

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# AWS Site-to-Site VPN journaux
<a name="monitoring-logs"></a>

AWS Site-to-Site VPN les journaux vous offrent une meilleure visibilité sur vos déploiements Site-to-Site VPN. Grâce à cette fonctionnalité, vous avez accès aux journaux de connexion Site-to-Site VPN qui fournissent des informations sur l'établissement du tunnel de sécurité IP (IPsec), les négociations relatives à l'échange de clés Internet (IKE), les messages du protocole de détection des pairs morts (DDP), l'état du protocole Border Gateway (BGP) et les mises à jour du routage.

Site-to-Site Les journaux VPN peuvent être publiés sur Amazon CloudWatch Logs. Cette fonctionnalité fournit aux clients un moyen unique et cohérent d'accéder aux journaux détaillés de toutes leurs connexions Site-to-Site VPN et de les analyser.

**Topics**
+ [Avantages des journaux Site-to-Site VPN](#log-benefits)
+ [Politique relative CloudWatch aux ressources et restrictions relatives à la taille d'Amazon Logs](#cwl-policy-size)
+ [Site-to-Site Contenu du journal VPN](#log-contents)
+ [Exemple de format de journal pour les journaux Tunnel BGP](#example-bgp-logs)
+ [Exigences IAM pour publier dans Logs CloudWatch](#publish-cw-logs)
+ [Afficher la configuration des journaux Site-to-Site VPN](status-logs.md)
+ [Activer les journaux Site-to-Site VPN](enable-logs.md)
+ [Désactiver les journaux Site-to-Site VPN](disable-logs.md)

## Avantages des journaux Site-to-Site VPN
<a name="log-benefits"></a>
+ **Résolution des problèmes VPN simplifiés :** les journaux Site-to-Site VPN vous aident à identifier les incohérences de configuration entre AWS le dispositif de passerelle de votre client et à résoudre les problèmes de connectivité VPN initiaux. Les connexions VPN peuvent échouer par intermittence au fil du temps en raison de paramètres mal configurés (tels que des délais d'expiration mal réglés), des problèmes peuvent se produire dans les réseaux de transport sous-jacents (comme la météo Internet), ou des modifications de routage/défaillances de chemin peuvent interrompre la connectivité au VPN. Cette fonctionnalité vous permet de diagnostiquer avec précision la cause des défaillances de connexion intermittentes et d'affiner la configuration du tunnel de bas niveau pour assurer la fiabilité du fonctionnement.
+ ** AWS Site-to-Site VPN Visibilité centralisée :** les journaux Site-to-Site VPN peuvent fournir des journaux d'activité du tunnel et de routage BGP pour tous les types de connexions Site-to-Site VPN. Cette fonctionnalité fournit aux clients un moyen unique et cohérent d'accéder aux journaux détaillés de toutes leurs connexions Site-to-Site VPN et de les analyser.
+ **Sécurité et conformité :** les journaux Site-to-Site VPN peuvent être envoyés à Amazon CloudWatch Logs pour une analyse rétrospective de l'état et de l'activité de la connexion VPN au fil du temps. Cela peut vous aider à respecter les exigences réglementaires et de conformité.

## Politique relative CloudWatch aux ressources et restrictions relatives à la taille d'Amazon Logs
<a name="cwl-policy-size"></a>

CloudWatch Les politiques relatives aux ressources des journaux sont limitées à 5 120 caractères. Lorsque CloudWatch Logs détecte qu'une politique approche cette limite de taille, elle active automatiquement les groupes de journaux commençant par`/aws/vendedlogs/`. Lorsque vous activez la journalisation, le Site-to-Site VPN doit mettre à jour votre politique de ressources de CloudWatch journaux avec le groupe de journaux que vous spécifiez. Pour éviter d'atteindre la limite de taille de la politique des CloudWatch journaux, préfixez les noms de vos groupes de journaux par`/aws/vendedlogs/`.

## Site-to-Site Contenu du journal VPN
<a name="log-contents"></a>

Les informations suivantes sont incluses dans le journal d'activité du tunnel Site-to-Site VPN. Le nom du fichier journal utilise les VpnConnection identifiants ID et TunnelOutsideIPAddress.


| Champ | Description | 
| --- | --- | 
|  VpnLogCreationTimestamp (`event_timestamp`)  |  Horodatage de création du journal au format epoch time.  | 
|  VpnLogCreationTimestampReadable (`timestamp`)  |  Horodatage de création du journal au format temporel lisible par l'homme.  | 
|  Tunnel DPDEnabled (`dpd_enabled`)  |  Statut d'activation du protocole Dead Peer Detection (True/False).  | 
|  CGWNATTDetectionÉtat du tunnel (`nat_t_detected`)  | Détection de NAT-T sur l'appareil de passerelle client (True/False). | 
|  IKEPhase1État du tunnel (`ike_phase1_state`)  | État du protocole IKE en phase 1 (Established \$1 Rekeying \$1 Negotiating \$1 Down). | 
| IKEPhase2État du tunnel (ike\$1phase2\$1state) | État du protocole IKE en phase 2 (Established \$1 Rekeying \$1 Negotiating \$1 Down). | 
| VpnLogDetail (details) | Messages détaillés pour IPsec les protocoles IKE et DDP. | 

Les informations suivantes sont incluses dans le journal BGP du tunnel Site-to-Site VPN. Le nom du fichier journal utilise les VpnConnection identifiants ID et TunnelOutsideIPAddress.


| Champ | Description | 
| --- | --- | 
|  identifiant\$1ressource  |  Un identifiant unique pour identifier le tunnel et la connexion VPN à laquelle le journal est associé.  | 
|  event\$1timestamp  |  Horodatage de création du journal au format epoch time.  | 
|  timestamp  |  Horodatage de création du journal au format temporel lisible par l'homme.  | 
|  type  | Type d'événement du journal BGP (BGPStatus \$1 RouteStatus). | 
|  status  | mise à jour du statut pour un type spécifique d'événement de journal (BGPStatus: UP \$1 DOWN) (RouteStatus: ANNONCÉ \$1l'itinéraire a été annoncé par le pair\$1 \$1 MIS À JOUR : \$1l'itinéraire existant a été mis à jour par le pair\$1 \$1 RETIRÉ : \$1l'itinéraire a été retiré par le pair\$1). | 
| message | Fournit des informations supplémentaires sur l'événement et le statut du journal. Ce champ vous aidera à comprendre pourquoi les BGPStatus attributs de route échangés dans le RouteStatus message sont en panne. | 

**Topics**
+ [IKEv1 Messages d'erreur](#sample-log-ikev1)
+ [IKEv2 Messages d'erreur](#sample-log-ikev2)
+ [IKEv2 Messages de négociation](#sample-log-ikev2-negotiation)
+ [Messages d'état BGP](#sample-bgp-status-messages)
+ [Messages d'état de l'itinéraire](#sample-route-status-messages)

### IKEv1 Messages d'erreur
<a name="sample-log-ikev1"></a>


| Message | Explication | 
| --- | --- | 
|  Le pair ne répond pas – Déclarer le pair mort  |  Le pair n'a pas répondu aux messages DDP, ce qui a imposé une action de temporisation de DDP.  | 
|  AWS le déchiffrement de la charge utile du tunnel a échoué en raison d'une clé pré-partagée non valide  |  La même clé pré-partagée doit être configurée sur les deux pairs IKE.  | 
|  Aucune proposition correspondante n'a été trouvée par AWS  |  Les attributs proposés pour la phase 1 (chiffrement, hachage et groupe DH) ne sont pas pris en charge par le point de terminaison VPN AWS, `3DES` par exemple.  | 
|  Aucune proposition correspondante trouvée. Notifier avec « Aucune proposition choisie »  |  Le message d'erreur No Proposal Chosen est échangé entre pairs pour indiquer que la configuration correcte Proposals/Policies doit être configurée pour la phase 2 sur les homologues IKE.  | 
|  AWS tunnel a reçu DELETE pour la phase 2 SA avec SPI : xxxx  | CGW a envoyé le message Delete\$1SA pour la phase 2. | 
|  AWS le tunnel a reçu la commande DELETE pour IKE\$1SA de la part de CGW  | CGW a envoyé le message Delete\$1SA pour la phase 1. | 

### IKEv2 Messages d'erreur
<a name="sample-log-ikev2"></a>


| Message | Explication | 
| --- | --- | 
|  AWS le délai imparti au tunnel DDP a expiré après les retransmissions de \$1retry\$1count\$1  |  Le pair n'a pas répondu aux messages DDP, ce qui a imposé une action de temporisation de DDP.   | 
|  AWS le tunnel a reçu la commande DELETE pour IKE\$1SA de la part de CGW  |  Peer a envoyé le message Delete\$1SA pour Parent/IKE\$1SA.  | 
| AWS tunnel a reçu DELETE pour la phase 2 SA avec SPI : xxxx | Peer a envoyé le message Delete\$1SA pour CHILD\$1SA. | 
|  AWS le tunnel a détecté une collision (CHILD\$1REKEY) en tant que CHILD\$1DELETE  |  CGW a envoyé le message Delete\$1SA pour la SA active, dont la clé est en cours de changement.  | 
|  AWS le SA redondant du tunnel (CHILD\$1SA) est supprimé en raison d'une collision détectée  | En raison d'une collision, si des redondants SAs sont générés, les pairs fermeront le SA redondant après avoir fait correspondre les valeurs de nonce conformément à la RFC. | 
|  AWS la phase 2 du tunnel n'a pas pu être établie tout en maintenant la phase 1  | Le pair n'a pas pu établir CHILD\$1SA en raison d'une erreur de négociation, par exemple d'une proposition incorrecte.  | 
| AWS : sélecteur de trafic : TS\$1UNACCEPTABLE : reçu du répondeur | Le pair a proposé un Selectors/Encryption domaine de trafic incorrect. Les pairs doivent être configurés de manière identique et correcte CIDRs. | 
| AWS le tunnel envoie AUTHENTICATION\$1FAILED comme réponse | Le pair ne peut pas authentifier le pair en vérifiant le contenu du message IKE\$1AUTH | 
| AWS le tunnel a détecté une incompatibilité de clé pré-partagée avec cgw : xxxx | La même clé pré-partagée doit être configurée sur les deux pairs IKE. | 
| AWS délai d'expiration du tunnel : suppression de la phase 1 non établie IKE\$1SA avec cgw : xxxx | La suppression de IKE\$1SA à moitié ouvert en tant que pair n'a pas donné lieu à des négociations | 
| Aucune proposition correspondante trouvée. Notifier avec « Aucune proposition choisie » | Le message d'erreur « Aucune proposition choisie » est échangé entre les pairs pour informer que des propositions correctes doivent être configurées sur les pairs IKE. | 
| Aucune proposition correspondante n'a été trouvée par AWS | Les attributs proposés pour la phase 1 ou la phase 2 (chiffrement, hachage et groupe DH) ne sont pas pris en charge par le point de terminaison AWS VPN, `3DES` par exemple. | 

### IKEv2 Messages de négociation
<a name="sample-log-ikev2-negotiation"></a>


| Message | Explication | 
| --- | --- | 
|  AWS demande traitée par tunnel (id=xxx) pour CREATE\$1CHILD\$1SA  |  AWS a reçu la demande CREATE\$1CHILD\$1SA de CGW.  | 
|  AWS le tunnel envoie une réponse (id=xxx) pour CREATE\$1CHILD\$1SA  |  AWS envoie une réponse CREATE\$1CHILD\$1SA à CGW.  | 
| AWS le tunnel envoie une demande (id=xxx) pour CREATE\$1CHILD\$1SA | AWS envoie une demande CREATE\$1CHILD\$1SA à CGW. | 
|  AWS réponse traitée par tunnel (id=xxx) pour CREATE\$1CHILD\$1SA  |  AWS a reçu une réponse CREATE\$1CHILD\$1SA de CGW.  | 

### Messages d'état BGP
<a name="sample-bgp-status-messages"></a>

 Les messages d'état BGP contiennent des informations relatives aux transitions d'état des sessions BGP, aux avertissements relatifs aux limites de préfixes, aux violations des limites, aux notifications de session BGP, aux messages BGP OPEN et aux mises à jour d'attributs pour un voisin BGP pour une session BGP donnée. 


| Message | État du BGP | Explication | 
| --- | --- | --- | 
|   L'état de la session BGP du pair AWS est passé de Idle à Connect with neighbor \$1ip : xxx\$1   |   VERS LE BAS   |   L'état de la connexion BGP côté AWS a été mis à jour pour devenir Connect.   | 
|   L'état de la session BGP du pair côté AWS est passé de Connect à OpenSent with neighbor \$1ip : xxx\$1   |   VERS LE BAS   |   L'état de la connexion BGP du côté AWS a été mis à jour à OpenSent.   | 
|   L'état de la session BGP du pair côté AWS est passé de OpenSent à OpenConfirm avec voisin \$1ip : xxx\$1   |   VERS LE BAS   |   L'état de la connexion BGP du côté AWS a été mis à jour à OpenConfirm.   | 
|   L'état de la session BGP du pair côté AWS est passé de OpenConfirm à Établi avec le voisin \$1ip : xxx\$1   |   EN HAUT   |   L'état de la connexion BGP du côté AWS a été mis à jour à Established.   | 
|   L'état de la session BGP du pair AWS est passé de Établi à Inactif avec le voisin \$1ip : xxx\$1   |   VERS LE BAS   |   L'état de la connexion BGP côté AWS a été mis à jour à Idle.   | 
|   L'état de la session BGP du pair côté AWS est passé de Connect à Active with neighbor \$1ip : xxx\$1   |   VERS LE BAS   |   L'état de connexion BGP du côté AWS est passé de Connect à Active. Vérifiez la disponibilité du port TCP 179 sur CGW si la session BGP est bloquée dans l'état Connect.   | 
|   Un homologue côté AWS signale un avertissement relatif à la limite maximale de préfixes : \$1prefixes (count) : xxx\$1 préfixes reçus du voisin \$1ip : xxx\$1, la limite est \$1limit (numeric) : xxx\$1   |   EN HAUT   |   Le côté AWS génère régulièrement un message de journal lorsque le nombre de préfixes reçus du CGW approche de la limite autorisée.   | 
|   Le pair AWS a détecté que la limite maximale de préfixes était dépassée. Il a reçu \$1prefixes (count) : xxx\$1 préfixes du voisin \$1ip : xxx\$1, la limite est \$1limit (numeric) : xxx\$1   |   VERS LE BAS   |   Le côté AWS génère un message de journal lorsque le nombre de préfixes reçus du CGW a dépassé la limite autorisée.   | 
|   Le pair côté AWS a envoyé une notification 6/1 (cessation/nombre maximum de préfixes atteints) au voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a envoyé une notification à l'homologue BGP CGW pour indiquer que la session BGP avait été interrompue en raison d'une violation de la limite de préfixe.   | 
|   Le pair côté AWS a reçu une notification 6/1 (cessation/nombre maximum de préfixes atteints) du voisin \$1ip : xxx\$1   |   VERS LE BAS   |  La partie AWS a reçu une notification de l'homologue CGW indiquant que la session BGP avait été interrompue en raison d'une violation de la limite de préfixe.   | 
|   Le pair côté AWS a envoyé une notification 6/2 (cessation/arrêt administratif) au voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a envoyé une notification à l'homologue BGP CGW pour indiquer que la session BGP avait été interrompue.   | 
|   Le pair côté AWS a reçu une notification 6/2 (cessation/arrêt administratif) du voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a reçu une notification de l'homologue CGW indiquant que la session BGP avait été interrompue.   | 
|   Le pair côté AWS a envoyé une notification 6/3 (Cease/Peer Unconfigured) au voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a envoyé une notification à l'homologue CGW pour indiquer que celui-ci n'est pas configuré ou qu'il a été retiré de la configuration.   | 
|   Le pair côté AWS a reçu une notification 6/3 (cessation/homologue non configuré) du voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a reçu une notification de l'homologue CGW indiquant que celui-ci n'est pas configuré ou qu'il a été retiré de la configuration.   | 
|   Le pair côté AWS a envoyé une notification 6/4 (cessation/réinitialisation administrative) au voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a envoyé une notification à l'homologue BGP CGW pour indiquer que la session BGP avait été réinitialisée.   | 
|   Le pair côté AWS a reçu une notification 6/4 (cessation/réinitialisation administrative) du voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a reçu une notification de l'homologue CGW indiquant que la session BGP avait été réinitialisée.   | 
|   Le pair côté AWS a envoyé une notification 6/5 (cessation/connexion rejetée) au voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a envoyé une notification à l'homologue BGP CGW pour indiquer que la session BGP avait été rejetée.   | 
|   Le pair côté AWS a reçu une notification 6/5 (cessation/connexion rejetée) du voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a reçu une notification de l'homologue CGW indiquant que la session BGP avait été rejetée.   | 
|   Le pair côté AWS a envoyé une notification 6/6 (cessation/autre modification de configuration) au voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a envoyé une notification à l'homologue BGP CGW pour indiquer qu'un changement de configuration de session BGP avait eu lieu.   | 
|   Le pair côté AWS a reçu une notification 6/6 (cessation/autre modification de configuration) du voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a reçu une notification de l'homologue CGW indiquant qu'un changement de configuration de session BGP a eu lieu.   | 
|   Le pair côté AWS a envoyé une notification 6/7 (résolution des collisions de cessation/de connexion) au voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a envoyé une notification à l'homologue CGW pour résoudre une collision de connexion lorsque les deux homologues tentent d'établir une connexion simultanément.   | 
|   Le pair côté AWS a reçu une notification 6/7 (résolution des collisions de cessation/de connexion) du voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a reçu une notification de l'homologue CGW indiquant la résolution d'une collision de connexion lorsque les deux homologues tentent d'établir une connexion simultanément.   | 
|   Un pair côté AWS a envoyé une notification d'expiration du délai d'attente au voisin \$1ip : xxx\$1   |   VERS LE BAS   |   Le délai de blocage du BGP a expiré et une notification a été envoyée par AWS au CGW.   | 
|   Un pair côté AWS a détecté un message OPEN incorrect provenant du voisin \$1ip : xxx\$1 - remote AS is \$1asn : xxx\$1, attendu \$1asn : xxx\$1   |   VERS LE BAS   |   Le côté AWS a détecté qu'un message OPEN erroné avait été reçu de l'homologue CGW, ce qui indique une incompatibilité de configuration.   | 
|   Le pair côté AWS a reçu un message OUVERT du voisin \$1ip : xxx\$1 - version 4, AS \$1asn : xxx\$1, holdtime \$1holdtime (seconds) : xxx\$1, router-id \$1id : xxx\$1\$1   |   VERS LE BAS   |   La partie AWS a reçu un message d'ouverture BGP pour lancer une session BGP avec l'homologue CGW.   | 
|   Le pair côté AWS a envoyé un message OUVERT au voisin \$1ip : xxx\$1 - version 4, AS \$1asn : xxx\$1, holdtime \$1holdtime (seconds) : xxx\$1, router-id \$1id : xxx\$1   |   VERS LE BAS   |   L'homologue CGW a envoyé un message d'ouverture BGP pour lancer une session BGP avec l'homologue BGP côté AWS.   | 
|   L'homologue côté AWS établit une connexion (via Connect) avec le voisin \$1ip : xxx\$1   |   VERS LE BAS   |   Le côté AWS tente de se connecter au voisin BGP CGW.   | 
|   Le pair côté AWS a envoyé un End-of-RIB message au voisin \$1ip : xxx\$1   |   EN HAUT   |   Le côté AWS a fini de transmettre les itinéraires au CGW après l'établissement de la session BGP.   | 
|   Le pair côté AWS a reçu une mise à jour avec les attributs du voisin \$1ip : xxx\$1 - AS path : \$1aspath (list) : xxx xxx xxx\$1   |   EN HAUT   |   Le côté AWS a reçu une mise à jour de l'attribut de session BGP de la part du voisin.   | 

### Messages d'état de l'itinéraire
<a name="sample-route-status-messages"></a>

 Contrairement aux messages d'état BGP, les messages d'état de route contiennent des données sur les attributs BGP d'un préfixe donné, tels que le chemin AS, les préférences locales, le discriminateur à sorties multiples (MED), l'adresse IP du prochain saut et le poids. Un message d'état de l'itinéraire ne contiendra un champ de détails qu'en cas d'erreur concernant un itinéraire ANNONCÉ, MIS À JOUR ou RETIRÉ. Les exemples suivants en sont les suivants : 


| Message | Explication | 
| --- | --- | 
|   REFUSÉ car : as-path contient notre propre AS   |   Les messages de mise à jour BGP pour un nouveau préfixe provenant de CGW ont été refusés par AWS en raison de la route contenant le propre AS du pair côté AWS.   | 
|   REFUSÉ pour cause de : prochain saut non connecté   |   AWS a rejeté une annonce de route BGP pour le préfixe émise par le CGW en raison d'un échec de validation du prochain saut non connecté. Assurez-vous que l'itinéraire est accessible du côté de la CGW.   | 

## Exemple de format de journal pour les journaux Tunnel BGP
<a name="example-bgp-logs"></a>

```
{
    "resource_id": "vpn-1234abcd_1.2.3.4",
    "event_timestamp": 1762580429641,
    "timestamp": "2025-11-08 05:40:29.641Z",
    "type": "BGPStatus",
    "status": "UP",
    "message": {
        "details": "AWS-side peer BGP session state has changed from OpenConfirm to Established with neighbor 169.254.50.85"
    }
}

{
    "resource_id": "vpn-1234abcd_1.2.3.4",
    "event_timestamp": 1762579573243,
    "timestamp": "2025-11-08 05:26:13.243Z",
    "type": "RouteStatus",
    "status": "UPDATED",
    "message": {
        "prefix": "172.31.0.0/16",
        "asPath": "64512",
        "localPref": 100,
        "med": 100,
        "nextHopIp": "169.254.50.85",
        "weight": 32768,
        "details": "DENIED due to: as-path contains our own AS"
    }
}
```

## Exigences IAM pour publier dans Logs CloudWatch
<a name="publish-cw-logs"></a>


Pour que la fonctionnalité de journalisation fonctionne correctement, la politique IAM attachée au principal IAM utilisée pour configurer la fonctionnalité doit inclure au minimum les autorisations suivantes. Vous trouverez également plus de détails dans la section [Activation de la journalisation à partir de certains AWS services](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html) du *guide de l'utilisateur Amazon CloudWatch Logs*.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}
```

------

# Afficher la configuration AWS Site-to-Site VPN des journaux
<a name="status-logs"></a>

Consultez le journal d'activité d'une connexion Site-to-Site VPN. Vous pouvez voir ici des détails sur la configuration de tels algorithmes de chiffrement ou sur l'activation des journaux VPN par tunnel. Vous pouvez également consulter l'état du tunnel. Cela vous permet de mieux suivre les problèmes ou les conflits que vous pourriez rencontrer avec une connexion VPN. 

**Pour afficher les paramètres de journalisation de tunnel en cours**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, sélectionnez **Connexions Site-to-Site VPN**.

1. Sélectionnez la connexion VPN que vous souhaitez afficher dans la liste **Connexions VPN**.

1. Cliquez sur l'onglet **Détails du tunnel**.

1. Développez les sections **Tunnel 1 options** (Options du tunnel 1) et **Tunnel 2 options** (Options du tunnel 2) pour afficher tous les détails de configuration du tunnel.

1. Vous pouvez consulter l'état actuel de la fonctionnalité de **journal du tunnel VPN** et le groupe de CloudWatch journaux actuellement configuré (le cas échéant) sous le **groupe de journaux pour le CloudWatch journal du tunnel VPN** et le format de sortie du journal sous Format de **sortie pour le journal du VPN du tunnel**.

1. Vous pouvez consulter l'état actuel de la fonctionnalité de **journal BGP du tunnel**, le groupe de CloudWatch journaux actuellement configuré (le cas échéant) sous le **groupe de journaux pour le CloudWatch journal du tunnel VPN** et le format de sortie du journal sous Format de **sortie pour le journal BGP du tunnel**.

**Pour afficher les paramètres actuels de journalisation du tunnel sur une connexion Site-to-Site VPN à l'aide de la ligne de AWS commande ou de l'API**
+ [DescribeVpnConnections](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnConnections.html)(API de requête Amazon EC2)
+ [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html) (AWS CLI)

# Activer AWS Site-to-Site VPN les journaux
<a name="enable-logs"></a>

Activez les journaux Site-to-Site VPN pour enregistrer l'activité du VPN, telle que l'état du tunnel et d'autres détails. Vous pouvez activer la connexion à une nouvelle connexion ou modifier une connexion existante pour démarrer l'activité de journalisation. Si vous souhaitez désactiver la journalisation d'une connexion, consultez[Désactiver les journaux Site-to-Site VPN](disable-logs.md).

**Note**  
Lorsque vous activez les journaux Site-to-Site VPN pour un tunnel de connexion VPN existant, votre connectivité via ce tunnel peut être interrompue pendant plusieurs minutes. Cependant, chaque connexion VPN propose deux tunnels pour assurer la haute disponibilité, de sorte que vous pouvez activer la journalisation sur un tunnel à la fois tout en maintenant la connectivité sur le tunnel qui n'est pas modifié. Pour de plus amples informations, veuillez consulter [AWS Site-to-Site VPN remplacement des extrémités des tunnels](endpoint-replacements.md).

**Pour activer la journalisation VPN lors de la création d'une nouvelle connexion Site-to-Site VPN**  
Suivez la procédure [Étape 5 : Création d'une connexion VPN](SetUpVPNConnections.md#vpn-create-vpn-connection). Au cours de l'étape 9 **Options de tunnel**, vous pouvez spécifier toutes les options que vous souhaitez utiliser pour les deux tunnels, y compris les options de **journalisation du VPN**. Pour plus d’informations sur ces options, consultez [Options de tunnel pour votre AWS Site-to-Site VPN connexion](VPNTunnels.md).

**Pour activer la journalisation par tunnel sur une nouvelle connexion Site-to-Site VPN à l'aide de la ligne de AWS commande ou de l'API**
+ [CreateVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnConnection.html)(API de requête Amazon EC2)
+ [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html) (AWS CLI)

**Pour activer la journalisation de l'activité du tunnel sur une connexion Site-to-Site VPN existante**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, sélectionnez **Connexions Site-to-Site VPN**.

1. Sélectionnez la connexion VPN que vous souhaitez modifier dans la liste **Connexions VPN**.

1. Sélectionnez **Actions**, **Modify VPN tunnel options** (Modifier les options de tunnel VPN).

1. Sélectionnez le tunnel que vous souhaitez modifier en choisissant l'adresse IP appropriée dans la liste **VPN tunnel outside IP address** (Adresse IP extérieure du tunnel VPN).

1. Sous **Tunnel activity log** (Journal d'activité du tunnel), sélectionnez **Enable** (Activer).

1. Sous **Groupe de CloudWatch journaux Amazon**, sélectionnez le groupe de CloudWatch journaux Amazon dans lequel vous souhaitez que les journaux soient envoyés.

1. (Facultatif) Sous **Output format** (Format de sortie), choisissez le format souhaité pour la sortie du journal, à savoir **json** ou **text**.

1. Sélectionnez **Save changes** (Enregistrer les modifications).

1. (Facultatif) Répétez les étapes 4 à 9 pour l'autre tunnel si vous le souhaitez.

**Pour activer la journalisation BGP par tunnel sur une connexion Site-to-Site VPN existante**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, sélectionnez **Connexions Site-to-Site VPN**.

1. Sélectionnez la connexion VPN que vous souhaitez modifier dans la liste **Connexions VPN**.

1. Sélectionnez **Actions**, **Modify VPN tunnel options** (Modifier les options de tunnel VPN).

1. Sélectionnez le tunnel que vous souhaitez modifier en choisissant l'adresse IP appropriée dans la liste **VPN tunnel outside IP address** (Adresse IP extérieure du tunnel VPN).

1. Sous **Journal BGP du tunnel**, sélectionnez **Activer**.

1. Sous **Groupe de CloudWatch journaux Amazon**, sélectionnez le groupe de CloudWatch journaux Amazon dans lequel vous souhaitez que les journaux soient envoyés.

1. (Facultatif) Sous **Output format** (Format de sortie), choisissez le format souhaité pour la sortie du journal, à savoir **json** ou **text**.

1. Sélectionnez **Save changes** (Enregistrer les modifications).

1. (Facultatif) Répétez les étapes 4 à 9 pour l'autre tunnel si vous le souhaitez.

**Pour activer la journalisation par tunnel sur une connexion Site-to-Site VPN existante à l'aide de la ligne de AWS commande ou de l'API**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html)(API de requête Amazon EC2)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)

# Désactiver AWS Site-to-Site VPN les journaux
<a name="disable-logs"></a>

Désactivez la connexion VPN sur une connexion si vous ne souhaitez plus suivre aucune activité sur cette connexion. Cette action désactive uniquement la journalisation et n'affecte rien d'autre pour cette connexion. Pour activer ou réactiver la connexion à une connexion, consultez[Activer les journaux Site-to-Site VPN](enable-logs.md).

**Pour désactiver la journalisation de l'activité du tunnel sur une connexion Site-to-Site VPN**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Site-to-Site VPN Connections**.

1. Sélectionnez la connexion VPN que vous souhaitez modifier dans la liste **Connexions VPN**.

1. Sélectionnez **Actions**, **Modify VPN tunnel options** (Modifier les options de tunnel VPN).

1. Sélectionnez le tunnel que vous souhaitez modifier en choisissant l'adresse IP appropriée dans la liste **VPN tunnel outside IP address** (Adresse IP extérieure du tunnel VPN).

1. Sous **Tunnel activity log** (Journal d'activité du tunnel), décochez **Enable** (Activer).

1. Sélectionnez **Save changes** (Enregistrer les modifications).

1. (Facultatif) Répétez les étapes 4 à 7 pour l'autre tunnel si vous le souhaitez.

**Pour désactiver la journalisation BGP par tunnel sur une connexion Site-to-Site VPN**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Site-to-Site VPN Connections**.

1. Sélectionnez la connexion VPN que vous souhaitez modifier dans la liste **Connexions VPN**.

1. Sélectionnez **Actions**, **Modify VPN tunnel options** (Modifier les options de tunnel VPN).

1. Sélectionnez le tunnel que vous souhaitez modifier en choisissant l'adresse IP appropriée dans la liste **VPN tunnel outside IP address** (Adresse IP extérieure du tunnel VPN).

1. Dans le **journal BGP du tunnel**, désactivez **Activer**.

1. Sélectionnez **Save changes** (Enregistrer les modifications).

1. (Facultatif) Répétez les étapes 4 à 7 pour l'autre tunnel si vous le souhaitez.

**Pour désactiver la journalisation par tunnel sur une connexion Site-to-Site VPN à l'aide de la ligne de AWS commande ou de l'API**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html)(API de requête Amazon EC2)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)