메뉴
AWS WAF, AWS Firewall Manager 및 AWS Shield Advanced
개발자 안내서 (API 버전 2015-08-24)

Amazon CloudWatch를 사용하여 모니터링

AWS WAF에서 원시 데이터를 수집하여 실시간에 가까운 읽기 가능한 지표로 처리하는 CloudWatch를 사용하여 웹 요청과 web ACLs and rules를 모니터링할 수 있습니다. 이러한 통계는 2주간 기록되므로 기록 정보를 보고 웹 애플리케이션이나 서비스가 어떻게 실행되고 있는지 전체적으로 더 잘 파악할 수 있습니다. 자세한 내용은 Amazon CloudWatch 사용 설명서CloudWatch란 무엇인가?를 참조하십시오.

CloudWatch 경보 생성

경보가 상태를 변경하면 Amazon SNS 메시지를 보내는 CloudWatch 경보를 만들 수 있습니다. 경보는 지정한 기간에 단일 메트릭을 감시하고 여러 기간에 지정된 임계값에 대한 메트릭 값을 기준으로 작업을 하나 이상 수행합니다. 이 작업은 Amazon SNS 주제나 Auto Scaling 정책으로 전송되는 알림입니다. 경보는 지속적인 상태 변경에 대해서만 작업을 호출합니다. CloudWatch 경보는 특정 상태가 되었다고 해서 작업을 호출하지는 않습니다. 이러한 상태가 변경되어야 하고 지정한 기간 동안 유지되어야 합니다.

AWS WAF 및 AWS Shield Advanced 지표 및 차원

다음 절차에 따라 AWS WAF 및 Shield Advanced에 대한 지표를 볼 수 있습니다.

항목

    CloudWatch 콘솔을 사용한 측정치 확인

    측정치는 먼저 서비스 네임스페이스별로 그룹화된 다음, 각 네임스페이스 내에서 다양한 차원 조합별로 그룹화됩니다.

    1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

    2. 필요한 경우 리전을 변경합니다. 탐색 모음에서 AWS 리소스가 위치하는 리전을 선택합니다. 자세한 내용은 AWS 리전 및 엔드포인트를 참조하십시오.

      CloudFront에 대한 AWS WAF 측정치를 보려면, 미국 동부(버지니아 북부) 리전을 선택해야 합니다.

    3. 탐색 창에서 [Metrics]를 선택합니다.

    4. [All metrics] 탭에서 적절한 서비스를 선택합니다.

    AWS CLI를 사용하여 지표를 보려면

    • AWS WAF의 경우 명령 프롬프트에서 다음 명령을 사용합니다.

      aws cloudwatch list-metrics --namespace "WAF"

      Shield Advanced의 경우 명령 프롬프트에서 다음 명령을 사용합니다.

      aws cloudwatch list-metrics --namespace "DDoSProtection"

    AWS WAF 지표

    WAF 네임스페이스에는 다음 지표가 포함되어 있습니다.

    지표 설명

    AllowedRequests

    허용된 웹 요청의 수.

    보고 기준: 0이 아닌 값이 있을 때

    유효 통계: Sum

    BlockedRequests

    차단된 웹 요청의 수.

    보고 기준: 0이 아닌 값이 있을 때

    유효 통계: Sum

    CountedRequests

    계수된 웹 요청의 수.

    보고 기준: 0이 아닌 값이 있을 때

    계수된 웹 요청은 특정 규칙의 모든 조건과 일치하는 것입니다. 계수된 웹 요청은 일반적으로 테스트에 사용됩니다.

    유효 통계: Sum

    PassedRequests

    규칙 그룹에 대해 전달된 요청 수.

    보고 기준: 0이 아닌 값이 있을 때

    전달된 요청은 규칙 그룹에 포함된 임의 규칙과 일치하지 않았던 요청입니다.

    유효 통계: Sum

    AWS WAF 차원

    CloudFront에 대한 AWS WAF에는 다음과 같은 차원 조합을 사용할 수 있습니다.

    • Rule, WebACL

    • RuleGroup, WebACL

    • Rule, RuleGroup

    Application Load Balancer용 AWS WAF에는 다음과 같은 차원 조합을 사용할 수 있습니다.

    • Region, Rule, WebACL

    • Region, RuleGroup, WebACL

    • Region, Rule, RuleGroup

    차원 설명

    Rule

    다음 중 하나:

    • Rule의 지표 이름.

    • ALL. WebACL 또는 RuleGroup 내 모든 규칙을 나타냅니다.

    • Default_Action(WebACL 차원과 결합된 경우에만): 허용 또는 차단 작업의 규칙과 일치하지 않는 모든 요청에 할당된 작업을 나타냅니다.

    RuleGroup

    RuleGroup의 지표 이름.

    WebACL

    WebACL의 지표 이름.

    Region

    Application Load Balancer의 리전.

    Shield Advanced 지표

    AWS Shield Advanced 지표

    AWS Shield Advanced에는 다음과 같은 지표가 포함되어 있습니다.

    지표 설명
    DDoSDetected 특정 Amazon 리소스 이름(ARN)에 대한 DDoS 이벤트를 나타냅니다.

    보고 기준: 0이 아닌 값은 DDoS 이벤트를 가리킵니다. DDoS 이벤트가 탐지되지 않으면 0의 값을 갖습니다.

    DDoSAttackBitsPerSecond 특정 Amazon 리소스 이름(ARN)에 대한 DDoS 이벤트에서 관찰되는 바이트 수입니다. 이 지표는 계층 3/4 DDoS 이벤트에서만 제공됩니다.

    보고 기준: 공격 중 0이 아닌 값입니다. 공격이 없을 때는 0입니다.

    단위: 비트

    DDoSAttackPacketsPerSecond 특정 Amazon 리소스 이름(ARN)에 대한 DDoS 이벤트에서 관찰되는 패킷 수입니다. 이 지표는 계층 3/4 DDoS 이벤트에서만 제공됩니다.

    보고 기준: 공격 중 0이 아닌 값입니다. 공격이 없을 때는 0입니다.

    단위: 패킷

    DDoSAttackRequestsPerSecond 특정 Amazon 리소스 이름(ARN)에 대한 DDoS 이벤트에서 관찰되는 요청 수입니다. 이 지표는 계층 7 DDoS 이벤트에서만 제공되며, 가장 중요한 계층 7 이벤트일 때만 보고됩니다.

    보고 기준: 공격 중 0이 아닌 값입니다. 공격이 없을 때는 0입니다.

    단위: 요청

    AWS Shield Advanced는 AWS에 대한 공격이 감지될 때만 지표를 CloudWatch에 보고합니다. 지정된 기간 동안 공격이 없는 경우 AWS Shield Advanced는 0을 보고합니다.

    글로벌 리소스인 CloudFront 및 Route 53에 대한 지표가 미국 동부(버지니아 북부) 지역에서 보고됩니다.

    Shield Advanced는 그 밖에 다른 차원 없이 DDoSDetected 지표를 게시합니다. 나머지 지표에는 다음과 같이 해당하는 AttackVector 지표가 포함됩니다.

    • UDPTraffic

    • UDPFragment

    • GenericUDPReflection

    • DNSReflection

    • NTPReflection

    • ChargenReflection

    • SSDPReflection

    • PortMapper

    • RIPReflection

    • SNMPReflection

    • MSSQLReflection

    • NetBIOSReflection

    • MemcachedReflection

    • SYNFlood

    • ACKFlood

    • RequestFlood

    AWS Shield Advanced 경보 만들기

    이러한 Shield Advanced 지표를 CloudWatch 경보에 사용할 수 있습니다. CloudWatch 경보는 알림을 보내거나 정의한 규칙을 기준으로 모니터링하는 리소스를 자동으로 변경합니다.

    CloudWatch 경보 생성에 대한 자세한 내용은 Amazon CloudWatch 사용 설명서를 참조하십시오. CloudWatch 콘솔에서 경보를 생성할 때 [Create an alarm]을 선택한 후, 이러한 Shield Advanced 지표를 사용하려면 [AWSDDOSProtectionMetrics]를 선택합니다. 그런 다음 특정 트래픽 볼륨에 따라 경보를 생성하거나 위 지표 중 하나가 0을 초과할 때마다 경보를 트리거할 수 있습니다. Shield Advanced 지표는 공격이 감지되는 경우에만 보고되므로, 두 번째 옵션은 Shield Advanced에 의해 관찰되는 모든 잠재적 공격에 대해 경보를 트리거하는 것입니다.

    참고

    [AWSDDOSProtectionMetrics]는 Shield Advanced 고객만 사용할 수 있습니다.

    자세한 내용은 Amazon CloudWatch 사용 설명서CloudWatch란 무엇인가?를 참조하십시오.