Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Überwachen Sie eine AWS Site-to-Site VPN Verbindung
<a name="monitoring-overview-vpn"></a>

Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung Ihrer AWS Site-to-Site VPN Verbindung. Sie sollten von allen Teilen Ihrer Lösung Überwachungsdaten sammeln, damit Sie bei Ausfällen, die sich über mehrere Punkte erstrecken, leichter debuggen können. Bevor Sie mit der Überwachung Ihrer Site-to-Site VPN-Verbindung beginnen, sollten Sie jedoch einen Überwachungsplan erstellen, der Antworten auf die folgenden Fragen enthält:
+ Was sind Ihre Ziele bei der Überwachung?
+ Welche Ressourcen werden überwacht?
+ Wie oft werden diese Ressourcen überwacht?
+ Welche Überwachungstools werden verwendet?
+ Wer soll die Überwachungsaufgaben ausführen?
+ Wer soll benachrichtigt werden, wenn Fehler auftreten?

Im nächsten Schritt legen Sie einen Ausgangswert für eine normale VPN-Leistung in Ihrer Umgebung fest, indem Sie die Leistung zu verschiedenen Zeiten und unter verschiedenen Lastbedingungen messen. Speichern Sie bei der Überwachung Ihres VPN die historischen Überwachungsdaten, damit Sie diese mit aktuellen Leistungsdaten vergleichen, normale Leistungsmuster bestimmen, Leistungsprobleme erkennen und Methoden zur Fehlerbehebung ableiten können.

Zur Festlegung eines Grundwertes sollten Sie die folgenden Elemente überwachen:
+ Den Zustand der VPN-Tunnel
+ Eingehende Daten in den Tunnel
+ Ausgehende Daten aus dem Tunnel

**Topics**
+ [Tools zur Überwachung](#monitoring-automated-manual)
+ [Site-to-Site VPN-Protokolle](monitoring-logs.md)
+ [Überwachen Sie Site-to-Site VPN-Tunnel mit CloudWatch](monitoring-cloudwatch-vpn.md)
+ [AWS Health und Site-to-Site VPN-Ereignisse](monitoring-vpn-health-events.md)

## Tools zur Überwachung
<a name="monitoring-automated-manual"></a>

AWS bietet verschiedene Tools, mit denen Sie eine Site-to-Site VPN-Verbindung überwachen können. Sie können einige dieser Tools so konfigurieren, dass diese die Überwachung für Sie übernehmen, während bei anderen Tools ein manuelles Eingreifen nötig ist. Wir empfehlen, dass Sie die Überwachungsaufgaben möglichst automatisieren.

### Automatisierte Überwachungstools
<a name="monitoring-automated_tools"></a>

Sie können die folgenden automatisierten Überwachungstools verwenden, um eine Site-to-Site VPN-Verbindung zu überwachen und zu melden, wenn etwas nicht stimmt:
+ **Amazon CloudWatch Alarms** — Überwachen Sie eine einzelne Metrik über einen von Ihnen angegebenen Zeitraum und führen Sie eine oder mehrere Aktionen aus, die auf dem Wert der Metrik im Verhältnis zu einem bestimmten Schwellenwert über mehrere Zeiträume basieren. Die Aktion ist eine Benachrichtigung, die an ein Amazon SNS SNS-Thema gesendet wird. CloudWatch Alarme lösen keine Aktionen aus, nur weil sie sich in einem bestimmten Status befinden. Der Status muss sich geändert haben und für eine bestimmte Anzahl von Zeiträumen beibehalten worden sein. Weitere Informationen finden Sie unter [Überwachen Sie AWS Site-to-Site VPN Tunnel mit Amazon CloudWatch](monitoring-cloudwatch-vpn.md).
+ **AWS CloudTrail Protokollüberwachung** — Teilen Sie Protokolldateien zwischen Konten, überwachen CloudTrail Sie Protokolldateien in Echtzeit, indem Sie sie an CloudWatch Logs senden, schreiben Sie Protokollverarbeitungsanwendungen in Java und stellen Sie sicher, dass sich Ihre Protokolldateien nach der Lieferung von CloudTrail nicht geändert haben. Weitere Informationen finden Sie unter [Protokollieren von API-Aufrufen AWS CloudTrail](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitor-with-cloudtrail.html) in der *Amazon EC2 API-Referenz* und [Arbeiten mit CloudTrail Protokolldateien](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html) im *AWS CloudTrail Benutzerhandbuch*.
+ **AWS Health Ereignisse** — Erhalten Sie Warnmeldungen und Benachrichtigungen im Zusammenhang mit Änderungen im Zustand Ihrer Site-to-Site VPN-Tunnel, Empfehlungen zur Konfiguration bewährter Verfahren oder bei Annäherung an Skalierungsgrenzen. Verwenden Sie Ereignisse auf dem [Personal Health Dashboard](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html), um automatisierte Failovers auszulösen, die Zeit für die Fehlerbehebung verkürzen oder Verbindungen für hohe Verfügbarkeit optimieren. Weitere Informationen finden Sie unter [AWS Health und AWS Site-to-Site VPN Ereignisse](monitoring-vpn-health-events.md).

### Manuelle Überwachungstools
<a name="monitoring-manual-tools"></a>

Ein weiterer wichtiger Teil der Überwachung einer Site-to-Site VPN-Verbindung besteht darin, die Elemente, die von den CloudWatch Alarmen nicht abgedeckt werden, manuell zu überwachen. Die Amazon VPC- und CloudWatch Konsolen-Dashboards bieten einen at-a-glance Überblick über den Zustand Ihrer AWS Umgebung. 

**Anmerkung**  
In der Amazon VPC-Konsole spiegeln Site-to-Site VPN-Tunnelstatusparameter wie „Status“ und „Letzte Statusänderung“ möglicherweise keine vorübergehenden Zustandsänderungen oder vorübergehende Tunnelflaps wider. Es wird empfohlen, CloudWatch Metriken und Protokolle für detaillierte Aktualisierungen von Tunnelstatusänderungen zu verwenden.
+ Das Amazon VPC-Dashboard zeigt:
  + Zustand des Services nach Region
  + Site-to-Site VPN-Verbindungen
  + VPN-Tunnelstatus (Wählen Sie im Navigationsbereich **Site-to-Site VPN-Verbindungen**, wählen Sie eine Site-to-Site VPN-Verbindung und dann **Tunneldetails** aus)
+ Auf der CloudWatch Startseite wird Folgendes angezeigt:
  + Aktuelle Alarme und Status
  + Diagramme mit Alarmen und Ressourcen
  + Servicestatus

  Darüber hinaus können CloudWatch Sie Folgendes verwenden: 
  + Erstellen [angepasster Dashboards](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html) zur Überwachung der gewünschten Services.
  + Aufzeichnen von Metrikdaten, um Probleme zu beheben und Trends zu erkennen
  + Suchen und durchsuchen Sie alle Ihre AWS Ressourcenmetriken
  + Erstellen und Bearbeiten von Alarmen, um über Probleme benachrichtigt zu werden

# AWS Site-to-Site VPN Logs
<a name="monitoring-logs"></a>

AWS Site-to-Site VPN Protokolle bieten Ihnen einen tieferen Einblick in Ihre Site-to-Site VPN-Bereitstellungen. Mit dieser Funktion haben Sie Zugriff auf Site-to-Site VPN-Verbindungsprotokolle, die Details zur Einrichtung eines IP-Security-Tunnels (IPsec), zu IKE-Verhandlungen (Internet Key Exchange), zu DPD-Protokollnachrichten (Dead Peer Detection), zum Status des Border Gateway-Protokolls (BGP) und zu Routing-Updates enthalten.

Site-to-Site VPN-Protokolle können in Amazon CloudWatch Logs veröffentlicht werden. Diese Funktion bietet Kunden eine einzige konsistente Möglichkeit, auf detaillierte Protokolle für all ihre Site-to-Site VPN-Verbindungen zuzugreifen und diese zu analysieren.

**Topics**
+ [Vorteile von Site-to-Site VPN-Protokollen](#log-benefits)
+ [Größenbeschränkungen der Amazon CloudWatch Logs-Ressourcenrichtlinie](#cwl-policy-size)
+ [Site-to-Site Inhalt des VPN-Protokolls](#log-contents)
+ [Beispiel für ein Protokollformat für Tunnel-BGP-Protokolle](#example-bgp-logs)
+ [IAM-Anforderungen für die Veröffentlichung in Logs CloudWatch](#publish-cw-logs)
+ [Konfiguration der Site-to-Site VPN-Protokolle anzeigen](status-logs.md)
+ [Site-to-SiteVPN-Protokolle aktivieren](enable-logs.md)
+ [Deaktivieren Sie Site-to-Site VPN-Protokolle](disable-logs.md)

## Vorteile von Site-to-Site VPN-Protokollen
<a name="log-benefits"></a>
+ **Vereinfachte VPN-Fehlerbehebung:** Mithilfe von Site-to-Site VPN-Protokollen können Sie Konfigurationsunterschiede zwischen dem Gateway-Gerät AWS und Ihrem Kunden-Gateway-Gerät ermitteln und anfängliche Probleme mit der VPN-Konnektivität beheben. VPN-Verbindungen können im Laufe der Zeit aufgrund von falsch konfigurierten Einstellungen (z. B. schlecht abgestimmten Timeouts) zeitweise ausfallen, es kann zu Problemen in den zugrunde liegenden Transportnetzwerken kommen (z. B. Internetwetter) oder Routing-Änderungen bzw. Pfadfehler können zu einer Unterbrechung der Konnektivität über VPN führen. Mit dieser Funktion können Sie die Ursache von zeitweise auftretenden Verbindungsfehlern genau diagnostizieren und die Low-Level-Tunnelkonfiguration optimieren, um einen zuverlässigen Betrieb zu ermöglichen.
+ **Zentrale AWS Site-to-Site VPN Sichtbarkeit:** Site-to-Site VPN-Protokolle können Tunnelaktivitäten und BGP-Routing-Protokolle für alle Site-to-Site VPN-Verbindungstypen bereitstellen. Diese Funktion bietet Kunden eine einzige konsistente Möglichkeit, auf detaillierte Protokolle für all ihre Site-to-Site VPN-Verbindungen zuzugreifen und diese zu analysieren.
+ **Sicherheit und Compliance:** Site-to-Site VPN-Protokolle können an Amazon CloudWatch Logs gesendet werden, um den Status und die Aktivität der VPN-Verbindung im Laufe der Zeit rückwirkend zu analysieren. Dies hilft Ihnen, Compliance-Anforderungen und gesetzliche Vorschriften besser einzuhalten.

## Größenbeschränkungen der Amazon CloudWatch Logs-Ressourcenrichtlinie
<a name="cwl-policy-size"></a>

CloudWatch Die Ressourcenrichtlinien für Logs sind auf 5120 Zeichen begrenzt. Wenn CloudWatch Logs feststellt, dass sich eine Richtlinie dieser Größenbeschränkung nähert, werden automatisch Protokollgruppen aktiviert, die mit `/aws/vendedlogs/` beginnen. Wenn Sie die Protokollierung aktivieren, muss Site-to-Site VPN Ihre CloudWatch Logs-Ressourcenrichtlinie mit der von Ihnen angegebenen Protokollgruppe aktualisieren. Um zu verhindern, dass die Größenbeschränkung der CloudWatch Protokollressourcenrichtlinie erreicht wird, stellen Sie Ihren Protokollgruppennamen ein Präfix voran`/aws/vendedlogs/`.

## Site-to-Site Inhalt des VPN-Protokolls
<a name="log-contents"></a>

Die folgenden Informationen sind im Site-to-Site VPN-Tunnel-Aktivitätsprotokoll enthalten. Der Name der Protokollstream-Datei verwendet VpnConnection ID und TunnelOutsideIPAddress.


| Feld | Description | 
| --- | --- | 
|  VpnLogCreationTimestamp (`event_timestamp`)  |  Zeitstempel der Protokollerstellung im Epochenzeitformat.  | 
|  VpnLogCreationTimestampReadable (`timestamp`)  |  Zeitstempel für die Protokollerstellung im menschenlesbaren Zeitformat.  | 
|  Tunnel DPDEnabled () `dpd_enabled`  |  Status Dead-Peer-Detection-Protokoll aktiviert (Wahr/Falsch).  | 
|  CGWNATTDetectionTunnelstatus (`nat_t_detected`)  | NAT-T auf dem Kunden-Gateway-Gerät erkannt (Wahr/Falsch). | 
|  IKEPhase1Tunnelstatus (`ike_phase1_state`)  | IKE-Phase-1-Protokollstatus (Established (Eingerichtet) \$1 Rekeying (Erneute Schlüsselerstellung) \$1 Negotiating (Aushandlung) \$1 Down (Ausgefallen)). | 
| IKEPhase2Tunnelstaat (ike\$1phase2\$1state) | IKE-Phase-2-Protokollstatus (Established (Eingerichtet) \$1 Rekeying (Erneute Schlüsselerstellung) \$1 Negotiating (Aushandlung) \$1 Down (Ausgefallen)). | 
| VpnLogDetail (details) | Ausführliche Meldungen für die Protokolle IPsec IKE und DPD. | 

Die folgenden Informationen sind im BGP-Protokoll des Site-to-Site VPN-Tunnels enthalten. Der Name der Protokollstream-Datei verwendet VpnConnection ID und TunnelOutsideIPAddress.


| Feld | Description | 
| --- | --- | 
|  resource\$1id  |  Eine eindeutige ID zur Identifizierung des Tunnels und der VPN-Verbindung, mit der das Protokoll verknüpft ist.  | 
|  event\$1timestamp  |  Zeitstempel der Protokollerstellung im Epochenzeitformat.  | 
|  Zeitstempel  |  Zeitstempel für die Protokollerstellung im menschenlesbaren Zeitformat.  | 
|  type  | Typ des BGP-Protokollereignisses (BGPStatus \$1 RouteStatus). | 
|  Status  | Statusaktualisierung für einen bestimmten Typ von Protokollereignis (BGPStatus: UP \$1 DOWN) (RouteStatus: ANGEKÜNDIGT \$1Route wurde vom Peer angekündigt\$1 \$1 AKTUALISIERT: \$1bestehende Route wurde vom Peer aktualisiert\$1 \$1 ZURÜCKGEZOGEN: \$1Route wurde von Peer zurückgezogen\$1). | 
| Nachricht | Stellt zusätzliche Informationen zum Protokollvorgang und zum Status bereit. Dieses Feld hilft Ihnen zu verstehen, warum die BGPStatus Routenattribute nicht verfügbar sind, die in der RouteStatus Nachricht ausgetauscht wurden. | 

**Topics**
+ [IKEv1 Fehlermeldungen](#sample-log-ikev1)
+ [IKEv2 Fehlermeldungen](#sample-log-ikev2)
+ [IKEv2 Verhandlungsnachrichten](#sample-log-ikev2-negotiation)
+ [BGP-Statusmeldungen](#sample-bgp-status-messages)
+ [Statusmeldungen weiterleiten](#sample-route-status-messages)

### IKEv1 Fehlermeldungen
<a name="sample-log-ikev1"></a>


| Fehlermeldung | Erklärung | 
| --- | --- | 
|  Peer reagiert nicht – Peer wird für tot erklärt  |  Peer hat nicht auf DPD-Nachrichten geantwortet und damit eine DPD-Timeout-Aktion durchgesetzt.  | 
|  AWS Die Entschlüsselung der Tunnel-Payloads war aufgrund eines ungültigen Pre-Shared Keys nicht erfolgreich  |  Derselbe vorinstallierte Schlüssel muss auf beiden IKE-Peers konfiguriert werden.  | 
|  Es wurde kein passender Vorschlag gefunden von AWS  |  Vorgeschlagene Attribute für Phase 1 (Verschlüsselung, Hashing und DH-Gruppe) werden von AWS VPN Endpoint nicht unterstützt — zum Beispiel`3DES`.  | 
|  Keine Übereinstimmung mit Vorschlag gefunden. Benachrichtigen mit „Kein Vorschlag ausgewählt“  |  Die Fehlermeldung „No Proposal Chosen“ wird zwischen den Peers ausgetauscht, um darüber zu informieren, dass für Phase 2 auf IKE-Peers die richtige Konfiguration konfiguriert werden Proposals/Policies muss.  | 
|  AWS Der Tunnel hat DELETE für Phase 2 SA mit SPI: xxxx erhalten  | CGW hat die Delete\$1SA-Nachricht für Phase 2 gesendet. | 
|  AWS Der Tunnel hat DELETE für IKE\$1SA von CGW erhalten  | CGW hat die Delete\$1SA-Nachricht für Phase 1 gesendet. | 

### IKEv2 Fehlermeldungen
<a name="sample-log-ikev2"></a>


| Fehlermeldung | Erklärung | 
| --- | --- | 
|  AWS Tunnel-DPD-Timeout nach erneuten Übertragungen durch \$1retry\$1count\$1  |  Peer hat nicht auf DPD-Nachrichten geantwortet und damit eine DPD-Timeout-Aktion durchgesetzt.   | 
|  AWS Der Tunnel hat DELETE für IKE\$1SA von CGW erhalten  |  Peer hat die Delete\$1SA-Nachricht für Parent/IKE\$1SA gesendet.  | 
| AWS Der Tunnel hat DELETE für Phase 2 SA mit SPI: xxxx empfangen | Peer hat die Delete\$1SA-Nachricht für CHILD\$1SA gesendet. | 
|  AWS Der Tunnel hat eine Kollision (CHILD\$1REKEY) als CHILD\$1DELETE erkannt  |  CGW hat die Delete\$1SA-Nachricht für die Active SA gesendet, die gerade erneut eingegeben wird.  | 
|  AWS Die redundante SA von tunnel (CHILD\$1SA) wurde aufgrund einer erkannten Kollision gelöscht  | Wenn aufgrund einer Kollision redundante Verbindungen generiert SAs werden, schließen Peers redundante SA, nachdem sie die Nonce-Werte gemäß RFC abgeglichen haben. | 
|  AWS Der Tunnel von Phase 2 konnte nicht eingerichtet werden, während Phase 1 beibehalten wurde  | Peer konnte CHILD\$1SA aufgrund eines Verhandlungsfehlers nicht einrichten, z. B. aufgrund eines falschen Vorschlags.  | 
| AWS: Traffic Selector: TS\$1INACLECT: vom Responder empfangen | Der Peer hat eine falsche Selectors/Encryption Verkehrsdomäne vorgeschlagen. Peers sollten identisch und korrekt konfiguriert sein CIDRs. | 
| AWS Der Tunnel sendet AUTHENTICATION\$1FAILED als Antwort | Der Peer kann den Peer nicht authentifizieren, indem er den Inhalt der IKE\$1AUTH-Nachricht überprüft | 
| AWS Der Tunnel hat festgestellt, dass der Pre-Shared-Key nicht mit cgw übereinstimmt: xxxx | Derselbe vorinstallierte Schlüssel muss auf beiden IKE-Peers konfiguriert werden. | 
| AWS Tunnel-Timeout: Löschen des nicht eingerichteten Phase-1-IKE\$1SA mit cgw: xxxx | Beim Löschen des halb geöffneten IKE\$1SA als Peer wurden keine Verhandlungen geführt | 
| Keine Übereinstimmung mit Vorschlag gefunden. Benachrichtigen mit „Kein Vorschlag ausgewählt“ | Zwischen den Peers wird die Fehlermeldung „Kein Vorschlag ausgewählt“ ausgetauscht, um mitzuteilen, dass die richtigen Vorschläge auf IKE-Peers konfiguriert werden müssen. | 
| Es wurde kein passender Vorschlag gefunden von AWS | Vorgeschlagene Attribute für Phase 1 oder Phase 2 (Verschlüsselung, Hashing und DH-Gruppe) werden von AWS VPN Endpoint nicht unterstützt — zum Beispiel`3DES`. | 

### IKEv2 Verhandlungsnachrichten
<a name="sample-log-ikev2-negotiation"></a>


| Fehlermeldung | Erklärung | 
| --- | --- | 
|  AWS Die Anfrage (id=xxx) für CREATE\$1CHILD\$1SA wurde vom Tunnel verarbeitet  |  AWS hat die CREATE\$1CHILD\$1SA-Anfrage von CGW erhalten.  | 
|  AWS Der Tunnel sendet eine Antwort (id=xxx) für CREATE\$1CHILD\$1SA  |  AWS sendet eine CREATE\$1CHILD\$1SA-Antwort an CGW.  | 
| AWS Der Tunnel sendet eine Anfrage (id=xxx) für CREATE\$1CHILD\$1SA | AWS sendet eine CREATE\$1CHILD\$1SA-Anfrage an CGW. | 
|  AWS Die Antwort (id=xxx) für CREATE\$1CHILD\$1SA wurde vom Tunnel verarbeitet  |  AWS hat eine CREATE\$1CHILD\$1SA-Antwort von CGW erhalten.  | 

### BGP-Statusmeldungen
<a name="sample-bgp-status-messages"></a>

 BGP-Statusmeldungen enthalten Informationen zu Statusübergängen bei BGP-Sitzungen, Warnungen vor Präfixlimits, Grenzwertverletzungen, BGP-Sitzungsbenachrichtigungen, BGP-OPEN-Nachrichten und Attributaktualisierungen für einen BGP-Nachbarn für eine bestimmte BGP-Sitzung. 


| Fehlermeldung | BGP-Status | Erklärung | 
| --- | --- | --- | 
|   Der AWS-seitige Peer-BGP-Sitzungsstatus wurde von Inaktiv in Connect with neighbor \$1ip: xxx\$1 geändert   |   NACH UNTEN   |   Der BGP-Verbindungsstatus auf der AWS-Seite wurde auf Connect aktualisiert.   | 
|   Der Status der AWS-seitigen Peer-BGP-Sitzung wurde von Connect in OpenSent with neighbor \$1ip: xxx\$1 geändert   |   NACH UNTEN   |   Der BGP-Verbindungsstatus auf der AWS-Seite wurde aktualisiert auf OpenSent.   | 
|   Der Status der AWS-seitigen Peer-BGP-Sitzung wurde von OpenSent zu OpenConfirm mit dem Nachbarn \$1ip: xxx\$1 geändert   |   NACH UNTEN   |   Der BGP-Verbindungsstatus auf der AWS-Seite wurde aktualisiert auf OpenConfirm.   | 
|   Der Status der AWS-seitigen Peer-BGP-Sitzung wurde von OpenConfirm zu „Mit Nachbar eingerichtet \$1ip: xxx\$1“ geändert   |   OBEN   |   Der BGP-Verbindungsstatus auf der AWS-Seite wurde auf Established aktualisiert.   | 
|   Der Status der AWS-seitigen Peer-BGP-Sitzung wurde von Established in Inaktiv mit dem Nachbarn \$1ip: xxx\$1 geändert   |   NACH UNTEN   |   Der BGP-Verbindungsstatus auf der AWS-Seite wurde auf Idle aktualisiert.   | 
|   Der Status der AWS-seitigen Peer-BGP-Sitzung wurde von Connect in Active with neighbor \$1ip: xxx\$1 geändert   |   NACH UNTEN   |   Der BGP-Verbindungsstatus auf der AWS-Seite wurde von Connect auf Active umgestellt. Überprüfen Sie die Verfügbarkeit von TCP-Port 179 auf CGW, wenn die BGP-Sitzung im Connect-Status hängen bleibt.   | 
|   Der AWS-seitige Peer meldet eine Warnung zur maximalen Präfixbegrenzung — \$1Präfixe (Anzahl): xxx\$1 Präfixe vom Nachbarn \$1ip: xxx\$1 erhalten, Limit ist \$1Limit (numerisch): xxx\$1   |   OBEN   |   Die AWS-Seite generiert regelmäßig eine Protokollnachricht, wenn sich die Anzahl der vom CGW empfangenen Präfixe dem zulässigen Grenzwert nähert.   | 
|   Der AWS-seitige Peer hat festgestellt, dass das maximale Präfixlimit überschritten wurde — hat \$1Präfixe (Anzahl): xxx\$1 Präfixe vom Nachbarn \$1ip: xxx\$1 erhalten, Limit ist \$1Limit (numerisch): xxx\$1   |   NACH UNTEN   |   Die AWS-Seite generiert eine Protokollnachricht, wenn die Anzahl der vom CGW empfangenen Präfixe den zulässigen Grenzwert überschritten hat.   | 
|   Der AWS-seitige Peer hat eine Benachrichtigung 6/1 (Unterlassung/Maximale Anzahl von Präfixen erreicht) an den Nachbarn \$1ip: xxx\$1 gesendet   |   NACH UNTEN   |   Die AWS-Seite hat eine Benachrichtigung an den CGW-BGP-Peer gesendet, um darauf hinzuweisen, dass die BGP-Sitzung aufgrund einer Verletzung des Präfixlimits beendet wurde.   | 
|   Der AWS-seitige Peer hat die Benachrichtigung 6/1 (Einstellung oder maximale Anzahl von Präfixen erreicht) vom Nachbarn \$1ip: xxx\$1 erhalten   |   NACH UNTEN   |  Die AWS-Seite erhielt vom CGW-Peer eine Benachrichtigung mit dem Hinweis, dass die BGP-Sitzung aufgrund einer Verletzung des Präfixlimits beendet wurde.   | 
|   Der AWS-seitige Peer hat eine Benachrichtigung 6/2 (Cease/Administrative Shutdown) an den Nachbarn \$1ip: xxx\$1 gesendet   |   NACH UNTEN   |   Die AWS-Seite hat eine Benachrichtigung an den CGW-BGP-Peer gesendet, um darauf hinzuweisen, dass die BGP-Sitzung beendet wurde.   | 
|   Der AWS-seitige Peer hat die Benachrichtigung 6/2 (Cease/Administrative Shutdown) vom Nachbarn \$1ip: xxx\$1 erhalten   |   NACH UNTEN   |   Die AWS-Seite erhielt vom CGW-Peer eine Benachrichtigung mit dem Hinweis, dass die BGP-Sitzung beendet wurde.   | 
|   Der AWS-seitige Peer hat am 3. Juni eine Benachrichtigung (Cease/Peer Unconfigured) an den Nachbarn \$1ip: xxx\$1 gesendet   |   NACH UNTEN   |   Die AWS-Seite hat eine Benachrichtigung an den CGW-Peer gesendet, um darauf hinzuweisen, dass der Peer nicht konfiguriert ist oder aus der Konfiguration entfernt wurde.   | 
|   Der AWS-seitige Peer hat die Benachrichtigung 6/3 (Cease/Peer Unconfigured) vom Nachbarn \$1ip: xxx\$1 erhalten   |   NACH UNTEN   |   Die AWS-Seite hat vom CGW-Peer eine Benachrichtigung erhalten, die darauf hinweist, dass der Peer nicht konfiguriert ist oder aus der Konfiguration entfernt wurde.   | 
|   Der AWS-seitige Peer hat am 4. Juni eine Benachrichtigung (Cease/Administrative Reset) an den Nachbarn \$1ip: xxx\$1 gesendet   |   NACH UNTEN   |   Die AWS-Seite hat eine Benachrichtigung an den CGW-BGP-Peer gesendet, um darauf hinzuweisen, dass die BGP-Sitzung zurückgesetzt wurde.   | 
|   Der AWS-seitige Peer hat die Benachrichtigung 6/4 (Cease/Administrative Reset) vom Nachbarn \$1ip: xxx\$1 erhalten   |   NACH UNTEN   |   Die AWS-Seite erhielt vom CGW-Peer eine Benachrichtigung mit dem Hinweis, dass die BGP-Sitzung zurückgesetzt wurde.   | 
|   Der AWS-seitige Peer hat am 5. Juni eine Benachrichtigung (Unterlassung/Verbindung abgelehnt) an den Nachbarn \$1ip: xxx\$1 gesendet   |   NACH UNTEN   |   Die AWS-Seite hat eine Benachrichtigung an den CGW-BGP-Peer gesendet, um darauf hinzuweisen, dass die BGP-Sitzung abgelehnt wurde.   | 
|   Der AWS-seitige Peer hat die Benachrichtigung 6/5 (Unterbrechung/Verbindung abgelehnt) vom Nachbarn \$1ip: xxx\$1 erhalten   |   NACH UNTEN   |   Die AWS-Seite erhielt vom CGW-Peer eine Benachrichtigung mit dem Hinweis, dass die BGP-Sitzung abgelehnt wurde.   | 
|   Der AWS-seitige Peer hat am 6. Juni eine Benachrichtigung (Cease/Other Configuration Change) an den Nachbarn \$1ip: xxx\$1 gesendet   |   NACH UNTEN   |   Die AWS-Seite hat eine Benachrichtigung an den CGW-BGP-Peer gesendet, um darauf hinzuweisen, dass eine Änderung der BGP-Sitzungskonfiguration stattgefunden hat.   | 
|   Der AWS-seitige Peer hat die Benachrichtigung 6/6 (Einstellung oder andere Konfigurationsänderung) vom Nachbarn \$1ip: xxx\$1 erhalten   |   NACH UNTEN   |   Die AWS-Seite erhielt eine Benachrichtigung vom CGW-Peer, die darauf hinweist, dass eine Änderung der BGP-Sitzungskonfiguration stattgefunden hat.   | 
|   Der AWS-seitige Peer hat rund um die Uhr eine Benachrichtigung (Cease/Connection Collision Resolution) an den Nachbarn \$1ip: xxx\$1 gesendet   |   NACH UNTEN   |   Die AWS-Seite hat eine Benachrichtigung an den CGW-Peer gesendet, um eine Verbindungskollision zu lösen, wenn beide Peers versuchen, gleichzeitig eine Verbindung herzustellen.   | 
|   Der AWS-seitige Peer hat am 7. Juni eine Benachrichtigung (Behebung von Verbindungsabbrüchen) vom Nachbarn \$1ip: xxx\$1 erhalten   |   NACH UNTEN   |   Die AWS-Seite hat vom CGW-Peer eine Benachrichtigung erhalten, die darauf hinweist, dass eine Verbindungskollision behoben wurde, wenn beide Peers gleichzeitig versuchen, eine Verbindung herzustellen.   | 
|   Der AWS-seitige Peer hat eine Benachrichtigung über „Hold Timer Expired“ an den Nachbarn gesendet \$1ip: xxx\$1   |   NACH UNTEN   |   Der BGP-Hold-Timer ist abgelaufen und von der AWS-Seite wurde eine Benachrichtigung an die CGW gesendet.   | 
|   Der AWS-seitige Peer hat eine fehlerhafte OPEN-Nachricht vom Nachbarn \$1ip: xxx\$1 erkannt — Remote-AS ist \$1asn: xxx\$1, erwartet \$1asn: xxx\$1   |   NACH UNTEN   |   Die AWS-Seite hat festgestellt, dass eine fehlerhafte OPEN-Nachricht vom CGW-Peer empfangen wurde, was auf einen Konfigurationskonflikt hindeutet.   | 
|   Der AWS-seitige Peer hat eine OPEN-Nachricht vom Nachbarn \$1ip: xxx\$1 erhalten — Version 4, AS \$1asn: xxx\$1, holdtime \$1holdtime (seconds): xxx\$1, router-id \$1id: xxx\$1\$1   |   NACH UNTEN   |   Die AWS-Seite erhielt eine offene BGP-Nachricht, um eine BGP-Sitzung mit dem CGW-Peer einzuleiten.   | 
|   Der AWS-seitige Peer hat eine OPEN-Nachricht an den Nachbarn \$1ip: xxx\$1 gesendet — Version 4, AS \$1asn: xxx\$1, holdtime \$1holdtime (seconds): xxx\$1, router-id \$1id: xxx\$1   |   NACH UNTEN   |   Der CGW-Peer hat eine offene BGP-Nachricht gesendet, um eine BGP-Sitzung mit dem AWS-seitigen BGP-Peer zu initiieren.   | 
|   Der AWS-seitige Peer initiiert eine Verbindung (über Connect) zum Nachbarn \$1ip: xxx\$1   |   NACH UNTEN   |   Die AWS-Seite versucht, eine Verbindung mit dem CGW-BGP-Nachbarn herzustellen.   | 
|   Der AWS-seitige Peer hat eine End-of-RIB Nachricht an den Nachbarn gesendet \$1ip: xxx\$1   |   OBEN   |   Die AWS-Seite hat die Übertragung von Routen an das CGW nach dem Aufbau der BGP-Sitzung abgeschlossen.   | 
|   Der AWS-seitige Peer hat ein Update mit Attributen vom Nachbarn \$1ip: xxx\$1 erhalten — AS-Pfad: \$1aspath (list): xxx xxx xxx\$1   |   OBEN   |   Die AWS-Seite hat vom Nachbarn ein Update des BGP-Sitzungsattributs erhalten.   | 

### Statusmeldungen weiterleiten
<a name="sample-route-status-messages"></a>

 Im Gegensatz zu BGP-Statusmeldungen enthalten Route-Statusmeldungen Daten zu BGP-Attributen eines bestimmten Präfixes wie AS-Pfad, lokale Präferenz, Multi-Exit-Diskriminator (MED), Next-Hop-IP-Adresse und Gewicht. Eine Routenstatusmeldung enthält nur dann ein Detailfeld, wenn bei einer Route, die ANGEKÜNDIGT, AKTUALISIERT oder ZURÜCKGEZOGEN wurde, ein Fehler auftritt. Beispiele dafür sind wie folgt 


| Fehlermeldung | Erklärung | 
| --- | --- | 
|   ABGELEHNT aufgrund von: as-path enthält unser eigenes AS   |   BGP-Aktualisierungsnachrichten für ein neues Präfix von CGW wurden von AWS abgelehnt, da die Route den eigenen AS der AWS-seitigen Peers enthielt.   | 
|   ABGELEHNT aufgrund von: Next-Hop ohne Verbindung   |   AWS hat eine BGP-Routenankündigung für das Präfix von der CGW aufgrund eines fehlgeschlagenen Next-Hop-Validierungsfehlers abgelehnt. Stellen Sie sicher, dass die Route auf der CGW-Seite erreichbar ist.   | 

## Beispiel für ein Protokollformat für Tunnel-BGP-Protokolle
<a name="example-bgp-logs"></a>

```
{
    "resource_id": "vpn-1234abcd_1.2.3.4",
    "event_timestamp": 1762580429641,
    "timestamp": "2025-11-08 05:40:29.641Z",
    "type": "BGPStatus",
    "status": "UP",
    "message": {
        "details": "AWS-side peer BGP session state has changed from OpenConfirm to Established with neighbor 169.254.50.85"
    }
}

{
    "resource_id": "vpn-1234abcd_1.2.3.4",
    "event_timestamp": 1762579573243,
    "timestamp": "2025-11-08 05:26:13.243Z",
    "type": "RouteStatus",
    "status": "UPDATED",
    "message": {
        "prefix": "172.31.0.0/16",
        "asPath": "64512",
        "localPref": 100,
        "med": 100,
        "nextHopIp": "169.254.50.85",
        "weight": 32768,
        "details": "DENIED due to: as-path contains our own AS"
    }
}
```

## IAM-Anforderungen für die Veröffentlichung in Logs CloudWatch
<a name="publish-cw-logs"></a>



Damit die Protokollierungsfunktion ordnungsgemäß funktioniert, muss die an den IAM-Prinzipal angefügte IAM-Richtlinie, die zur Konfiguration der Funktion verwendet wird, mindestens die folgenden Berechtigungen enthalten. Weitere Informationen finden Sie auch im Abschnitt [Aktivieren der Protokollierung für bestimmte AWS Dienste](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}
```

------

# Konfiguration der AWS Site-to-Site VPN Logs anzeigen
<a name="status-logs"></a>

Sehen Sie sich das Aktivitätsprotokoll für eine Site-to-Site VPN-Verbindung an. Hier können Sie Details zur Konfiguration einsehen, z. B. zu Verschlüsselungsalgorithmen, oder ob Tunnel-VPN-Protokolle aktiviert sind. Sie können auch den Tunnelstatus einsehen. Auf diese Weise können Sie Probleme oder Konflikte, die Sie möglicherweise mit einer VPN-Verbindung haben, besser verfolgen. 

**So zeigen Sie die aktuellen Tunnelprotokollierungseinstellungen an**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Site-to-Site VPN-Verbindungen** aus.

1. Wählen Sie in der Liste **VPN connections (VPN–Verbindungen)** die VPN-Verbindung aus, die Sie anzeigen möchten.

1. Wählen Sie die Registerkarte **Tunnel details (Tunneldetails)** aus.

1. Erweitern Sie die Abschnitte **Tunnel 1 options (Tunnel-1-Optionen)** und **Tunnel 2 options (Tunnel-2-Optionen)**, um alle Details der Tunnelkonfiguration anzuzeigen.

1. Sie können den aktuellen Status der **Tunnel-VPN-Protokollfunktion** und die aktuell konfigurierte CloudWatch Protokollgruppe (falls vorhanden) unter **CloudWatch Protokollgruppe für Tunnel-VPN-Protokoll und das Protokollausgabeformat** unter **Ausgabeformat für Tunnel-VPN-Protokoll** anzeigen.

1. Sie können den aktuellen Status der **Tunnel-BGP-Protokollfunktion** und die aktuell konfigurierte CloudWatch Protokollgruppe (falls vorhanden) unter **CloudWatch Protokollgruppe für Tunnel-VPN-Protokoll und das Protokollausgabeformat** unter **Ausgabeformat für Tunnel-BGP-Protokoll** anzeigen.

**Um die aktuellen Tunnelprotokollierungseinstellungen für eine Site-to-Site VPN-Verbindung über die AWS Befehlszeile oder API anzuzeigen**
+ [DescribeVpnConnections](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnConnections.html)(Amazon EC2 EC2-Abfrage-API)
+ [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html) (AWS CLI)

# Protokolle aktivieren AWS Site-to-Site VPN
<a name="enable-logs"></a>

Aktivieren Sie Site-to-Site VPN-Protokolle, um VPN-Aktivitäten wie den Tunnelstatus und andere Details zu protokollieren. Sie können die Protokollierung für eine neue Verbindung aktivieren oder eine bestehende Verbindung ändern, um mit der Protokollierung von Aktivitäten zu beginnen. Wenn Sie die Protokollierung für eine Verbindung deaktivieren möchten, finden Sie weitere Informationen unter[Deaktivieren Sie Site-to-Site VPN-Protokolle](disable-logs.md).

**Anmerkung**  
Wenn Sie Site-to-Site VPN-Protokolle für einen bestehenden VPN-Verbindungstunnel aktivieren, kann Ihre Konnektivität über diesen Tunnel für mehrere Minuten unterbrochen werden. Um hohe Verfügbarkeit zu gewährleisten, bietet jede VPN-Verbindung jedoch zwei Tunnel, sodass Sie die Protokollierung für jeweils einen Tunnel aktivieren können, während die Konnektivität über den Tunnel erhalten bleibt, der nicht geändert wird. Weitere Informationen finden Sie unter [AWS Site-to-Site VPN Ersatz von Tunnelendpunkten](endpoint-replacements.md).

**Um die VPN-Protokollierung beim Erstellen einer neuen Site-to-Site VPN-Verbindung zu aktivieren**  
Folgen Sie dem Verfahren unter [Schritt 5: Eine VPN-Verbindung erstellen](SetUpVPNConnections.md#vpn-create-vpn-connection). In Schritt 9, **Tunnel Options (Tunneloptionen)**, können Sie alle Optionen angeben, die Sie für beide Tunnel verwenden möchten, einschließlich Optionen für die **VPN-Protokollierung**. Weitere Informationen zu diesen Optionen finden Sie unter [Tunneloptionen für Ihre AWS Site-to-Site VPN Verbindung](VPNTunnels.md).

**Um die Tunnelprotokollierung für eine neue Site-to-Site VPN-Verbindung über die AWS Befehlszeile oder API zu aktivieren**
+ [CreateVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnConnection.html)(Amazon EC2 EC2-Abfrage-API)
+ [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html) (AWS CLI)

**Um die Protokollierung von Tunnelaktivitäten für eine bestehende Site-to-Site VPN-Verbindung zu aktivieren**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Site-to-Site VPN-Verbindungen** aus.

1. Wählen Sie in der Liste **VPN connections (VPN-Verbindungen)** die VPN-Verbindung aus, die Sie ändern möchten.

1. Wählen Sie **Actions (Aktionen)**, **Modify VPN tunnel options (VPN-Tunneloptionen ändern)** aus.

1. Wählen Sie den zu ändernden Tunnel aus, indem Sie die entsprechende IP-Adresse in der Liste **VPN tunnel outside IP address (Externe IP-Adresse des VPN-Tunnels)** auswählen.

1. Wählen Sie unter **Tunnel activity log (Tunnelaktivitätsprotokoll)** die Option **Enable (Aktivieren)** aus.

1. Wählen Sie unter ** CloudWatch Amazon-Protokollgruppe** die CloudWatch Amazon-Protokollgruppe aus, an die die Protokolle gesendet werden sollen.

1. (Optional) Wählen Sie unter **Output format (Ausgabeformat)** das gewünschte Format für die Protokollausgabe: **json** oder **Text**.

1. Wählen Sie **Save Changes (Änderungen speichern)** aus.

1. (Optional) Wiederholen Sie die Schritte 4 bis 9 gegebenenfalls für den anderen Tunnel.

**Um die Tunnel-BGP-Protokollierung für eine bestehende Site-to-Site VPN-Verbindung zu aktivieren**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Site-to-Site VPN-Verbindungen** aus.

1. Wählen Sie in der Liste **VPN connections (VPN-Verbindungen)** die VPN-Verbindung aus, die Sie ändern möchten.

1. Wählen Sie **Actions (Aktionen)**, **Modify VPN tunnel options (VPN-Tunneloptionen ändern)** aus.

1. Wählen Sie den zu ändernden Tunnel aus, indem Sie die entsprechende IP-Adresse in der Liste **VPN tunnel outside IP address (Externe IP-Adresse des VPN-Tunnels)** auswählen.

1. Wählen Sie unter **Tunnel-BGP-Protokoll** die Option **Aktivieren** aus.

1. Wählen Sie unter ** CloudWatch Amazon-Protokollgruppe** die CloudWatch Amazon-Protokollgruppe aus, an die die Protokolle gesendet werden sollen.

1. (Optional) Wählen Sie unter **Output format (Ausgabeformat)** das gewünschte Format für die Protokollausgabe: **json** oder **Text**.

1. Wählen Sie **Save Changes (Änderungen speichern)** aus.

1. (Optional) Wiederholen Sie die Schritte 4 bis 9 gegebenenfalls für den anderen Tunnel.

**Um die Tunnelprotokollierung für eine bestehende Site-to-Site VPN-Verbindung über die AWS Befehlszeile oder API zu aktivieren**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html)(Amazon EC2 EC2-Abfrage-API)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)

# Protokolle deaktivieren AWS Site-to-Site VPN
<a name="disable-logs"></a>

Deaktivieren Sie die VPN-Protokollierung für eine Verbindung, wenn Sie keine Aktivitäten auf dieser Verbindung mehr verfolgen möchten. Diese Aktion deaktiviert nur die Protokollierung und wirkt sich auf nichts anderes für diese Verbindung aus. Informationen zum Aktivieren oder erneuten Aktivieren der Protokollierung für eine Verbindung finden Sie unter. [ Site-to-SiteVPN-Protokolle aktivieren](enable-logs.md)

**Informationen zum Deaktivieren der Protokollierung von Tunnelaktivitäten bei einer Site-to-Site VPN-Verbindung**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Site-to-Site VPN Connections** aus.

1. Wählen Sie in der Liste **VPN connections (VPN-Verbindungen)** die VPN-Verbindung aus, die Sie ändern möchten.

1. Wählen Sie **Actions (Aktionen)**, **Modify VPN tunnel options (VPN-Tunneloptionen ändern)** aus.

1. Wählen Sie den zu ändernden Tunnel aus, indem Sie die entsprechende IP-Adresse in der Liste **VPN tunnel outside IP address (Externe IP-Adresse des VPN-Tunnels)** auswählen.

1. Deaktivieren Sie unter **Tunnel activity log (Tunnelaktivitätsprotokoll)** die Option **Enable (Aktivieren)**.

1. Wählen Sie **Save Changes (Änderungen speichern)** aus.

1. (Optional) Wiederholen Sie die Schritte 4 bis 7 gegebenenfalls für den anderen Tunnel.

**Um die Tunnel-BGP-Protokollierung für eine Site-to-Site VPN-Verbindung zu deaktivieren**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Site-to-Site VPN Connections** aus.

1. Wählen Sie in der Liste **VPN connections (VPN-Verbindungen)** die VPN-Verbindung aus, die Sie ändern möchten.

1. Wählen Sie **Actions (Aktionen)**, **Modify VPN tunnel options (VPN-Tunneloptionen ändern)** aus.

1. Wählen Sie den zu ändernden Tunnel aus, indem Sie die entsprechende IP-Adresse in der Liste **VPN tunnel outside IP address (Externe IP-Adresse des VPN-Tunnels)** auswählen.

1. **Deaktivieren Sie unter **Tunnel-BGP-Protokoll** die Option Aktivieren.**

1. Wählen Sie **Save Changes (Änderungen speichern)** aus.

1. (Optional) Wiederholen Sie die Schritte 4 bis 7 gegebenenfalls für den anderen Tunnel.

**Um die Tunnelprotokollierung für eine Site-to-Site VPN-Verbindung über die AWS Befehlszeile oder API zu deaktivieren**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html)(Amazon EC2 EC2-Abfrage-API)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)

# Überwachen Sie AWS Site-to-Site VPN Tunnel mit Amazon CloudWatch
<a name="monitoring-cloudwatch-vpn"></a>

Sie können VPN-Tunnel überwachen CloudWatch, indem Rohdaten aus dem VPN-Dienst gesammelt und in lesbare Messwerte umgewandelt werden, die nahezu in Echtzeit verfügbar sind. Diese Statistiken werden für einen Zeitraum von 15 Monaten aufgezeichnet, damit Sie auf Verlaufsinformationen zugreifen können und einen besseren Überblick darüber erhalten, wie Ihre Webanwendung oder der Service ausgeführt werden. VPN-Metrikdaten werden automatisch an sie gesendet, CloudWatch sobald sie verfügbar sind.

Weitere Informationen finden Sie im [ CloudWatch Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).

**Topics**
+ [VPN-Metriken und Dimensionen](#metrics-dimensions-vpn)
+ [CloudWatch VPN-Metriken anzeigen](viewing-metrics.md)
+ [Erstellen Sie CloudWatch Alarme zur Überwachung von VPN-Tunneln](creating-alarms-vpn.md)

## VPN-Metriken und Dimensionen
<a name="metrics-dimensions-vpn"></a>

Die folgenden CloudWatch Messwerte sind für Ihre Site-to-Site VPN-Verbindungen verfügbar.


| Metrik | Beschreibung | 
| --- | --- | 
|  `TunnelState`  |  Der Status des Tunnels. Bei statischen VPNs Werten steht 0 für DOWN und 1 für UP. Für BGP VPNs steht 1 für ESTABLISHED und 0 wird für alle anderen Status verwendet. Für beide Typen von bedeuten Werte zwischen 0 und 1 VPNs, dass mindestens ein Tunnel nicht AKTIV ist. Einheiten: Bruchwert zwischen 0 und 1   | 
|  `TunnelDataIn` †  |  Die Byte, die auf der AWS Verbindungsseite durch den VPN-Tunnel von einem Kunden-Gateway empfangen wurden. Jeder Metrikdatenpunkt stellt die Anzahl der nach dem vorangegangenen Datenpunkt empfangenen Byte dar. Verwenden Sie die Summenstatistik, um die Gesamtanzahl der während des Zeitraums empfangenen Byte anzuzeigen. Diese Metrik zählt die Daten nach deren Entschlüsselung. Einheiten: Byte  | 
|  `TunnelDataOut` †  |  Die Byte, die von der AWS Verbindungsseite durch den VPN-Tunnel zum Kunden-Gateway gesendet werden. Jeder Metrikdatenpunkt stellt die Anzahl der nach dem vorangegangenen Datenpunkt gesendeten Byte dar. Verwenden Sie die Summenstatistik, um die Gesamtanzahl der während des Zeitraums gesendeten Byte anzuzeigen. Diese Metrik zählt die Daten vor deren Verschlüsselung. Einheiten: Byte  | 
|  `ConcentratorBandwidthUsage`  |  Die Bandbreitennutzung für eine Site-to-Site VPN Concentrator-Verbindung. Diese Metrik ist für VPN-Verbindungen verfügbar, die einen Site-to-Site VPN Concentrator verwenden. Verwenden Sie die Statistik „Durchschnitt“, um die durchschnittliche Bandbreitennutzung während des Zeitraums anzuzeigen. Einheiten: Bits pro Sekunde  | 

† Diese Metriken können die Netzwerkauslastung auch dann melden, wenn der Tunnel ausgefallen ist. Dies liegt an regelmäßigen Statusprüfungen, die am Tunnel durchgeführt werden, und auf Hintergrund-ARP- und BGP-Anfragen.

Verwenden Sie die nachstehenden Dimensionen, um die Metrikdaten zu filtern.


| Dimension | Description | 
| --- | --- | 
| `VpnId` |  Filtert die Metrikdaten nach der Site-to-Site VPN-Verbindungs-ID.  | 
| `TunnelIpAddress` |  Filtert die Metrikdaten nach der IP-Adresse des Tunnels für das virtuelle private Gateway.  | 

# Amazon CloudWatch Logs-Metriken anzeigen für AWS Site-to-Site VPN
<a name="viewing-metrics"></a>

Wenn Sie eine Site-to-Site VPN-Verbindung herstellen, sendet der VPN-Dienst Metriken zu Ihrer VPN-Verbindung an CloudWatch, sobald diese verfügbar sind. Sie können -Metriken für Ihre VPN-Verbindungen wie folgt anzeigen.

**So zeigen Sie Messwerte mithilfe der CloudWatch Konsole an**

Metriken werden zunächst nach dem Service-Namespace und anschließend nach den verschiedenen Dimensionskombinationen in den einzelnen Namespaces gruppiert.

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im Navigationsbereich **Metriken** aus.

1. Wählen Sie unter **All metrics** den Metriknamespace **VPN** aus.

1. Wählen Sie die Metrikdimension aus, um die Metriken anzuzeigen, z. B. **VPN-Tunnel-Metriken**.

**Anmerkung**  
Der VPN-Namespace wird erst in der CloudWatch Konsole angezeigt, nachdem in der angezeigten AWS Region eine Site-to-Site VPN-Verbindung hergestellt wurde.

**Um Metriken anzuzeigen, verwenden Sie AWS CLI**  
Geben Sie in einer Eingabeaufforderung den folgenden Befehl ein:

```
aws cloudwatch list-metrics --namespace "AWS/VPN"
```

# Erstellen Sie CloudWatch Amazon-Alarme zur Überwachung von AWS Site-to-Site VPN Tunneln
<a name="creating-alarms-vpn"></a>

Sie können einen CloudWatch Alarm erstellen, der eine Amazon SNS SNS-Nachricht sendet, wenn sich der Status des Alarms ändert. Ein Alarm überwacht eine Metrik über einen bestimmten, von Ihnen definierten Zeitraum und sendet eine Benachrichtigung an ein Amazon SNS-Thema, die vom Wert der Metrik im Verhältnis zu einem vorgegebenen Schwellenwert in einer Reihe von Zeiträumen abhängt. 

Sie können beispielsweise einen Alarm einrichten, der den Status eines einzelnen VPN-Tunnels überwacht und eine Benachrichtigung sendet, wenn der Tunnelstatus in 3 Datenpunkten innerhalb von 15 Minuten „DOWN“ lautet.

**So erstellen Sie einen Alarm für einen einzelnen Tunnelstatus**

1. Öffnen Sie die CloudWatch Konsole unter. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)

1. Erweitern Sie im Navigationsbereich **Alarme**, dann **Alle Alarme**.

1. Wählen Sie **Alarm erstellen** und dann **Metrik auswählen** aus.

1. Wählen Sie **VPN** und dann **VPN-Tunnelmetriken** aus.

1. Wählen Sie die IP-Adresse des gewünschten Tunnels in derselben Zeile wie die **TunnelState**Metrik aus. Wählen Sie **Select metric** (Metrik auswählen) aus.

1. Denn **wann immer TunnelState ist...** , wählen Sie **Niedriger** und geben Sie dann „1" in das Eingabefeld unter **als...** ein .

1. Legen Sie unter **Zusätzliche Konfiguration** die Eingaben für **Zu alarmierende Datenpunkte** auf „3 von 3“ fest.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie unter **Eine Benachrichtigung an das folgende SNS-Thema senden** eine vorhandene Benachrichtigungsliste aus oder erstellen Sie eine neue.

1. Wählen Sie **Weiter** aus.

1. Geben Sie einen Namen für den Alarm ein. Wählen Sie **Weiter** aus. 

1. Überprüfen Sie die Einstellungen für Ihren Alarm, und wählen Sie dann **Create alarm (Alarm erstellen)** aus.

Sie können einen Alarm erstellen, der den Status der Site-to-Site VPN-Verbindung überwacht. Sie können z. B. einen Alarm erstellen, der eine Benachrichtigung sendet, wenn der Status eines oder beider Tunnel für einen Zeitraum von 5 Minuten DOWN (Ausgefallen) ist.

**Um einen Alarm für den Site-to-Site VPN-Verbindungsstatus zu erstellen**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Erweitern Sie im Navigationsbereich **Alarme**, dann **Alle Alarme**.

1. Wählen Sie **Alarm erstellen** und dann **Metrik auswählen** aus.

1. Wählen Sie **VPN** und anschließend **VPN Connection Metrics (VPN-Verbindungsmetriken)** aus.

1. Wählen Sie Ihre Site-to-Site VPN-Verbindung und die **TunnelState**Metrik aus. Wählen Sie **Select metric (Ausgewählte Metrik)** aus.

1. Geben Sie bei **Statistic (Statistik)** **Maximum** an.

   Wenn Sie Ihre Site-to-Site VPN-Verbindung so konfiguriert haben, dass beide Tunnel aktiv sind, können Sie alternativ die Statistik **Minimum** angeben, um eine Benachrichtigung zu senden, wenn mindestens ein Tunnel ausgefallen ist.

1. Wählen Sie für **Jedes Mal** die Option **Kleiner/Gleich** (**<=**) aus. Geben Sie **0** ein (oder **0.5**, falls mindestens ein Tunnel ausgefallen ist). Wählen Sie **Weiter** aus.

1. Wählen Sie unter **Select an SNS topic (Ein SNS-Thema auswählen)** eine vorhandene Benachrichtigungsliste oder **New list (Neue Liste)** aus, um eine neue zu erstellen. Wählen Sie **Weiter** aus.

1. Geben Sie einen Namen und eine Beschreibung für Ihren Alarm ein. Wählen Sie **Weiter** aus. 

1. Überprüfen Sie die Einstellungen für Ihren Alarm, und wählen Sie dann **Create alarm (Alarm erstellen)** aus.

Sie können auch Alarme einrichten, die das Datenverkehrsvolumen überwachen, das in einen bzw. aus einem VPN-Tunnel kommt. Der folgende Alarm überwacht beispielsweise das Datenverkehrsvolumen, das von Ihrem Netzwerk in den VPN-Tunnel gesendet wird, und sendet eine Benachrichtigung, wenn innerhalb von 15 Minuten mehr als 5 000 000 Byte eingehen.

**So erstellen Sie einen Alarm für eingehenden Netzwerkdatenverkehr**

1. Öffnen Sie die CloudWatch Konsole unter. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)

1. Erweitern Sie im Navigationsbereich **Alarme**, dann **Alle Alarme**.

1. Wählen Sie **Alarm erstellen** und dann **Metrik auswählen** aus.

1. Wählen Sie **VPN** und dann **VPN Tunnel Metrics (VPN-Tunnelmetriken)** aus.

1. Wählen Sie die IP-Adresse des VPN-Tunnels und die **TunnelDataIn**Metrik aus. Wählen Sie **Select metric (Ausgewählte Metrik)** aus.

1. Geben Sie bei **Statistic (Statistik)** **Sum (Summe)** an. 

1. Wählen Sie bei **Period (Zeitraum)** **15 minutes (15 Minuten)** aus.

1. Wählen Sie für **Whenever (Jedes Mal)** die Option **Greater/Equal (Größer/Gleich)** (**>=**) aus, und geben Sie **5000000** ein. Wählen Sie **Weiter** aus.

1. Wählen Sie unter **Select an SNS topic (Ein SNS-Thema auswählen)** eine vorhandene Benachrichtigungsliste oder **New list (Neue Liste)** aus, um eine neue zu erstellen. Wählen Sie **Weiter** aus.

1. Geben Sie einen Namen und eine Beschreibung für Ihren Alarm ein. Wählen Sie **Weiter** aus. 

1. Überprüfen Sie die Einstellungen für Ihren Alarm, und wählen Sie dann **Create alarm (Alarm erstellen)** aus.

Der folgende Alarm überwacht das Datenverkehrsvolumen, das von VPN-Tunnel an Ihr Netzwerk gesendet wird, und sendet eine Benachrichtigung, wenn innerhalb von 15 Minuten weniger als 1 000 000 Byte eingehen.

**So erstellen Sie einen Alarm für ausgehenden Netzwerkdatenverkehr**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Erweitern Sie im Navigationsbereich **Alarme**, dann **Alle Alarme**.

1. Wählen Sie **Alarm erstellen** und dann **Metrik auswählen** aus.

1. Wählen Sie **VPN** und dann **VPN Tunnel Metrics (VPN-Tunnelmetriken)** aus.

1. Wählen Sie die IP-Adresse des VPN-Tunnels und die **TunnelDataOut**Metrik aus. Wählen Sie **Select metric (Ausgewählte Metrik)** aus.

1. Geben Sie bei **Statistic (Statistik)** **Sum (Summe)** an. 

1. Wählen Sie bei **Period (Zeitraum)** **15 minutes (15 Minuten)** aus.

1. Wählen Sie für **Whenever (Jedes Mal)** die Option **Lower/Equal (Kleiner/Gleich)** (**<=**) aus, und geben Sie `1000000` ein. Wählen Sie **Weiter** aus.

1. Wählen Sie unter **Select an SNS topic (Ein SNS-Thema auswählen)** eine vorhandene Benachrichtigungsliste oder **New list (Neue Liste)** aus, um eine neue zu erstellen. Wählen Sie **Weiter** aus.

1. Geben Sie einen Namen und eine Beschreibung für Ihren Alarm ein. Wählen Sie **Weiter** aus. 

1. Überprüfen Sie die Einstellungen für Ihren Alarm, und wählen Sie dann **Create alarm (Alarm erstellen)** aus.

Weitere Beispiele für die Erstellung von Alarmen finden Sie unter [ CloudWatch Amazon-Alarme erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) im * CloudWatch Amazon-Benutzerhandbuch*.

# AWS Health und AWS Site-to-Site VPN Ereignisse
<a name="monitoring-vpn-health-events"></a>

AWS Site-to-Site VPN sendet automatisch Benachrichtigungen an die [Health Dashboard](https://docs.aws.amazon.com/health/latest/ug/aws-health-dashboard-status.html). Dieses Dashboard erfordert keine Einrichtung und ist für authentifizierte AWS Benutzer sofort einsatzbereit. Sie können mehrere Aktionen als Reaktion auf Ereignisbenachrichtigungen über das konfiguriere Health Dashboard.

Das Health Dashboard bietet die folgenden Arten von Benachrichtigungen für Ihre VPN-Verbindungen:
+ [Benachrichtigungen über den Austausch von Tunnel-Endpunkten](#tunnel-replacement-notifications)
+ [VPN-Benachrichtigungen für einen einzelnen Tunnel](#single-tunnel-notifications)

## Benachrichtigungen über den Austausch von Tunnel-Endpunkten
<a name="tunnel-replacement-notifications"></a>

Sie erhalten eine **Benachrichtigung über den Austausch von Tunnelendpunkten**, Health Dashboard wenn einer oder beide VPN-Tunnelendpunkte in Ihrer VPN-Verbindung ausgetauscht werden. Ein Tunnelendpunkt wird ersetzt, wenn AWS Tunnelaktualisierungen durchführt oder wenn Sie Ihre VPN-Verbindung ändern. Weitere Informationen finden Sie unter [AWS Site-to-Site VPN Ersatz von Tunnelendpunkten](endpoint-replacements.md).

Wenn der Austausch eines Tunnelendpunkts abgeschlossen ist, wird die **Benachrichtigung über den Austausch des Tunnelendpunkts** im Rahmen eines Health Dashboard Ereignisses AWS gesendet.

## VPN-Benachrichtigungen für einen einzelnen Tunnel
<a name="single-tunnel-notifications"></a>

Eine Site-to-Site VPN-Verbindung besteht aus Redundanzgründen aus zwei Tunneln. Wir empfehlen dringend, dass Sie beide Tunnel für hohe Verfügbarkeit konfigurieren. Wenn bei Ihrer VPN-Verbindung ein Tunnel aktiv ist, der andere jedoch für mehr als eine Stunde an einem Tag ausgefallen ist, erhalten Sie eine *monatliche* **VPN-Einzeltunnel-Benachrichtigung** über ein Health Dashboard -Ereignis. Dieses Ereignis wird täglich aktualisiert, sobald alle neuen VPN-Verbindungen als einziger Tunnel erkannt werden, wobei wöchentlich Benachrichtigungen gesendet werden. Jeden Monat wird ein neues Ereignis erstellt, das alle VPN-Verbindungen löscht, die nicht mehr als einzelner Tunnel erkannt werden.