**の新しいコンソールエクスペリエンスの紹介 AWS WAF**
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS WAF メトリクスとディメンション
AWS WAF は、メトリクスを 1 分に 1 回レポートします。 は`AWS/WAFV2`、名前空間にメトリクスとディメンション AWS WAF を提供します。
AWS WAF メトリクスの概要情報は、 AWS WAF コンソールの 保護パック (ウェブ ACL) のトラフィック概要タブで確認できます。詳細については、[保護パック (ウェブ ACL) のトラフィック概要ダッシュボード](web-acl-dashboards.md) を参照してください。
保護パック (ウェブ ACL)、ルール、ルールグループ、ラベルには、次のメトリクスが表示されます。
+ **ルール** – メトリクスはルールアクションによってグループ化されます。例えば、Count モードでルールをテストする場合、一致したルールが保護パック (ウェブ ACL) の `Count` メトリクスとして一覧表示されます。
+ **ルールグループ** – ルールグループのメトリクスは、ルールグループメトリクスの下に一覧表示されます。
+ **別のアカウントが所有するルールグループ** – ルールグループメトリクスは、通常、ルールグループの所有者にのみ表示されます。ただし、ルールのルールアクションを上書きすると、そのルールのメトリクスが保護パック (ウェブ ACL) メトリクスの下に一覧表示されます。さらに、ルールグループによって追加されたラベルは、保護パック (ウェブ ACL) メトリクスに一覧表示されます。
ルールグループのカウントアクションルールは、ウェブ ACL ディメンションメトリクスを出力しません - Rule、RuleGroup、およびリージョンディメンションのみ。これは、ルールグループがウェブ ACL で参照されている場合でも適用されます。
このカテゴリにあるルールグループは [AWS の マネージドルール AWS WAF](aws-managed-rule-groups.md)、[AWS Marketplace ルールグループ](marketplace-rule-groups.md)、[他のサービスによって提供されるルールグループを識別する](waf-service-owned-rule-groups.md)、また、他のアカウントから共有されたルールグループも含まれます。Firewall Manager を介して保護パック (ウェブ ACL) がデプロイされると、カウントアクションを持つ WebACL 内のルールはメンバーアカウントにメトリクスを表示しません。
+ **ラベル** – 評価中にウェブリクエストに追加されたラベルは、保護パック (ウェブ ACL) のラベルメトリクスに一覧表示されます。自分のルールやルールグループによって追加されたか、他のアカウントが所有するルールグループのルールによって追加されたかにかかわらず、すべてのラベルのメトリクスにアクセスできます。
**Topics**
+ [AWS WAF コアメトリクスとディメンション](#waf-metrics-general)
+ [ラベルメトリクスとディメンション](#waf-metrics-label)
+ [無料のボット可視性メトリクスおよびディメンション](#waf-metrics-bot-free)
+ [アカウントメトリクスとディメンション](#waf-metrics-account)
+ [AWS WAF 使用状況メトリクス](#waf-metrics-usage)
## AWS WAF コアメトリクスとディメンション
**AWS WAF コアメトリクス**
| メトリクス | 説明 |
| --- | --- |
| `AllowedRequests` | 許可されたウェブリクエストの数。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `BlockedRequests` | ブロックされたウェブリクエストの数。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `CountedRequests` | カウントされたウェブリクエストの数。
レポート条件: ゼロ以外の値がある。
カウントされたウェブリクエストは、少なくとも 1 つのルールに一致するリクエストです。リクエストカウントは、通常、テストに使用されます。
有効な統計: Sum |
| `CaptchaRequests` | CAPTCHA コントロールが適用されたウェブリクエストの数。終了ルールを表し、 は含まれません`RequestsWithValidCaptchaToken`。
レポート条件: ゼロ以外の値がある。
CAPTCHA ウェブリクエストは、CAPTCHA アクション設定を持つルールに一致するリクエストです。このメトリクスは、CAPTCHA トークンが有効期限切れである、無効である、存在しない、または一致していないドメインを持っているかどうかに関係なく、一致するすべてのリクエストを記録します。
有効な統計: Sum |
| `RequestsWithValidCaptchaToken` | CAPTCHA コントロールが適用され、有効な CAPTCHA トークンを持つウェブリクエストの数。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `CaptchasAttempted` | CAPTCHA パズルチャレンジに応答してエンドユーザーから送信されたソリューションの数。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `CaptchasSolved` | パズルを正解し、送信された CAPTCHA パズルソリューションの数。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `ChallengeRequests` | チャレンジコントロールが適用されたウェブリクエストの数。終了ルールを表し、 は含まれません`RequestsWithValidChallengeToken`。
レポート条件: ゼロ以外の値がある。
チャレンジウェブリクエストは、Challenge アクション設定を持つルールに一致するリクエストです。このメトリクスは、チャレンジトークンが有効期限切れである、無効である、存在しない、または一致していないドメインを持っているかどうかに関係なく、一致するすべてのリクエストを記録します。
有効な統計: Sum |
| `ChallengesAttempted` | が提供するサイレントチャレンジに応答してエンドユーザーから送信された試行の数 AWS WAF。これには、Challengeルールアクションによって提供されるチャレンジと、トークンが存在しない場合にCAPTCHAアクションの一部として実行されるチャレンジが含まれます。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `ChallengesSolved` | によって提供されるサイレントチャレンジに正常に合格した、送信されたサイレントチャレンジソリューションの数 AWS WAF。これには、Challengeルールアクションによって提供されるチャレンジと、トークンが存在しない場合にCAPTCHAアクションの一部として実行されるチャレンジが含まれます。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `PassedRequests` | 渡されたリクエストの数。これは、ルールグループのルールのいずれとも一致せず、ルールグループ評価を通過するリクエストについてのみ使用されます。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `RequestsWithValidChallengeToken` | チャレンジコントロールが適用され、有効なチャレンジトークンを持つウェブリクエストの数。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `LowReputationPacketsDropped` | 既知の悪意のあるソースから削除されたパケットの数。このメトリクスは、リクエストがリソースレベルの DDoS 保護によってブロックされたときに記録されます。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum
このメトリクスは、`AWS/ApplicationELB` 名前空間に公開されます。 |
| `LowReputationRequestsDenied` | HTTP 403 レスポンスで拒否された HTTP リクエストの数。このメトリクスは、リクエストがリソースレベルの DDoS 保護によってブロックされたときに記録されます。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum
このメトリクスは、`AWS/ApplicationELB` 名前空間に公開されます。 |
**AWS WAF コアディメンション**
| ディメンション | 説明 |
| --- | --- |
| `Region` | Amazon CloudFront ディストリビューションを除くすべての保護されたリソースタイプで必要です。 |
| `Rule` | 次のいずれかです。[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/waf-metrics.html) |
| `RuleGroup` | `RuleGroup` のメトリクス名。 |
| `WebACL` | `WebACL` のメトリクス名。 |
| `WebACLArn` | Web ACL の Amazon リソースネーム (ARN)。このディメンションは、 AWS WAF が有効になっている場合にのみ使用できます。 |
| `ResourceType` | `CF`、`APIGW`、`ALB` など、保護されたリソースのタイプ。 |
| `Resource` | 保護されたリソースの Amazon リソースネーム (ARN)。
このディメンションには App Runner リソース ARN は含まれません。 |
| `Country` | リクエストの送信元の国 これは、国際標準化機構 (ISO) 3166 規格の 2 文字の名称です。たとえば、米国は US、ウクライナは UA です。
リクエストに `X-Forwarded-For` ヘッダーがある場合、 AWS WAF はそのヘッダーを使用してこの設定を決定します。それ以外の場合は、 AWS WAF はクライアント IP の国を使用します。この決定は、オリジン国を決定するためにルールで使用するロジックとは無関係です。 は、MaxMind GeoIP データベースを使用して IPs の場所 AWS WAF を決定します。 |
| `Attack` | ウェブ ACL で使用するルールとルールグループに基づいて、リクエストで が AWS WAF 識別した攻撃のタイプ。
ルールとベースライン AWS マネージドルールグループのルールは、攻撃タイプを識別できます。たとえば、クロスサイトスクリプティング (XSS) ルール一致は XSS 攻撃タイプを識別し、レートベースのルールはボリューム攻撃タイプを識別します。攻撃タイプは、通常、ウェブリクエストの評価を終了したルールのタイプを示します。 |
| `Device` | リクエストを送信したクライアントのデバイスタイプは、ウェブリクエストの `user-agent` ヘッダーから取得されます。 |
| `LoadBalancerArn` | ロードバランサーの Amazon リソースネーム (ARN)。 |
| `LoadBalancerArnAvailabilityZone` | ロードバランサー ARN とアベイラビリティーゾーンの組み合わせ。 |
| `ManagedRuleGroup` | `ManagedRuleGroup` のメトリクス名。 |
| `ManagedRuleGroupRule` | 一致した `ManagedRuleGroup` 内のルール。 |
| `VulnerabilityCategory` | AWS マネージドルール IP セットに基づいて、リクエストが一致する脆弱性カテゴリ。 |
## ラベルメトリクスとディメンション
ルールおよび保護パック (ウェブ ACL) で使用するマネージドルールグループによる評価中に、リクエストに追加されたラベルのメトリクス。詳細については、「[ウェブリクエストのラベル付け](waf-labels.md)」を参照してください。
1 つのウェブリクエストについて、 は最大 100 個のラベルのメトリクス AWS WAF を保存します。保護パック (ウェブ ACL) 評価では、100 個を超えるラベルを適用したり、100 個を超えるラベルと照合したりできますが、メトリクスには最初の 100 個のみが反映されます。
**ラベルメトリクス**
| メトリクス | 説明 |
| --- | --- |
| `AllowedRequests` | アクション設定 Allow を適用したウェブリクエストのラベルの数。ラベルは、ウェブリクエストの評価中のどの時点でも追加できます。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `BlockedRequests` | アクション設定 Block を適用したウェブリクエストのラベルの数。ラベルは、ウェブリクエストの評価中のどの時点でも追加できます。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `CountedRequests` | Count アクション設定を持つルールグループルールによってウェブリクエストに追加されるラベルの数。
このメトリクスは、ルールグループ内のルールについて、ルールグループの所有者のみが使用できます。その他のケースでは、リクエストに適用された終了アクション (Allow または Block など) にカウントラベルメトリクスがまとめられます。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `CaptchaRequests` | 終了 CAPTCHA アクションが適用されたウェブリクエストのラベルの数。ラベルは、ウェブリクエストの評価中のどの時点でも追加できます。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `ChallengeRequests` | 終了 Challenge アクションが適用されたウェブリクエストのラベルの数。ラベルは、ウェブリクエストの評価中のどの時点でも追加できます。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `AllowRuleMatch` | 関連付けられたラベルを生成し、Allow アクションを使用してリクエスト評価を終了した一致ルールの数。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `BlockRuleMatch` | 関連付けられたラベルを生成し、Block アクションを使用してリクエスト評価を終了した一致ルールの数。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `CountRuleMatch` | 関連付けられたラベルを生成し、Count アクションを適用した一致ルールの数。
複数のルールが同じラベルとアクションで設定されている場合、1 つのリクエストでこのメトリクスの複数のインスタンスが発生する可能性があります。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `CaptchaRuleMatch` | 関連付けられたラベルを生成し、CAPTCHA アクションを使用してリクエスト評価を終了した一致ルールの数。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `ChallengeRuleMatch` | 関連付けられたラベルを生成し、Challenge アクションを使用してリクエスト評価を終了した一致ルールの数。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `CaptchaRuleMatchWithValidToken` | 関連付けられたラベルを生成し、終了していない CAPTCHA アクションを適用した一致ルールの数。
複数のルールが同じラベルとアクションで設定されている場合、1 つのリクエストでこのメトリクスの複数のインスタンスが発生する可能性があります。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `ChallengeRuleMatchWithValidToken` | 関連付けられたラベルを生成し、終了していない Challenge アクションを適用した一致ルールの数。
複数のルールが同じラベルとアクションで設定されている場合、1 つのリクエストでこのメトリクスの複数のインスタンスが発生する可能性があります。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
**ラベルディメンション**
| ディメンション | 説明 |
| --- | --- |
| `Region` | Amazon CloudFront ディストリビューションを除くすべての保護されたリソースタイプで必要です。 |
| `RuleGroup` | `RuleGroup` のメトリクス名。メトリクス `CountedRequests` に使用されます。 |
| `WebACL` | `WebACL` のメトリクス名。 |
| `ResourceType` | `CF`、`APIGW`、`ALB` など、保護されたリソースのタイプ。 |
| `Resource` | 保護されたリソースの Amazon リソースネーム (ARN)。 |
| `LabelNamespace` | リクエストに追加されたラベルの名前空間プレフィックス。 |
| `Label` | リクエストに追加されたラベルの名前。 |
| `Context` | ラベル追加のコンテキストとして機能するマネージドルールグループ。たとえば、 などのトークン管理ラベルのコンテキストawswaf:managed:token:acceptedは、Bot Control や ATP AWS WAF マネージドルールグループなど、リクエストでトークン管理を使用するマネージドルールグループです。このディメンションはすべてのラベルに適用されるわけではありません。 |
## 無料のボット可視性メトリクスおよびディメンション
保護パック (ウェブ ACL) で Bot Control を使用しない場合、 は Bot Control マネージドルールグループをウェブリクエストのサンプリングに追加コストなしで AWS WAF 適用します。これにより、保護対象リソースに流入するボットトラフィックを把握できます。Bot Control については、「[AWS WAF Bot Control ルールグループ](aws-managed-rule-groups-bot.md)」を参照してください。
**無料のボット可視性メトリクス**
| メトリクス | 説明 |
| --- | --- |
| `SampleAllowedRequest` | Allow アクションを持つサンプル化したリクエストの割合。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `SampleBlockedRequest` | Block アクションを持つサンプル化したリクエストの割合。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `SampleCaptchaRequest` | CAPTCHA アクションを持つサンプル化したリクエストの割合。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `SampleChallengeRequest` | Challenge アクションを持つサンプル化したリクエストの割合。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `SampleCountRequest` | Count アクションを持つサンプル化したリクエストの割合。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
**無料のボット可視性ディメンション**
| ディメンション | 説明 |
| --- | --- |
| `Region` | Amazon CloudFront ディストリビューションを除くすべての保護されたリソースタイプで必要です。 |
| `WebACL` | `WebACL` のメトリクス名。 |
| `BotCategory` | ウェブリクエストのラベルに基づく、検出されたボットカテゴリ名。 |
| `VerificationStatus` | ウェブリクエストのラベルに基づく、検出されたボット検証ステータス名。 |
| `Signal` | ウェブリクエストのラベルに基づく、検出されたボットシグナル名。 |
## アカウントメトリクスとディメンション
アカウントメトリクスは、JavaScript API を介してサービスが提供された CAPTCHA パズルとサイレント Challenge ルールアクションに関するアカウント全体の情報を提供します。
**アカウントメトリクス**
| メトリクス | 説明 |
| --- | --- |
| `CaptchasAttemptedSdk` | CAPTCHA JavaScript API を通じて出されたパズルに対して、エンドユーザーが CAPTCHA パズルチャレンジを応答するために提出したソリューションの数。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `CaptchasSolvedSdk` | CAPTCHA JavaScript API を通じて提供されたパズルについて、パズルを正常に解決した CAPTCHA パズルソリューションの送信数。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `ChallengesAttemptedSdk` | Challenge JavaScript API を通じて提供されるサイレントチャレンジに応答してエンドユーザーから送信された試行の数。これには、Challengeアクションによって開始されたチャレンジと、トークンが存在しない場合にCAPTCHAアクションの一部として実行されるチャレンジが含まれます。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
| `ChallengesSolvedSdk` | Challenge JavaScript API を通じて提供されるサイレントチャレンジに正常に合格した、送信されたサイレントチャレンジソリューションの数。これには、Challengeアクションによって開始されたチャレンジと、トークンが存在しない場合にCAPTCHAアクションの一部として実行されるチャレンジが含まれます。
レポート条件: ゼロ以外の値がある。
有効な統計: Sum |
**アカウントディメンション**
| ディメンション | 説明 |
| --- | --- |
| `Region` | Amazon CloudFront ディストリビューションを除くすべての保護されたリソースタイプで必要です。 |
## AWS WAF 使用状況メトリクス
CloudWatch 使用状況メトリクスを使用して、アカウントのリソースの使用状況を把握できます。これらのメトリクスを使用して、CloudWatch グラフやダッシュボードで現在のサービスの使用状況を可視化できます。
AWS WAF 使用状況メトリクスは、 AWS サービスクォータに対応しています。使用量がサービスクォータに近づいたときに警告するアラームを設定することもできます。CloudWatch とサービスクオータの統合については、「*Amazon CloudWatch ユーザーガイド*」の「[AWS 使用状況メトリクス](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Service-Quota-Integration.html)」を参照してください。
AWS WAF は、 `AWS/Usage`名前空間に次のメトリクスを発行します。
**使用状況メトリクス**
| メトリクス | 説明 |
| --- | --- |
| `ResourceCount` | アカウントの指定されたリソースの数。リソースはメトリクスに関連付けられたディメンションによって定義されます。
このメトリクスで最も役に立つ統計は `MAXIMUM` です。これは1 分間の期間中に使用されるリソースの最大数を表します。 |
次のディメンションは、 によって発行される使用状況メトリクスを絞り込むために使用されます AWS WAF。
**使用状況ディメンション**
| ディメンション | 説明 |
| --- | --- |
| `Resource` | 使用状況が報告されるリソースのタイプ。 |
`Resource` ディメンションでサポートされている値を次に示します。
**`Resource`値**
| 値 | 説明 |
| --- | --- |
| `WebAclsPerAccountCloudFront` | アカウントあたりの CloudFront で顧客が持っている保護パック (ウェブ ACL) の数。このメトリクスは、CloudFront に少なくとも 1 つの保護パック (ウェブ ACL) がある場合にのみ使用可能です。 |
| `WebAclsPerAccountRegional` | アカウントあたりのリージョンで顧客が持っている保護パック (ウェブ ACL) の数。このメトリクスは、そのリージョンに少なくとも 1 つの保護パック (ウェブ ACL) がある場合にのみ使用使用可能です。 |
| `RuleGroupsPerAccountCloudFront` | アカウントあたりの CloudFront で顧客が持っているルールグループの数。このメトリクスは、CloudFront に少なくとも 1 つのルールグループがある場合にのみ使用可能です。 |
| `RuleGroupsPerAccountRegional` | アカウントあたりのリージョンで顧客が持っているルールグループの数。このメトリクスは、そのリージョンに少なくとも 1 つのルールグループがある場合にのみ使用可能です。 |
| `IpSetsPerAccountCloudFront` | アカウントあたりの CloudFront で顧客が持っている IP セットの数。このメトリクスは、CloudFront に少なくとも 1 つの IP セットがある場合にのみ使用可能です。 |
| `IpSetsPerAccountRegional` | アカウントあたりのリージョンにで顧客が持っている IP セットの数。このメトリクスは、そのリージョンに少なくとも 1 つの IP セットがある場合にのみ使用可能です。 |
| `RegexPatternSetsPerAccountCloudFront` | アカウントあたりの CloudFront で顧客が持っている正規表現パターンセットの数。このメトリクスは、CloudFront に少なくとも 1 つの正規表現パターンが設定されている場合にのみ使用可能です。 |
| `RegexPatternSetsPerAccountRegional` | アカウントあたりのリージョンで顧客が持っている正規表現パターンセットの数。このメトリクスは、そのリージョンに少なくとも 1 つの正規表現パターンが設定されている場合にのみ使用可能です。 |