

**에 대한 새로운 콘솔 환경 소개 AWS WAF**

이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 [콘솔 작업을 참조하세요](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS WAF 보호 기능 테스트 및 튜닝
<a name="web-acl-testing"></a>

이 섹션에서는 AWS WAF 보호 팩(웹 ACLs), 규칙, 규칙 그룹, IP 세트 및 정규식 패턴 세트를 테스트하고 튜닝하기 위한 지침을 제공합니다.

웹 사이트 또는 웹 애플리케이션 트래픽에 적용하기 전에 AWS WAF 보호 팩(웹 ACL)에 대한 변경 사항을 테스트하고 조정하는 것이 좋습니다.

**프로덕션 트래픽 위험**  
프로덕션 트래픽용 보호 팩(웹 ACL) 구현을 배포하기 전에 트래픽에 대한 잠재적 영향을 파악할 때까지 스테이징 또는 테스트 환경에서 이를 테스트하고 조정합니다. 그런 다음 프로덕션 트래픽을 사용하여 규칙을 개수 모드에서 테스트하고 조정한 다음 활성화합니다.

또한 이 섹션에서는 다른 사람이 관리하는 규칙 그룹의 사용을 테스트하기 위한 일반적인 지침을 제공합니다. 여기에는 AWS 관리형 규칙 규칙 그룹, AWS Marketplace 관리형 규칙 그룹 및 다른 계정에서 공유하는 규칙 그룹이 포함됩니다. 이러한 규칙 그룹의 경우 규칙 그룹 공급자로부터 받은 지침도 따르십시오.
+ Bot Control AWS 관리형 규칙 규칙 그룹에 대해서는 단원을 참조하십시오[AWS WAF Bot Control 테스트 및 배포](waf-bot-control-deploying.md).
+ 계정 탈취 방지 AWS 관리형 규칙 규칙 그룹에 대해서는 단원을 참조하십시오[ATP 테스트 및 배포](waf-atp-deploying.md).
+ 계정 생성 사기 방지 AWS 관리형 규칙 그룹도 섹션을 참조하세요[ACFP 테스트 및 배포](waf-acfp-deploying.md).

**업데이트 중 일시적인 불일치**  
보호 팩(웹 ACL) 또는 기타 AWS WAF 리소스를 생성하거나 변경하면 리소스가 저장된 모든 영역에 변경 사항이 전파되는 데 약간의 시간이 걸립니다. 전파 시간은 몇 초\$1몇 분이 걸릴 수 있습니다.

다음은 변경 전파 중에 표시될 수 있는 일시적 불일치의 예입니다.
+ 보호 팩(웹 ACL)을 생성한 후 이를 리소스에 연결하려고 하면 보호 팩(웹 ACL)을 사용할 수 없다는 예외가 발생할 수 있습니다.
+ 보호 팩(웹 ACL)에 규칙 그룹을 추가한 후 새 규칙 그룹 규칙이 보호 팩(웹 ACL)이 사용되는 한 영역에는 적용되고 다른 영역에서는 적용되지 않을 수 있습니다.
+ 규칙 작업 설정을 변경한 후 일부 위치에서 이전 작업이 표시되고 다른 위치에서는 새 작업이 표시될 수 있습니다.
+ 차단 규칙에서 사용되는 IP 집합에 IP 주소를 추가한 후 새 주소가 한 영역에서는 차단되는데 다른 영역에서 계속 허용될 수도 있습니다.

# 상위 단계 테스트 및 조정
<a name="web-acl-testing-high-level"></a>

이 섹션은 웹 ACL에서 사용하는 규칙 또는 규칙 그룹을 포함하여 웹 ACL의 변경 사항을 테스트하는 단계의 체크리스트를 제공합니다.

**참고**  
이 섹션의 지침을 따르려면 보호 팩(웹 ACL), 규칙, 규칙 그룹과 같은 AWS WAF 보호 기능을 생성하고 관리하는 방법을 이해해야 합니다. 이 정보는 이 가이드의 이전 섹션에 설명되어 있습니다.

**보호 팩(웹 ACL) 테스트 및 조정**

이러한 단계를 먼저 테스트 환경에서 수행한 다음, 프로덕션 환경에서 수행합니다.

1. 

**테스트 준비**

   모니터링 환경을 준비하고, 테스트를 위해 새 AWS WAF 보호를 개수 모드로 전환하고, 필요한 리소스 연결을 생성합니다.

   [AWS WAF 보호 테스트 준비](web-acl-testing-prep.md)을(를) 참조하세요.

1. 

**테스트 및 프로덕션 환경 모니터링 및 조정**

   먼저 테스트 또는 스테이징 환경에서 AWS WAF 보호를 모니터링 및 조정한 다음 필요한 만큼 트래픽을 처리할 수 있을 때까지 프로덕션 환경에서 보호 기능을 모니터링 및 조정합니다.

   [AWS WAF 보호 모니터링 및 튜닝](web-acl-testing-activities.md)을(를) 참조하세요.

1. 

**프로덕션 환경에서 보호 활성화**

   테스트 보호 기능에 만족하는 경우 프로덕션 모드로 전환하고 불필요한 테스트 아티팩트를 모두 정리한 후 계속 모니터링합니다.

   [프로덕션 환경에서 보호 기능을 활성화하십시오](web-acl-testing-enable-production.md)을(를) 참조하세요.

변경 사항 구현을 완료한 후에는 프로덕션 환경에서 웹 트래픽 및 보호 기능을 계속 모니터링하여 원하는 대로 작동하는지 확인합니다. 웹 트래픽 패턴이 시간이 지남에 따라 변경될 수 있으므로 보호 기능을 가끔 조정해야 할 수도 있습니다.

# AWS WAF 보호 테스트 준비
<a name="web-acl-testing-prep"></a>

이 섹션에서는 AWS WAF 보호를 테스트하고 조정하도록 설정하는 방법을 설명합니다.

**참고**  
이 섹션의 지침을 따르려면 일반적으로 AWS WAF 보호 팩(웹 ACLs), 규칙 및 규칙 그룹과 같은 보호를 생성하고 관리하는 방법을 이해해야 합니다. 이 정보는 이 가이드의 이전 섹션에 설명되어 있습니다.

**테스트를 준비하려면**

1. 

**보호 팩(웹 ACL) 로깅, Amazon CloudWatch 지표, 보호 팩(웹 ACL)에 대한 웹 요청 샘플링을 활성화합니다.**

   로깅, 지표 및 샘플링을 사용하여 보호 팩(웹 ACL) 규칙과 웹 트래픽의 상호 작용을 모니터링합니다.
   + **로깅** - 보호 팩(웹 ACL)이 평가하는 웹 요청을 로깅 AWS WAF 하도록를 구성할 수 있습니다. Amazon S3 버킷, CloudWatch 로그 또는 Amazon Data Firehose 전송 스트림에 로그를 전송할 수 있습니다. 필드를 수정하고 필터링을 적용할 수 있습니다. 자세한 내용은 [AWS WAF 보호 팩(웹 ACL) 트래픽 로깅](logging.md) 단원을 참조하십시오.
   + **Amazon Security Lake** - 보호 팩(웹 ACL) 데이터를 수집하도록 Security Lake를 구성할 수 있습니다. Security Lake는 정규화, 분석 및 관리를 위해 다양한 소스에서 로그 및 이벤트 데이터를 수집합니다. 이 옵션에 대한 자세한 내용은 [Amazon Security Lake 사용 설명서의 Amazon Security Lake란 무엇입니까?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) 및 [AWS 서비스에서 데이터 수집](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html)을 참조하세요. ** 
   + **Amazon CloudWatch 지표 ** - 보호 팩(웹 ACL) 구성에서 모니터링하려는 모든 항목에 대한 지표 사양을 제공합니다. AWS WAF 및 CloudWatch 콘솔을 통해 지표를 볼 수 있습니다. 자세한 내용은 [Amazon CloudWatch를 사용한 모니터링](monitoring-cloudwatch.md) 단원을 참조하십시오.
   + **웹 요청 샘플링** - 보호 팩(웹 ACL)이 평가하는 모든 웹 요청의 샘플을 볼 수 있습니다. 웹 요청 샘플링에 대한 자세한 내용은 [웹 요청 샘플 보기](web-acl-testing-view-sample.md) 섹션을 참조하세요.

1. 

**보호 기능을 Count 모드로 설정합니다.**

   보호 팩(웹 ACL) 구성에서 테스트하려는 모든 항목을 개수 모드로 전환합니다. 이렇게 하면 테스트 보호 기능이 요청 처리 방식을 변경하지 않고도 웹 요청과의 일치 항목을 기록할 수 있습니다. 지표, 로그 및 샘플링된 요청에서 일치하는 항목을 보고 일치 기준을 확인하며 웹 트래픽에 미칠 수 있는 영향을 파악할 수 있습니다. 일치 요청에 레이블을 추가하는 규칙은 규칙 작업에 상관없이 레이블을 추가합니다.
   + **보호 팩(웹 ACL)에 정의된 규칙** - 보호 팩(웹 ACL)에서 규칙을 편집하고 Count의 작업을 설정합니다.
   + **규칙 그룹** - 보호 팩(웹 ACL) 구성에서 규칙 그룹의 규칙 문을 편집한 후 **규칙** 창에서 **모든 규칙 작업 재정의** 드롭다운을 열고 **Count**를 선택합니다. JSON에서 보호 팩(웹 ACL)을 관리하는 경우 `ActionToUse`가 Count로 설정된 상태에서 규칙 그룹 참조 문의 `RuleActionOverrides` 설정에 규칙을 추가합니다. 다음 예제 목록은 `AWSManagedRulesAnonymousIpList` AWS 관리형 규칙 규칙 그룹의 두 규칙에 대한 재정의를 보여줍니다.

     ```
       "ManagedRuleGroupStatement": {
         "VendorName": "AWS",
         "Name": "AWSManagedRulesAnonymousIpList",
           "RuleActionOverrides": [
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "AnonymousIPList"
             },
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "HostingProviderIPList"
             }
           ],
           "ExcludedRules": []
         }
       },
     ```

     규칙 작업 재정의에 대한 자세한 내용은 [규칙 그룹에 대한 규칙 작업 재정의](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override) 섹션을 참조하세요.

     자체 규칙 그룹의 경우 규칙 그룹 자체에서 규칙 작업을 수정하면 안 됩니다. Count 작업을 포함하는 규칙 그룹 규칙은 테스트에 필요한 지표 또는 기타 아티팩트를 생성하지 않습니다. 또한 규칙 그룹을 변경하면 해당 규칙을 사용하는 모든 보호 팩(웹 ACL)에 영향을 미치는 반면, 보호 팩(웹 ACL) 구성 내의 변경 사항은 단일 보호 팩(웹 ACL)에만 영향을 미칩니다.
   + **보호 팩(웹 ACL)** - 새 보호 팩(웹 ACL)을 테스트하는 경우 요청을 허용하도록 보호 팩(웹 ACL)에 대한 기본 작업을 설정합니다. 이렇게 하면 트래픽에 영향을 주지 않고 웹 ACL을 테스트할 수 있습니다.

   일반적으로 계산 모드는 프로덕션보다 더 많은 일치 항목을 생성합니다. 이는 요청 수를 계산하는 규칙이 보호 팩(웹 ACL)의 요청 평가를 중단하지 않으므로 보호 팩(웹 ACL)에서 나중에 실행되는 규칙도 요청과 일치할 수 있기 때문입니다. 규칙 작업을 프로덕션 설정으로 변경하면 요청을 허용하거나 차단하는 규칙이 일치하는 요청에 대한 평가를 종료합니다. 따라서 일반적으로 보호 팩(웹 ACL)에서 더 적은 규칙으로 일치 요청을 검사하게 됩니다. 규칙 작업이 웹 요청의 전체 평가에 미치는 영향에 대한 자세한 내용은 [에서 규칙 작업 사용 AWS WAF](waf-rule-action.md) 섹션을 참조하세요.

   이러한 설정을 사용하면 새 보호 기능이 웹 트래픽을 변경하지 않으면서 지표, 보호 팩(웹 ACL) 로그 및 요청 샘플에서 일치 정보를 생성합니다.

1. 

**보호 팩(웹 ACL)을 리소스와 연결**

   보호 팩(웹 ACL)이 아직 리소스와 연결되지 않은 경우 해당 리소스를 연결합니다.

   [보호와 AWS 리소스의 연결 또는 연결 해제](web-acl-associating-aws-resource.md)을(를) 참조하세요.

이제 보호 팩(웹 ACL)을 모니터링하고 조정할 준비가 되었습니다.

# AWS WAF 보호 모니터링 및 튜닝
<a name="web-acl-testing-activities"></a>

 AWS WAF 보호를 모니터링하고 조정합니다.

**참고**  
이 섹션의 지침을 따르려면 일반적으로 AWS WAF 보호 팩(웹 ACLs), 규칙 및 규칙 그룹과 같은 보호를 생성하고 관리하는 방법을 이해해야 합니다. 이 정보는 이 가이드의 이전 섹션에 설명되어 있습니다.

웹 트래픽과 규칙 일치를 모니터링하여 보호 팩(웹 ACL)의 동작을 확인합니다. 문제가 발견되면 규칙을 조정하여 수정하고 나서 모니터링하여 조정 사항을 확인합니다.

보호 팩(웹 ACL)이 필요에 맞게 웹 트래픽을 관리할 때까지 다음 절차를 반복합니다.

**모니터링하고 조정하려면**

1. 

**트래픽과 규칙 일치 모니터링**

   트래픽 흐름이 존재하고 테스트 규칙에서 일치하는 요청을 찾고 있는지 확인합니다.

   테스트 중인 보호 기능에 대한 다음 정보를 찾아 봅니다.
   + **로그** - 웹 요청과 일치하는 규칙에 대한 정보에 액세스합니다.
     + **규칙** - 보호 팩(웹 ACL)에서 Count 작업이 있는 규칙이 `nonTerminatingMatchingRules` 아래에 나열됩니다. Allow 또는 Block을 포함하는 규칙은 `terminatingRule`로 나열됩니다. CAPTCHA 또는 Challenge를 포함하는 규칙은 종료형 또는 비 종료형일 수 있으므로 규칙 일치 결과에 따라 두 범주 중 하나에 나열됩니다.
     + **규칙 그룹** - 규칙 그룹은 `ruleGroupId` 필드에서 식별되며, 해당 규칙 일치 항목은 독립형 규칙과 동일하게 분류됩니다.
     + **레이블** - 규칙이 요청에 적용한 레이블이 `Labels` 필드에 나열됩니다.

     자세한 내용은 [보호 팩(웹 ACL) 트래픽에 대한 로그 필드](logging-fields.md) 단원을 참조하십시오.
   + **Amazon CloudWatch 지표** - 다음의 보호 팩(웹 ACL) 요청 평가에 대한 지표에 액세스할 수 있습니다.
     + **규칙** - 지표는 규칙 작업별로 그룹화됩니다. 예를 들어 Count 모드에서 규칙을 테스트하는 경우 해당 규칙이 보호 팩(웹 ACL)의 `Count` 지표로 나열됩니다.
     + **규칙 그룹** - 규칙 그룹에 대한 지표는 규칙 그룹 지표 아래에 나열됩니다.
     + **다른 계정이 소유한 규칙 그룹** - 규칙 그룹 지표는 일반적으로 규칙 그룹 소유자에게만 표시됩니다. 그러나 규칙에 대한 규칙 작업을 재정의하면 해당 규칙에 대한 지표가 보호 팩(웹 ACL) 지표 아래에 나열됩니다. 또한 규칙 그룹에서 추가한 레이블은 보호 팩(웹 ACL) 지표에 나열됩니다.

       규칙 그룹의 개수 작업 규칙은 웹 ACL 차원 지표를 내보내지 않습니다. 규칙, 규칙 RuleGroup 및 리전 차원만 내보냅니다. 이는 규칙 그룹이 웹 ACL에서 참조되는 경우에도 적용됩니다.

       이 범주의 규칙 그룹은 다른 계정에서 사용자와 공유하는 [AWS 에 대한 관리형 규칙 AWS WAF](aws-managed-rule-groups.md), [AWS Marketplace 규칙 그룹](marketplace-rule-groups.md), [다른 서비스에서 제공하는 규칙 그룹 인지](waf-service-owned-rule-groups.md) 및 규칙 그룹입니다. Firewall Manager를 통해 보호 팩(웹 ACL)을 배포하는 경우 계수 작업이 있는 WebACL 내의 규칙은 멤버 계정에 지표를 표시하지 않습니다.
     + **레이블** - 평가 중에 웹 요청에 추가된 레이블은 보호 팩(웹 ACL) 레이블 지표에 나열됩니다. 자체 규칙 및 규칙 그룹에 의해 추가되었든 다른 계정 소유의 규칙 그룹에 있는 규칙에 의해 추가되었든 관계없이 모든 레이블의 지표에 액세스할 수 있습니다.

     자세한 내용은 [웹 ACL 지표 보기](web-acl-testing-view-metrics.md) 단원을 참조하십시오.
   + **보호 팩(웹 ACL) 트래픽 개요 대시보드** - AWS WAF 콘솔의 보호 팩(웹 ACL) 페이지로 이동하여 **트래픽 개요** 탭을 열어 보호 팩(웹 ACL)이 평가한 웹 트래픽의 요약에 액세스합니다.

     트래픽 개요 대시보드는가 애플리케이션 웹 트래픽을 평가할 때 AWS WAF 수집하는 Amazon CloudWatch 지표에 대한 실시간에 가까운 요약을 제공합니다.

     자세한 내용은 [보호 팩(웹 ACL)용 트래픽 개요 대시보드](web-acl-dashboards.md) 단원을 참조하십시오.
   + **샘플링된 웹 요청** - 웹 요청 샘플과 일치하는 규칙에 대한 액세스 정보입니다. 샘플 정보는 보호 팩(웹 ACL)의 규칙에 대한 지표 이름으로 일치 규칙을 식별합니다. 규칙 그룹의 경우 지표는 규칙 그룹 참조 문을 식별합니다. 규칙 그룹 내 규칙의 경우 샘플에는 `RuleWithinRuleGroup`의 일치하는 규칙 이름이 나열됩니다.

     자세한 내용은 [웹 요청 샘플 보기](web-acl-testing-view-sample.md) 단원을 참조하십시오.

1. 

**거짓 긍정을 해결하기 위한 완화 조치 구성**

   규칙이 일치되어서는 안 되는 웹 요청과 일치되어 거짓 긍정이 발생하고 있다고 판단되는 경우, 다음 옵션을 통해 보호 팩(웹 ACL) 보호를 조정하여 이 문제를 완화할 수 있습니다.

**규칙 검사 기준 수정**  
자체 규칙의 경우 대체로 웹 요청을 검사하는 데 사용하는 설정을 조정하기만 하면 됩니다. 예로는 정규식 패턴 집합의 사양을 변경하거나, 검사 전에 요청 구성 요소에 적용하는 텍스트 변환을 조정하거나, 전달된 IP 주소를 사용하도록 전환하는 것 등이 있습니다. 문제를 일으키는 규칙 유형에 대한 지침은 [에서 규칙 문 사용 AWS WAF](waf-rule-statements.md) 섹션을 참조하세요.

**더 복잡한 문제 해결**  
제어할 수 없는 검사 기준과 일부 복잡한 규칙의 경우 요청을 명시적으로 허용 또는 차단하거나 문제가 되는 규칙에 의한 평가에서 요청을 제외하는 규칙을 추가하는 등 기타 변경을 수행해야 할 수 있습니다. 관리형 규칙 그룹에는 대체로 이러한 유형의 완화가 필요하지만 다른 규칙에도 필요할 수 있습니다. 속도 기반 규칙 문 및 SQL 명령어 삽입 공격 규칙 문을 예로 들 수 있습니다.

   거짓 긍정을 줄이기 위해 수행하는 작업은 사용 사례에 따라 다릅니다. 다음은 일반적인 접근 방식입니다.
   + **완화 규칙 추가** - 새 규칙보다 먼저 실행되고 거짓 긍정을 유발하는 요청을 명시적으로 허용하는 규칙을 추가합니다. 웹 ACL의 규칙 평가 순서에 대한 자세한 내용은 [규칙 우선 순위 설정](web-acl-processing-order.md) 섹션을 참조하세요.

     이 방법을 사용하면 허용된 요청이 보호된 리소스로 전송되므로 새 평가 규칙에 도달하지 않습니다. 새 규칙이 유료 관리형 규칙 그룹인 경우 이 방법은 규칙 그룹의 사용 비용을 억제하는 데도 도움이 될 수 있습니다.
   + **완화 규칙을 포함하는 논리적 규칙 추가** - 논리적 규칙 문을 사용하여 거짓 긍정을 배제하는 규칙과 새 규칙을 결합할 수 있습니다. 자세한 내용은 [에서 논리적 규칙 문 사용 AWS WAF](waf-rule-statements-logical.md) 단원을 참조하세요.

     예를 들어 요청 범주에 대해 거짓 긍정을 생성하는 SQL 명령어 삽입 공격 일치 문을 추가한다고 가정해 보겠습니다. 이러한 요청과 일치하는 규칙을 만든 다음 논리적 규칙 문을 사용하는 규칙을 결합하면 둘 다 거짓 긍정 기준과 일치하지 않고 SQL 명령어 삽입 공격 기준과 일치하는 요청만 일치하게 됩니다.
   + **범위 축소 문 추가** - 속도 기반 문 및 관리형 규칙 그룹 참조 문의 경우 주 명령문 안에 범위 축소 문을 추가하여 거짓 긍정이 발생하는 요청을 평가 대상에서 제외합니다.

     범위 축소 문과 일치하지 않는 요청은 규칙 그룹 또는 속도 기반 평가에 절대 도달하지 않습니다. 범위 축소 문에 대한 자세한 내용은 [에서 범위 축소 문 사용 AWS WAF](waf-rule-scope-down-statements.md) 섹션을 참조하세요. 예제는 [봇 관리에서 IP 범위 제외](waf-bot-control-example-scope-down-ip.md) 섹션을 참조하세요.
   + **레이블 일치 규칙 추가** - 레이블 지정을 사용하는 규칙 그룹의 경우 문제가 되는 규칙이 요청에 적용하는 레이블을 식별합니다. 규칙 그룹 규칙을 계산 모드에서 설정해야 할 수도 있습니다(아직 설정하지 않은 경우). 문제가 되는 규칙에 의해 추가되는 레이블과 일치하며 규칙 그룹 다음에 실행되도록 배치된 레이블 일치 규칙을 추가합니다. 레이블 일치 규칙에서 허용하려는 요청과 차단하려는 요청을 필터링할 수 있습니다.

     이 방법을 사용하는 경우 테스트를 마쳤을 때 문제가 되는 규칙을 규칙 그룹에서 계산 모드로 유지하고 사용자 지정 레이블 일치 규칙을 그대로 유지합니다. 레이블 일치 문에 대한 자세한 내용은 [레이블 일치 규칙 문](waf-rule-statement-type-label-match.md) 섹션을 참조하세요. 예제는 [차단된 특정 봇 허용](waf-bot-control-example-allow-blocked-bot.md) 및 [ATP 예제: 분실 및 손상된 보안 인증 정보에 대한 사용자 지정 처리](waf-atp-control-example-user-agent-exception.md) 단원을 참조하세요.
   + **관리형 규칙 그룹 버전 변경** - 버전이 지정된 관리형 규칙 그룹의 경우 사용 중인 버전을 변경합니다. 예를 들어, 성공적으로 사용하고 있던 마지막 정적 버전으로 다시 전환할 수 있습니다.

     이는 일반적으로 임시 해결책입니다. 테스트 또는 스테이징 환경에서 최신 버전을 계속 테스트하거나 공급자로부터 호환성이 더 좋은 버전을 기다리는 동안 프로덕션 트래픽의 버전을 변경할 수 있습니다. 관리형 규칙 그룹에 대한 자세한 내용은 [에서 관리형 규칙 그룹 사용 AWS WAF](waf-managed-rule-groups.md) 섹션을 참조하세요.

새 규칙이 필요한 요청과 일치하는 것으로 확인되면 테스트의 다음 단계로 이동하여 이 절차를 반복합니다. 프로덕션 환경에서 테스트 및 조정의 마지막 단계를 수행하십시오.

# 웹 ACL 지표 보기
<a name="web-acl-testing-view-metrics"></a>

이 섹션에서는 보호 팩(웹 ACL)의 지표를 보는 방법에 대해 설명합니다.

보호 팩(웹 ACL)을 하나 이상의 AWS 리소스와 연결한 후 Amazon CloudWatch 그래프에서 연결에 대한 결과 지표를 볼 수 있습니다.

 AWS WAF 지표에 대한 자세한 내용은 섹션을 참조하세요[AWS WAF 지표 및 차원](waf-metrics.md). CloudWatch 지표에 대한 자세한 내용은 [Amazon CloudWatch 사용 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)를 참조하세요.

CloudWatch를 사용하면 보호 팩(웹 ACL)의 각 규칙과 연결된 리소스가 보호 팩(웹 ACL)에 AWS WAF 대해 전달하는 모든 요청에 대해 다음을 수행할 수 있습니다.
+ 이전 한 시간 또는 이전 세 시간 동안의 데이터 보기
+ 데이터 요소 간의 간격 변경
+ CloudWatch에서 데이터에 대해 수행할 계산 변경(예: 최대, 최소, 평균 또는 합계)

**참고**  
AWS WAF CloudFront를 사용하는는 글로벌 서비스이며 지표는에서 **미국 동부(버지니아 북부)** 리전을 선택한 경우에만 사용할 수 있습니다 AWS Management Console. 다른 리전을 선택하면 CloudWatch 콘솔에 AWS WAF 지표가 표시되지 않습니다.

**보호 팩(웹 ACL)에서 규칙에 대한 데이터 보기**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) CloudWatch 콘솔을 엽니다.

1. 필요한 경우 리전을 AWS 리소스가 있는 리전으로 변경합니다. CloudFront에서 미국 동부(버지니아 북부) 리전을 선택합니다.

1. 탐색 창의 **지표**에서 **모든 지표**를 선택한 다음 **찾아보기** 탭에서 `AWS::WAFV2`를 검색하십시오.

1. 데이터를 보려는 보호 팩(웹 ACL)의 확인란을 선택합니다.

1. 해당되는 설정을 변경합니다.  
**통계**  
CloudWatch가 데이터에 대해 수행하는 계산을 선택합니다.  
**시간 범위**  
이전 한 시간 동안의 데이터를 볼지 또는 이전 세 시간 동안의 데이터를 볼지를 선택합니다.  
**Period**  
그래프에서 데이터 요소 간의 간격을 선택합니다.  
**규칙**  
데이터를 보려는 규칙을 선택합니다.  
규칙 이름을 변경하고 규칙의 지표 이름이 변경 사항을 반영하도록 하려면 지표 이름도 업데이트해야 합니다. 규칙 이름을 변경할 때 AWS WAF 는 규칙의 지표 이름을 자동으로 업데이트하지 않습니다. 콘솔에서 규칙을 편집할 때 규칙 JSON 편집기를 사용하여 지표 이름을 변경할 수 있습니다. API와 보호 팩(웹 ACL) 또는 규칙 그룹을 정의하는 데 사용하는 JSON 목록을 통해 두 이름을 모두 변경할 수도 있습니다.

   다음 사항에 유의하세요.
   + 최근에 보호 팩(웹 ACL)을 AWS 리소스와 연결한 경우 데이터가 그래프에 나타나고 보호 팩(웹 ACL)의 지표가 사용 가능한 지표 목록에 나타날 때까지 몇 분 정도 기다려야 할 수 있습니다.
   + 하나 이상의 리소스를 보호 팩(웹 ACL)에 연결하면 CloudWatch 데이터에 모든 리소스에 대한 요청이 포함됩니다.
   + 데이터 요소 위에 커서를 놓으면 추가 정보를 볼 수 있습니다.
   + 그래프는 자동으로 새로 고침되지 않습니다. 표시 내용을 업데이트하려면 새로 고침(![\[Icon to refresh the CloudWatch graph\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/cloudwatch-refresh-icon.png)) 아이콘을 선택합니다.

CloudWatch 지표에 대한 자세한 내용은 [Amazon CloudWatch를 사용한 모니터링](monitoring-cloudwatch.md) 섹션을 참조하세요.

# 보호 팩(웹 ACL)용 트래픽 개요 대시보드
<a name="web-acl-dashboards"></a>

이 섹션에서는 AWS WAF 콘솔의 보호 팩(웹 ACL) 트래픽 개요 대시보드에 대해 설명합니다. 보호 팩(웹 ACL)을 하나 이상의 AWS 리소스와 연결하고 보호 팩(웹 ACL)에 대한 지표를 활성화한 후 AWS WAF 콘솔에서 보호 팩(웹 ACL)의 트래픽 **개요 탭으로 이동하여 보호 팩(웹 ACL)이 평가하는 웹 트래픽**의 요약에 액세스할 수 있습니다. 대시보드에는 특수 AI 봇 및 에이전트 활동 분석을 포함하여 애플리케이션 웹 트래픽을 평가할 때가 AWS WAF 수집하는 Amazon CloudWatch 지표에 대한 실시간에 가까운 요약이 포함되어 있습니다.

**참고**  
대시보드에 아무 것도 표시되지 않는 경우 보호 팩(웹 ACL)에 대해 지표가 활성화되어 있는지 확인합니다.

보호 팩(웹 ACL)의 **트래픽 개요** 탭에는 다음 정보 범주에 대해 탭으로 구분된 대시보드가 포함됩니다.
+ **상위 보안 인사이트** - Amazon CloudWatch logs를 직접 쿼리하여가 얻는 AWS WAF AWS WAF 보호 기능에 대한 인사이트입니다. 대시보드의 나머지 부분에서는 CloudWatch 지표를 사용합니다. 이러한 인사이트는 더 풍부한 정보를 제공하지만 CloudWatch 로그 쿼리에 추가 비용이 발생합니다. 추가 비용에 대한 자세한 내용은 [Amazon CloudWatch Logs 가격 책정](https://aws.amazon.com/cloudwatch/pricing/)을 참조하세요.
+ **AI 트래픽 분석** - 봇 식별, 의도 분류, 액세스 패턴 및 시간 추세를 포함하여 AI 봇 및 에이전트 활동에 대해 분석된 웹 요청입니다. 이 탭은 보호 팩(웹 ACL)이 AI 봇 트래픽을 수신할 때 사용할 수 있습니다.
+ **모든 트래픽** - 보호 팩(웹 ACL)이 평가하는 모든 웹 요청입니다.

  대시보드는 작업 종료에 초점을 맞추고 있으나 다음 위치에서 카운트 규칙과 일치하는 항목을 볼 수 있습니다.
  + 이 대시보드의 **상위 10개 규칙** 창. **카운트 동작으로 전환**을 토글하여 일치하는 카운트 규칙을 표시합니다.
  + 보호 팩(웹 ACL) 페이지의 **샘플 요청** 탭입니다. 이 새 탭에는 모든 규칙 일치 그래프가 포함됩니다. 자세한 내용은 [웹 요청 샘플 보기](web-acl-testing-view-sample.md) 단원을 참조하세요.
+ **Anti-DDoS** - 보호 팩(웹 ACL)이 `AntiDDoSRuleSet` Anti-DDoS 관리형 규칙 그룹을 사용하여 평가하는 웹 요청입니다.

  이 탭은 보호 팩(웹 ACL)에서 이 규칙 그룹을 사용하는 경우에만 사용할 수 있습니다.
+ **봇 컨트롤** - 보호 팩(웹 ACL)이 봇 컨트롤 관리형 규칙 그룹을 사용하여 평가하는 웹 요청입니다.
+ 보호 팩(웹 ACL)에서 이 규칙 그룹을 사용하지 않는 경우 이 탭에는 봇 컨트롤 규칙에 대한 웹 트래픽 샘플을 평가한 결과가 표시됩니다. 무료로 제공되는 이 기능을 통해 애플리케이션에서 수신되는 봇 트래픽을 파악할 수 있습니다.

  이 규칙 그룹은가 AWS WAF 제공하는 지능형 위협 완화 옵션의 일부입니다. 자세한 내용은 [AWS WAF 봇 제어](waf-bot-control.md) 및 [AWS WAF Bot Control 규칙 그룹](aws-managed-rule-groups-bot.md) 섹션을 참조하세요.
+ **계정 탈취 방지** - 보호 팩(웹 ACL)이 AWS WAF 사기 제어 계정 탈취 방지(ATP) 관리형 규칙 그룹을 사용하여 평가하는 웹 요청입니다. 이 탭은 보호 팩(웹 ACL)에서 이 규칙 그룹을 사용하는 경우에만 사용할 수 있습니다.

  ATP 규칙 그룹은 AWS WAF 지능형 위협 완화 제공의 일부입니다. 자세한 내용은 [AWS WAF 사기 제어 계정 탈취 방지(ATP)](waf-atp.md) 및 [AWS WAF 사기 제어 계정 탈취 방지(ATP) 규칙 그룹](aws-managed-rule-groups-atp.md) 섹션을 참조하세요.
+ **계정 생성 사기 방지** - 보호 팩(웹 ACL)이 AWS WAF 사기 제어 계정 생성 사기 방지(ACFP) 관리형 규칙 그룹을 사용하여 평가하는 웹 요청입니다. 이 탭은 보호 팩(웹 ACL)에서 이 규칙 그룹을 사용하는 경우에만 사용할 수 있습니다.

  ACFP 규칙 그룹은 AWS WAF 지능형 위협 완화 제공의 일부입니다. 자세한 내용은 [AWS WAF 사기 제어 계정 생성 사기 방지(ACFP)](waf-acfp.md) 및 [AWS WAF 사기 제어 계정 생성 사기 방지(ACFP) 규칙 그룹](aws-managed-rule-groups-acfp.md) 섹션을 참조하세요.

대시보드는 보호 팩(웹 ACL)의 CloudWatch 지표를 기반으로 하며 그래프를 통해 CloudWatch의 해당 지표에 액세스할 수 있습니다. Bot Control과 같은 지능형 위협 완화 대시보드의 경우 사용되는 지표는 주로 레이블 지표입니다.
+ 에서 AWS WAF 제공하는 지표 목록은 단원을 참조하십시오[AWS WAF 지표 및 차원](waf-metrics.md).
+ CloudWatch 지표에 대한 자세한 내용은 [Amazon CloudWatch 사용 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)를 참조하세요.

대시보드는 선택한 종료 작업과 날짜 범위에 대한 트래픽 패턴의 요약을 제공합니다. 지능형 위협 완화 대시보드에는 관리형 규칙 그룹 자체가 종료 작업을 적용하는지 여부와 상관없이 해당 관리형 규칙 그룹에서 평가되는 요청이 포함됩니다. 예를 들어 Block을 선택하면 ATP 관리형 규칙 그룹에서 평가되었다가 보호 팩(웹 ACL) 평가 중 특정 시점에 차단된 모든 웹 요청에 대한 정보가 **계정 탈취 방지** 대시보드에 포함됩니다. 요청은 ATP 관리형 규칙 그룹, 보호 팩(웹 ACL)의 규칙 그룹 이후에 실행된 규칙 또는 보호 팩(웹 ACL) 기본 작업에 의해 차단될 수 있습니다.

# 보호 팩(웹 ACL)의 대시보드 보기
<a name="web-acl-dashboards-accessing"></a>

이 섹션의 절차에 따라 보호 팩(웹 ACL) 대시보드에 액세스하고 데이터 필터링 기준을 설정합니다. 최근에 보호 팩(웹 ACL)을 AWS 리소스와 연결한 경우 대시보드에서 데이터를 사용할 수 있을 때까지 몇 분 정도 기다려야 할 수 있습니다.

대시보드에는 보호 팩(웹 ACL)과 연결된 모든 리소스에 대한 요청이 포함됩니다.

**보호 팩(웹 ACL)용 **트래픽 개요** 대시보드 보기**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) AWS WAF 콘솔을 엽니다.

1. 탐색 창에서 **보호 팩(웹 ACL)**을 선택한 다음 관심 있는 웹 ACL을 검색합니다.

1. 보호 팩(웹 ACL)을 선택합니다. 콘솔에서 보호 팩(웹 ACL) 페이지로 이동합니다. **트래픽 개요** 탭이 기본적으로 선택되어 있습니다.

1. 필요에 따라 **데이터 필터** 설정을 변경합니다.
   + **종료 규칙 작업** - 대시보드에 포함할 종료 작업을 선택합니다. 대시보드에 보호 팩(웹 ACL) 평가를 통해 선택한 작업 중 하나가 적용된 웹 요청에 대한 지표가 요약됩니다. 사용 가능한 작업을 모두 선택하면 평가된 모든 웹 요청이 대시보드에 포함됩니다. 작업에 대한 자세한 내용은 [가 규칙 및 규칙 그룹 작업을 AWS WAF 처리하는 방법](web-acl-rule-actions.md) 섹션을 참조하세요.
   + **시간 범위** - 대시보드에서 확인할 시간 간격을 선택합니다. 예를 들어 최근 3시간 또는 지난 주와 같이 현재를 기준으로 한 기간을 표시하도록 선택한 후, 달력에서 절대 시간 범위를 선택할 수 있습니다.
   + **시간대** - 이 설정은 절대 시간 범위를 지정할 때 적용됩니다. 브라우저의 현지 시간대 또는 UTC(협정 세계시)를 사용할 수 있습니다.

원하는 탭의 정보를 검토합니다. 데이터 필터 선택은 모든 대시보드에 적용됩니다. 그래프 창에서 데이터 포인트 또는 영역을 커서로 가리키면 추가 세부 정보를 볼 수 있습니다.

**Count 작업 규칙**  
두 위치 중 하나에서 작업 일치 횟수에 대한 정보를 볼 수 있습니다.
+ 이 **트래픽 개요** 탭의 **모든 트래픽** 대시보드에서 **상위 10개 규칙** 창을 찾아 **실행 횟수로 전환**을 토글합니다. 이 토글을 켜면 창에 종료 규칙 일치 대신 규칙 일치 개수가 표시됩니다.
+ 보호 팩(웹 ACL)의 **샘플링된 요청** 탭에서 **트래픽 개요** 탭에서 설정한 시간 범위에 대한 모든 규칙 일치 및 조치의 그래프를 볼 수 있습니다. **샘플링된 요청** 탭에 대한 내용은 [웹 요청 샘플 보기](web-acl-testing-view-sample.md)을(를) 참조하세요.

**Amazon CloudWatch 지표**  
대시보드 그래프 창에서 그래프로 표시된 데이터에 대한 CloudWatch 지표에 액세스할 수 있습니다. 그래프 창 상단이나 창 내의 **⋮**(세로 생략 부호) 드롭다운 메뉴에서 옵션을 선택합니다.

**대시보드 새로 고침**  
대시보드는 자동으로 새로 고쳐지지 않습니다. 표시 내용을 업데이트하려면 새로 고침 ![\[Icon to refresh the dashboard graph\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/cloudwatch-refresh-icon.png) 아이콘을 선택합니다.

# 보호 팩(웹 ACL)용 트래픽 개요 대시보드의 예제
<a name="web-acl-dashboards-screenshots"></a>

이 섹션에서는 보호 팩(웹 ACL)용 트래픽 개요 대시보드의 예제 화면을 보여줍니다.

**참고**  
이미 AWS WAF 를 사용하여 애플리케이션 리소스를 보호 중인 경우 AWS WAF 콘솔의 해당 페이지에서 모든 보호 팩(웹 ACLs)에 대한 대시보드를 볼 수 있습니다. 자세한 내용은 [보호 팩(웹 ACL)의 대시보드 보기](web-acl-dashboards-accessing.md) 단원을 참조하세요.

**예제 화면: 데이터 필터 및 **모든 트래픽** 대시보드 작업 개수**  
다음 스크린샷은 **모든 트래픽** 탭이 선택된 보호 팩(웹 ACL)의 트래픽 개요를 보여줍니다. 데이터 필터는 지난 3시간 동안의 모든 종료 작업(기본값)으로 설정되어 있습니다.

전체 트래픽 대시보드 안에는 다양한 종료 작업에 대한 작업 합계가 표시됩니다. 각 창에는 요청 개수가 나열되고 이전 3시간 범위 이후의 변경을 나타내는 위쪽/아래쪽 화살표가 표시됩니다.

![\[AWS WAF 콘솔에는 기본 데이터 필터가 선택된 보호 팩(웹 ACL) 페이지 트래픽 개요 탭이 표시됩니다. 종료 규칙 작업 옵션은Block, Allow, CAPTCHA 및 Challenge입니다. 데이터 필터 섹션 아래에는 모든 트래픽, Bot Control 및 계정 탈취 방지를 위한 탭이 있습니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/web-acl-dashboard-data-filters-default-top-actions.png)


**예제 화면: **Bot Control** 대시보드 작업 수**  
다음 스크린샷은 Bot Control 대시보드의 작업 수를 보여줍니다. 이 그림은 시간 범위에 대해 동일한 총계 창을 보여주지만, 개수는 Bot Control 규칙 그룹이 평가한 요청의 수만 표시합니다. 더 아래쪽에 있는 **작업 합계** 창에서는 지정된 3시간 범위 동안의 작업 수를 볼 수 있습니다. 이 기간 동안에는 규칙 그룹이 평가한 어떤 요청에도 CAPTCHA 작업이 적용되지 않았습니다.

![\[AWS WAF 콘솔에는 Bot Control 대시보드의 상단 부분이 시간 범위의 작업 합계와 시간 범위의 작업 합계와 함께 표시됩니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/web-acl-dashboard-bot-action-totals.png)


**예제 화면: **AI 트래픽 분석 대시보드** 대시보드 작업 수**  
다음 스크린샷은 보호 팩(웹 ACL)에 대한 AI 트래픽 분석 대시보드를 보여줍니다. 대시보드에는 선택한 시간 범위 동안의 AI 봇 활동이 봇 조직, 의도 유형 및 확인 상태에 대한 필터와 함께 표시됩니다.

![\[AWS WAF 콘솔은 AI 트래픽 분석 대시보드의 상단 부분을 시간 범위에 대한 상단 크롤러와 상단 경로 및 시간 범위 전체의 작업 합계와 함께 보여줍니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/waf-phantom-edge-dashboard.png)


대시보드에는 다음이 포함됩니다.
+ **Bot Identity 패널** - 이름과 조직이 있는 감지된 AI 봇을 나열합니다.
+ **의도 분류** - 봇 목적(크롤링, 인덱싱, 연구 등)을 분류합니다.
+ **액세스 패턴** - 요청 수가 있는 AI 에이전트가 액세스하는 상위 URLs 
+ **시간 분석** - 14일 기록 보기가 포함된 시간당 및 일일 활동 추세
+ **조직 분석** - 봇 소유자 조직별 트래픽 볼륨

**예제 화면: **Bot Control** 대시보드 토큰 상태 요약 그래프**  
다음 스크린샷은 Bot Control 대시보드에서 사용할 수 있는 두 가지 요약 그래픽을 보여줍니다. **토큰 상태** 창에는 요청에 적용된 규칙 작업과 함께 다양한 토큰 상태 레이블 개수가 표시됩니다. **IP 토큰 없는 임계값** 창에는 토큰 없이 너무 많은 요청을 보낸 IP의 요청에 대한 데이터가 표시됩니다.

그래프의 아무 영역이나 마우스로 가리키면 사용 가능한 세부 정보가 표시됩니다. 이 스크린샷의 **토큰 상태** 창에서 마우스로 그래프 선이 아닌 특정 시점을 가리키면 콘솔에 해당 시점의 모든 라인에 대한 데이터가 표시됩니다.

![\[AWS WAF 콘솔에는 토큰 상태 및 IP 토큰 없음 임계값에 대한 두 개의 창이 표시되며, 각 창에서 차단된 요청과 챌린지된 요청에 대한 유사한 그래프 선이 표시됩니다. 토큰 상태 창에는 허용된 요청에 대한 그래프도 표시됩니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/web-acl-dashboard-bot-token-panes.png)


이 섹션에서는 보호 팩(웹 ACL) 트래픽 개요 대시보드에 제공되는 몇 가지 트래픽 요약만 보여줍니다. 보호 팩(웹 ACL)의 대시보드를 보려면 콘솔에서 보호 팩(웹 ACL) 페이지를 엽니다. 이를 위한 자세한 방법은 [보호 팩(웹 ACL)의 대시보드 보기](web-acl-dashboards-accessing.md) 섹션을 참조하세요.

# 웹 요청 샘플 보기
<a name="web-acl-testing-view-sample"></a>

이 섹션에서는 AWS WAF 콘솔의 보호 팩(웹 ACL) **샘플링된 요청** 탭에 대해 설명합니다. 이 탭에서는가 검사한 웹 요청에 대한 모든 규칙 일치의 그래프 AWS WAF 를 볼 수 있습니다. 또한 보호 팩(웹 ACL)에 대해 요청 샘플링을 활성화한 경우 AWS WAF 가 검사한 웹 요청 샘플의 테이블 보기를 볼 수 있습니다. API 호출 `GetSampledRequests`를 통해 샘플링된 요청 정보를 검색할 수도 있습니다.

요청 샘플에는 보호 팩(웹 ACL)의 규칙에 대한 기준과 일치하는 최대 100개의 요청과 규칙과 일치하지 않고 보호 팩(웹 ACL) 기본 작업이 적용된 요청에 대한 다른 100개의 요청이 포함되어 있습니다. 샘플의 요청은 이전 3시간 동안 콘텐츠에 대해 요청을 수신한 모든 보호된 리소스에서 나옵니다.

웹 요청이 규칙의 기준과 일치하고 해당 규칙에 대한 작업이 요청 평가를 종료하지 않는 경우는 보호 팩(웹 ACL)의 후속 규칙을 사용하여 웹 요청을 AWS WAF 계속 검사합니다. 이로 인해 웹 요청이 여러 번 나타날 수 있습니다. 규칙 작업 동작에 관한 내용은 [에서 규칙 작업 사용 AWS WAF](waf-rule-action.md)을(를) 참조하세요.

**모든 규칙 그래프와 샘플링된 요청을 보려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) AWS WAF 콘솔을 엽니다.

1. 탐색 창에서 **보호 팩(웹 ACL)**을 선택합니다.

1. 요청을 보려는 보호 팩(웹 ACL)의 이름을 선택합니다. 콘솔에서 보호 팩(웹 ACL)의 설명으로 이동하여 여기에서 설명을 편집할 수 있습니다.

1. **샘플링된 요청** 탭에서 다음을 확인할 수 있습니다.
   + **모든 규칙 그래프** - 이 그래프는 표시된 시간 범위 동안 수행된 모든 웹 요청 평가에 대한 일치 규칙 및 규칙 작업을 보여줍니다.
**참고**  
이 그래프에 대한 시간 범위는 **데이터 필터** 섹션에 있는 보호 팩(웹 ACL)의 **트래픽 개요** 탭에서 설정됩니다. 자세한 내용은 [보호 팩(웹 ACL)의 대시보드 보기](web-acl-dashboards-accessing.md) 단원을 참조하세요.
   + **샘플링된 요청 테이블** – 이 테이블에는 지난 3시간 동안 샘플링된 요청 데이터가 표시됩니다.
**참고**  
관리형 규칙 그룹에 대해 예상되는 샘플이 보이지 않는 경우 이 절차의 아래 섹션을 참조하세요.

     테이블에는 각 항목에 대해 다음 데이터가 표시됩니다.  
**지표 이름**  
보호 팩(웹 ACL)에서 요청과 일치한 규칙에 대한 CloudWatch 지표 이름입니다. 웹 요청이 보호 팩(웹 ACL)의 어떤 규칙과도 일치하지 않는 경우 이 값은 **기본값**입니다.  
규칙 이름을 변경하고 규칙의 지표 이름에 변경 사항이 반영되도록 하려면 지표 이름도 업데이트해야 합니다. 규칙 이름을 변경할 때 AWS WAF 는 규칙의 지표 이름을 자동으로 업데이트하지 않습니다. 콘솔에서 규칙을 편집할 때 규칙 JSON 편집기를 사용하여 지표 이름을 변경할 수 있습니다. API와 보호 팩(웹 ACL) 또는 규칙 그룹을 정의하는 데 사용하는 JSON 목록을 통해 두 이름을 모두 변경할 수도 있습니다.  
**소스 IP**  
요청이 시작된 IP 주소 또는 최종 사용자가 HTTP 프록시나 Application Load Balancer를 사용하여 요청을 전송한 경우 프록시 또는 Application Load Balancer의 IP 주소입니다.  
**URI**  
리소스를 식별하는 URL의 부분입니다(예: `/images/daily-ad.jpg`).  
**규칙 그룹 내부 규칙**  
지표 이름이 규칙 그룹 참조 문을 식별하는 경우 이 항목은 규칙 그룹 내부에서 요청과 일치했던 규칙을 식별합니다.  
**작업**  
해당 규칙에 대한 작업을 나타냅니다. 가능한 규칙 작업에 대한 자세한 내용은 [에서 규칙 작업 사용 AWS WAF](waf-rule-action.md) 섹션을 참조하세요.  
규칙 그룹에서 개수 작업이 있는 규칙에 대한 샘플링된 요청은 웹 ACL 보기에서 사용할 수 없습니다. 규칙 그룹 규칙에 대한 개수 지표 및 샘플링된 요청은 규칙 그룹 소유자에게만 표시됩니다.  
**Time**  
가 보호된 리소스로부터 요청을 AWS WAF 받은 시간입니다.

     웹 요청 구성 요소에 대한 추가 정보를 표시하려면 해당 요청의 행에서 URI 이름을 선택합니다.

**관리형 규칙 그룹의 규칙에 대한 샘플링된 요청**  
콘솔에는 트리거된 규칙을 지정하는 "규칙 내부 규칙"이 있는 규칙 그룹에 대한 지표가 표시됩니다. 최신 `RuleActionOverrides` 설정을 사용하여 기본 작업 규칙 세트 및 규칙에 대한 지표를 볼 수 있습니다. 이전 `ExcludedRules` 설정을 사용하는 규칙의 경우 **샘플링된 요청** 지표 규칙 드롭다운의 규칙 세트 내에서 특정 규칙을 선택합니다.

이전 설정이 표시되면 새 설정으로 바꾸어 콘솔을 통해 샘플링된 요청을 사용할 수 있도록 합니다. 콘솔을 통해 보호 팩(웹 ACL)에서 관리형 규칙 그룹을 편집하고 저장하여 이 작업을 수행할 수 있습니다. AWS WAF 는 이전 설정을 `RuleActionOverrides` 설정으로 자동으로 바꾸고 규칙 작업 재정의를 Count로 설정합니다. 이러한 설정에 대한 자세한 내용은 [JSON 목록: `RuleActionOverrides`에서 `ExcludedRules` 대체](web-acl-rule-group-override-options.md#web-acl-rule-group-override-replaces-exclude) 섹션을 참조하세요.

 AWS WAF REST API, SDKs 또는 명령줄을 통해 이전 재정의가 있는 규칙에 대한 샘플링된 요청에 액세스할 수 있습니다. 자세한 내용은 *AWS WAF API 참조*의 [GetSampledRequests](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetSampledRequests.html)를 참조하세요.

다음은 명령줄 요청의 구문을 보여 줍니다.

```
aws wafv2 get-sampled-requests \
  --web-acl-arn webACL ARN \
  --rule-metric-name Metric name of the rule in the managed rule group \
  --scope=REGIONAL or CLOUDFRONT \
  --time-window StartTime=UTC timestamp,EndTime=UTC timestamp \
  --max-items 100
```

# 프로덕션 환경에서 보호 기능을 활성화하십시오
<a name="web-acl-testing-enable-production"></a>

이 섹션에서는 프로덕션에서 조정된 보호를 활성화하는 지침을 제공합니다.

프로덕션 환경에서 테스트 및 튜닝의 최종 단계를 완료했으면 프로덕션 모드에서 보호 기능을 활성화하십시오.

**프로덕션 트래픽 위험**  
프로덕션 트래픽용 보호 팩(웹 ACL) 구현을 배포하기 전에 트래픽에 대한 잠재적 영향을 파악할 때까지 테스트 환경에서 이를 테스트하고 조정합니다. 또한 프로덕션 트래픽에 대한 보호를 활성화하기 전에 프로덕션 트래픽을 사용하여 계산 모드에서 트래픽을 테스트 및 조정합니다.

**참고**  
이 섹션의 지침을 따르려면 일반적으로 AWS WAF 보호 팩(웹 ACLs), 규칙 및 규칙 그룹과 같은 보호를 생성하고 관리하는 방법을 이해해야 합니다. 이 정보는 이 가이드의 이전 섹션에 설명되어 있습니다.

이러한 단계를 먼저 테스트 환경에서 수행한 다음, 프로덕션 환경에서 수행합니다.

**프로덕션 환경에서 AWS WAF 보호 활성화**

1. 

**프로덕션 보호 기능으로 전환**

   보호 팩(웹 ACL)을 업데이트하고 프로덕션 설정을 전환합니다.

   1. 

**필요하지 않은 테스트 규칙을 모두 제거합니다.**

      프로덕션 환경에서 필요하지 않은 테스트 규칙을 추가했다면 삭제합니다. 레이블 일치 규칙을 사용하여 관리형 규칙 그룹 규칙의 결과를 필터링하는 경우 해당 규칙을 그대로 두어야 합니다.

   1. 

**프로덕션 작업으로 전환**

      새 규칙의 작업 설정을 의도한 프로덕션 설정으로 변경합니다.
      + **보호 팩(웹 ACL)에 정의된 규칙** - 보호 팩(웹 ACL)에서 규칙을 편집하고 Count의 작업을 해당 프로덕션 작업으로 변경합니다.
      + **규칙 그룹** - 규칙 그룹의 보호 팩(웹 ACL) 구성에서 테스트 및 조정 활동의 결과에 따라 자체 작업을 사용하는 규칙으로 전환하거나 규칙을 그대로 유지하면서 Count 작업을 재정의합니다. 레이블 일치 규칙을 사용하여 규칙 그룹 규칙의 결과를 필터링하는 경우 해당 규칙에 대한 재정의를 그대로 두어야 합니다.

        규칙의 작업을 사용하도록 전환하려면 보호 팩(웹 ACL) 구성에서 규칙 그룹의 규칙 문을 편집하고 규칙에 대한 Count 재정의를 제거합니다. JSON에서 보호 팩(웹 ACL)을 관리하는 경우 규칙 그룹 참조 문에서 `RuleActionOverrides` 목록의 규칙 항목을 제거합니다.
      + **보호 팩(웹 ACL)** - 테스트의 보호 팩(웹 ACL) 기본 작업을 변경한 경우 프로덕션 설정으로 전환합니다.

      이러한 설정을 사용하면 새로운 보호 기능이 웹 트래픽을 의도한 대로 관리하게 됩니다.

   보호 팩(웹 ACL)을 저장하면 연결된 리소스가 프로덕션 설정을 사용하게 됩니다.

1. 

**모니터링 및 조정**

   웹 요청이 원하는 대로 처리되도록 하려면 새 기능을 활성화한 후 트래픽을 면밀히 모니터링합니다. 조정 작업에서 모니터링하던 계산 작업 대신 프로덕션 규칙 작업에 대한 지표와 로그를 모니터링하게 됩니다. 계속 모니터링하면서 필요에 따라 동작을 조정하여 웹 트래픽의 변화에 맞춥니다.