Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Supervisar una AWS Site-to-Site VPN conexión
<a name="monitoring-overview-vpn"></a>

La supervisión es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el rendimiento de la AWS Site-to-Site VPN conexión. Debe recopilar datos de supervisión de todas las partes de la solución de para que, dado el caso, le resulte más sencillo depurar un error multipunto. Sin embargo, antes de comenzar a monitorear su conexión Site-to-Site VPN, debe crear un plan de monitoreo que incluya respuestas a las siguientes preguntas:
+ ¿Cuáles son los objetivos de la supervisión?
+ ¿Qué recursos va a supervisar?
+ ¿Con qué frecuencia va a supervisar estos recursos?
+ ¿Qué herramientas de supervisión va a utilizar?
+ ¿Quién se encargará de realizar las tareas de supervisión?
+ ¿Quién debería recibir una notificación cuando surjan problemas?

El siguiente paso consiste en establecer un punto de referencia del desempeño de VPN normal en su entorno. Para ello se mide el desempeño en distintos momentos y bajo distintas condiciones de carga. A medida que monitorice su VPN, almacene los datos de monitorización históricos para que pueda compararlos con los datos de desempeño actual, identificar los patrones de desempeño normal y las anomalías en el desempeño, así como desarrollar métodos para la resolución de problemas.

Para establecer un punto de referencia, debe monitorizar los elementos siguientes:
+ El estado de sus túneles de VPN
+ Los datos que entran en el túnel
+ Los datos que salen del túnel

**Topics**
+ [Herramientas de supervisión](#monitoring-automated-manual)
+ [Site-to-Site registros de VPN](monitoring-logs.md)
+ [Supervise los túneles Site-to-Site VPN mediante CloudWatch](monitoring-cloudwatch-vpn.md)
+ [AWS Health y eventos de Site-to-Site VPN](monitoring-vpn-health-events.md)

## Herramientas de supervisión
<a name="monitoring-automated-manual"></a>

AWS proporciona varias herramientas que puede utilizar para supervisar una conexión Site-to-Site VPN. Puede configurar algunas de estas herramientas para que monitoricen por usted, pero otras herramientas requieren intervención manual. Le recomendamos que automatice las tareas de monitorización en la medida de lo posible.

### Herramientas de supervisión automatizadas
<a name="monitoring-automated_tools"></a>

Puede utilizar las siguientes herramientas de supervisión automática para vigilar una conexión Site-to-Site VPN e informar cuando algo vaya mal:
+ **Amazon CloudWatch Alarms**: observe una sola métrica durante un período de tiempo que especifique y realice una o más acciones en función del valor de la métrica en relación con un umbral determinado durante varios períodos de tiempo. La acción es una notificación que se envía a un tema de Amazon SNS. CloudWatch las alarmas no invocan acciones simplemente porque se encuentran en un estado determinado; el estado debe haber cambiado y se ha mantenido durante un número específico de períodos. Para obtener más información, consulte [Supervise AWS Site-to-Site VPN los túneles con Amazon CloudWatch](monitoring-cloudwatch-vpn.md).
+ **AWS CloudTrail Supervisión** de registros: comparta archivos de registro entre cuentas, supervise los archivos de CloudTrail registro en tiempo real enviándolos a CloudWatch Logs, cree aplicaciones de procesamiento de registros en Java y valide que los archivos de registro no hayan cambiado después de la entrega. CloudTrail Para obtener más información, consulte [Uso de llamadas a la API de Registro AWS CloudTrail](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitor-with-cloudtrail.html) en la *Referencia de API de Amazon EC2* y [Uso de archivos de CloudTrail registro](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html) en la Guía del *AWS CloudTrail usuario*.
+ **AWS Health eventos**: reciba alertas y notificaciones relacionadas con los cambios en el estado de sus túneles de Site-to-Site VPN, las recomendaciones de configuración recomendadas o cuando se acerque a los límites de escalado. Utilice los eventos de [Personal Health Dashboard](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html) para activar conmutaciones por error automatizadas, reducir el tiempo de resolución de problemas y optimizar las conexiones para disfrutar de una alta disponibilidad. Para obtener más información, consulte [AWS Health y AWS Site-to-Site VPN eventos](monitoring-vpn-health-events.md).

### Herramientas de supervisión manuales
<a name="monitoring-manual-tools"></a>

Otra parte importante de la supervisión de una conexión Site-to-Site VPN consiste en supervisar manualmente los elementos que no cubren CloudWatch las alarmas. Los paneles de Amazon VPC y de CloudWatch consola ofrecen una at-a-glance visión del estado de su entorno. AWS 

**nota**  
En la consola de Amazon VPC, es posible que los parámetros de estado del túnel Site-to-Site VPN, como «Estado» y «Último cambio de estado», no reflejen los cambios de estado transitorios ni los cambios momentáneos del túnel. Se recomienda utilizar CloudWatch métricas y registros para actualizar de forma pormenorizada los cambios en el estado del túnel.
+ En el panel de control de Amazon VPC se indica:
  + El estado de los servicios en cada región
  + Site-to-Site Conexiones VPN
  + Estado del túnel VPN (en el panel de navegación, elija **Conexiones Site-to-Site VPN**, seleccione una conexión Site-to-Site VPN y, a continuación, seleccione **Detalles del túnel**)
+ La página de CloudWatch inicio muestra:
  + Alarmas y estado actual
  + Gráficos de alarmas y recursos
  + Estado de los servicios

  Además, puede CloudWatch hacer lo siguiente: 
  + Crear [paneles personalizados](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html) para monitorizar los servicios que le interesan
  + Realizar un gráfico con los datos de las métricas para resolver problemas y descubrir tendencias
  + Busque y explore todas sus métricas AWS de recursos
  + Crear y editar las alarmas de notificación de problemas

# AWS Site-to-Site VPN registros
<a name="monitoring-logs"></a>

AWS Site-to-Site VPN los registros le proporcionan una mayor visibilidad de sus despliegues de Site-to-Site VPN. Con esta función, tiene acceso a los registros de conexiones Site-to-Site VPN que proporcionan detalles sobre el establecimiento del túnel de seguridad IP (IPsec), las negociaciones sobre el intercambio de claves de Internet (IKE), los mensajes del protocolo de detección de puntos muertos (DPD), el estado del protocolo Border Gateway (BGP) y las actualizaciones de enrutamiento.

Site-to-Site Los registros de VPN se pueden publicar en Amazon CloudWatch Logs. Esta función proporciona a los clientes una forma única y coherente de acceder a los registros detallados de todas sus conexiones Site-to-Site VPN y analizarlos.

**Topics**
+ [Ventajas de los registros de Site-to-Site VPN](#log-benefits)
+ [Restricciones de tamaño de la política de recursos de Amazon CloudWatch Logs](#cwl-policy-size)
+ [Site-to-Site Contenido del registro de la VPN](#log-contents)
+ [Ejemplo de formato de registro para los registros BGP de Tunnel](#example-bgp-logs)
+ [Requisitos de IAM para publicar en los registros CloudWatch](#publish-cw-logs)
+ [Vea la configuración de los registros de la Site-to-Site VPN](status-logs.md)
+ [Habilite los registros de Site-to-Site VPN](enable-logs.md)
+ [Deshabilite los registros de Site-to-Site VPN](disable-logs.md)

## Ventajas de los registros de Site-to-Site VPN
<a name="log-benefits"></a>
+ **Solución de problemas simplificada con la Site-to-Site VPN:** los registros de la VPN le ayudan a detectar las discrepancias de configuración entre AWS el dispositivo de puerta de enlace del cliente y a solucionar los problemas iniciales de conectividad de la VPN. Las conexiones de VPN pueden cambiar de forma intermitente con el tiempo debido a ajustes mal configurados (como tiempos de espera mal ajustados), puede haber problemas en las redes de transporte subyacentes (como el tiempo de Internet) o los cambios de enrutamiento o los errores de ruta pueden provocar la interrupción de la conectividad a través de VPN. Esta característica le permite diagnosticar con precisión la causa de los errores de conexión intermitentes y ajustar la configuración del túnel de bajo nivel para lograr un funcionamiento fiable.
+ ** AWS Site-to-Site VPN Visibilidad centralizada:** los registros de Site-to-Site VPN pueden proporcionar registros de actividad de túneles y de enrutamiento BGP en todos los tipos de conexiones de Site-to-Site VPN. Esta función proporciona a los clientes una forma única y coherente de acceder a los registros detallados de todas sus conexiones Site-to-Site VPN y analizarlos.
+ **Seguridad y conformidad:** los registros de Site-to-Site VPN se pueden enviar a Amazon CloudWatch Logs para un análisis retrospectivo del estado y la actividad de la conexión VPN a lo largo del tiempo. Esto puede ayudarle a cumplir con los requisitos reglamentarios y de conformidad.

## Restricciones de tamaño de la política de recursos de Amazon CloudWatch Logs
<a name="cwl-policy-size"></a>

CloudWatch Las políticas de recursos de Logs están limitadas a 5120 caracteres. Cuando CloudWatch Logs detecta que una política se acerca a este límite de tamaño, habilita automáticamente los grupos de registros que comiencen por. `/aws/vendedlogs/` Cuando habilita el registro, la Site-to-Site VPN debe actualizar su política de recursos de CloudWatch registros con el grupo de registros que especifique. Para evitar alcanzar el límite de tamaño de la política de recursos de CloudWatch registros, añada el prefijo a los nombres de los grupos de registros. `/aws/vendedlogs/`

## Site-to-Site Contenido del registro de VPN
<a name="log-contents"></a>

La siguiente información se incluye en el registro de actividad del túnel Site-to-Site VPN. El nombre del archivo de flujo de registro utiliza VpnConnection ID y TunnelOutsideIPAddress.


| Campo | Description (Descripción) | 
| --- | --- | 
|  VpnLogCreationTimestamp (`event_timestamp`)  |  Marca de tiempo de creación del registro en formato de época.  | 
|  VpnLogCreationTimestampReadable (`timestamp`)  |  Marca de tiempo de creación del registro en formato de tiempo legible por humanos.  | 
|  Túnel DPDEnabled () `dpd_enabled`  |  Estado habilitado del protocolo de detección de pares muertos (verdadero/falso).  | 
|  CGWNATTDetectionEstado del túnel (`nat_t_detected`)  | NAT-T detectado en el dispositivo de puerta de enlace de cliente (verdadero/falso). | 
|  IKEPhase1Estado del túnel (`ike_phase1_state`)  | Estado del protocolo de fase 1 de IKE (Establecido \$1 Cambio de clave \$1 Negociación \$1 Inactivo). | 
| IKEPhase2Estado del túnel (ike\$1phase2\$1state) | Estado del protocolo de fase 2 de IKE (Establecido \$1 Cambio de clave \$1 Negociación \$1 Inactivo). | 
| VpnLogDetail (details) | Mensajes detallados para IPsec los protocolos IKE y DPD. | 

La siguiente información se incluye en el registro BGP del túnel Site-to-Site VPN. El nombre del archivo de flujo de registro utiliza VpnConnection ID y TunnelOutsideIPAddress.


| Campo | Description (Descripción) | 
| --- | --- | 
|  resource\$1id  |  Un identificador único para identificar el túnel y la conexión VPN a la que está asociado el registro.  | 
|  event\$1timestamp  |  Marca de tiempo de creación del registro en formato de época.  | 
|  timestamp  |  Marca de tiempo de creación del registro en formato de tiempo legible por humanos.  | 
|  type  | Tipo de evento de registro de BGP (\$1)BGPStatus . RouteStatus | 
|  status  | actualización de estado para un tipo específico de registro de eventos (BGPStatus: ARRIBA \$1 ABAJO) (RouteStatus: ANUNCIADO \$1la ruta la anunció el par\$1 \$1 ACTUALIZADO: \$1el par actualizó la ruta existente\$1 \$1 RETIRADA: \$1el par retiró la ruta\$1). | 
| message | Proporciona detalles adicionales sobre el registro de eventos y su estado. Este campo le ayudará a entender por qué BGPStatus no se utiliza la ruta y qué atributos se intercambiaron en el RouteStatus mensaje. | 

**Topics**
+ [IKEv1 Mensajes de error](#sample-log-ikev1)
+ [IKEv2 Mensajes de error](#sample-log-ikev2)
+ [IKEv2 Mensajes de negociación](#sample-log-ikev2-negotiation)
+ [Mensajes de estado del BGP](#sample-bgp-status-messages)
+ [Mensajes de estado de la ruta](#sample-route-status-messages)

### IKEv1 Mensajes de error
<a name="sample-log-ikev1"></a>


| Mensaje | Explicación | 
| --- | --- | 
|  El par no responde: declarar muerto al par  |  El par no ha respondido a los mensajes de DPD, por lo que se ha impuesto la acción de tiempo de espera del DPD.  | 
|  AWS El descifrado de la carga útil del túnel no se pudo realizar debido a que la clave previamente compartida no era válida  |  Se debe configurar la misma clave previamente compartida en ambos pares de IKE.  | 
|  No se encontró ninguna propuesta que coincidiera AWS  |  El punto de conexión de AWS VPN no admite los atributos propuestos para la fase 1 (cifrado, hash y grupo DH), por ejemplo, `3DES`.  | 
|  No se encontró ninguna coincidencia de propuesta. Notificación con la opción «No se ha elegido ninguna propuesta»  |  Se intercambia el mensaje de error No Propuesta elegida entre pares para indicar que se Proposals/Policies debe configurar la correcta para la fase 2 en IKE Peers.  | 
|  AWS tunnel recibió el comando DELETE para la SA de fase 2 con el SPI: xxxx  | CGW ha enviado el mensaje Delete\$1SA para la fase 2. | 
|  AWS tunnel recibió un DELETE para IKE\$1SA de CGW  | CGW ha enviado el mensaje Delete\$1SA para la fase 1. | 

### IKEv2 Mensajes de error
<a name="sample-log-ikev2"></a>


| Mensaje | Explicación | 
| --- | --- | 
|  AWS Se agotó el tiempo de espera del DPD del túnel después de la retransmisión de \$1retry\$1count\$1  |  El par no ha respondido a los mensajes de DPD, por lo que se ha impuesto la acción de tiempo de espera del DPD.   | 
|  AWS El túnel recibió el comando DELETE para IKE\$1SA de CGW  |  El par ha enviado el mensaje Delete\$1SA para Parent/IKE\$1SA.  | 
| AWS tunnel recibió DELETE para la SA de fase 2 con el SPI: xxxx | El par ha enviado el mensaje Delete\$1SA para CHILD\$1SA. | 
|  AWS El túnel detectó una colisión (CHILD\$1REKEY) como CHILD\$1DELETE  |  CGW ha enviado el mensaje Delete\$1SA para la SA activa, a la que se le está cambiando la clave.  | 
|  AWS La SA redundante del túnel (CHILD\$1SA) se está eliminando debido a una colisión detectada  | Debido a una colisión, si SAs se generan redundantes, Peers cerrará la SA redundante después de hacer coincidir los valores de nonce según la RFC. | 
|  AWS No se pudo establecer la fase 2 del túnel mientras se mantenía la fase 1  | El par no pudo establecer CHILD\$1SA debido a un error de negociación, por ejemplo, a una propuesta incorrecta.  | 
| AWS: Selector de tráfico: TS\$1UNACCEPTABLE: recibido del agente de respuesta | Peer ha propuesto un Selectors/Encryption dominio de tráfico incorrecto. Los pares deben configurarse con el mismo y el correcto CIDRs. | 
| AWS el túnel envía AUTHENTICATION\$1FAILED como respuesta | El par no puede autenticar al par al verificar el contenido del mensaje IKE\$1AUTH | 
| AWS tunnel detectó una falta de coincidencia de claves previamente compartidas con cgw: xxxx | Se debe configurar la misma clave previamente compartida en ambos pares de IKE. | 
| AWS Tiempo de espera del túnel: eliminar el IKE\$1SA de fase 1 no establecido con cgw: xxxx | La eliminación de IKE\$1SA semiabierto como par no ha continuado con las negociaciones | 
| No se encontró ninguna coincidencia de propuesta. Notificación con la opción «No se ha elegido ninguna propuesta» | Los pares no intercambian ningún mensaje de error de propuesta elegida para informar que las propuestas correctas se deben configurar en pares de IKE. | 
| No se encontró ninguna propuesta que coincidiera AWS | Los atributos propuestos para la fase 1 o la fase 2 (cifrado, hash y grupo DH) no son compatibles con AWS VPN Endpoint, `3DES` por ejemplo. | 

### IKEv2 Mensajes de negociación
<a name="sample-log-ikev2-negotiation"></a>


| Mensaje | Explicación | 
| --- | --- | 
|  AWS solicitud procesada por túnel (id=xxx) para CREATE\$1CHILD\$1SA  |  AWS ha recibido la solicitud CREATE\$1CHILD\$1SA de CGW.  | 
|  AWS tunnel está enviando una respuesta (id=xxx) para CREATE\$1CHILD\$1SA  |  AWS está enviando la respuesta CREATE\$1CHILD\$1SA a CGW.  | 
| AWS tunnel está enviando una solicitud (id=xxx) para CREATE\$1CHILD\$1SA | AWS está enviando la solicitud CREATE\$1CHILD\$1SA a CGW. | 
|  AWS respuesta procesada por túnel (id=xxx) para CREATE\$1CHILD\$1SA  |  AWS ha recibido la respuesta CREATE\$1CHILD\$1SA de CGW.  | 

### Mensajes de estado del BGP
<a name="sample-bgp-status-messages"></a>

 Los mensajes de estado de BGP contienen información relacionada con las transiciones de estado de la sesión de BGP, las advertencias de límite de prefijos, las infracciones de los límites, las notificaciones de sesión de BGP, los mensajes de BGP OPEN y las actualizaciones de atributos de un BGP vecino para una sesión de BGP determinada. 


| Mensaje | Estado de BGP | Explicación | 
| --- | --- | --- | 
|   El estado de la sesión BGP homóloga del lado de AWS ha cambiado de Inactivo a Connect with neighbor \$1ip: xxx\$1   |   ABAJO   |   El estado de la conexión BGP en AWS se ha actualizado a Connect.   | 
|   El estado de la sesión BGP homóloga del lado de AWS ha cambiado de Connect a OpenSent with neighbor \$1ip: xxx\$1   |   ABAJO   |   El estado de la conexión BGP en el lado de AWS se ha actualizado a OpenSent.   | 
|   El estado de la sesión BGP homóloga del lado de AWS ha cambiado de OpenSent a OpenConfirm con el vecino \$1ip: xxx\$1   |   ABAJO   |   El estado de la conexión BGP en el lado de AWS se ha actualizado a OpenConfirm.   | 
|   El estado de la sesión BGP homóloga del lado de AWS ha cambiado de OpenConfirm a Establecido con el vecino \$1ip: xxx\$1   |   ARRIBA   |   El estado de la conexión BGP en el lado de AWS se actualizó a Established.   | 
|   El estado de la sesión BGP homóloga del lado de AWS ha cambiado de establecido a inactivo con el vecino \$1ip: xxx\$1   |   ABAJO   |   El estado de la conexión BGP en el lado de AWS se ha actualizado a inactivo.   | 
|   El estado de la sesión BGP homóloga del lado de AWS ha cambiado de Connect a Active with neighbor \$1ip: xxx\$1   |   ABAJO   |   El estado de la conexión BGP en el lado de AWS pasó de Connect a Active. Compruebe la disponibilidad del puerto TCP 179 en CGW si la sesión BGP está bloqueada en el estado Connect.   | 
|   El par de AWS informa de una advertencia de límite máximo de prefijos: recibió \$1prefijos (count): xxx\$1 prefijos del vecino \$1ip: xxx\$1, el límite es \$1limit (numérico): xxx\$1   |   ARRIBA   |   La parte de AWS genera periódicamente un mensaje de registro cuando el número de prefijos recibidos de la CGW se acerca al límite permitido.   | 
|   El par de AWS detectó que se había superado el límite máximo de prefijos: recibió \$1prefijos (recuento): xxx\$1 prefijos del vecino \$1ip: xxx\$1, el límite es \$1límite (numérico): xxx\$1   |   ABAJO   |   La parte de AWS genera un mensaje de registro cuando la cantidad de prefijos recibidos de la CGW supera el límite permitido.   | 
|   Un compañero de AWS envió una notificación 6/1 (cesar/alcanzar el número máximo de prefijos) al vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS envió una notificación al par BGP de CGW para indicar que la sesión de BGP había finalizado debido a una infracción del límite de prefijos.   | 
|   El compañero de AWS recibió la notificación 6/1 (cesar/alcanzar el número máximo de prefijos) del vecino \$1ip: xxx\$1   |   ABAJO   |  La parte de AWS recibió una notificación del par de CGW en la que se indicaba que la sesión de BGP había finalizado debido a una infracción del límite de prefijos.   | 
|   Un compañero del lado de AWS envió una notificación 6/2 (ceso/cierre administrativo) al vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS envió una notificación al par BGP de CGW para indicar que la sesión de BGP había finalizado.   | 
|   Un compañero del lado de AWS recibió la notificación 6/2 (cese o cierre administrativo) del vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS recibió una notificación del par de CGW para indicar que la sesión de BGP había finalizado.   | 
|   Un compañero del lado de AWS envió una notificación 6/3 (Cease/Peer sin configurar) al vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS envió una notificación al par de CGW para indicar que el par no está configurado o se ha eliminado de la configuración.   | 
|   El compañero del lado de AWS recibió la notificación 6/3 (Cease/Peer sin configurar) del vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS recibió una notificación del par de CGW para indicar que el par no está configurado o se ha eliminado de la configuración.   | 
|   Un compañero del lado de AWS envió una notificación 6/4 (ceso/restablecimiento administrativo) al vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS envió una notificación al par BGP de CGW para indicar que se había restablecido la sesión de BGP.   | 
|   Un compañero de AWS recibió la notificación 6/4 (ceso/restablecimiento administrativo) del vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS recibió una notificación del par de CGW para indicar que la sesión de BGP se había restablecido.   | 
|   Un compañero del lado de AWS envió una notificación el 6 de mayo (cese o conexión rechazada) al vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS envió una notificación al par BGP de CGW para indicar que se había rechazado la sesión de BGP.   | 
|   El compañero de AWS recibió la notificación 6/5 (cesar/conexión rechazada) del vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS recibió una notificación del par de CGW en la que se indicaba que la sesión de BGP había sido rechazada.   | 
|   Un compañero del lado de AWS envió una notificación 6/6 (cesar/otro cambio de configuración) al vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS envió una notificación al par BGP de CGW para indicar que se había producido un cambio en la configuración de la sesión de BGP.   | 
|   El compañero de AWS recibió la notificación 6/6 (cesar/otro cambio de configuración) del vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS recibió una notificación del par CGW que indica que se ha producido un cambio en la configuración de la sesión de BGP.   | 
|   Un compañero del lado de AWS envió una notificación 6/7 (resolución de ceso/colisión de conexión) al vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS envió una notificación al par de CGW para resolver una colisión de conexión cuando ambos pares intentaban establecer una conexión simultáneamente.   | 
|   Un compañero del lado de AWS recibió la notificación 6/7 (resolución de ceso/colisión de conexión) del vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS recibió una notificación del par CGW en la que se indicaba la resolución de una colisión de conexión cuando ambos pares intentaban establecer una conexión simultáneamente.   | 
|   Un compañero de AWS envió una notificación de caducidad del temporizador de espera al vecino \$1ip: xxx\$1   |   ABAJO   |   El temporizador de espera del BGP expiró y la parte de AWS envió una notificación a la CGW.   | 
|   Un par del lado de AWS detectó un mensaje OPEN incorrecto del vecino \$1ip: xxx\$1; el AS remoto es \$1asn: xxx\$1, se esperaba \$1asn: xxx\$1   |   ABAJO   |   La parte de AWS detectó que se había recibido un mensaje OPEN incorrecto del par CGW, lo que indica una discordancia de configuración.   | 
|   Un compañero de AWS recibió un mensaje OPEN del vecino \$1ip: xxx\$1: versión 4, AS \$1asn: xxx\$1, holdtime \$1holdtime (seconds): xxx\$1, router-id \$1id: xxx\$1\$1   |   ABAJO   |   La parte de AWS recibió un mensaje de apertura de BGP para iniciar una sesión de BGP con el par de CGW.   | 
|   Un compañero de AWS envió un mensaje OPEN al vecino \$1ip: xxx\$1: versión 4, AS \$1asn: xxx\$1, holdtime \$1holdtime (seconds): xxx\$1, router-id \$1id: xxx\$1   |   ABAJO   |   El par de CGW envió un mensaje de apertura de BGP para iniciar una sesión de BGP con el par de BGP del lado de AWS.   | 
|   El par del lado de AWS está iniciando una conexión (a través de Connect) con el vecino \$1ip: xxx\$1   |   ABAJO   |   La parte de AWS está intentando conectarse con el vecino BGP de CGW.   | 
|   Un compañero de AWS envió un End-of-RIB mensaje a su vecino \$1ip: xxx\$1   |   ARRIBA   |   La parte de AWS ha terminado de transmitir las rutas a la CGW tras el establecimiento de la sesión de BGP.   | 
|   El compañero de AWS recibió una actualización con los atributos del vecino \$1ip: xxx\$1 - AS path: \$1aspath (list): xxx xxx xxx\$1   |   ARRIBA   |   La parte de AWS recibió una actualización de los atributos de sesión de BGP del vecino.   | 

### Mensajes de estado de la ruta
<a name="sample-route-status-messages"></a>

 A diferencia de los mensajes de estado del BGP, los mensajes de estado de la ruta contienen datos sobre los atributos del BGP de un prefijo determinado, como la ruta AS, la preferencia local, el discriminador de salidas múltiples (MED), la dirección IP del siguiente salto y el peso. Un mensaje de estado de la ruta solo incluirá un campo de detalles cuando haya un error en una ruta que se anunció, actualizó o retiró. Algunos ejemplos son los siguientes 


| Mensaje | Explicación | 
| --- | --- | 
|   DENEGADO debido a: as-path contiene nuestro propio AS   |   AWS denegó los mensajes de actualización de BGP para un nuevo prefijo de CGW debido a que la ruta contenía el AS propio de los pares del lado de AWS.   | 
|   DENEGADO debido a: el siguiente salto no está conectado   |   AWS rechazó un anuncio de ruta BGP para el prefijo de la CGW debido a un error de validación del siguiente salto no conectado. Asegúrese de que se pueda acceder a la ruta por el lado de la CGW.   | 

## Ejemplo de formato de registro para los registros BGP de Tunnel
<a name="example-bgp-logs"></a>

```
{
    "resource_id": "vpn-1234abcd_1.2.3.4",
    "event_timestamp": 1762580429641,
    "timestamp": "2025-11-08 05:40:29.641Z",
    "type": "BGPStatus",
    "status": "UP",
    "message": {
        "details": "AWS-side peer BGP session state has changed from OpenConfirm to Established with neighbor 169.254.50.85"
    }
}

{
    "resource_id": "vpn-1234abcd_1.2.3.4",
    "event_timestamp": 1762579573243,
    "timestamp": "2025-11-08 05:26:13.243Z",
    "type": "RouteStatus",
    "status": "UPDATED",
    "message": {
        "prefix": "172.31.0.0/16",
        "asPath": "64512",
        "localPref": 100,
        "med": 100,
        "nextHopIp": "169.254.50.85",
        "weight": 32768,
        "details": "DENIED due to: as-path contains our own AS"
    }
}
```

## Requisitos de IAM para publicar en los registros CloudWatch
<a name="publish-cw-logs"></a>



Para que la característica de registro funcione correctamente, la política de IAM asociada a la entidad principal de IAM que se está utilizando para configurar la característica debe incluir los siguientes permisos como mínimo. También puedes encontrar más información en la sección [Habilitar el registro desde determinados AWS servicios](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html) de la *Guía del usuario de Amazon CloudWatch Logs*.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}
```

------

# Vea la configuración AWS Site-to-Site VPN de los registros
<a name="status-logs"></a>

Vea el registro de actividad de una conexión Site-to-Site VPN. Aquí puede ver los detalles sobre la configuración, como los algoritmos de cifrado o si los registros de VPN de túnel están habilitados. También puede ver el estado del túnel. Esto le ayuda a realizar un mejor seguimiento de cualquier problema o conflicto que pueda tener con una conexión de VPN. 

**Para consultar la configuración actual de registro de túnel**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, selecciona **conexiones Site-to-Site VPN**.

1. Seleccione la conexión de VPN que desea ver en la lista **VPN connections** (Conexiones de VPN).

1. Elija la pestaña **Tunnel details** (Detalles de túnel).

1. Amplíe las secciones **Tunnel 1 options** (Opciones de túnel 1) y **Tunnel 2 options** (Opciones de túnel 2) para ver todos los detalles de configuración de los túneles.

1. Puede ver el estado actual de la función de **registro de VPN de túnel** y el grupo de CloudWatch registros actualmente configurado (si lo hay) en el **grupo de registros para el CloudWatch registro de VPN de túnel** y el formato de salida del registro en Formato de **salida para el registro de VPN de túnel**.

1. Puede ver el estado actual de la función de **registro BGP de túnel** y el grupo de CloudWatch registros actualmente configurado (si lo hubiera) en el grupo de registros del **CloudWatch registro de VPN de túnel** y el formato de salida del registro en Formato de **salida para el registro BGP de túnel**.

**Para ver la configuración actual del registro de túneles en una conexión Site-to-Site VPN mediante la línea de AWS comandos o la API**
+ [DescribeVpnConnections](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnConnections.html)(API de consultas de Amazon EC2)
+ [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html) (AWS CLI)

# Habilitar los registros AWS Site-to-Site VPN
<a name="enable-logs"></a>

Habilite Site-to-Site los registros de VPN para registrar la actividad de la VPN, como el estado del túnel y otros detalles. Puede habilitar el registro en una conexión nueva o modificar una conexión existente para iniciar el registro de la actividad. Si desea desactivar el registro de una conexión, consulte [Deshabilite los registros de Site-to-Site VPN](disable-logs.md).

**nota**  
Al habilitar los registros de Site-to-Site VPN para un túnel de conexión VPN existente, la conectividad a través de ese túnel puede interrumpirse durante varios minutos. Sin embargo, cada conexión de VPN ofrece dos túneles para una alta disponibilidad, por lo que puede habilitar el registro en un túnel a la vez mientras mantiene la conectividad a través del túnel que no se modifica. Para obtener más información, consulte [AWS Site-to-Site VPN reemplazos de puntos finales de túneles](endpoint-replacements.md).

**Para habilitar el registro de VPN durante la creación de una nueva conexión Site-to-Site VPN**  
Siga el procedimiento indicado en [Paso 5: Crear una conexión de VPN](SetUpVPNConnections.md#vpn-create-vpn-connection). En las **Tunnel Options** (Opciones de túnel) del Paso 9, puede especificar todas las opciones que desea usar para ambos túneles, como las opciones de **VPN logging** (Registro de VPN). Para obtener más información sobre estas opciones, consulte [Opciones de túnel para su AWS Site-to-Site VPN conexión](VPNTunnels.md).

**Para habilitar el registro por túnel en una nueva conexión Site-to-Site VPN mediante la línea de AWS comandos o la API**
+ [CreateVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnConnection.html)(API de consultas de Amazon EC2)
+ [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html) (AWS CLI)

**Para habilitar el registro de la actividad del túnel en una Site-to-Site conexión VPN existente**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, selecciona **conexiones Site-to-Site VPN**.

1. Seleccione la conexión de VPN que desea modificar de la lista **VPN connections** (Conexiones de VPN).

1. Seleccione **Actions** (Acciones), **Modify VPN tunnel options** (Modificar opciones de túnel de VPN).

1. Seleccione el túnel que desea modificar; para ello, elija la dirección IP adecuada en la lista **VPN tunnel outside IP address** (Túnel de VPN fuera de la dirección IP).

1. En **Tunnel activity log** (Registro de actividad de túnel), seleccione **Enable** (Habilitar).

1. En **Grupo de CloudWatch registros de Amazon**, selecciona el grupo de CloudWatch registros de Amazon al que quieres que se envíen los registros.

1. (Opcional) En **Output format** (Formato de salida), elija el formato deseado para la salida del registro, ya sea **json** o **text** (texto).

1. Seleccione **Save changes** (Guardar cambios).

1. (Opcional) Repita los pasos 4 a 9 para el otro túnel si lo desea.

**Para habilitar el registro BGP de túnel en una Site-to-Site conexión VPN existente**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **conexiones Site-to-Site VPN**.

1. Seleccione la conexión de VPN que desea modificar de la lista **VPN connections** (Conexiones de VPN).

1. Seleccione **Actions** (Acciones), **Modify VPN tunnel options** (Modificar opciones de túnel de VPN).

1. Seleccione el túnel que desea modificar; para ello, elija la dirección IP adecuada en la lista **VPN tunnel outside IP address** (Túnel de VPN fuera de la dirección IP).

1. En el **registro BGP de Tunnel**, selecciona **Activar.**

1. En **Grupo de CloudWatch registros de Amazon**, selecciona el grupo de CloudWatch registros de Amazon al que quieres que se envíen los registros.

1. (Opcional) En **Output format** (Formato de salida), elija el formato deseado para la salida del registro, ya sea **json** o **text** (texto).

1. Seleccione **Save changes** (Guardar cambios).

1. (Opcional) Repita los pasos 4 a 9 para el otro túnel si lo desea.

**Para habilitar el registro de túneles en una conexión Site-to-Site VPN existente mediante la línea de AWS comandos o la API**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html)(API de consultas de Amazon EC2)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)

# Inhabilitar AWS Site-to-Site VPN los registros
<a name="disable-logs"></a>

Desactive el registro de VPN en una conexión si ya no quiere seguir rastreando ninguna actividad en esa conexión. Esta acción solo desactiva el registro y no afecta a ninguna otra cosa de esa conexión. Para habilitar o volver a habilitar el registro en una conexión, consulte [Habilite los registros de Site-to-Site VPN](enable-logs.md).

**Para deshabilitar el registro de la actividad del túnel en una conexión Site-to-Site VPN**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Site-to-Site VPN Connections**.

1. Seleccione la conexión de VPN que desea modificar de la lista **VPN connections** (Conexiones de VPN).

1. Seleccione **Actions** (Acciones), **Modify VPN tunnel options** (Modificar opciones de túnel de VPN).

1. Seleccione el túnel que desea modificar; para ello, elija la dirección IP adecuada en la lista **VPN tunnel outside IP address** (Túnel de VPN fuera de la dirección IP).

1. En **Tunnel activity log** (Registro de actividad de túnel), desactive **Enable** (Habilitar).

1. Seleccione **Save changes** (Guardar cambios).

1. (Opcional) Repita los pasos 4 a 7 para el otro túnel si lo desea.

**Para deshabilitar el registro BGP de túnel en una Site-to-Site conexión VPN**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Site-to-Site VPN Connections**.

1. Seleccione la conexión de VPN que desea modificar de la lista **VPN connections** (Conexiones de VPN).

1. Seleccione **Actions** (Acciones), **Modify VPN tunnel options** (Modificar opciones de túnel de VPN).

1. Seleccione el túnel que desea modificar; para ello, elija la dirección IP adecuada en la lista **VPN tunnel outside IP address** (Túnel de VPN fuera de la dirección IP).

1. **En el **registro BGP del túnel, desactive Activar**.**

1. Seleccione **Save changes** (Guardar cambios).

1. (Opcional) Repita los pasos 4 a 7 para el otro túnel si lo desea.

**Para deshabilitar el registro de túneles en una conexión Site-to-Site VPN mediante la línea de AWS comandos o la API**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html)(API de consultas de Amazon EC2)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)

# Supervise AWS Site-to-Site VPN los túneles con Amazon CloudWatch
<a name="monitoring-cloudwatch-vpn"></a>

Puede monitorizar los túneles de la VPN mediante CloudWatch el cual se recopilan y procesan los datos sin procesar del servicio VPN para convertirlos en métricas legibles y prácticamente en tiempo real. Estas estadísticas se registran durante un periodo de 15 meses, de forma que pueda obtener acceso a información de historial y obtener una mejor perspectiva acerca del desempeño de su aplicación web o servicio. Los datos de las métricas de la VPN se envían automáticamente a CloudWatch medida que están disponibles.

Para obtener más información, consulta la [Guía del CloudWatch usuario de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).

**Topics**
+ [Dimensiones y métricas de VPN](#metrics-dimensions-vpn)
+ [Ver las CloudWatch métricas de VPN](viewing-metrics.md)
+ [Cree CloudWatch alarmas para monitorear los túneles de VPN](creating-alarms-vpn.md)

## Dimensiones y métricas de VPN
<a name="metrics-dimensions-vpn"></a>

Las siguientes CloudWatch métricas están disponibles para sus conexiones Site-to-Site VPN.


| Métrica | Descripción | 
| --- | --- | 
|  `TunnelState`  |  El estado de los túneles. Para la estática VPNs, 0 indica ABAJO y 1 indica ARRIBA. Para BGP VPNs, 1 indica ESTABLECIDO y 0 se usa para todos los demás estados. Para ambos tipos de VPNs, los valores entre 0 y 1 indican que al menos un túnel no está ACTIVO. Unidades: valor fraccional entre 0 y 1   | 
|  `TunnelDataIn` †  |  Los bytes recibidos en el AWS lateral de la conexión a través del túnel VPN desde una pasarela de cliente. Cada punto de datos de la métrica representa el número de bytes recibidos después del punto de datos anterior. Use la estadística Sum para mostrar el número total de bytes recibidos durante el periodo. Esta métrica cuenta los datos después del descifrado. Unidades: bytes  | 
|  `TunnelDataOut` †  |  Los bytes enviados desde el AWS lado de la conexión a través del túnel VPN hasta la pasarela del cliente. Cada punto de datos de la métrica representa el número de bytes enviados después del punto de datos anterior. Use la estadística Sum para mostrar el número total de bytes enviados durante el periodo. Esta métrica cuenta los datos antes del cifrado. Unidades: bytes  | 
|  `ConcentratorBandwidthUsage`  |  El uso del ancho de banda para una conexión de Site-to-Site VPN Concentrator. Esta métrica está disponible para las conexiones VPN que utilizan un concentrador Site-to-Site VPN. Use la estadística promedio para mostrar el uso promedio de ancho de banda durante el período. Unidades: bits por segundo  | 

† Estas métricas pueden dar información sobre el uso de la red incluso cuando el túnel no está operativo. Esto se debe a las comprobaciones periódicas de estado realizadas en el túnel y a las solicitudes de ARP y BGP en segundo plano.

Para filtrar los datos de las métricas, use las siguientes dimensiones.


| Dimensión | Description (Descripción) | 
| --- | --- | 
| `VpnId` |  Filtra los datos de las métricas por el ID de conexión Site-to-Site VPN.  | 
| `TunnelIpAddress` |  Filtra los datos de las métricas en función de la dirección IP del túnel de la gateway privada virtual.  | 

# Ver las métricas CloudWatch de Amazon Logs para AWS Site-to-Site VPN
<a name="viewing-metrics"></a>

Cuando creas una conexión Site-to-Site VPN, el servicio VPN envía métricas sobre tu conexión VPN a CloudWatch medida que están disponibles. Puede ver las métricas de la conexión de VPN de la siguiente manera.

**Para ver las métricas mediante la CloudWatch consola**

Las métricas se agrupan en primer lugar por el espacio de nombres de servicio y, a continuación, por las diversas combinaciones de dimensiones dentro de cada espacio de nombres.

1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación, seleccione **Métricas**.

1. En **All metrics** elija el espacio de nombres de métricas **VPN**.

1. Seleccione la dimensión de métrica para ver las métricas, por ejemplo, **Métricas de túneles de VPN**.

**nota**  
El espacio de nombres de la VPN no aparecerá en la CloudWatch consola hasta que se haya creado una conexión Site-to-Site VPN en la AWS región que está viendo.

**Para ver las métricas mediante el AWS CLI**  
En el símbolo del sistema, ejecute el siguiente comando:

```
aws cloudwatch list-metrics --namespace "AWS/VPN"
```

# Crea CloudWatch alarmas de Amazon para monitorear AWS Site-to-Site VPN los túneles
<a name="creating-alarms-vpn"></a>

Puede crear una CloudWatch alarma que envíe un mensaje de Amazon SNS cuando la alarma cambie de estado. Una alarma vigila una única métrica durante el período especificado y envía una notificación a un tema de Amazon SNS según el valor de la métrica relativo a un determinado umbral durante varios períodos de tiempo. 

Por ejemplo, puede crear una alarma que monitoree el estado de un único túnel de VPN y envíe una notificación cuando el estado del túnel sea INACTIVO durante 3 puntos de datos en 15 minutos.

**Para crear una alarma para el estado de un único túnel**

1. Abra la CloudWatch consola en. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)

1. En el panel de navegación, amplíe **Alarmas** y, a continuación, elija **Todas las alarmas**.

1. Elija **Crear alarma** y, a continuación, elija **Seleccionar métrica**.

1. Elija **VPN** y, a continuación, elija **Métricas de túnel de VPN**.

1. Seleccione la dirección IP del túnel deseado, en la misma línea que la **TunnelState**métrica. Elija **Seleccionar métrica**.

1. Para **siempre que TunnelState sea...** , seleccione **Inferior** y, a continuación, introduzca «1" en el campo de entrada situado debajo **de...** .

1. En **Configuración adicional**, establezca las entradas en “3 de 3” para los **Puntos de datos para la alarma**.

1. Elija **Siguiente**.

1. En **Enviar una notificación al siguiente tema de SNS**, seleccione una lista de notificación existente o cree una nueva.

1. Elija **Siguiente**.

1. Escriba un nombre para la alarma. Elija **Siguiente**. 

1. Compruebe la configuración de la alarma y, a continuación, elija **Create alarm (Crear alarma)**.

Puede crear una alarma que supervise el estado de la conexión Site-to-Site VPN. Por ejemplo, puede crear una alarma que envíe una notificación cuando el estado de uno o ambos túneles esté INACTIVO durante un período de 5 minutos.

**Para crear una alarma para el estado de la conexión Site-to-Site VPN**

1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación, amplíe **Alarmas** y, a continuación, elija **Todas las alarmas**.

1. Elija **Crear alarma** y, a continuación, elija **Seleccionar métrica**.

1. Elija **VPN** y, a continuación, elija **VPN Connection Metrics (Métricas de conexión VPN)**.

1. Seleccione su conexión Site-to-Site VPN y la **TunnelState**métrica. Elija **Select metric (Seleccionar métrica)**.

1. En **Statistic (Estadística)**, especifique **Maximum (Máximo)**.

   Como alternativa, si has configurado tu conexión Site-to-Site VPN para que ambos túneles estén activos, puedes especificar una estadística de **Mínimo** para enviar una notificación cuando al menos un túnel esté inactivo.

1. En **Siempre**, elija **Menor o igual que** (**<=**) e introduzca **0** (o **0,5** cuando hay al menos un túnel desactivado). Elija **Siguiente**.

1. En **Select an SNS topic (Seleccionar un tema de SNS)**, seleccione una notificación existente o elija **New list (Nueva lista)** para crear una. Elija **Siguiente**.

1. Escriba un nombre y la descripción de su alarma. Elija **Siguiente**. 

1. Compruebe la configuración de la alarma y, a continuación, elija **Create alarm (Crear alarma)**.

También puede crear alarmas que monitoricen la cantidad de tráfico que entra o sale del túnel de VPN. Por ejemplo, la siguiente alarma monitoriza la cantidad de tráfico que entra en el túnel de VPN desde su red, y envía una notificación cuando el número de bytes alcanza un umbral de 5 000 000 durante un periodo de 15 minutos.

**Para crear una alarma para el tráfico de red entrante**

1. Abre la CloudWatch consola en. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)

1. En el panel de navegación, amplíe **Alarmas** y, a continuación, elija **Todas las alarmas**.

1. Elija **Crear alarma** y, a continuación, elija **Seleccionar métrica**.

1. Seleccione **VPN** y, a continuación, elija **VPN Tunnel Metrics (Métricas de túnel de VPN)**.

1. Seleccione la dirección IP del túnel VPN y la **TunnelDataIn**métrica. Elija **Select metric (Seleccionar métrica)**.

1. En **Statistic (Estadística)**, especifique **Sum (Suma)**. 

1. En **Period (Periodo)**, seleccione **15 minutes (15 minutos)**.

1. En **Whenever (Siempre)**, elija **Greater/Equal (Mayor o igual)**(**>=**) y escriba **5000000**. Elija **Siguiente**.

1. En **Select an SNS topic (Seleccionar un tema de SNS)**, seleccione una notificación existente o elija **New list (Nueva lista)** para crear una. Elija **Siguiente**.

1. Escriba un nombre y la descripción de su alarma. Elija **Siguiente**. 

1. Compruebe la configuración de la alarma y, a continuación, elija **Create alarm (Crear alarma)**.

La siguiente alarma monitoriza la cantidad de tráfico que sale del túnel de VPN a su red, y envía una notificación cuando el número de bytes sea inferior a 1 000 000 durante un periodo de 15 minutos.

**Para crear una alarma para el tráfico de red saliente**

1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación, amplíe **Alarmas** y, a continuación, elija **Todas las alarmas**.

1. Elija **Crear alarma** y, a continuación, elija **Seleccionar métrica**.

1. Seleccione **VPN** y, a continuación, elija **VPN Tunnel Metrics (Métricas de túnel de VPN)**.

1. Seleccione la dirección IP del túnel VPN y la **TunnelDataOut**métrica. Elija **Select metric (Seleccionar métrica)**.

1. En **Statistic (Estadística)**, especifique **Sum (Suma)**. 

1. En **Period (Periodo)**, seleccione **15 minutes (15 minutos)**.

1. En **Whenever (Siempre que sea)**, elija **Lower/Equal (Menor o igual)**(**<=**) y escriba `1000000`. Elija **Siguiente**.

1. En **Select an SNS topic (Seleccionar un tema de SNS)**, seleccione una notificación existente o elija **New list (Nueva lista)** para crear una. Elija **Siguiente**.

1. Escriba un nombre y la descripción de su alarma. Elija **Siguiente**. 

1. Compruebe la configuración de la alarma y, a continuación, elija **Create alarm (Crear alarma)**.

Para ver más ejemplos de creación de alarmas, consulta [Cómo crear CloudWatch alarmas de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) en la *Guía del CloudWatch usuario de Amazon*.

# AWS Health y AWS Site-to-Site VPN eventos
<a name="monitoring-vpn-health-events"></a>

AWS Site-to-Site VPN envía automáticamente notificaciones a [Panel de estado](https://docs.aws.amazon.com/health/latest/ug/aws-health-dashboard-status.html). Este panel no requiere configuración y está listo para ser utilizado por AWS los usuarios autenticados. Puede configurar varias acciones en respuesta a las notificaciones de eventos a través de Panel de estado.

 Panel de estado Proporciona los siguientes tipos de notificaciones para sus conexiones VPN:
+ [Notificaciones de sustitución de puntos de enlace de un túnel](#tunnel-replacement-notifications)
+ [Notificaciones de VPN con un solo túnel](#single-tunnel-notifications)

## Notificaciones de sustitución de puntos de enlace de un túnel
<a name="tunnel-replacement-notifications"></a>

Recibirá una **notificación de sustitución del punto final del túnel** Panel de estado cuando se sustituya uno o ambos puntos finales del túnel VPN de su conexión VPN. El punto de enlace de un túnel se reemplaza cuando AWS realiza actualizaciones en el túnel o cuando se modifica su conexión de VPN. Para obtener más información, consulte [AWS Site-to-Site VPN reemplazos de puntos finales de túneles](endpoint-replacements.md).

Cuando se completa el reemplazo del punto final del túnel, AWS envía la **notificación de reemplazo del punto final del túnel** a través de un Panel de estado evento.

## Notificaciones de VPN con un solo túnel
<a name="single-tunnel-notifications"></a>

Una conexión Site-to-Site VPN consta de dos túneles para garantizar la redundancia. Se recomienda encarecidamente que configure ambos túneles para disfrutar de una alta disponibilidad. Si la conexión VPN tiene un único túnel activo y el otro se mantiene inactivo durante más de una hora al día, recibirá una *notificación de túnel de VPN único* **mensual** a través de un evento de Panel de estado . Este evento se actualizará diariamente con cualquier conexión VPN nueva detectada como túnel único, y las notificaciones se enviarán semanalmente. Cada mes se creará un nuevo evento que borrará todas las conexiones de VPN que ya no se detecten como túnel único.