

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# AWS Site-to-Site VPN registros
<a name="monitoring-logs"></a>

AWS Site-to-Site VPN los registros le proporcionan una mayor visibilidad de sus despliegues de Site-to-Site VPN. Con esta función, tiene acceso a los registros de conexiones Site-to-Site VPN que proporcionan detalles sobre el establecimiento del túnel de seguridad IP (IPsec), las negociaciones sobre el intercambio de claves de Internet (IKE), los mensajes del protocolo de detección de puntos muertos (DPD), el estado del protocolo Border Gateway (BGP) y las actualizaciones de enrutamiento.

Site-to-Site Los registros de VPN se pueden publicar en Amazon CloudWatch Logs. Esta función proporciona a los clientes una forma única y coherente de acceder a los registros detallados de todas sus conexiones Site-to-Site VPN y analizarlos.

**Topics**
+ [Ventajas de los registros de Site-to-Site VPN](#log-benefits)
+ [Restricciones de tamaño de la política de recursos de Amazon CloudWatch Logs](#cwl-policy-size)
+ [Site-to-Site Contenido del registro de la VPN](#log-contents)
+ [Ejemplo de formato de registro para los registros BGP de Tunnel](#example-bgp-logs)
+ [Requisitos de IAM para publicar en los registros CloudWatch](#publish-cw-logs)
+ [Vea la configuración de los registros de la Site-to-Site VPN](status-logs.md)
+ [Habilite los registros de Site-to-Site VPN](enable-logs.md)
+ [Deshabilite los registros de Site-to-Site VPN](disable-logs.md)

## Ventajas de los registros de Site-to-Site VPN
<a name="log-benefits"></a>
+ **Solución de problemas simplificada con la Site-to-Site VPN:** los registros de la VPN le ayudan a detectar las discrepancias de configuración entre AWS el dispositivo de puerta de enlace del cliente y a solucionar los problemas iniciales de conectividad de la VPN. Las conexiones de VPN pueden cambiar de forma intermitente con el tiempo debido a ajustes mal configurados (como tiempos de espera mal ajustados), puede haber problemas en las redes de transporte subyacentes (como el tiempo de Internet) o los cambios de enrutamiento o los errores de ruta pueden provocar la interrupción de la conectividad a través de VPN. Esta característica le permite diagnosticar con precisión la causa de los errores de conexión intermitentes y ajustar la configuración del túnel de bajo nivel para lograr un funcionamiento fiable.
+ ** AWS Site-to-Site VPN Visibilidad centralizada:** los registros de Site-to-Site VPN pueden proporcionar registros de actividad de túneles y de enrutamiento BGP en todos los tipos de conexiones de Site-to-Site VPN. Esta función proporciona a los clientes una forma única y coherente de acceder a los registros detallados de todas sus conexiones Site-to-Site VPN y analizarlos.
+ **Seguridad y conformidad:** los registros de Site-to-Site VPN se pueden enviar a Amazon CloudWatch Logs para un análisis retrospectivo del estado y la actividad de la conexión VPN a lo largo del tiempo. Esto puede ayudarle a cumplir con los requisitos reglamentarios y de conformidad.

## Restricciones de tamaño de la política de recursos de Amazon CloudWatch Logs
<a name="cwl-policy-size"></a>

CloudWatch Las políticas de recursos de Logs están limitadas a 5120 caracteres. Cuando CloudWatch Logs detecta que una política se acerca a este límite de tamaño, habilita automáticamente los grupos de registros que comiencen por. `/aws/vendedlogs/` Cuando habilita el registro, la Site-to-Site VPN debe actualizar su política de recursos de CloudWatch registros con el grupo de registros que especifique. Para evitar alcanzar el límite de tamaño de la política de recursos de CloudWatch registros, añada el prefijo a los nombres de los grupos de registros. `/aws/vendedlogs/`

## Site-to-Site Contenido del registro de VPN
<a name="log-contents"></a>

La siguiente información se incluye en el registro de actividad del túnel Site-to-Site VPN. El nombre del archivo de flujo de registro utiliza VpnConnection ID y TunnelOutsideIPAddress.


| Campo | Description (Descripción) | 
| --- | --- | 
|  VpnLogCreationTimestamp (`event_timestamp`)  |  Marca de tiempo de creación del registro en formato de época.  | 
|  VpnLogCreationTimestampReadable (`timestamp`)  |  Marca de tiempo de creación del registro en formato de tiempo legible por humanos.  | 
|  Túnel DPDEnabled () `dpd_enabled`  |  Estado habilitado del protocolo de detección de pares muertos (verdadero/falso).  | 
|  CGWNATTDetectionEstado del túnel (`nat_t_detected`)  | NAT-T detectado en el dispositivo de puerta de enlace de cliente (verdadero/falso). | 
|  IKEPhase1Estado del túnel (`ike_phase1_state`)  | Estado del protocolo de fase 1 de IKE (Establecido \$1 Cambio de clave \$1 Negociación \$1 Inactivo). | 
| IKEPhase2Estado del túnel (ike\$1phase2\$1state) | Estado del protocolo de fase 2 de IKE (Establecido \$1 Cambio de clave \$1 Negociación \$1 Inactivo). | 
| VpnLogDetail (details) | Mensajes detallados para IPsec los protocolos IKE y DPD. | 

La siguiente información se incluye en el registro BGP del túnel Site-to-Site VPN. El nombre del archivo de flujo de registro utiliza VpnConnection ID y TunnelOutsideIPAddress.


| Campo | Description (Descripción) | 
| --- | --- | 
|  resource\$1id  |  Un identificador único para identificar el túnel y la conexión VPN a la que está asociado el registro.  | 
|  event\$1timestamp  |  Marca de tiempo de creación del registro en formato de época.  | 
|  timestamp  |  Marca de tiempo de creación del registro en formato de tiempo legible por humanos.  | 
|  type  | Tipo de evento de registro de BGP (\$1)BGPStatus . RouteStatus | 
|  status  | actualización de estado para un tipo específico de registro de eventos (BGPStatus: ARRIBA \$1 ABAJO) (RouteStatus: ANUNCIADO \$1la ruta la anunció el par\$1 \$1 ACTUALIZADO: \$1el par actualizó la ruta existente\$1 \$1 RETIRADA: \$1el par retiró la ruta\$1). | 
| message | Proporciona detalles adicionales sobre el registro de eventos y su estado. Este campo le ayudará a entender por qué BGPStatus no se utiliza la ruta y qué atributos se intercambiaron en el RouteStatus mensaje. | 

**Topics**
+ [IKEv1 Mensajes de error](#sample-log-ikev1)
+ [IKEv2 Mensajes de error](#sample-log-ikev2)
+ [IKEv2 Mensajes de negociación](#sample-log-ikev2-negotiation)
+ [Mensajes de estado del BGP](#sample-bgp-status-messages)
+ [Mensajes de estado de la ruta](#sample-route-status-messages)

### IKEv1 Mensajes de error
<a name="sample-log-ikev1"></a>


| Mensaje | Explicación | 
| --- | --- | 
|  El par no responde: declarar muerto al par  |  El par no ha respondido a los mensajes de DPD, por lo que se ha impuesto la acción de tiempo de espera del DPD.  | 
|  AWS El descifrado de la carga útil del túnel no se pudo realizar debido a que la clave previamente compartida no era válida  |  Se debe configurar la misma clave previamente compartida en ambos pares de IKE.  | 
|  No se encontró ninguna propuesta que coincidiera AWS  |  El punto de conexión de AWS VPN no admite los atributos propuestos para la fase 1 (cifrado, hash y grupo DH), por ejemplo, `3DES`.  | 
|  No se encontró ninguna coincidencia de propuesta. Notificación con la opción «No se ha elegido ninguna propuesta»  |  Se intercambia el mensaje de error No Propuesta elegida entre pares para indicar que se Proposals/Policies debe configurar la correcta para la fase 2 en IKE Peers.  | 
|  AWS tunnel recibió el comando DELETE para la SA de fase 2 con el SPI: xxxx  | CGW ha enviado el mensaje Delete\$1SA para la fase 2. | 
|  AWS tunnel recibió un DELETE para IKE\$1SA de CGW  | CGW ha enviado el mensaje Delete\$1SA para la fase 1. | 

### IKEv2 Mensajes de error
<a name="sample-log-ikev2"></a>


| Mensaje | Explicación | 
| --- | --- | 
|  AWS Se agotó el tiempo de espera del DPD del túnel después de la retransmisión de \$1retry\$1count\$1  |  El par no ha respondido a los mensajes de DPD, por lo que se ha impuesto la acción de tiempo de espera del DPD.   | 
|  AWS El túnel recibió el comando DELETE para IKE\$1SA de CGW  |  El par ha enviado el mensaje Delete\$1SA para Parent/IKE\$1SA.  | 
| AWS tunnel recibió DELETE para la SA de fase 2 con el SPI: xxxx | El par ha enviado el mensaje Delete\$1SA para CHILD\$1SA. | 
|  AWS El túnel detectó una colisión (CHILD\$1REKEY) como CHILD\$1DELETE  |  CGW ha enviado el mensaje Delete\$1SA para la SA activa, a la que se le está cambiando la clave.  | 
|  AWS La SA redundante del túnel (CHILD\$1SA) se está eliminando debido a una colisión detectada  | Debido a una colisión, si SAs se generan redundantes, Peers cerrará la SA redundante después de hacer coincidir los valores de nonce según la RFC. | 
|  AWS No se pudo establecer la fase 2 del túnel mientras se mantenía la fase 1  | El par no pudo establecer CHILD\$1SA debido a un error de negociación, por ejemplo, a una propuesta incorrecta.  | 
| AWS: Selector de tráfico: TS\$1UNACCEPTABLE: recibido del agente de respuesta | Peer ha propuesto un Selectors/Encryption dominio de tráfico incorrecto. Los pares deben configurarse con el mismo y el correcto CIDRs. | 
| AWS el túnel envía AUTHENTICATION\$1FAILED como respuesta | El par no puede autenticar al par al verificar el contenido del mensaje IKE\$1AUTH | 
| AWS tunnel detectó una falta de coincidencia de claves previamente compartidas con cgw: xxxx | Se debe configurar la misma clave previamente compartida en ambos pares de IKE. | 
| AWS Tiempo de espera del túnel: eliminar el IKE\$1SA de fase 1 no establecido con cgw: xxxx | La eliminación de IKE\$1SA semiabierto como par no ha continuado con las negociaciones | 
| No se encontró ninguna coincidencia de propuesta. Notificación con la opción «No se ha elegido ninguna propuesta» | Los pares no intercambian ningún mensaje de error de propuesta elegida para informar que las propuestas correctas se deben configurar en pares de IKE. | 
| No se encontró ninguna propuesta que coincidiera AWS | Los atributos propuestos para la fase 1 o la fase 2 (cifrado, hash y grupo DH) no son compatibles con AWS VPN Endpoint, `3DES` por ejemplo. | 

### IKEv2 Mensajes de negociación
<a name="sample-log-ikev2-negotiation"></a>


| Mensaje | Explicación | 
| --- | --- | 
|  AWS solicitud procesada por túnel (id=xxx) para CREATE\$1CHILD\$1SA  |  AWS ha recibido la solicitud CREATE\$1CHILD\$1SA de CGW.  | 
|  AWS tunnel está enviando una respuesta (id=xxx) para CREATE\$1CHILD\$1SA  |  AWS está enviando la respuesta CREATE\$1CHILD\$1SA a CGW.  | 
| AWS tunnel está enviando una solicitud (id=xxx) para CREATE\$1CHILD\$1SA | AWS está enviando la solicitud CREATE\$1CHILD\$1SA a CGW. | 
|  AWS respuesta procesada por túnel (id=xxx) para CREATE\$1CHILD\$1SA  |  AWS ha recibido la respuesta CREATE\$1CHILD\$1SA de CGW.  | 

### Mensajes de estado del BGP
<a name="sample-bgp-status-messages"></a>

 Los mensajes de estado de BGP contienen información relacionada con las transiciones de estado de la sesión de BGP, las advertencias de límite de prefijos, las infracciones de los límites, las notificaciones de sesión de BGP, los mensajes de BGP OPEN y las actualizaciones de atributos de un BGP vecino para una sesión de BGP determinada. 


| Mensaje | Estado de BGP | Explicación | 
| --- | --- | --- | 
|   El estado de la sesión BGP homóloga del lado de AWS ha cambiado de Inactivo a Connect with neighbor \$1ip: xxx\$1   |   ABAJO   |   El estado de la conexión BGP en AWS se ha actualizado a Connect.   | 
|   El estado de la sesión BGP homóloga del lado de AWS ha cambiado de Connect a OpenSent with neighbor \$1ip: xxx\$1   |   ABAJO   |   El estado de la conexión BGP en el lado de AWS se ha actualizado a OpenSent.   | 
|   El estado de la sesión BGP homóloga del lado de AWS ha cambiado de OpenSent a OpenConfirm con el vecino \$1ip: xxx\$1   |   ABAJO   |   El estado de la conexión BGP en el lado de AWS se ha actualizado a OpenConfirm.   | 
|   El estado de la sesión BGP homóloga del lado de AWS ha cambiado de OpenConfirm a Establecido con el vecino \$1ip: xxx\$1   |   ARRIBA   |   El estado de la conexión BGP en el lado de AWS se actualizó a Established.   | 
|   El estado de la sesión BGP homóloga del lado de AWS ha cambiado de establecido a inactivo con el vecino \$1ip: xxx\$1   |   ABAJO   |   El estado de la conexión BGP en el lado de AWS se ha actualizado a inactivo.   | 
|   El estado de la sesión BGP homóloga del lado de AWS ha cambiado de Connect a Active with neighbor \$1ip: xxx\$1   |   ABAJO   |   El estado de la conexión BGP en el lado de AWS pasó de Connect a Active. Compruebe la disponibilidad del puerto TCP 179 en CGW si la sesión BGP está bloqueada en el estado Connect.   | 
|   El par de AWS informa de una advertencia de límite máximo de prefijos: recibió \$1prefijos (count): xxx\$1 prefijos del vecino \$1ip: xxx\$1, el límite es \$1limit (numérico): xxx\$1   |   ARRIBA   |   La parte de AWS genera periódicamente un mensaje de registro cuando el número de prefijos recibidos de la CGW se acerca al límite permitido.   | 
|   El par de AWS detectó que se había superado el límite máximo de prefijos: recibió \$1prefijos (recuento): xxx\$1 prefijos del vecino \$1ip: xxx\$1, el límite es \$1límite (numérico): xxx\$1   |   ABAJO   |   La parte de AWS genera un mensaje de registro cuando la cantidad de prefijos recibidos de la CGW supera el límite permitido.   | 
|   Un compañero de AWS envió una notificación 6/1 (cesar/alcanzar el número máximo de prefijos) al vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS envió una notificación al par BGP de CGW para indicar que la sesión de BGP había finalizado debido a una infracción del límite de prefijos.   | 
|   El compañero de AWS recibió la notificación 6/1 (cesar/alcanzar el número máximo de prefijos) del vecino \$1ip: xxx\$1   |   ABAJO   |  La parte de AWS recibió una notificación del par de CGW en la que se indicaba que la sesión de BGP había finalizado debido a una infracción del límite de prefijos.   | 
|   Un compañero del lado de AWS envió una notificación 6/2 (ceso/cierre administrativo) al vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS envió una notificación al par BGP de CGW para indicar que la sesión de BGP había finalizado.   | 
|   Un compañero del lado de AWS recibió la notificación 6/2 (cese o cierre administrativo) del vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS recibió una notificación del par de CGW para indicar que la sesión de BGP había finalizado.   | 
|   Un compañero del lado de AWS envió una notificación 6/3 (Cease/Peer sin configurar) al vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS envió una notificación al par de CGW para indicar que el par no está configurado o se ha eliminado de la configuración.   | 
|   El compañero del lado de AWS recibió la notificación 6/3 (Cease/Peer sin configurar) del vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS recibió una notificación del par de CGW para indicar que el par no está configurado o se ha eliminado de la configuración.   | 
|   Un compañero del lado de AWS envió una notificación 6/4 (ceso/restablecimiento administrativo) al vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS envió una notificación al par BGP de CGW para indicar que se había restablecido la sesión de BGP.   | 
|   Un compañero de AWS recibió la notificación 6/4 (ceso/restablecimiento administrativo) del vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS recibió una notificación del par de CGW para indicar que la sesión de BGP se había restablecido.   | 
|   Un compañero del lado de AWS envió una notificación el 6 de mayo (cese o conexión rechazada) al vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS envió una notificación al par BGP de CGW para indicar que se había rechazado la sesión de BGP.   | 
|   El compañero de AWS recibió la notificación 6/5 (cesar/conexión rechazada) del vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS recibió una notificación del par de CGW en la que se indicaba que la sesión de BGP había sido rechazada.   | 
|   Un compañero del lado de AWS envió una notificación 6/6 (cesar/otro cambio de configuración) al vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS envió una notificación al par BGP de CGW para indicar que se había producido un cambio en la configuración de la sesión de BGP.   | 
|   El compañero de AWS recibió la notificación 6/6 (cesar/otro cambio de configuración) del vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS recibió una notificación del par CGW que indica que se ha producido un cambio en la configuración de la sesión de BGP.   | 
|   Un compañero del lado de AWS envió una notificación 6/7 (resolución de ceso/colisión de conexión) al vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS envió una notificación al par de CGW para resolver una colisión de conexión cuando ambos pares intentaban establecer una conexión simultáneamente.   | 
|   Un compañero del lado de AWS recibió la notificación 6/7 (resolución de ceso/colisión de conexión) del vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS recibió una notificación del par CGW en la que se indicaba la resolución de una colisión de conexión cuando ambos pares intentaban establecer una conexión simultáneamente.   | 
|   Un compañero de AWS envió una notificación de caducidad del temporizador de espera al vecino \$1ip: xxx\$1   |   ABAJO   |   El temporizador de espera del BGP expiró y la parte de AWS envió una notificación a la CGW.   | 
|   Un par del lado de AWS detectó un mensaje OPEN incorrecto del vecino \$1ip: xxx\$1; el AS remoto es \$1asn: xxx\$1, se esperaba \$1asn: xxx\$1   |   ABAJO   |   La parte de AWS detectó que se había recibido un mensaje OPEN incorrecto del par CGW, lo que indica una discordancia de configuración.   | 
|   Un compañero de AWS recibió un mensaje OPEN del vecino \$1ip: xxx\$1: versión 4, AS \$1asn: xxx\$1, holdtime \$1holdtime (seconds): xxx\$1, router-id \$1id: xxx\$1\$1   |   ABAJO   |   La parte de AWS recibió un mensaje de apertura de BGP para iniciar una sesión de BGP con el par de CGW.   | 
|   Un compañero de AWS envió un mensaje OPEN al vecino \$1ip: xxx\$1: versión 4, AS \$1asn: xxx\$1, holdtime \$1holdtime (seconds): xxx\$1, router-id \$1id: xxx\$1   |   ABAJO   |   El par de CGW envió un mensaje de apertura de BGP para iniciar una sesión de BGP con el par de BGP del lado de AWS.   | 
|   El par del lado de AWS está iniciando una conexión (a través de Connect) con el vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS está intentando conectarse con el vecino BGP de CGW.   | 
|   Un compañero de AWS envió un End-of-RIB mensaje a su vecino \$1ip: xxx\$1   |   ARRIBA   |   La parte de AWS ha terminado de transmitir las rutas a la CGW tras el establecimiento de la sesión de BGP.   | 
|   El compañero de AWS recibió una actualización con los atributos del vecino \$1ip: xxx\$1 - AS path: \$1aspath (list): xxx xxx xxx\$1   |   ARRIBA   |   La parte de AWS recibió una actualización de los atributos de sesión de BGP del vecino.   | 

### Mensajes de estado de la ruta
<a name="sample-route-status-messages"></a>

 A diferencia de los mensajes de estado del BGP, los mensajes de estado de la ruta contienen datos sobre los atributos del BGP de un prefijo determinado, como la ruta AS, la preferencia local, el discriminador de salidas múltiples (MED), la dirección IP del siguiente salto y el peso. Un mensaje de estado de la ruta solo incluirá un campo de detalles cuando haya un error en una ruta que se anunció, actualizó o retiró. Algunos ejemplos son los siguientes 


| Mensaje | Explicación | 
| --- | --- | 
|   DENEGADO debido a: as-path contiene nuestro propio AS   |   AWS denegó los mensajes de actualización de BGP para un nuevo prefijo de CGW debido a que la ruta contenía el AS propio de los pares del lado de AWS.   | 
|   DENEGADO debido a: el siguiente salto no está conectado   |   AWS rechazó un anuncio de ruta BGP para el prefijo de la CGW debido a un error de validación del siguiente salto no conectado. Asegúrese de que se pueda acceder a la ruta por el lado de la CGW.   | 

## Ejemplo de formato de registro para los registros BGP de Tunnel
<a name="example-bgp-logs"></a>

```
{
    "resource_id": "vpn-1234abcd_1.2.3.4",
    "event_timestamp": 1762580429641,
    "timestamp": "2025-11-08 05:40:29.641Z",
    "type": "BGPStatus",
    "status": "UP",
    "message": {
        "details": "AWS-side peer BGP session state has changed from OpenConfirm to Established with neighbor 169.254.50.85"
    }
}

{
    "resource_id": "vpn-1234abcd_1.2.3.4",
    "event_timestamp": 1762579573243,
    "timestamp": "2025-11-08 05:26:13.243Z",
    "type": "RouteStatus",
    "status": "UPDATED",
    "message": {
        "prefix": "172.31.0.0/16",
        "asPath": "64512",
        "localPref": 100,
        "med": 100,
        "nextHopIp": "169.254.50.85",
        "weight": 32768,
        "details": "DENIED due to: as-path contains our own AS"
    }
}
```

## Requisitos de IAM para publicar en los registros CloudWatch
<a name="publish-cw-logs"></a>


Para que la característica de registro funcione correctamente, la política de IAM asociada a la entidad principal de IAM que se está utilizando para configurar la característica debe incluir los siguientes permisos como mínimo. También puedes encontrar más información en la sección [Habilitar el registro desde determinados AWS servicios](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html) de la *Guía del usuario de Amazon CloudWatch Logs*.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}
```

------

# Vea la configuración AWS Site-to-Site VPN de los registros
<a name="status-logs"></a>

Vea el registro de actividad de una conexión Site-to-Site VPN. Aquí puede ver los detalles sobre la configuración, como los algoritmos de cifrado o si los registros de VPN de túnel están habilitados. También puede ver el estado del túnel. Esto le ayuda a realizar un mejor seguimiento de cualquier problema o conflicto que pueda tener con una conexión de VPN. 

**Para consultar la configuración actual de registro de túnel**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, selecciona **conexiones Site-to-Site VPN**.

1. Seleccione la conexión de VPN que desea ver en la lista **VPN connections** (Conexiones de VPN).

1. Elija la pestaña **Tunnel details** (Detalles de túnel).

1. Amplíe las secciones **Tunnel 1 options** (Opciones de túnel 1) y **Tunnel 2 options** (Opciones de túnel 2) para ver todos los detalles de configuración de los túneles.

1. Puede ver el estado actual de la función de **registro de VPN de túnel** y el grupo de CloudWatch registros actualmente configurado (si lo hay) en el **grupo de registros para el CloudWatch registro de VPN de túnel** y el formato de salida del registro en Formato de **salida para el registro de VPN de túnel**.

1. Puede ver el estado actual de la función de **registro BGP de túnel** y el grupo de CloudWatch registros actualmente configurado (si lo hubiera) en el grupo de registros del **CloudWatch registro de VPN de túnel** y el formato de salida del registro en Formato de **salida para el registro BGP de túnel**.

**Para ver la configuración actual del registro de túneles en una conexión Site-to-Site VPN mediante la línea de AWS comandos o la API**
+ [DescribeVpnConnections](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnConnections.html)(API de consultas de Amazon EC2)
+ [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html) (AWS CLI)

# Habilitar los registros AWS Site-to-Site VPN
<a name="enable-logs"></a>

Habilite Site-to-Site los registros de VPN para registrar la actividad de la VPN, como el estado del túnel y otros detalles. Puede habilitar el registro en una conexión nueva o modificar una conexión existente para iniciar el registro de la actividad. Si desea desactivar el registro de una conexión, consulte [Deshabilite los registros de Site-to-Site VPN](disable-logs.md).

**nota**  
Al habilitar los registros de Site-to-Site VPN para un túnel de conexión VPN existente, la conectividad a través de ese túnel puede interrumpirse durante varios minutos. Sin embargo, cada conexión de VPN ofrece dos túneles para una alta disponibilidad, por lo que puede habilitar el registro en un túnel a la vez mientras mantiene la conectividad a través del túnel que no se modifica. Para obtener más información, consulte [AWS Site-to-Site VPN reemplazos de puntos finales de túneles](endpoint-replacements.md).

**Para habilitar el registro de VPN durante la creación de una nueva conexión Site-to-Site VPN**  
Siga el procedimiento indicado en [Paso 5: Crear una conexión de VPN](SetUpVPNConnections.md#vpn-create-vpn-connection). En las **Tunnel Options** (Opciones de túnel) del Paso 9, puede especificar todas las opciones que desea usar para ambos túneles, como las opciones de **VPN logging** (Registro de VPN). Para obtener más información sobre estas opciones, consulte [Opciones de túnel para su AWS Site-to-Site VPN conexión](VPNTunnels.md).

**Para habilitar el registro por túnel en una nueva conexión Site-to-Site VPN mediante la línea de AWS comandos o la API**
+ [CreateVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnConnection.html)(API de consultas de Amazon EC2)
+ [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html) (AWS CLI)

**Para habilitar el registro de la actividad del túnel en una Site-to-Site conexión VPN existente**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, selecciona **conexiones Site-to-Site VPN**.

1. Seleccione la conexión de VPN que desea modificar de la lista **VPN connections** (Conexiones de VPN).

1. Seleccione **Actions** (Acciones), **Modify VPN tunnel options** (Modificar opciones de túnel de VPN).

1. Seleccione el túnel que desea modificar; para ello, elija la dirección IP adecuada en la lista **VPN tunnel outside IP address** (Túnel de VPN fuera de la dirección IP).

1. En **Tunnel activity log** (Registro de actividad de túnel), seleccione **Enable** (Habilitar).

1. En **Grupo de CloudWatch registros de Amazon**, selecciona el grupo de CloudWatch registros de Amazon al que quieres que se envíen los registros.

1. (Opcional) En **Output format** (Formato de salida), elija el formato deseado para la salida del registro, ya sea **json** o **text** (texto).

1. Seleccione **Save changes** (Guardar cambios).

1. (Opcional) Repita los pasos 4 a 9 para el otro túnel si lo desea.

**Para habilitar el registro BGP de túnel en una Site-to-Site conexión VPN existente**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **conexiones Site-to-Site VPN**.

1. Seleccione la conexión de VPN que desea modificar de la lista **VPN connections** (Conexiones de VPN).

1. Seleccione **Actions** (Acciones), **Modify VPN tunnel options** (Modificar opciones de túnel de VPN).

1. Seleccione el túnel que desea modificar; para ello, elija la dirección IP adecuada en la lista **VPN tunnel outside IP address** (Túnel de VPN fuera de la dirección IP).

1. En el **registro BGP de Tunnel**, selecciona **Activar.**

1. En **Grupo de CloudWatch registros de Amazon**, selecciona el grupo de CloudWatch registros de Amazon al que quieres que se envíen los registros.

1. (Opcional) En **Output format** (Formato de salida), elija el formato deseado para la salida del registro, ya sea **json** o **text** (texto).

1. Seleccione **Save changes** (Guardar cambios).

1. (Opcional) Repita los pasos 4 a 9 para el otro túnel si lo desea.

**Para habilitar el registro de túneles en una conexión Site-to-Site VPN existente mediante la línea de AWS comandos o la API**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html)(API de consultas de Amazon EC2)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)

# Inhabilitar AWS Site-to-Site VPN los registros
<a name="disable-logs"></a>

Desactive el registro de VPN en una conexión si ya no quiere seguir rastreando ninguna actividad en esa conexión. Esta acción solo desactiva el registro y no afecta a ninguna otra cosa de esa conexión. Para habilitar o volver a habilitar el registro en una conexión, consulte [Habilite los registros de Site-to-Site VPN](enable-logs.md).

**Para deshabilitar el registro de la actividad del túnel en una conexión Site-to-Site VPN**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Site-to-Site VPN Connections**.

1. Seleccione la conexión de VPN que desea modificar de la lista **VPN connections** (Conexiones de VPN).

1. Seleccione **Actions** (Acciones), **Modify VPN tunnel options** (Modificar opciones de túnel de VPN).

1. Seleccione el túnel que desea modificar; para ello, elija la dirección IP adecuada en la lista **VPN tunnel outside IP address** (Túnel de VPN fuera de la dirección IP).

1. En **Tunnel activity log** (Registro de actividad de túnel), desactive **Enable** (Habilitar).

1. Seleccione **Save changes** (Guardar cambios).

1. (Opcional) Repita los pasos 4 a 7 para el otro túnel si lo desea.

**Para deshabilitar el registro BGP de túnel en una Site-to-Site conexión VPN**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Site-to-Site VPN Connections**.

1. Seleccione la conexión de VPN que desea modificar de la lista **VPN connections** (Conexiones de VPN).

1. Seleccione **Actions** (Acciones), **Modify VPN tunnel options** (Modificar opciones de túnel de VPN).

1. Seleccione el túnel que desea modificar; para ello, elija la dirección IP adecuada en la lista **VPN tunnel outside IP address** (Túnel de VPN fuera de la dirección IP).

1. **En el **registro BGP del túnel, desactive Activar**.**

1. Seleccione **Save changes** (Guardar cambios).

1. (Opcional) Repita los pasos 4 a 7 para el otro túnel si lo desea.

**Para deshabilitar el registro de túneles en una conexión Site-to-Site VPN mediante la línea de AWS comandos o la API**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html)(API de consultas de Amazon EC2)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)