VPC のロギング
IBM Cloud サービス ( IBM Cloud VPCなど) は、アカウント内の異常なアクティビティーや重要なアクションの調査、および問題のトラブルシューティングに使用できるプラットフォーム・ログを生成します。
プラットフォーム・ログの送信先を定義するテナントを構成することにより、プラットフォーム・サービスである IBM Cloud Logs Routingを使用して、アカウント内のプラットフォーム・ログを任意の宛先にルーティングできます。 詳しくは、 ログのルーティングについて を参照してください。
IBM Cloud Logs を使用して、アカウントで生成され、 IBM Cloud Logs Routing によって IBM Cloud Logs インスタンスにルーティングされたプラットフォーム・ログを視覚化し、アラートを出すことができます。
プラットフォーム・ログが生成される場所
IBM Cloud Logs Routing サービスがモントリオールで利用可能になるまでは、プラットフォームのログはワシントンDC(us-east
)の地域向けに構成された IBM Cloud Logs インスタンスに送信されます。 モントリオールから送信されたログには、 logSourceCRN
フィールドとして、 ca-mon
、 mon01
、 mon02
、または
mon03
が含まれています。 us-east
で IBM Cloud Logs Routing のテナントが構成されていない場合は、モントリオール地域のプラットフォームログを受信するために 、 us-east
でテナントを作成する必要があります。
ログが IBM Cloud Logs Routing によって送信されるロケーション
IBM Cloud VPC は、以下の表に示されている地域で IBM Cloud Logs Routing によってログを送信します。
ダラス(us-south ) |
ワシントン (us-east ) |
トロント (ca-tor ) |
モントリオール (ca-mon ) |
サンパウロ (br-sao ) |
---|---|---|---|---|
はい | はい | はい | はい | はい |
東京(jp-tok ) |
シドニー(au-syd ) |
大阪 (jp-osa ) |
---|---|---|
はい | はい | はい |
フランクフルト(eu-de ) |
ロンドン(eu-gb ) |
マドリッド (eu-es ) |
---|---|---|
はい | はい | はい |
ログの表示
「プログラム識別情報」ページからの IBM Cloud Logs の起動
IBM Cloud Logs UI の起動について詳しくは、 IBM Cloud Logs 資料の UI の起動 を参照してください。
ログ・タイプごとのフィールド
以下の表は、各ログレコードに含まれるフィールドの概要である:
フィールド | タイプ | 説明 |
---|---|---|
logSourceCRN |
必須 | ログが発行されるアカウントおよびフロー・ログ・インスタンスを定義します。 |
saveServiceCopy |
必須 | 運用上の目的で IBM がレコードのコピーを保存するかどうかを定義します。 |
message |
必須 | 生成されたログの説明。 |
messageID |
必須 | 生成されたログの ID。 |
msg_timestamp |
必須 | ログが生成されたタイム・スタンプ。 |
resolution |
オプション | このログ・レコードを受信した場合の処理方法に関するガイダンス。 |
documentsURL |
オプション | このログ・レコードを受信した場合の処理方法に関する詳細情報。 |
generation |
必須 | ログの VPC ソースを定義します。 有効なオプションは、VPC クラシックの場合には 1 、2 の場合には VPC Gen 2 です。 |
ログ・メッセージ
次の表に、VPC サービスによって生成されるメッセージ ID を示します。
専用ホスト
以下の表は、専用ホストに対して生成されるメッセージIDの概要である:
メッセージID | タイプ | 詳細 |
---|---|---|
dedicated-host.00001 |
err |
Failed to create dedicated host <Dedicated Host ID> due to insufficient capacity in zone. |
dedicated-host.00002 |
info |
Provisioned a virtual server instance on dedicated host <Dedicated Host ID>. |
dedicated-host.00003 |
info |
Removed a virtual server instance on dedicated host <Dedicated Host ID>. |
専用ホストのイベントが発生するたびに、ログが生成されます。
フロー・ログ・コレクター
以下の表に、フローログコレクタサービスによって生成されるメッセージ ID の概要を示します:
メッセージID | タイプ | 詳細 |
---|---|---|
is.flow-log-collector.00001E |
err |
Failed to write Flow Log file for the past 24 hours. Dropping flow log for Virtual Server <ServerName> |
is.flow-log-collector.00002E |
err |
Unauthorized access to Cloud Object Storage bucket <BucketName> |
is.flow-log-collector.00003E |
err |
Cloud Object Storage bucket <BucketName> was not found |
フロー・ログ・コレクターにより、毎時のログが生成されます。
Load Balancer for VPC
次の表は、VPC サービス用ロードバランサーによって生成されるメッセージ ID の概要です
メッセージ・カテゴリー (message category) | タイプ | 説明 |
---|---|---|
Health check |
info |
Connect from <IP>:<PORT> to <IP>:<PORT> |
Connect |
info |
Health check for server <ID>> failed, reason: Layer4 connection problem, info: "General socket error (Network is unreachable)", check duration: 0ms, status: 1/2 UP |
リソース・クォータ
以下の表は、リソースクォータイベントに対して生成されるメッセージIDの概要です:
メッセージID | タイプ | 詳細 |
---|---|---|
quota-monitoring.00001 |
info |
Successfully provisioned resource <Resource ID>. |
quota-monitoring.00002 |
err |
Failed to provision resource <Resource ID> due to resource quota limits. |
quota-monitoring.00004 |
err |
Failed to update resource <Resource ID> due to resource quota limits. |
リソース割り当て量のプロビジョンまたは更新イベントが成功または失敗すると、ログが生成されます。
VPC のスナップショット
次の表に、Snapshotsサービスによって生成されるメッセージIDの概要を示します:
メッセージID | タイプ | 詳細 |
---|---|---|
snapshot.00001 |
info |
Snapshot creation requested for volume <Volume ID>. |
snapshot.00002 |
info |
Snapshot <Snapshot ID> is successfully captured. Volume <Volume ID> |
snapshot.00003 |
info |
Snapshot <Snapshot ID> is an incremental snapshot. Volume <Volume ID> |
snapshot.00004 |
info |
Snapshot <Snapshot ID> is a full snapshot. Volume <Volume ID> |
snapshot.00005 |
info |
Snapshot <Snapshot ID> is available. Volume <Volume ID> |
snapshot.00006 |
info |
Snapshot <Snapshot ID> is uploaded. Volume <Volume ID> |
snapshot.00007 |
info |
Snapshot <Snapshot ID> deletion requested. |
snapshot.00008 |
info |
Snapshot <Snapshot ID> is successfully deleted. Volume <Volume ID> Region <Region> |
snapshot.00009 |
info |
All snapshots of volume <Volume ID> in the region <Region> are requested to be deleted. |
snapshot.00010 |
info |
Delete all snapshots request for volume <Volume ID> is completed successfully. Region <Region> |
snapshot.00010 |
info |
Snapshot copy creation in region <Region> requested for snapshot <Snapshot ID> from region <Source Region>. Volume <Volume ID> |
仮想サーバー・インスタンス
アベイラビリティーの選択
以下の表は、インスタンス関連イベントに対して生成されるメッセージIDの概要である:
メッセージID | タイプ | 説明 |
---|---|---|
instance.00001 |
info |
最大帯域幅 {{.volumeBandwidthMbps}} Mbpsのボリューム {{.volumeID}} が、アタッチメント帯域幅 {{.attachmentBandwidthMbps}} Mbpsのインスタンス {{.instanceID}} にアタッチされている。 |
ボリュームがインスタンスにアタッチされたとき、およびボリュームの最大帯域幅値が変更されたときにログが生成されます。
VPN for VPC
ログタイプごとのフィールド VPN for VPC )
以下の表は、各サイト間VPNログレコードに含まれるフィールドの概要を示しています
サブシステム名 = is.vpn
フィールド | タイプ | 説明 |
---|---|---|
logSourceCRN |
必須 | VPN ID は logSourceCRN から取得できます。 |
tag |
必須 | VPNが存在するアカウントを含み、 logSourceCRN のアカウントと一致します。 |
message |
必須 | RFCプロトコル標準に基づくさまざまなデータを含んでいます。 |
ログ ( VPN for VPC )
以下の表は VPN for VPCで生成されるログのサンプルを概説したものです。 以下のログは、インターネットキーエクスチェンジバージョン2 IKEv2 )に基づいています。
ログ | 説明 |
---|---|
UTC YYYY-MM-DD HH24:MM:SS 03[IKE] <peer_{PEER GW IP}_{VPN GW CONNECTION ID}|32563> initiating IKE_SA peer_{PEER GW IP}_{VPN GW CONNECTION ID}[32563] to {PEER GW IP} |
ピアとのIKEセキュリティアソシエーションの確立を開始する。 |
UTC YYYY-MM-DD HH24:MM:SS 07[CFG] <peer_{PEER GW IP}_{VPN GW CONNECTION ID}|664> configured proposals: IKE:{IKE POLICIES} |
現在設定されているIKEポリシーの一覧を表示します。 |
UTC YYYY-MM-DD HH24:MM:SS 12[IKE] <peer_{PEER GW IP}_{VPN GW CONNECTION ID}|665> IKE_SA peer_{PEER GW IP}_{VPN GW CONNECTION ID}[665] established between {GW PRIVATE IP}[{LOCAL GW IP}]...{PEER GW IP}[{PEER GW IP}] |
ピアのIKEセキュリティアソシエーションが確立されました。 |
UTC YYYY-MM-DD HH24:MM:SS 12[IKE] <peer_{PEER GW IP}_{VPN GW CONNECTION ID}> CHILD_SA peer_{PEER GW IP}_{VPN GW CONNECTION ID}{1} established with SPIs {SPI INDEX} and TS {LOCAL CIDR} === {PEER CIDR} |
CHILDセキュリティ協会が設立され、ピアとの間で最終合意に至る。 |
UTC YYYY-MM-DD HH24:MM:SS 13[IKE] <peer_{PEER GW IP}_{VPN GW CONNECTION ID}|665> IKE_SA deleted |
IKE Security Associationは終了しました。 |
UTC YYYY-MM-DD HH24:MM:SS 13[IKE] <peer_{PEER GW IP}_{VPN GW CONNECTION ID}|665> IKE_SA peer_{PEER GW IP}_{VPN GW CONNECTION ID}[665] state change: DELETING => DESTROYING |
削除されたIKEセキュリティアソシエーション接続を切断中。 |
UTC YYYY-MM-DD HH24:MM:SS 06[IKE] <peer_{PEER GW IP}_{VPN GW CONNECTION ID}|32563> establishing IKE_SA failed, peer not responding |
VPNゲートウェイからの IKE_SA 接続開始にピアからの応答がありません。 |
UTC YYYY-MM-DD HH24:MM:SS 15[ENC] <peer_{PEER GW IP}_{VPN GW CONNECTION ID}|670> parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ] |
事前共有鍵の不一致により、どちらかの側でエラーが発生しました。 |
UTC YYYY-MM-DD HH24:MM:SS 06[IKE] <679> no IKE config found for {GW PRIVATE IP}...{LOCAL GW IP}, sending NO_PROPOSAL_CHOSEN |
両側で選択されたIKEポリシーが一致しないため、エラーが発生しました。 |
UTC YYYY-MM-DD HH24:MM:SS 15[IKE] <peer_{PEER GW IP}_{VPN GW CONNECTION ID}|684> no acceptable proposal found |
両側で選択されたIPsecポリシーが一致しないため、エラーが発生しました。 |
UTC YYYY-MM-DD HH24:MM:SS 15[IKE] <peer_{PEER GW IP}_{VPN GW CONNECTION ID}|684> failed to establish CHILD_SA, keeping IKE_SA |
エラーにより、 CHILD_SA の正常な確立が妨げられました。 |
VPN for VPC (クライアントからサイトへの)ログ
ログタイプごとのフィールド VPN for VPC )
以下の表は、各クライアントからサイトへのVPNログレコードに含まれるフィールドの概要を示しています
サブシステム名 = is.vpn.server
フィールド | タイプ | 説明 |
---|---|---|
logSourceCRN |
必須 | VPN ID は logSourceCRN から取得できます。 |
tag |
必須 | VPNが存在するアカウントを含み、 logSourceCRN のアカウントと一致します。 |
message |
必須 | RFCプロトコル標準に基づくさまざまなデータを含んでいます。 |
ログ (クライアント VPN for VPC )
次の表は VPN for VPC によって生成されるログのサンプルを概説したものです。 以下のログは、インターネットキーエクスチェンジバージョン2 IKEv2 )に基づいています。
ログ | 説明 |
---|---|
YYYY-MM-DD HH24:MM:SS {DEVICE PUBLIC IP:PORT} {USERNAME/INTERMEDIATE CA} connect |
OpenVPNとサーバー間の接続が確立されました。 |
YYYY-MM-DD HH24:MM:SS {DEVICE PUBLIC IP:PORT} {USERNAME/INTERMEDIATE CA} disconnect |
OpenVPNはサーバーにリンクされなくなりました。 |