AWS Site-to-Site VPN ログ - AWS Site-to-Site VPN
Site-to-Site VPN ログの利点Amazon CloudWatch Logs リソースポリシーのサイズ制限Site-to-Site VPN ログの内容CloudWatch Logs に発行するための IAM 要件

AWS Site-to-Site VPN ログ

AWS Site-to-Site VPN ログにより、Site-to-Site VPN のデプロイの可視性を高めることができます。この機能を使用すると、IP セキュリティ (IPsec)トンネル確立、インターネットキー交換 (IKE) ネゴシエーション、およびデッドピア検出 (DPD) プロトコルメッセージの詳細を示す Site-to-Site VPN 接続ログにアクセスできます。

Site-to-Site VPN ログは Amazon CloudWatch Logs に発行できます。この機能により、単一の一貫した方法で、すべての Site-to-Site VPN 接続の詳細なログにアクセスして分析できます。

トピック

Site-to-Site VPN ログの利点

  • VPN のトラブルシューティングの簡素化: Site-to-Site VPN ログを利用すると、AWS およびカスタマーゲートウェイデバイス間の設定の不一致を正確に特定し、VPN 接続の初期の問題に対処できます。VPN 接続は、設定の誤り (不適切なタイムアウトの調整など) が原因で、時間の経過とともに断続的にフラップすることがあります。また、基盤となるトランスポートネットワークに問題 (インターネットの不安定など) が発生したり、ルーティングの変更やパスの障害によって VPN 経由の接続が中断されたりすることがあります。この機能により、断続的な接続障害の原因を正確に診断し、低レベルのトンネル設定を微調整して信頼性の高い動作を実現できます。

  • AWS Site-to-Site VPN の一元的な可視化: Site-to-Site VPN ログは、インターネットと Direct Connect の両方をトランスポートとして使用し、Site-to-Site VPN のすべての異なる接続方法 (仮想ゲートウェイ、Transit Gateway、CloudHub) に関するトンネルアクティビティのログを提供します。この機能により、単一の一貫した方法で、すべての Site-to-Site VPN 接続の詳細なログにアクセスして分析できます。

  • セキュリティとコンプライアンス: Site-to-Site VPN ログを Amazon CloudWatch Logs に送信して、VPN 接続のステータスと、時間の経過に伴うアクティビティを遡及的に分析できます。これはコンプライアンスおよび規制要件に準拠するのに役立ちます。

Amazon CloudWatch Logs リソースポリシーのサイズ制限

CloudWatch Logs リソースポリシーは 5120 文字に制限されています。CloudWatch Logs は、ポリシーがこのサイズ制限に近づいていることを検出すると、/aws/vendedlogs/ でスタートするロググループを自動的に有効にします。ログ記録を有効にする場合、Site-to-Site VPN は、指定するロググループで CloudWatch Logs リソースポリシーを更新する必要があります。CloudWatch Logs リソースポリシーのサイズ制限に達しないようにするには、ロググループ名の先頭にプレフィックスとして /aws/vendedlogs/ を付けます。

Site-to-Site VPN ログの内容

Site-to-Site VPN トンネルのアクティビティログに含まれる情報は以下のとおりです。ログストリームファイル名には、VpnConnectionID と TunnelOutsideIPAddress が使用されます。

フィールド 説明

VpnLogCreationTimestamp (event_timestamp)

人間が読める形式でのログ作成タイムスタンプ。

TunnelDPDEnabled (dpd_enabled)

デッドピア検出プロトコルの有効ステータス (True/False)。

TunnelCGWNATTDetectionStatus (nat_t_detected)

 カスタマーゲートウェイデバイスでの NAT-T の検出 (True/False)。

TunnelIKEPhase1State (ike_phase1_state)

 IKE フェーズ 1 プロトコル状態 (確立済み | キー更新中 | ネゴシエーション中 | ダウン)。
TunnelIKEPhase2State (ike_phase2_state) IKE フェーズ 2 プロトコル状態 (確立済み | キー更新中 | ネゴシエーション中 | ダウン)。
VpnLogDetail (details) IPsec、IKE、および DPD プロトコルの詳細メッセージ。

IKEv1 エラーメッセージ

メッセージ 説明

ピアが応答しない - ピア停止が宣言される

ピアが DPD メッセージに応答しなかったため、DPD タイムアウトアクションが強制されます。

事前共有キーが無効なため、AWS トンネルペイロードの復号に失敗しました

両方の IKE ピアに同じ事前共有キーを設定する必要があります。

AWS によって、一致する提案が見つかりませんでした

フェーズ 1 で提案された属性 (暗号化、ハッシュ、DH グループ) は AWS VPN エンドポイントではサポートされていません。例: 3DES

一致する提案が見つかりませんでした。「提案が選択されていません」と通知される

IKE ピアのフェーズ 2 で正しい提案/ポリシーを設定する必要があることを通知するため、「提案が選択されていません」というエラーメッセージがピア間で交換されます。

AWS トンネルは、SPI: xxxx を含むフェーズ 2 SA の DELETE を受信しました

 CGW はフェーズ 2 の Delete_SA メッセージを送信しました。

AWS トンネルは CGW から IKE_SA の DELETE を受信しました

 CGW はフェーズ 1 の Delete_SA メッセージを送信しました。

IKEv2 エラーメッセージ

メッセージ 説明

{retry_count} 回の再送信後に AWS トンネル DPD がタイムアウトしました

ピアが DPD メッセージに応答しなかったため、DPD タイムアウトアクションが強制されます。

AWS トンネルは CGW から IKE_SA の DELETE を受信しました

ピアは親/IKE_SA に Delete_SA メッセージを送信しました。

AWS トンネルは、SPI: xxxx を含むフェーズ 2 SA の DELETE を受信しました

ピアは CHILD_SA に Delete_SA メッセージを送信しました。

AWS トンネルは、CHILD_DELETE として (CHILD_REKEY) の衝突を検出しました

CGW は Active SA に Delete_SA メッセージを送信しました。このメッセージはキー変更中です。

衝突が検出されたため、AWS トンネル (CHILD_SA) 冗長 SA を削除中です

衝突により、冗長 SA が生成されると、ピアは RFC に従ってノンス値と一致させた後で冗長 SA を閉じます。

フェーズ 1 を維持している間は、AWS トンネルフェーズ 2 を確立できませんでした

提案の誤りなどのネゴシエーションエラーにより、ピアは CHILD_SA を確立できませんでした。

AWS: トラフィックセレクタ: TS_UNACCEPLABLE: レスポンダから受信

ピアが不正なトラフィックセレクタ/暗号化ドメインを提案しました。ピアは、同一の正しい CIDR で設定する必要があります。

AWS トンネルはレスポンスとして AUTHENTICATION_FAILED を送信しています

ピアは IKE_AUTH メッセージ内容の検証によりピアを認証できません

AWS トンネルは cgw: xxxx との事前共有キーの不一致を検出しました

両方の IKE ピアに同じ事前共有キーを設定する必要があります。

AWS トンネルタイムアウト: cgw: xxxx を含む、確立されていないフェーズ 1 IKE_SA を削除しています

ピアがネゴシエーションを進めていないため、半分開いている IKE_SA を削除しています

一致する提案が見つかりませんでした。「提案が選択されていません」と通知される

IKE ピアには正しい提案を設定する必要があることを通知する、「提案が選択されていません」というエラーメッセージがピア間で交換されます。

AWS によって、一致する提案が見つかりませんでした

フェーズ 1 またはフェーズ 2 で提案された属性 (暗号化、ハッシュ、DH グループ) は AWS VPN エンドポイントではサポートされていません。例: 3DES

IKEv2 ネゴシエーションメッセージ

メッセージ 説明

AWS トンネルは、CREATE_CHILD_SA のリクエスト (id=xxx) を処理しました

AWS は、CGW から CREATE_CHILD_SA リクエストを受信しました。

AWS トンネルは、CREATE_CHILD_SA のレスポンス (id=xxx) を送信しています

AWS は、CREATE_CHILD_SA レスポンスを CGW に送信しています。

AWS トンネルは、CREATE_CHILD_SA のリクエスト (id=xxx) を送信しています

AWS は、CREATE_CHILD_SA リクエストを CGW に送信しています。

AWS トンネルは、CREATE_CHILD_SA のレスポンス (id=xxx) を処理しました

AWS は、CGW から CREATE_CHILD_SA レスポンスを受信しました。

CloudWatch Logs に発行するための IAM 要件

ログ機能が正しく動作するためには、機能の設定に使用されている IAM プリンシパルにアタッチされた IAM ポリシーに、少なくとも以下のアクセス許可が含まれている必要があります。詳細については、「Amazon CloudWatch Logs ユーザーガイド」の「特定の AWS のサービスからのログの記録を有効にする」セクションにも記載されています。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}