翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Site-to-Site VPN ログ
AWS Site-to-Site VPN ログを使用すると、Site-to-Site VPN デプロイをより詳細に把握できます。この機能を使用すると、IP Security (IPsec) トンネルの確立、Internet Key Exchange (IKE) ネゴシエーション、デッドピア検出 (DPD) プロトコルメッセージ、ボーダーゲートウェイプロトコル (BGP) ステータス、ルーティングの更新に関する詳細を提供する Site-to-Site VPN 接続ログにアクセスできます。
Site-to-Site VPN ログは Amazon CloudWatch Logs に発行できます。この機能により、単一の一貫した方法で、すべての Site-to-Site VPN 接続の詳細なログにアクセスして分析できます。
トピック
Site-to-Site VPN ログの利点
-
VPN のトラブルシューティングの簡素化: Site-to-Site VPN ログは、 AWS とカスタマーゲートウェイデバイス間の設定の不一致を特定し、最初の VPN 接続の問題に対処するのに役立ちます。VPN 接続は、設定の誤り (不適切なタイムアウトの調整など) が原因で、時間の経過とともに断続的にフラップすることがあります。また、基盤となるトランスポートネットワークに問題 (インターネットの不安定など) が発生したり、ルーティングの変更やパスの障害によって VPN 経由の接続が中断されたりすることがあります。この機能により、断続的な接続障害の原因を正確に診断し、低レベルのトンネル設定を微調整して信頼性の高い動作を実現できます。
-
一元化された AWS Site-to-Site VPN 可視性: Site-to-Site VPN ログは、すべての Site-to-Site VPN 接続タイプにわたってトンネルアクティビティと BGP ルーティングログを提供できます。この機能により、単一の一貫した方法で、すべての Site-to-Site VPN 接続の詳細なログにアクセスして分析できます。
-
セキュリティとコンプライアンス: Site-to-Site VPN ログを Amazon CloudWatch Logs に送信して、VPN 接続のステータスと、時間の経過に伴うアクティビティを遡及的に分析できます。これはコンプライアンスおよび規制要件に準拠するのに役立ちます。
Amazon CloudWatch Logs リソースポリシーのサイズ制限
CloudWatch Logs リソースポリシーは 5120 文字に制限されています。CloudWatch Logs は、ポリシーがこのサイズ制限に近づいていることを検出すると、/aws/vendedlogs/ でスタートするロググループを自動的に有効にします。ログ記録を有効にする場合、Site-to-Site VPN は、指定するロググループで CloudWatch Logs リソースポリシーを更新する必要があります。CloudWatch Logs リソースポリシーのサイズ制限に達しないようにするには、ロググループ名の先頭にプレフィックスとして /aws/vendedlogs/ を付けます。
Site-to-Site VPN ログの内容
Site-to-Site VPN トンネルのアクティビティログに含まれる情報は以下のとおりです。ログストリームファイル名には、VpnConnectionID と TunnelOutsideIPAddress が使用されます。
| フィールド | 説明 |
|---|---|
|
VpnLogCreationTimestamp ( |
エポック時間形式のログ作成タイムスタンプ。 |
|
VpnLogCreationTimestampReadable ( |
人間が読み取れる時間形式のログ作成タイムスタンプ。 |
|
TunnelDPDEnabled ( |
デッドピア検出プロトコルの有効ステータス (True/False)。 |
|
TunnelCGWNATTDetectionStatus ( |
カスタマーゲートウェイデバイスでの NAT-T の検出 (True/False)。 |
|
TunnelIKEPhase1State ( |
IKE フェーズ 1 プロトコル状態 (確立済み | キー更新中 | ネゴシエーション中 | ダウン)。 |
TunnelIKEPhase2State (ike_phase2_state) |
IKE フェーズ 2 プロトコル状態 (確立済み | キー更新中 | ネゴシエーション中 | ダウン)。 |
VpnLogDetail (details) |
IPsec、IKE、および DPD プロトコルの詳細メッセージ。 |
Site-to-Site VPN トンネル BGP ログには、次の情報が含まれています。ログストリームファイル名には、VpnConnectionID と TunnelOutsideIPAddress が使用されます。
| フィールド | 説明 |
|---|---|
|
resource_id |
ログが関連付けられているトンネルと VPN 接続を識別する一意の ID。 |
|
event_timestamp |
エポック時間形式のログ作成タイムスタンプ。 |
|
timestamp |
人間が読み取れる時間形式のログ作成タイムスタンプ。 |
|
型 |
BGP ログイベントのタイプ (BGPStatus | RouteStatus)。 |
|
ステータス |
特定のタイプのログイベントのステータス更新 (BGPStatus: UP | DOWN) (RouteStatus: ADVERTISED {ルートがピアによってアドバタイズされました} | UPDATED: {既存のルートがピアによって更新されました} | WITHDRAWN: {ルートがピアによって取り消されました}) 。 |
| メッセージ | ログの偶数とステータスに関する追加の詳細を提供します。このフィールドは、BGPStatus が RouteStatus メッセージで交換されたルート属性をダウンしている理由を理解するのに役立ちます。 |
IKEv1 エラーメッセージ
| メッセージ | 説明 |
|---|---|
|
ピアが応答しない - ピア停止が宣言される |
ピアが DPD メッセージに応答しなかったため、DPD タイムアウトアクションが強制されます。 |
|
AWS 事前共有キーが無効であるため、トンネルペイロードの復号に失敗しました |
両方の IKE ピアに同じ事前共有キーを設定する必要があります。 |
|
によって提案一致が見つかりませんでした AWS |
フェーズ 1 で提案された属性 (暗号化、ハッシュ、DH グループ) は AWS VPN エンドポイントではサポートされていません。例: |
|
一致する提案が見つかりませんでした。「提案が選択されていません」と通知される |
IKE ピアのフェーズ 2 で正しい提案/ポリシーを設定する必要があることを通知するため、「提案が選択されていません」というエラーメッセージがピア間で交換されます。 |
|
AWS SPI を使用したフェーズ 2 SA のトンネルが DELETE を受信しました: xxxx |
CGW はフェーズ 2 の Delete_SA メッセージを送信しました。 |
|
AWS トンネルが CGW から IKE_SA の DELETE を受信しました |
CGW はフェーズ 1 の Delete_SA メッセージを送信しました。 |
IKEv2 エラーメッセージ
| メッセージ | 説明 |
|---|---|
|
AWS {retry_count} の再送信後にトンネル DPD がタイムアウトしました |
ピアが DPD メッセージに応答しなかったため、DPD タイムアウトアクションが強制されます。 |
|
AWS トンネルが CGW から IKE_SA の DELETE を受信しました |
ピアは親/IKE_SA に Delete_SA メッセージを送信しました。 |
AWS SPI を使用したフェーズ 2 SA のトンネルが DELETE を受信しました: xxxx |
ピアは CHILD_SA に Delete_SA メッセージを送信しました。 |
|
AWS トンネルが (CHILD_REKEY) 衝突を CHILD_DELETE として検出しました |
CGW は Active SA に Delete_SA メッセージを送信しました。このメッセージはキー変更中です。 |
|
AWS 衝突が検出されたため、トンネル (CHILD_SA) 冗長 SA が削除されています |
衝突により、冗長 SA が生成されると、ピアは RFC に従ってノンス値と一致させた後で冗長 SA を閉じます。 |
|
AWS フェーズ 1 を維持中にトンネルフェーズ 2 を確立できませんでした |
提案の誤りなどのネゴシエーションエラーにより、ピアは CHILD_SA を確立できませんでした。 |
AWS: トラフィックセレクタ: TS_UNACCEPLABLE: レスポンダから受信 |
ピアが不正なトラフィックセレクタ/暗号化ドメインを提案しました。ピアは、同一の正しい CIDR で設定する必要があります。 |
AWS トンネルが応答として AUTHENTICATION_FAILED を送信しています |
ピアは IKE_AUTH メッセージ内容の検証によりピアを認証できません |
AWS トンネルが cgw: xxxx との事前共有キーの不一致を検出しました |
両方の IKE ピアに同じ事前共有キーを設定する必要があります。 |
AWS トンネルタイムアウト: cgw: xxxx で確立されていないフェーズ 1 IKE_SA を削除する |
ピアがネゴシエーションを進めていないため、半分開いている IKE_SA を削除しています |
一致する提案が見つかりませんでした。「提案が選択されていません」と通知される |
IKE ピアには正しい提案を設定する必要があることを通知する、「提案が選択されていません」というエラーメッセージがピア間で交換されます。 |
によって提案一致が見つかりませんでした AWS |
フェーズ 1 またはフェーズ 2 (暗号化、ハッシュ、DH グループ) の提案された属性は、 などの AWS VPN エンドポイントではサポートされていません |
IKEv2 ネゴシエーションメッセージ
| メッセージ | 説明 |
|---|---|
|
AWS CREATE_CHILD_SA のトンネル処理リクエスト (id=xxx) |
AWS は CGW から CREATE_CHILD_SA リクエストを受信しました。 |
|
AWS トンネルが CREATE_CHILD_SA のレスポンス (id=xxx) を送信しています |
AWS は CREATE_CHILD_SA レスポンスを CGW に送信しています。 |
AWS トンネルが CREATE_CHILD_SA のリクエストを送信しています (id=xxx) |
AWS は CREATE_CHILD_SA リクエストを CGW に送信しています。 |
|
AWS CREATE_CHILD_SA のトンネル処理レスポンス (id=xxx) |
AWS が CREATE_CHILD_SA レスポンスフォーム CGW を受信しました。 |
BGP ステータスメッセージ
BGP ステータスメッセージには、BGP セッションの状態遷移、プレフィックス制限の警告、制限違反、BGP セッション通知、BGP OPEN メッセージ、および特定の BGP セッションの BGP ネイバーの属性更新に関する情報が含まれます。
| メッセージ | BGP ステータス | 説明 |
|---|---|---|
|
AWS 側のピア BGP セッションの状態がアイドル状態から近隣 {ip: xxx} との接続に変更されました |
ダウン |
AWS 側の BGP 接続状態が Connect に更新されました。 |
|
AWS 側のピア BGP セッションの状態が近隣 {ip: xxx} で Connect から OpenSent に変更されました |
ダウン |
AWS 側の BGP 接続状態が OpenSent に更新されました。 |
|
AWS 側のピア BGP セッションの状態が OpenSent から OpenConfirm にネイバー {ip: xxx} で変更されました |
ダウン |
AWS 側の BGP 接続状態が OpenConfirm に更新されました。 |
|
AWS 側のピア BGP セッションの状態が OpenConfirm から近隣 {ip: xxx} で確立済みに変更されました |
UP |
AWS 側の BGP 接続状態が Established に更新されました。 |
|
AWS 側のピア BGP セッションの状態が、近傍 {ip: xxx} の確立からアイドルに変更されました |
ダウン |
AWS 側の BGP 接続状態がアイドルに更新されました。 |
|
AWS 側のピア BGP セッションの状態が、Connect から Active with neighbor {ip: xxx} に変更されました |
ダウン |
AWS 側の BGP 接続状態が Connect から Active に移行しました。BGP セッションが Connect 状態でスタックしている場合は、CGW の TCP ポート 179 の可用性を確認します。 |
|
AWS 側のピアが最大プレフィックス制限警告を報告しています - 近隣 {ip: xxx} から {prefixes (count): xxx} プレフィックスを受信しました。制限は {limit (数値): xxx} です |
UP |
AWS 側は、CGW から受信したプレフィックスの数が許可された制限に近づくと、定期的にログメッセージを生成します。 |
|
AWS 側のピアが最大プレフィックス制限を超えました - 近隣 {ip: xxx} から {prefixes (count): xxx} プレフィックスを受信しました。制限は {limit (数値): xxx} です |
ダウン |
CGW から受信したプレフィックスの数が許容制限を超えた場合、AWS 側はログメッセージを生成します。 |
|
AWS 側のピアが 6/1 (Cease/Maxim Number of Prefixes Reached) の通知を近隣 {ip: xxx} に送信しました |
ダウン |
AWS 側は、プレフィックス制限違反により BGP セッションが終了したことを示す通知を CGW BGP ピアに送信しました。 |
|
AWS 側のピアが近隣 {ip: xxx} から 6/1 (終了/最大プレフィックス数到達) の通知を受信しました |
ダウン |
AWS 側は CGW ピアから、プレフィックス制限違反により BGP セッションが終了したことを示す通知を受信しました。 |
|
AWS 側のピアが 6/2 (Cease/Administrative Shutdown) に通知を近隣 {ip: xxx} に送信しました |
ダウン |
AWS 側は、BGP セッションが終了したことを示す通知を CGW BGP ピアに送信しました。 |
|
AWS 側のピアが近隣 {ip: xxx} から 6/2 (Cease/Administrative Shutdown) の通知を受信しました |
ダウン |
AWS 側は CGW ピアから BGP セッションが終了したことを示す通知を受信しました。 |
|
AWS 側のピアが 6/3 (Cease/Peer Unconfigured) の通知を近隣 {ip: xxx} に送信しました |
ダウン |
AWS 側は、ピアが設定されていないか、設定から削除されたことを示す通知を CGW ピアに送信しました。 |
|
AWS 側のピアが近隣 {ip: xxx} から 6/3 (Cease/Peer Unconfigured) の通知を受信しました |
ダウン |
AWS 側は CGW ピアから、ピアが設定されていないか、設定から削除されたことを示す通知を受信しました。 |
|
AWS 側のピアが 6/4 (Cease/Administrative Reset) の通知を近隣 {ip: xxx} に送信しました |
ダウン |
AWS 側は、BGP セッションがリセットされたことを示す通知を CGW BGP ピアに送信しました。 |
|
AWS 側のピアが近隣 {ip: xxx} から 6/4 (Cease/Administrative Reset) の通知を受信しました |
ダウン |
AWS 側は CGW ピアから BGP セッションがリセットされたことを示す通知を受信しました。 |
|
AWS 側のピアが 6/5 (Cease/Connection Rejected) に通知を近隣 {ip: xxx} に送信しました |
ダウン |
AWS 側は、BGP セッションが拒否されたことを示す通知を CGW BGP ピアに送信しました。 |
|
AWS 側のピアが近隣 {ip: xxx} から 6/5 (Cease/Connection Rejected) の通知を受信しました |
ダウン |
AWS 側は CGW ピアから BGP セッションが拒否されたことを示す通知を受信しました。 |
|
AWS 側のピアが 6/6 (Cease/Other Configuration Change) に通知を近隣 {ip: xxx} に送信しました |
ダウン |
AWS 側は、BGP セッション設定の変更が行われたことを示す通知を CGW BGP ピアに送信しました。 |
|
AWS 側のピアが近隣 {ip: xxx} から 6/6 (Cease/Other Configuration Change) の通知を受信しました |
ダウン |
AWS 側は CGW ピアから BGP セッション設定の変更が行われたことを示す通知を受信しました。 |
|
AWS 側のピアが 6/7 (Cease/Connection Collision Resolution) の通知を近隣 {ip: xxx} に送信しました |
ダウン |
AWS 側は、両方のピアが同時に接続を確立しようとしたときに接続の衝突を解決するために、CGW ピアに通知を送信しました。 |
|
AWS 側のピアが近隣 {ip: xxx} から 6/7 (Cease/Connection Collision Resolution) の通知を受信しました |
ダウン |
AWS 側は、両方のピアが同時に接続を確立しようとしたときに、接続の衝突が解決されたことを示す通知を CGW ピアから受信しました。 |
|
AWS 側のピアが保留タイマーの有効期限が切れた通知を近隣 {ip: xxx} に送信しました |
ダウン |
BGP 保留タイマーの有効期限が切れ、AWS 側から CGW に通知が送信されました。 |
|
AWS 側のピアが近隣 {ip: xxx} から不正な OPEN メッセージを検出しました。リモート AS は {asn: xxx}、予想 {asn: xxx} |
ダウン |
AWS 側で、設定の不一致を示す不正な OPEN メッセージが CGW ピアから受信されていることが検出されました。 |
|
AWS 側のピアが近隣 {ip: xxx}- バージョン 4、AS {asn: xxx}、ホールドタイム {holdtime (秒): xxx}、ルーター ID {id: xxx}} から OPEN メッセージを受信しました |
ダウン |
AWS 側は、CGW ピアとの BGP セッションを開始するための BGP オープンメッセージを受信しました。 |
|
AWS 側のピアが近隣 {ip: xxx}- バージョン 4、AS {asn: xxx}、ホールドタイム {holdtime (秒): xxx}、ルーター ID {id: xxx} に OPEN メッセージを送信しました |
ダウン |
CGW ピアは BGP オープンメッセージを送信して、AWS 側の BGP ピアとの BGP セッションを開始しました。 |
|
AWS 側のピアが (Connect 経由で) 近隣 {ip: xxx} への接続を開始しています |
ダウン |
AWS 側が CGW BGP ネイバーに接続しようとしています。 |
|
AWS 側のピアが近隣 {ip: xxx} に End-of-RIB メッセージを送信しました |
UP |
AWS 側は、BGP セッションの確立後に CGW へのルートの送信を完了しました。 |
|
AWS 側のピアが近隣 {ip: xxx}- AS パス: {aspath (リスト): xxx xxx xxx} からの属性で更新を受信しました |
UP |
AWS 側が近隣から BGP セッション属性の更新を受信しました。 |
ルートステータスメッセージ
BGP ステータスメッセージとは異なり、ルートステータスメッセージには、AS パス、ローカル設定、マルチエグジット識別子 (MED)、ネクストホップ IP アドレス、重みなど、特定のプレフィックスの BGP 属性に関するデータが含まれます。ルートステータスメッセージには、ADVERTISED、UPDATED、または WITHDRAWN のルートでエラーが発生した場合にのみ、詳細フィールドが含まれます。その例を以下に示します。
| メッセージ | 説明 |
|---|---|
|
「as-path contains our own AS」による拒否 |
CGW からの新しいプレフィックスの BGP 更新メッセージは、AWS 側のピアが所有する AS を含むルートのため、AWS によって拒否されました。 |
|
による拒否: 接続されていないネクストホップ |
接続されていないネクストホップ検証の失敗により、AWS は CGW からプレフィックスの BGP ルートアドバタイズを拒否しました。ルートが CGW 側で到達可能であることを確認します。 |
トンネル BGP ログのログ形式の例
{ "resource_id": "vpn-1234abcd_1.2.3.4", "event_timestamp": 1762580429641, "timestamp": "2025-11-08 05:40:29.641Z", "type": "BGPStatus", "status": "UP", "message": { "details": "AWS-side peer BGP session state has changed from OpenConfirm to Established with neighbor 169.254.50.85" } } { "resource_id": "vpn-1234abcd_1.2.3.4", "event_timestamp": 1762579573243, "timestamp": "2025-11-08 05:26:13.243Z", "type": "RouteStatus", "status": "UPDATED", "message": { "prefix": "172.31.0.0/16", "asPath": "64512", "localPref": 100, "med": 100, "nextHopIp": "169.254.50.85", "weight": 32768, "details": "DENIED due to: as-path contains our own AS" } }
CloudWatch Logs に発行するための IAM 要件
ログ機能が正しく動作するためには、機能の設定に使用されている IAM プリンシパルにアタッチされた IAM ポリシーに、少なくとも以下のアクセス許可が含まれている必要があります。詳細については、Amazon CloudWatch Logs ユーザーガイド」の「特定の AWS サービスからのログ記録の有効化」セクションにも記載されています。
