本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 監控 AWS Site-to-Site VPN 連線
<a name="monitoring-overview-vpn"></a>

監控是維護 AWS Site-to-Site VPN 連線可靠性、可用性和效能的重要部分。您應該收集解決方案全面的監控資料，以便在出現多點故障時更輕鬆的進行偵錯。在開始監控您的站台對站台 VPN 連接之前，您應該制定監控計畫，其中應包含下列問題的答案：
+ 監控目標是什麼？
+ 要監控哪些資源？
+ 監控這些資源的頻率為何？
+ 要使用哪些監控工具？
+ 誰將執行監控任務？
+ 發生問題時應該通知誰？

下一步是在各個時間點和不同的負載條件下測量效能，以在您的環境中確立 VPN 正常效能的基準。當您監控 VPN 時，請存放歷史記錄監控資料，如此才能與目前的效能資料做比較、辨識正常效能模式和效能異常狀況、規劃問題處理方式。

若要建立基準，您應監控下列項目：
+ VPN 通道的狀態
+ 傳入通道的資料
+ 從通道傳出的資料

**Topics**
+ [監控工具](#monitoring-automated-manual)
+ [Site-to-Site日誌](monitoring-logs.md)
+ [使用 CloudWatch Site-to-Site VPN 通道](monitoring-cloudwatch-vpn.md)
+ [AWS Health 和Site-to-Site事件](monitoring-vpn-health-events.md)

## 監控工具
<a name="monitoring-automated-manual"></a>

AWS 提供各種工具，可讓您用來監控Site-to-Site連線。您可以設定其中一些工具來進行監控，但有些工具需要手動介入。建議您盡可能自動化監控任務。

### 自動化監控工具
<a name="monitoring-automated_tools"></a>

您可以使用下列自動化監控工具來監看站台對站台 VPN 連接，並在發生錯誤時回報：
+ **Amazon CloudWatch 警示** — 在您指定的時段內監看單一指標，並根據指標在多個時段內相對於指定閾值的值執行一或多個動作。動作是傳送至 Amazon SNS 主題的通知。CloudWatch 警示不會只因處於特定狀態就叫用動作，狀態必須已變更並已維持一段指定的時間。如需詳細資訊，請參閱[使用 Amazon CloudWatch 監控 AWS Site-to-Site VPN 通道](monitoring-cloudwatch-vpn.md)。
+ **AWS CloudTrail 日誌監控** — 在帳戶之間共用日誌檔案、透過將日誌檔案傳送到 CloudWatch Logs 來即時監控 CloudTrail 日誌檔案、在 Java 中寫入日誌處理應用程式，以及驗證您的日誌檔案在 CloudTrail 交付後並未變更。如需詳細資訊，請參閱《*Amazon EC2 * [API 參考》中的使用 記錄 API 呼叫 AWS CloudTrail](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitor-with-cloudtrail.html)和*AWS CloudTrail 《 使用者指南*》中的[使用 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html)。
+ **AWS Health 事件** — 接收與Site-to-Site通道運作狀態變更、最佳實務組態建議或接近擴展限制相關的提醒和通知。使用 [Personal Health Dashboard](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html) 上的事件來觸發自動容錯移轉、減少故障診斷時間，或是將連線最佳化來達到高可用性。如需更多詳細資訊，請參閱 [AWS Health 和 AWS Site-to-Site VPN 事件](monitoring-vpn-health-events.md)。

### 手動監控工具
<a name="monitoring-manual-tools"></a>

監控站台對站台 VPN 連接的另一個重要部分是手動監控 CloudWatch 警示未涵蓋的項目。Amazon VPC 和 CloudWatch 主控台儀表板可讓您at-a-glance檢視 AWS 環境的狀態。

**注意**  
在 Amazon VPC 主控台中，Site-to-Site通道狀態參數，例如「狀態」和「上次狀態變更」，可能不會反映暫時性狀態變更或瞬間通道切換。建議使用 CloudWatch 指標和日誌進行精細通道狀態變更更新。
+ Amazon VPC 儀表板顯示：
  + 各區域的服務運作狀態
  + 站台對站台 VPN 連接
  + VPN 通道狀態 (在導覽窗格中，選擇 **Site-to-Site VPN Connections (站台對站台 VPN 連接)**，選取站台對站台 VPN 連接，接著選擇 **Tunnel Details (通道詳細資訊)**)
+ CloudWatch 首頁會顯示：
  + 目前警示與狀態
  + 警示與資源的圖表
  + 服務運作狀態

  此外，您可以使用 CloudWatch 執行下列動作：
  + 建立[自定儀表板](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)來監控您注重的服務
  + 用於疑難排解問題以及探索驅勢的圖形指標資料。
  + 搜尋和瀏覽您的所有 AWS 資源指標
  + 建立與編輯要通知發生問題的警示

# AWS Site-to-Site VPN 日誌
<a name="monitoring-logs"></a>

AWS Site-to-Site VPN 日誌可讓您更深入了解Site-to-Site VPN 部署。透過此功能，您可以存取Site-to-Site連線日誌，該日誌提供有關 IP 安全 (IPsec) 通道建立、網際網路金鑰交換 (IKE) 交涉、無效對等偵測 (DPD) 通訊協定訊息、邊界閘道通訊協定 (BGP) 狀態和路由更新的詳細資訊。

站台對站台 VPN 日誌可以發佈至 Amazon CloudWatch Logs。此功能為客戶提供一個一致的方式，來存取和分析其所有站台對站台 VPN 連接的詳細日誌。

**Topics**
+ [站台對站台 VPN 日誌的優點](#log-benefits)
+ [Amazon CloudWatch Logs 資源政策大小限制](#cwl-policy-size)
+ [Site-to-Site日誌內容](#log-contents)
+ [通道 BGP 日誌的範例日誌格式](#example-bgp-logs)
+ [發佈到 CloudWatch 日誌的 IAM 要求](#publish-cw-logs)
+ [檢視站台對站台 VPN 日誌組態](status-logs.md)
+ [啟用站台對站台 VPN 日誌](enable-logs.md)
+ [停用站台對站台 VPN 日誌](disable-logs.md)

## 站台對站台 VPN 日誌的優點
<a name="log-benefits"></a>
+ **簡化 VPN 疑難排解：**Site-to-Site日誌可協助您精確找出 AWS 和客戶閘道裝置之間的組態不相符，並解決初始 VPN 連線問題。VPN 連接可能會因為設定錯誤 (例如調整不良的逾時) 而間歇性地震盪一段時間，基礎傳輸網路 (例如網際網路天氣) 可能會發生問題，或者路由變更或路徑失敗可能會造成透過 VPN 的連接中斷。此功能可讓您準確診斷間歇性連線失敗的原因，並微調低階通道組態，讓作業穩定可靠。
+ **集中 AWS Site-to-Site VPN 可見性：**Site-to-Site日誌可以在所有Site-to-Site連線類型中提供通道活動和 BGP 路由日誌。此功能為客戶提供一個一致的方式，來存取和分析其所有站台對站台 VPN 連接的詳細日誌。
+ **安全與合規：**您可以將站台對站台 VPN 日誌傳送到 Amazon CloudWatch Logs，以便對一段時間內的 VPN 連接狀態和活動進行回溯性分析。這可以協助您滿足合規性與法規的要求。

## Amazon CloudWatch Logs 資源政策大小限制
<a name="cwl-policy-size"></a>

CloudWatch Logs 資源政策的限制為 5120 個字元。CloudWatch Logs 偵測到政策接近此大小限制時，會自動啟用開頭為 `/aws/vendedlogs/` 的日誌群組。啟用日誌時，Site-to-Site VPN 必須使用您指定的日誌群組更新 CloudWatch Logs 資源政策。若要避免達到 CloudWatch Logs 資源政策大小限制，請在日誌群組名稱前面加上 `/aws/vendedlogs/`。

## Site-to-Site日誌內容
<a name="log-contents"></a>

站台對站台 VPN 通道活動日誌中包含下列資訊。日誌串流檔案名稱使用 VpnConnectionID 和 TunnelOutsideIPAddress。


| 欄位 | Description | 
| --- | --- | 
|  VpnLogCreationTimestamp (`event_timestamp`)  |  epoch 時間格式的日誌建立時間戳記。  | 
|  VpnLogCreationTimestampReadable (`timestamp`)  |  以人類可讀取的時間格式建立日誌時間戳記。  | 
|  TunnelDPDEnabled (`dpd_enabled`)  |  失效對等偵測通訊協定啟用狀態 (True/False)。  | 
|  TunnelCGWNATTDetectionStatus (`nat_t_detected`)  | 在客戶閘道裝置上偵測到 NAT-T (True/False)。 | 
|  TunnelIKEPhase1State (`ike_phase1_state`)  | IKE 階段 1 通訊協定狀態 (已建立 \$1 重新輸入 \$1 交涉 \$1 失效)。 | 
| TunnelIKEPhase2State (ike\$1phase2\$1state) | IKE 階段 2 通訊協定狀態 (已建立 \$1 重新輸入 \$1 交涉 \$1 失效)。 | 
| VpnLogDetail (details) | IPsec、IKE 和 DPD 通訊協定的詳細資訊。 | 

下列資訊包含在Site-to-Site通道 BGP 日誌中。日誌串流檔案名稱使用 VpnConnectionID 和 TunnelOutsideIPAddress。


| 欄位 | Description | 
| --- | --- | 
|  resource\$1id  |  唯一 ID，用於識別與日誌相關聯的通道和 VPN 連接。  | 
|  event\$1timestamp  |  epoch 時間格式的日誌建立時間戳記。  | 
|  timestamp  |  以人類可讀取的時間格式建立日誌時間戳記。  | 
|  type  | BGP 日誌事件的類型 (BGPStatus \$1 RouteStatus)。 | 
|  status  | 特定類型日誌事件的狀態更新 (BGPStatus：UP \$1 DOWN) (RouteStatus：ADVERTISED \$1route is a對等公告\$1 \$1 UPDATED：\$1現有路由已由對等更新\$1 \$1 WITHDRAWN：\$1route is withdraw by對等\$1) 。 | 
| message | 提供日誌偶數和狀態的其他詳細資訊。此欄位將協助您了解為什麼 BGPStatus 在 RouteStatus 訊息中交換了哪些路由屬性。 | 

**Topics**
+ [IKEv1 錯誤訊息](#sample-log-ikev1)
+ [IKEv2 錯誤訊息](#sample-log-ikev2)
+ [IKEv2 溝通訊息](#sample-log-ikev2-negotiation)
+ [BGP 狀態訊息](#sample-bgp-status-messages)
+ [路由狀態訊息](#sample-route-status-messages)

### IKEv1 錯誤訊息
<a name="sample-log-ikev1"></a>


| 訊息 | 說明 | 
| --- | --- | 
|  Peer is not responsive - Declaring peer dead (對等端沒有回應 - 宣布對等端失效)  |  對等端尚未回應 DPD 訊息，因此強制執行 DPD 逾時動作。  | 
|  AWS 由於預先共用金鑰無效，通道承載解密失敗  |  必須在兩個 IKE 對等端上設定相同的預先共用金鑰。  | 
|  找不到提案比對 AWS  |  AWS VPN 端點不支援階段 1 的建議屬性 （加密、雜湊和 DH 群組），例如 `3DES`。  | 
|  No Proposal Match Found. Notifying with "No proposal chosen" (找不到相符的提案。以「未選擇提案」通知)  |  對等端之間會交換「未選擇提案」錯誤訊息，以通知您必須在 IKE 對等端上針對階段 2 設定正確的提案/政策。  | 
|  AWS 通道已透過 SPI 收到階段 2 SA 的 DELETE：xxxx  | CGW 已傳送階段 2 的 Delete\$1SA 訊息。 | 
|  AWS 從 CGW 收到適用於 IKE\$1SA 的 DELETE 通道  | CGW 已傳送階段 1 的 Delete\$1SA 訊息。 | 

### IKEv2 錯誤訊息
<a name="sample-log-ikev2"></a>


| 訊息 | 說明 | 
| --- | --- | 
|  AWS \$1retry\$1count\$1 重新傳輸後通道 DPD 逾時  |  對等端尚未回應 DPD 訊息，因此強制執行 DPD 逾時動作。  | 
|  AWS 從 CGW 收到適用於 IKE\$1SA 的 DELETE 通道  |  對等已傳送父系/IKE\$1SA 的 Delete\$1SA 訊息。  | 
| AWS 通道已透過 SPI 收到階段 2 SA 的 DELETE：xxxx | 對等已傳送 CHILD\$1SA 的 Delete\$1SA 訊息。 | 
|  AWS 通道偵測到 (CHILD\$1REKEY) 碰撞為 CHILD\$1DELETE  |  CGW 已傳送作用中 SA 的 Delete\$1SA 訊息，該 SA 正在重設金鑰。  | 
|  AWS 由於偵測到碰撞，通道 (CHILD\$1SA) 備援 SA 正在刪除  | 由於碰撞，如果產生備援 SAs，在符合 RFC 中的 nonce 值之後，對等將關閉備援 SA。 | 
|  AWS 通道階段 2 在保留階段 1 時無法建立  | 對等因交涉錯誤而無法建立 CHILD\$1SA，例如提議不正確。 | 
| AWS: Traffic Selector: TS\$1UNACCEPTABLE: received from responder (：流量選擇器：TS\$1UNACCEPTABLE：從回應方接收) | 對等端提出不正確的流量選擇器/加密網域。對等端應使用相同且正確的 CIDR 進行配置。 | 
| AWS 通道正在傳送 AUTHENTICATION\$1FAILED 作為回應 | 對等端無法透過確認 IKE\$1AUTH 訊息的內容來驗證對等端 | 
| AWS 通道偵測到與 cgw 的預先共用金鑰不相符：xxxx | 必須在兩個 IKE 對等端上設定相同的預先共用金鑰。 | 
| AWS 通道逾時：刪除具有 cgw 的未建立階段 1 IKE\$1SA：xxxx | 由於對等端尚未進行溝通，刪除半開啟的 IKE\$1SA | 
| No Proposal Match Found. Notifying with "No proposal chosen" (找不到相符的提案。以「未選擇提案」通知) | 對等端之間會交換「未選擇提案」錯誤訊息，以通知您必須在 IKE 對等端上設定正確的提案。 | 
| 找不到提案比對 AWS |  AWS VPN 端點不支援階段 1 或階段 2 （加密、雜湊和 DH 群組） 的建議屬性，例如 `3DES`。 | 

### IKEv2 溝通訊息
<a name="sample-log-ikev2-negotiation"></a>


| 訊息 | 說明 | 
| --- | --- | 
|  AWS CREATE\$1CHILD\$1SA 的通道處理請求 (id=xxx)  |  AWS 已收到來自 CGW 的 CREATE\$1CHILD\$1SA 請求。  | 
|  AWS 通道正在傳送 CREATE\$1CHILD\$1SA 的回應 (id=xxx)  |  AWS 正在傳送 CREATE\$1CHILD\$1SA 回應至 CGW。  | 
| AWS 通道正在傳送 CREATE\$1CHILD\$1SA 的請求 (id=xxx) | AWS 正在將 CREATE\$1CHILD\$1SA 請求傳送至 CGW。 | 
|  AWS CREATE\$1CHILD\$1SA 的通道處理回應 (id=xxx)  |  AWS 已收到 CREATE\$1CHILD\$1SA 回應表單 CGW。  | 

### BGP 狀態訊息
<a name="sample-bgp-status-messages"></a>

 BGP 狀態訊息包含與 BGP 工作階段狀態轉換、字首限制警告、限制違規、BGP 工作階段通知、BGP OPEN 訊息，以及指定 BGP 工作階段之 BGP 鄰近的屬性更新相關的資訊。


| 訊息 | BGP 狀態 | 說明 | 
| --- | --- | --- | 
|   AWS 端對等 BGP 工作階段狀態已從閒置變更為與相鄰 \$1ip： xxx\$1 連線   |   向下   |   AWS 端的 BGP 連線狀態已更新為 Connect。  | 
|   AWS 端對等 BGP 工作階段狀態已從 Connect 變更為具有相鄰 \$1ip： xxx\$1 的 OpenSent   |   向下   |   AWS 端的 BGP 連線狀態已更新為 OpenSent。  | 
|   AWS 端對等 BGP 工作階段狀態已從 OpenSent 變更為具有相鄰 \$1ip： xxx\$1 的 OpenConfirm   |   向下   |   AWS 端的 BGP 連線狀態已更新為 OpenConfirm。  | 
|   AWS 端對等 BGP 工作階段狀態已從 OpenConfirm 變更為與相鄰 \$1ip： xxx\$1 建立   |   UP   |   AWS 端的 BGP 連線狀態已更新為已建立。  | 
|   AWS 端對等 BGP 工作階段狀態已從建立變更為使用相鄰 \$1ip： xxx\$1 閒置   |   向下   |   AWS 端的 BGP 連線狀態已更新為閒置。  | 
|   AWS 端對等 BGP 工作階段狀態已從 Connect 變更為 Active 且鄰 \$1ip： xxx\$1   |   向下   |   AWS 端的 BGP 連線狀態已從 Connect 轉換為 Active。如果 BGP 工作階段卡在連線狀態，請檢查 CGW 上的 TCP 連接埠 179 可用性。  | 
|   AWS 端對等報告字首限制上限警告 - 收到來自相鄰 \$1ip： xxx\$1 的 \$1prefixes (count)： xxx\$1 字首，限制為 \$1limit (numeric)： xxx\$1   |   UP   |   當從 CGW 收到的字首數量接近允許的限制時，AWS 端會定期產生日誌訊息。  | 
|   AWS 端對等偵測到超過字首上限 - 從相鄰 \$1ip： xxx\$1 收到 \$1prefixes (count)： xxx\$1 字首，限制為 \$1limit (numeric)： xxx\$1   |   向下   |   當從 CGW 收到的字首數量超過允許的限制時，AWS 端會產生日誌訊息。  | 
|   AWS 端對等節點傳送通知 6/1 （已到達的字首數/最大數） 給鄰 \$1ip： xxx\$1   |   向下   |   AWS 端傳送通知給 CGW BGP 對等，指出 BGP 工作階段因字首限制違規而終止。  | 
|   AWS 端對等收到來自相鄰 \$1ip： xxx\$1 的通知 6/1 （已到達的字首數/已達到的字首數上限）   |   向下   |  AWS 端收到來自 CGW 對等的通知，指出 BGP 工作階段因字首限制違規而終止。  | 
|   AWS 端對等傳送通知 6/2 （事件/管理關機） 給相鄰 \$1ip： xxx\$1   |   向下   |   AWS 端傳送通知給 CGW BGP 對等，指出 BGP 工作階段已終止。  | 
|   AWS 端對等收到來自相鄰 \$1ip： xxx\$1 的通知 6/2 （事件/管理關機）   |   向下   |   AWS 端收到來自 CGW 對等的通知，指出 BGP 工作階段已終止。  | 
|   AWS 端對等已將通知 6/3 （未設定事件/對等） 傳送至相鄰 \$1ip： xxx\$1   |   向下   |   AWS 端向 CGW 對等傳送通知，指出對等未設定或已從組態中移除。  | 
|   AWS 端對等收到來自相鄰 \$1ip： xxx\$1 的通知 6/3 （事件/對等未設定）   |   向下   |   AWS 端收到來自 CGW 對等的通知，指出對等未設定或已從組態中移除。  | 
|   AWS 端對等已將通知 6/4 （事件/管理重設） 傳送至相鄰 \$1ip： xxx\$1   |   向下   |   AWS 端傳送通知給 CGW BGP 對等，以指出 BGP 工作階段已重設。  | 
|   AWS 端對等收到來自相鄰 \$1ip： xxx\$1 的通知 6/4 （事件/管理重設）   |   向下   |   AWS 端收到來自 CGW 對等的通知，指出 BGP 工作階段已重設。  | 
|   AWS 端對等已將通知 6/5 （事件/連線遭拒） 傳送至相鄰 \$1ip： xxx\$1   |   向下   |   AWS 端向 CGW BGP 對等傳送通知，指出 BGP 工作階段遭拒。  | 
|   AWS 端對等收到來自相鄰 \$1ip： xxx\$1 的通知 6/5 （拒絕事件/連線）   |   向下   |   AWS 端收到來自 CGW 對等的通知，指出 BGP 工作階段遭到拒絕。  | 
|   AWS 端對等已將通知 6/6 （事件/其他組態變更） 傳送至相鄰 \$1ip： xxx\$1   |   向下   |   AWS 端向 CGW BGP 對等傳送通知，指出 BGP 工作階段組態變更已發生。  | 
|   AWS 端對等接收來自相鄰 \$1ip： xxx\$1 的通知 6/6 （事件/其他組態變更）   |   向下   |   AWS 端收到來自 CGW 對等的通知，指出 BGP 工作階段組態變更已發生。  | 
|   AWS 端對等傳送通知 6/7 （事件/連線碰撞解決方案） 給相鄰 \$1ip： xxx\$1   |   向下   |   當兩個對等嘗試同時建立連線時，AWS 端會傳送通知給 CGW 對等，以解決連線衝突。  | 
|   AWS 端對等收到來自相鄰 \$1ip： xxx\$1 的 6/7 通知 （事件/連線碰撞解決方案）   |   向下   |   AWS 端收到來自 CGW 對等的通知，指出當兩個對等嘗試同時建立連線時，連線碰撞的解析度。  | 
|   AWS 端對等已將保留計時器過期通知傳送給相鄰 \$1ip： xxx\$1   |   向下   |   BGP 保留計時器已過期，且 AWS 端已傳送通知至 CGW。  | 
|   AWS 端對等偵測到鄰 \$1ip： xxx\$1- 遠端 AS 為 \$1asn： xxx\$1，預期為 \$1asn： xxx\$1 的 OPEN 訊息   |   向下   |   AWS 端偵測到從 CGW 對等收到錯誤的 OPEN 訊息，這表示組態不相符。  | 
|   AWS 端對等收到來自相鄰 \$1ip： xxx\$1- 第 4 版 AS \$1asn： xxx\$1、保留時間 \$1holdtime （秒）： xxx\$1、路由器 ID \$1id： xxx\$1\$1 的 OPEN 訊息   |   向下   |   AWS 端收到 BGP 開啟訊息，以使用 CGW 對等啟動 BGP 工作階段。  | 
|   AWS 端對等傳送 OPEN 訊息給相鄰 \$1ip： xxx\$1- 第 4 版，AS \$1asn： xxx\$1，保留時間 \$1holdtime （秒）： xxx\$1，路由器 ID \$1id： xxx\$1   |   向下   |   CGW 對等傳送 BGP 開啟訊息，以使用 AWS 端 BGP 對等啟動 BGP 工作階段。  | 
|   AWS 端對等正在啟動與相鄰 \$1ip： xxx\$1 的連線 （透過 Connect)   |   向下   |   AWS 端正在嘗試與 CGW BGP 相鄰連線。  | 
|   AWS 端對等傳送 End-of-RIB訊息給相鄰 \$1ip： xxx\$1   |   UP   |   在建立 BGP 工作階段後，AWS 端已完成將路由傳輸到 CGW。  | 
|   AWS 端對等收到更新，其中包含來自相鄰 \$1ip： xxx\$1- AS 路徑： \$1aspath （清單）： xxx xxx xxx\$1 的屬性   |   UP   |   AWS 端收到來自鄰近的 BGP 工作階段屬性更新。  | 

### 路由狀態訊息
<a name="sample-route-status-messages"></a>

 與 BGP 狀態訊息不同，路由狀態訊息包含指定字首的 BGP 屬性相關資料，例如 AS 路徑、本機偏好設定、多出口辨別器 (MED)、下一個躍點 IP 地址和權重。只有在路由錯誤為 ADVERTISED、UPPDATED 或 WITHDRAWN 時，路由狀態訊息才會包含詳細資訊欄位。範例如下 


| 訊息 | 說明 | 
| --- | --- | 
|   拒絕原因：as-path 包含我們自己的 AS   |   AWS 拒絕來自 CGW 新字首的 BGP 更新訊息，因為路由包含 AWS 端對等自有 AS。  | 
|   拒絕原因：未連線的下一躍點   |   由於未連線的下一躍點驗證失敗，AWS 拒絕來自 CGW 字首的 BGP 路由公告。確保可在 CGW 端連接路由。  | 

## 通道 BGP 日誌的範例日誌格式
<a name="example-bgp-logs"></a>

```
{
    "resource_id": "vpn-1234abcd_1.2.3.4",
    "event_timestamp": 1762580429641,
    "timestamp": "2025-11-08 05:40:29.641Z",
    "type": "BGPStatus",
    "status": "UP",
    "message": {
        "details": "AWS-side peer BGP session state has changed from OpenConfirm to Established with neighbor 169.254.50.85"
    }
}

{
    "resource_id": "vpn-1234abcd_1.2.3.4",
    "event_timestamp": 1762579573243,
    "timestamp": "2025-11-08 05:26:13.243Z",
    "type": "RouteStatus",
    "status": "UPDATED",
    "message": {
        "prefix": "172.31.0.0/16",
        "asPath": "64512",
        "localPref": 100,
        "med": 100,
        "nextHopIp": "169.254.50.85",
        "weight": 32768,
        "details": "DENIED due to: as-path contains our own AS"
    }
}
```

## 發佈到 CloudWatch 日誌的 IAM 要求
<a name="publish-cw-logs"></a>



若要讓記錄功能正常運作，用於設定功能、連接至 IAM 主體的 IAM 政策必須至少包含下列許可。如需更多詳細資訊，請參閱《*Amazon CloudWatch Logs 使用者指南*》中的[從特定 AWS 服務啟用記錄](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html)一節。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}
```

------

# 檢視 AWS Site-to-Site VPN 日誌組態
<a name="status-logs"></a>

檢視Site-to-Site連線的活動日誌。您可以在這裡檢視組態的詳細資訊，例如加密演算法，或是否啟用通道 VPN 日誌。您也可以檢視通道狀態。這可協助您更好地追蹤與 VPN 連線可能發生的任何問題或衝突。

**檢視目前通道日誌設定**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**站台對站台 VPN 連接**。

1. 從 **VPN connections** (VPN 連接) 清單選取您要檢視的 VPN 連接。

1. 選擇 **Tunnel details** (通道詳細資料) 索引標籤。

1. 展開 **Tunnel 1 options** (通道 1 選項) 和**Tunnel 2 options** (通道 2 選項)，以檢視所有通道組態詳細資訊。

1. 您可以檢視通道 **VPN 日誌的目前狀態通道** VPN 日誌功能，以及通道 VPN 日誌的 CloudWatch 日誌群組下目前設定的 CloudWatch 日誌群組 （如果有的話），以及**通道 VPN 日誌的輸出格式**下的日誌輸出格式。 **CloudWatch ** 

1. 您可以檢視通道 VPN 日誌的 CloudWatch 日誌群組下的目前狀態**通道 BGP** 日誌功能，以及目前設定的 CloudWatch 日誌群組 （如果有的話），以及**通道 BGP 日誌的輸出格式下的日誌**輸出格式。 **CloudWatch ** 

**使用 AWS 命令列或 API 在Site-to-Site連接上檢視目前的通道記錄設定**
+ [DescribeVpnConnections](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnConnections.html) (Amazon EC2 查詢 API)
+ [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html) (AWS CLI)

# 啟用 AWS Site-to-Site VPN 日誌
<a name="enable-logs"></a>

啟用Site-to-Site日誌以記錄 VPN 活動，例如通道狀態和其他詳細資訊。您可以在新連線上啟用記錄，或修改現有連線以開始記錄活動。如果您想要停用連線的記錄，請參閱 [停用站台對站台 VPN 日誌](disable-logs.md)。

**注意**  
當您為現有 VPN 連接通道啟用站台對站台 VPN 日誌時，該通道的連線可能會中斷數分鐘。不過，每個 VPN 連接都提供兩個通道以達到高可用性，因此您可以允許一次一個通道上的日誌功能，同時保持通道的連接不會遭到修改。如需詳細資訊，請參閱[AWS Site-to-Site VPN 通道端點替換](endpoint-replacements.md)。

**在建立新的站台對站台 VPN 連接期間啟用 VPN 日誌**  
遵循[步驟 5：建立 VPN 連接](SetUpVPNConnections.md#vpn-create-vpn-connection)程序。在進行步驟 9 **通道選項**期間，您可以指定要用於兩個通道的所有選項，包括 **VPN logging** (VPN 日誌) 選項。如需關於這些選項的詳細資訊，請參閱 [AWS Site-to-Site VPN 連線的通道選項](VPNTunnels.md)。

**使用 AWS 命令列或 API 在新的 Site-to-Site VPN 連線上啟用通道記錄**
+ [CreateVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnConnection.html) (Amazon EC2 查詢 API)
+ [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html) (AWS CLI)

**在現有的Site-to-Site連接上啟用通道活動記錄**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**站台對站台 VPN 連接**。

1. 從 **VPN connections** (VPN 連接)清單中，選取您要修改的 VPN 連接。

1. 選取 **Actions** (動作)、**Modify VPN tunnel options** (修改 VPN 通道選項)。

1. 選取您要修改的通道，方法是從 **VPN tunnel outside IP address** (IP 地址外的 VPN 通道) 清單中選擇適當的 IP 地址。

1. 在 **Tunnel activity log** (通道活動日誌) 下方選取 **Enable** (啟用)。

1. 在 **Amazon CloudWatch log group** (Amazon CloudWatch 日誌群組) 下方，選取您要傳送日誌的 Amazon CloudWatch 日誌群組。

1. (選擇性) 在 **Output format** (輸出格式) 下方，選擇所需的日誌輸出格式 **json** 或 **text** (文字)。

1. 選取 **Save Changes** (儲存變更)。

1. (選擇性) 視需要針對另一個通道重複步驟 4 到 9。

**在現有的Site-to-Site連接上啟用通道 BGP 記錄**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**站台對站台 VPN 連接**。

1. 從 **VPN connections** (VPN 連接)清單中，選取您要修改的 VPN 連接。

1. 選取 **Actions** (動作)、**Modify VPN tunnel options** (修改 VPN 通道選項)。

1. 選取您要修改的通道，方法是從 **VPN tunnel outside IP address** (IP 地址外的 VPN 通道) 清單中選擇適當的 IP 地址。

1. 在**通道 BGP 日誌**下，選取**啟用**。

1. 在 **Amazon CloudWatch log group** (Amazon CloudWatch 日誌群組) 下方，選取您要傳送日誌的 Amazon CloudWatch 日誌群組。

1. (選擇性) 在 **Output format** (輸出格式) 下方，選擇所需的日誌輸出格式 **json** 或 **text** (文字)。

1. 選取 **Save Changes** (儲存變更)。

1. (選擇性) 視需要針對另一個通道重複步驟 4 到 9。

**使用 AWS 命令列或 API 在現有的 Site-to-Site VPN 連線上啟用通道記錄**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html) (Amazon EC2 Query API)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)

# 停用 AWS Site-to-Site VPN 日誌
<a name="disable-logs"></a>

如果您不想再追蹤連線上的任何活動，請在連線上停用 VPN 記錄。此動作只會停用記錄，不會影響該連線的任何其他內容。若要在連線上啟用或停用記錄，請參閱 [啟用站台對站台 VPN 日誌](enable-logs.md)。

**在Site-to-Site連接上停用通道活動記錄**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Site-to-Site VPN Connections** (Site-to-Site VPN 連接)。

1. 從 **VPN connections** (VPN 連接)清單中，選取您要修改的 VPN 連接。

1. 選取 **Actions** (動作)、**Modify VPN tunnel options** (修改 VPN 通道選項)。

1. 選取您要修改的通道，方法是從 **VPN tunnel outside IP address** (IP 地址外的 VPN 通道) 清單中選擇適當的 IP 地址。

1. 在 **Tunnel activity log** (通道活動日誌) 清除 **Enable** (啟用)。

1. 選取 **Save Changes** (儲存變更)。

1. (選擇性) 視需要針對另一個通道重複步驟 4 到 7。

**在Site-to-Site連接上停用通道 BGP 記錄**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Site-to-Site VPN Connections** (Site-to-Site VPN 連接)。

1. 從 **VPN connections** (VPN 連接)清單中，選取您要修改的 VPN 連接。

1. 選取 **Actions** (動作)、**Modify VPN tunnel options** (修改 VPN 通道選項)。

1. 選取您要修改的通道，方法是從 **VPN tunnel outside IP address** (IP 地址外的 VPN 通道) 清單中選擇適當的 IP 地址。

1. 在**通道 BGP 日誌**下，清除**啟用**。

1. 選取 **Save Changes** (儲存變更)。

1. (選擇性) 視需要針對另一個通道重複步驟 4 到 7。

**使用 AWS 命令列或 API Site-to-Site連接上停用通道記錄**
+ [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html) (Amazon EC2 Query API)
+ [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) (AWS CLI)

# 使用 Amazon CloudWatch 監控 AWS Site-to-Site VPN 通道
<a name="monitoring-cloudwatch-vpn"></a>

您可以使用 CloudWatch 監控 VPN 通道，收集來自 VPN 服務的原始資料，並處理為可讀且近乎即時的指標。這些統計資料會記錄 15 個月的時間，以便您存取歷史資訊，並更清楚 Web 應用程式或服務的執行效能。VPN 指標資料變為可用時，會自動傳送至 CloudWatch。

如需詳細資訊，請參閱 [Amazon CloudWatch 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)。

**Topics**
+ [VPN 指標和維度](#metrics-dimensions-vpn)
+ [檢視 VPN CloudWatch 指標](viewing-metrics.md)
+ [建立 CloudWatch 警示以監控 VPN 通道](creating-alarms-vpn.md)

## VPN 指標和維度
<a name="metrics-dimensions-vpn"></a>

下列 CloudWatch 指標適用於 Site-to-Site VPN 連線。


| 指標 | 描述 | 
| --- | --- | 
|  `TunnelState`  |  通道的狀態。對於靜態 VPN，0 表示 DOWN，1 表示 UP。對於 BGP VPN，1 表示 ESTABLISHED，0 用於其他所有狀態。對於這兩種類型的 VPN，介於 0 到 1 之間的值表示至少有一個通道不是 UP。 單位：介於 0 到 1 之間的分數值   | 
|  `TunnelDataIn` †  |  從客戶閘道透過 VPN 通道在連線 AWS 端收到的位元組。每個指標資料點皆代表在前一個資料點之後接收到的位元組數。使用 Sum 統計資訊顯示在一個期間內接收到的位元組總數。 此指標對解密後的資料進行計數。 單位：位元組  | 
|  `TunnelDataOut` †  |  從連接 AWS 端透過 VPN 通道傳送到客戶閘道的位元組。每個指標資料點皆代表在前一個資料點之後傳送的位元組數。使用 Sum 統計資訊顯示在一個期間內傳送的位元組總數。 此指標對加密前的資料進行計數。 單位：位元組  | 
|  `ConcentratorBandwidthUsage`  |  Site-to-Site VPN 集中器連線的頻寬使用量。此指標適用於使用Site-to-Site VPN 連線。使用平均統計資料來顯示期間內的平均頻寬用量。 單位：位元/秒  | 

† 即使通道關閉，這些指標也可以報告網路使用情況。這是由於對通道執行了定期狀態檢查，以及背景 ARP 和 BGP 請求。

若要篩選指標資料，請使用下列維度。


| 維度 | 描述 | 
| --- | --- | 
| `VpnId` |  可藉由站台對站台 VPN 連接 ID 來篩選指標資料。  | 
| `TunnelIpAddress` |  可藉由虛擬私有閘道的通道 IP 地址來篩選指標資料。  | 

# 檢視 的 Amazon CloudWatch Logs 指標 AWS Site-to-Site VPN
<a name="viewing-metrics"></a>

當您建立 Site-to-Site VPN 連線時，一旦順利連線，VPN 服務就會將有關 VPN 連線的指標傳送至 CloudWatch。您可以依照下列說明檢視您的 VPN 連線指標。

**使用 CloudWatch 主控台檢視指標**

指標會先依服務命名空間分組，再依各命名空間內不同的維度組合分類。

1. 在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 在導覽窗格中，選擇**指標**。

1. 在 **All metrics (所有指標)** 下，選擇 **VPN** 指標命名空間。

1. 選取指標維度以檢視指標，例如 **VPN 通道指標**。

**注意**  
在您正在檢視 AWS 的區域建立Site-to-Site連接之前，VPN 命名空間不會出現在 CloudWatch 主控台中。

**使用 檢視指標 AWS CLI**  
在命令提示中，使用下列命令：

```
aws cloudwatch list-metrics --namespace "AWS/VPN"
```

# 建立 Amazon CloudWatch 警示以監控 AWS Site-to-Site VPN 通道
<a name="creating-alarms-vpn"></a>

您可以建立 CloudWatch 警報，在警示變更狀態時傳送 Amazon SNS 訊息。警示會監看您指定期間內的單一指標，然後根據若干這樣的時段內相對於指定閾值的指標值，向 Amazon SNS 主題傳送通知。

例如，您可以建立警示來監控單一 VPN 通道的狀態，並且在 15 分鐘內有 3 個資料點的通道狀態為 DOWN (關閉) 的情況下傳送通知。

**建立單一通道狀態的警示**

1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 在導覽窗格中，展開**警示**，然後選擇**所有警示**。

1. 選擇**建立警示**，然後選擇**選取指標**。

1. 選擇 **VPN**，然後選擇 **VPN 通道指標**。

1. 在 **TunnelState** 指標的同一行選取所需通道的 IP 地址。選擇**選取指標**。

1. 針對**只要 TunnelState 為...**，選取**低於**，然後在**此值...** 底下的輸入欄位中輸入「1」。

1. 在**其他組態**下，將**要發出警示的資料點數量**的輸入設定為「3 個中有 3 個」。

1. 選擇**下一步**。

1. 在**傳送通知至下列 SNS 主題**底下，選取現有的通知清單或建立新清單。

1. 選擇**下一步**。

1. 輸入警示的名稱。選擇**下一步**。

1. 檢查警示的設定，然後選擇 **Create alarm (建立警示)**。

您可以建立用於監控站台對站台 VPN 連接狀態的警示。例如，您可以建立警示，在一或兩個通道的狀態為 DOWN (關閉) 連續 5 分鐘時傳送通知。

**建立站台對站台 VPN 連接狀態警示**

1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 在導覽窗格中，展開**警示**，然後選擇**所有警示**。

1. 選擇**建立警示**，然後選擇**選取指標**。

1. 選擇 **VPN**，然後選擇 **VPN Connection Metrics (VPN 連線指標)**。

1. 選取您的站台對站台 VPN 連接和 **TunnelState** 指標。選擇 **Select metric (選取指標)**。

1. 對於 **Statistic (統計資料)**，指定 **Maximum (最大值)**。

   或者，如果您已將站台對站台 VPN 連接設定為兩個通道都開啟，則您可以指定 **Minimum (最小)** 的統計資料，以便在至少一個通道關閉時傳送通知。

1. 對於 **Whenever** (每當)，請選擇 **Lower/Equal** (低於/等於) (**<=**) 並輸入 **0** (或 **0.5**，適用於至少有一個通道關閉時)。選擇**下一步**。

1. 在 **Select an SNS topic (選取 SNS 主題)** 下選取現有的通知清單，或選擇 **New list (新增清單)** 以建立新的清單。選擇**下一步**。

1. 輸入規則的名稱和說明。選擇**下一步**。

1. 檢查警示的設定，然後選擇 **Create alarm (建立警示)**。

您也可以建立警示，監控傳入或傳出 VPN 通道的流量。例如，下列警示會監控從您網路傳入 VPN 通道的流量，當位元組數在 15 分鐘的期間內達到閾值 5,000,000 時傳送通知。

**建立傳入網路流量警示**

1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 在導覽窗格中，展開**警示**，然後選擇**所有警示**。

1. 選擇**建立警示**，然後選擇**選取指標**。

1. 選擇 **VPN**，然後選擇 **VPN Tunnel Metrics (VPN 通道指標)**。

1. 選取 VPN 通道的 IP 地址和 **TunnelDataIn** 指標。選擇 **Select metric (選取指標)**。

1. 對於 **(Statistic) 統計資料**，指定 **(Sum) 總和**。

1. 對於 **Period (期間)**，選取 **15 分鐘 (15 minutes)**。

1. 對於 **Whenever (每當)**，選擇 **Greater/Equal (大於/等於)**(**>=**)，然後輸入 **5000000**。選擇**下一步**。

1. 在 **Select an SNS topic (選取 SNS 主題)** 下選取現有的通知清單，或選擇 **New list (新增清單)** 以建立新的清單。選擇**下一步**。

1. 輸入規則的名稱和說明。選擇**下一步**。

1. 檢查警示的設定，然後選擇 **Create alarm (建立警示)**。

下列警示會監控從 VPN 通道傳入您網路的流量，當位元組數在 15 分鐘期間小於 1,000,000 時傳送通知。

**建立傳出網路流量警示**

1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 在導覽窗格中，展開**警示**，然後選擇**所有警示**。

1. 選擇**建立警示**，然後選擇**選取指標**。

1. 選擇 **VPN**，然後選擇 **VPN Tunnel Metrics (VPN 通道指標)**。

1. 選取 VPN 通道的 IP 地址和 **TunnelDataOut** 指標。選擇 **Select metric (選取指標)**。

1. 對於 **(Statistic) 統計資料**，指定 **(Sum) 總和**。

1. 對於 **Period (期間)**，選取 **15 分鐘 (15 minutes)**。

1. 對於**Whenever (每當)**，選擇 **Lower/Equal (降低/等於)** (**<=**)，然後輸入 `1000000`。選擇**下一步**。

1. 在 **Select an SNS topic (選取 SNS 主題)** 下選取現有的通知清單，或選擇 **New list (新增清單)** 以建立新的清單。選擇**下一步**。

1. 輸入規則的名稱和說明。選擇**下一步**。

1. 檢查警示的設定，然後選擇 **Create alarm (建立警示)**。

如需建立警報的更多範例，請參閱《Amazon CloudWatch 使用者指南》**中的[建立 Amazon CloudWatch 警報](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)。

# AWS Health 和 AWS Site-to-Site VPN 事件
<a name="monitoring-vpn-health-events"></a>

AWS Site-to-Site VPN 會自動傳送通知至 [Health 儀板表](https://docs.aws.amazon.com/health/latest/ug/aws-health-dashboard-status.html)。此儀表板不需要設定，並且已準備好用於已驗證 AWS 的使用者。您可以設定多個動作，來回應透過 收到的事件通知 Health 儀板表

為您的 VPN 連線 Health 儀板表 提供下列類型的通知：
+ [通道端點更換通知](#tunnel-replacement-notifications)
+ [單一通道 VPN 通知](#single-tunnel-notifications)

## 通道端點更換通知
<a name="tunnel-replacement-notifications"></a>

取代 VPN 連線中的一個或兩個 VPN 通道端點 Health 儀板表 時，您會在 **中收到通道端點取代通知**。當 AWS 執行通道更新時，或是當您修改 VPN 連接時，通道端點會遭到替換。如需詳細資訊，請參閱[AWS Site-to-Site VPN 通道端點替換](endpoint-replacements.md)。

當通道端點取代完成時， 會透過事件 AWS Health 儀板表 傳送**通道端點取代通知**。

## 單一通道 VPN 通知
<a name="single-tunnel-notifications"></a>

站台對站台 VPN 連接是由兩個用於冗餘的通道組成。我們強烈建議您同時設定這兩個通道以實現高可用性。如果您的 VPN 連接有一個通道上線，但另一個在一天內離線超過一小時，則您會透過 Health 儀板表 事件收到*每月* **VPN 單一通道通知**。此事件每日更新偵測為單一通道的任何新 VPN 連接，並每週傳送通知。每個月都會建立一個新事件，清除任何不再偵測為單一通道的 VPN 連接。