AWS Site-to-Site VPNLogs do
Os logs AWS Site-to-Site VPN fornecem uma visibilidade mais detalhada das implantações da Site-to-Site VPN. Com esse recurso, você pode ter acesso a logs de conexão da Site-to-Site VPN que fornecem detalhes sobre estabelecimento do túnel de segurança IP (IPsec), negociações do Internet Key Exchange (IKE) e mensagens de protocolo Dead Peer Detection (DPD).
Os logs da Site-to-Site VPN podem ser publicados no Amazon CloudWatch Logs. Esse recurso fornece aos clientes uma maneira única e consistente de acessar e analisar logs detalhados de todas as conexões da Site-to-Site VPN.
Benefícios dos logs da Site-to-Site VPN
-
Solução de problemas simplificada de VPN: os logs da Site-to-Site VPN ajudam a identificar incompatibilidades de configuração entre a AWS e o dispositivo de gateway do cliente e a solucionar problemas iniciais de conectividade VPN. As conexões VPN podem oscilar intermitentemente ao longo do tempo devido a configurações incorretas (como tempos limite mal ajustados). Pode haver problemas nas redes de transporte subjacentes (como clima da Internet) ou alterações de roteamento ou falhas de caminho podem provocar interrupção da conectividade pela VPN. Esse recurso permite diagnosticar com precisão a causa de falhas de conexão intermitentes e ajustar a configuração do túnel de baixo nível para uma operação confiável.
-
Visibilidade centralizada do AWS Site-to-Site VPN: Os logs da Site-to-Site VPN podem fornecer logs de atividade do túnel para todas as diferentes maneiras pelas quais o Site-to-Site VPN está conectado (gateway virtual, Transit Gateway e CloudHub), usando a Internet e o Direct Connect como transporte. Esse recurso fornece aos clientes uma maneira única e consistente de acessar e analisar logs detalhados de todas as conexões da Site-to-Site VPN.
-
Segurança e conformidade: os logs da Site-to-Site VPN podem ser enviados ao Amazon CloudWatch Logs para análise retrospectiva do status e da atividade da conexão VPN ao longo do tempo. Isso pode ajudar você a atender a requisitos de conformidade e regulamentares.
Restrições de tamanho de políticas de recursos do Amazon CloudWatch Logs
As políticas de recursos do CloudWatch Logs são limitadas a 5.120 caracteres. Quando o CloudWatch Logs detecta que uma política se aproxima desse limite de tamanho, ele ativa automaticamente grupos de logs que começam com /aws/vendedlogs/. Quando você habilita o registro em log, o Site-to-Site VPN precisa atualizar sua política de recursos do CloudWatch Logs com o grupo de logs que você especificar. Para evitar que o limite de tamanho de políticas de recursos do CloudWatch Logs seja atingido, insira o prefixo /aws/vendedlogs/ nos nomes de grupos de logs.
Conteúdo dos logs da Site-to-Site VPN
As informações a seguir estão incluídas no log de atividades do túnel da Site-to-Site VPN. O nome do arquivo de fluxo de logs VpnConnectionID and TunnelOutsideIPAddress.
| Campo | Descrição |
|---|---|
|
VpnLogCreationTimestamp ( |
Carimbo de data/hora de criação do log em formato legível por humanos. |
|
TunnelDPDEnabled ( |
Status habilitado do protocolo Dead Peer Detection (True/False). |
|
TunnelCGWNATTDetectionStatus ( |
NAT-T detectado no dispositivo de gateway do cliente (True/False). |
|
TunnelIKEPhase1State ( |
Estado do protocolo IKE Fase 1 (Established | Rekeying | Negotiating | Down). |
TunnelIKEPhase2State (ike_phase2_state) |
Estado do protocolo IKE Fase 2 (Established | Rekeying | Negotiating | Down). |
VpnLogDetail (details) |
Mensagens detalhadas para protocolos IPsec, IKE e DPD. |
Mensagens de erro do IKEv1
| Mensagem | Explicação |
|---|---|
|
O par não responde: declaração de par desativado |
O par não respondeu às mensagens de DPD, aplicando a ação de tempo limite de DPD. |
|
A decodificação da carga útil do túnel da AWS não teve êxito devido a uma chave pré-compartilhada inválida |
A mesma chave pré-compartilhada precisa ser configurada em ambos os pares do IKE. |
|
Nenhuma proposta correspondente encontrada pela AWS |
Os atributos propostos para a fase 1 (criptografia, hashing e grupo DH) não são compatíveis com o AWS VPN Endpoint. Por exemplo, |
|
Nenhuma proposta correspondente encontrada. Notificação com “Nenhuma proposta escolhida” |
Nenhuma mensagem de erro da proposta escolhida é trocada entre os pares para informar que as propostas/políticas corretas devem ser configuradas para a fase 2 em pares do IKE. |
|
O túnel da AWS recebeu DELETE para a Fase 2 SA com SPI: xxxx |
O CGW enviou a mensagem Delete_SA para a Fase 2. |
|
O túnel da AWS recebeu DELETE para IKE_SA de CGW |
O CGW enviou a mensagem Delete_SA para a Fase 1. |
Mensagens de erro do IKEv2
| Mensagem | Explicação |
|---|---|
|
O DPD do túnel da AWS atingiu o tempo limite após {retry_count} retransmissões |
O par não respondeu às mensagens de DPD, aplicando a ação de tempo limite de DPD. |
|
O túnel da AWS recebeu DELETE para IKE_SA de CGW |
O par enviou a mensagem Delete_SA para Parent/IKE_SA. |
O túnel da AWS recebeu DELETE para a Fase 2 SA com SPI: xxxx |
O par enviou a mensagem Delete_SA para CHILD_SA. |
|
O túnel da AWS detectou uma colisão (CHILD_REKEY) como CHILD_DELETE |
O CGW enviou a mensagem Delete_SA para o SA ativo, que está sendo recodificado. |
|
O SA redundante do túnel da AWS (CHILD_SA) está sendo excluído devido à colisão detectada |
Devido à colisão, se SAs redundantes forem gerados, os pares fecharão o SA redundante depois de combinar os valores de nonce de acordo com a RFC. |
|
A Fase 2 do túnel da AWS não foi estabelecida enquanto mantinha a Fase 1 |
O par não conseguiu estabelecer CHILD_SA devido a um erro de negociação; por exemplo, proposta incorreta. |
AWS: seletor de tráfego: TS_UNACCEPTABLE: recebido do respondente |
O par propôs seletores de tráfego/domínio de criptografia incorretos. Os pares devem ser configurados com CIDRs idênticos e corretos. |
O túnel da AWS está enviando AUTHENTICATION_FAILED como resposta |
O par não consegue autenticar o par verificando o conteúdo da mensagem IKE_AUTH |
O túnel da AWS detectou uma incompatibilidade de chave pré-compartilhada com cgw: xxxx |
A mesma chave pré-compartilhada precisa ser configurada em ambos os pares do IKE. |
Tempo limite do túnel da AWS: excluindo a Fase 1 não estabelecida IKE_SA com cgw: xxxx |
A exclusão do IKE_SA semiaberto como par não prosseguiu com as negociações |
Nenhuma proposta correspondente encontrada. Notificação com “Nenhuma proposta escolhida” |
Nenhuma mensagem de erro da proposta escolhida é trocada entre os pares para informar que as propostas corretas devem ser configuradas em pares do IKE. |
Nenhuma proposta correspondente encontrada pela AWS |
Os atributos propostos para a Fase 1 ou Fase 2 (criptografia, hash e grupo DH) não são suportados pelo AWS VPN Endpoint. Por exemplo, |
Mensagens de negociação do IKEv2
| Mensagem | Explicação |
|---|---|
|
O túnel da AWS processou a solicitação (id=xxx) para CREATE_CHILD_SA |
A AWS recebeu a solicitação CREATE_CHILD_SA de CGW. |
|
O túnel da AWS está enviando a resposta (id=xxx) para CREATE_CHILD_SA |
A AWS está enviando a resposta CREATE_CHILD_SA para CGW. |
O túnel da AWS está enviando a solicitação (id=xxx) para CREATE_CHILD_SA |
A AWS está enviando a solicitação CREATE_CHILD_SA para CGW. |
|
O túnel da AWS processou a resposta (id=xxx) para CREATE_CHILD_SA |
A AWS recebeu a resposta CREATE_CHILD_SA de CGW. |
Requisitos do IAM para publicar no CloudWatch Logs
Para que o recurso de log funcione corretamente, a política do IAM anexada à entidade principal do IAM que está sendo usada para configurar o recurso deve incluir, no mínimo, as permissões a seguir. Mais detalhes também podem ser encontrados na seção Habilitar o registro em log de determinados produtos da AWS do Guia do usuário do Amazon CloudWatch Logs.
