

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Pantau AWS Site-to-Site VPN koneksi
<a name="monitoring-overview-vpn"></a>

Pemantauan adalah bagian penting untuk menjaga keandalan, ketersediaan, dan kinerja AWS Site-to-Site VPN koneksi Anda. Anda harus mengumpulkan data pemantauan dari semua bagian solusi sehingga Anda dapat melakukan debug kegagalan multititik secara lebih mudah jika terjadi kegagalan. Sebelum Anda mulai memantau koneksi Site-to-Site VPN Anda; Namun, Anda harus membuat rencana pemantauan yang mencakup jawaban atas pertanyaan-pertanyaan berikut:
+ Apa saja sasaran pemantauan Anda?
+ Sumber daya apa yang akan Anda pantau?
+ Seberapa sering Anda akan memantau sumber daya ini?
+ Alat pemantauan apa yang akan Anda gunakan?
+ Siapa yang akan melakukan tugas pemantauan?
+ Siapa yang harus diberi tahu saat terjadi kesalahan?

Langkah berikutnya adalah menetapkan baseline untuk performa normal VPN di lingkungan Anda, dengan mengukur performa di berbagai waktu dan di bawah kondisi beban yang berbeda. Saat memantau VPN Anda, simpan data pemantauan historis sehingga Anda dapat membandingkannya dengan data performa saat ini, mengidentifikasi pola performa normal dan anomali performa, dan merancang metode untuk mengatasi masalah tersebut.

Untuk menetapkan baseline, Anda harus memantau item berikut:
+ Status terowongan VPN Anda
+ Data masuk ke dalam terowongan
+ Data keluar dari terowongan

**Topics**
+ [Alat-alat pemantauan](#monitoring-automated-manual)
+ [Site-to-Site Log VPN](monitoring-logs.md)
+ [Pantau terowongan Site-to-Site VPN menggunakan CloudWatch](monitoring-cloudwatch-vpn.md)
+ [AWS Health dan acara Site-to-Site VPN](monitoring-vpn-health-events.md)

## Alat-alat pemantauan
<a name="monitoring-automated-manual"></a>

AWS menyediakan berbagai alat yang dapat Anda gunakan untuk memantau koneksi Site-to-Site VPN. Anda dapat mengonfigurasi beberapa alat ini untuk melakukan pemantauan untuk Anda, sementara beberapa alat memerlukan intervensi manual. Kami menyarankan agar Anda mengautomasi tugas pemantauan sebanyak mungkin.

### Alat pemantauan otomatis
<a name="monitoring-automated_tools"></a>

Anda dapat menggunakan alat pemantauan otomatis berikut untuk menonton koneksi Site-to-Site VPN dan melaporkan ketika ada sesuatu yang salah:
+ ** CloudWatch Alarm Amazon** — Tonton satu metrik selama periode waktu yang Anda tentukan, dan lakukan satu atau beberapa tindakan berdasarkan nilai metrik relatif terhadap ambang batas tertentu selama beberapa periode waktu. Tindakannya adalah pemberitahuan yang dikirim ke topik Amazon SNS. CloudWatch alarm tidak memanggil tindakan hanya karena mereka berada dalam keadaan tertentu; negara harus telah berubah dan dipertahankan untuk sejumlah periode tertentu. Untuk informasi selengkapnya, lihat [Memantau AWS Site-to-Site VPN terowongan menggunakan Amazon CloudWatch](monitoring-cloudwatch-vpn.md).
+ **AWS CloudTrail Pemantauan Log** - Bagikan file log antar akun, pantau file CloudTrail log secara real time dengan mengirimkannya ke CloudWatch Log, menulis aplikasi pemrosesan log di Java, dan validasi bahwa file log Anda tidak berubah setelah pengiriman oleh CloudTrail. Untuk informasi selengkapnya, lihat [Log panggilan API menggunakan AWS CloudTrail](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitor-with-cloudtrail.html) *Referensi API Amazon EC2* dan [Bekerja dengan file CloudTrail log](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html) di *AWS CloudTrail Panduan Pengguna*.
+ **AWS Health event** — Menerima peringatan dan pemberitahuan terkait perubahan kesehatan terowongan Site-to-Site VPN Anda, rekomendasi konfigurasi praktik terbaik, atau saat mendekati batas penskalaan. Gunakan kejadian di [Personal Health Dashboard](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html) untuk memicu failover otomatis, mengurangi waktu pemecahan masalah, atau mengoptimalkan koneksi untuk ketersediaan tinggi. Untuk informasi selengkapnya, lihat [AWS Health dan AWS Site-to-Site VPN acara](monitoring-vpn-health-events.md).

### Alat-alat pemantauan manual
<a name="monitoring-manual-tools"></a>

Bagian penting lainnya dari pemantauan koneksi Site-to-Site VPN melibatkan pemantauan secara manual item-item yang tidak tercakup oleh CloudWatch alarm. Dasbor VPC dan CloudWatch konsol Amazon memberikan at-a-glance tampilan keadaan lingkungan Anda. AWS 

**catatan**  
Di konsol VPC Amazon, parameter status terowongan Site-to-Site VPN seperti “Status” dan “Perubahan status terakhir”, mungkin tidak mencerminkan perubahan status sementara atau penutup terowongan sesaat. Disarankan untuk menggunakan CloudWatch metrik dan log untuk pembaruan perubahan status terowongan granular.
+ Dasbor Amazon VPC menunjukkan:
  + Kondisi layanan menurut Wilayah
  + Site-to-Site Koneksi VPN
  + Status terowongan VPN (Di panel navigasi, pilih **Koneksi Site-to-Site VPN, pilih koneksi** Site-to-Site VPN, lalu pilih **Detail Tunnel**)
+  CloudWatch Halaman beranda menunjukkan:
  + Alarm dan status saat ini
  + Grafik alarm dan sumber daya
  + Status kesehatan layanan

  Selain itu, Anda dapat menggunakan CloudWatch untuk melakukan hal berikut: 
  + Membuat [dasbor yang disesuaikan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html) untuk memantau layanan yang penting bagi Anda
  + Data metrik grafik untuk memecahkan masalah dan mengungkap tren
  + Cari dan telusuri semua metrik AWS sumber daya Anda
  + Membuat dan mengedit alarm untuk menerima notifikasi terkait masalah

# AWS Site-to-Site VPN log
<a name="monitoring-logs"></a>

AWS Site-to-Site VPN log memberi Anda visibilitas yang lebih dalam ke penerapan Site-to-Site VPN Anda. Dengan fitur ini, Anda memiliki akses ke log koneksi Site-to-Site VPN yang memberikan rincian tentang pembentukan terowongan IP Security (IPsec), negosiasi Internet Key Exchange (IKE), pesan protokol deteksi rekan mati (DPD), status protokol Border Gateway (BGP), dan pembaruan perutean.

Site-to-Site Log VPN dapat dipublikasikan ke Amazon CloudWatch Logs. Fitur ini memberi pelanggan satu cara konsisten untuk mengakses dan menganalisis log terperinci untuk semua koneksi Site-to-Site VPN mereka.

**Topics**
+ [Manfaat log Site-to-Site VPN](#log-benefits)
+ [Pembatasan ukuran kebijakan sumber daya Amazon CloudWatch Logs](#cwl-policy-size)
+ [Site-to-Site Konten log VPN](#log-contents)
+ [Contoh format log untuk log Tunnel BGP](#example-bgp-logs)
+ [Persyaratan IAM untuk mempublikasikan ke CloudWatch Log](#publish-cw-logs)
+ [Lihat konfigurasi log Site-to-Site VPN](status-logs.md)
+ [Aktifkan log Site-to-Site VPN](enable-logs.md)
+ [Nonaktifkan log Site-to-Site VPN](disable-logs.md)

## Manfaat log Site-to-Site VPN
<a name="log-benefits"></a>
+ **Pemecahan masalah VPN yang disederhanakan:** Log Site-to-Site VPN membantu Anda menentukan ketidakcocokan konfigurasi antara AWS dan perangkat gateway pelanggan Anda, dan mengatasi masalah konektivitas VPN awal. Koneksi VPN dapat sebentar-sebentar menutup dari waktu ke waktu karena pengaturan yang salah konfigurasi (seperti batas waktu yang disetel dengan buruk), mungkin ada masalah di jaringan transportasi yang mendasarinya (seperti cuaca internet), atau perubahan perutean atau kegagalan jalur dapat menyebabkan gangguan konektivitas melalui VPN. Fitur ini memungkinkan Anda untuk secara akurat mendiagnosis penyebab kegagalan koneksi intermiten dan menyempurnakan konfigurasi terowongan tingkat rendah untuk operasi yang andal.
+ ** AWS Site-to-Site VPN Visibilitas terpusat:** Log Site-to-Site VPN dapat menyediakan aktivitas terowongan dan log perutean BGP di semua jenis koneksi VPN. Site-to-Site Fitur ini memberi pelanggan satu cara konsisten untuk mengakses dan menganalisis log terperinci untuk semua koneksi Site-to-Site VPN mereka.
+ **Keamanan dan kepatuhan:** Log Site-to-Site VPN dapat dikirim ke Amazon CloudWatch Logs untuk analisis retrospektif status dan aktivitas koneksi VPN dari waktu ke waktu. Ini dapat membantu Anda memenuhi persyaratan kepatuhan dan peraturan.

## Pembatasan ukuran kebijakan sumber daya Amazon CloudWatch Logs
<a name="cwl-policy-size"></a>

CloudWatch Kebijakan sumber daya log dibatasi hingga 5120 karakter. Ketika CloudWatch Log mendeteksi bahwa kebijakan mendekati batas ukuran ini, secara otomatis mengaktifkan grup log yang memulai`/aws/vendedlogs/`. Saat Anda mengaktifkan logging, Site-to-Site VPN harus memperbarui kebijakan sumber daya CloudWatch Log Anda dengan grup log yang Anda tentukan. Agar tidak mencapai batas ukuran kebijakan sumber daya CloudWatch Log, awali nama grup log Anda dengan`/aws/vendedlogs/`.

## Site-to-Site Konten log VPN
<a name="log-contents"></a>

Informasi berikut disertakan dalam log aktivitas terowongan Site-to-Site VPN. Nama file log stream menggunakan VpnConnection ID dan TunnelOutsideIPAddress.


| Bidang | Deskripsi | 
| --- | --- | 
|  VpnLogCreationTimestamp (`event_timestamp`)  |  Stempel waktu pembuatan log dalam format waktu epoch.  | 
|  VpnLogCreationTimestampReadable (`timestamp`)  |  Stempel waktu pembuatan log dalam format waktu yang dapat dibaca manusia.  | 
|  Terowongan DPDEnabled (`dpd_enabled`)  |  Status Diaktifkan Protokol Deteksi Rekan Mati (Benar/Salah).  | 
|  CGWNATTDetectionStatus Terowongan (`nat_t_detected`)  | NAT-T terdeteksi pada perangkat gateway pelanggan (Benar/Salah). | 
|  IKEPhase1Negara Terowongan (`ike_phase1_state`)  | Status Protokol Fase 1 IKE (Didirikan \$1 Rekeying \$1 Negosiasi \$1 Turun). | 
| IKEPhase2Negara Terowongan (ike\$1phase2\$1state) | Status Protokol IKE Fase 2 (Didirikan \$1 Rekeying \$1 Negosiasi \$1 Turun). | 
| VpnLogDetail (details) | Pesan verbose untuk IPsec, protokol IKE dan DPD. | 

Informasi berikut disertakan dalam log BGP terowongan Site-to-Site VPN. Nama file log stream menggunakan VpnConnection ID dan TunnelOutsideIPAddress.


| Bidang | Deskripsi | 
| --- | --- | 
|  resource\$1id  |  ID unik untuk mengidentifikasi terowongan dan koneksi VPN yang terkait dengan log.  | 
|  event\$1timestamp  |  Stempel waktu pembuatan log dalam format waktu epoch.  | 
|  timestamp  |  Stempel waktu pembuatan log dalam format waktu yang dapat dibaca manusia.  | 
|  jenis  | Jenis Peristiwa Log BGP (BGPStatus \$1 RouteStatus). | 
|  status  | pembaruan status untuk jenis peristiwa log tertentu (BGPStatus: ATAS \$1 BAWAH) (RouteStatus: DIIKLANKAN \$1rute diiklankan oleh rekan\$1 \$1 DIPERBARUI: \$1rute yang ada diperbarui oleh rekan\$1 \$1 DITARIK: \$1rute ditarik oleh rekan\$1). | 
| pesan | Memberikan detail tambahan pada log genap dan status. Bidang ini akan membantu Anda memahami mengapa BGPStatus ada di bawah atribut rute apa yang dipertukarkan dalam RouteStatus pesan. | 

**Topics**
+ [IKEv1 Pesan Kesalahan](#sample-log-ikev1)
+ [IKEv2 Pesan Kesalahan](#sample-log-ikev2)
+ [IKEv2 Pesan Negosiasi](#sample-log-ikev2-negotiation)
+ [Pesan Status BGP](#sample-bgp-status-messages)
+ [Pesan Status Rute](#sample-route-status-messages)

### IKEv1 Pesan Kesalahan
<a name="sample-log-ikev1"></a>


| Pesan | Penjelasan | 
| --- | --- | 
|  Peer tidak responsif - Mendeklarasikan rekan mati  |  Sebaya belum menanggapi Pesan DPD, menegakkan aksi time-out DPD.  | 
|  AWS Dekripsi payload terowongan tidak berhasil karena Kunci Pra-bersama yang tidak valid  |  Kunci Pra-Bersama yang sama perlu dikonfigurasi pada kedua Peer IKE.  | 
|  Tidak Ada Pencocokan Proposal Ditemukan oleh AWS  |  Atribut yang Diusulkan untuk Fase 1 (Enkripsi, Hashing, dan Grup DH) tidak didukung oleh AWS VPN Endpoint— misalnya,. `3DES`  | 
|  Tidak Ada Pencocokan Proposal yang Ditemukan. Memberi tahu dengan “Tidak ada proposal yang dipilih”  |  Tidak ada Proposal Pesan kesalahan yang dipilih dipertukarkan antara Rekan untuk menginformasikan bahwa yang benar Proposals/Policies harus dikonfigurasi untuk fase 2 di IKE Peers.  | 
|  AWS terowongan menerima DELETE untuk Fase 2 SA dengan SPI: xxxx  | CGW telah mengirim pesan Delete\$1SA untuk Fase 2. | 
|  AWS terowongan menerima DELETE untuk IKE\$1SA dari CGW  | CGW telah mengirim pesan Delete\$1SA untuk Fase 1. | 

### IKEv2 Pesan Kesalahan
<a name="sample-log-ikev2"></a>


| Pesan | Penjelasan | 
| --- | --- | 
|  AWS terowongan DPD habis setelah \$1retry\$1count\$1 mentransmisikan ulang  |  Sebaya belum menanggapi Pesan DPD, menegakkan aksi time-out DPD.   | 
|  AWS terowongan menerima DELETE untuk IKE\$1SA dari CGW  |  Peer telah mengirim pesan Delete\$1SA untuk Parent/IKE\$1SA.  | 
| AWS terowongan menerima DELETE untuk Fase 2 SA dengan SPI: xxxx | Peer telah mengirim pesan Delete\$1SA untuk CHILD\$1SA. | 
|  AWS terowongan mendeteksi tabrakan (CHILD\$1REKEY) sebagai CHILD\$1DELETE  |  CGW telah mengirim pesan Delete\$1SA untuk SA Aktif, yang sedang di-rekeyed.  | 
|  AWS tunnel (CHILD\$1SA) SA redundan sedang dihapus karena tabrakan yang terdeteksi  | Karena Tabrakan, Jika SAs redundan dihasilkan, Peers akan menutup SA redundan setelah mencocokkan nilai nonce sesuai RFC. | 
|  AWS terowongan Fase 2 tidak dapat dibangun sambil mempertahankan Fase 1  | Peer tidak dapat membuat CHILD\$1SA karena kesalahan negosiasi - misalnya, proposal yang salah.  | 
| AWS: Pemilih Lalu Lintas: TS\$1UNACCEPTABLE: diterima dari responden | Peer telah mengusulkan Selectors/Encryption Domain Lalu Lintas yang Salah. Peer harus dikonfigurasi dengan identik dan benar CIDRs. | 
| AWS terowongan mengirim AUTHENTICATION\$1FAILED sebagai respons | Peer tidak dapat Mengautentikasi Peer dengan memverifikasi isi pesan IKE\$1AUTH | 
| AWS terowongan mendeteksi ketidakcocokan kunci yang telah dibagikan sebelumnya dengan cgw: xxxx | Kunci Pra-Bersama yang sama perlu dikonfigurasi pada kedua Peer IKE. | 
| AWS tunnel Timeout: menghapus Fase 1 IKE\$1SA yang tidak ditetapkan dengan cgw: xxxx | Menghapus IKE\$1SA yang setengah terbuka karena rekan belum melanjutkan negosiasi | 
| Tidak Ada Pencocokan Proposal yang Ditemukan. Memberi tahu dengan “Tidak ada proposal yang dipilih” | Tidak ada Proposal Pesan kesalahan yang dipilih dipertukarkan antara Rekan untuk menginformasikan bahwa Proposal yang benar harus dikonfigurasi pada Rekan IKE. | 
| Tidak Ada Pencocokan Proposal Ditemukan oleh AWS | Atribut yang Diusulkan untuk Fase 1 atau Fase 2 (Enkripsi, Hashing, dan Grup DH) tidak didukung oleh AWS VPN Endpoint— misalnya,. `3DES` | 

### IKEv2 Pesan Negosiasi
<a name="sample-log-ikev2-negotiation"></a>


| Pesan | Penjelasan | 
| --- | --- | 
|  AWS permintaan yang diproses terowongan (id=xxx) untuk CREATE\$1CHILD\$1SA  |  AWS telah menerima permintaan CREATE\$1CHILD\$1SA dari CGW.  | 
|  AWS terowongan mengirimkan respons (id=xxx) untuk CREATE\$1CHILD\$1SA  |  AWS mengirim respons CREATE\$1CHILD\$1SA ke CGW.  | 
| AWS terowongan mengirim permintaan (id=xxx) untuk CREATE\$1CHILD\$1SA | AWS mengirim permintaan CREATE\$1CHILD\$1SA ke CGW. | 
|  AWS respons yang diproses terowongan (id=xxx) untuk CREATE\$1CHILD\$1SA  |  AWS telah menerima formulir respons CREATE\$1CHILD\$1SA CGW.  | 

### Pesan Status BGP
<a name="sample-bgp-status-messages"></a>

 Pesan Status BGP berisi informasi terkait transisi status Sesi BGP, peringatan batas awalan, pelanggaran batas, pemberitahuan sesi BGP, pesan BGP OPEN, dan pembaruan atribut untuk tetangga BGP untuk sesi BGP yang diberikan. 


| Pesan | Status BGP | Penjelasan | 
| --- | --- | --- | 
|   Status sesi BGP peer sisi AWS telah berubah dari Idle menjadi Connect with neighbor \$1ip: xxx\$1   |   TURUN   |   Status Koneksi BGP di sisi AWS telah diperbarui ke Connect.   | 
|   Status sesi BGP peer sisi AWS telah berubah dari Connect menjadi OpenSent dengan tetangga \$1ip: xxx\$1   |   TURUN   |   Status Koneksi BGP di sisi AWS telah diperbarui ke. OpenSent   | 
|   Status sesi BGP peer sisi AWS telah berubah dari OpenSent menjadi OpenConfirm dengan tetangga \$1ip: xxx\$1   |   TURUN   |   Status Koneksi BGP di sisi AWS telah diperbarui ke. OpenConfirm   | 
|   Status sesi BGP peer sisi AWS telah berubah dari menjadi Didirikan dengan tetangga OpenConfirm \$1ip: xxx\$1   |   KE ATAS   |   Status Koneksi BGP di sisi AWS telah diperbarui ke Didirikan.   | 
|   Status sesi BGP peer sisi AWS telah berubah dari Didirikan menjadi Idle dengan tetangga \$1ip: xxx\$1   |   TURUN   |   Status Koneksi BGP di sisi AWS telah diperbarui ke Idle.   | 
|   Status sesi BGP peer sisi AWS telah berubah dari Connect ke Active dengan tetangga \$1ip: xxx\$1   |   TURUN   |   Status Koneksi BGP di sisi AWS dialihkan dari Connect ke Active. Periksa ketersediaan port TCP 179 di CGW jika sesi BGP macet dalam status Connect.   | 
|   Rekan sisi AWS melaporkan peringatan batas awalan maksimum - menerima awalan \$1prefix (count): xxx\$1 dari tetangga \$1ip: xxx\$1, limit is \$1limit (numeric): xxx\$1   |   KE ATAS   |   Sisi AWS secara berkala menghasilkan pesan log ketika jumlah awalan yang diterima dari CGW mendekati batas yang diizinkan.   | 
|   Rekan sisi AWS mendeteksi batas awalan maksimum terlampaui - menerima awalan \$1awalan (hitungan): xxx\$1 dari tetangga \$1ip: xxx\$1, batas adalah \$1limit (numerik): xxx\$1   |   TURUN   |   Sisi AWS menghasilkan pesan log ketika jumlah awalan yang diterima dari CGW melebihi batas yang diizinkan.   | 
|   Rekan sisi AWS mengirim pemberitahuan 6/1 (Henti/Jumlah Awalan Maksimum yang Dicapai) ke tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS mengirim pemberitahuan ke rekan CGW BGP untuk menunjukkan bahwa sesi BGP dihentikan karena pelanggaran batas awalan.   | 
|   Rekan sisi AWS menerima pemberitahuan 6/1 (Henti/Jumlah Awalan Maksimum yang Dicapai) dari tetangga \$1ip: xxx\$1   |   TURUN   |  Sisi AWS menerima pemberitahuan dari rekan CGW untuk menunjukkan bahwa sesi BGP dihentikan karena pelanggaran batas awalan.   | 
|   Rekan sisi AWS mengirim pemberitahuan 6/2 (Berhenti/Penutupan Administratif) ke tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS mengirim pemberitahuan ke rekan CGW BGP untuk menunjukkan bahwa sesi BGP telah dihentikan.   | 
|   Rekan sisi AWS menerima pemberitahuan 6/2 (Berhenti/Penutupan Administratif) dari tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS menerima pemberitahuan dari rekan CGW untuk menunjukkan bahwa sesi BGP telah dihentikan.   | 
|   Rekan sisi AWS mengirim pemberitahuan 6/3 (Berhenti/Rekan Tidak Dikonfigurasi) ke tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS mengirim pemberitahuan ke rekan CGW untuk menunjukkan bahwa peer tidak dikonfigurasi atau telah dihapus dari konfigurasi.   | 
|   Rekan sisi AWS menerima pemberitahuan 6/3 (Berhenti/Rekan Tidak Dikonfigurasi) dari tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS menerima pemberitahuan dari rekan CGW untuk menunjukkan bahwa peer tidak dikonfigurasi atau telah dihapus dari konfigurasi.   | 
|   Rekan sisi AWS mengirim pemberitahuan 6/4 (Berhenti/Reset Administratif) ke tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS mengirim pemberitahuan ke rekan CGW BGP untuk menunjukkan bahwa sesi BGP telah diatur ulang.   | 
|   Rekan sisi AWS menerima pemberitahuan 6/4 (Berhenti/Reset Administratif) dari tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS menerima pemberitahuan dari rekan CGW untuk menunjukkan bahwa sesi BGP telah diatur ulang.   | 
|   Rekan sisi AWS mengirim pemberitahuan 6/5 (Berhenti/Koneksi Ditolak) ke tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS mengirim pemberitahuan ke rekan CGW BGP untuk menunjukkan bahwa sesi BGP ditolak.   | 
|   Rekan sisi AWS menerima pemberitahuan 6/5 (Berhenti/Koneksi Ditolak) dari tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS menerima pemberitahuan dari rekan CGW untuk menunjukkan bahwa sesi BGP ditolak.   | 
|   Rekan sisi AWS mengirim notifikasi 6/6 (Berhenti/Perubahan Konfigurasi Lainnya) ke tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS mengirim pemberitahuan ke rekan CGW BGP untuk menunjukkan bahwa perubahan konfigurasi sesi BGP terjadi.   | 
|   Rekan sisi AWS menerima pemberitahuan 6/6 (Berhenti/Perubahan Konfigurasi Lainnya) dari tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS menerima pemberitahuan dari rekan CGW yang menunjukkan bahwa perubahan konfigurasi sesi BGP terjadi.   | 
|   Rekan sisi AWS mengirim pemberitahuan 6/7 (Resolusi Tabrakan Berhenti/Koneksi) ke tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS mengirim pemberitahuan ke rekan CGW untuk menyelesaikan tabrakan koneksi saat kedua rekan mencoba membuat koneksi secara bersamaan.   | 
|   Rekan sisi AWS menerima pemberitahuan 6/7 (Resolusi Tabrakan Berhenti/Koneksi) dari tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS menerima pemberitahuan dari rekan CGW yang menunjukkan resolusi tabrakan koneksi ketika kedua rekan berusaha membuat koneksi secara bersamaan.   | 
|   Rekan sisi AWS mengirim pemberitahuan Tahan Timer Kedaluwarsa ke tetangga \$1ip: xxx\$1   |   TURUN   |   Timer penahanan BGP kedaluwarsa dan pemberitahuan dikirim oleh sisi AWS ke CGW.   | 
|   Rekan sisi AWS mendeteksi pesan OPEN yang buruk dari tetangga \$1ip: xxx\$1 - remote AS is \$1asn: xxx\$1, diharapkan \$1asn: xxx\$1   |   TURUN   |   Sisi AWS mendeteksi pesan OPEN yang buruk diterima dari rekan CGW yang menunjukkan ketidakcocokan konfigurasi.   | 
|   Rekan sisi AWS menerima pesan OPEN dari tetangga \$1ip: xxx\$1 - versi 4, AS \$1asn: xxx\$1, holdtime \$1holdtime (seconds): xxx\$1, router-id \$1id: xxx\$1\$1   |   TURUN   |   Sisi AWS menerima pesan terbuka BGP untuk memulai sesi BGP dengan rekan CGW.   | 
|   Rekan sisi AWS mengirim pesan OPEN ke tetangga \$1ip: xxx\$1 - versi 4, AS \$1asn: xxx\$1, holdtime \$1holdtime (seconds): xxx\$1, router-id \$1id: xxx\$1   |   TURUN   |   Rekan CGW mengirim pesan terbuka BGP untuk memulai sesi BGP dengan rekan BGP sisi AWS.   | 
|   Rekan sisi AWS memulai koneksi (melalui Connect) ke tetangga \$1ip: xxx\$1   |   TURUN   |   Sisi AWS mencoba terhubung dengan tetangga CGW BGP.   | 
|   Rekan sisi AWS mengirim End-of-RIB pesan ke tetangga \$1ip: xxx\$1   |   KE ATAS   |   Sisi AWS telah selesai mentransmisikan rute ke CGW setelah pembentukan sesi BGP.   | 
|   Rekan sisi AWS menerima pembaruan dengan atribut dari tetangga \$1ip: xxx\$1 - AS path: \$1aspath (list): xxx xxx xxx\$1   |   KE ATAS   |   Sisi AWS menerima pembaruan atribut sesi BGP dari tetangga.   | 

### Pesan Status Rute
<a name="sample-route-status-messages"></a>

 Tidak seperti Pesan Status BGP, Pesan Status Rute berisi data tentang atribut BGP dari awalan yang diberikan seperti jalur AS, preferensi lokal, Multi-Exit Discriminator (MED), alamat IP hop berikutnya, dan bobot. Pesan Status Rute hanya akan berisi bidang detail jika ada kesalahan dengan rute yang DIIKLANKAN, DIPERBARUI, atau DITARIK. Contohnya adalah sebagai berikut 


| Pesan | Penjelasan | 
| --- | --- | 
|   DITOLAK karena: as-path berisi AS kita sendiri   |   Pesan pembaruan BGP untuk awalan baru dari CGW ditolak oleh AWS karena rute yang berisi rekan sisi AWS memiliki AS.   | 
|   DITOLAK karena: next-hop yang tidak terhubung   |   AWS menolak iklan rute BGP untuk awalan dari CGW karena kegagalan validasi next-hop yang tidak terhubung. Pastikan rute dapat dicapai di sisi CGW.   | 

## Contoh format log untuk log Tunnel BGP
<a name="example-bgp-logs"></a>

```
{
    "resource_id": "vpn-1234abcd_1.2.3.4",
    "event_timestamp": 1762580429641,
    "timestamp": "2025-11-08 05:40:29.641Z",
    "type": "BGPStatus",
    "status": "UP",
    "message": {
        "details": "AWS-side peer BGP session state has changed from OpenConfirm to Established with neighbor 169.254.50.85"
    }
}

{
    "resource_id": "vpn-1234abcd_1.2.3.4",
    "event_timestamp": 1762579573243,
    "timestamp": "2025-11-08 05:26:13.243Z",
    "type": "RouteStatus",
    "status": "UPDATED",
    "message": {
        "prefix": "172.31.0.0/16",
        "asPath": "64512",
        "localPref": 100,
        "med": 100,
        "nextHopIp": "169.254.50.85",
        "weight": 32768,
        "details": "DENIED due to: as-path contains our own AS"
    }
}
```

## Persyaratan IAM untuk mempublikasikan ke CloudWatch Log
<a name="publish-cw-logs"></a>


Agar fitur logging berfungsi dengan baik, kebijakan IAM yang dilampirkan pada prinsipal IAM yang digunakan untuk mengonfigurasi fitur, minimal harus menyertakan izin berikut. Detail selengkapnya juga dapat ditemukan di bagian [Mengaktifkan logging dari AWS layanan tertentu](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html) di *Panduan Pengguna Amazon CloudWatch Logs*.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}
```

------

# Lihat konfigurasi AWS Site-to-Site VPN log
<a name="status-logs"></a>

Lihat log aktivitas untuk koneksi Site-to-Site VPN. Di sini Anda dapat melihat detail tentang konfigurasi algoritma enkripsi tersebut, atau apakah log VPN terowongan diaktifkan. Anda juga dapat melihat status terowongan. Ini membantu Anda melacak masalah atau konflik apa pun yang mungkin Anda alami dengan koneksi VPN dengan lebih baik. 

**Untuk melihat pengaturan pencatatan terowongan saat ini**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih **koneksi Site-to-Site VPN**.

1. Pilih koneksi VPN yang ingin Anda lihat dari daftar **koneksi VPN**.

1. Pilih tab **Detail terowongan**.

1. Perluas **opsi Tunnel 1** dan bagian **opsi Tunnel 2** untuk melihat semua detail konfigurasi terowongan.

1. Anda dapat melihat fitur **log VPN Tunnel** status saat ini, dan grup CloudWatch log yang saat ini dikonfigurasi (jika ada) di bawah **grup CloudWatch log untuk log VPN terowongan** dan format keluaran log di bawah **Format keluaran untuk log VPN terowongan**.

1. Anda dapat melihat fitur **log Tunnel BGP status saat ini, dan grup log** yang saat ini dikonfigurasi CloudWatch (jika ada) di bawah **grup CloudWatch log untuk log VPN terowongan dan format keluaran log** di bawah Format keluaran **untuk log BGP terowongan**.

**Untuk melihat pengaturan pencatatan terowongan saat ini pada koneksi Site-to-Site VPN menggunakan baris AWS perintah atau API**
+ [DescribeVpnConnections](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnConnections.html) (Amazon EC2 Query API)
+ [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html) (AWS CLI)

# Aktifkan AWS Site-to-Site VPN log
<a name="enable-logs"></a>

Aktifkan log Site-to-Site VPN untuk mencatat aktivitas VPN, seperti status terowongan dan detail lainnya. Anda dapat mengaktifkan logging pada koneksi baru atau memodifikasi koneksi yang ada untuk memulai aktivitas logging. Jika Anda ingin menonaktifkan pencatatan untuk koneksi, lihat[Nonaktifkan log Site-to-Site VPN](disable-logs.md).

**catatan**  
Saat Anda mengaktifkan log Site-to-Site VPN untuk terowongan koneksi VPN yang ada, konektivitas Anda melalui terowongan itu dapat terganggu selama beberapa menit. Namun, setiap koneksi VPN menawarkan dua terowongan untuk ketersediaan tinggi, sehingga Anda dapat mengaktifkan logging pada satu terowongan pada satu waktu sambil mempertahankan konektivitas melalui terowongan yang tidak dimodifikasi. Untuk informasi selengkapnya, lihat [AWS Site-to-Site VPN penggantian titik akhir terowongan](endpoint-replacements.md).

**Untuk mengaktifkan logging VPN selama pembuatan koneksi Site-to-Site VPN baru**  
Ikuti prosedur [Langkah 5: Buat koneksi VPN](SetUpVPNConnections.md#vpn-create-vpn-connection). Selama Langkah 9 **Opsi Tunnel**, Anda dapat menentukan semua opsi yang ingin Anda gunakan untuk kedua terowongan, termasuk opsi **pencatatan VPN**. Untuk informasi selengkapnya tentang opsi ini, lihat [Opsi terowongan untuk AWS Site-to-Site VPN koneksi Anda](VPNTunnels.md).

**Untuk mengaktifkan log terowongan pada koneksi Site-to-Site VPN baru menggunakan baris AWS perintah atau API**
+ [CreateVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnConnection.html) (Amazon EC2 Query API)
+ [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html) (AWS CLI)

**Untuk mengaktifkan log aktivitas terowongan pada koneksi Site-to-Site VPN yang ada**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih **koneksi Site-to-Site VPN**.

1. Pilih koneksi VPN yang ingin Anda modifikasi dari daftar **koneksi VPN**.

1. Pilih **Tindakan**, **Ubah opsi terowongan VPN**.

1. Pilih terowongan yang ingin Anda modifikasi dengan memilih alamat IP yang sesuai dari **terowongan VPN di luar daftar alamat IP**.

1. Di bawah **Log aktivitas terowongan**, pilih **Aktifkan**.

1. Di bawah **grup CloudWatch log Amazon**, pilih grup CloudWatch log Amazon tempat Anda ingin log dikirim.

1. (Opsional) Di bawah **Format output**, pilih format yang diinginkan untuk output log, baik **json** atau **teks**.

1. Pilih **Simpan perubahan**.

1. (Opsional) Ulangi langkah 4 hingga 9 untuk terowongan lain jika diinginkan.

**Untuk mengaktifkan terowongan BGP logging pada koneksi VPN yang ada Site-to-Site**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih **koneksi Site-to-Site VPN**.

1. Pilih koneksi VPN yang ingin Anda modifikasi dari daftar **koneksi VPN**.

1. Pilih **Tindakan**, **Ubah opsi terowongan VPN**.

1. Pilih terowongan yang ingin Anda modifikasi dengan memilih alamat IP yang sesuai dari **terowongan VPN di luar daftar alamat IP**.

1. **Di bawah **log Tunnel BGP**, pilih Aktifkan.**

1. Di bawah **grup CloudWatch log Amazon**, pilih grup CloudWatch log Amazon tempat Anda ingin log dikirim.

1. (Opsional) Di bawah **Format output**, pilih format yang diinginkan untuk output log, baik **json** atau **teks**.

1. Pilih **Simpan perubahan**.

1. (Opsional) Ulangi langkah 4 hingga 9 untuk terowongan lain jika diinginkan.

**Untuk mengaktifkan pencatatan terowongan pada koneksi Site-to-Site VPN yang ada menggunakan baris AWS perintah atau API**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html) (Amazon EC2 Query API)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)

# Nonaktifkan AWS Site-to-Site VPN log
<a name="disable-logs"></a>

Nonaktifkan VPN logging pada koneksi jika Anda tidak lagi ingin melacak aktivitas apa pun pada koneksi itu. Tindakan ini hanya menonaktifkan logging dan tidak memengaruhi hal lain untuk koneksi itu. Untuk mengaktifkan atau mengaktifkan kembali pencatatan pada koneksi, lihat[Aktifkan log Site-to-Site VPN](enable-logs.md).

**Untuk menonaktifkan log aktivitas terowongan pada koneksi Site-to-Site VPN**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih **Koneksi Site-to-Site VPN**.

1. Pilih koneksi VPN yang ingin Anda modifikasi dari daftar **koneksi VPN**.

1. Pilih **Tindakan**, **Ubah opsi terowongan VPN**.

1. Pilih terowongan yang ingin Anda modifikasi dengan memilih alamat IP yang sesuai dari **terowongan VPN di luar daftar alamat IP**.

1. Di bawah **Log aktivitas terowongan**, hapus **Aktifkan**.

1. Pilih **Simpan perubahan**.

1. (Opsional) Ulangi langkah 4 hingga 7 untuk terowongan lain jika diinginkan.

**Untuk menonaktifkan terowongan BGP logging pada koneksi VPN Site-to-Site**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih **Koneksi Site-to-Site VPN**.

1. Pilih koneksi VPN yang ingin Anda modifikasi dari daftar **koneksi VPN**.

1. Pilih **Tindakan**, **Ubah opsi terowongan VPN**.

1. Pilih terowongan yang ingin Anda modifikasi dengan memilih alamat IP yang sesuai dari **terowongan VPN di luar daftar alamat IP**.

1. **Di bawah **log Tunnel BGP**, hapus Aktifkan.**

1. Pilih **Simpan perubahan**.

1. (Opsional) Ulangi langkah 4 hingga 7 untuk terowongan lain jika diinginkan.

**Untuk menonaktifkan pencatatan terowongan pada koneksi Site-to-Site VPN menggunakan baris AWS perintah atau API**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html) (Amazon EC2 Query API)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)

# Memantau AWS Site-to-Site VPN terowongan menggunakan Amazon CloudWatch
<a name="monitoring-cloudwatch-vpn"></a>

Anda dapat memantau terowongan VPN menggunakan CloudWatch, yang mengumpulkan dan memproses data mentah dari layanan VPN menjadi metrik yang dapat dibaca, mendekati waktu nyata. Statistik ini dicatat untuk jangka waktu 15 bulan, sehingga Anda dapat mengakses informasi historis dan mendapatkan perspektif yang lebih baik tentang performa aplikasi atau layanan web Anda. Data metrik VPN dikirim secara otomatis CloudWatch saat tersedia.

Untuk informasi selengkapnya, lihat [Panduan CloudWatch Pengguna Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).

**Topics**
+ [Metrik dan dimensi VPN](#metrics-dimensions-vpn)
+ [Lihat CloudWatch metrik VPN](viewing-metrics.md)
+ [Buat CloudWatch alarm untuk memantau terowongan VPN](creating-alarms-vpn.md)

## Metrik dan dimensi VPN
<a name="metrics-dimensions-vpn"></a>

 CloudWatch Metrik berikut tersedia untuk koneksi Site-to-Site VPN Anda.


| Metrik | Deskripsi | 
| --- | --- | 
|  `TunnelState`  |  Status terowongan. Untuk statis VPNs, 0 menunjukkan DOWN dan 1 menunjukkan UP. Untuk BGP VPNs, 1 menunjukkan DITETAPKAN dan 0 digunakan untuk semua negara bagian lainnya. Untuk kedua jenis VPNs, nilai antara 0 dan 1 menunjukkan setidaknya satu terowongan tidak UP. Unit: nilai pecahan antara 0 dan 1   | 
|  `TunnelDataIn` †  |  Byte yang diterima di AWS sisi koneksi melalui terowongan VPN dari gateway pelanggan. Setiap titik data metrik mewakili jumlah byte yang diterima setelah titik data sebelumnya. Menggunakan statistik Sum untuk menunjukkan jumlah total byte yang diterima selama periode tersebut. Metrik ini menghitung data setelah dekripsi. Unit: Byte  | 
|  `TunnelDataOut` †  |  Byte dikirim dari AWS sisi koneksi melalui terowongan VPN ke gateway pelanggan. Setiap titik data metrik mewakili jumlah byte yang dikirim setelah titik data sebelumnya. Menggunakan Statistik Sum untuk menunjukkan jumlah total byte yang dikirimkan selama periode tersebut. Metrik ini menghitung data sebelum enkripsi. Unit: Byte  | 
|  `ConcentratorBandwidthUsage`  |  Penggunaan bandwidth untuk koneksi Site-to-Site VPN Concentrator. Metrik ini tersedia untuk koneksi VPN yang menggunakan Konsentrator Site-to-Site VPN. Gunakan statistik Rata-rata untuk menunjukkan penggunaan bandwidth rata-rata selama periode tersebut. Unit: Bit per detik  | 

† Metrik ini dapat melaporkan penggunaan jaringan bahkan ketika terowongan sedang down. Ini karena pemeriksaan status berkala yang dilakukan di terowongan, dan permintaan ARP dan BGP latar belakang.

Untuk memfilter data metrik, gunakan dimensi berikut.


| Dimensi | Deskripsi | 
| --- | --- | 
| `VpnId` |  Memfilter data metrik dengan ID koneksi Site-to-Site VPN.  | 
| `TunnelIpAddress` |  Mem-filter data metrik berdasarkan alamat IP terowongan untuk virtual private gateway.  | 

# Lihat metrik CloudWatch Log Amazon untuk AWS Site-to-Site VPN
<a name="viewing-metrics"></a>

Saat Anda membuat koneksi Site-to-Site VPN, layanan VPN mengirimkan metrik tentang koneksi VPN Anda CloudWatch, saat tersedia. Anda dapat melihat metrik untuk koneksi VPN Anda sebagai berikut.

**Untuk melihat metrik menggunakan konsol CloudWatch**

Metrik dikelompokkan terlebih dahulu berdasarkan namespace layanan, lalu berdasarkan berbagai kombinasi dimensi dalam setiap namespace.

1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Pada panel navigasi, silakan pilih **Metrik**.

1. Di bawah **Semua metrik**, pilih namespace metrik **VPN**.

1. Pilih dimensi metrik untuk melihat metrik— misalnya, **Metrik Terowongan VPN**.

**catatan**  
Namespace VPN tidak akan muncul di CloudWatch konsol sampai setelah koneksi Site-to-Site VPN dibuat di AWS wilayah yang Anda lihat.

**Untuk melihat metrik menggunakan AWS CLI**  
Pada prompt perintah, gunakan perintah berikut:

```
aws cloudwatch list-metrics --namespace "AWS/VPN"
```

# Buat CloudWatch alarm Amazon untuk memantau AWS Site-to-Site VPN terowongan
<a name="creating-alarms-vpn"></a>

Anda dapat membuat CloudWatch alarm yang mengirimkan pesan Amazon SNS saat alarm berubah status. Alarm mengawasi satu metrik selama periode waktu yang Anda tentukan, dan mengirimkan notifikasi ke topik Amazon SNS berdasarkan nilai metrik relatif terhadap ambang batas tertentu selama beberapa periode waktu. 

Misalnya, Anda dapat membuat alarm yang memantau status terowongan VPN tunggal, dan mengirimkan pemberitahuan ketika status terowongan TURUN selama 3 titik data dalam waktu 15 menit.

**Untuk membuat alarm untuk status terowongan tunggal**

1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Di panel navigasi, perluas **Alarm, lalu pilih **Semua** alarm**.

1. Pilih **Buat alarm**, lalu pilih **Pilih metrik**.

1. Pilih **VPN**, lalu **Metrik Terowongan VPN**.

1. Pilih alamat IP terowongan yang diinginkan, pada baris yang sama dengan **TunnelState**metrik. Pilih **Pilih Metrik**.

1. Untuk **Kapan TunnelState pun...** , pilih **Turunkan**, lalu masukkan “1" di bidang input di bawah **dari...** .

1. Di bawah **Konfigurasi tambahan**, atur input ke “3 dari 3" untuk **Datapoint** ke alarm.

1. Pilih **Berikutnya**.

1. Di bawah **Kirim pemberitahuan ke topik SNS berikut**, pilih daftar notifikasi yang ada atau buat yang baru.

1. Pilih **Berikutnya**.

1. Masukkan nama untuk alarm Anda. Pilih **Berikutnya**. 

1. Periksa pengaturan untuk alarm Anda, dan kemudian pilih **Buat alarm**.

Anda dapat membuat alarm yang memantau keadaan koneksi Site-to-Site VPN. Misalnya, Anda dapat membuat alarm yang mengirimkan notifikasi saat salah satu atau kedua status terowongan tersebut TURUN selama satu periode 5 menit.

**Untuk membuat alarm untuk status koneksi Site-to-Site VPN**

1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Di panel navigasi, perluas **Alarm, lalu pilih **Semua** alarm**.

1. Pilih **Buat alarm**, lalu pilih **Pilih metrik**.

1. Pilih **VPN** dan kemudian pilih **Metrik Koneksi VPN**.

1. Pilih koneksi Site-to-Site VPN Anda dan **TunnelState**metriknya. Pilih **Pilih Metrik**.

1. Untuk **Statistik**, tentukan **Maksimum**.

   Atau, jika Anda telah mengonfigurasi koneksi Site-to-Site VPN Anda sehingga kedua terowongan aktif, Anda dapat menentukan statistik **Minimum** untuk mengirim pemberitahuan ketika setidaknya satu terowongan sedang down.

1. Untuk **Kapan pun**, pilih **Lebih rendah/sama** (**<=**) dan masukkan **0** (atau **0,5** untuk setidaknya saat satu terowongan turun). Pilih **Berikutnya**.

1. Di bawah **Pilih topik SNS**, pilih daftar notifikasi yang ada atau pilih **Daftar baru** untuk membuat yang baru. Pilih **Berikutnya**.

1. Masukkan nama dan deskripsi untuk alarm. Pilih **Berikutnya**. 

1. Periksa pengaturan untuk alarm Anda, dan kemudian pilih **Buat alarm**.

Anda juga dapat membuat alarm yang memantau jumlah lalu lintas yang masuk atau meninggalkan terowongan VPN. Misalnya, alarm berikut memantau jumlah lalu lintas yang masuk ke terowongan VPN dari jaringan Anda, dan mengirimkan notifikasi ketika jumlah byte mencapai ambang batas 5.000.000 selama periode 15 menit.

**Membuat alarm untuk lalu lintas jaringan masuk**

1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Di panel navigasi, perluas **Alarm, lalu pilih **Semua** alarm**.

1. Pilih **Buat alarm**, lalu pilih **Pilih metrik**.

1. Pilih **VPN**, lalu pilih **Metrik Terowongan VPN**.

1. Pilih alamat IP terowongan VPN dan **TunnelDataIn**metrik. Pilih **Pilih Metrik**.

1. Untuk **Statistik**, tentukan **Jumlah**. 

1. Untuk **Periode**, pilih **15 Menit**.

1. Untuk **Kapan pun**, pilih **Besar/Sama** (**>=**) dan masukkan **5000000**. Pilih **Berikutnya**.

1. Di bawah **Pilih topik SNS**, pilih daftar notifikasi yang ada atau pilih **Daftar baru** untuk membuat yang baru. Pilih **Berikutnya**.

1. Masukkan nama dan deskripsi untuk alarm. Pilih **Berikutnya**. 

1. Periksa pengaturan untuk alarm Anda, dan kemudian pilih **Buat alarm**.

Alarm berikut memantau jumlah lalu lintas yang meninggalkan terowongan VPN ke jaringan Anda, dan mengirimkan notifikasi ketika jumlah byte kurang dari 1.000.000 selama periode 15 menit.

**Membuat alarm untuk lalu lintas jaringan keluar**

1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Di panel navigasi, perluas **Alarm, lalu pilih **Semua** alarm**.

1. Pilih **Buat alarm**, lalu pilih **Pilih metrik**.

1. Pilih **VPN**, lalu pilih **Metrik Terowongan VPN**.

1. Pilih alamat IP terowongan VPN dan **TunnelDataOut**metrik. Pilih **Pilih Metrik**.

1. Untuk **Statistik**, tentukan **Jumlah**. 

1. Untuk **Periode**, pilih **15 Menit**.

1. Untuk **Kapan pun**, pilih **Lebih Rendah/Sama** (**<=**) dan masukkan `1000000`. Pilih **Berikutnya**.

1. Di bawah **Pilih topik SNS**, pilih daftar notifikasi yang ada atau pilih **Daftar baru** untuk membuat yang baru. Pilih **Berikutnya**.

1. Masukkan nama dan deskripsi untuk alarm. Pilih **Berikutnya**. 

1. Periksa pengaturan untuk alarm Anda, dan kemudian pilih **Buat alarm**.

Untuk lebih banyak contoh pembuatan alarm, lihat [Membuat CloudWatch alarm Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) di * CloudWatch Panduan Pengguna Amazon*.

# AWS Health dan AWS Site-to-Site VPN acara
<a name="monitoring-vpn-health-events"></a>

AWS Site-to-Site VPN secara otomatis mengirimkan pemberitahuan ke [Dasbor Health](https://docs.aws.amazon.com/health/latest/ug/aws-health-dashboard-status.html). Dasbor ini tidak memerlukan pengaturan, dan siap digunakan untuk AWS pengguna yang diautentikasi. Anda dapat mengonfigurasi beberapa tindakan dalam menanggapi notifikasi kejadian melalui Dasbor Health.

 Dasbor Health Ini menyediakan jenis notifikasi berikut untuk koneksi VPN Anda:
+ [Notifikasi penggantian titik akhir terowongan](#tunnel-replacement-notifications)
+ [Notifikasi VPN terowongan tunggal](#single-tunnel-notifications)

## Notifikasi penggantian titik akhir terowongan
<a name="tunnel-replacement-notifications"></a>

Anda menerima **pemberitahuan penggantian titik akhir Tunnel** Dasbor Health ketika salah satu atau kedua titik akhir terowongan VPN di koneksi VPN Anda diganti. Sebuah titik akhir terowongan diganti ketika AWS melakukan pembaruan terowongan, atau saat Anda mengubah koneksi VPN Anda. Untuk informasi selengkapnya, lihat [AWS Site-to-Site VPN penggantian titik akhir terowongan](endpoint-replacements.md).

Ketika penggantian titik akhir terowongan selesai, AWS mengirimkan **pemberitahuan penggantian titik akhir Tunnel** melalui suatu Dasbor Health peristiwa.

## Notifikasi VPN terowongan tunggal
<a name="single-tunnel-notifications"></a>

Koneksi Site-to-Site VPN terdiri dari dua terowongan untuk redundansi. Kami sangat menyarankan agar Anda mengonfigurasi kedua terowongan untuk menyediakan banyak tempat. Jika koneksi VPN Anda memiliki satu terowongan ke atas tetapi yang lain tidak aktif selama lebih dari satu jam dalam sehari, Anda menerima **pemberitahuan terowongan tunggal VPN** *bulanan* melalui sebuah Dasbor Health acara. Acara ini akan diperbarui setiap hari dengan koneksi VPN baru yang terdeteksi sebagai terowongan tunggal, dengan pemberitahuan dikirim setiap minggu. Acara baru akan dibuat setiap bulan, yang akan menghapus koneksi VPN apa pun yang tidak lagi terdeteksi sebagai terowongan tunggal.