AWS_Site-to-Site_VPN_日志

AWS Site-to-Site VPN 日志可让您更深入地了解 Site-to-Site VPN 部署。使用此功能,您可以访问 Site-to-Site VPN 连接日志,这些日志提供有关 IP 安全性(IPsec)隧道建立、互联网密钥交换(IKE)协商和失效对端检测(DPD)协议消息的详细信息。

可将 Site-to-Site VPN 日志发布到 Amazon CloudWatch Logs。此功能为客户提供了一种一致的方式来访问和分析其所有 Site-to-Site VPN 连接的详细日志。

目录

Site-to-Site VPN 日志的优势

  • 简化 VPN 故障排除:Site-to-Site VPN 日志可帮助您查明 AWS 与客户网关设备之间的配置不匹配情况,并解决初始 VPN 连接问题。VPN 连接可能由于设置配置错误(例如超时调整不当)而随时间推移发生间歇性抖动,底层传输网络中可能存在问题(例如互联网天气),或者路由更改或路径故障可能导致通过 VPN 的连接中断。此功能可让您准确地诊断间歇性连接故障的原因,并微调低级别隧道配置以实现可靠运行。
  • 集中式 AWS Site-to-Site VPN 可见性:Site-to-Site VPN 日志可以为用于连接 Site-to-Site VPN 的所有不同方式提供隧道活动日志:虚拟网关、中转网关和 CloudHub(使用互联网和 AWS Direct Connect 这两者作为传输途径)。此功能为客户提供了一种一致的方式来访问和分析其所有 Site-to-Site VPN 连接的详细日志。
  • 安全性与合规性:Site-to-Site VPN 日志可以发送到 Amazon CloudWatch Logs,以便对一段时间内的 VPN 连接状态和活动进行回顾性分析。这可以帮助您满足合规性和法规要求。

Amazon CloudWatch Logs 资源策略大小限制

CloudWatch Logs 资源策略限制为 5120 个字符。当 CloudWatch Logs 检测到策略接近此大小限制时,它会自动启用以 /aws/vendedlogs/ 开头的日志组。启用日志记录时,Site-to-Site VPN 必须使用您指定的日志组更新 CloudWatch Logs 资源策略。为避免达到 CloudWatch Logs 资源策略大小限制,请在日志组名称前加上 /aws/vendedlogs/ 前缀。

发布到 CloudWatch Logs 的 IAM 要求

VPN 隧道日志可直接发布到 CloudWatch Logs。要使其正常工作,附加到 IAM 角色的 IAM policy 必须至少包括下面所示的权限。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}

查看 Site-to-Site VPN 日志配置

查看当前隧道日志记录设置
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/。
  2. 在导航窗格中,选择 Site-to-Site VPN Connections(Site-to-Site VPN 连接)。
  3. VPN connections(VPN 连接)列表中选择要查看的 VPN 连接。
  4. 选择 Tunnel details(隧道详细信息)选项卡。
  5. 展开 Tunnel 1 options(隧道 1 选项)和 Tunnel 2 options(隧道 2 选项)部分,以查看所有隧道配置详细信息。
  6. 您可以在 Tunnel VPN log(隧道 VPN 日志)下查看日志记录功能的当前状态,并在 CloudWatch log group(CloudWatch 日志组)下查看当前配置的 CloudWatch 日志组(如果有)。
使用 AWS 命令行或 API 查看有关 Site-to-Site VPN 连接的当前隧道日志记录设置

启用 Site-to-Site VPN 日志

注意

当您为现有 VPN 连接隧道启用 Site-to-Site VPN 日志时,通过该隧道的连接可能会中断几分钟。但是,每个 VPN 连接都提供两条隧道以实现高可用性,因此,您可以一次对一条隧道启用日志记录,同时保持通过此隧道的连接不被修改。有关更多信息,请参阅 站点到站点 VPN 隧道终端节点替换

创建新的 Site-to-Site VPN 连接时启用 VPN 日志记录

按照创建 Site-to-Site VPN 连接过程操作。在步骤 9 Tunnel Options(隧道选项)期间,您可以指定要用于这两条隧道的所有选项,包括 VPN logging(VPN 日志记录)选项。有关这些选项的详细信息,请参阅 站点到站点 VPN 连接的隧道选项

使用 AWS 命令行或 API 对新的 Site-to-Site VPN 连接启用隧道日志记录
对现有 Site-to-Site VPN 连接启用隧道日志记录
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/。
  2. 在导航窗格中,选择 Site-to-Site VPN Connections(Site-to-Site VPN 连接)。
  3. VPN connections(VPN 连接)列表中选择要修改的 VPN 连接。
  4. 依次选择 Actions(操作)、Modify VPN tunnel options(修改 VPN 隧道选项)。
  5. 通过从 VPN tunnel outside IP address(VPN 隧道外部 IP 地址)列表中选择适当的 IP 地址,选择要修改的隧道。
  6. Tunnel activity log(隧道活动日志)下,选择 Enable(启用)。
  7. Amazon CloudWatch log group(Amazon CloudWatch 日志组)下,选择要将日志发送到的 Amazon CloudWatch 日志组。
  8. (可选)在 Output format(输出格式)下,选择日志输出的所需格式:jsontext(文本)。
  9. 选择 Save changes(保存更改)。
  10. (可选)如果需要,对其它隧道重复步骤 4 到 9。
使用 AWS 命令行或 API 对现有 Site-to-Site VPN 连接启用隧道日志记录

禁用 Site-to-Site VPN 日志

对 Site-to-Site VPN 连接禁用隧道日志记录
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/。
  2. 在导航窗格中,选择 Site-to-Site VPN Connections(Site-to-Site VPN 连接)。
  3. VPN connections(VPN 连接)列表中选择要修改的 VPN 连接。
  4. 依次选择 Actions(操作)、Modify VPN tunnel options(修改 VPN 隧道选项)。
  5. 通过从 VPN tunnel outside IP address(VPN 隧道外部 IP 地址)列表中选择适当的 IP 地址,选择要修改的隧道。
  6. Tunnel activity log(隧道活动日志)下,清除 Enable(启用)。
  7. 选择 Save changes(保存更改)。
  8. (可选)如果需要,对其它隧道重复步骤 4 到 7。
使用 AWS 命令行或 API 对 Site-to-Site VPN 连接禁用隧道日志记录
CLOUD
#AWS #VPN
AWS_Site-to-Site_VPN_日志
https://johnnysxy.github.io/2023/04/25/AWS-Site-to-Site-VPN-日志/
作者
Johnny Song
发布于
2023年4月25日
许可协议