Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # `AWSSupport-TroubleshootVPN` **Beschreibung** Das `AWSSupport-TroubleshootVPN` Runbook hilft Ihnen dabei, Fehler in einer AWS Site-to-Site VPN Verbindung zu verfolgen und zu beheben. Die Automatisierung umfasst mehrere automatisierte Prüfungen, mit denen `IKEv2` Fehler im Zusammenhang mit AWS Site-to-Site VPN Verbindungstunneln `IKEv1` aufgespürt werden können. Die Automatisierung versucht, bestimmte Fehler und die entsprechende Lösung in einer Liste häufig auftretender Probleme zusammenzufassen. **Hinweis:** Diese Automatisierung behebt die Fehler nicht. Sie läuft für den genannten Zeitraum und durchsucht die Protokollgruppe auf Fehler in der [ CloudWatch VPN-Protokollgruppe](https://docs.aws.amazon.com//vpn/latest/s2svpn/log-contents.html). **Wie funktioniert es?** Das Runbook führt eine Parametervalidierung durch, um zu bestätigen, ob die im Eingabeparameter enthaltene CloudWatch Amazon-Protokollgruppe existiert, ob die Protokollgruppe Protokollstreams enthält, die der VPN-Tunnelprotokollierung entsprechen, ob die VPN-Verbindungs-ID vorhanden ist und ob die Tunnel-IP-Adresse existiert. Es führt Logs Insights-API-Aufrufe für Ihre CloudWatch Protokollgruppe durch, die für die VPN-Protokollierung konfiguriert sind. **Art des Dokuments** Automatisierung **Eigentümer** Amazon **Plattformen** LinuxmacOS, Windows **Parameter** + AutomationAssumeRole Typ: Zeichenfolge Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet. + LogGroupName Typ: Zeichenfolge Beschreibung: (Erforderlich) Der Name der CloudWatch Amazon-Protokollgruppe, der für die AWS Site-to-Site VPN Verbindungsprotokollierung konfiguriert ist Zulässiges Muster: `^[\.\-_/#A-Za-z0-9]{1,512}` + VpnConnectionId Typ: Zeichenfolge Beschreibung: (Erforderlich) Die AWS Site-to-Site VPN Verbindungs-ID, für die eine Fehlerbehebung durchgeführt werden soll. Zulässiges Muster: `^vpn-[0-9a-f]{8,17}$` + Tunnel AIPAddress Typ: Zeichenfolge Beschreibung: (Erforderlich) Die IPv4 Adresse des Tunnels Nummer 1, die mit Ihrer verknüpft ist AWS Site-to-Site VPN. Zulässiges Muster: `^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}$` + Tunnel BIPAddress Typ: Zeichenfolge Beschreibung: (Optional) Die IPv4 Adresse des Tunnels Nummer 2, die mit Ihrer verknüpft ist AWS Site-to-Site VPN. Zulässiges Muster: `^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}|^$` + IKEVersion Typ: Zeichenfolge Beschreibung: (Erforderlich) Wählen Sie aus, welche IKE-Version Sie verwenden. Zulässige Werte: IKEv1, IKEv2 Zulässige Werte: `['IKEv1', 'IKEv2']` + StartTimeinEpoch Typ: Zeichenfolge Beschreibung: (Optional) Startzeit für die Protokollanalyse. Sie können entweder StartTimeinEpoch/EndTimeinEpoch oder LookBackPeriod für die Protokollanalyse verwenden Zulässiges Muster: `^\d{10}|^$` + EndTimeinEpoch Typ: Zeichenfolge Beschreibung: (Optional) Endzeit für die Protokollanalyse. Sie können entweder StartTimeinEpoch/EndTimeinEpoch oder LookBackPeriod für die Protokollanalyse verwenden. Wenn beides StartTimeinEpoch/EndTimeinEpoch und LookBackPeriod dann angegeben ist, hat LookBackPeriod es Vorrang Zulässiges Muster: `^\d{10}|^$` + LookBackPeriod Typ: Zeichenfolge Beschreibung: (Optional) Zweistellige Zeitangabe in Stunden für die Rückschau zur Protokollanalyse. Gültiger Bereich: 01 — 99. Dieser Wert hat Vorrang, wenn Sie auch und angeben StartTimeinEpoch EndTime Zulässiges Muster: `^(\d?[1-9]|[1-9]0)|^$` **Erforderliche IAM-Berechtigungen** Der `AutomationAssumeRole` Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden. + `logs:DescribeLogGroups` + `logs:GetQueryResults` + `logs:DescribeLogStreams` + `logs:StartQuery` + `ec2:DescribeVpnConnections` **Anweisungen** **Hinweis:** Diese Automatisierung funktioniert für die CloudWatch Protokollgruppen, die für Ihre VPN-Tunnelprotokollierung konfiguriert sind, wenn das Ausgabeformat für die Protokollierung JSON ist. Gehen Sie wie folgt vor, um die Automatisierung zu konfigurieren: 1. Navigieren Sie [AWSSupport-TroubleshootVPN](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootVPN/description)in der AWS Systems Manager Konsole zum. 1. Geben Sie für die Eingabeparameter Folgendes ein: + **AutomationAssumeRole (Fakultativ):** Der Amazon-Ressourcenname (ARN) der Rolle AWS Identity and Access Management (IAM), der es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen durchzuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet. + **LogGroupName (Erforderlich):** Der Name der CloudWatch Amazon-Protokollgruppe, der überprüft werden soll. Dies muss die CloudWatch Protokollgruppe sein, an die VPN konfiguriert ist, um Protokolle zu senden. + **VpnConnectionId (Erforderlich):** Die AWS Site-to-Site VPN Verbindungs-ID, deren Protokollgruppe auf VPN-Fehler überprüft wird. + **Tunnel AIPAddress (erforderlich):** Die Tunnel-A-IP-Adresse, die Ihrer AWS Site-to-Site VPN Verbindung zugeordnet ist. + **Tunnel BIPAddress (optional):** Die IP-Adresse von Tunnel B, die Ihrer AWS Site-to-Site VPN Verbindung zugeordnet ist. + **IKEVersion (Erforderlich):** Wählen Sie aus IKEversion , was Sie verwenden. Zulässige Werte: IKEv1, IKEv2. + **StartTimeinEpoch (Fakultativ):** Der Beginn des Zeitbereichs, für den ein Fehler abgefragt werden soll. Der Bereich ist inklusiv, sodass die angegebene Startzeit in der Abfrage enthalten ist. Wird als Epochenzeit angegeben, die Anzahl der Sekunden seit dem 1. Januar 1970, 00:00:00 UTC. + **EndTimeinEpoch (Fakultativ):** Das Ende des Zeitraums, in dem nach Fehlern abgefragt werden soll. Der Bereich ist inklusiv, sodass die angegebene Endzeit in der Abfrage enthalten ist. Wird als Epochenzeit angegeben, die Anzahl der Sekunden seit dem 1. Januar 1970, 00:00:00 UTC. + **LookBackPeriod (Erforderlich):** Zeit in Stunden, bis die Abfrage auf Fehler zurückblickt. **Hinweis:** Konfigurieren Sie ein StartTimeinEpoch EndTimeinEpoch, oder, LookBackPeriod um den Zeitraum für die Protokollanalyse festzulegen. Geben Sie eine zweistellige Zahl in Stunden ein, um ab der Startzeit der Automatisierung nach Fehlern in der Vergangenheit zu suchen. Oder, wenn der Fehler innerhalb eines bestimmten Zeitraums in der Vergangenheit liegt, geben Sie statt von StartTimeinEpoch LookBackPeriod und EndTimeinEpoch an. ![\[Input parameters form for AWS Site-to-Site VPN connection validation and log analysis.\]](http://docs.aws.amazon.com/de_de/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-vpn_input_parameters.png) 1. Wählen Sie **Ausführen aus**. 1. Die Automatisierung wird eingeleitet. 1. Das Automatisierungs-Runbook führt die folgenden Schritte aus: + **Parametervalidierung:** Führt eine Reihe von Validierungen für Eingabeparameter aus, die in der Automatisierung enthalten sind. + **branchOnValidationOfLogGroup:** Prüft, ob die im Parameter angegebene Protokollgruppe gültig ist. Falls ungültig, wird die weitere Initiierung von Automatisierungsschritten gestoppt. + **branchOnValidationOfLogStream:** Prüft, ob in der enthaltenen Protokollgruppe ein CloudWatch Protokollstream vorhanden ist. Falls ungültig, wird die weitere Initiierung von Automatisierungsschritten gestoppt. + **branchOnValidationOfVpnConnectionId:** Überprüft, ob die im Parameter enthaltene VPN-Verbindungs-ID gültig ist. Falls ungültig, wird die weitere Initiierung von Automatisierungsschritten gestoppt. + **branchOnValidationOfVpnIp:** Prüft, ob die im Parameter angegebene Tunnel-IP-Adresse gültig ist oder nicht. Falls ungültig, wird die weitere Ausführung von Automatisierungsschritten gestoppt. + **TraceError:** Führt einen Logs-Insight-API-Aufruf in Ihrer enthaltenen CloudWatch Protokollgruppe durch und sucht nach dem Fehler im Zusammenhang mit IKEv1/IKEv2 zusammen mit einem entsprechenden Lösungsvorschlag. 1. Wenn der Vorgang abgeschlossen ist, finden Sie im Abschnitt Ausgaben die detaillierten Ergebnisse der Ausführung. ![\[Output section showing parameter validation results and error messages for VPN tunnels.\]](http://docs.aws.amazon.com/de_de/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-vpn_outputs.png) **Referenzen** Systems Manager Automation + [Führen Sie diese Automatisierung aus (Konsole)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-DDoSResiliencyAssessment) + [Führen Sie eine Automatisierung aus](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html) + [Eine Automatisierung einrichten](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html) + [Landingpage für Support-Automatisierungsworkflows](https://aws.amazon.com/premiumsupport/technology/saw/) AWS Servicedokumentation + [Inhalt der Site-to-Site VPN-Protokolle](https://docs.aws.amazon.com//vpn/latest/s2svpn/log-contents.html)