Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS Site-to-Site VPN registri
AWS Site-to-Site VPN i log ti offrono una visibilità più approfondita sulle tue implementazioni Site-to-Site VPN. Con questa funzionalità, hai accesso ai registri delle connessioni Site-to-Site VPN che forniscono dettagli sulla creazione del tunnel IP Security (IPsec), sulle negoziazioni Internet Key Exchange (IKE), sui messaggi del protocollo Dead Peer Detection (DPD), sullo stato del protocollo Border Gateway (BGP) e sugli aggiornamenti del routing.
Site-to-Site I log VPN possono essere pubblicati su Amazon CloudWatch Logs. Questa funzionalità offre ai clienti un unico modo coerente per accedere e analizzare i log dettagliati di tutte le loro Site-to-Site connessioni VPN.
Vantaggi dei log Site-to-Site VPN
-
Risoluzione dei problemi VPN semplificata: i log Site-to-Site VPN aiutano a individuare le discrepanze di configurazione tra il dispositivo gateway del cliente e il dispositivo gateway del cliente AWS e a risolvere i problemi iniziali di connettività VPN. Le connessioni VPN possono funzionare in modo intermittente a causa della configurazione errata delle impostazioni (ad esempio timeout mal regolati), possono verificarsi problemi nelle reti di trasporto sottostanti (come il meteo Internet) o modifiche di routing o errori di percorso possono causare l'interruzione della connettività su VPN. Questa caratteristica consente di diagnosticare con precisione la causa degli errori di connessione intermittente e di mettere a punto la configurazione del tunnel di basso livello per un funzionamento affidabile.
-
AWS Site-to-Site VPN Visibilità centralizzata: i log Site-to-Site VPN possono fornire l'attività del tunnel e i log di routing BGP su tutti i tipi di connessione VPN. Site-to-Site Questa funzionalità offre ai clienti un unico modo coerente per accedere e analizzare i log dettagliati per tutte le loro connessioni VPN. Site-to-Site
-
Sicurezza e conformità: i log Site-to-Site VPN possono essere inviati ad Amazon CloudWatch Logs per un'analisi retrospettiva dello stato e dell'attività della connessione VPN nel tempo. Ciò consente di soddisfare i requisiti normativi e di conformità.
Restrizioni sulle dimensioni della politica delle risorse di Amazon CloudWatch Logs
CloudWatch Le politiche relative alle risorse di Logs sono limitate a 5120 caratteri. Quando CloudWatch Logs rileva che una policy si avvicina a questo limite di dimensione, abilita automaticamente i gruppi di log che iniziano con. /aws/vendedlogs/ Quando abiliti la registrazione, Site-to-Site VPN deve aggiornare la politica delle risorse CloudWatch Logs con il gruppo di log specificato. Per evitare di raggiungere il limite di dimensione della politica delle risorse CloudWatch Logs, inserisci come prefisso i nomi dei gruppi di log con. /aws/vendedlogs/
Site-to-Site Contenuti dei log VPN
Le seguenti informazioni sono incluse nel registro delle attività del tunnel Site-to-Site VPN. Il nome del file del flusso di registro utilizza VpnConnection ID e TunnelOutsideIPAddress.
| Campo | Description |
|---|---|
|
VpnLogCreationTimestamp ( |
Timestamp di creazione del registro in formato epoch time. |
|
VpnLogCreationTimestampReadable ( |
Timestamp di creazione del registro in formato orario leggibile dall'uomo. |
|
Tunnel () DPDEnabled |
Stato abilitato del protocollo Dead Peer Detection (True/False). |
|
CGWNATTDetectionStato del tunnel ( |
NAT-T rilevato sul dispositivo gateway del cliente (True/False). |
|
IKEPhase1Stato del tunnel ( |
Stato del protocollo IKE Fase 1 (Established | Rekeying | Negotiating | Down). |
IKEPhase2Stato del tunnel (ike_phase2_state) |
Stato del protocollo IKE Fase 2 (Established | Rekeying | Negotiating | Down). |
VpnLogDetail (details) |
Messaggi dettagliati per i IPsec protocolli IKE e DPD. |
Le seguenti informazioni sono incluse nel registro BGP del tunnel Site-to-Site VPN. Il nome del file del flusso di registro utilizza VpnConnection ID e. TunnelOutside IPAddress
| Campo | Description |
|---|---|
|
resource_id |
Un ID univoco per identificare il tunnel e la connessione VPN a cui è associato il registro. |
|
event_timestamp |
Timestamp di creazione del registro in formato epoch time. |
|
timestamp |
Timestamp di creazione del registro in formato orario leggibile dall'uomo. |
|
tipo |
Tipo di evento di registro BGP (|). BGPStatus RouteStatus |
|
status |
aggiornamento dello stato per un tipo specifico di evento di registro (BGPStatus: UP | DOWN) (RouteStatus: ADVERTISED {il percorso è stato pubblicizzato dal peer} | AGGIORNATO: {il percorso esistente è stato aggiornato dal peer} | RITIRATO: {il percorso è stato ritirato dal peer}). |
| message | Fornisce dettagli aggiuntivi sull'evento e sullo stato del registro. Questo campo ti aiuterà a capire BGPStatus perché gli attributi del percorso sono stati scambiati nel RouteStatus messaggio. |
Indice
IKEv1 Messaggi di errore
| Messaggio | Spiegazione |
|---|---|
|
Il peer non risponde - Dichiarazione di peer morto |
Peer non ha risposto ai messaggi DPD, imponendo un'azione di timeout DPD. |
|
AWS la decrittografia del payload del tunnel non è riuscita a causa di una chiave precondivisa non valida |
La stessa chiave precondivisa deve essere configurata su entrambi i peer IKE. |
|
Nessuna proposta corrispondente trovata da AWS |
Gli attributi proposti per la fase 1 (crittografia, hashing e gruppo DH) non sono supportati da AWS VPN Endpoint, ad esempio. |
|
Nessuna corrispondenza proposta trovata. Notifica con "Nessuna proposta scelta" |
Il messaggio di errore No Proposal Chosen viene scambiato tra i peer per informare che la corretta configurazione per la fase 2 su IKE Peers Proposals/Policies deve essere configurata. |
|
AWS tunnel ha ricevuto DELETE per Phase 2 SA con SPI: xxxx |
CGW ha inviato il messaggio Delete_SA per la Fase 2. |
|
AWS tunnel ha ricevuto DELETE per IKE_SA da CGW |
CGW ha inviato il messaggio Delete_SA per la Fase 1. |
IKEv2 Messaggi di errore
| Messaggio | Spiegazione |
|---|---|
|
AWS Il timeout del tunnel DPD è scaduto dopo la ritrasmissione di {retry_count} |
Peer non ha risposto ai messaggi DPD, imponendo un'azione di timeout DPD. |
|
AWS tunnel ha ricevuto DELETE per IKE_SA da CGW |
Peer ha inviato il messaggio Delete_SA per Parent/IKE_SA. |
AWS tunnel ha ricevuto DELETE per Phase 2 SA con SPI: xxxx |
Peer ha inviato il messaggio Delete_SA per CHILD_SA. |
|
AWS il tunnel ha rilevato una collisione (CHILD_REKEY) come CHILD_DELETE |
CGW ha inviato il messaggio Delete_SA per Active SA, che è in corso di identificazione. |
|
AWS tunnel (CHILD_SA) una SA ridondante viene eliminata a causa della collisione rilevata |
A causa della collisione, se SAs vengono generati valori nonce ridondanti, i peer chiuderanno la SA ridondante dopo aver abbinato i valori nonce come da RFC. |
|
AWS non è stato possibile stabilire la fase 2 del tunnel mantenendo la fase 1 |
Peer non è riuscito a stabilire CHILD_SA a causa di un errore di negoziazione, ad esempio una proposta errata. |
AWS: Selettore di traffico: TS_UNACCETTABLE: ricevuto dal risponditore |
Peer ha proposto un dominio di traffico errato. Selectors/Encryption I peer devono essere configurati con valori identici e corretti. CIDRs |
AWS tunnel sta inviando AUTHENTICATION_FAILED come risposta |
Il peer non è in grado di autenticare il peer verificando il contenuto del messaggio IKE_AUTH |
AWS tunnel ha rilevato una mancata corrispondenza della chiave precondivisa con cgw: xxxx |
La stessa chiave precondivisa deve essere configurata su entrambi i peer IKE. |
AWS tunnel Timeout: eliminazione della fase 1 non stabilita IKE_SA con cgw: xxxx |
L'eliminazione dell'IKE_SA semiaperto come peer non ha portato a termine le negoziazioni |
Nessuna corrispondenza proposta trovata. Notifica con "Nessuna proposta scelta" |
Nessun messaggio di errore Proposta scelta viene scambiato tra peer per informare che è necessario configurare proposte corrette su IKE Peers. |
Nessuna proposta corrispondente trovata da AWS |
Gli attributi proposti per la Fase 1 o la Fase 2 (Encryption, Hashing e DH Group) non sono supportati da AWS VPN Endpoint, ad esempio. |
IKEv2 Messaggi di negoziazione
| Messaggio | Spiegazione |
|---|---|
|
AWS richiesta elaborata dal tunnel (id=xxx) per CREATE_CHILD_SA |
AWS ha ricevuto la richiesta CREATE_CHILD_SA da CGW. |
|
AWS il tunnel sta inviando una risposta (id=xxx) per CREATE_CHILD_SA |
AWS sta inviando la risposta CREATE_CHILD_SA a CGW. |
AWS il tunnel sta inviando una richiesta (id=xxx) per CREATE_CHILD_SA |
AWS sta inviando la richiesta CREATE_CHILD_SA a CGW. |
|
AWS risposta elaborata dal tunnel (id=xxx) per CREATE_CHILD_SA |
AWS ha ricevuto la risposta CREATE_CHILD_SA da CGW. |
Messaggi di stato BGP
I messaggi di stato BGP contengono informazioni relative alle transizioni di stato della sessione BGP, agli avvisi sui limiti dei prefissi, alle violazioni dei limiti, alle notifiche delle sessioni BGP, ai messaggi BGP OPEN e agli aggiornamenti degli attributi per un vicino BGP per una determinata sessione BGP.
| Messaggio | Stato BGP | Spiegazione |
|---|---|---|
|
Lo stato della sessione BGP peer lato AWS è cambiato da Idle a Connect with neighbor {ip: xxx} |
GIÙ |
Lo stato della connessione BGP sul lato AWS è stato aggiornato a Connect. |
|
Lo stato della sessione BGP peer lato AWS è cambiato da Connect a OpenSent with neighbor {ip: xxx} |
GIÙ |
Lo stato della connessione BGP sul lato AWS è stato aggiornato a. OpenSent |
|
Lo stato della sessione BGP peer lato AWS è cambiato da OpenSent a OpenConfirm con neighbor {ip: xxx} |
GIÙ |
Lo stato della connessione BGP sul lato AWS è stato aggiornato a. OpenConfirm |
|
Lo stato della sessione BGP peer lato AWS è cambiato da Established with OpenConfirm neighbor {ip: xxx} |
FINO |
Lo stato della connessione BGP sul lato AWS è stato aggiornato a Established. |
|
Lo stato della sessione BGP peer lato AWS è cambiato da Established a Idle with neighbor {ip: xxx} |
GIÙ |
Lo stato della connessione BGP sul lato AWS è stato aggiornato a Idle. |
|
Lo stato della sessione BGP peer lato AWS è cambiato da Connect a Active with neighbor {ip: xxx} |
GIÙ |
Lo stato della connessione BGP sul lato AWS è passato da Connect ad Active. Verifica la disponibilità della porta TCP 179 su CGW se la sessione BGP è bloccata nello stato Connect. |
|
Il peer lato AWS sta segnalando un avviso sul limite massimo del prefisso: ha ricevuto i prefissi {prefixes (count): xxx} dal vicino {ip: xxx}, il limite è {limit (numeric): xxx} |
FINO |
Il lato AWS genera periodicamente un messaggio di log quando il numero di prefissi ricevuti dal CGW si avvicina al limite consentito. |
|
Il peer lato AWS ha rilevato che il limite massimo di prefisso è stato superato: ha ricevuto i prefissi {prefixes (count): xxx} dal vicino {ip: xxx}, il limite è {limit (numeric): xxx} |
GIÙ |
Il lato AWS genera un messaggio di log quando il numero di prefissi ricevuti dal CGW supera il limite consentito. |
|
Il peer lato AWS ha inviato una notifica 6/1 (cessazione/numero massimo di prefissi raggiunto) al vicino {ip: xxx} |
GIÙ |
La parte AWS ha inviato una notifica al peer CGW BGP per indicare che la sessione BGP è stata interrotta a causa di una violazione del limite del prefisso. |
|
Il peer lato AWS ha ricevuto la notifica 6/1 (cessazione/numero massimo di prefissi raggiunto) dal vicino {ip: xxx} |
GIÙ |
La parte AWS ha ricevuto una notifica dal peer CGW per indicare che la sessione BGP è stata interrotta a causa di una violazione del limite del prefisso. |
|
Il peer di AWS-Side ha inviato una notifica 6/2 (cessazione/chiusura amministrativa) al vicino {ip: xxx} |
GIÙ |
La parte AWS ha inviato una notifica al peer CGW BGP per indicare che la sessione BGP è stata interrotta. |
|
Il peer lato AWS ha ricevuto la notifica 6/2 (cessazione/chiusura amministrativa) dal vicino {ip: xxx} |
GIÙ |
La parte AWS ha ricevuto una notifica dal peer CGW per indicare che la sessione BGP è stata interrotta. |
|
Il peer di AWS-Side ha inviato una notifica 6/3 (Cease/Peer Unconfiguration) al vicino {ip: xxx} |
GIÙ |
La parte AWS ha inviato una notifica al peer CGW per indicare che il peer non è configurato o è stato rimosso dalla configurazione. |
|
Il peer lato AWS ha ricevuto la notifica 6/3 (Cease/Peer Unconfiguration) dal vicino {ip: xxx} |
GIÙ |
La parte AWS ha ricevuto una notifica dal peer CGW per indicare che il peer non è configurato o è stato rimosso dalla configurazione. |
|
Il peer lato AWS ha inviato una notifica 6/4 (cessazione/ripristino amministrativo) al vicino {ip: xxx} |
GIÙ |
La parte AWS ha inviato una notifica al peer CGW BGP per indicare che la sessione BGP è stata ripristinata. |
|
Il peer lato AWS ha ricevuto la notifica 6/4 (cessazione/ripristino amministrativo) dal vicino {ip: xxx} |
GIÙ |
La parte AWS ha ricevuto una notifica dal peer CGW per indicare che la sessione BGP è stata ripristinata. |
|
Il peer lato AWS ha inviato una notifica 6/5 (cessazione/connessione rifiutata) al vicino {ip: xxx} |
GIÙ |
La parte AWS ha inviato una notifica al peer CGW BGP per indicare che la sessione BGP è stata rifiutata. |
|
Il peer lato AWS ha ricevuto la notifica 6/5 (cessazione/connessione rifiutata) dal vicino {ip: xxx} |
GIÙ |
La parte AWS ha ricevuto una notifica dal peer di CGW per indicare che la sessione BGP è stata rifiutata. |
|
Il peer di AWS-Side ha inviato una notifica 6/6 (Cease/Other Configuration Change) al vicino {ip: xxx} |
GIÙ |
La parte AWS ha inviato una notifica al peer CGW BGP per indicare che è stata apportata una modifica alla configurazione della sessione BGP. |
|
Il peer lato AWS ha ricevuto la notifica 6/6 (cessazione/altra modifica della configurazione) dal vicino {ip: xxx} |
GIÙ |
La parte AWS ha ricevuto una notifica dal peer CGW che indica che è stata apportata una modifica alla configurazione della sessione BGP. |
|
Il peer di AWS-Side ha inviato una notifica 6/7 (Cease/Connection Collision Resolution) al vicino {ip: xxx} |
GIÙ |
La parte AWS ha inviato una notifica al peer CGW per risolvere una collisione di connessione quando entrambi i peer tentano di stabilire una connessione contemporaneamente. |
|
Il peer lato AWS ha ricevuto una notifica 6/7 (cessazione/risoluzione delle collisioni di connessione) dal vicino {ip: xxx} |
GIÙ |
La parte AWS ha ricevuto una notifica dal peer CGW che indica la risoluzione di una collisione di connessione quando entrambi i peer tentano di stabilire una connessione contemporaneamente. |
|
Il peer lato AWS ha inviato una notifica di scadenza del timer di attesa al vicino {ip: xxx} |
GIÙ |
Il timer di attesa BGP è scaduto e una notifica è stata inviata da AWS al CGW. |
|
Il peer lato AWS ha rilevato un messaggio OPEN errato dal vicino {ip: xxx} - AS remoto è {asn: xxx}, previsto {asn: xxx} |
GIÙ |
La parte AWS ha rilevato che è stato ricevuto un messaggio OPEN errato dal peer CGW, il che è indicativo di una mancata corrispondenza della configurazione. |
|
Il peer lato AWS ha ricevuto un messaggio OPEN dal vicino {ip: xxx} - versione 4, AS {asn: xxx}, holdtime {holdtime (seconds): xxx}, router-id {id: xxx}} |
GIÙ |
La parte AWS ha ricevuto un messaggio aperto BGP per avviare una sessione BGP con il peer CGW. |
|
Il peer lato AWS ha inviato un messaggio OPEN al vicino {ip: xxx} - versione 4, AS {asn: xxx}, holdtime {holdtime (seconds): xxx}, router-id {id: xxx} |
GIÙ |
Il peer CGW ha inviato un messaggio aperto BGP per avviare una sessione BGP con il peer BGP lato AWS. |
|
Il peer lato AWS sta avviando una connessione (tramite Connect) al vicino {ip: xxx} |
GIÙ |
La parte AWS sta tentando di connettersi con il vicino CGW BGP. |
|
Il peer di AWS-Side ha inviato un End-of-RIB messaggio al vicino {ip: xxx} |
FINO |
La parte AWS ha terminato la trasmissione delle rotte al CGW dopo l'istituzione della sessione BGP. |
|
Il peer lato AWS ha ricevuto un aggiornamento con gli attributi dal vicino {ip: xxx} - AS path: {aspath (list): xxx xxx xxx} |
FINO |
La parte AWS ha ricevuto un aggiornamento dell'attributo di sessione BGP dal vicino. |
Messaggi sullo stato del routing
A differenza dei messaggi di stato BGP, i messaggi di stato del percorso contengono dati sugli attributi BGP di un determinato prefisso, ad esempio percorso AS, preferenza locale, Multi-Exit Discriminator (MED), indirizzo IP next hop e weight. Un messaggio di stato del percorso conterrà un campo dei dettagli solo in caso di errore con un percorso che è stato ANNUNCIATO, AGGIORNATO o RITIRATO. Di seguito sono riportati alcuni esempi
| Messaggio | Spiegazione |
|---|---|
|
NEGATO a causa di: as-path contiene il nostro AS |
I messaggi di aggiornamento BGP per un nuovo prefisso di CGW sono stati negati da AWS a causa del percorso contenente l'AS dei peer lato AWS. |
|
NEGATO a causa di: next-hop non connesso |
AWS ha rifiutato una pubblicità di route BGP per il prefisso dal CGW a causa di un errore di convalida next-hop non connesso. Assicurati che il percorso sia raggiungibile sul lato CGW. |
Formato di registro di esempio per i registri BGP di Tunnel
{ "resource_id": "vpn-1234abcd_1.2.3.4", "event_timestamp": 1762580429641, "timestamp": "2025-11-08 05:40:29.641Z", "type": "BGPStatus", "status": "UP", "message": { "details": "AWS-side peer BGP session state has changed from OpenConfirm to Established with neighbor 169.254.50.85" } } { "resource_id": "vpn-1234abcd_1.2.3.4", "event_timestamp": 1762579573243, "timestamp": "2025-11-08 05:26:13.243Z", "type": "RouteStatus", "status": "UPDATED", "message": { "prefix": "172.31.0.0/16", "asPath": "64512", "localPref": 100, "med": 100, "nextHopIp": "169.254.50.85", "weight": 32768, "details": "DENIED due to: as-path contains our own AS" } }
Requisiti IAM da pubblicare su Logs CloudWatch
Affinché la funzionalità di registrazione funzioni correttamente, la policy IAM collegata al principale IAM utilizzata per configurare la funzionalità deve includere almeno le seguenti autorizzazioni. Ulteriori dettagli sono disponibili anche nella sezione Abilitazione della registrazione da determinati AWS servizi della Amazon CloudWatch Logs User Guide.
