Pemantauan CloudWatch dengan Amazon - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pemantauan CloudWatch dengan Amazon

Anda dapat memantau permintaan web dan ACL web serta aturan menggunakan Amazon CloudWatch, yang mengumpulkan dan memproses data mentah dariAWS WAFdanAWS Shield Advancedmenjadi metrik hampir waktu nyata yang dapat dibaca. Anda dapat menggunakan statistik di Amazon CloudWatch untuk mendapatkan perspektif tentang performa aplikasi web atau layanan Anda. Untuk informasi selengkapnya, lihatApa CloudWatchdi dalamAmazon CloudWatch Panduan Pengguna.

catatan

CloudWatch metrik dan alarm tidak diaktifkan untuk Firewall Manager.

Membuat Amazon CloudWatch alarm

Anda dapat membuat Amazon CloudWatch alarm yang mengirimkan pesan Amazon SNS ketika status alarm berubah. Sebuah alarm mengawasi metrik tunggal selama periode waktu yang Anda tentukan, dan melakukan satu atau beberapa tindakan berdasarkan nilai metrik relatif terhadap ambang batas tertentu selama sejumlah periode waktu. Tindakan ini adalah notitifkasi yang dikirim ke topik Amazon SNS atau kebijakan Auto Scaling. Alarm memicu tindakan hanya untuk perubahan status berkelanjutan. CloudWatch alarm tidak akan meminta tindakan hanya karena status tertentu; status harus berubah dan dipertahankan selama beberapa periode tertentu.

AWS WAFdanAWS Shield AdvancedMetrik dan dimensi

Metrik dikelompokkan terlebih dahulu berdasarkan namespace layanan, kemudian berdasarkan berbagai kombinasi dimensi dalam setiap namespace.

  • YangAWS WAFnamespace adalahAWS/WAFV2

  • Namespace Shield Advanced adalahAWS/DDoSProtection

catatan

AWS WAFmelaporkan metrik satu menit sekali.

Shield Advanced melaporkan metrik satu menit sekali selama acara dan lebih jarang di lain waktu.

Gunakan prosedur berikut untuk melihat metrikAWS WAFdanAWS Shield Advanced.

Untuk melihat metrik menggunakan CloudWatch konsol

  1. Masuk keAWS Management Consoledan membuka CloudWatch konsol dihttps://console.aws.amazon.com/cloudwatch/.

  2. Jika perlu, ubah Wilayah ke salah satu tempat AndaAWSsumber daya berada. Untuk CloudFrontPilih Wilayah US East (N. Virginia).

  3. Dalam panel navigasi, di bawahMetrik, pilihSemua metrikdan kemudian mencari di bawahJelajahitab untuk layanan.

Untuk melihat metrik menggunakanAWSCLI

  • Untuk AWS/WAFV2, pada command prompt gunakan perintah berikut:

    aws cloudwatch list-metrics --namespace "AWS/WAFV2"

    Untuk Shield Advanced, pada command prompt gunakan perintah berikut:

    aws cloudwatch list-metrics --namespace "AWS/DDoSProtection"

Metrik dan dimensi AWS WAF

AWS WAFmelaporkan metrik satu menit sekali.AWS WAFmenyediakan metrik dan dimensi berikut dalamAWS/WAFV2namespace.

ACL web, grup aturan, dan metrik aturan
Metrik Deskripsi

AllowedRequests

Jumlah permintaan web yang diizinkan.

Kriteria pelaporan: Ada nilai bukan nol.

Statistik valid: Jumlah

BlockedRequests

Jumlah permintaan web yang diblokir.

Kriteria pelaporan: Ada nilai bukan nol.

Statistik valid: Jumlah

CountedRequests

Jumlah permintaan web yang dihitung.

Kriteria pelaporan: Ada nilai bukan nol.

Permintaan web yang dihitung adalah permintaan yang cocok dengan setidaknya satu aturan. Penghitungan permintaan biasanya digunakan untuk pengujian.

Statistik valid: Jumlah

CaptchaRequests

Jumlah permintaan web yang dimilikiCAPTCHAkontrol diterapkan.

Kriteria pelaporan: Ada nilai bukan nol.

SEBUAHCAPTCHApermintaan web adalah salah satu yang cocok dengan aturan yang memilikiCAPTCHApengaturan tindakan. Metrik ini mencatat semua permintaan yang cocok, terlepas dari apakah mereka memiliki validCAPTCHAtoken.

Statistik valid: Jumlah

RequestsWithValidCaptchaToken

Jumlah permintaan web yang dimilikiCAPTCHAkontrol diterapkan dan yang memiliki validCAPTCHAtoken.

Kriteria pelaporan: Ada nilai bukan nol.

Statistik valid: Jumlah

PassedRequests

Jumlah permintaan yang dikirimkan. Ini hanya digunakan untuk permintaan yang melalui evaluasi grup aturan tanpa mencocokkan salah satu aturan grup aturan.

Kriteria pelaporan: Ada nilai bukan nol.

Permintaan yang dilewati adalah permintaan yang tidak cocok dengan salah satu aturan dalam grup aturan.

Statistik valid: Jumlah

Web ACL, kelompok aturan, dan dimensi aturan
Dimensi Deskripsi

Region

Diperlukan untuk semua jenis sumber daya yang dilindungi kecuali Amazon CloudFrontdistribusi.

Rule

Salah satu dari yang berikut:

  • Nama metrikRule.

  • ALL, yang mewakili semua aturan dalam WebACL atauRuleGroup.

  • Default_Action(hanya bila dikombinasikan denganWebACLdimension), yang mewakili tindakan yang ditetapkan untuk permintaan apa pun yang tidak cocok dengan aturan apa pun dengan tindakan allow atau block.

RuleGroup

Nama metrikRuleGroup.

WebACL

Nama metrikWebACL.

catatan

Untuk setiap permintaan web tunggal,AWS WAFmemancarkan metrik untuk paling banyak 100 label. Evaluasi ACL web Anda dapat menerapkan lebih dari 100 label dan cocok dengan lebih dari 100 label, tetapi hanya 100 label pertama yang akan tercermin dalam metrik ini.

Label danAWS WAFMetrik Kontrol Bot
Metrik Deskripsi

AllowedRequests

Jumlah label yang diterapkan pada permintaan web menurut aturan yang memiliki pengaturan tindakan allow.

Kriteria pelaporan: Ada nilai bukan nol.

Statistik valid: Jumlah

BlockedRequests

Jumlah label yang diterapkan pada permintaan web menurut aturan yang memiliki setelan tindakan pemblokiran.

Kriteria pelaporan: Ada nilai bukan nol.

Statistik valid: Jumlah

CountedRequests

Jumlah label yang diterapkan pada permintaan web menurut aturan yang memiliki pengaturan tindakan hitungan.

Kriteria pelaporan: Ada nilai bukan nol.

Statistik valid: Jumlah

CaptchaRequests

Jumlah label yang diterapkan pada permintaan web menurut aturan yang memilikiCAPTCHApengaturan tindakan.

Kriteria pelaporan: Ada nilai bukan nol.

Statistik valid: Jumlah

Label danAWS WAFDimensi Kontrol Bot
Dimensi Deskripsi

Region

Diperlukan untuk semua jenis sumber daya yang dilindungi kecuali Amazon CloudFrontdistribusi.

WebACL

Nama metrikWebACL.

RuleGroup

Nama metrikRuleGroup. Digunakan untuk metrikCountedRequests.

LabelNamespace

Awalan namespace dari ACL web atau kelompok aturan di mana aturan yang cocok ditentukan. Digunakan untuk metrikAllowedRequestsdanBlockedRequests.

Label

Label diterapkan ke permintaan web oleh aturan yang cocok. Digunakan untuk metrikAllowedRequestsdanBlockedRequests.
Metrik visibilitas bot gratis
Metrik Deskripsi

SampleAllowedRequests

Persentase permintaan sampel yang memungkinkan tindakan.

Kriteria pelaporan: Ada nilai bukan nol.

Statistik valid: Jumlah

SampleBlockedRequests

Persentase permintaan sampel yang memiliki tindakan blok.

Kriteria pelaporan: Ada nilai bukan nol.

Statistik valid: Jumlah

Dimensi visibilitas bot gratis
Dimensi Deskripsi

Region

Diperlukan untuk semua jenis sumber daya yang dilindungi kecuali Amazon CloudFrontdistribusi.

WebACL

Nama metrikWebACL.

BotCategory

Nama metrik dari kategori bot yang terdeteksi, berdasarkan label permintaan web.

AWS Shield AdvancedMetrik dan alarm

Bagian ini membahas metrik dan alarm yang tersedia denganAWS Shield Advanced.

Metrik AWS Shield Advanced

Shield Advanced melaporkan metrik ke Amazon CloudWatch padaAWSsumber daya lebih sering selama acara DDoS daripada saat tidak ada acara yang sedang berlangsung. Shield Advanced melaporkan metrik satu menit sekali selama acara, dan kemudian setelah peristiwa berakhir. Meskipun tidak ada peristiwa yang sedang berlangsung, Shield Advanced melaporkan metrik sekali sehari, pada waktu yang ditetapkan ke sumber daya. Laporan berkala ini membuat metrik tetap aktif dan tersedia untuk digunakan dalam kebiasaan CloudWatch alarm.

Metrik laporan Shield Advanced di Wilayah US East (N. Virginia)us-east-1untuk hal berikut:

Metrik deteksi

Shield Advanced menyediakan metrik dan dimensi deteksi berikut diAWS/DDoSProtectionnamespace.

Metrik deteksi
Metrik Deskripsi
DDoSDetected Menunjukkan apakah suatu peristiwa DDoS sedang berlangsung untuk Amazon Resource Name (ARN) tertentu.

Metrik ini memiliki nilai bukan nol selama suatu peristiwa.

DDoSAttackBitsPerSecond Jumlah bit yang diamati selama peristiwa DDoS untuk Amazon Resource Name (ARN) tertentu. Metrik ini hanya tersedia untuk rangkaian dan lapisan transport (layer 3 dan layer 4) peristiwa DDoS.

Metrik ini memiliki nilai bukan nol selama suatu peristiwa.

Unit: Bit

DDoSAttackPacketsPerSecond Jumlah paket yang diamati selama peristiwa DDoS untuk Amazon Resource Name (ARN) tertentu. Metrik ini hanya tersedia untuk rangkaian dan lapisan transport (layer 3 dan layer 4) peristiwa DDoS.

Metrik ini memiliki nilai bukan nol selama suatu peristiwa.

Unit: Paket

DDoSAttackRequestsPerSecond Jumlah permintaan yang diamati selama peristiwa DDoS untuk Amazon Resource Name (ARN) tertentu. Metrik ini hanya tersedia untuk kejadian DDoS layer 7. Metrik dilaporkan hanya untuk peristiwa layer 7 yang paling signifikan.

Metrik ini memiliki nilai bukan nol selama suatu peristiwa.

Unit: Permintaan

Shield Advanced postingDDoSDetectedmetrik tanpa dimensi lain. Metrik deteksi yang tersisa termasukAttackVectordimensi yang sesuai dengan jenis serangan, dari daftar berikut:

  • ACKFlood

  • ChargenReflection

  • DNSReflection

  • GenericUDPReflection

  • MemcachedReflection

  • MSSQLReflection

  • NetBIOSReflection

  • NTPReflection

  • PortMapper

  • RequestFlood

  • RIPReflection

  • SNMPReflection

  • SSDPReflection

  • SYNFlood

  • UDPFragment

  • UDPTraffic

  • UDPReflection

Metrik mitigasi

Shield Advanced menyediakan metrik dan dimensi mitigasi berikut diAWS/DDoSProtectionnamespace.

Metrik mitigasi
Metrik Deskripsi
VolumePacketsPerSecond Jumlah paket per detik yang dijatuhkan atau dilewati oleh mitigasi yang dikerahkan sebagai respons terhadap peristiwa yang terdeteksi.

Unit: paket

Dimensi mitigasi
Dimensi Deskripsi

ResourceArn

Amazon Resource Name (ARN)

MitigationAction

Hasil dari mitigasi yang diterapkan. Kemungkinan nilai adalahPassatauDrop.

Metrik kontributor teratas

Shield Advanced menyediakan metrik dan dimensi mitigasi berikut diAWS/DDoSProtectionnamespace.

Metrik kontributor teratas
Metrik Deskripsi
VolumePacketsPerSecond Jumlah paket per detik untuk kontributor teratas.

Unit: paket

VolumeBitsPerSecond Jumlah bit per detik untuk kontributor teratas.

Unit: bit

Shield Advanced memposting metrik kontributor teratas berdasarkan kombinasi dimensi yang menjadi ciri kontributor acara. Anda dapat menggunakan salah satu kombinasi dimensi berikut untuk metrik kontributor teratas:

  • ResourceArn, Protocol

  • ResourceArn, Protocol, SourcePort

  • ResourceArn, Protocol, DestinationPort

  • ResourceArn, Protocol, SourceIp

  • ResourceArn, Protocol, SourceAsn

  • ResourceArn, TcpFlags

Dimensi kontributor teratas
Dimensi Deskripsi

ResourceArn

Amazon Resource Name (ARN).

Protocol

Nama protokol IP, baikTCPatauUDP.

SourcePort

Sumber TCP atau port UDP.

DestinationPort

Tujuan TCP atau UDP port.

SourceIp

Alamat IP sumber.

SourceAsn

Sumber nomor sistem otonom (ASN).

TcpFlags

Kombinasi bendera hadir dalam paket TCP, dipisahkan oleh tanda hubung (-). Bendera yang dipantau adalahACK,FIN,RST,SYN. Nilai dimensi ini selalu muncul diurutkan menurut abjad. Misalnya,ACK-FIN-RST-SYN,ACK-SYN, danFIN-RST.

MembuatAWS Shield Advancedalarm

Anda dapat menggunakanAWS Shield Advancedmetrik untuk Amazon CloudWatch alarm. CloudWatch mengirimkan pemberitahuan atau secara otomatis melakukan perubahan pada sumber daya yang sedang dipantau berdasarkan aturan yang ditetapkan.

Untuk petunjuk terperinci tentang membuat CloudWatch alarm, lihatAmazon CloudWatch Panduan Pengguna. Saat membuat alarm di CloudWatch konsol, untuk menggunakan metrik Shield Advanced, setelah memilihBuat alarm, pilihAWSDDOSProtectionMetrics. Anda kemudian dapat membuat alarm berdasarkan volume lalu lintas tertentu, atau Anda dapat memicu alarm setiap kali metrik bukan nol. Opsi kedua memicu alarm untuk setiap potensi serangan yang diamati Shield Advanced.

catatan

YangAWSDDOSProtectionMetricshanya tersedia untuk pelanggan Shield Advanced.

Untuk informasi selengkapnya, lihatApa CloudWatchdi dalamAmazon CloudWatch Panduan Pengguna.

Notifikasi AWS Firewall Manager

AWS Firewall Managertidak merekam metrik, jadi Anda tidak dapat membuat Amazon CloudWatch alarm khusus untuk Firewall Manager. Namun, Anda dapat mengonfigurasi notifikasi Amazon SNS untuk memberi tahu Anda tentang kemungkinan serangan. Untuk membuat notifikasi Amazon SNS di Firewall Manager, lihatLangkah 4: Mengonfigurasi notifikasi Amazon SNS dan Amazon CloudWatch alarm.