翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Site-to-Site VPN ログ
AWS Site-to-Site VPN ログを使用すると、Site-to-Site VPN デプロイをより詳細に把握できます。この機能を使用すると、IP Security (IPsec) トンネルの確立、Internet Key Exchange (IKE) ネゴシエーション、デッドピア検出 (DPD) プロトコルメッセージ、ボーダーゲートウェイプロトコル (BGP) ステータス、ルーティングの更新に関する詳細を提供する Site-to-Site VPN 接続ログにアクセスできます。
Site-to-Site VPN ログは Amazon CloudWatch Logs に発行できます。この機能により、単一の一貫した方法で、すべての Site-to-Site VPN 接続の詳細なログにアクセスして分析できます。
**Topics**
+ [
## Site-to-Site VPN ログの利点
](#log-benefits)
+ [
## Amazon CloudWatch Logs リソースポリシーのサイズ制限
](#cwl-policy-size)
+ [Site-to-Site VPN ログの内容](#log-contents)
+ [
## トンネル BGP ログのログ形式の例
](#example-bgp-logs)
+ [
## CloudWatch Logs に発行するための IAM 要件
](#publish-cw-logs)
+ [Site-to-Site VPN ログ設定を表示する](status-logs.md)
+ [Site-to-Site VPN ログを有効にする](enable-logs.md)
+ [Site-to-Site VPN ログを無効にする](disable-logs.md)
## Site-to-Site VPN ログの利点
+ **VPN のトラブルシューティングの簡素化:** Site-to-Site VPN ログは、 AWS とカスタマーゲートウェイデバイス間の設定の不一致を特定し、最初の VPN 接続の問題に対処するのに役立ちます。VPN 接続は、設定の誤り (不適切なタイムアウトの調整など) が原因で、時間の経過とともに断続的にフラップすることがあります。また、基盤となるトランスポートネットワークに問題 (インターネットの不安定など) が発生したり、ルーティングの変更やパスの障害によって VPN 経由の接続が中断されたりすることがあります。この機能により、断続的な接続障害の原因を正確に診断し、低レベルのトンネル設定を微調整して信頼性の高い動作を実現できます。
+ **一元化された AWS Site-to-Site VPN 可視性:** Site-to-Site VPN ログは、すべての Site-to-Site VPN 接続タイプにわたってトンネルアクティビティと BGP ルーティングログを提供できます。この機能により、単一の一貫した方法で、すべての Site-to-Site VPN 接続の詳細なログにアクセスして分析できます。
+ **セキュリティとコンプライアンス:** Site-to-Site VPN ログを Amazon CloudWatch Logs に送信して、VPN 接続のステータスと、時間の経過に伴うアクティビティを遡及的に分析できます。これはコンプライアンスおよび規制要件に準拠するのに役立ちます。
## Amazon CloudWatch Logs リソースポリシーのサイズ制限
CloudWatch Logs リソースポリシーは 5120 文字に制限されています。CloudWatch Logs は、ポリシーがこのサイズ制限に近づいていることを検出すると、`/aws/vendedlogs/` でスタートするロググループを自動的に有効にします。ログ記録を有効にする場合、Site-to-Site VPN は、指定するロググループで CloudWatch Logs リソースポリシーを更新する必要があります。CloudWatch Logs リソースポリシーのサイズ制限に達しないようにするには、ロググループ名の先頭にプレフィックスとして `/aws/vendedlogs/` を付けます。
## Site-to-Site VPN ログの内容
Site-to-Site VPN トンネルのアクティビティログに含まれる情報は以下のとおりです。ログストリームファイル名には、VpnConnectionID と TunnelOutsideIPAddress が使用されます。
| フィールド | 説明 |
| --- | --- |
| VpnLogCreationTimestamp (`event_timestamp`) | エポック時間形式のログ作成タイムスタンプ。 |
| VpnLogCreationTimestampReadable (`timestamp`) | 人間が読み取れる時間形式のログ作成タイムスタンプ。 |
| TunnelDPDEnabled (`dpd_enabled`) | デッドピア検出プロトコルの有効ステータス (True/False)。 |
| TunnelCGWNATTDetectionStatus (`nat_t_detected`) | カスタマーゲートウェイデバイスでの NAT-T の検出 (True/False)。 |
| TunnelIKEPhase1State (`ike_phase1_state`) | IKE フェーズ 1 プロトコル状態 (確立済み \$1 キー更新中 \$1 ネゴシエーション中 \$1 ダウン)。 |
| TunnelIKEPhase2State (ike\$1phase2\$1state) | IKE フェーズ 2 プロトコル状態 (確立済み \$1 キー更新中 \$1 ネゴシエーション中 \$1 ダウン)。 |
| VpnLogDetail (details) | IPsec、IKE、および DPD プロトコルの詳細メッセージ。 |
Site-to-Site VPN トンネル BGP ログには、次の情報が含まれています。ログストリームファイル名には、VpnConnectionID と TunnelOutsideIPAddress が使用されます。
| フィールド | 説明 |
| --- | --- |
| resource\$1id | ログが関連付けられているトンネルと VPN 接続を識別する一意の ID。 |
| event\$1timestamp | エポック時間形式のログ作成タイムスタンプ。 |
| timestamp | 人間が読み取れる時間形式のログ作成タイムスタンプ。 |
| 型 | BGP ログイベントのタイプ (BGPStatus \$1 RouteStatus)。 |
| ステータス | 特定のタイプのログイベントのステータス更新 (BGPStatus: UP \$1 DOWN) (RouteStatus: ADVERTISED \$1ルートがピアによってアドバタイズされました\$1 \$1 UPDATED: \$1既存のルートがピアによって更新されました\$1 \$1 WITHDRAWN: \$1ルートがピアによって取り消されました\$1) 。 |
| メッセージ | ログの偶数とステータスに関する追加の詳細を提供します。このフィールドは、BGPStatus が RouteStatus メッセージで交換されたルート属性をダウンしている理由を理解するのに役立ちます。 |
**Topics**
+ [
### IKEv1 エラーメッセージ
](#sample-log-ikev1)
+ [
### IKEv2 エラーメッセージ
](#sample-log-ikev2)
+ [
### IKEv2 ネゴシエーションメッセージ
](#sample-log-ikev2-negotiation)
+ [
### BGP ステータスメッセージ
](#sample-bgp-status-messages)
+ [
### ルートステータスメッセージ
](#sample-route-status-messages)
### IKEv1 エラーメッセージ
| メッセージ | 説明 |
| --- | --- |
| ピアが応答しない - ピア停止が宣言される | ピアが DPD メッセージに応答しなかったため、DPD タイムアウトアクションが強制されます。 |
| AWS 事前共有キーが無効であるため、トンネルペイロードの復号に失敗しました | 両方の IKE ピアに同じ事前共有キーを設定する必要があります。 |
| によって提案一致が見つかりませんでした AWS | フェーズ 1 で提案された属性 (暗号化、ハッシュ、DH グループ) は AWS VPN エンドポイントではサポートされていません。例: `3DES`。 |
| 一致する提案が見つかりませんでした。「提案が選択されていません」と通知される | IKE ピアのフェーズ 2 で正しい提案/ポリシーを設定する必要があることを通知するため、「提案が選択されていません」というエラーメッセージがピア間で交換されます。 |
| AWS SPI を使用したフェーズ 2 SA のトンネルが DELETE を受信しました: xxxx | CGW はフェーズ 2 の Delete\$1SA メッセージを送信しました。 |
| AWS トンネルが CGW から IKE\$1SA の DELETE を受信しました | CGW はフェーズ 1 の Delete\$1SA メッセージを送信しました。 |
### IKEv2 エラーメッセージ
| メッセージ | 説明 |
| --- | --- |
| AWS \$1retry\$1count\$1 の再送信後にトンネル DPD がタイムアウトしました | ピアが DPD メッセージに応答しなかったため、DPD タイムアウトアクションが強制されます。 |
| AWS トンネルが CGW から IKE\$1SA の DELETE を受信しました | ピアは親/IKE\$1SA に Delete\$1SA メッセージを送信しました。 |
| AWS SPI を使用したフェーズ 2 SA のトンネルが DELETE を受信しました: xxxx | ピアは CHILD\$1SA に Delete\$1SA メッセージを送信しました。 |
| AWS トンネルが (CHILD\$1REKEY) 衝突を CHILD\$1DELETE として検出しました | CGW は Active SA に Delete\$1SA メッセージを送信しました。このメッセージはキー変更中です。 |
| AWS 衝突が検出されたため、トンネル (CHILD\$1SA) 冗長 SA が削除されています | 衝突により、冗長 SA が生成されると、ピアは RFC に従ってノンス値と一致させた後で冗長 SA を閉じます。 |
| AWS フェーズ 1 を維持中にトンネルフェーズ 2 を確立できませんでした | 提案の誤りなどのネゴシエーションエラーにより、ピアは CHILD\$1SA を確立できませんでした。 |
| AWS: トラフィックセレクタ: TS\$1UNACCEPLABLE: レスポンダから受信 | ピアが不正なトラフィックセレクタ/暗号化ドメインを提案しました。ピアは、同一の正しい CIDR で設定する必要があります。 |
| AWS トンネルが応答として AUTHENTICATION\$1FAILED を送信しています | ピアは IKE\$1AUTH メッセージ内容の検証によりピアを認証できません |
| AWS トンネルが cgw: xxxx との事前共有キーの不一致を検出しました | 両方の IKE ピアに同じ事前共有キーを設定する必要があります。 |
| AWS トンネルタイムアウト: cgw: xxxx で確立されていないフェーズ 1 IKE\$1SA を削除する | ピアがネゴシエーションを進めていないため、半分開いている IKE\$1SA を削除しています |
| 一致する提案が見つかりませんでした。「提案が選択されていません」と通知される | IKE ピアには正しい提案を設定する必要があることを通知する、「提案が選択されていません」というエラーメッセージがピア間で交換されます。 |
| によって提案一致が見つかりませんでした AWS | フェーズ 1 またはフェーズ 2 (暗号化、ハッシュ、DH グループ) の提案された属性は、 などの AWS VPN エンドポイントではサポートされていません`3DES`。 |
### IKEv2 ネゴシエーションメッセージ
| メッセージ | 説明 |
| --- | --- |
| AWS CREATE\$1CHILD\$1SA のトンネル処理リクエスト (id=xxx) | AWS は CGW から CREATE\$1CHILD\$1SA リクエストを受信しました。 |
| AWS トンネルが CREATE\$1CHILD\$1SA のレスポンス (id=xxx) を送信しています | AWS は CREATE\$1CHILD\$1SA レスポンスを CGW に送信しています。 |
| AWS トンネルが CREATE\$1CHILD\$1SA のリクエストを送信しています (id=xxx) | AWS は CREATE\$1CHILD\$1SA リクエストを CGW に送信しています。 |
| AWS CREATE\$1CHILD\$1SA のトンネル処理レスポンス (id=xxx) | AWS が CREATE\$1CHILD\$1SA レスポンスフォーム CGW を受信しました。 |
### BGP ステータスメッセージ
BGP ステータスメッセージには、BGP セッションの状態遷移、プレフィックス制限の警告、制限違反、BGP セッション通知、BGP OPEN メッセージ、および特定の BGP セッションの BGP ネイバーの属性更新に関する情報が含まれます。
| メッセージ | BGP ステータス | 説明 |
| --- | --- | --- |
| AWS 側のピア BGP セッションの状態がアイドル状態から近隣 \$1ip: xxx\$1 との接続に変更されました | ダウン | AWS 側の BGP 接続状態が Connect に更新されました。 |
| AWS 側のピア BGP セッションの状態が近隣 \$1ip: xxx\$1 で Connect から OpenSent に変更されました | ダウン | AWS 側の BGP 接続状態が OpenSent に更新されました。 |
| AWS 側のピア BGP セッションの状態が OpenSent から OpenConfirm にネイバー \$1ip: xxx\$1 で変更されました | ダウン | AWS 側の BGP 接続状態が OpenConfirm に更新されました。 |
| AWS 側のピア BGP セッションの状態が OpenConfirm から近隣 \$1ip: xxx\$1 で確立済みに変更されました | UP | AWS 側の BGP 接続状態が Established に更新されました。 |
| AWS 側のピア BGP セッションの状態が、近傍 \$1ip: xxx\$1 の確立からアイドルに変更されました | ダウン | AWS 側の BGP 接続状態がアイドルに更新されました。 |
| AWS 側のピア BGP セッションの状態が、Connect から Active with neighbor \$1ip: xxx\$1 に変更されました | ダウン | AWS 側の BGP 接続状態が Connect から Active に移行しました。BGP セッションが Connect 状態でスタックしている場合は、CGW の TCP ポート 179 の可用性を確認します。 |
| AWS 側のピアが最大プレフィックス制限警告を報告しています - 近隣 \$1ip: xxx\$1 から \$1prefixes (count): xxx\$1 プレフィックスを受信しました。制限は \$1limit (数値): xxx\$1 です | UP | AWS 側は、CGW から受信したプレフィックスの数が許可された制限に近づくと、定期的にログメッセージを生成します。 |
| AWS 側のピアが最大プレフィックス制限を超えました - 近隣 \$1ip: xxx\$1 から \$1prefixes (count): xxx\$1 プレフィックスを受信しました。制限は \$1limit (数値): xxx\$1 です | ダウン | CGW から受信したプレフィックスの数が許容制限を超えた場合、AWS 側はログメッセージを生成します。 |
| AWS 側のピアが 6/1 (Cease/Maxim Number of Prefixes Reached) の通知を近隣 \$1ip: xxx\$1 に送信しました | ダウン | AWS 側は、プレフィックス制限違反により BGP セッションが終了したことを示す通知を CGW BGP ピアに送信しました。 |
| AWS 側のピアが近隣 \$1ip: xxx\$1 から 6/1 (終了/最大プレフィックス数到達) の通知を受信しました | ダウン | AWS 側は CGW ピアから、プレフィックス制限違反により BGP セッションが終了したことを示す通知を受信しました。 |
| AWS 側のピアが 6/2 (Cease/Administrative Shutdown) に通知を近隣 \$1ip: xxx\$1 に送信しました | ダウン | AWS 側は、BGP セッションが終了したことを示す通知を CGW BGP ピアに送信しました。 |
| AWS 側のピアが近隣 \$1ip: xxx\$1 から 6/2 (Cease/Administrative Shutdown) の通知を受信しました | ダウン | AWS 側は CGW ピアから BGP セッションが終了したことを示す通知を受信しました。 |
| AWS 側のピアが 6/3 (Cease/Peer Unconfigured) の通知を近隣 \$1ip: xxx\$1 に送信しました | ダウン | AWS 側は、ピアが設定されていないか、設定から削除されたことを示す通知を CGW ピアに送信しました。 |
| AWS 側のピアが近隣 \$1ip: xxx\$1 から 6/3 (Cease/Peer Unconfigured) の通知を受信しました | ダウン | AWS 側は CGW ピアから、ピアが設定されていないか、設定から削除されたことを示す通知を受信しました。 |
| AWS 側のピアが 6/4 (Cease/Administrative Reset) の通知を近隣 \$1ip: xxx\$1 に送信しました | ダウン | AWS 側は、BGP セッションがリセットされたことを示す通知を CGW BGP ピアに送信しました。 |
| AWS 側のピアが近隣 \$1ip: xxx\$1 から 6/4 (Cease/Administrative Reset) の通知を受信しました | ダウン | AWS 側は CGW ピアから BGP セッションがリセットされたことを示す通知を受信しました。 |
| AWS 側のピアが 6/5 (Cease/Connection Rejected) に通知を近隣 \$1ip: xxx\$1 に送信しました | ダウン | AWS 側は、BGP セッションが拒否されたことを示す通知を CGW BGP ピアに送信しました。 |
| AWS 側のピアが近隣 \$1ip: xxx\$1 から 6/5 (Cease/Connection Rejected) の通知を受信しました | ダウン | AWS 側は CGW ピアから BGP セッションが拒否されたことを示す通知を受信しました。 |
| AWS 側のピアが 6/6 (Cease/Other Configuration Change) に通知を近隣 \$1ip: xxx\$1 に送信しました | ダウン | AWS 側は、BGP セッション設定の変更が行われたことを示す通知を CGW BGP ピアに送信しました。 |
| AWS 側のピアが近隣 \$1ip: xxx\$1 から 6/6 (Cease/Other Configuration Change) の通知を受信しました | ダウン | AWS 側は CGW ピアから BGP セッション設定の変更が行われたことを示す通知を受信しました。 |
| AWS 側のピアが 6/7 (Cease/Connection Collision Resolution) の通知を近隣 \$1ip: xxx\$1 に送信しました | ダウン | AWS 側は、両方のピアが同時に接続を確立しようとしたときに接続の衝突を解決するために、CGW ピアに通知を送信しました。 |
| AWS 側のピアが近隣 \$1ip: xxx\$1 から 6/7 (Cease/Connection Collision Resolution) の通知を受信しました | ダウン | AWS 側は、両方のピアが同時に接続を確立しようとしたときに、接続の衝突が解決されたことを示す通知を CGW ピアから受信しました。 |
| AWS 側のピアが保留タイマーの有効期限が切れた通知を近隣 \$1ip: xxx\$1 に送信しました | ダウン | BGP 保留タイマーの有効期限が切れ、AWS 側から CGW に通知が送信されました。 |
| AWS 側のピアが近隣 \$1ip: xxx\$1 から不正な OPEN メッセージを検出しました。リモート AS は \$1asn: xxx\$1、予想 \$1asn: xxx\$1 | ダウン | AWS 側で、設定の不一致を示す不正な OPEN メッセージが CGW ピアから受信されていることが検出されました。 |
| AWS 側のピアが近隣 \$1ip: xxx\$1- バージョン 4、AS \$1asn: xxx\$1、ホールドタイム \$1holdtime (秒): xxx\$1、ルーター ID \$1id: xxx\$1\$1 から OPEN メッセージを受信しました | ダウン | AWS 側は、CGW ピアとの BGP セッションを開始するための BGP オープンメッセージを受信しました。 |
| AWS 側のピアが近隣 \$1ip: xxx\$1- バージョン 4、AS \$1asn: xxx\$1、ホールドタイム \$1holdtime (秒): xxx\$1、ルーター ID \$1id: xxx\$1 に OPEN メッセージを送信しました | ダウン | CGW ピアは BGP オープンメッセージを送信して、AWS 側の BGP ピアとの BGP セッションを開始しました。 |
| AWS 側のピアが (Connect 経由で) 近隣 \$1ip: xxx\$1 への接続を開始しています | ダウン | AWS 側が CGW BGP ネイバーに接続しようとしています。 |
| AWS 側のピアが近隣 \$1ip: xxx\$1 に End-of-RIB メッセージを送信しました | UP | AWS 側は、BGP セッションの確立後に CGW へのルートの送信を完了しました。 |
| AWS 側のピアが近隣 \$1ip: xxx\$1- AS パス: \$1aspath (リスト): xxx xxx xxx\$1 からの属性で更新を受信しました | UP | AWS 側が近隣から BGP セッション属性の更新を受信しました。 |
### ルートステータスメッセージ
BGP ステータスメッセージとは異なり、ルートステータスメッセージには、AS パス、ローカル設定、マルチエグジット識別子 (MED)、ネクストホップ IP アドレス、重みなど、特定のプレフィックスの BGP 属性に関するデータが含まれます。ルートステータスメッセージには、ADVERTISED、UPDATED、または WITHDRAWN のルートでエラーが発生した場合にのみ、詳細フィールドが含まれます。その例を以下に示します。
| メッセージ | 説明 |
| --- | --- |
| 「as-path contains our own AS」による拒否 | CGW からの新しいプレフィックスの BGP 更新メッセージは、AWS 側のピアが所有する AS を含むルートのため、AWS によって拒否されました。 |
| による拒否: 接続されていないネクストホップ | 接続されていないネクストホップ検証の失敗により、AWS は CGW からプレフィックスの BGP ルートアドバタイズを拒否しました。ルートが CGW 側で到達可能であることを確認します。 |
## トンネル BGP ログのログ形式の例
```
{
"resource_id": "vpn-1234abcd_1.2.3.4",
"event_timestamp": 1762580429641,
"timestamp": "2025-11-08 05:40:29.641Z",
"type": "BGPStatus",
"status": "UP",
"message": {
"details": "AWS-side peer BGP session state has changed from OpenConfirm to Established with neighbor 169.254.50.85"
}
}
{
"resource_id": "vpn-1234abcd_1.2.3.4",
"event_timestamp": 1762579573243,
"timestamp": "2025-11-08 05:26:13.243Z",
"type": "RouteStatus",
"status": "UPDATED",
"message": {
"prefix": "172.31.0.0/16",
"asPath": "64512",
"localPref": 100,
"med": 100,
"nextHopIp": "169.254.50.85",
"weight": 32768,
"details": "DENIED due to: as-path contains our own AS"
}
}
```
## CloudWatch Logs に発行するための IAM 要件
ログ機能が正しく動作するためには、機能の設定に使用されている IAM プリンシパルにアタッチされた IAM ポリシーに、少なくとも以下のアクセス許可が含まれている必要があります。詳細については、*Amazon CloudWatch Logs ユーザーガイド*」の[「特定の AWS サービスからのログ記録の有効化](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html)」セクションにも記載されています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Sid": "S2SVPNLogging"
},
{
"Sid": "S2SVPNLoggingCWL",
"Action": [
"logs:PutResourcePolicy",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
# AWS Site-to-Site VPN ログ設定の表示
Site-to-Site VPN 接続のアクティビティログを表示します。ここでは、暗号化アルゴリズムなどの設定の詳細や、トンネル VPN ログが有効になっているかどうかを確認できます。トンネルの状態を表示することもできます。これにより、VPN 接続で発生する可能性のある問題や競合をより効果的に追跡できます。
**現在のトンネルログ記録設定を表示するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. 表示する VPN 接続を **[VPN connections]** (VPN 接続) リストから選択します。
1. **[Tunnel details]** (トンネルの詳細) タブを選択します。
1. **[Tunnel 1 options]** (トンネル 1 オプション) セクションと **[Tunnel 2 options]** (トンネル 2 オプション) セクションを展開して、すべてのトンネル設定詳細を表示します。
1. 現在のステータス**のトンネル VPN ログ**機能、およびトンネル VPN ログの CloudWatch ロググループの下に**現在設定されている CloudWatch ロググループ (存在する場合)、およびトンネル VPN** **ログの出力形式**の下にログ出力形式を表示できます。
1. 現在のステータス**のトンネル BGP ログ**機能、およびトンネル VPN ログの CloudWatch ロググループの下に現在設定されている CloudWatch ロググループ (存在する場合)、およびトンネル **BGP ログの出力形式**の下にログ出力形式を表示できます。 **CloudWatch **
**AWS コマンドラインまたは API を使用して Site-to-Site VPN 接続の現在のトンネルログ記録設定を表示するには**
+ [DescribeVpnConnections](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnConnections.html) (Amazon EC2 Query API)
+ [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html) (AWS CLI)
# AWS Site-to-Site VPN ログを有効にする
Site-to-Site VPN ログを有効にして、トンネルの状態やその他の詳細などの VPN アクティビティを記録します。新しい接続でログ記録を有効にするか、既存の接続を変更してログ記録アクティビティを開始できます。接続のログ記録を無効にする場合は、「[Site-to-Site VPN ログを無効にする](disable-logs.md)」を参照してください。
**注記**
既存の VPN 接続トンネルで Site-to-Site VPN ログを有効にする場合、そのトンネルを介した接続が数分間中断される可能性があります。ただし、各 VPN 接続は高可用性を確保するために 2 つのトンネルを提供しているため、一度に 1 つのトンネルでログ記録を有効にし、変更していないトンネルを介して接続を維持できます。詳細については、「[AWS Site-to-Site VPN トンネルエンドポイントの置き換え](endpoint-replacements.md)」を参照してください。
**新しい Site-to-Site VPN 接続の作成中に VPN ログ記録を有効にするには**
[ステップ 5: VPN 接続を作成する](SetUpVPNConnections.md#vpn-create-vpn-connection) の手順に従います。ステップ 9 の「**トンネルオプション**」では、両方のトンネルで使用するすべてのオプション (**[VPN ログ記録]** オプションを含む) を指定できます。これらのパラメータの詳細については「[AWS Site-to-Site VPN 接続のトンネルオプション](VPNTunnels.md)」を参照してください。
**AWS コマンドラインまたは API を使用して新しい Site-to-Site VPN 接続でトンネルログ記録を有効にするには**
+ [CreateVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnConnection.html) (Amazon EC2 Query API)
+ [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html) (AWS CLI)
**既存の Site-to-Site VPN 接続でトンネルアクティビティのログ記録を有効にするには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. 変更する VPN 接続を **[VPN 接続]** リストから選択します。
1. **[アクション]**、**[VPN トンネルオプションを変更]** の順に選択します。
1. **[VPN tunnel outside IP address]** (IP アドレス外の VPN トンネル) リストから適切な IP アドレスを選択し、変更するトンネルを選択します。
1. **[Tunnel activity log]** (トンネルアクティビティログ) で、**[Enable]** (有効化) を選択します。
1. **[Amazon CloudWatch log group]** (Amazon CloudWatch ロググループ) で、ログを送信する先の Amazon CloudWatch ロググループを選択します。
1. (オプション) **[Output format]** (出力形式) で、希望するログ出力の形式 (**json** または**テキスト**) を選択します。
1. **[Save Changes]** (変更を保存) を選択します。
1. (オプション) 必要に応じて、他のトンネルに対してステップ 4〜9 を繰り返します。
**既存の Site-to-Site VPN 接続でトンネル BGP ログ記録を有効にするには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. 変更する VPN 接続を **[VPN 接続]** リストから選択します。
1. **[アクション]**、**[VPN トンネルオプションを変更]** の順に選択します。
1. **[IP アドレス外の VPN トンネル]** リストから適切な IP アドレスを選択し、変更するトンネルを選択します。
1. **トンネル BGP ログ**で、**有効化**を選択します。
1. **[Amazon CloudWatch log group]** (Amazon CloudWatch ロググループ) で、ログを送信する先の Amazon CloudWatch ロググループを選択します。
1. (オプション) **[Output format]** (出力形式) で、希望するログ出力の形式 (**json** または**テキスト**) を選択します。
1. **[Save Changes]** (変更を保存) を選択します。
1. (オプション) 必要に応じて、他のトンネルに対してステップ 4〜9 を繰り返します。
**AWS コマンドラインまたは API を使用して既存の Site-to-Site VPN 接続でトンネルログ記録を有効にするには**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html) (Amazon EC2 クエリ API)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)
# AWS Site-to-Site VPN ログを無効にする
その接続のアクティビティを追跡しなくなった場合は、その接続の VPN ログ記録を無効にします。このアクションはログ記録のみを無効にするため、その接続の他のものには影響しません。接続でログ記録を有効または再有効にするには、「[Site-to-Site VPN ログを有効にする](enable-logs.md)」を参照してください。
**Site-to-Site VPN 接続でトンネルアクティビティのログ記録を無効にするには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. 変更する VPN 接続を **[VPN 接続]** リストから選択します。
1. **[アクション]**、**[VPN トンネルオプションを変更]** の順に選択します。
1. **[IP アドレス外の VPN トンネル]** リストから適切な IP アドレスを選択し、変更するトンネルを選択します。
1. **[Tunnel activity log]** (トンネルアクティビティログ) で、**[Enable]** (有効化) を選択します。
1. **[Save Changes]** (変更を保存) を選択します。
1. (オプション) 必要に応じて、他のトンネルに対してステップ 4〜7 を繰り返します。
**Site-to-Site VPN 接続でトンネル BGP ログ記録を無効にするには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. 変更する VPN 接続を **[VPN 接続]** リストから選択します。
1. **[アクション]**、**[VPN トンネルオプションを変更]** の順に選択します。
1. **[IP アドレス外の VPN トンネル]** リストから適切な IP アドレスを選択し、変更するトンネルを選択します。
1. **トンネル BGP ログ**で、**有効化** をクリアします。
1. **[Save Changes]** (変更を保存) を選択します。
1. (オプション) 必要に応じて、他のトンネルに対してステップ 4〜7 を繰り返します。
**AWS コマンドラインまたは API を使用して Site-to-Site VPN 接続のトンネルログ記録を無効にするには**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html) (Amazon EC2 クエリ API)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)