

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# AWS Site-to-Site VPN log
<a name="monitoring-logs"></a>

AWS Site-to-Site VPN log memberi Anda visibilitas yang lebih dalam ke penerapan Site-to-Site VPN Anda. Dengan fitur ini, Anda memiliki akses ke log koneksi Site-to-Site VPN yang memberikan rincian tentang pembentukan terowongan IP Security (IPsec), negosiasi Internet Key Exchange (IKE), pesan protokol deteksi rekan mati (DPD), status protokol Border Gateway (BGP), dan pembaruan perutean.

Site-to-Site Log VPN dapat dipublikasikan ke Amazon CloudWatch Logs. Fitur ini memberi pelanggan satu cara konsisten untuk mengakses dan menganalisis log terperinci untuk semua koneksi Site-to-Site VPN mereka.

**Topics**
+ [Manfaat log Site-to-Site VPN](#log-benefits)
+ [Pembatasan ukuran kebijakan sumber daya Amazon CloudWatch Logs](#cwl-policy-size)
+ [Site-to-Site Konten log VPN](#log-contents)
+ [Contoh format log untuk log Tunnel BGP](#example-bgp-logs)
+ [Persyaratan IAM untuk mempublikasikan ke CloudWatch Log](#publish-cw-logs)
+ [Lihat konfigurasi log Site-to-Site VPN](status-logs.md)
+ [Aktifkan log Site-to-Site VPN](enable-logs.md)
+ [Nonaktifkan log Site-to-Site VPN](disable-logs.md)

## Manfaat log Site-to-Site VPN
<a name="log-benefits"></a>
+ **Pemecahan masalah VPN yang disederhanakan:** Log Site-to-Site VPN membantu Anda menentukan ketidakcocokan konfigurasi antara AWS dan perangkat gateway pelanggan Anda, dan mengatasi masalah konektivitas VPN awal. Koneksi VPN dapat sebentar-sebentar menutup dari waktu ke waktu karena pengaturan yang salah konfigurasi (seperti batas waktu yang disetel dengan buruk), mungkin ada masalah di jaringan transportasi yang mendasarinya (seperti cuaca internet), atau perubahan perutean atau kegagalan jalur dapat menyebabkan gangguan konektivitas melalui VPN. Fitur ini memungkinkan Anda untuk secara akurat mendiagnosis penyebab kegagalan koneksi intermiten dan menyempurnakan konfigurasi terowongan tingkat rendah untuk operasi yang andal.
+ ** AWS Site-to-Site VPN Visibilitas terpusat:** Log Site-to-Site VPN dapat menyediakan aktivitas terowongan dan log perutean BGP di semua jenis koneksi VPN. Site-to-Site Fitur ini memberi pelanggan satu cara konsisten untuk mengakses dan menganalisis log terperinci untuk semua koneksi Site-to-Site VPN mereka.
+ **Keamanan dan kepatuhan:** Log Site-to-Site VPN dapat dikirim ke Amazon CloudWatch Logs untuk analisis retrospektif status dan aktivitas koneksi VPN dari waktu ke waktu. Ini dapat membantu Anda memenuhi persyaratan kepatuhan dan peraturan.

## Pembatasan ukuran kebijakan sumber daya Amazon CloudWatch Logs
<a name="cwl-policy-size"></a>

CloudWatch Kebijakan sumber daya log dibatasi hingga 5120 karakter. Ketika CloudWatch Log mendeteksi bahwa kebijakan mendekati batas ukuran ini, secara otomatis mengaktifkan grup log yang memulai`/aws/vendedlogs/`. Saat Anda mengaktifkan logging, Site-to-Site VPN harus memperbarui kebijakan sumber daya CloudWatch Log Anda dengan grup log yang Anda tentukan. Agar tidak mencapai batas ukuran kebijakan sumber daya CloudWatch Log, awali nama grup log Anda dengan`/aws/vendedlogs/`.

## Site-to-Site Konten log VPN
<a name="log-contents"></a>

Informasi berikut disertakan dalam log aktivitas terowongan Site-to-Site VPN. Nama file log stream menggunakan VpnConnection ID dan TunnelOutsideIPAddress.


| Bidang | Deskripsi | 
| --- | --- | 
|  VpnLogCreationTimestamp (`event_timestamp`)  |  Stempel waktu pembuatan log dalam format waktu epoch.  | 
|  VpnLogCreationTimestampReadable (`timestamp`)  |  Stempel waktu pembuatan log dalam format waktu yang dapat dibaca manusia.  | 
|  Terowongan DPDEnabled (`dpd_enabled`)  |  Status Diaktifkan Protokol Deteksi Rekan Mati (Benar/Salah).  | 
|  CGWNATTDetectionStatus Terowongan (`nat_t_detected`)  | NAT-T terdeteksi pada perangkat gateway pelanggan (Benar/Salah). | 
|  IKEPhase1Negara Terowongan (`ike_phase1_state`)  | Status Protokol Fase 1 IKE (Didirikan \$1 Rekeying \$1 Negosiasi \$1 Turun). | 
| IKEPhase2Negara Terowongan (ike\$1phase2\$1state) | Status Protokol IKE Fase 2 (Didirikan \$1 Rekeying \$1 Negosiasi \$1 Turun). | 
| VpnLogDetail (details) | Pesan verbose untuk IPsec, protokol IKE dan DPD. | 

Informasi berikut disertakan dalam log BGP terowongan Site-to-Site VPN. Nama file log stream menggunakan VpnConnection ID dan TunnelOutsideIPAddress.


| Bidang | Deskripsi | 
| --- | --- | 
|  resource\$1id  |  ID unik untuk mengidentifikasi terowongan dan koneksi VPN yang terkait dengan log.  | 
|  event\$1timestamp  |  Stempel waktu pembuatan log dalam format waktu epoch.  | 
|  timestamp  |  Stempel waktu pembuatan log dalam format waktu yang dapat dibaca manusia.  | 
|  jenis  | Jenis Peristiwa Log BGP (BGPStatus \$1 RouteStatus). | 
|  status  | pembaruan status untuk jenis peristiwa log tertentu (BGPStatus: ATAS \$1 BAWAH) (RouteStatus: DIIKLANKAN \$1rute diiklankan oleh rekan\$1 \$1 DIPERBARUI: \$1rute yang ada diperbarui oleh rekan\$1 \$1 DITARIK: \$1rute ditarik oleh rekan\$1). | 
| pesan | Memberikan detail tambahan pada log genap dan status. Bidang ini akan membantu Anda memahami mengapa BGPStatus ada di bawah atribut rute apa yang dipertukarkan dalam RouteStatus pesan. | 

**Topics**
+ [IKEv1 Pesan Kesalahan](#sample-log-ikev1)
+ [IKEv2 Pesan Kesalahan](#sample-log-ikev2)
+ [IKEv2 Pesan Negosiasi](#sample-log-ikev2-negotiation)
+ [Pesan Status BGP](#sample-bgp-status-messages)
+ [Pesan Status Rute](#sample-route-status-messages)

### IKEv1 Pesan Kesalahan
<a name="sample-log-ikev1"></a>


| Pesan | Penjelasan | 
| --- | --- | 
|  Peer tidak responsif - Mendeklarasikan rekan mati  |  Sebaya belum menanggapi Pesan DPD, menegakkan aksi time-out DPD.  | 
|  AWS Dekripsi payload terowongan tidak berhasil karena Kunci Pra-bersama yang tidak valid  |  Kunci Pra-Bersama yang sama perlu dikonfigurasi pada kedua Peer IKE.  | 
|  Tidak Ada Pencocokan Proposal Ditemukan oleh AWS  |  Atribut yang Diusulkan untuk Fase 1 (Enkripsi, Hashing, dan Grup DH) tidak didukung oleh AWS VPN Endpoint— misalnya,. `3DES`  | 
|  Tidak Ada Pencocokan Proposal yang Ditemukan. Memberi tahu dengan “Tidak ada proposal yang dipilih”  |  Tidak ada Proposal Pesan kesalahan yang dipilih dipertukarkan antara Rekan untuk menginformasikan bahwa yang benar Proposals/Policies harus dikonfigurasi untuk fase 2 di IKE Peers.  | 
|  AWS terowongan menerima DELETE untuk Fase 2 SA dengan SPI: xxxx  | CGW telah mengirim pesan Delete\$1SA untuk Fase 2. | 
|  AWS terowongan menerima DELETE untuk IKE\$1SA dari CGW  | CGW telah mengirim pesan Delete\$1SA untuk Fase 1. | 

### IKEv2 Pesan Kesalahan
<a name="sample-log-ikev2"></a>


| Pesan | Penjelasan | 
| --- | --- | 
|  AWS terowongan DPD habis setelah \$1retry\$1count\$1 mentransmisikan ulang  |  Sebaya belum menanggapi Pesan DPD, menegakkan aksi time-out DPD.   | 
|  AWS terowongan menerima DELETE untuk IKE\$1SA dari CGW  |  Peer telah mengirim pesan Delete\$1SA untuk Parent/IKE\$1SA.  | 
| AWS terowongan menerima DELETE untuk Fase 2 SA dengan SPI: xxxx | Peer telah mengirim pesan Delete\$1SA untuk CHILD\$1SA. | 
|  AWS terowongan mendeteksi tabrakan (CHILD\$1REKEY) sebagai CHILD\$1DELETE  |  CGW telah mengirim pesan Delete\$1SA untuk SA Aktif, yang sedang di-rekeyed.  | 
|  AWS tunnel (CHILD\$1SA) SA redundan sedang dihapus karena tabrakan yang terdeteksi  | Karena Tabrakan, Jika SAs redundan dihasilkan, Peers akan menutup SA redundan setelah mencocokkan nilai nonce sesuai RFC. | 
|  AWS terowongan Fase 2 tidak dapat dibangun sambil mempertahankan Fase 1  | Peer tidak dapat membuat CHILD\$1SA karena kesalahan negosiasi - misalnya, proposal yang salah.  | 
| AWS: Pemilih Lalu Lintas: TS\$1UNACCEPTABLE: diterima dari responden | Peer telah mengusulkan Selectors/Encryption Domain Lalu Lintas yang Salah. Peer harus dikonfigurasi dengan identik dan benar CIDRs. | 
| AWS terowongan mengirim AUTHENTICATION\$1FAILED sebagai respons | Peer tidak dapat Mengautentikasi Peer dengan memverifikasi isi pesan IKE\$1AUTH | 
| AWS terowongan mendeteksi ketidakcocokan kunci yang telah dibagikan sebelumnya dengan cgw: xxxx | Kunci Pra-Bersama yang sama perlu dikonfigurasi pada kedua Peer IKE. | 
| AWS tunnel Timeout: menghapus Fase 1 IKE\$1SA yang tidak ditetapkan dengan cgw: xxxx | Menghapus IKE\$1SA yang setengah terbuka karena rekan belum melanjutkan negosiasi | 
| Tidak Ada Pencocokan Proposal yang Ditemukan. Memberi tahu dengan “Tidak ada proposal yang dipilih” | Tidak ada Proposal Pesan kesalahan yang dipilih dipertukarkan antara Rekan untuk menginformasikan bahwa Proposal yang benar harus dikonfigurasi pada Rekan IKE. | 
| Tidak Ada Pencocokan Proposal Ditemukan oleh AWS | Atribut yang Diusulkan untuk Fase 1 atau Fase 2 (Enkripsi, Hashing, dan Grup DH) tidak didukung oleh AWS VPN Endpoint— misalnya,. `3DES` | 

### IKEv2 Pesan Negosiasi
<a name="sample-log-ikev2-negotiation"></a>


| Pesan | Penjelasan | 
| --- | --- | 
|  AWS permintaan yang diproses terowongan (id=xxx) untuk CREATE\$1CHILD\$1SA  |  AWS telah menerima permintaan CREATE\$1CHILD\$1SA dari CGW.  | 
|  AWS terowongan mengirimkan respons (id=xxx) untuk CREATE\$1CHILD\$1SA  |  AWS mengirim respons CREATE\$1CHILD\$1SA ke CGW.  | 
| AWS terowongan mengirim permintaan (id=xxx) untuk CREATE\$1CHILD\$1SA | AWS mengirim permintaan CREATE\$1CHILD\$1SA ke CGW. | 
|  AWS respons yang diproses terowongan (id=xxx) untuk CREATE\$1CHILD\$1SA  |  AWS telah menerima formulir respons CREATE\$1CHILD\$1SA CGW.  | 

### Pesan Status BGP
<a name="sample-bgp-status-messages"></a>

 Pesan Status BGP berisi informasi terkait transisi status Sesi BGP, peringatan batas awalan, pelanggaran batas, pemberitahuan sesi BGP, pesan BGP OPEN, dan pembaruan atribut untuk tetangga BGP untuk sesi BGP yang diberikan. 


| Pesan | Status BGP | Penjelasan | 
| --- | --- | --- | 
|   Status sesi BGP peer sisi AWS telah berubah dari Idle menjadi Connect with neighbor \$1ip: xxx\$1   |   TURUN   |   Status Koneksi BGP di sisi AWS telah diperbarui ke Connect.   | 
|   Status sesi BGP peer sisi AWS telah berubah dari Connect menjadi OpenSent dengan tetangga \$1ip: xxx\$1   |   TURUN   |   Status Koneksi BGP di sisi AWS telah diperbarui ke. OpenSent   | 
|   Status sesi BGP peer sisi AWS telah berubah dari OpenSent menjadi OpenConfirm dengan tetangga \$1ip: xxx\$1   |   TURUN   |   Status Koneksi BGP di sisi AWS telah diperbarui ke. OpenConfirm   | 
|   Status sesi BGP peer sisi AWS telah berubah dari menjadi Didirikan dengan tetangga OpenConfirm \$1ip: xxx\$1   |   KE ATAS   |   Status Koneksi BGP di sisi AWS telah diperbarui ke Didirikan.   | 
|   Status sesi BGP peer sisi AWS telah berubah dari Didirikan menjadi Idle dengan tetangga \$1ip: xxx\$1   |   TURUN   |   Status Koneksi BGP di sisi AWS telah diperbarui ke Idle.   | 
|   Status sesi BGP peer sisi AWS telah berubah dari Connect ke Active dengan tetangga \$1ip: xxx\$1   |   TURUN   |   Status Koneksi BGP di sisi AWS dialihkan dari Connect ke Active. Periksa ketersediaan port TCP 179 di CGW jika sesi BGP macet dalam status Connect.   | 
|   Rekan sisi AWS melaporkan peringatan batas awalan maksimum - menerima awalan \$1prefix (count): xxx\$1 dari tetangga \$1ip: xxx\$1, limit is \$1limit (numeric): xxx\$1   |   KE ATAS   |   Sisi AWS secara berkala menghasilkan pesan log ketika jumlah awalan yang diterima dari CGW mendekati batas yang diizinkan.   | 
|   Rekan sisi AWS mendeteksi batas awalan maksimum terlampaui - menerima awalan \$1awalan (hitungan): xxx\$1 dari tetangga \$1ip: xxx\$1, batas adalah \$1limit (numerik): xxx\$1   |   TURUN   |   Sisi AWS menghasilkan pesan log ketika jumlah awalan yang diterima dari CGW melebihi batas yang diizinkan.   | 
|   Rekan sisi AWS mengirim pemberitahuan 6/1 (Henti/Jumlah Awalan Maksimum yang Dicapai) ke tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS mengirim pemberitahuan ke rekan CGW BGP untuk menunjukkan bahwa sesi BGP dihentikan karena pelanggaran batas awalan.   | 
|   Rekan sisi AWS menerima pemberitahuan 6/1 (Henti/Jumlah Awalan Maksimum yang Dicapai) dari tetangga \$1ip: xxx\$1   |   TURUN   |  Sisi AWS menerima pemberitahuan dari rekan CGW untuk menunjukkan bahwa sesi BGP dihentikan karena pelanggaran batas awalan.   | 
|   Rekan sisi AWS mengirim pemberitahuan 6/2 (Berhenti/Penutupan Administratif) ke tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS mengirim pemberitahuan ke rekan CGW BGP untuk menunjukkan bahwa sesi BGP telah dihentikan.   | 
|   Rekan sisi AWS menerima pemberitahuan 6/2 (Berhenti/Penutupan Administratif) dari tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS menerima pemberitahuan dari rekan CGW untuk menunjukkan bahwa sesi BGP telah dihentikan.   | 
|   Rekan sisi AWS mengirim pemberitahuan 6/3 (Berhenti/Rekan Tidak Dikonfigurasi) ke tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS mengirim pemberitahuan ke rekan CGW untuk menunjukkan bahwa peer tidak dikonfigurasi atau telah dihapus dari konfigurasi.   | 
|   Rekan sisi AWS menerima pemberitahuan 6/3 (Berhenti/Rekan Tidak Dikonfigurasi) dari tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS menerima pemberitahuan dari rekan CGW untuk menunjukkan bahwa peer tidak dikonfigurasi atau telah dihapus dari konfigurasi.   | 
|   Rekan sisi AWS mengirim pemberitahuan 6/4 (Berhenti/Reset Administratif) ke tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS mengirim pemberitahuan ke rekan CGW BGP untuk menunjukkan bahwa sesi BGP telah diatur ulang.   | 
|   Rekan sisi AWS menerima pemberitahuan 6/4 (Berhenti/Reset Administratif) dari tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS menerima pemberitahuan dari rekan CGW untuk menunjukkan bahwa sesi BGP telah diatur ulang.   | 
|   Rekan sisi AWS mengirim pemberitahuan 6/5 (Berhenti/Koneksi Ditolak) ke tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS mengirim pemberitahuan ke rekan CGW BGP untuk menunjukkan bahwa sesi BGP ditolak.   | 
|   Rekan sisi AWS menerima pemberitahuan 6/5 (Berhenti/Koneksi Ditolak) dari tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS menerima pemberitahuan dari rekan CGW untuk menunjukkan bahwa sesi BGP ditolak.   | 
|   Rekan sisi AWS mengirim notifikasi 6/6 (Berhenti/Perubahan Konfigurasi Lainnya) ke tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS mengirim pemberitahuan ke rekan CGW BGP untuk menunjukkan bahwa perubahan konfigurasi sesi BGP terjadi.   | 
|   Rekan sisi AWS menerima pemberitahuan 6/6 (Berhenti/Perubahan Konfigurasi Lainnya) dari tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS menerima pemberitahuan dari rekan CGW yang menunjukkan bahwa perubahan konfigurasi sesi BGP terjadi.   | 
|   Rekan sisi AWS mengirim pemberitahuan 6/7 (Resolusi Tabrakan Berhenti/Koneksi) ke tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS mengirim pemberitahuan ke rekan CGW untuk menyelesaikan tabrakan koneksi saat kedua rekan mencoba membuat koneksi secara bersamaan.   | 
|   Rekan sisi AWS menerima pemberitahuan 6/7 (Resolusi Tabrakan Berhenti/Koneksi) dari tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS menerima pemberitahuan dari rekan CGW yang menunjukkan resolusi tabrakan koneksi ketika kedua rekan berusaha membuat koneksi secara bersamaan.   | 
|   Rekan sisi AWS mengirim pemberitahuan Tahan Timer Kedaluwarsa ke tetangga \$1ip: xxx\$1   |   TURUN   |   Timer penahanan BGP kedaluwarsa dan pemberitahuan dikirim oleh sisi AWS ke CGW.   | 
|   Rekan sisi AWS mendeteksi pesan OPEN yang buruk dari tetangga \$1ip: xxx\$1 - remote AS is \$1asn: xxx\$1, diharapkan \$1asn: xxx\$1   |   TURUN   |   Sisi AWS mendeteksi pesan OPEN yang buruk diterima dari rekan CGW yang menunjukkan ketidakcocokan konfigurasi.   | 
|   Rekan sisi AWS menerima pesan OPEN dari tetangga \$1ip: xxx\$1 - versi 4, AS \$1asn: xxx\$1, holdtime \$1holdtime (seconds): xxx\$1, router-id \$1id: xxx\$1\$1   |   TURUN   |   Sisi AWS menerima pesan terbuka BGP untuk memulai sesi BGP dengan rekan CGW.   | 
|   Rekan sisi AWS mengirim pesan OPEN ke tetangga \$1ip: xxx\$1 - versi 4, AS \$1asn: xxx\$1, holdtime \$1holdtime (seconds): xxx\$1, router-id \$1id: xxx\$1   |   TURUN   |   Rekan CGW mengirim pesan terbuka BGP untuk memulai sesi BGP dengan rekan BGP sisi AWS.   | 
|   Rekan sisi AWS memulai koneksi (melalui Connect) ke tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS mencoba terhubung dengan tetangga CGW BGP.   | 
|   Rekan sisi AWS mengirim End-of-RIB pesan ke tetangga \$1ip: xxx\$1   |   KE ATAS   |   Sisi AWS telah selesai mentransmisikan rute ke CGW setelah pembentukan sesi BGP.   | 
|   Rekan sisi AWS menerima pembaruan dengan atribut dari tetangga \$1ip: xxx\$1 - AS path: \$1aspath (list): xxx xxx xxx\$1   |   KE ATAS   |   Sisi AWS menerima pembaruan atribut sesi BGP dari tetangga.   | 

### Pesan Status Rute
<a name="sample-route-status-messages"></a>

 Tidak seperti Pesan Status BGP, Pesan Status Rute berisi data tentang atribut BGP dari awalan yang diberikan seperti jalur AS, preferensi lokal, Multi-Exit Discriminator (MED), alamat IP hop berikutnya, dan bobot. Pesan Status Rute hanya akan berisi bidang detail jika ada kesalahan dengan rute yang DIIKLANKAN, DIPERBARUI, atau DITARIK. Contohnya adalah sebagai berikut 


| Pesan | Penjelasan | 
| --- | --- | 
|   DITOLAK karena: as-path berisi AS kita sendiri   |   Pesan pembaruan BGP untuk awalan baru dari CGW ditolak oleh AWS karena rute yang berisi rekan sisi AWS memiliki AS.   | 
|   DITOLAK karena: next-hop yang tidak terhubung   |   AWS menolak iklan rute BGP untuk awalan dari CGW karena kegagalan validasi next-hop yang tidak terhubung. Pastikan rute dapat dicapai di sisi CGW.   | 

## Contoh format log untuk log Tunnel BGP
<a name="example-bgp-logs"></a>

```
{
    "resource_id": "vpn-1234abcd_1.2.3.4",
    "event_timestamp": 1762580429641,
    "timestamp": "2025-11-08 05:40:29.641Z",
    "type": "BGPStatus",
    "status": "UP",
    "message": {
        "details": "AWS-side peer BGP session state has changed from OpenConfirm to Established with neighbor 169.254.50.85"
    }
}

{
    "resource_id": "vpn-1234abcd_1.2.3.4",
    "event_timestamp": 1762579573243,
    "timestamp": "2025-11-08 05:26:13.243Z",
    "type": "RouteStatus",
    "status": "UPDATED",
    "message": {
        "prefix": "172.31.0.0/16",
        "asPath": "64512",
        "localPref": 100,
        "med": 100,
        "nextHopIp": "169.254.50.85",
        "weight": 32768,
        "details": "DENIED due to: as-path contains our own AS"
    }
}
```

## Persyaratan IAM untuk mempublikasikan ke CloudWatch Log
<a name="publish-cw-logs"></a>


Agar fitur logging berfungsi dengan baik, kebijakan IAM yang dilampirkan pada prinsipal IAM yang digunakan untuk mengonfigurasi fitur, minimal harus menyertakan izin berikut. Detail selengkapnya juga dapat ditemukan di bagian [Mengaktifkan logging dari AWS layanan tertentu](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html) di *Panduan Pengguna Amazon CloudWatch Logs*.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}
```

------

# Lihat konfigurasi AWS Site-to-Site VPN log
<a name="status-logs"></a>

Lihat log aktivitas untuk koneksi Site-to-Site VPN. Di sini Anda dapat melihat detail tentang konfigurasi algoritma enkripsi tersebut, atau apakah log VPN terowongan diaktifkan. Anda juga dapat melihat status terowongan. Ini membantu Anda melacak masalah atau konflik apa pun yang mungkin Anda alami dengan koneksi VPN dengan lebih baik. 

**Untuk melihat pengaturan pencatatan terowongan saat ini**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih **koneksi Site-to-Site VPN**.

1. Pilih koneksi VPN yang ingin Anda lihat dari daftar **koneksi VPN**.

1. Pilih tab **Detail terowongan**.

1. Perluas **opsi Tunnel 1** dan bagian **opsi Tunnel 2** untuk melihat semua detail konfigurasi terowongan.

1. Anda dapat melihat fitur **log VPN Tunnel** status saat ini, dan grup CloudWatch log yang saat ini dikonfigurasi (jika ada) di bawah **grup CloudWatch log untuk log VPN terowongan** dan format keluaran log di bawah **Format keluaran untuk log VPN terowongan**.

1. Anda dapat melihat fitur **log Tunnel BGP status saat ini, dan grup log** yang saat ini dikonfigurasi CloudWatch (jika ada) di bawah **grup CloudWatch log untuk log VPN terowongan dan format keluaran log** di bawah Format keluaran **untuk log BGP terowongan**.

**Untuk melihat pengaturan pencatatan terowongan saat ini pada koneksi Site-to-Site VPN menggunakan baris AWS perintah atau API**
+ [DescribeVpnConnections](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnConnections.html) (Amazon EC2 Query API)
+ [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html) (AWS CLI)

# Aktifkan AWS Site-to-Site VPN log
<a name="enable-logs"></a>

Aktifkan log Site-to-Site VPN untuk mencatat aktivitas VPN, seperti status terowongan dan detail lainnya. Anda dapat mengaktifkan logging pada koneksi baru atau memodifikasi koneksi yang ada untuk memulai aktivitas logging. Jika Anda ingin menonaktifkan pencatatan untuk koneksi, lihat[Nonaktifkan log Site-to-Site VPN](disable-logs.md).

**catatan**  
Saat Anda mengaktifkan log Site-to-Site VPN untuk terowongan koneksi VPN yang ada, konektivitas Anda melalui terowongan itu dapat terganggu selama beberapa menit. Namun, setiap koneksi VPN menawarkan dua terowongan untuk ketersediaan tinggi, sehingga Anda dapat mengaktifkan logging pada satu terowongan pada satu waktu sambil mempertahankan konektivitas melalui terowongan yang tidak dimodifikasi. Untuk informasi selengkapnya, lihat [AWS Site-to-Site VPN penggantian titik akhir terowongan](endpoint-replacements.md).

**Untuk mengaktifkan logging VPN selama pembuatan koneksi Site-to-Site VPN baru**  
Ikuti prosedur [Langkah 5: Buat koneksi VPN](SetUpVPNConnections.md#vpn-create-vpn-connection). Selama Langkah 9 **Opsi Tunnel**, Anda dapat menentukan semua opsi yang ingin Anda gunakan untuk kedua terowongan, termasuk opsi **pencatatan VPN**. Untuk informasi selengkapnya tentang opsi ini, lihat [Opsi terowongan untuk AWS Site-to-Site VPN koneksi Anda](VPNTunnels.md).

**Untuk mengaktifkan log terowongan pada koneksi Site-to-Site VPN baru menggunakan baris AWS perintah atau API**
+ [CreateVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnConnection.html) (Amazon EC2 Query API)
+ [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html) (AWS CLI)

**Untuk mengaktifkan log aktivitas terowongan pada koneksi Site-to-Site VPN yang ada**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih **koneksi Site-to-Site VPN**.

1. Pilih koneksi VPN yang ingin Anda modifikasi dari daftar **koneksi VPN**.

1. Pilih **Tindakan**, **Ubah opsi terowongan VPN**.

1. Pilih terowongan yang ingin Anda modifikasi dengan memilih alamat IP yang sesuai dari **terowongan VPN di luar daftar alamat IP**.

1. Di bawah **Log aktivitas terowongan**, pilih **Aktifkan**.

1. Di bawah **grup CloudWatch log Amazon**, pilih grup CloudWatch log Amazon tempat Anda ingin log dikirim.

1. (Opsional) Di bawah **Format output**, pilih format yang diinginkan untuk output log, baik **json** atau **teks**.

1. Pilih **Simpan perubahan**.

1. (Opsional) Ulangi langkah 4 hingga 9 untuk terowongan lain jika diinginkan.

**Untuk mengaktifkan terowongan BGP logging pada koneksi VPN yang ada Site-to-Site**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih **koneksi Site-to-Site VPN**.

1. Pilih koneksi VPN yang ingin Anda modifikasi dari daftar **koneksi VPN**.

1. Pilih **Tindakan**, **Ubah opsi terowongan VPN**.

1. Pilih terowongan yang ingin Anda modifikasi dengan memilih alamat IP yang sesuai dari **terowongan VPN di luar daftar alamat IP**.

1. **Di bawah **log Tunnel BGP**, pilih Aktifkan.**

1. Di bawah **grup CloudWatch log Amazon**, pilih grup CloudWatch log Amazon tempat Anda ingin log dikirim.

1. (Opsional) Di bawah **Format output**, pilih format yang diinginkan untuk output log, baik **json** atau **teks**.

1. Pilih **Simpan perubahan**.

1. (Opsional) Ulangi langkah 4 hingga 9 untuk terowongan lain jika diinginkan.

**Untuk mengaktifkan pencatatan terowongan pada koneksi Site-to-Site VPN yang ada menggunakan baris AWS perintah atau API**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html) (Amazon EC2 Query API)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)

# Nonaktifkan AWS Site-to-Site VPN log
<a name="disable-logs"></a>

Nonaktifkan VPN logging pada koneksi jika Anda tidak lagi ingin melacak aktivitas apa pun pada koneksi itu. Tindakan ini hanya menonaktifkan logging dan tidak memengaruhi hal lain untuk koneksi itu. Untuk mengaktifkan atau mengaktifkan kembali pencatatan pada koneksi, lihat[Aktifkan log Site-to-Site VPN](enable-logs.md).

**Untuk menonaktifkan log aktivitas terowongan pada koneksi Site-to-Site VPN**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih **Koneksi Site-to-Site VPN**.

1. Pilih koneksi VPN yang ingin Anda modifikasi dari daftar **koneksi VPN**.

1. Pilih **Tindakan**, **Ubah opsi terowongan VPN**.

1. Pilih terowongan yang ingin Anda modifikasi dengan memilih alamat IP yang sesuai dari **terowongan VPN di luar daftar alamat IP**.

1. Di bawah **Log aktivitas terowongan**, hapus **Aktifkan**.

1. Pilih **Simpan perubahan**.

1. (Opsional) Ulangi langkah 4 hingga 7 untuk terowongan lain jika diinginkan.

**Untuk menonaktifkan terowongan BGP logging pada koneksi VPN Site-to-Site**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih **Koneksi Site-to-Site VPN**.

1. Pilih koneksi VPN yang ingin Anda modifikasi dari daftar **koneksi VPN**.

1. Pilih **Tindakan**, **Ubah opsi terowongan VPN**.

1. Pilih terowongan yang ingin Anda modifikasi dengan memilih alamat IP yang sesuai dari **terowongan VPN di luar daftar alamat IP**.

1. **Di bawah **log Tunnel BGP**, hapus Aktifkan.**

1. Pilih **Simpan perubahan**.

1. (Opsional) Ulangi langkah 4 hingga 7 untuk terowongan lain jika diinginkan.

**Untuk menonaktifkan pencatatan terowongan pada koneksi Site-to-Site VPN menggunakan baris AWS perintah atau API**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html) (Amazon EC2 Query API)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)