本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Amazon 监控 AWS Site-to-Site VPN 隧道 CloudWatch
<a name="monitoring-cloudwatch-vpn"></a>

您可以使用监控 VPN 隧道 CloudWatch，它收集来自 VPN 服务的原始数据并将其处理为可读的近乎实时的指标。这些统计数据会保存 15 个月，从而使您能够访问历史信息，并能够更好地了解您的 Web 应用程序或服务的执行情况。VPN 指标数据可用 CloudWatch 时会自动发送到。

有关更多信息，请参阅 [Amazon CloudWatch 用户指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)。

**Topics**
+ [VPN 指标和维度](#metrics-dimensions-vpn)
+ [查看 VPN CloudWatch 指标](viewing-metrics.md)
+ [创建 CloudWatch 警报以监控 VPN 隧道](creating-alarms-vpn.md)

## VPN 指标和维度
<a name="metrics-dimensions-vpn"></a>

以下 CloudWatch 指标可用于您的 Site-to-Site VPN 连接。


| 指标 | 描述 | 
| --- | --- | 
|  `TunnelState`  |  隧道的状态。对于静态 VPNs，0 表示向下，1 表示向上。对于 BGP VPNs，1 表示已建立，0 表示所有其他状态。对于这两种类型 VPNs，介于 0 和 1 之间的值表示至少有一条隧道未开启。 单位：介于 0 和 1 之间的小数值   | 
|  `TunnelDataIn` †  |  连接 AWS 侧通过 VPN 隧道从客户网关接收的字节。每个指标数据点代表在前一数据点后接收的字节数。使用 Sum 统计数据显示在此期间收到的总字节数。 该指标对解密后的数据进行计数。 单位：字节  | 
|  `TunnelDataOut` †  |  从连接 AWS 侧通过 VPN 隧道发送到客户网关的字节。每个指标数据点代表在前一数据点后发送的字节数。使用 Sum 统计数据显示在此期间发送的总字节数。 该指标对加密前的数据进行计数。 单位：字节  | 
|  `ConcentratorBandwidthUsage`  |   Site-to-SiteVPN 集中器连接的带宽使用情况。此指标适用于使用 VPN 集中器的 Site-to-Site VPN 连接。使用平均值统计数据显示该时段内的平均带宽使用情况。 单位：每秒比特数  | 

† 即使隧道关闭，这些指标也可以报告网络使用情况。这是因为系统会定期检查隧道状态，以及后台 ARP 和 BGP 请求。

要筛选指标数据，请使用以下维度。


| 维度 | 说明 | 
| --- | --- | 
| `VpnId` |  按 Site-to-Site VPN 连接 ID 筛选指标数据。  | 
| `TunnelIpAddress` |  按虚拟专用网关隧道的 IP 地址筛选指标数据。  | 

# 查看 Amazon CloudWatch Logs 的指标 AWS Site-to-Site VPN
<a name="viewing-metrics"></a>

当您创建 Site-to-Site VPN 连接时，VPN 服务会在可用时向其 CloudWatch发送有关您的 VPN 连接的指标。您可以按如下方式查看 VPN 连接的指标。

**使用 CloudWatch 控制台查看指标**

指标的分组首先依据服务命名空间，然后依据每个命名空间内的各种维度组合。

1. 打开 CloudWatch 控制台，网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。

1. 在导航窗格中，选择**指标**。

1. 在 **All metrics** 下，选择 **VPN** 指标命名空间。

1. 选择指标维度以查看指标（例如，**VPN 隧道指标**）。

**注意**  
在您正在查看的 AWS 区域中创建 Site-to-Site VPN 连接后，VPN 命名空间才会出现在 CloudWatch 控制台中。

**要查看指标，请使用 AWS CLI**  
在命令提示符处输入下面的命令：

```
aws cloudwatch list-metrics --namespace "AWS/VPN"
```

# 创建 Amazon CloudWatch 警报以监控 AWS Site-to-Site VPN 隧道
<a name="creating-alarms-vpn"></a>

您可以创建一个 CloudWatch 警报，当警报状态发生变化时，该警报会发送 Amazon SNS 消息。警报会每隔一段时间（间隔由您指定）监控一个指标，并根据指标值与给定阈值的相对关系每隔若干个时间段向 Amazon SNS 主题发送一个通知。

例如，您可以创建警报来监控单个 VPN 隧道的状态，并在隧道状态在 15 分钟内的 3 个数据点为 DOWN 时发送通知。

**创建单个隧道状态的警报**

1. 打开 CloudWatch 控制台，网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。

1. 在导航窗格中，展开**警报**，然后选择**所有警报**。

1. 选择**创建警报**，然后选择**选择指标**。

1. 选择 **VPN**，然后选择 **VPN 隧道指标**。

1. 选择所需隧道的 IP 地址，与**TunnelState**指标位于同一行。选择**选择指标**。

1. 因为**无论何时 TunnelState 是...** ，选择 L **ow** er，然后在 th **an...** 下的输入字段中输入 “1” 。

1. 在**其他配置**下，对于**要发出警报的数据点**，将输入设置为“三取三”。

1. 选择**下一步**。

1. 在**向以下 SNS 主题发送通知**下，选择一个现有的通知列表或创建一个新的通知列表。

1. 选择**下一步**。

1. 输入警报的名称。选择**下一步**。

1. 检查警报的设置，然后选择**创建警报**。

您可以创建监控 Site-to-Site VPN 连接状态的警报。例如，您可以创建一个警报，以在一条或两条隧道的状态在一个 5 分钟的时段内为 DOWN 时发送通知。

**为 Site-to-Site VPN 连接状态创建警报**

1. 打开 CloudWatch 控制台，网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。

1. 在导航窗格中，展开**警报**，然后选择**所有警报**。

1. 选择**创建警报**，然后选择**选择指标**。

1. 选择 **VPN**，然后选择 **VPN 连接指标**。

1. 选择您的 Site-to-Site VPN 连接和**TunnelState**指标。选择**选择指标**。

1. 对于**统计数据**，指定**最大**。

   或者，如果您已将 Site-to-Site VPN 连接配置为两条隧道都处于开启状态，则可以将统计数据指定为 “**最小**”，以便在至少一条隧道关闭时发送通知。

1. 对于**每当**，选择**小于/等于**（**<=**）并输入 **0**（或当至少有一个隧道处于关闭状态时，输入 **0.5**）。选择 **Next (下一步)**。

1. 在**选择 SNS 主题**下，选择现有通知列表或选择**新建列表**，创建一个新列表。选择**下一步**。

1. 为您的警报输入名称和描述。选择**下一步**。

1. 检查警报的设置，然后选择**创建警报**。

您还可以创建警报来监控进入或离开 VPN 隧道的流量。例如，下面的警报监控从您的网络进入 VPN 隧道的流量，当字节数在 15 分钟内达到阈值 5000000 时发送通知。

**创建传入网络流量警报**

1. 打开 CloudWatch 控制台，网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。

1. 在导航窗格中，展开**警报**，然后选择**所有警报**。

1. 选择**创建警报**，然后选择**选择指标**。

1. 选择 **VPN**，然后选择 **VPN 隧道指标**。

1. 选择 VPN 隧道的 IP 地址和**TunnelDataIn**指标。选择**选择指标**。

1. 对于**统计数据**，指定**总和**。

1. 对于**时段**，选择 **15 分钟**。

1. 对于 **Whenever**（每当），选择 **Greater/Equal**（**大于/等于，>=**），然后输入 **5000000**。选择 **Next (下一步)**。

1. 在**选择 SNS 主题**下，选择现有通知列表或选择**新建列表**，创建一个新列表。选择**下一步**。

1. 为您的警报输入名称和描述。选择**下一步**。

1. 检查警报的设置，然后选择**创建警报**。

下面的警报监控离开 VPN 隧道进入您的网络的流量，当字节数在 15 分钟内少于 1000000 时发送通知。

**创建传出网络流量警报**

1. 打开 CloudWatch 控制台，网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。

1. 在导航窗格中，展开**警报**，然后选择**所有警报**。

1. 选择**创建警报**，然后选择**选择指标**。

1. 选择 **VPN**，然后选择 **VPN 隧道指标**。

1. 选择 VPN 隧道的 IP 地址和**TunnelDataOut**指标。选择**选择指标**。

1. 对于**统计数据**，指定**总和**。

1. 对于**时段**，选择 **15 分钟**。

1. 对于**每当**，选择**小于/等于** (**<=**)，然后输入 `1000000`。选择 **Next (下一步)**。

1. 在**选择 SNS 主题**下，选择现有通知列表或选择**新建列表**，创建一个新列表。选择**下一步**。

1. 为您的警报输入名称和描述。选择**下一步**。

1. 检查警报的设置，然后选择**创建警报**。

有关创建警报的更多示例，请参阅[亚马逊* CloudWatch 用户指南中的创建亚马逊 CloudWatch *警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)。