

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Monitore uma AWS Site-to-Site VPN conexão
<a name="monitoring-overview-vpn"></a>

O monitoramento é uma parte importante para manter a confiabilidade, a disponibilidade e o desempenho da sua AWS Site-to-Site VPN conexão. Você deve coletar dados de monitoramento de todas as partes de sua solução para facilitar a depuração de uma falha multipontos, caso ocorra. Antes de começar a monitorar sua conexão Site-to-Site VPN, no entanto, você deve criar um plano de monitoramento que inclua respostas às seguintes perguntas:
+ Quais são seus objetivos de monitoramento?
+ Quais recursos você vai monitorar?
+ Com que frequência você vai monitorar esses recursos?
+ Quais ferramentas de monitoramento você usará?
+ Quem realizará o monitoramento das tarefas?
+ Quem deve ser notificado quando algo der errado?

A próxima etapa é estabelecer um parâmetro de performance normal da VPN no ambiente medindo a performance em vários momentos e em diferentes condições de carga. À medida que você monitorar a VPN, armazene dados históricos de monitoramento para que possa compará-los com os dados de performance atuais, identificar padrões de performance normais e anomalias de performance e idealizar métodos para solucionar problemas.

Para estabelecer um parâmetro, é preciso monitorar os seguintes itens:
+ O estado dos túneis da VPN
+ Os dados no túnel
+ Os dados fora do túnel

**Topics**
+ [Ferramentas de monitoramento](#monitoring-automated-manual)
+ [Site-to-Site Registros de VPN](monitoring-logs.md)
+ [Monitore túneis Site-to-Site VPN usando CloudWatch](monitoring-cloudwatch-vpn.md)
+ [AWS Health e eventos de Site-to-Site VPN](monitoring-vpn-health-events.md)

## Ferramentas de monitoramento
<a name="monitoring-automated-manual"></a>

AWS fornece várias ferramentas que você pode usar para monitorar uma conexão Site-to-Site VPN. É possível configurar algumas dessas ferramentas para fazer o monitoramento em seu lugar, e, ao mesmo tempo, algumas das ferramentas exigem intervenção manual. Recomendamos que as tarefas de monitoramento sejam automatizadas ao máximo possível.

### Ferramentas de monitoramento automatizadas
<a name="monitoring-automated_tools"></a>

Você pode usar as seguintes ferramentas de monitoramento automatizado para observar uma conexão Site-to-Site VPN e relatar quando algo está errado:
+ **Amazon CloudWatch Alarms** — Observe uma única métrica durante um período de tempo especificado por você e execute uma ou mais ações com base no valor da métrica em relação a um determinado limite em vários períodos. A ação é uma notificação enviada para um tópico do Amazon SNS. CloudWatch os alarmes não invocam ações simplesmente porque estão em um determinado estado; o estado deve ter sido alterado e mantido por um determinado número de períodos. Para obter mais informações, consulte [Monitore AWS Site-to-Site VPN túneis usando a Amazon CloudWatch](monitoring-cloudwatch-vpn.md).
+ **AWS CloudTrail Monitoramento** de registros — compartilhe arquivos de log entre contas, monitore arquivos de CloudTrail log em tempo real enviando-os para o CloudWatch Logs, grave aplicativos de processamento de log em Java e valide se seus arquivos de log não foram alterados após a entrega. CloudTrail Para obter mais informações, consulte [Registrar chamadas de API usando AWS CloudTrail](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitor-with-cloudtrail.html) na *Referência de API do Amazon EC2* e [Trabalho com arquivos de CloudTrail log](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html) no Guia do *AWS CloudTrail usuário*.
+ **AWS Health eventos** — Receba alertas e notificações relacionados a mudanças na integridade de seus túneis Site-to-Site VPN, recomendações de configuração de melhores práticas ou ao se aproximar dos limites de escalabilidade. Use eventos no [Personal Health Dashboard](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html) para acionar failovers automatizados, reduzir o tempo de solução de problemas ou otimizar conexões para alta disponibilidade. Para obter mais informações, consulte [AWS Health e AWS Site-to-Site VPN eventos](monitoring-vpn-health-events.md).

### Ferramentas de monitoramento manual
<a name="monitoring-manual-tools"></a>

Outra parte importante do monitoramento de uma conexão Site-to-Site VPN envolve o monitoramento manual dos itens que os CloudWatch alarmes não cobrem. Os painéis do Amazon VPC e CloudWatch do console fornecem uma at-a-glance visão do estado do seu ambiente. AWS 

**nota**  
No console da Amazon VPC, os parâmetros de estado do túnel Site-to-Site VPN, como “Status” e “Última alteração de status”, podem não refletir mudanças de estado transitórias ou oscilações momentâneas do túnel. É recomendável usar CloudWatch métricas e registros para atualizações granulares de alterações de estado do túnel.
+ O painel da Amazon VPC mostra:
  + Integridade do serviço por região
  + Site-to-Site Conexões VPN
  + Status do túnel VPN (no painel de navegação, escolha **Conexões Site-to-Site VPN**, selecione uma conexão Site-to-Site VPN e escolha **Detalhes do túnel**)
+ A página CloudWatch inicial mostra:
  + Alertas e status atual
  + Gráficos de alertas e recursos
  + Estado de integridade do serviço

  Além disso, você pode usar CloudWatch para fazer o seguinte: 
  + Crie [painéis personalizados](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html) para monitorar os serviços com os quais você se preocupa.
  + Colocar em gráfico dados de métrica para solucionar problemas e descobrir tendências
  + Pesquise e navegue em todas as suas métricas AWS de recursos
  + Criar e editar alertas para ser notificado sobre problemas

# AWS Site-to-Site VPN troncos
<a name="monitoring-logs"></a>

AWS Site-to-Site VPN os registros fornecem uma visibilidade mais profunda de suas implantações de Site-to-Site VPN. Com esse recurso, você tem acesso aos registros de conexão Site-to-Site VPN que fornecem detalhes sobre o estabelecimento do túnel IP Security (IPsec), negociações do Internet Key Exchange (IKE), mensagens do protocolo Dead Peer Detection (DPD), status do protocolo Border Gateway (BGP) e atualizações de roteamento.

Site-to-Site Os registros de VPN podem ser publicados no Amazon CloudWatch Logs. Esse recurso fornece aos clientes uma maneira única e consistente de acessar e analisar registros detalhados de todas as suas conexões Site-to-Site VPN.

**Topics**
+ [Benefícios dos registros de Site-to-Site VPN](#log-benefits)
+ [Restrições de tamanho da política de recursos do Amazon CloudWatch Logs](#cwl-policy-size)
+ [Site-to-Site Conteúdo do registro de VPN](#log-contents)
+ [Exemplo de formato de log para registros do Tunnel BGP](#example-bgp-logs)
+ [Requisitos do IAM para publicar no CloudWatch Logs](#publish-cw-logs)
+ [Exibir configuração de registros de Site-to-Site VPN](status-logs.md)
+ [Ativar registros de Site-to-Site VPN](enable-logs.md)
+ [Desativar registros de Site-to-Site VPN](disable-logs.md)

## Benefícios dos registros de Site-to-Site VPN
<a name="log-benefits"></a>
+ **Solução de problemas simplificada de Site-to-Site VPN:** os registros de VPN ajudam você a identificar incompatibilidades de configuração entre AWS o dispositivo de gateway do cliente e a resolver os problemas iniciais de conectividade da VPN. As conexões VPN podem oscilar intermitentemente ao longo do tempo devido a configurações incorretas (como tempos limite mal ajustados). Pode haver problemas nas redes de transporte subjacentes (como clima da Internet) ou alterações de roteamento ou falhas de caminho podem provocar interrupção da conectividade pela VPN. Esse recurso permite diagnosticar com precisão a causa de falhas de conexão intermitentes e ajustar a configuração do túnel de baixo nível para uma operação confiável.
+ ** AWS Site-to-Site VPN Visibilidade centralizada:** os registros de Site-to-Site VPN podem fornecer atividades de túneis e registros de roteamento BGP em todos os Site-to-Site tipos de conexão VPN. Esse recurso fornece aos clientes uma maneira única e consistente de acessar e analisar registros detalhados de todas as suas conexões Site-to-Site VPN.
+ **Segurança e conformidade:** os registros de Site-to-Site VPN podem ser enviados ao Amazon CloudWatch Logs para análise retrospectiva do status e da atividade da conexão VPN ao longo do tempo. Isso pode ajudar você a atender a requisitos de conformidade e regulamentares.

## Restrições de tamanho da política de recursos do Amazon CloudWatch Logs
<a name="cwl-policy-size"></a>

CloudWatch As políticas de recursos de registros estão limitadas a 5120 caracteres. Quando o CloudWatch Logs detecta que uma política se aproxima desse limite de tamanho, ele ativa automaticamente grupos de registros que começam com`/aws/vendedlogs/`. Quando você ativa o registro, a Site-to-Site VPN deve atualizar sua política de recursos de CloudWatch registros com o grupo de registros especificado. Para evitar atingir o limite de tamanho da política de recursos de CloudWatch registros, prefixe os nomes dos seus grupos de registros com`/aws/vendedlogs/`.

## Site-to-Site Conteúdo do registro de VPN
<a name="log-contents"></a>

As informações a seguir estão incluídas no registro de atividades do túnel Site-to-Site VPN. O nome do arquivo do fluxo de log usa VpnConnection ID TunnelOutside IPAddress e.


| Campo | Description | 
| --- | --- | 
|  VpnLogCreationTimestamp (`event_timestamp`)  |  Carimbo de data/hora de criação de log no formato de época.  | 
|  VpnLogCreationTimestampReadable (`timestamp`)  |  Carimbo de data/hora de criação de log em formato de hora legível por humanos.  | 
|  Túnel DPDEnabled (`dpd_enabled`)  |  Status habilitado do protocolo Dead Peer Detection (True/False).  | 
|  CGWNATTDetectionStatus do túnel (`nat_t_detected`)  | NAT-T detectado no dispositivo de gateway do cliente (True/False). | 
|  IKEPhase1Estado do túnel (`ike_phase1_state`)  | Estado do protocolo IKE Fase 1 (Established \$1 Rekeying \$1 Negotiating \$1 Down). | 
| IKEPhase2Estado do túnel (ike\$1phase2\$1state) | Estado do protocolo IKE Fase 2 (Established \$1 Rekeying \$1 Negotiating \$1 Down). | 
| VpnLogDetail (details) | Mensagens detalhadas para os protocolos IPsec IKE e DPD. | 

As informações a seguir estão incluídas no registro BGP do túnel Site-to-Site VPN. O nome do arquivo do fluxo de log usa VpnConnection ID TunnelOutside IPAddress e.


| Campo | Description | 
| --- | --- | 
|  id\$1do\$1recurso  |  Um ID exclusivo para identificar o túnel e a conexão VPN à qual o registro está associado.  | 
|  event\$1timestamp  |  Carimbo de data/hora de criação de log no formato de época.  | 
|  timestamp  |  Carimbo de data/hora de criação de log em formato de hora legível por humanos.  | 
|  type  | Tipo de evento de registro do BGP (BGPStatus \$1 RouteStatus). | 
|  status  | atualização de status para um tipo específico de evento de registro (BGPStatus: UP \$1 DOWN) (RouteStatus: ANUNCIADO \$1a rota foi anunciada pelo par\$1 \$1 ATUALIZADO: \$1a rota existente foi atualizada pelo par\$1 \$1 RETIRADA: \$1a rota foi retirada pelo par\$1). | 
| message | Fornece detalhes adicionais sobre o evento e o status do registro. Esse campo ajudará você a entender por BGPStatus que os atributos de rota foram trocados na RouteStatus mensagem. | 

**Topics**
+ [IKEv1 Mensagens de erro](#sample-log-ikev1)
+ [IKEv2 Mensagens de erro](#sample-log-ikev2)
+ [IKEv2 Mensagens de negociação](#sample-log-ikev2-negotiation)
+ [Mensagens de status do BGP](#sample-bgp-status-messages)
+ [Mensagens de status da rota](#sample-route-status-messages)

### IKEv1 Mensagens de erro
<a name="sample-log-ikev1"></a>


| Mensagem | Explicação | 
| --- | --- | 
|  O par não responde: declaração de par desativado  |  O par não respondeu às mensagens de DPD, aplicando a ação de tempo limite de DPD.  | 
|  AWS A decodificação da carga útil do túnel não teve êxito devido à chave pré-compartilhada inválida  |  A mesma chave pré-compartilhada precisa ser configurada em ambos os pares do IKE.  | 
|  Nenhuma proposta correspondente encontrada por AWS  |  Os atributos propostos para a fase 1 (criptografia, hashing e grupo DH) não são compatíveis com o AWS VPN Endpoint. Por exemplo, `3DES`.  | 
|  Nenhuma proposta correspondente encontrada. Notificação com “Nenhuma proposta escolhida”  |  Nenhuma mensagem de erro de proposta escolhida é trocada entre pares para informar que a configuração correta Proposals/Policies deve ser configurada para a fase 2 nos pares IKE.  | 
|  AWS o túnel recebeu DELETE para a fase 2 SA com SPI: xxxx  | O CGW enviou a mensagem Delete\$1SA para a Fase 2. | 
|  AWS túnel recebeu DELETE para IKE\$1SA da CGW  | O CGW enviou a mensagem Delete\$1SA para a Fase 1. | 

### IKEv2 Mensagens de erro
<a name="sample-log-ikev2"></a>


| Mensagem | Explicação | 
| --- | --- | 
|  AWS O tempo limite do DPD do túnel foi atingido após a retransmissão de \$1retry\$1count\$1  |  O par não respondeu às mensagens de DPD, aplicando a ação de tempo limite de DPD.   | 
|  AWS túnel recebeu DELETE para IKE\$1SA da CGW  |  O par enviou a mensagem Delete\$1SA para Parent/IKE\$1SA.  | 
| AWS o túnel recebeu DELETE para a fase 2 SA com SPI: xxxx | O par enviou a mensagem Delete\$1SA para CHILD\$1SA. | 
|  AWS o túnel detectou uma colisão (CHILD\$1REKEY) como CHILD\$1DELETE  |  O CGW enviou a mensagem Delete\$1SA para o SA ativo, que está sendo recodificado.  | 
|  AWS A SA redundante do túnel (CHILD\$1SA) está sendo excluída devido à colisão detectada  | Devido à colisão, se SAs forem gerados redundantes, os pares fecharão o SA redundante após combinar os valores de nonce de acordo com o RFC. | 
|  AWS A fase 2 do túnel não foi capaz de se estabelecer enquanto mantinha a fase 1  | O par não conseguiu estabelecer CHILD\$1SA devido a um erro de negociação; por exemplo, proposta incorreta.  | 
| AWS: seletor de tráfego: TS\$1UNACCEPTABLE: recebido do respondente | Peer propôs um Selectors/Encryption domínio de tráfego incorreto. Os pares devem ser configurados de forma idêntica e correta CIDRs. | 
| AWS o túnel está enviando AUTHENTICATION\$1FAILED como resposta | O par não consegue autenticar o par verificando o conteúdo da mensagem IKE\$1AUTH | 
| AWS o túnel detectou uma incompatibilidade de chave pré-compartilhada com cgw: xxxx | A mesma chave pré-compartilhada precisa ser configurada em ambos os pares do IKE. | 
| AWS Tempo limite do túnel: excluindo IKE\$1SA da Fase 1 não estabelecida com cgw: xxxx | A exclusão do IKE\$1SA semiaberto como par não prosseguiu com as negociações | 
| Nenhuma proposta correspondente encontrada. Notificação com “Nenhuma proposta escolhida” | Nenhuma mensagem de erro da proposta escolhida é trocada entre os pares para informar que as propostas corretas devem ser configuradas em pares do IKE. | 
| Nenhuma proposta correspondente encontrada por AWS | Os atributos propostos para a fase 1 ou fase 2 (criptografia, hashing e grupo DH) não são suportados pelo AWS VPN Endpoint — por exemplo,. `3DES` | 

### IKEv2 Mensagens de negociação
<a name="sample-log-ikev2-negotiation"></a>


| Mensagem | Explicação | 
| --- | --- | 
|  AWS solicitação processada por túnel (id=xxx) para CREATE\$1CHILD\$1SA  |  AWS recebeu a solicitação CREATE\$1CHILD\$1SA da CGW.  | 
|  AWS o túnel está enviando resposta (id=xxx) para CREATE\$1CHILD\$1SA  |  AWS está enviando a resposta CREATE\$1CHILD\$1SA para o CGW.  | 
| AWS o túnel está enviando a solicitação (id=xxx) para CREATE\$1CHILD\$1SA | AWS está enviando a solicitação CREATE\$1CHILD\$1SA para a CGW. | 
|  AWS resposta processada em túnel (id = xxx) para CREATE\$1CHILD\$1SA  |  AWS recebeu a resposta CREATE\$1CHILD\$1SA do CGW.  | 

### Mensagens de status do BGP
<a name="sample-bgp-status-messages"></a>

 As mensagens de status do BGP contêm informações relacionadas às transições de estado da sessão do BGP, avisos de limite de prefixo, violações de limite, notificações da sessão do BGP, mensagens do BGP OPEN e atualizações de atributos de um vizinho do BGP para uma determinada sessão do BGP. 


| Mensagem | Status do BGP | Explicação | 
| --- | --- | --- | 
|   O estado da sessão BGP peer do lado da AWS mudou de Idle para Connect with neighbor \$1ip: xxx\$1   |   PARA BAIXO   |   O estado da conexão BGP no lado da AWS foi atualizado para Connect.   | 
|   O estado da sessão BGP peer do lado da AWS foi alterado de Connect para OpenSent with neighbor \$1ip: xxx\$1   |   PARA BAIXO   |   O estado da conexão BGP no lado da AWS foi atualizado para. OpenSent   | 
|   O estado da sessão BGP peer do lado da AWS foi alterado de OpenSent para OpenConfirm com o vizinho \$1ip: xxx\$1   |   PARA BAIXO   |   O estado da conexão BGP no lado da AWS foi atualizado para. OpenConfirm   | 
|   O estado da sessão BGP peer do lado da AWS foi alterado de OpenConfirm para Estabelecido com o vizinho \$1ip: xxx\$1   |   PARA CIMA   |   O estado da conexão BGP no lado da AWS foi atualizado para Estabelecido.   | 
|   O estado da sessão BGP peer do lado da AWS foi alterado de Estabelecido para Ocioso com vizinho \$1ip: xxx\$1   |   PARA BAIXO   |   O estado da conexão BGP no lado da AWS foi atualizado para Idle.   | 
|   O estado da sessão BGP peer do lado da AWS foi alterado de Connect para Active with neighbor \$1ip: xxx\$1   |   PARA BAIXO   |   O estado da conexão BGP no lado da AWS passou de Connect para Active. Verifique a disponibilidade da porta TCP 179 no CGW se a sessão BGP estiver travada no estado Connect.   | 
|   Um colega do lado da AWS está relatando um aviso de limite máximo de prefixo - recebido \$1prefixes (count): xxx\$1 prefixos do vizinho \$1ip: xxx\$1, o limite é \$1limit (numeric): xxx\$1   |   PARA CIMA   |   O lado da AWS gera periodicamente uma mensagem de log quando o número de prefixos recebidos do CGW se aproxima do limite permitido.   | 
|   Um par do lado da AWS detectou que o limite máximo de prefixo foi excedido - recebeu \$1prefixes (count): xxx\$1 prefixos do vizinho \$1ip: xxx\$1, o limite é \$1limit (numeric): xxx\$1   |   PARA BAIXO   |   O lado da AWS gera uma mensagem de log quando o número de prefixos recebidos do CGW excede o limite permitido.   | 
|   Um colega do lado da AWS enviou uma notificação 6/1 (cessação/número máximo de prefixos atingidos) ao vizinho \$1ip: xxx\$1   |   PARA BAIXO   |   O lado da AWS enviou uma notificação ao colega BGP da CGW para indicar que a sessão do BGP foi encerrada devido a uma violação do limite de prefixo.   | 
|   O colega do lado da AWS recebeu uma notificação 6/1 (número máximo de prefixos atingidos) do vizinho \$1ip: xxx\$1   |   PARA BAIXO   |  O lado da AWS recebeu uma notificação do colega da CGW indicando que a sessão do BGP foi encerrada devido a uma violação do limite de prefixo.   | 
|   Um colega do lado da AWS enviou uma notificação 6/2 (cessação/desligamento administrativo) ao vizinho \$1ip: xxx\$1   |   PARA BAIXO   |   O lado da AWS enviou uma notificação ao peer do CGW BGP para indicar que a sessão do BGP foi encerrada.   | 
|   O colega do lado da AWS recebeu a notificação 6/2 (cessação/desligamento administrativo) do vizinho \$1ip: xxx\$1   |   PARA BAIXO   |   O lado da AWS recebeu uma notificação do colega da CGW indicando que a sessão do BGP foi encerrada.   | 
|   O peer do lado da AWS enviou uma notificação 6/3 (Cease/Peer não configurado) ao vizinho \$1ip: xxx\$1   |   PARA BAIXO   |   O lado da AWS enviou uma notificação ao peer da CGW para indicar que o peer não está configurado ou foi removido da configuração.   | 
|   O peer do lado da AWS recebeu uma notificação 6/3 (cessação/peer não configurado) do vizinho \$1ip: xxx\$1   |   PARA BAIXO   |   O lado da AWS recebeu uma notificação do peer CGW para indicar que o peer não está configurado ou foi removido da configuração.   | 
|   Um colega do lado da AWS enviou uma notificação 6/4 (cessação/redefinição administrativa) ao vizinho \$1ip: xxx\$1   |   PARA BAIXO   |   O lado da AWS enviou uma notificação ao peer BGP da CGW para indicar que a sessão do BGP foi redefinida.   | 
|   O colega do lado da AWS recebeu uma notificação 6/4 (cessação/redefinição administrativa) do vizinho \$1ip: xxx\$1   |   PARA BAIXO   |   O lado da AWS recebeu uma notificação do colega da CGW para indicar que a sessão do BGP foi redefinida.   | 
|   Um colega do lado da AWS enviou uma notificação 6/5 (cessação/conexão rejeitada) ao vizinho \$1ip: xxx\$1   |   PARA BAIXO   |   O lado da AWS enviou uma notificação ao colega BGP da CGW para indicar que a sessão do BGP foi rejeitada.   | 
|   O colega do lado da AWS recebeu uma notificação 6/5 (cessação/conexão rejeitada) do vizinho \$1ip: xxx\$1   |   PARA BAIXO   |   O lado da AWS recebeu uma notificação do colega da CGW indicando que a sessão do BGP foi rejeitada.   | 
|   O colega do lado da AWS enviou uma notificação 6/6 (cessação/outra alteração de configuração) ao vizinho \$1ip: xxx\$1   |   PARA BAIXO   |   O lado da AWS enviou uma notificação ao peer BGP da CGW para indicar que ocorreu uma alteração na configuração da sessão do BGP.   | 
|   O par do lado da AWS recebeu uma notificação 6/6 (cessação/outra alteração de configuração) do vizinho \$1ip: xxx\$1   |   PARA BAIXO   |   O lado da AWS recebeu uma notificação do par da CGW que indica que ocorreu uma alteração na configuração da sessão do BGP.   | 
|   Um colega do lado da AWS enviou uma notificação 6/7 (resolução de colisão de cessação/conexão) ao vizinho \$1ip: xxx\$1   |   PARA BAIXO   |   O lado da AWS enviou uma notificação ao colega da CGW para resolver uma colisão de conexão quando os dois pares tentarem estabelecer uma conexão simultaneamente.   | 
|   O colega do lado da AWS recebeu uma notificação 6/7 (resolução de colisão de cessação/conexão) do vizinho \$1ip: xxx\$1   |   PARA BAIXO   |   O lado da AWS recebeu uma notificação do colega da CGW indicando a resolução de uma colisão de conexão quando os dois pares tentam estabelecer uma conexão simultaneamente.   | 
|   Um colega do lado da AWS enviou uma notificação expirada do Hold Timer para o vizinho \$1ip: xxx\$1   |   PARA BAIXO   |   O cronômetro de espera do BGP expirou e uma notificação foi enviada pelo lado da AWS ao CGW.   | 
|   O peer do lado da AWS detectou uma mensagem OPEN inválida do vizinho \$1ip: xxx\$1 - o AS remoto é \$1asn: xxx\$1, esperado \$1asn: xxx\$1   |   PARA BAIXO   |   O lado da AWS detectou que uma mensagem OPEN incorreta foi recebida do par CGW, o que indica uma incompatibilidade de configuração.   | 
|   O colega do lado da AWS recebeu uma mensagem OPEN do vizinho \$1ip: xxx\$1 - versão 4, AS \$1asn: xxx\$1, holdtime \$1holdtime (seconds): xxx\$1, router-id \$1id: xxx\$1\$1   |   PARA BAIXO   |   O lado da AWS recebeu uma mensagem aberta do BGP para iniciar uma sessão do BGP com o par do CGW.   | 
|   Um colega do lado da AWS enviou uma mensagem OPEN para o vizinho \$1ip: xxx\$1 - versão 4, AS \$1asn: xxx\$1, holdtime \$1holdtime (seconds): xxx\$1, router-id \$1id: xxx\$1   |   PARA BAIXO   |   O par do CGW enviou uma mensagem aberta do BGP para iniciar uma sessão do BGP com o par do BGP do lado da AWS.   | 
|   O peer do lado da AWS está iniciando uma conexão (via Connect) com o vizinho \$1ip: xxx\$1   |   PARA BAIXO   |   O lado da AWS está tentando se conectar com o vizinho CGW BGP.   | 
|   Um colega do lado da AWS enviou uma End-of-RIB mensagem para o vizinho \$1ip: xxx\$1   |   PARA CIMA   |   O lado da AWS terminou de transmitir rotas para o CGW após o estabelecimento da sessão do BGP.   | 
|   O par do lado da AWS recebeu atualização com atributos do vizinho \$1ip: xxx\$1 - caminho do AS: \$1aspath (list): xxx xxx xxx\$1   |   PARA CIMA   |   O lado da AWS recebeu uma atualização do atributo de sessão do BGP do vizinho.   | 

### Mensagens de status da rota
<a name="sample-route-status-messages"></a>

 Diferentemente das mensagens de status do BGP, as mensagens de status da rota contêm dados sobre os atributos do BGP de um determinado prefixo, como caminho AS, preferência local, discriminador de múltiplas saídas (MED), endereço IP do próximo salto e peso. Uma mensagem de status da rota conterá apenas um campo de detalhes quando houver um erro com uma rota que foi ANUNCIADA, ATUALIZADA ou RETIRADA. Exemplos dos quais são os seguintes 


| Mensagem | Explicação | 
| --- | --- | 
|   NEGADO devido a: as-path contém nosso próprio AS   |   As mensagens de atualização do BGP para um novo prefixo do CGW foram negadas pela AWS devido à rota contendo o próprio AS dos pares do lado da AWS.   | 
|   NEGADO devido a: próximo salto não conectado   |   A AWS rejeitou um anúncio de rota BGP para o prefixo do CGW devido a uma falha de validação de próximo salto não conectada. Certifique-se de que a rota seja acessível no lado do CGW.   | 

## Exemplo de formato de log para registros do Tunnel BGP
<a name="example-bgp-logs"></a>

```
{
    "resource_id": "vpn-1234abcd_1.2.3.4",
    "event_timestamp": 1762580429641,
    "timestamp": "2025-11-08 05:40:29.641Z",
    "type": "BGPStatus",
    "status": "UP",
    "message": {
        "details": "AWS-side peer BGP session state has changed from OpenConfirm to Established with neighbor 169.254.50.85"
    }
}

{
    "resource_id": "vpn-1234abcd_1.2.3.4",
    "event_timestamp": 1762579573243,
    "timestamp": "2025-11-08 05:26:13.243Z",
    "type": "RouteStatus",
    "status": "UPDATED",
    "message": {
        "prefix": "172.31.0.0/16",
        "asPath": "64512",
        "localPref": 100,
        "med": 100,
        "nextHopIp": "169.254.50.85",
        "weight": 32768,
        "details": "DENIED due to: as-path contains our own AS"
    }
}
```

## Requisitos do IAM para publicar no CloudWatch Logs
<a name="publish-cw-logs"></a>


Para que o recurso de log funcione corretamente, a política do IAM anexada à entidade principal do IAM que está sendo usada para configurar o recurso deve incluir, no mínimo, as permissões a seguir. Mais detalhes também podem ser encontrados na seção [Habilitando o registro em determinados AWS serviços](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html) do *Guia do usuário do Amazon CloudWatch Logs*.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}
```

------

# Exibir configuração de AWS Site-to-Site VPN registros
<a name="status-logs"></a>

Veja o registro de atividades de uma conexão Site-to-Site VPN. Aqui você pode ver detalhes sobre a configuração desses algoritmos de criptografia ou se os registros de VPN de túnel estão habilitados. Você também pode visualizar o estado do túnel. Isso ajuda a monitorar melhor quaisquer problemas ou conflitos que você possa ter com uma conexão VPN. 

**Como visualizar configurações atuais do registro em log do túnel**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Conexões Site-to-Site VPN**.

1. Selecione a conexão VPN que você deseja visualizar por meio da lista **VPN connections** (Conexões de VPN).

1. Selecione a guia **Tunnel details** (Detalhes do túnel).

1. Expanda as seções **Tunnel 1 options** (Opções de túnel 1) e **Tunnel 2 options** (Opções de túnel 2) para visualizar todos os detalhes de configuração do túnel.

1. Você pode ver o status atual do recurso de **log de VPN de túnel** e o grupo de CloudWatch log configurado atualmente (se houver) em **grupo de log para CloudWatch log de VPN de túnel** e o formato de saída de log em Formato de **saída para log de VPN de túnel**.

1. Você pode visualizar o status atual do recurso de log **BGP do túnel e o grupo de log** configurado atualmente (se houver) em grupo de CloudWatch log **para CloudWatch log de VPN de túnel e o formato de saída de log** em Formato de saída **para log de BGP de túnel**.

**Para ver as configurações atuais de registro de túneis em uma conexão Site-to-Site VPN usando a linha de AWS comando ou a API**
+ [DescribeVpnConnections](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnConnections.html)(API de consulta do Amazon EC2)
+ [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html) (AWS CLI)

# Ativar AWS Site-to-Site VPN registros
<a name="enable-logs"></a>

Ative Site-to-Site os registros da VPN para registrar a atividade da VPN, como o estado do túnel e outros detalhes. É possível ativar o registro em log em uma nova conexão ou modificar uma conexão existente para iniciar a atividade de registro em log. Se você quiser desabilitar o registro em log para uma conexão, consulte [Desativar registros de Site-to-Site VPN](disable-logs.md).

**nota**  
Quando você ativa os registros de Site-to-Site VPN para um túnel de conexão VPN existente, sua conectividade nesse túnel pode ser interrompida por vários minutos. No entanto, cada conexão VPN oferece dois túneis para alta disponibilidade, a fim de que você possa ativar o registro em log em um túnel por vez e manter a conectividade pelo túnel inalterada. Para obter mais informações, consulte [AWS Site-to-Site VPN substituições de terminais de túneis](endpoint-replacements.md).

**Para habilitar o registro de VPN durante a criação de uma nova conexão Site-to-Site VPN**  
Siga o procedimento do [Etapa 5: criar uma conexão VPN](SetUpVPNConnections.md#vpn-create-vpn-connection). Durante a Etapa 9 **Tunnel Options** (Opções de túnel), você pode especificar todas as opções que deseja usar para ambos os túneis, incluindo as opções de **VPN logging** (Registro em log de VPN). Para saber mais sobre essas opções, consulte [Opções de túnel para sua AWS Site-to-Site VPN conexão](VPNTunnels.md).

**Para habilitar o registro de túneis em uma nova conexão Site-to-Site VPN usando a linha de AWS comando ou a API**
+ [CreateVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnConnection.html)(API de consulta do Amazon EC2)
+ [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html) (AWS CLI)

**Para habilitar o registro de atividades de túneis em uma conexão Site-to-Site VPN existente**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Conexões Site-to-Site VPN**.

1. Selecione a conexão VPN que você deseja modificar por meio da lista **VPN connections** (Conexões de VPN).

1. Selecione **Actions** (Ações), **Modify VPN tunnel options** (Modificar opções de túnel VPN).

1. Selecione o túnel que você deseja modificar escolhendo o endereço IP apropriado na lista **VPN tunnel outside IP address** (Endereço IP externo do túnel VPN).

1. Em **Tunnel activity log** (Log de atividades do túnel), selecione **Enable** (Habilitar).

1. Em **Grupo de CloudWatch registros da Amazon**, selecione o grupo de CloudWatch registros da Amazon para o qual você deseja que os registros sejam enviados.

1. (Opcional) Em **Output format** (Formato de saída), escolha o formato desejado para a saída do log, **json** ou **texto**.

1. Selecione **Save Changes** (Salvar alterações).

1. (Opcional) Repita as etapas de 4 a 9 para o outro túnel, se desejar.

**Para habilitar o registro de BGP em túnel em uma conexão VPN existente Site-to-Site**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Conexões Site-to-Site VPN**.

1. Selecione a conexão VPN que você deseja modificar por meio da lista **VPN connections** (Conexões de VPN).

1. Selecione **Actions** (Ações), **Modify VPN tunnel options** (Modificar opções de túnel VPN).

1. Selecione o túnel que você deseja modificar escolhendo o endereço IP apropriado na lista **VPN tunnel outside IP address** (Endereço IP externo do túnel VPN).

1. **Em **Registro BGP do túnel**, selecione Ativar.**

1. Em **Grupo de CloudWatch registros da Amazon**, selecione o grupo de CloudWatch registros da Amazon para o qual você deseja que os registros sejam enviados.

1. (Opcional) Em **Output format** (Formato de saída), escolha o formato desejado para a saída do log, **json** ou **texto**.

1. Selecione **Save Changes** (Salvar alterações).

1. (Opcional) Repita as etapas de 4 a 9 para o outro túnel, se desejar.

**Para habilitar o registro de túneis em uma conexão Site-to-Site VPN existente usando a linha de AWS comando ou a API**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html)(API de consulta do Amazon EC2)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)

# Desativar AWS Site-to-Site VPN registros
<a name="disable-logs"></a>

Desabilite o log VPN em uma conexão se não quiser mais rastrear nenhuma atividade nessa conexão. Esta ação apenas desativa o registro em log e não afeta mais nada nessa conexão. Para ativar ou reativar o registro em log em uma conexão, consulte [Ativar registros de Site-to-Site VPN](enable-logs.md).

**Para desativar o registro de atividades de túneis em uma conexão Site-to-Site VPN**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Site-to-Site VPN Connections** (Conexões VPN).

1. Selecione a conexão VPN que você deseja modificar por meio da lista **VPN connections** (Conexões de VPN).

1. Selecione **Actions** (Ações), **Modify VPN tunnel options** (Modificar opções de túnel VPN).

1. Selecione o túnel que você deseja modificar escolhendo o endereço IP apropriado na lista **VPN tunnel outside IP address** (Endereço IP externo do túnel VPN).

1. Em **Tunnel activity log** (Log de atividades do túnel), desmarque **Enable** (Habilitar).

1. Selecione **Save Changes** (Salvar alterações).

1. (Opcional) Repita as etapas de 4 a 7 para o outro túnel, se desejar.

**Para desativar o registro do túnel BGP em uma conexão VPN Site-to-Site**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Site-to-Site VPN Connections** (Conexões VPN).

1. Selecione a conexão VPN que você deseja modificar por meio da lista **VPN connections** (Conexões de VPN).

1. Selecione **Actions** (Ações), **Modify VPN tunnel options** (Modificar opções de túnel VPN).

1. Selecione o túnel que você deseja modificar escolhendo o endereço IP apropriado na lista **VPN tunnel outside IP address** (Endereço IP externo do túnel VPN).

1. **Em **Registro BGP do túnel**, desmarque Habilitar.**

1. Selecione **Save Changes** (Salvar alterações).

1. (Opcional) Repita as etapas de 4 a 7 para o outro túnel, se desejar.

**Para desativar o registro de túneis em uma conexão Site-to-Site VPN usando a linha de AWS comando ou a API**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html)(API de consulta do Amazon EC2)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)

# Monitore AWS Site-to-Site VPN túneis usando a Amazon CloudWatch
<a name="monitoring-cloudwatch-vpn"></a>

Você pode monitorar túneis VPN usando CloudWatch, que coleta e processa dados brutos do serviço VPN em métricas legíveis e quase em tempo real. Essas estatísticas são registradas para um período de 15 meses, de forma que você possa acessar informações históricas e ganhar uma perspectiva melhor sobre como seu serviço ou aplicação Web está se saindo. Os dados métricos da VPN são enviados automaticamente CloudWatch assim que ficam disponíveis.

Para obter mais informações, consulte o [Guia CloudWatch do usuário da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).

**Topics**
+ [Métricas e dimensões da VPN](#metrics-dimensions-vpn)
+ [Veja as CloudWatch métricas de VPN](viewing-metrics.md)
+ [Crie CloudWatch alarmes para monitorar túneis VPN](creating-alarms-vpn.md)

## Métricas e dimensões da VPN
<a name="metrics-dimensions-vpn"></a>

As CloudWatch métricas a seguir estão disponíveis para suas conexões Site-to-Site VPN.


| Métrica | Descrição | 
| --- | --- | 
|  `TunnelState`  |  O estado dos túneis. Para estática VPNs, 0 indica PARA BAIXO e 1 indica PARA CIMA. Para o BGP VPNs, 1 indica ESTABELECIDO e 0 é usado para todos os outros estados. Para ambos os tipos de VPNs, valores entre 0 e 1 indicam que pelo menos um túnel não está ativo. Unidades: valor fracionário entre 0 e 1   | 
|  `TunnelDataIn` †  |  Os bytes recebidos no AWS lado da conexão por meio do túnel VPN de um gateway do cliente. Cada ponto de dados da métrica representa o número de bytes recebidos após o ponto de dados anterior. Use a estatística de soma para mostrar o número total de bytes recebidos durante o período. Essa métrica conta os dados após a descriptografia. Unidades: bytes  | 
|  `TunnelDataOut` †  |  Os bytes enviados do AWS lado da conexão pelo túnel VPN até o gateway do cliente. Cada ponto de dados da métrica representa o número de bytes enviados após o ponto de dados anterior. Use a estatística de soma para mostrar o número total de bytes enviados durante o período. Essa métrica conta os dados antes da criptografia. Unidades: bytes  | 
|  `ConcentratorBandwidthUsage`  |  O uso da largura de banda para uma Site-to-Site conexão VPN Concentrator. Essa métrica está disponível para conexões VPN que usam um Site-to-Site VPN Concentrator. Use a estatística Média para mostrar o uso médio da largura de banda durante o período. Unidades: bits por segundo  | 

† Essas métricas podem relatar o uso da rede mesmo quando o túnel está inativo. Isso se deve a verificações periódicas de status realizadas no túnel e solicitações ARP e BGP em segundo plano.

Para filtrar os dados das métricas, use as dimensões a seguir.


| Dimensão | Description | 
| --- | --- | 
| `VpnId` |  Filtra os dados métricos pelo ID da conexão Site-to-Site VPN.  | 
| `TunnelIpAddress` |  Filtra os dados da métrica pelo endereço IP do túnel para o gateway privado virtual.  | 

# Veja as métricas do Amazon CloudWatch Logs para AWS Site-to-Site VPN
<a name="viewing-metrics"></a>

Quando você cria uma conexão Site-to-Site VPN, o serviço VPN envia métricas sobre sua conexão VPN à CloudWatch medida que elas se tornam disponíveis. É possível ver as métricas da conexão VPN da maneira a seguir.

**Para visualizar métricas usando o CloudWatch console**

As métricas são agrupadas primeiro pelo namespace do serviço e, em seguida, por várias combinações de dimensão dentro de cada namespace.

1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. No painel de navegação, selecione **Métricas**.

1. Em **All metrics**, escolha o namespace de métrica **VPN**.

1. Selecione a dimensão métrica para visualizar as métricas. Por exemplo, **Métricas do túnel VPN**.

**nota**  
O namespace VPN não aparecerá no CloudWatch console até que uma conexão Site-to-Site VPN tenha sido criada na AWS região que você está visualizando.

**Para visualizar métricas usando o AWS CLI**  
Em um prompt de comando, use o seguinte comando:

```
aws cloudwatch list-metrics --namespace "AWS/VPN"
```

# Crie CloudWatch alarmes da Amazon para monitorar túneis AWS Site-to-Site VPN
<a name="creating-alarms-vpn"></a>

Você pode criar um CloudWatch alarme que envia uma mensagem do Amazon SNS quando o alarme muda de estado. Um alarme observa uma única métrica por um período especificado por você e envia uma notificação para um tópico do Amazon SNS com base no valor da métrica em relação a determinado limite ao longo de vários períodos. 

Por exemplo, é possível criar um alarme que monitora o estado de um único túnel VPN e envia uma notificação quando o estado do túnel fica INATIVO para 3 pontos de dados em 15 minutos.

**Como criar um alarme para o estado de um único túnel**

1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. No painel de navegação, escolha **Alarmes** e **Todos os alarmes**.

1. Escolha **Criar alarme** e **Selecionar métrica**.

1. Escolha **VPN** e **Métricas do túnel VPN**.

1. Selecione o endereço IP do túnel desejado, na mesma linha da **TunnelState**métrica. Escolha **Selecionar métrica**.

1. For **Whenever TunnelState is...** , selecione **Inferior** e, em seguida, digite “1" no campo de entrada abaixo **de**... .

1. Em **Configuração adicional**, defina as entradas como “3 de 3” em **Pontos de dados a acionar**.

1. Escolha **Próximo**.

1. Em **Enviar uma notificação ao seguinte tópico do SNS**, selecione uma lista de notificações existente ou crie uma.

1. Escolha **Próximo**.

1. Insira um nome para o alarme. Escolha **Próximo**. 

1. Verifique as configurações do alarme e, depois, escolha **Create alarm (Criar alarme)**.

Você pode criar um alarme que monitore o estado da conexão Site-to-Site VPN. Por exemplo, é possível criar um alarme que envie uma notificação quando o status de um ou de ambos os túneis estiver INATIVO por um período de 5 minutos.

**Para criar um alarme para o estado da conexão Site-to-Site VPN**

1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. No painel de navegação, escolha **Alarmes** e **Todos os alarmes**.

1. Escolha **Criar alarme** e **Selecionar métrica**.

1. Escolha **VPN** e **VPN Connection Metrics (Métricas de conexão VPN)**.

1. Selecione sua conexão Site-to-Site VPN e a **TunnelState**métrica. Escolha **Select metric (Selecionar métrica)**.

1. Em **Statistic (Estatística)**, especifique **Maximum (Máximo)**.

   Como alternativa, se você configurou sua conexão Site-to-Site VPN para que os dois túneis estejam ativos, você pode especificar uma estatística de **Mínimo** para enviar uma notificação quando pelo menos um túnel estiver inativo.

1. Em **Sempre que**, escolha **Inferior ou igual a** (**<=**) e insira **0** (ou **0,5** para quando pelo menos um túnel estiver inativo). Escolha **Próximo**.

1. Em **Select an SNS topic (Selecionar um tópico do SNS)**, selecione uma lista de notificações existente ou escolha **New list (Nova lista)** para criar uma nova. Escolha **Próximo**.

1. Insira um nome e uma descrição para o alarme. Escolha **Próximo**. 

1. Verifique as configurações do alarme e, depois, escolha **Create alarm (Criar alarme)**.

Além disso, você pode criar alarmes que monitoram a quantidade de tráfego que está entrando ou saindo de um túnel VPN. Por exemplo, o alarme a seguir monitora a quantidade de tráfego de sua rede que está entrando no túnel VPN e envia uma notificação quando o número de bytes atingir o limite de 5.000.000 durante o período de 15 minutos.

**Para criar um alarme para tráfego de rede de entrada**

1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. No painel de navegação, escolha **Alarmes** e **Todos os alarmes**.

1. Escolha **Criar alarme** e **Selecionar métrica**.

1. Escolha **VPN** e **VPN Tunnel Metrics (Métricas de túnel VPN)**.

1. Selecione o endereço IP do túnel VPN e a **TunnelDataIn**métrica. Escolha **Select metric (Selecionar métrica)**.

1. Em **Statistic (Estatística)**, especifique **Sum (Soma)**. 

1. Em **Period (Período)**, selecione **15 minutes (15 minutos)**.

1. Em **Whenever (Sempre que)**, escolha **Greater/Equal (Maior que/igual a)** (**>=**) e insira **5000000**. Escolha **Próximo**.

1. Em **Select an SNS topic (Selecionar um tópico do SNS)**, selecione uma lista de notificações existente ou escolha **New list (Nova lista)** para criar uma nova. Escolha **Próximo**.

1. Insira um nome e uma descrição para o alarme. Escolha **Próximo**. 

1. Verifique as configurações do alarme e, depois, escolha **Create alarm (Criar alarme)**.

O alarme a seguir monitora a quantidade de tráfego de sua rede que está saindo do túnel VPN e envia uma notificação quando o número de bytes for inferior a 1.000.000 durante o período de 15 minutos.

**Para criar um alarme para tráfego de rede de saída**

1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. No painel de navegação, escolha **Alarmes** e **Todos os alarmes**.

1. Escolha **Criar alarme** e **Selecionar métrica**.

1. Escolha **VPN** e **VPN Tunnel Metrics (Métricas de túnel VPN)**.

1. Selecione o endereço IP do túnel VPN e a **TunnelDataOut**métrica. Escolha **Select metric (Selecionar métrica)**.

1. Em **Statistic (Estatística)**, especifique **Sum (Soma)**. 

1. Em **Period (Período)**, selecione **15 minutes (15 minutos)**.

1. Em **Whenever (Sempre que)**, escolha **Lower/Equal (Inferior/igual)** (**<=**) e insira `1000000`. Escolha **Próximo**.

1. Em **Select an SNS topic (Selecionar um tópico do SNS)**, selecione uma lista de notificações existente ou escolha **New list (Nova lista)** para criar uma nova. Escolha **Próximo**.

1. Insira um nome e uma descrição para o alarme. Escolha **Próximo**. 

1. Verifique as configurações do alarme e, depois, escolha **Create alarm (Criar alarme)**.

Para obter mais exemplos de criação de alarmes, consulte [Criação de CloudWatch alarmes da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) no Guia * CloudWatch do usuário da Amazon*.

# AWS Health e AWS Site-to-Site VPN eventos
<a name="monitoring-vpn-health-events"></a>

AWS Site-to-Site VPN envia notificações automaticamente para [Health Dashboard](https://docs.aws.amazon.com/health/latest/ug/aws-health-dashboard-status.html)o. Esse painel não requer configuração e está pronto para ser usado por AWS usuários autenticados. É possível configurar várias ações em resposta às notificações de eventos por meio do Health Dashboard.

O Health Dashboard fornece os seguintes tipos de notificações para suas conexões VPN:
+ [Notificações de substituição de endpoint do túnel](#tunnel-replacement-notifications)
+ [Notificações de VPN de túnel único](#single-tunnel-notifications)

## Notificações de substituição de endpoint do túnel
<a name="tunnel-replacement-notifications"></a>

Você recebe uma **notificação de substituição de endpoint de túnel** Health Dashboard quando um ou ambos os endpoints de túnel VPN em sua conexão VPN são substituídos. Um endpoint de túnel é substituído quando a AWS executa atualizações de túnel ou quando você modifica a conexão VPN. Para obter mais informações, consulte [AWS Site-to-Site VPN substituições de terminais de túneis](endpoint-replacements.md).

Quando uma substituição do endpoint do túnel é concluída, AWS envia a **notificação de substituição do endpoint do túnel** por meio de um Health Dashboard evento.

## Notificações de VPN de túnel único
<a name="single-tunnel-notifications"></a>

Uma conexão Site-to-Site VPN consiste em dois túneis para redundância. É altamente recomendável configurar ambos os túneis para alta disponibilidade. Se sua conexão VPN tiver um túnel ativado e o outro desativado por mais de uma hora em um dia, você receberá uma **notificação de túnel único de VPN** *mensal* por meio de um evento Health Dashboard . Esse evento será atualizado diariamente com todas as novas conexões VPN detectadas como um único túnel, com notificações enviadas semanalmente. A cada mês será criado um evento, o que apagará todas as conexões VPN que não forem mais detectadas como um único túnel.