

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Surveillance et AWS Site-to-Site VPN connexion
<a name="monitoring-overview-vpn"></a>

La surveillance joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances de votre AWS Site-to-Site VPN connexion. Vous devez recueillir les données de surveillance de toutes les parties de votre solution de telle sorte que vous puissiez déboguer plus facilement un éventuelle défaillance multipoint. Avant de commencer à surveiller votre connexion Site-to-Site VPN, vous devez toutefois créer un plan de surveillance qui inclut les réponses aux questions suivantes :
+ Quels sont les objectifs de la surveillance ?
+ Quelles sont les ressources à surveiller ?
+ À quelle fréquence les ressources doivent-elles être surveillées ?
+ Quels outils de surveillance utiliser ?
+ Qui exécute les tâches de supervision ?
+ Qui doit être informé en cas de problème ?

L'étape suivante consiste à établir une référence de performances normales d'un VPN dans votre environnement, en mesurant la performance à divers moments et dans diverses conditions de charge. Lorsque vous surveillez votre VPN, conservez les données d'historique de surveillance afin de pouvoir les comparer aux données de performances actuelles, d'identifier les modèles de performances normales et les anomalies de performances, et de concevoir des méthodes pour résoudre les problèmes.

Pour établir une référence, vous devez superviser les éléments suivants :
+ L'état de vos tunnels VPN
+ Données entrant dans le tunnel
+ Données sortant du tunnel

**Topics**
+ [Outils de surveillance](#monitoring-automated-manual)
+ [Site-to-Site Journaux du VPN](monitoring-logs.md)
+ [Surveillez les tunnels Site-to-Site VPN à l'aide de CloudWatch](monitoring-cloudwatch-vpn.md)
+ [AWS Health et événements Site-to-Site VPN](monitoring-vpn-health-events.md)

## Outils de surveillance
<a name="monitoring-automated-manual"></a>

AWS fournit différents outils que vous pouvez utiliser pour surveiller une connexion Site-to-Site VPN. Vous pouvez configurer certains outils pour qu’ils effectuent la supervision automatiquement, tandis que d’autres nécessitent une intervention manuelle. Nous vous recommandons d’automatiser le plus possible les tâches de supervision.

### Outils de surveillance automatique
<a name="monitoring-automated_tools"></a>

Vous pouvez utiliser les outils de surveillance automatique suivants pour surveiller une connexion Site-to-Site VPN et signaler tout problème :
+ **Amazon CloudWatch Alarms** : surveillez une seule métrique sur une période que vous spécifiez et effectuez une ou plusieurs actions en fonction de la valeur de la métrique par rapport à un seuil donné sur un certain nombre de périodes. L'action est une notification envoyée à une rubrique Amazon SNS. CloudWatch les alarmes n'appellent pas d'actions simplement parce qu'elles se trouvent dans un état particulier ; l'état doit avoir changé et être maintenu pendant un certain nombre de périodes. Pour de plus amples informations, veuillez consulter [Surveillez AWS Site-to-Site VPN les tunnels à l'aide d'Amazon CloudWatch](monitoring-cloudwatch-vpn.md).
+ **AWS CloudTrail Surveillance des journaux** : partagez les fichiers journaux entre les comptes, surveillez les fichiers CloudTrail CloudWatch journaux en temps réel en les envoyant à Logs, écrivez des applications de traitement des journaux en Java et vérifiez que vos fichiers journaux n'ont pas changé après leur livraison par CloudTrail. Pour plus d'informations, consultez les sections [Utilisation des appels d'API de journalisation AWS CloudTrail](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitor-with-cloudtrail.html) dans le *manuel de référence des API Amazon EC2* et [Utilisation de fichiers CloudTrail journaux](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html) dans le guide de l'*AWS CloudTrail utilisateur*.
+ **AWS Health événements** — Recevez des alertes et des notifications relatives aux modifications de l'état de santé de vos tunnels Site-to-Site VPN, aux recommandations de configuration des meilleures pratiques ou à l'approche des limites de dimensionnement. Utilisez les événements du [Personal Health Dashboard](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html) pour déclencher des basculements automatisés, réduire les délais de dépannage ou optimiser les connexions pour une haute disponibilité. Pour de plus amples informations, veuillez consulter [AWS Health et AWS Site-to-Site VPN événements](monitoring-vpn-health-events.md).

### Outils de surveillance manuelle
<a name="monitoring-manual-tools"></a>

Un autre élément important de la surveillance d'une connexion Site-to-Site VPN consiste à surveiller manuellement les éléments non couverts par les CloudWatch alarmes. Les tableaux de bord Amazon VPC et CloudWatch console fournissent une at-a-glance vue d'ensemble de l'état de votre environnement. AWS 

**Note**  
Dans la console Amazon VPC, les paramètres d'état du tunnel Site-to-Site VPN, tels que « Status » et « Dernière modification de statut », peuvent ne pas refléter des changements d'état transitoires ou des battements de tunnel momentanés. Il est recommandé d'utiliser des CloudWatch métriques et des journaux pour les mises à jour détaillées des modifications de l'état des tunnels.
+ Le tableau de bord Amazon VPC affiche les éléments suivants :
  + Intégrité du service par région
  + Site-to-Site Connexions VPN
  + État du tunnel VPN (dans le volet de navigation, choisissez **Connexions Site-to-Site VPN**, sélectionnez une connexion Site-to-Site VPN, puis choisissez **Détails du tunnel**)
+ La page d' CloudWatch accueil indique :
  + Alarmes et statuts en cours
  + Graphiques des alarmes et des ressources
  + Statut d’intégrité du service

  En outre, vous pouvez CloudWatch effectuer les opérations suivantes : 
  + Créer des [tableaux de bord personnalisés](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html) pour surveiller les services de votre choix
  + Représenter graphiquement les données de métriques pour résoudre les problèmes et découvrir les tendances
  + Recherchez et parcourez tous les indicateurs de vos AWS ressources
  + Créer et modifier des alarmes pour être informé des problèmes

# AWS Site-to-Site VPN journaux
<a name="monitoring-logs"></a>

AWS Site-to-Site VPN les journaux vous offrent une meilleure visibilité sur vos déploiements Site-to-Site VPN. Grâce à cette fonctionnalité, vous avez accès aux journaux de connexion Site-to-Site VPN qui fournissent des informations sur l'établissement du tunnel de sécurité IP (IPsec), les négociations relatives à l'échange de clés Internet (IKE), les messages du protocole de détection des pairs morts (DDP), l'état du protocole Border Gateway (BGP) et les mises à jour du routage.

Site-to-Site Les journaux VPN peuvent être publiés sur Amazon CloudWatch Logs. Cette fonctionnalité fournit aux clients un moyen unique et cohérent d'accéder aux journaux détaillés de toutes leurs connexions Site-to-Site VPN et de les analyser.

**Topics**
+ [Avantages des journaux Site-to-Site VPN](#log-benefits)
+ [Politique relative CloudWatch aux ressources et restrictions relatives à la taille d'Amazon Logs](#cwl-policy-size)
+ [Site-to-Site Contenu du journal VPN](#log-contents)
+ [Exemple de format de journal pour les journaux Tunnel BGP](#example-bgp-logs)
+ [Exigences IAM pour publier dans Logs CloudWatch](#publish-cw-logs)
+ [Afficher la configuration des journaux Site-to-Site VPN](status-logs.md)
+ [Activer les journaux Site-to-Site VPN](enable-logs.md)
+ [Désactiver les journaux Site-to-Site VPN](disable-logs.md)

## Avantages des journaux Site-to-Site VPN
<a name="log-benefits"></a>
+ **Résolution des problèmes VPN simplifiés :** les journaux Site-to-Site VPN vous aident à identifier les incohérences de configuration entre AWS le dispositif de passerelle de votre client et à résoudre les problèmes de connectivité VPN initiaux. Les connexions VPN peuvent échouer par intermittence au fil du temps en raison de paramètres mal configurés (tels que des délais d'expiration mal réglés), des problèmes peuvent se produire dans les réseaux de transport sous-jacents (comme la météo Internet), ou des modifications de routage/défaillances de chemin peuvent interrompre la connectivité au VPN. Cette fonctionnalité vous permet de diagnostiquer avec précision la cause des défaillances de connexion intermittentes et d'affiner la configuration du tunnel de bas niveau pour assurer la fiabilité du fonctionnement.
+ ** AWS Site-to-Site VPN Visibilité centralisée :** les journaux Site-to-Site VPN peuvent fournir des journaux d'activité du tunnel et de routage BGP pour tous les types de connexions Site-to-Site VPN. Cette fonctionnalité fournit aux clients un moyen unique et cohérent d'accéder aux journaux détaillés de toutes leurs connexions Site-to-Site VPN et de les analyser.
+ **Sécurité et conformité :** les journaux Site-to-Site VPN peuvent être envoyés à Amazon CloudWatch Logs pour une analyse rétrospective de l'état et de l'activité de la connexion VPN au fil du temps. Cela peut vous aider à respecter les exigences réglementaires et de conformité.

## Politique relative CloudWatch aux ressources et restrictions relatives à la taille d'Amazon Logs
<a name="cwl-policy-size"></a>

CloudWatch Les politiques relatives aux ressources des journaux sont limitées à 5 120 caractères. Lorsque CloudWatch Logs détecte qu'une politique approche cette limite de taille, elle active automatiquement les groupes de journaux commençant par`/aws/vendedlogs/`. Lorsque vous activez la journalisation, le Site-to-Site VPN doit mettre à jour votre politique de ressources de CloudWatch journaux avec le groupe de journaux que vous spécifiez. Pour éviter d'atteindre la limite de taille de la politique des CloudWatch journaux, préfixez les noms de vos groupes de journaux par`/aws/vendedlogs/`.

## Site-to-Site Contenu du journal VPN
<a name="log-contents"></a>

Les informations suivantes sont incluses dans le journal d'activité du tunnel Site-to-Site VPN. Le nom du fichier journal utilise les VpnConnection identifiants ID et TunnelOutsideIPAddress.


| Champ | Description | 
| --- | --- | 
|  VpnLogCreationTimestamp (`event_timestamp`)  |  Horodatage de création du journal au format epoch time.  | 
|  VpnLogCreationTimestampReadable (`timestamp`)  |  Horodatage de création du journal au format temporel lisible par l'homme.  | 
|  Tunnel DPDEnabled (`dpd_enabled`)  |  Statut d'activation du protocole Dead Peer Detection (True/False).  | 
|  CGWNATTDetectionÉtat du tunnel (`nat_t_detected`)  | Détection de NAT-T sur l'appareil de passerelle client (True/False). | 
|  IKEPhase1État du tunnel (`ike_phase1_state`)  | État du protocole IKE en phase 1 (Established \$1 Rekeying \$1 Negotiating \$1 Down). | 
| IKEPhase2État du tunnel (ike\$1phase2\$1state) | État du protocole IKE en phase 2 (Established \$1 Rekeying \$1 Negotiating \$1 Down). | 
| VpnLogDetail (details) | Messages détaillés pour IPsec les protocoles IKE et DDP. | 

Les informations suivantes sont incluses dans le journal BGP du tunnel Site-to-Site VPN. Le nom du fichier journal utilise les VpnConnection identifiants ID et TunnelOutsideIPAddress.


| Champ | Description | 
| --- | --- | 
|  identifiant\$1ressource  |  Un identifiant unique pour identifier le tunnel et la connexion VPN à laquelle le journal est associé.  | 
|  event\$1timestamp  |  Horodatage de création du journal au format epoch time.  | 
|  timestamp  |  Horodatage de création du journal au format temporel lisible par l'homme.  | 
|  type  | Type d'événement du journal BGP (BGPStatus \$1 RouteStatus). | 
|  status  | mise à jour du statut pour un type spécifique d'événement de journal (BGPStatus: UP \$1 DOWN) (RouteStatus: ANNONCÉ \$1l'itinéraire a été annoncé par le pair\$1 \$1 MIS À JOUR : \$1l'itinéraire existant a été mis à jour par le pair\$1 \$1 RETIRÉ : \$1l'itinéraire a été retiré par le pair\$1). | 
| message | Fournit des informations supplémentaires sur l'événement et le statut du journal. Ce champ vous aidera à comprendre pourquoi les BGPStatus attributs de route échangés dans le RouteStatus message sont en panne. | 

**Topics**
+ [IKEv1 Messages d'erreur](#sample-log-ikev1)
+ [IKEv2 Messages d'erreur](#sample-log-ikev2)
+ [IKEv2 Messages de négociation](#sample-log-ikev2-negotiation)
+ [Messages d'état BGP](#sample-bgp-status-messages)
+ [Messages d'état de l'itinéraire](#sample-route-status-messages)

### IKEv1 Messages d'erreur
<a name="sample-log-ikev1"></a>


| Message | Explication | 
| --- | --- | 
|  Le pair ne répond pas – Déclarer le pair mort  |  Le pair n'a pas répondu aux messages DDP, ce qui a imposé une action de temporisation de DDP.  | 
|  AWS le déchiffrement de la charge utile du tunnel a échoué en raison d'une clé pré-partagée non valide  |  La même clé pré-partagée doit être configurée sur les deux pairs IKE.  | 
|  Aucune proposition correspondante n'a été trouvée par AWS  |  Les attributs proposés pour la phase 1 (chiffrement, hachage et groupe DH) ne sont pas pris en charge par le point de terminaison VPN AWS, `3DES` par exemple.  | 
|  Aucune proposition correspondante trouvée. Notifier avec « Aucune proposition choisie »  |  Le message d'erreur No Proposal Chosen est échangé entre pairs pour indiquer que la configuration correcte Proposals/Policies doit être configurée pour la phase 2 sur les homologues IKE.  | 
|  AWS tunnel a reçu DELETE pour la phase 2 SA avec SPI : xxxx  | CGW a envoyé le message Delete\$1SA pour la phase 2. | 
|  AWS le tunnel a reçu la commande DELETE pour IKE\$1SA de la part de CGW  | CGW a envoyé le message Delete\$1SA pour la phase 1. | 

### IKEv2 Messages d'erreur
<a name="sample-log-ikev2"></a>


| Message | Explication | 
| --- | --- | 
|  AWS le délai imparti au tunnel DDP a expiré après les retransmissions de \$1retry\$1count\$1  |  Le pair n'a pas répondu aux messages DDP, ce qui a imposé une action de temporisation de DDP.   | 
|  AWS le tunnel a reçu la commande DELETE pour IKE\$1SA de la part de CGW  |  Peer a envoyé le message Delete\$1SA pour Parent/IKE\$1SA.  | 
| AWS tunnel a reçu DELETE pour la phase 2 SA avec SPI : xxxx | Peer a envoyé le message Delete\$1SA pour CHILD\$1SA. | 
|  AWS le tunnel a détecté une collision (CHILD\$1REKEY) en tant que CHILD\$1DELETE  |  CGW a envoyé le message Delete\$1SA pour la SA active, dont la clé est en cours de changement.  | 
|  AWS le SA redondant du tunnel (CHILD\$1SA) est supprimé en raison d'une collision détectée  | En raison d'une collision, si des redondants SAs sont générés, les pairs fermeront le SA redondant après avoir fait correspondre les valeurs de nonce conformément à la RFC. | 
|  AWS la phase 2 du tunnel n'a pas pu être établie tout en maintenant la phase 1  | Le pair n'a pas pu établir CHILD\$1SA en raison d'une erreur de négociation, par exemple d'une proposition incorrecte.  | 
| AWS : sélecteur de trafic : TS\$1UNACCEPTABLE : reçu du répondeur | Le pair a proposé un Selectors/Encryption domaine de trafic incorrect. Les pairs doivent être configurés de manière identique et correcte CIDRs. | 
| AWS le tunnel envoie AUTHENTICATION\$1FAILED comme réponse | Le pair ne peut pas authentifier le pair en vérifiant le contenu du message IKE\$1AUTH | 
| AWS le tunnel a détecté une incompatibilité de clé pré-partagée avec cgw : xxxx | La même clé pré-partagée doit être configurée sur les deux pairs IKE. | 
| AWS délai d'expiration du tunnel : suppression de la phase 1 non établie IKE\$1SA avec cgw : xxxx | La suppression de IKE\$1SA à moitié ouvert en tant que pair n'a pas donné lieu à des négociations | 
| Aucune proposition correspondante trouvée. Notifier avec « Aucune proposition choisie » | Le message d'erreur « Aucune proposition choisie » est échangé entre les pairs pour informer que des propositions correctes doivent être configurées sur les pairs IKE. | 
| Aucune proposition correspondante n'a été trouvée par AWS | Les attributs proposés pour la phase 1 ou la phase 2 (chiffrement, hachage et groupe DH) ne sont pas pris en charge par le point de terminaison AWS VPN, `3DES` par exemple. | 

### IKEv2 Messages de négociation
<a name="sample-log-ikev2-negotiation"></a>


| Message | Explication | 
| --- | --- | 
|  AWS demande traitée par tunnel (id=xxx) pour CREATE\$1CHILD\$1SA  |  AWS a reçu la demande CREATE\$1CHILD\$1SA de CGW.  | 
|  AWS le tunnel envoie une réponse (id=xxx) pour CREATE\$1CHILD\$1SA  |  AWS envoie une réponse CREATE\$1CHILD\$1SA à CGW.  | 
| AWS le tunnel envoie une demande (id=xxx) pour CREATE\$1CHILD\$1SA | AWS envoie une demande CREATE\$1CHILD\$1SA à CGW. | 
|  AWS réponse traitée par tunnel (id=xxx) pour CREATE\$1CHILD\$1SA  |  AWS a reçu une réponse CREATE\$1CHILD\$1SA de CGW.  | 

### Messages d'état BGP
<a name="sample-bgp-status-messages"></a>

 Les messages d'état BGP contiennent des informations relatives aux transitions d'état des sessions BGP, aux avertissements relatifs aux limites de préfixes, aux violations des limites, aux notifications de session BGP, aux messages BGP OPEN et aux mises à jour d'attributs pour un voisin BGP pour une session BGP donnée. 


| Message | État du BGP | Explication | 
| --- | --- | --- | 
|   L'état de la session BGP du pair AWS est passé de Idle à Connect with neighbor \$1ip : xxx\$1   |   VERS LE BAS   |   L'état de la connexion BGP côté AWS a été mis à jour pour devenir Connect.   | 
|   L'état de la session BGP du pair côté AWS est passé de Connect à OpenSent with neighbor \$1ip : xxx\$1   |   VERS LE BAS   |   L'état de la connexion BGP du côté AWS a été mis à jour à OpenSent.   | 
|   L'état de la session BGP du pair côté AWS est passé de OpenSent à OpenConfirm avec voisin \$1ip : xxx\$1   |   VERS LE BAS   |   L'état de la connexion BGP du côté AWS a été mis à jour à OpenConfirm.   | 
|   L'état de la session BGP du pair côté AWS est passé de OpenConfirm à Établi avec le voisin \$1ip : xxx\$1   |   EN HAUT   |   L'état de la connexion BGP du côté AWS a été mis à jour à Established.   | 
|   L'état de la session BGP du pair AWS est passé de Établi à Inactif avec le voisin \$1ip : xxx\$1   |   VERS LE BAS   |   L'état de la connexion BGP côté AWS a été mis à jour à Idle.   | 
|   L'état de la session BGP du pair côté AWS est passé de Connect à Active with neighbor \$1ip : xxx\$1   |   VERS LE BAS   |   L'état de connexion BGP du côté AWS est passé de Connect à Active. Vérifiez la disponibilité du port TCP 179 sur CGW si la session BGP est bloquée dans l'état Connect.   | 
|   Un homologue côté AWS signale un avertissement relatif à la limite maximale de préfixes : \$1prefixes (count) : xxx\$1 préfixes reçus du voisin \$1ip : xxx\$1, la limite est \$1limit (numeric) : xxx\$1   |   EN HAUT   |   Le côté AWS génère régulièrement un message de journal lorsque le nombre de préfixes reçus du CGW approche de la limite autorisée.   | 
|   Le pair AWS a détecté que la limite maximale de préfixes était dépassée. Il a reçu \$1prefixes (count) : xxx\$1 préfixes du voisin \$1ip : xxx\$1, la limite est \$1limit (numeric) : xxx\$1   |   VERS LE BAS   |   Le côté AWS génère un message de journal lorsque le nombre de préfixes reçus du CGW a dépassé la limite autorisée.   | 
|   Le pair côté AWS a envoyé une notification 6/1 (cessation/nombre maximum de préfixes atteints) au voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a envoyé une notification à l'homologue BGP CGW pour indiquer que la session BGP avait été interrompue en raison d'une violation de la limite de préfixe.   | 
|   Le pair côté AWS a reçu une notification 6/1 (cessation/nombre maximum de préfixes atteints) du voisin \$1ip : xxx\$1   |   VERS LE BAS   |  La partie AWS a reçu une notification de l'homologue CGW indiquant que la session BGP avait été interrompue en raison d'une violation de la limite de préfixe.   | 
|   Le pair côté AWS a envoyé une notification 6/2 (cessation/arrêt administratif) au voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a envoyé une notification à l'homologue BGP CGW pour indiquer que la session BGP avait été interrompue.   | 
|   Le pair côté AWS a reçu une notification 6/2 (cessation/arrêt administratif) du voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a reçu une notification de l'homologue CGW indiquant que la session BGP avait été interrompue.   | 
|   Le pair côté AWS a envoyé une notification 6/3 (Cease/Peer Unconfigured) au voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a envoyé une notification à l'homologue CGW pour indiquer que celui-ci n'est pas configuré ou qu'il a été retiré de la configuration.   | 
|   Le pair côté AWS a reçu une notification 6/3 (cessation/homologue non configuré) du voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a reçu une notification de l'homologue CGW indiquant que celui-ci n'est pas configuré ou qu'il a été retiré de la configuration.   | 
|   Le pair côté AWS a envoyé une notification 6/4 (cessation/réinitialisation administrative) au voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a envoyé une notification à l'homologue BGP CGW pour indiquer que la session BGP avait été réinitialisée.   | 
|   Le pair côté AWS a reçu une notification 6/4 (cessation/réinitialisation administrative) du voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a reçu une notification de l'homologue CGW indiquant que la session BGP avait été réinitialisée.   | 
|   Le pair côté AWS a envoyé une notification 6/5 (cessation/connexion rejetée) au voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a envoyé une notification à l'homologue BGP CGW pour indiquer que la session BGP avait été rejetée.   | 
|   Le pair côté AWS a reçu une notification 6/5 (cessation/connexion rejetée) du voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a reçu une notification de l'homologue CGW indiquant que la session BGP avait été rejetée.   | 
|   Le pair côté AWS a envoyé une notification 6/6 (cessation/autre modification de configuration) au voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a envoyé une notification à l'homologue BGP CGW pour indiquer qu'un changement de configuration de session BGP avait eu lieu.   | 
|   Le pair côté AWS a reçu une notification 6/6 (cessation/autre modification de configuration) du voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a reçu une notification de l'homologue CGW indiquant qu'un changement de configuration de session BGP a eu lieu.   | 
|   Le pair côté AWS a envoyé une notification 6/7 (résolution des collisions de cessation/de connexion) au voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a envoyé une notification à l'homologue CGW pour résoudre une collision de connexion lorsque les deux homologues tentent d'établir une connexion simultanément.   | 
|   Le pair côté AWS a reçu une notification 6/7 (résolution des collisions de cessation/de connexion) du voisin \$1ip : xxx\$1   |   VERS LE BAS   |   La partie AWS a reçu une notification de l'homologue CGW indiquant la résolution d'une collision de connexion lorsque les deux homologues tentent d'établir une connexion simultanément.   | 
|   Un pair côté AWS a envoyé une notification d'expiration du délai d'attente au voisin \$1ip : xxx\$1   |   VERS LE BAS   |   Le délai de blocage du BGP a expiré et une notification a été envoyée par AWS au CGW.   | 
|   Un pair côté AWS a détecté un message OPEN incorrect provenant du voisin \$1ip : xxx\$1 - remote AS is \$1asn : xxx\$1, attendu \$1asn : xxx\$1   |   VERS LE BAS   |   Le côté AWS a détecté qu'un message OPEN erroné avait été reçu de l'homologue CGW, ce qui indique une incompatibilité de configuration.   | 
|   Le pair côté AWS a reçu un message OUVERT du voisin \$1ip : xxx\$1 - version 4, AS \$1asn : xxx\$1, holdtime \$1holdtime (seconds) : xxx\$1, router-id \$1id : xxx\$1\$1   |   VERS LE BAS   |   La partie AWS a reçu un message d'ouverture BGP pour lancer une session BGP avec l'homologue CGW.   | 
|   Le pair côté AWS a envoyé un message OUVERT au voisin \$1ip : xxx\$1 - version 4, AS \$1asn : xxx\$1, holdtime \$1holdtime (seconds) : xxx\$1, router-id \$1id : xxx\$1   |   VERS LE BAS   |   L'homologue CGW a envoyé un message d'ouverture BGP pour lancer une session BGP avec l'homologue BGP côté AWS.   | 
|   L'homologue côté AWS établit une connexion (via Connect) avec le voisin \$1ip : xxx\$1   |   VERS LE BAS   |   Le côté AWS tente de se connecter au voisin BGP CGW.   | 
|   Le pair côté AWS a envoyé un End-of-RIB message au voisin \$1ip : xxx\$1   |   EN HAUT   |   Le côté AWS a fini de transmettre les itinéraires au CGW après l'établissement de la session BGP.   | 
|   Le pair côté AWS a reçu une mise à jour avec les attributs du voisin \$1ip : xxx\$1 - AS path : \$1aspath (list) : xxx xxx xxx\$1   |   EN HAUT   |   Le côté AWS a reçu une mise à jour de l'attribut de session BGP de la part du voisin.   | 

### Messages d'état de l'itinéraire
<a name="sample-route-status-messages"></a>

 Contrairement aux messages d'état BGP, les messages d'état de route contiennent des données sur les attributs BGP d'un préfixe donné, tels que le chemin AS, les préférences locales, le discriminateur à sorties multiples (MED), l'adresse IP du prochain saut et le poids. Un message d'état de l'itinéraire ne contiendra un champ de détails qu'en cas d'erreur concernant un itinéraire ANNONCÉ, MIS À JOUR ou RETIRÉ. Les exemples suivants en sont les suivants : 


| Message | Explication | 
| --- | --- | 
|   REFUSÉ car : as-path contient notre propre AS   |   Les messages de mise à jour BGP pour un nouveau préfixe provenant de CGW ont été refusés par AWS en raison de la route contenant le propre AS du pair côté AWS.   | 
|   REFUSÉ pour cause de : prochain saut non connecté   |   AWS a rejeté une annonce de route BGP pour le préfixe émise par le CGW en raison d'un échec de validation du prochain saut non connecté. Assurez-vous que l'itinéraire est accessible du côté de la CGW.   | 

## Exemple de format de journal pour les journaux Tunnel BGP
<a name="example-bgp-logs"></a>

```
{
    "resource_id": "vpn-1234abcd_1.2.3.4",
    "event_timestamp": 1762580429641,
    "timestamp": "2025-11-08 05:40:29.641Z",
    "type": "BGPStatus",
    "status": "UP",
    "message": {
        "details": "AWS-side peer BGP session state has changed from OpenConfirm to Established with neighbor 169.254.50.85"
    }
}

{
    "resource_id": "vpn-1234abcd_1.2.3.4",
    "event_timestamp": 1762579573243,
    "timestamp": "2025-11-08 05:26:13.243Z",
    "type": "RouteStatus",
    "status": "UPDATED",
    "message": {
        "prefix": "172.31.0.0/16",
        "asPath": "64512",
        "localPref": 100,
        "med": 100,
        "nextHopIp": "169.254.50.85",
        "weight": 32768,
        "details": "DENIED due to: as-path contains our own AS"
    }
}
```

## Exigences IAM pour publier dans Logs CloudWatch
<a name="publish-cw-logs"></a>


Pour que la fonctionnalité de journalisation fonctionne correctement, la politique IAM attachée au principal IAM utilisée pour configurer la fonctionnalité doit inclure au minimum les autorisations suivantes. Vous trouverez également plus de détails dans la section [Activation de la journalisation à partir de certains AWS services](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html) du *guide de l'utilisateur Amazon CloudWatch Logs*.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}
```

------

# Afficher la configuration AWS Site-to-Site VPN des journaux
<a name="status-logs"></a>

Consultez le journal d'activité d'une connexion Site-to-Site VPN. Vous pouvez voir ici des détails sur la configuration de tels algorithmes de chiffrement ou sur l'activation des journaux VPN par tunnel. Vous pouvez également consulter l'état du tunnel. Cela vous permet de mieux suivre les problèmes ou les conflits que vous pourriez rencontrer avec une connexion VPN. 

**Pour afficher les paramètres de journalisation de tunnel en cours**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, sélectionnez **Connexions Site-to-Site VPN**.

1. Sélectionnez la connexion VPN que vous souhaitez afficher dans la liste **Connexions VPN**.

1. Cliquez sur l'onglet **Détails du tunnel**.

1. Développez les sections **Tunnel 1 options** (Options du tunnel 1) et **Tunnel 2 options** (Options du tunnel 2) pour afficher tous les détails de configuration du tunnel.

1. Vous pouvez consulter l'état actuel de la fonctionnalité de **journal du tunnel VPN** et le groupe de CloudWatch journaux actuellement configuré (le cas échéant) sous le **groupe de journaux pour le CloudWatch journal du tunnel VPN** et le format de sortie du journal sous Format de **sortie pour le journal du VPN du tunnel**.

1. Vous pouvez consulter l'état actuel de la fonctionnalité de **journal BGP du tunnel**, le groupe de CloudWatch journaux actuellement configuré (le cas échéant) sous le **groupe de journaux pour le CloudWatch journal du tunnel VPN** et le format de sortie du journal sous Format de **sortie pour le journal BGP du tunnel**.

**Pour afficher les paramètres actuels de journalisation du tunnel sur une connexion Site-to-Site VPN à l'aide de la ligne de AWS commande ou de l'API**
+ [DescribeVpnConnections](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnConnections.html)(API de requête Amazon EC2)
+ [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html) (AWS CLI)

# Activer AWS Site-to-Site VPN les journaux
<a name="enable-logs"></a>

Activez les journaux Site-to-Site VPN pour enregistrer l'activité du VPN, telle que l'état du tunnel et d'autres détails. Vous pouvez activer la connexion à une nouvelle connexion ou modifier une connexion existante pour démarrer l'activité de journalisation. Si vous souhaitez désactiver la journalisation d'une connexion, consultez[Désactiver les journaux Site-to-Site VPN](disable-logs.md).

**Note**  
Lorsque vous activez les journaux Site-to-Site VPN pour un tunnel de connexion VPN existant, votre connectivité via ce tunnel peut être interrompue pendant plusieurs minutes. Cependant, chaque connexion VPN propose deux tunnels pour assurer la haute disponibilité, de sorte que vous pouvez activer la journalisation sur un tunnel à la fois tout en maintenant la connectivité sur le tunnel qui n'est pas modifié. Pour de plus amples informations, veuillez consulter [AWS Site-to-Site VPN remplacement des extrémités des tunnels](endpoint-replacements.md).

**Pour activer la journalisation VPN lors de la création d'une nouvelle connexion Site-to-Site VPN**  
Suivez la procédure [Étape 5 : Création d'une connexion VPN](SetUpVPNConnections.md#vpn-create-vpn-connection). Au cours de l'étape 9 **Options de tunnel**, vous pouvez spécifier toutes les options que vous souhaitez utiliser pour les deux tunnels, y compris les options de **journalisation du VPN**. Pour plus d’informations sur ces options, consultez [Options de tunnel pour votre AWS Site-to-Site VPN connexion](VPNTunnels.md).

**Pour activer la journalisation par tunnel sur une nouvelle connexion Site-to-Site VPN à l'aide de la ligne de AWS commande ou de l'API**
+ [CreateVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnConnection.html)(API de requête Amazon EC2)
+ [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html) (AWS CLI)

**Pour activer la journalisation de l'activité du tunnel sur une connexion Site-to-Site VPN existante**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, sélectionnez **Connexions Site-to-Site VPN**.

1. Sélectionnez la connexion VPN que vous souhaitez modifier dans la liste **Connexions VPN**.

1. Sélectionnez **Actions**, **Modify VPN tunnel options** (Modifier les options de tunnel VPN).

1. Sélectionnez le tunnel que vous souhaitez modifier en choisissant l'adresse IP appropriée dans la liste **VPN tunnel outside IP address** (Adresse IP extérieure du tunnel VPN).

1. Sous **Tunnel activity log** (Journal d'activité du tunnel), sélectionnez **Enable** (Activer).

1. Sous **Groupe de CloudWatch journaux Amazon**, sélectionnez le groupe de CloudWatch journaux Amazon dans lequel vous souhaitez que les journaux soient envoyés.

1. (Facultatif) Sous **Output format** (Format de sortie), choisissez le format souhaité pour la sortie du journal, à savoir **json** ou **text**.

1. Sélectionnez **Save changes** (Enregistrer les modifications).

1. (Facultatif) Répétez les étapes 4 à 9 pour l'autre tunnel si vous le souhaitez.

**Pour activer la journalisation BGP par tunnel sur une connexion Site-to-Site VPN existante**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, sélectionnez **Connexions Site-to-Site VPN**.

1. Sélectionnez la connexion VPN que vous souhaitez modifier dans la liste **Connexions VPN**.

1. Sélectionnez **Actions**, **Modify VPN tunnel options** (Modifier les options de tunnel VPN).

1. Sélectionnez le tunnel que vous souhaitez modifier en choisissant l'adresse IP appropriée dans la liste **VPN tunnel outside IP address** (Adresse IP extérieure du tunnel VPN).

1. Sous **Journal BGP du tunnel**, sélectionnez **Activer**.

1. Sous **Groupe de CloudWatch journaux Amazon**, sélectionnez le groupe de CloudWatch journaux Amazon dans lequel vous souhaitez que les journaux soient envoyés.

1. (Facultatif) Sous **Output format** (Format de sortie), choisissez le format souhaité pour la sortie du journal, à savoir **json** ou **text**.

1. Sélectionnez **Save changes** (Enregistrer les modifications).

1. (Facultatif) Répétez les étapes 4 à 9 pour l'autre tunnel si vous le souhaitez.

**Pour activer la journalisation par tunnel sur une connexion Site-to-Site VPN existante à l'aide de la ligne de AWS commande ou de l'API**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html)(API de requête Amazon EC2)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)

# Désactiver AWS Site-to-Site VPN les journaux
<a name="disable-logs"></a>

Désactivez la connexion VPN sur une connexion si vous ne souhaitez plus suivre aucune activité sur cette connexion. Cette action désactive uniquement la journalisation et n'affecte rien d'autre pour cette connexion. Pour activer ou réactiver la connexion à une connexion, consultez[Activer les journaux Site-to-Site VPN](enable-logs.md).

**Pour désactiver la journalisation de l'activité du tunnel sur une connexion Site-to-Site VPN**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Site-to-Site VPN Connections**.

1. Sélectionnez la connexion VPN que vous souhaitez modifier dans la liste **Connexions VPN**.

1. Sélectionnez **Actions**, **Modify VPN tunnel options** (Modifier les options de tunnel VPN).

1. Sélectionnez le tunnel que vous souhaitez modifier en choisissant l'adresse IP appropriée dans la liste **VPN tunnel outside IP address** (Adresse IP extérieure du tunnel VPN).

1. Sous **Tunnel activity log** (Journal d'activité du tunnel), décochez **Enable** (Activer).

1. Sélectionnez **Save changes** (Enregistrer les modifications).

1. (Facultatif) Répétez les étapes 4 à 7 pour l'autre tunnel si vous le souhaitez.

**Pour désactiver la journalisation BGP par tunnel sur une connexion Site-to-Site VPN**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Site-to-Site VPN Connections**.

1. Sélectionnez la connexion VPN que vous souhaitez modifier dans la liste **Connexions VPN**.

1. Sélectionnez **Actions**, **Modify VPN tunnel options** (Modifier les options de tunnel VPN).

1. Sélectionnez le tunnel que vous souhaitez modifier en choisissant l'adresse IP appropriée dans la liste **VPN tunnel outside IP address** (Adresse IP extérieure du tunnel VPN).

1. Dans le **journal BGP du tunnel**, désactivez **Activer**.

1. Sélectionnez **Save changes** (Enregistrer les modifications).

1. (Facultatif) Répétez les étapes 4 à 7 pour l'autre tunnel si vous le souhaitez.

**Pour désactiver la journalisation par tunnel sur une connexion Site-to-Site VPN à l'aide de la ligne de AWS commande ou de l'API**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html)(API de requête Amazon EC2)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)

# Surveillez AWS Site-to-Site VPN les tunnels à l'aide d'Amazon CloudWatch
<a name="monitoring-cloudwatch-vpn"></a>

Vous pouvez surveiller les tunnels VPN à l'aide CloudWatch d'un système qui collecte et traite les données brutes du service VPN en indicateurs lisibles en temps quasi réel. Ces statistiques sont enregistrées pour une durée de 15 mois et, par conséquent, vous pouvez accéder aux informations historiques et acquérir un meilleur point de vue de la façon dont votre service ou application web s’exécute. Les données métriques du VPN sont automatiquement envoyées CloudWatch dès qu'elles sont disponibles.

Pour plus d'informations, consultez le [guide de CloudWatch l'utilisateur Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).

**Topics**
+ [Métriques et dimensions VPN](#metrics-dimensions-vpn)
+ [Afficher les CloudWatch statistiques du VPN](viewing-metrics.md)
+ [Créez des CloudWatch alarmes pour surveiller les tunnels VPN](creating-alarms-vpn.md)

## Métriques et dimensions VPN
<a name="metrics-dimensions-vpn"></a>

Les CloudWatch statistiques suivantes sont disponibles pour vos connexions Site-to-Site VPN.


| Métrique | Description | 
| --- | --- | 
|  `TunnelState`  |  État des tunnels. Pour une valeur statique VPNs, 0 indique DOWN et 1 indique UP. Pour le BGP VPNs, 1 indique ESTABLISHED et 0 est utilisé pour tous les autres états. Pour les deux types de VPNs, les valeurs comprises entre 0 et 1 indiquent qu'au moins un tunnel n'est pas activé. Unités : valeur fractionnelle comprise entre 0 et 1   | 
|  `TunnelDataIn` †  |  Les octets reçus du AWS côté de la connexion via le tunnel VPN depuis une passerelle client. Chaque point de données de métriques représente le nombre d'octets reçus après le point de données précédent. Utilisez la statistique Somme pour afficher le nombre total d'octets reçus pendant la période. Cette métrique comptabilise les données après déchiffrement. Unités : octets  | 
|  `TunnelDataOut` †  |  Les octets envoyés depuis le AWS côté de la connexion via le tunnel VPN vers la passerelle client. Chaque point de données de métriques représente le nombre d'octets envoyés après le point de données précédent. Utilisez la statistique Somme pour afficher le nombre total d'octets envoyés pendant la période. Cette métrique comptabilise les données avant chiffrement. Unités : octets  | 
|  `ConcentratorBandwidthUsage`  |  L'utilisation de la bande passante pour une connexion au concentrateur Site-to-Site VPN. Cette métrique est disponible pour les connexions VPN qui utilisent un concentrateur Site-to-Site VPN. Utilisez la statistique moyenne pour afficher l'utilisation moyenne de la bande passante au cours de la période. Unités : bits par seconde  | 

† Ces métriques peuvent signaler l'utilisation du réseau même lorsque le tunnel est hors service. Cela est dû aux contrôles de statut périodiques effectués sur le tunnel et aux requêtes ARP et BGP en arrière-plan.

Pour filtrer les données de métriques, utilisez les dimensions suivantes.


| Dimension | Description | 
| --- | --- | 
| `VpnId` |  Filtre les données métriques en fonction de l'ID de connexion Site-to-Site VPN.  | 
| `TunnelIpAddress` |  Permet de filtrer les données en fonction de l'adresse IP du tunnel de la passerelle réseau privé virtuel.  | 

# Afficher les statistiques Amazon CloudWatch Logs pour AWS Site-to-Site VPN
<a name="viewing-metrics"></a>

Lorsque vous créez une connexion Site-to-Site VPN, le service VPN envoie les statistiques relatives à votre connexion VPN CloudWatch dès qu'elles sont disponibles. Vous pouvez consulter les métriques de votre connexion VPN comme suit.

**Pour afficher les métriques à l'aide de la CloudWatch console**

Les métriques sont d’abord regroupées par espace de noms de service, puis par les différentes combinaisons de dimension au sein de chaque espace de noms.

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le panneau de navigation, sélectionnez ‎**Métriques**.

1. Sous **All metrics**, choisissez l'espace de nom de métrique **VPN**.

1. Sélectionnez la dimension métrique pour afficher les métriques, par exemple, les **métriques du tunnel VPN**.

**Note**  
L'espace de noms VPN n'apparaîtra dans la CloudWatch console qu'après la création d'une connexion Site-to-Site VPN dans la AWS région que vous consultez.

**Pour consulter les statistiques à l'aide du AWS CLI**  
À partir d'une invite de commande, utilisez la commande suivante :

```
aws cloudwatch list-metrics --namespace "AWS/VPN"
```

# Créez des CloudWatch alarmes Amazon pour surveiller AWS Site-to-Site VPN les tunnels
<a name="creating-alarms-vpn"></a>

Vous pouvez créer une CloudWatch alarme qui envoie un message Amazon SNS lorsque l'alarme change d'état. Une alarme surveille une seule métrique sur une durée définie et envoie une notification à une rubrique Amazon SNS en fonction de la valeur de la métrique par rapport à un seuil donné sur un certain nombre de durées. 

Par exemple, vous pouvez créer une alarme qui surveille l'état d'un tunnel VPN unique, puis qui envoie une notification lorsque l'état du tunnel est DOWN pendant 3 périodes de 15 minutes consécutives.

**Pour créer une alarme pour l'état d'un tunnel unique**

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le panneau de navigation, développez **Alarmes**, puis choisissez **Toutes les alarmes**.

1. Choisissez **Créer une alarme**, puis **Sélectionner une métrique**.

1. Choisissez **VPN**, puis **Métriques de tunnel VPN**.

1. Sélectionnez l'adresse IP du tunnel souhaité, sur la même ligne que la **TunnelState**métrique. Choisissez **Select metric** (Sélectionner une métrique).

1. Pour **chaque fois que TunnelState c'est...** , sélectionnez **Inférieur**, puis entrez « 1 » dans le champ de saisie situé sous**...** .

1. Sous **Configuration supplémentaire**, définissez **Points de données pour le déclenchement d'alarme** sur « 3 sur 3 ».

1. Choisissez **Suivant**.

1. Sous **Envoyer une notification à la rubrique SNS suivante**, sélectionnez une liste de notifications existante ou créez-en une.

1. Choisissez **Suivant**.

1. Saisissez un nom pour votre alarme. Choisissez **Suivant**. 

1. Vérifiez les paramètres de votre alarme, puis choisissez **Create alarm (Créer une alarme)**.

Vous pouvez créer une alarme qui surveille l'état de la connexion Site-to-Site VPN. Par exemple, vous pouvez créer une alarme qui envoie une notification lorsque l'état d'un ou des deux tunnels est DOWN (arrêt) pendant une période de 5 minutes consécutives.

**Pour créer une alarme concernant l'état de la connexion Site-to-Site VPN**

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le panneau de navigation, développez **Alarmes**, puis choisissez **Toutes les alarmes**.

1. Choisissez **Créer une alarme**, puis **Sélectionner une métrique**.

1. Choisissez **VPN**, puis choisissez **VPN Connection Metrics (Métriques de connexion VPN)**.

1. Sélectionnez votre connexion Site-to-Site VPN et la **TunnelState**métrique. Choisissez **Sélectionner une métrique**.

1. Pour **Statistic (Statistiques)**, spécifiez **Maximum**.

   Sinon, si vous avez configuré votre connexion Site-to-Site VPN de manière à ce que les deux tunnels soient actifs, vous pouvez spécifier une statistique **Minimum** pour envoyer une notification lorsqu'au moins un tunnel est en panne.

1. Pour **Whenever (Chaque fois)**, choisissez **Lower/Equal (Inférieur à/Égal à)** (**<=**) et entrez **0** (ou **0,5** quand un tunnel au moins est arrêté). Choisissez **Suivant**.

1. Sous **Select an SNS topic (Sélectionner une rubrique SNS)**, sélectionnez une liste de notifications existante ou choisissez **New list (Nouvelle liste)**. Choisissez **Suivant**.

1. Saisissez un nom et une description pour votre alarme. Choisissez **Suivant**. 

1. Vérifiez les paramètres de votre alarme, puis choisissez **Create alarm (Créer une alarme)**.

Vous pouvez aussi créer des alarmes qui surveille la quantité de trafic entrant dans le tunnel VPN ou en sortant. Par exemple, l'alarme suivante surveille la quantité de trafic entrant dans le tunnel VPN à partir de votre réseau et envoie une notification lorsque le nombre d'octets atteint un seuil de 5 000 000 pendant une période de 15 minutes.

**Pour créer une alarme pour votre trafic réseau entrant**

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le panneau de navigation, développez **Alarmes**, puis choisissez **Toutes les alarmes**.

1. Choisissez **Créer une alarme**, puis **Sélectionner une métrique**.

1. Choisissez **VPN**, puis choisissez **VPN Tunnel Metrics (Métriques de tunnel VPN)**.

1. Sélectionnez l'adresse IP du tunnel VPN et la **TunnelDataIn**métrique. Choisissez **Sélectionner une métrique**.

1. Pour **Statistic (Statistiques)**, spécifiez **Sum (Somme)**. 

1. Pour **Period (Période)**, sélectionnez **15 minutes**.

1. Pour **Whenever (Chaque fois)**, choisissez **Greater/Equal (Supérieur à/Égal à)** (**>=**) et entrez **5000000**. Choisissez **Suivant**.

1. Sous **Select an SNS topic (Sélectionner une rubrique SNS)**, sélectionnez une liste de notifications existante ou choisissez **New list (Nouvelle liste)**. Choisissez **Suivant**.

1. Saisissez un nom et une description pour votre alarme. Choisissez **Suivant**. 

1. Vérifiez les paramètres de votre alarme, puis choisissez **Create alarm (Créer une alarme)**.

Par exemple, l'alarme suivante surveille la quantité de trafic entrant dans le tunnel VPN à partir de votre réseau et envoie une notification lorsque le nombre d'octets atteint un seuil de 1 000 000 pendant une période de 15 minutes.

**Pour créer une alarme pour votre trafic réseau sortant**

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le panneau de navigation, développez **Alarmes**, puis choisissez **Toutes les alarmes**.

1. Choisissez **Créer une alarme**, puis **Sélectionner une métrique**.

1. Choisissez **VPN**, puis choisissez **VPN Tunnel Metrics (Métriques de tunnel VPN)**.

1. Sélectionnez l'adresse IP du tunnel VPN et la **TunnelDataOut**métrique. Choisissez **Sélectionner une métrique**.

1. Pour **Statistic (Statistiques)**, spécifiez **Sum (Somme)**. 

1. Pour **Period (Période)**, sélectionnez **15 minutes**.

1. Pour **Whenever (Chaque fois)**, choisissez **Lower/Equal (Inférieur à/Égal à)** (**<=**) et entrez `1000000`. Choisissez **Suivant**.

1. Sous **Select an SNS topic (Sélectionner une rubrique SNS)**, sélectionnez une liste de notifications existante ou choisissez **New list (Nouvelle liste)**. Choisissez **Suivant**.

1. Saisissez un nom et une description pour votre alarme. Choisissez **Suivant**. 

1. Vérifiez les paramètres de votre alarme, puis choisissez **Create alarm (Créer une alarme)**.

Pour d'autres exemples de création d'alarmes, consultez la section [Création d' CloudWatch alarmes Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) dans le *guide de CloudWatch l'utilisateur Amazon*.

# AWS Health et AWS Site-to-Site VPN événements
<a name="monitoring-vpn-health-events"></a>

AWS Site-to-Site VPN envoie automatiquement des notifications au [Tableau de bord Health](https://docs.aws.amazon.com/health/latest/ug/aws-health-dashboard-status.html). Ce tableau de bord ne nécessite aucune configuration et est prêt à être utilisé par les AWS utilisateurs authentifiés. Vous pouvez configurer plusieurs actions en réponse aux notifications d'événements via le Tableau de bord Health.

 Tableau de bord Health fournit les types de notifications suivants pour vos connexions VPN :
+ [Notifications de remplacement des points de terminaison du tunnel](#tunnel-replacement-notifications)
+ [Notifications de VPN à tunnel unique](#single-tunnel-notifications)

## Notifications de remplacement des points de terminaison du tunnel
<a name="tunnel-replacement-notifications"></a>

Vous recevez une **notification de remplacement du point de terminaison du tunnel** Tableau de bord Health lorsque l'un ou les deux points de terminaison du tunnel VPN de votre connexion VPN sont remplacés. Un point de terminaison du tunnel est remplacé lorsque AWS effectue des mises à jour de tunnel ou lorsque vous modifiez votre connexion VPN. Pour de plus amples informations, veuillez consulter [AWS Site-to-Site VPN remplacement des extrémités des tunnels](endpoint-replacements.md).

Lorsque le remplacement d'un point de terminaison du tunnel est terminé, AWS envoie la **notification de remplacement du point de terminaison du tunnel** par le biais d'un Tableau de bord Health événement.

## Notifications de VPN à tunnel unique
<a name="single-tunnel-notifications"></a>

Une connexion Site-to-Site VPN se compose de deux tunnels de redondance. Nous vous recommandons fortement de configurer les deux tunnels pour une haute disponibilité. Si votre connexion VPN a un tunnel actif mais que l'autre est à l'arrêt pendant plus d'une heure par jour, vous recevez une* notification de tunnel unique VPN* **mensuelle** via un événement Tableau de bord Health . Cet événement est mis à jour quotidiennement pour tenir compte de toute nouvelle connexion VPN détectée comme un tunnel unique et des notifications sont envoyées chaque semaine. Un nouvel événement est créé chaque mois, qui efface toutes les connexions VPN qui ne sont plus détectées comme étant un tunnel unique.