kedua Peer IKE. |
|
Tidak Ada Pencocokan Proposal Ditemukan oleh AWS |
Atribut yang Diusulkan untuk Fase 1 (Enkripsi, Hashing, dan Grup DH) tidak didukung oleh AWS VPN Endpoint— misalnya,. |
|
Tidak Ada Pencocokan Proposal yang Ditemukan. Memberi tahu dengan “Tidak ada proposal yang dipilih” |
Tidak ada Proposal Pesan kesalahan yang dipilih dipertukarkan antara Rekan untuk menginformasikan bahwa yang benar Proposals/Policies harus dikonfigurasi untuk fase 2 di IKE Peers. |
|
AWS terowongan menerima DELETE untuk Fase 2 SA dengan SPI: xxxx |
CGW telah mengirim pesan Delete_SA untuk Fase 2. |
|
AWS terowongan menerima DELETE untuk IKE_SA dari CGW |
CGW telah mengirim pesan Delete_SA untuk Fase 1. |
IKEv2 Pesan Kesalahan
| Pesan | Penjelasan |
|---|---|
|
AWS terowongan DPD habis setelah {retry_count} mentransmisikan ulang |
Sebaya belum menanggapi Pesan DPD, menegakkan aksi time-out DPD. |
|
AWS terowongan menerima DELETE untuk IKE_SA dari CGW |
Peer telah mengirim pesan Delete_SA untuk Parent/IKE_SA. |
AWS terowongan menerima DELETE untuk Fase 2 SA dengan SPI: xxxx |
Peer telah mengirim pesan Delete_SA untuk CHILD_SA. |
|
AWS terowongan mendeteksi tabrakan (CHILD_REKEY) sebagai CHILD_DELETE |
CGW telah mengirim pesan Delete_SA untuk SA Aktif, yang sedang di-rekeyed. |
|
AWS tunnel (CHILD_SA) SA redundan sedang dihapus karena tabrakan yang terdeteksi |
Karena Tabrakan, Jika SAs redundan dihasilkan, Peers akan menutup SA redundan setelah mencocokkan nilai nonce sesuai RFC. |
|
AWS terowongan Fase 2 tidak dapat dibangun sambil mempertahankan Fase 1 |
Peer tidak dapat membuat CHILD_SA karena kesalahan negosiasi - misalnya, proposal yang salah. |
AWS: Pemilih Lalu Lintas: TS_UNACCEPTABLE: diterima dari responden |
Peer telah mengusulkan Selectors/Encryption Domain Lalu Lintas yang Salah. Peer harus dikonfigurasi dengan identik dan benar CIDRs. |
AWS terowongan mengirim AUTHENTICATION_FAILED sebagai respons |
Peer tidak dapat Mengautentikasi Peer dengan memverifikasi isi pesan IKE_AUTH |
AWS terowongan mendeteksi ketidakcocokan kunci yang telah dibagikan sebelumnya dengan cgw: xxxx |
Kunci Pra-Bersama yang sama perlu dikonfigurasi pada kedua Peer IKE. |
AWS tunnel Timeout: menghapus Fase 1 IKE_SA yang tidak ditetapkan dengan cgw: xxxx |
Menghapus IKE_SA yang setengah terbuka karena rekan belum melanjutkan negosiasi |
Tidak Ada Pencocokan Proposal yang Ditemukan. Memberi tahu dengan “Tidak ada proposal yang dipilih” |
Tidak ada Proposal Pesan kesalahan yang dipilih dipertukarkan antara Rekan untuk menginformasikan bahwa Proposal yang benar harus dikonfigurasi pada Rekan IKE. |
Tidak Ada Pencocokan Proposal Ditemukan oleh AWS |
Atribut yang Diusulkan untuk Fase 1 atau Fase 2 (Enkripsi, Hashing, dan Grup DH) tidak didukung oleh AWS VPN Endpoint— misalnya,. |
IKEv2 Pesan Negosiasi
| Pesan | Penjelasan |
|---|---|
|
AWS permintaan yang diproses terowongan (id=xxx) untuk CREATE_CHILD_SA |
AWS telah menerima permintaan CREATE_CHILD_SA dari CGW. |
|
AWS terowongan mengirimkan respons (id=xxx) untuk CREATE_CHILD_SA |
AWS mengirim respons CREATE_CHILD_SA ke CGW. |
AWS terowongan mengirim permintaan (id=xxx) untuk CREATE_CHILD_SA |
AWS mengirim permintaan CREATE_CHILD_SA ke CGW. |
|
AWS respons yang diproses terowongan (id=xxx) untuk CREATE_CHILD_SA |
AWS telah menerima formulir respons CREATE_CHILD_SA CGW. |
Pesan Status BGP
Pesan Status BGP berisi informasi terkait transisi status Sesi BGP, peringatan batas awalan, pelanggaran batas, pemberitahuan sesi BGP, pesan BGP OPEN, dan pembaruan atribut untuk tetangga BGP untuk sesi BGP yang diberikan.
| Pesan | Status BGP | Penjelasan |
|---|---|---|
|
Status sesi BGP peer sisi AWS telah berubah dari Idle menjadi Connect with neighbor {ip: xxx} |
TURUN |
Status Koneksi BGP di sisi AWS telah diperbarui ke Connect. |
|
Status sesi BGP peer sisi AWS telah berubah dari Connect menjadi OpenSent dengan tetangga {ip: xxx} |
TURUN |
Status Koneksi BGP di sisi AWS telah diperbarui ke. OpenSent |
|
Status sesi BGP peer sisi AWS telah berubah dari OpenSent menjadi OpenConfirm dengan tetangga {ip: xxx} |
TURUN |
Status Koneksi BGP di sisi AWS telah diperbarui ke. OpenConfirm |
|
Status sesi BGP peer sisi AWS telah berubah dari menjadi Didirikan dengan tetangga OpenConfirm {ip: xxx} |
KE ATAS |
Status Koneksi BGP di sisi AWS telah diperbarui ke Didirikan. |
|
Status sesi BGP peer sisi AWS telah berubah dari Didirikan menjadi Idle dengan tetangga {ip: xxx} |
TURUN |
Status Koneksi BGP di sisi AWS telah diperbarui ke Idle. |
|
Status sesi BGP peer sisi AWS telah berubah dari Connect ke Active dengan tetangga {ip: xxx} |
TURUN |
Status Koneksi BGP di sisi AWS dialihkan dari Connect ke Active. Periksa ketersediaan port TCP 179 di CGW jika sesi BGP macet dalam status Connect. |
|
Rekan sisi AWS melaporkan peringatan batas awalan maksimum - menerima awalan {prefix (count): xxx} dari tetangga {ip: xxx}, limit is {limit (numeric): xxx} |
KE ATAS |
Sisi AWS secara berkala menghasilkan pesan log ketika jumlah awalan yang diterima dari CGW mendekati batas yang diizinkan. |
|
Rekan sisi AWS mendeteksi batas awalan maksimum terlampaui - menerima awalan {awalan (hitungan): xxx} dari tetangga {ip: xxx}, batas adalah {limit (numerik): xxx} |
TURUN |
Sisi AWS menghasilkan pesan log ketika jumlah awalan yang diterima dari CGW melebihi batas yang diizinkan. |
|
Rekan sisi AWS mengirim pemberitahuan 6/1 (Henti/Jumlah Awalan Maksimum yang Dicapai) ke tetangga {ip: xxx} |
TURUN |
Sisi AWS mengirim pemberitahuan ke rekan CGW BGP untuk menunjukkan bahwa sesi BGP dihentikan karena pelanggaran batas awalan. |
|
Rekan sisi AWS menerima pemberitahuan 6/1 (Henti/Jumlah Awalan Maksimum yang Dicapai) dari tetangga {ip: xxx} |
TURUN |
Sisi AWS menerima pemberitahuan dari rekan CGW untuk menunjukkan bahwa sesi BGP dihentikan karena pelanggaran batas awalan. |
|
Rekan sisi AWS mengirim pemberitahuan 6/2 (Berhenti/Penutupan Administratif) ke tetangga {ip: xxx} |
TURUN |
Sisi AWS mengirim pemberitahuan ke rekan CGW BGP untuk menunjukkan bahwa sesi BGP telah dihentikan. |
|
Rekan sisi AWS menerima pemberitahuan 6/2 (Berhenti/Penutupan Administratif) dari tetangga {ip: xxx} |
TURUN |
Sisi AWS menerima pemberitahuan dari rekan CGW untuk menunjukkan bahwa sesi BGP telah dihentikan. |
|
Rekan sisi AWS mengirim pemberitahuan 6/3 (Berhenti/Rekan Tidak Dikonfigurasi) ke tetangga {ip: xxx} |
TURUN |
Sisi AWS mengirim pemberitahuan ke rekan CGW untuk menunjukkan bahwa peer tidak dikonfigurasi atau telah dihapus dari konfigurasi. |
|
Rekan sisi AWS menerima pemberitahuan 6/3 (Berhenti/Rekan Tidak Dikonfigurasi) dari tetangga {ip: xxx} |
TURUN |
Sisi AWS menerima pemberitahuan dari rekan CGW untuk menunjukkan bahwa peer tidak dikonfigurasi atau telah dihapus dari konfigurasi. |
|
Rekan sisi AWS mengirim pemberitahuan 6/4 (Berhenti/Reset Administratif) ke tetangga {ip: xxx} |
TURUN |
Sisi AWS mengirim pemberitahuan ke rekan CGW BGP untuk menunjukkan bahwa sesi BGP telah diatur ulang. |
|
Rekan sisi AWS menerima pemberitahuan 6/4 (Berhenti/Reset Administratif) dari tetangga {ip: xxx} |
TURUN |
Sisi AWS menerima pemberitahuan dari rekan CGW untuk menunjukkan bahwa sesi BGP telah diatur ulang. |
|
Rekan sisi AWS mengirim pemberitahuan 6/5 (Berhenti/Koneksi Ditolak) ke tetangga {ip: xxx} |
TURUN |
Sisi AWS mengirim pemberitahuan ke rekan CGW BGP untuk menunjukkan bahwa sesi BGP ditolak. |
|
Rekan sisi AWS menerima pemberitahuan 6/5 (Berhenti/Koneksi Ditolak) dari tetangga {ip: xxx} |
TURUN |
Sisi AWS menerima pemberitahuan dari rekan CGW untuk menunjukkan bahwa sesi BGP ditolak. |
|
Rekan sisi AWS mengirim notifikasi 6/6 (Berhenti/Perubahan Konfigurasi Lainnya) ke tetangga {ip: xxx} |
TURUN |
Sisi AWS mengirim pemberitahuan ke rekan CGW BGP untuk menunjukkan bahwa perubahan konfigurasi sesi BGP terjadi. |
|
Rekan sisi AWS menerima pemberitahuan 6/6 (Berhenti/Perubahan Konfigurasi Lainnya) dari tetangga {ip: xxx} |
TURUN |
Sisi AWS menerima pemberitahuan dari rekan CGW yang menunjukkan bahwa perubahan konfigurasi sesi BGP terjadi. |
|
Rekan sisi AWS mengirim pemberitahuan 6/7 (Resolusi Tabrakan Berhenti/Koneksi) ke tetangga {ip: xxx} |
TURUN |
Sisi AWS mengirim pemberitahuan ke rekan CGW untuk menyelesaikan tabrakan koneksi saat kedua rekan mencoba membuat koneksi secara bersamaan. |
|
Rekan sisi AWS menerima pemberitahuan 6/7 (Resolusi Tabrakan Berhenti/Koneksi) dari tetangga {ip: xxx} |
TURUN |
Sisi AWS menerima pemberitahuan dari rekan CGW yang menunjukkan resolusi tabrakan koneksi ketika kedua rekan berusaha membuat koneksi secara bersamaan. |
|
Rekan sisi AWS mengirim pemberitahuan Tahan Timer Kedaluwarsa ke tetangga {ip: xxx} |
TURUN |
Timer penahanan BGP kedaluwarsa dan pemberitahuan dikirim oleh sisi AWS ke CGW. |
|
Rekan sisi AWS mendeteksi pesan OPEN yang buruk dari tetangga {ip: xxx} - remote AS is {asn: xxx}, diharapkan {asn: xxx} |
TURUN |
Sisi AWS mendeteksi pesan OPEN yang buruk diterima dari rekan CGW yang menunjukkan ketidakcocokan konfigurasi. |
|
Rekan sisi AWS menerima pesan OPEN dari tetangga {ip: xxx} - versi 4, AS {asn: xxx}, holdtime {holdtime (seconds): xxx}, router-id {id: xxx}} |
TURUN |
Sisi AWS menerima pesan terbuka BGP untuk memulai sesi BGP dengan rekan CGW. |
|
Rekan sisi AWS mengirim pesan OPEN ke tetangga {ip: xxx} - versi 4, AS {asn: xxx}, holdtime {holdtime (seconds): xxx}, router-id {id: xxx} |
TURUN |
Rekan CGW mengirim pesan terbuka BGP untuk memulai sesi BGP dengan rekan BGP sisi AWS. |
|
Rekan sisi AWS memulai koneksi (melalui Connect) ke tetangga {ip: xxx} |
TURUN |
Sisi AWS mencoba terhubung dengan tetangga CGW BGP. |
|
Rekan sisi AWS mengirim End-of-RIB pesan ke tetangga {ip: xxx} |
KE ATAS |
Sisi AWS telah selesai mentransmisikan rute ke CGW setelah pembentukan sesi BGP. |
|
Rekan sisi AWS menerima pembaruan dengan atribut dari tetangga {ip: xxx} - AS path: {aspath (list): xxx xxx xxx} |
KE ATAS |
Sisi AWS menerima pembaruan atribut sesi BGP dari tetangga. |
Pesan Status Rute
Tidak seperti Pesan Status BGP, Pesan Status Rute berisi data tentang atribut BGP dari awalan yang diberikan seperti jalur AS, preferensi lokal, Multi-Exit Discriminator (MED), alamat IP hop berikutnya, dan bobot. Pesan Status Rute hanya akan berisi bidang detail jika ada kesalahan dengan rute yang DIIKLANKAN, DIPERBARUI, atau DITARIK. Contohnya adalah sebagai berikut
| Pesan | Penjelasan |
|---|---|
|
DITOLAK karena: as-path berisi AS kita sendiri |
Pesan pembaruan BGP untuk awalan baru dari CGW ditolak oleh AWS karena rute yang berisi rekan sisi AWS memiliki AS. |
|
DITOLAK karena: next-hop yang tidak terhubung |
AWS menolak iklan rute BGP untuk awalan dari CGW karena kegagalan validasi next-hop yang tidak terhubung. Pastikan rute dapat dicapai di sisi CGW. |
Contoh format log untuk log Tunnel BGP
{ "resource_id": "vpn-1234abcd_1.2.3.4", "event_timestamp": 1762580429641, "timestamp": "2025-11-08 05:40:29.641Z", "type": "BGPStatus", "status": "UP", "message": { "details": "AWS-side peer BGP session state has changed from OpenConfirm to Established with neighbor 169.254.50.85" } } { "resource_id": "vpn-1234abcd_1.2.3.4", "event_timestamp": 1762579573243, "timestamp": "2025-11-08 05:26:13.243Z", "type": "RouteStatus", "status": "UPDATED", "message": { "prefix": "172.31.0.0/16", "asPath": "64512", "localPref": 100, "med": 100, "nextHopIp": "169.254.50.85", "weight": 32768, "details": "DENIED due to: as-path contains our own AS" } }
Persyaratan IAM untuk mempublikasikan ke CloudWatch Log
Agar fitur logging berfungsi dengan baik, kebijakan IAM yang dilampirkan pada prinsipal IAM yang digunakan untuk mengonfigurasi fitur, minimal harus menyertakan izin berikut. Detail selengkapnya juga dapat ditemukan di bagian Mengaktifkan logging dari AWS layanan tertentu di Panduan Pengguna Amazon CloudWatch Logs.
