本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Client VPN 端点的连接日志记录
<a name="connection-logging"></a>

连接日志记录是 AWS Client VPN 的一项特征，使您能够捕获 Client VPN 端点的*连接日志*。

连接日志包含*连接日志条目*，这些条目捕获有关连接事件的信息，例如客户端（最终用户）连接、尝试连接或断开连接 Client VPN 端点的时间。您可以使用此信息运行取证、分析 Client VPN 终端节点的使用方式或调试连接问题。

连接日志记录在所有提供 AWS Client VPN 的区域中可用。连接日志将发布到您账户中的 CloudWatch Logs 日志组。

**注意**  
不记录失败的双向身份验证尝试。

## 连接日志条目
<a name="connection-log-entries"></a>

连接日志条目是一个由键值对组成的采用 JSON 格式的 Blob。以下是一个示例连接日志条目。

```
{
    "connection-log-type": "connection-attempt",
    "connection-attempt-status": "successful",
    "connection-reset-status": "NA",
    "connection-attempt-failure-reason": "NA",
    "connection-id": "cvpn-connection-abc123abc123abc12",
    "client-vpn-endpoint-id": "cvpn-endpoint-aaa111bbb222ccc33",
    "transport-protocol": "udp",
    "connection-start-time": "2020-03-26 20:37:15",
    "connection-last-update-time": "2020-03-26 20:37:15",
    "client-ip": "10.0.1.2",
    "common-name": "client1",
    "device-type": "mac",
    "device-ip": "98.247.202.82",
    "port": "50096",
    "ingress-bytes": "0",
    "egress-bytes": "0",
    "ingress-packets": "0",
    "egress-packets": "0",
    "connection-end-time": "NA",
    "username": "joe"
    }
```

连接日志条目包含以下键：
+ `connection-log-type` – 连接日志条目的类型（`connection-attempt` 或 `connection-reset`）。
+ `connection-attempt-status` – 连接请求的状态（`successful`、`failed`、`waiting-for-assertion` 或 `NA`）。
+ `connection-reset-status` – 连接重置事件的状态（`NA` 或 `assertion-received`）。
+ `connection-attempt-failure-reason` – 连接失败的原因（如果适用）。
+ `connection-id` – 连接的 ID。
+ `client-vpn-endpoint-id` – 与之建立连接的 Client VPN 端点的 ID。
+ `transport-protocol` – 用于连接的传输协议。
+ `connection-start-time` – 连接的开始时间。
+ `connection-last-update-time` – 连接的上次更新时间。此值在日志中定期更新。
+ `client-ip` – 客户端的 IP 地址，从客户端 IPv4 CIDR 范围为 Client VPN 端点分配。
+ `common-name` – 用于基于证书的身份验证的证书的公用名。
+ `device-type` – 最终用户用于连接的设备类型。
+ `device-ip` – 设备的公有 IP 地址。
+ `port` – 连接的端口号。
+ `ingress-bytes` – 连接的入口（入站）字节数。此值在日志中定期更新。
+ `egress-bytes` – 连接的出口（出站）字节数。此值在日志中定期更新。
+ `ingress-packets` – 连接的入口（入站）数据包的数量。此值在日志中定期更新。
+ `egress-packets` – 连接的出口（出站）数据包的数量。此值在日志中定期更新。
+ `connection-end-time` – 连接的结束时间。如果连接仍在进行中或连接尝试失败，则值为 `NA` 。
+ `posture-compliance-statuses` – [客户端连接处理程序](connection-authorization.md)返回的状况合规性状态（如果适用）。
+ `username` — 当对端点使用基于用户的身份验证（AD 或 SAML）时，将记录用户名。
+ `connection-duration-seconds` — 连接的持续时间（以秒为单位）。等于“connection-start-time”（连接开始时间）与“connection-end-time”（连接结束时间）之间的差异。

有关启用连接日志记录的更多信息，请参阅 [AWS Client VPN 连接日志](cvpn-working-with-connection-logs.md)。