기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Site-to-Site VPN 로그
AWS Site-to-Site VPN 로그는 Site-to-Site VPN 배포에 대한 심층적인 가시성을 제공합니다. 이 기능을 사용하면 IP 보안(IPsec) 터널 설정, 인터넷 키 교환(IKE) 협상, 데드 피어 감지(DPD) 프로토콜 메시지, Border Gateway 프로토콜(BGP) 상태 및 라우팅 업데이트에 대한 세부 정보를 제공하는 Site-to-Site VPN 연결 로그에 액세스할 수 있습니다.
Site-to-Site VPN 로그는 Amazon CloudWatch Logs에 게시할 수 있습니다. 이 기능은 고객이 모든 Site-to-Site VPN 연결에 대한 세부 로그를 액세스하고 분석할 수 있는 일관된 단일 방법을 제공합니다.
**Topics**
+ [Site-to-Site VPN 로그의 이점](#log-benefits)
+ [Amazon CloudWatch Logs 리소스 정책 크기 제한](#cwl-policy-size)
+ [Site-to-Site VPN 로그의 내용](#log-contents)
+ [터널 BGP 로그의 로그 형식 예](#example-bgp-logs)
+ [CloudWatch Logs에 게시하기 위한 IAM 요구 사항](#publish-cw-logs)
+ [Site-to-Site VPN 로그 구성 보기](status-logs.md)
+ [Site-to-Site VPN 로그 사용 설정](enable-logs.md)
+ [Site-to-Site VPN 로그 사용 중지](disable-logs.md)
## Site-to-Site VPN 로그의 이점
+ **간소화된 VPN 문제 해결:** Site-to-Site VPN 로그를 사용하면 AWS 와 고객 게이트웨이 디바이스 간의 구성 불일치를 정확히 파악하고 초기 VPN 연결 문제를 해결할 수 있습니다. 잘못 구성된 설정(예: 제한 시간이 잘못 조정됨)으로 인해 VPN 연결이 시간이 지남에 따라 간헐적으로 플랩되거나, 기본 전송 네트워크(예: 인터넷 날씨)에 문제가 있거나, 라우팅 변경 또는 경로 오류로 인해 VPN을 통한 연결이 중단될 수 있습니다. 이 기능을 사용하면 간헐적인 연결 실패의 원인을 정확하게 진단하고 안정적인 작동을 위해 저수준 터널 구성을 미세 조정할 수 있습니다.
+ **중앙 집중식 AWS Site-to-Site VPN 가시성:** Site-to-Site VPN 로그는 모든 Site-to-Site VPN 연결 유형에서 터널 활동 및 BGP 라우팅 로그를 제공할 수 있습니다. 이 기능은 고객이 모든 Site-to-Site VPN 연결에 대한 세부 로그를 액세스하고 분석할 수 있는 일관된 단일 방법을 제공합니다.
+ **보안 및 규정 준수:** Site-to-Site VPN 로그를 Amazon CloudWatch Logs로 전송하여 시간 경과에 따른 VPN 연결 상태 및 활동을 소급적으로 분석할 수 있습니다. 이렇게 하면 규정 준수 및 규제 요구 사항을 충족할 수 있습니다.
## Amazon CloudWatch Logs 리소스 정책 크기 제한
CloudWatch Logs 리소스 정책은 5,120자로 제한됩니다. CloudWatch Logs는 정책이 이 크기 제한에 도달하는 것을 감지하면 `/aws/vendedlogs/`로 시작하는 로그 그룹을 자동으로 활성화합니다. 로깅을 활성화하는 경우 Site-to-Site VPN이 지정된 로그 그룹으로 CloudWatch Logs 리소스 정책을 업데이트해야 합니다. CloudWatch Logs 리소스 정책 크기 제한에 도달하는 것을 방지하려면 로그 그룹 이름에 접두사 `/aws/vendedlogs/`를 추가합니다.
## Site-to-Site VPN 로그의 내용
Site-to-Site VPN 터널 활동 로그에는 다음 정보가 포함됩니다. 로그 스트림 파일 이름은 VpnConnectionID 및 TunnelOutsideIPAddress를 사용합니다.
| 필드 | 설명 |
| --- | --- |
| VpnLogCreationTimestamp(`event_timestamp`) | epoch 시간 형식의 로그 생성 타임스탬프입니다. |
| VpnLogCreationTimestampReadable(`timestamp`) | 사람이 읽을 수 있는 시간 형식의 로그 생성 타임스탬프입니다. |
| TunnelDPDEnabled(`dpd_enabled`) | DPD(Dead Peer Detection) 프로토콜 사용 상태(True/False)입니다. |
| TunnelCGWNATTDetectionStatus(`nat_t_detected`) | 고객 게이트웨이 디바이스에서 NAT-T가 감지되었는지 여부입니다(True/False). |
| TunnelIKEPhase1State(`ike_phase1_state`) | IKE 1단계 프로토콜 상태(설정됨 \$1 키 재지정 \$1 협상 \$1 중단)입니다. |
| TunnelIKEPhase2State(ike\$1phase2\$1state) | IKE 2단계 프로토콜 상태(설정됨 \$1 키 재지정 \$1 협상 \$1 중단)입니다. |
| VpnLogDetail(details) | IPSec, IKE 및 DPD 프로토콜에 대한 자세한 메시지입니다. |
Site-to-Site VPN 터널 BGP 로그에는 다음 정보가 포함됩니다. 로그 스트림 파일 이름은 VpnConnectionID 및 TunnelOutsideIPAddress를 사용합니다.
| 필드 | 설명 |
| --- | --- |
| resource\$1id | 로그가 연결된 터널 및 VPN 연결을 식별하기 위한 고유 ID입니다. |
| event\$1timestamp | epoch 시간 형식의 로그 생성 타임스탬프입니다. |
| timestamp | 사람이 읽을 수 있는 시간 형식의 로그 생성 타임스탬프입니다. |
| type | BGP 로그 이벤트 유형(BGPStatus \$1 RouteStatus). |
| status | 특정 유형의 로그 이벤트에 대한 상태 업데이트(BGPStatus: UP \$1 DOWN)(RouteStatus: ADVERTISED \$1route was advertised by the peer\$1 \$1 UPDATED: \$1기존 경로가 피어에 의해 업데이트됨\$1 \$1 WITHDRAWN: \$1route was withdraw by peer\$1) . |
| message | 로그 짝수 및 상태에 대한 추가 세부 정보를 제공합니다. 이 필드는 BGPStatus가 RouteStatus 메시지에서 교환된 라우팅 속성이 다운된 이유를 이해하는 데 도움이 됩니다. |
**Topics**
+ [IKEv1 오류 메시지](#sample-log-ikev1)
+ [IKEv2 오류 메시지](#sample-log-ikev2)
+ [IKEv2 협상 메시지](#sample-log-ikev2-negotiation)
+ [BGP 상태 메시지](#sample-bgp-status-messages)
+ [라우팅 상태 메시지](#sample-route-status-messages)
### IKEv1 오류 메시지
| 메시지 | 설명 |
| --- | --- |
| Peer is not responsive - Declaring peer dead(피어가 응답하지 않음 - 피어 작동 중지 선언) | 피어가 DPD 메시지에 응답하지 않아 DPD 시간 초과 조치가 적용되었습니다. |
| AWS 잘못된 사전 공유 키로 인해 터널 페이로드 복호화에 실패했습니다. | 두 IKE 피어 모두에서 동일한 사전 공유 키를 구성해야 합니다. |
| 에서 제안 일치를 찾을 수 없음 AWS | 1단계에 대해 제안된 속성(암호화, 해싱 및 DH 그룹)이 AWS VPN 엔드포인트에서 지원되지 않습니다(예: `3DES`). |
| No Proposal Match Found(일치하는 제안 항목을 찾을 수 없음). Notifying with "No proposal chosen"('선택한 제안 항목 없음'으로 알림) | IKE 피어의 2단계에 대해 올바른 제안 항목/정책을 구성해야 함을 알리는 No Proposal Chosen(선택한 제안 항목 없음) 오류 메시지가 피어 간에 교환됩니다. |
| AWS SPI가 xxxx인 2단계 SA에 대한 터널 수신 DELETE | CGW에서 2단계에 대한 Delete\$1SA 메시지를 보냈습니다. |
| AWS 터널이 CGW에서 IKE\$1SA용 DELETE 수신 | CGW에서 1단계에 대한 Delete\$1SA 메시지를 보냈습니다. |
### IKEv2 오류 메시지
| 메시지 | 설명 |
| --- | --- |
| AWS \$1retry\$1count\$1 재전송 후 터널 DPD 시간 초과 | 피어가 DPD 메시지에 응답하지 않아 DPD 시간 초과 조치가 적용되었습니다. |
| AWS 터널이 CGW에서 IKE\$1SA용 DELETE 수신 | 피어에서 Parent/IKE\$1SA에 대한 Delete\$1SA 메시지를 보냈습니다. |
| AWS SPI가 xxxx인 2단계 SA에 대한 터널 수신 DELETE | 피어에서 CHILD\$1SA에 대한 Delete\$1SA 메시지를 보냈습니다. |
| AWS 터널이 CHILD\$1DELETE로 (CHILD\$1REKEY) 충돌을 감지했습니다. | CGW에서 키가 다시 입력되는 활성 SA에 대해 Delete\$1SA 메시지를 보냈습니다. |
| AWS 터널(CHILD\$1SA) 중복 SA가 감지된 충돌로 인해 삭제되고 있습니다. | 충돌로 인해 중복 SA가 생성되면 피어들은 RFC에 따라 임시 값을 일치시킨 후 중복 SA를 닫습니다. |
| AWS 1단계를 유지하면서 터널 2단계를 설정할 수 없음 | 피어가 협상 오류(예: 잘못된 제안 항목)로 인해 CHILD\$1SA를 설정하지 못했습니다. |
| AWS: Traffic Selector: TS\$1UNACCEPTABLE: received from responder(트래픽 선택기: TS\$1UNAPLABLE: 응답자로부터 수신됨) | 피어가 잘못된 트래픽 선택기/암호화 도메인을 제안했습니다. 피어들을 동일하고 올바른 CIDR로 구성해야 합니다. |
| AWS 터널이 응답으로 AUTHENTICATION\$1FAILED를 전송하고 있습니다. | 피어가 IKE\$1AUTH 메시지 내용을 확인하여 피어를 인증할 수 없습니다. |
| AWS 터널이 cgw: xxxx와 사전 공유 키 불일치를 감지했습니다. | 두 IKE 피어 모두에서 동일한 사전 공유 키를 구성해야 합니다. |
| AWS 터널 제한 시간: cgw: xxxx를 사용하여 설정되지 않은 1단계 IKE\$1SA 삭제 | 협상에서 반개방된 IKE\$1SA를 피어로 삭제하는 작업이 진행되지 않았습니다. |
| No Proposal Match Found(일치하는 제안 항목을 찾을 수 없음). Notifying with "No proposal chosen"('선택한 제안 항목 없음'으로 알림) | IKE 피어에 대해 올바른 제안 항목을 구성해야 함을 알리는 No Proposal Chosen(선택한 제안 항목 없음) 오류 메시지가 피어 간에 교환됩니다. |
| 에서 제안 일치를 찾을 수 없음 AWS | 1단계 또는 2단계(암호화, 해싱 및 DH 그룹)에 대해 제안된 속성은 AWS VPN 엔드포인트에서 지원되지 않습니다. 예: `3DES`. |
### IKEv2 협상 메시지
| 메시지 | 설명 |
| --- | --- |
| AWS CREATE\$1CHILD\$1SA에 대한 터널 처리 요청(id=xxx) | AWS 가 CGW로부터 CREATE\$1CHILD\$1SA 요청을 수신했습니다. |
| AWS 터널이 CREATE\$1CHILD\$1SA에 대한 응답(id=xxx)을 보내고 있음 | AWS 가 CREATE\$1CHILD\$1SA 응답을 CGW로 보내고 있습니다. |
| AWS 터널이 CREATE\$1CHILD\$1SA에 대한 요청(id=xxx)을 보내고 있음 | AWS 가 CREATE\$1CHILD\$1SA 요청을 CGW로 보내고 있습니다. |
| AWS CREATE\$1CHILD\$1SA에 대한 터널 처리 응답(id=xxx) | AWS 가 CREATE\$1CHILD\$1SA 응답 양식 CGW를 수신했습니다. |
### BGP 상태 메시지
BGP 상태 메시지에는 지정된 BGP 세션의 BGP 이웃에 대한 BGP 세션 상태 전환, 접두사 제한 경고, 제한 위반, BGP 세션 알림, BGP OPEN 메시지 및 속성 업데이트와 관련된 정보가 포함됩니다.
| 메시지 | BGP 상태 | 설명 |
| --- | --- | --- |
| AWS 측 피어 BGP 세션 상태가 유휴에서 이웃과 연결 \$1ip: xxx\$1로 변경되었습니다. | 다운 | AWS 측의 BGP 연결 상태가 연결로 업데이트되었습니다. |
| AWS 측 피어 BGP 세션 상태가 이웃이 \$1ip: xxx\$1인 Connect에서 OpenSent로 변경되었습니다. | 다운 | AWS 측의 BGP 연결 상태가 OpenSent로 업데이트되었습니다. |
| AWS 측 피어 BGP 세션 상태가 이웃이 \$1ip: xxx\$1인 OpenSent에서 OpenConfirm으로 변경되었습니다. | 다운 | AWS 측의 BGP 연결 상태가 OpenConfirm으로 업데이트되었습니다. |
| AWS 측 피어 BGP 세션 상태가 OpenConfirm에서 이웃 \$1ip: xxx\$1으로 설정됨으로 변경되었습니다. | UP | AWS 측의 BGP 연결 상태가 설정됨으로 업데이트되었습니다. |
| AWS 측 피어 BGP 세션 상태가 설정됨에서 이웃이 \$1ip: xxx\$1인 유휴로 변경되었습니다. | 다운 | AWS 측의 BGP 연결 상태가 유휴로 업데이트되었습니다. |
| AWS 측 피어 BGP 세션 상태가 이웃이 \$1ip: xxx\$1인 연결에서 활성으로 변경되었습니다. | 다운 | AWS 측의 BGP 연결 상태가 연결에서 활성으로 전환되었습니다. BGP 세션이 연결 상태로 멈춘 경우 CGW에서 TCP 포트 179 가용성을 확인합니다. |
| AWS 측 피어가 최대 접두사 제한 경고를 보고함 - 이웃 \$1ip: xxx\$1에서 \$1prefixes (count): xxx\$1 접두사를 수신함 \$1limit (numeric): xxx\$1 | UP | AWS 측은 CGW에서 수신한 접두사 수가 허용 한도에 가까워지면 주기적으로 로그 메시지를 생성합니다. |
| AWS 측 피어가 최대 접두사 제한을 초과했음을 감지함 - 이웃 \$1ip: xxx\$1에서 \$1prefixes (count): xxx\$1 접두사를 수신함, 제한은 \$1limit (numeric): xxx\$1 | 다운 | AWS 측은 CGW에서 수신한 접두사 수가 허용 한도를 초과하면 로그 메시지를 생성합니다. |
| AWS 측 피어가 이웃 \$1ip: xxx\$1에 6/1(Cease/Maximum Number of Prefixes Reached) 알림을 보냈습니다. | 다운 | AWS 측은 접두사 제한 위반으로 인해 BGP 세션이 종료되었음을 나타내는 알림을 CGW BGP 피어에 보냈습니다. |
| AWS 측 피어가 이웃 \$1ip: xxx\$1로부터 6/1(Cease/Maximum Number of Prefixes Reached) 알림을 수신했습니다. | 다운 | AWS 측은 접두사 제한 위반으로 인해 BGP 세션이 종료되었음을 나타내는 알림을 CGW 피어로부터 받았습니다. |
| AWS 측 피어가 이웃 \$1ip: xxx\$1에게 6/2(Cease/Administrative Shutdown) 알림을 보냈습니다. | 다운 | AWS 측은 CGW BGP 피어에 BGP 세션이 종료되었음을 알리는 알림을 보냈습니다. |
| AWS 측 피어가 이웃 \$1ip: xxx\$1로부터 6/2(Cease/Administrative Shutdown) 알림을 수신함 | 다운 | AWS 측은 CGW 피어로부터 BGP 세션이 종료되었음을 알리는 알림을 받았습니다. |
| AWS 측 피어가 이웃 \$1ip: xxx\$1에 6/3(Cease/Peer Un configured) 알림을 보냈습니다. | 다운 | AWS 측은 CGW 피어에 피어가 구성되지 않았거나 구성에서 제거되었음을 나타내는 알림을 보냈습니다. |
| AWS 측 피어가 이웃 \$1ip: xxx\$1로부터 6/3(Cease/Peer Un configured) 알림을 수신했습니다. | 다운 | AWS 측은 CGW 피어로부터 피어가 구성되지 않았거나 구성에서 제거되었음을 알리는 알림을 받았습니다. |
| AWS 측 피어가 이웃 \$1ip: xxx\$1에게 6/4(Cease/Administrative Reset) 알림을 보냈습니다. | 다운 | AWS 측은 CGW BGP 피어에 BGP 세션이 재설정되었음을 알리는 알림을 보냈습니다. |
| AWS 측 피어가 이웃 \$1ip: xxx\$1로부터 6/4(Cease/Administrative Reset) 알림을 수신함 | 다운 | AWS 측은 CGW 피어로부터 BGP 세션이 재설정되었음을 알리는 알림을 받았습니다. |
| AWS 측 피어가 이웃 \$1ip: xxx\$1에게 6/5(Cease/Connection Rejected) 알림을 보냈습니다. | 다운 | AWS 측은 CGW BGP 피어에 BGP 세션이 거부되었음을 알리는 알림을 보냈습니다. |
| AWS 측 피어가 이웃 \$1ip: xxx\$1로부터 6/5(Cease/Connection Rejected) 알림을 수신했습니다. | 다운 | AWS 측은 CGW 피어로부터 BGP 세션이 거부되었음을 알리는 알림을 받았습니다. |
| AWS 측 피어가 이웃 \$1ip: xxx\$1에게 6/6(Cease/Other Configuration Change) 알림을 보냈습니다. | 다운 | AWS 측은 CGW BGP 피어에 BGP 세션 구성 변경이 발생했음을 알리는 알림을 보냈습니다. |
| AWS 측 피어가 이웃 \$1ip: xxx\$1로부터 6/6(Cease/Other Configuration Change) 알림을 수신함 | 다운 | AWS 측은 CGW 피어로부터 BGP 세션 구성 변경이 발생했음을 나타내는 알림을 받았습니다. |
| AWS 측 피어가 이웃 \$1ip: xxx\$1에 6/7(Cease/Connection Collision Resolution) 알림을 보냈습니다. | 다운 | AWS 측은 두 피어가 동시에 연결을 설정하려고 할 때 연결 충돌을 해결하기 위해 CGW 피어에 알림을 보냈습니다. |
| AWS 측 피어가 이웃 \$1ip: xxx\$1로부터 6/7(Cease/Connection Collision Resolution) 알림을 수신했습니다. | 다운 | AWS 측은 두 피어가 동시에 연결을 설정하려고 할 때 연결 충돌의 해결을 나타내는 알림을 CGW 피어로부터 수신했습니다. |
| AWS 측 피어가 이웃 \$1ip: xxx\$1에게 홀드 타이머 만료 알림을 보냈습니다. | 다운 | BGP 보류 타이머가 만료되었으며 AWS 측에서 CGW로 알림을 보냈습니다. |
| AWS 측 피어가 이웃 \$1ip: xxx\$1에서 잘못된 OPEN 메시지를 감지했습니다. 원격 AS는 \$1asn: xxx\$1, 예상 \$1asn: xxx\$1입니다. | 다운 | AWS 측에서 구성 불일치를 나타내는 CGW 피어에서 잘못된 OPEN 메시지가 수신되었음을 감지했습니다. |
| AWS 측 피어가 이웃 \$1ip: xxx\$1- 버전 4, AS \$1asn: xxx\$1, holdtime \$1holdtime (seconds): xxx\$1, router-id \$1id: xxx\$1\$1로부터 OPEN 메시지를 수신했습니다. | 다운 | AWS 측에서 CGW 피어로 BGP 세션을 시작하는 BGP 열린 메시지를 수신했습니다. |
| AWS 측 피어가 이웃 \$1ip: xxx\$1- 버전 4, AS \$1asn: xxx\$1, holdtime \$1holdtime (seconds): xxx\$1, 라우터 ID \$1id: xxx\$1에 OPEN 메시지를 보냈습니다. | 다운 | CGW 피어가 BGP 열린 메시지를 전송하여 AWS 측 BGP 피어로 BGP 세션을 시작했습니다. |
| AWS 측 피어가 이웃 \$1ip: xxx\$1에 대한 연결( Connect를 통해)을 시작하고 있습니다. | 다운 | AWS 측에서 CGW BGP 이웃과 연결을 시도하고 있습니다. |
| AWS 측 피어가 이웃 \$1ip: xxx\$1에 End-of-RIB 메시지를 보냈습니다. | UP | AWS 측에서 BGP 세션 설정 후 CGW로 경로 전송을 완료했습니다. |
| AWS 측 피어가 이웃 \$1ip: xxx\$1- AS 경로: \$1aspath (list): xxx xxx xxx\$1의 속성으로 업데이트를 수신했습니다. | UP | AWS 측이 이웃으로부터 BGP 세션 속성 업데이트를 수신했습니다. |
### 라우팅 상태 메시지
BGP 상태 메시지와 달리 라우팅 상태 메시지에는 AS 경로, 로컬 기본 설정, 다중 종료 식별기(MED), 다음 홉 IP 주소 및 가중치와 같은 지정된 접두사의 BGP 속성에 대한 데이터가 포함됩니다. 경로 상태 메시지에는 ADVERTISED, UPDATED 또는 WITHDRAWN 경로에 오류가 있는 경우에만 세부 정보 필드가 포함됩니다. 그 예는 다음과 같습니다.
| 메시지 | 설명 |
| --- | --- |
| DENIED 원인: as-path에는 자체 AS가 포함되어 있습니다. | AWS 측 피어 자체 AS가 포함된 경로로 인해 AWS는 CGW의 새 접두사에 대한 BGP 업데이트 메시지를 거부했습니다. |
| 다음으로 인해 거부됨: 연결되지 않은 다음 홉 | AWS는 연결되지 않은 다음 홉 검증 실패로 인해 CGW에서 접두사에 대한 BGP 라우팅 광고를 거부했습니다. CGW 측에서 경로에 연결할 수 있는지 확인합니다. |
## 터널 BGP 로그의 로그 형식 예
```
{
"resource_id": "vpn-1234abcd_1.2.3.4",
"event_timestamp": 1762580429641,
"timestamp": "2025-11-08 05:40:29.641Z",
"type": "BGPStatus",
"status": "UP",
"message": {
"details": "AWS-side peer BGP session state has changed from OpenConfirm to Established with neighbor 169.254.50.85"
}
}
{
"resource_id": "vpn-1234abcd_1.2.3.4",
"event_timestamp": 1762579573243,
"timestamp": "2025-11-08 05:26:13.243Z",
"type": "RouteStatus",
"status": "UPDATED",
"message": {
"prefix": "172.31.0.0/16",
"asPath": "64512",
"localPref": 100,
"med": 100,
"nextHopIp": "169.254.50.85",
"weight": 32768,
"details": "DENIED due to: as-path contains our own AS"
}
}
```
## CloudWatch Logs에 게시하기 위한 IAM 요구 사항
로깅 기능이 제대로 작동하려면 기능을 구성하는 데 사용되는 IAM 보안 주체에 연결된 IAM 정책에 최소한 다음 권한이 포함되어야 합니다. 자세한 내용은 *Amazon CloudWatch Logs 사용 설명서*의 [특정 AWS 서비스에서 로깅 활성화](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html) 섹션에서 확인할 수도 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Sid": "S2SVPNLogging"
},
{
"Sid": "S2SVPNLoggingCWL",
"Action": [
"logs:PutResourcePolicy",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
# AWS Site-to-Site VPN 로그 구성 보기
Site-to-Site VPN 연결에 대한 활동 로그를 봅니다. 여기에서 이러한 암호화 알고리즘의 구성 또는 터널 VPN 로그 활성화 여부에 대한 세부 정보를 볼 수 있습니다. 터널 상태를 볼 수도 있습니다. 이렇게 하면 VPN 연결과 관련하여 발생할 수 있는 문제나 충돌을 더 잘 추적할 수 있습니다.
**현재 터널 로깅 설정을 보려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site VPN 연결**을 선택합니다.
1. **VPN 연결(VPN connections)** 목록에서 보려는 VPN 연결을 선택합니다.
1. **터널 세부 정보(Tunnel details)** 탭을 선택합니다.
1. **터널 1 옵션(Tunnel 1 options)** 및 **터널 2 옵션(Tunnel 2 options)** 섹션을 확장하여 모든 터널 구성 세부 정보를 봅니다.
1. **터널 VPN 로그**의 경우 CloudWatch 로그 그룹에서 현재 상태 터널 VPN 로그 기능과 현재 구성된 **CloudWatch 로그 그룹(있는 경우)을, 터널 VPN** 로그의 경우 출력 형식에서 **로그 출력 형식을 볼 수 있습니다**.
1. **터널 VPN 로그의 경우 CloudWatch 로그 그룹에서 현재 상태 터널 BGP** **로그 기능과 현재 구성된 CloudWatch 로그 그룹(있는 경우)을, 터널** **BGP 로그의 경우 출력 형식에서 로그 출력 형식을 볼 수 있습니다**. CloudWatch
**AWS 명령줄 또는 API를 사용하여 Site-to-Site VPN 연결에서 현재 터널 로깅 설정을 보려면**
+ [DescribeVpnConnections](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnConnections.html)(Amazon EC2 쿼리 API)
+ [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html)(AWS CLI)
# AWS Site-to-Site VPN 로그 활성화
Site-to-Site VPN 로그를 활성화하여 터널 상태 및 기타 세부 정보와 같은 VPN 활동을 기록합니다. 새 연결에 로깅을 활성화하거나 기존 연결을 수정하여 로깅 활동을 시작할 수 있습니다. 연결에 대한 로깅을 비활성화하려면 [Site-to-Site VPN 로그 사용 중지](disable-logs.md) 섹션을 참조하세요.
**참고**
기존 VPN 연결 터널에 대해 Site-to-Site VPN 로그를 사용하도록 설정하면 해당 터널을 통한 연결이 몇 분 동안 중단될 수 있습니다. 그러나 각 VPN 연결은 고가용성을 위해 두 개의 터널을 제공하므로 수정되지 않은 터널을 통한 연결을 유지하면서 한 번에 하나의 터널에서 로깅을 사용할 수 있습니다. 자세한 내용은 [AWS Site-to-Site VPN 터널 엔드포인트 교체](endpoint-replacements.md) 단원을 참조하십시오.
**새 Site-to-Site VPN 연결을 생성하는 동안 VPN 로깅을 사용 설정하려면**
[5단계: VPN 연결 생성](SetUpVPNConnections.md#vpn-create-vpn-connection)의 절차를 따르세요. 9단계 **터널 옵션(Tunnel Options)**에서 **VPN 로깅(VPN logging)** 옵션을 포함하여 두 터널에 사용할 모든 옵션을 지정할 수 있습니다. 이러한 옵션에 대한 자세한 내용은 [AWS Site-to-Site VPN 연결을 위한 터널 옵션](VPNTunnels.md) 섹션을 참조하세요.
**AWS 명령줄 또는 API를 사용하여 새 Site-to-Site VPN 연결에서 터널 로깅을 활성화하려면**
+ [CreateVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnConnection.html)(Amazon EC2 쿼리 API)
+ [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html)(AWS CLI)
**기존 Site-to-Site VPN 연결에서 터널 활동 로깅을 활성화하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site VPN 연결**을 선택합니다.
1. **VPN 연결(VPN connections)** 목록에서 수정하려는 VPN 연결을 선택합니다.
1. **작업(Actions)**, **VPN 터널 옵션 수정(Modify VPN tunnel options)**을 선택합니다.
1. **VPN 터널 외부 IP 주소(VPN tunnel outside IP address)** 목록에서 적절한 IP 주소를 선택하여 수정할 터널을 선택합니다.
1. **터널 활동 로그(Tunnel activity log)**에서 **활성화(Enable)**를 선택합니다.
1. **Amazon CloudWatch 로그 그룹(Amazon CloudWatch log group)**에서 로그를 전송할 Amazon CloudWatch 로그 그룹을 선택합니다.
1. (선택 사항) **출력 형식(Output format)**에서 로그 출력에 원하는 형식을 **json** 또는 **텍스트(text)** 중에서 선택합니다.
1. **변경 사항 저장(Save changes)**을 선택합니다.
1. (선택 사항) 원하는 경우 다른 터널에 대해 4\$19단계를 반복합니다.
**기존 Site-to-Site VPN 연결에서 터널 BGP 로깅을 활성화하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site VPN 연결**을 선택합니다.
1. **VPN 연결(VPN connections)** 목록에서 수정하려는 VPN 연결을 선택합니다.
1. **작업(Actions)**, **VPN 터널 옵션 수정(Modify VPN tunnel options)**을 선택합니다.
1. **VPN 터널 외부 IP 주소(VPN tunnel outside IP address)** 목록에서 적절한 IP 주소를 선택하여 수정할 터널을 선택합니다.
1. **터널 BGP 로그**에서 **활성화**를 선택합니다.
1. **Amazon CloudWatch 로그 그룹(Amazon CloudWatch log group)**에서 로그를 전송할 Amazon CloudWatch 로그 그룹을 선택합니다.
1. (선택 사항) **출력 형식(Output format)**에서 로그 출력에 원하는 형식을 **json** 또는 **텍스트(text)** 중에서 선택합니다.
1. **변경 사항 저장(Save changes)**을 선택합니다.
1. (선택 사항) 원하는 경우 다른 터널에 대해 4\$19단계를 반복합니다.
**AWS 명령줄 또는 API를 사용하여 기존 Site-to-Site VPN 연결에서 터널 로깅을 활성화하려면**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html)(Amazon EC2 쿼리 API)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)
# AWS Site-to-Site VPN 로그 비활성화
해당 연결에 대한 활동을 더 이상 추적하지 않으려면 연결에 대한 VPN 로깅을 비활성화합니다. 이 작업은 로깅만 비활성화하고 해당 연결에 대한 다른 어떤 영향도 주지 않습니다. 연결에 대한 로깅을 활성화하거나 다시 활성화하려면 [Site-to-Site VPN 로그 사용 설정](enable-logs.md) 섹션을 참조하세요.
**Site-to-Site VPN 연결에서 터널 활동 로깅을 비활성화하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site VPN 연결(Site-to-Site VPN Connections)**을 선택합니다.
1. **VPN 연결(VPN connections)** 목록에서 수정하려는 VPN 연결을 선택합니다.
1. **작업(Actions)**, **VPN 터널 옵션 수정(Modify VPN tunnel options)**을 선택합니다.
1. **VPN 터널 외부 IP 주소(VPN tunnel outside IP address)** 목록에서 적절한 IP 주소를 선택하여 수정할 터널을 선택합니다.
1. **터널 활동 로그(Tunnel activity log)**에서 **활성화(Enable)**를 선택 해제합니다.
1. **변경 사항 저장(Save changes)**을 선택합니다.
1. (선택 사항) 원하는 경우 다른 터널에 대해 4\$17단계를 반복합니다.
**Site-to-Site VPN 연결에서 터널 BGP 로깅을 비활성화하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site VPN 연결(Site-to-Site VPN Connections)**을 선택합니다.
1. **VPN 연결(VPN connections)** 목록에서 수정하려는 VPN 연결을 선택합니다.
1. **작업(Actions)**, **VPN 터널 옵션 수정(Modify VPN tunnel options)**을 선택합니다.
1. **VPN 터널 외부 IP 주소(VPN tunnel outside IP address)** 목록에서 적절한 IP 주소를 선택하여 수정할 터널을 선택합니다.
1. **터널 BGP 로그**에서 **활성화**를 선택 취소합니다.
1. **변경 사항 저장(Save changes)**을 선택합니다.
1. (선택 사항) 원하는 경우 다른 터널에 대해 4\$17단계를 반복합니다.
**AWS 명령줄 또는 API를 사용하여 Site-to-Site VPN 연결에서 터널 로깅을 비활성화하려면**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html)(Amazon EC2 쿼리 API)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)