使用 Amazon 監控 CloudWatch - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon 監控 CloudWatch

您可以使用 Amazon 監控 Web 請求、Web ACL 和規則 CloudWatch,Amazon 會從中收集原始資料並處理AWS Shield Advanced成可讀AWS WAF且接近即時的指標。您可以使用 Amazon 中的統計信息 CloudWatch 來了解 Web 應用程序或服務的執行情況。如需詳細資訊,請參閱 Amazon CloudWatch 使用者指南 CloudWatch中的內

注意

CloudWatch Firewall Manager 員未啟用指標和警示。

創建 Amazon CloudWatch 警報

您可以建立 Amazon CloudWatch 警示,在警示狀態變更時傳送 Amazon SNS 訊息。警示會監看您指定時段的單個指標,然後根據幾個時間段內與指定閾值相關的指標值來執行一或多個動作。此動作是傳送到 Amazon SNS 主題或 Auto Scaling 政策的通知。警示只會呼叫持續狀態變更的動作。 CloudWatch 警示不會僅因為處於特定狀態而叫用動作;狀態必須已變更並維持指定數目的期間。

AWS WAF 和 AWS Shield Advanced 指標與維度

指標會先依服務命名空間分組,再依各命名空間內不同的維度組合分類。

  • AWS WAF命名空間是 AWS/WAFV2

  • Shield 高級命名空間是 AWS/DDoSProtection

注意

AWS WAF每分鐘報告一次量度。

「Shield 牌進階」會在活動期間每分鐘報告一次指標,其他時間則較少報告指標

使用下列程序來檢視AWS WAF和的測量結果AWS Shield Advanced。

使用 CloudWatch 主控台檢視指標
  1. 請登入AWS Management Console並開啟 CloudWatch 主控台,網址為 https://console.aws.amazon.com/cloudwatch/

  2. 如有必要,請將「地區」變更為資AWS源所在的地區。對於 CloudFront,選擇美國東部 (維吉尼亞北部) 區域。

  3. 在導覽窗格的「量度」下,選擇「所有量度」,然後在「瀏覽」索引標籤下搜尋服務。

使用 AWS CLI 來檢視指標
  • 對於 AWS/WAFV2,請在命令提示字元中使用下列命令:

    aws cloudwatch list-metrics --namespace "AWS/WAFV2"

    針對「Shield 進階」,在命令提示字元中使用下列命令:

    aws cloudwatch list-metrics --namespace "AWS/DDoSProtection"

AWS WAF 指標與維度

AWS WAF每分鐘報告一次量度。 AWS WAF在AWS/WAFV2命名空間中提供下列量度和維度。

Web ACL、規則群組以及規則度量和維度

Web ACL、規則群組和規則測量結果
指標 描述

AllowedRequests

允許的 Web 要求數目。

報告條件:有非零值。

有效的統計資訊:總和

BlockedRequests

封鎖的 Web 要求數目。

報告條件:有非零值。

有效的統計資訊:總和

CountedRequests

計入的 Web 要求數目。

報告條件:有非零值。

計算的 Web 請求是指至少符合其中一個規則的請求。請求計數一般用於測試。

有效的統計資訊:總和

CaptchaRequests

套用了驗證碼控制項的網頁要求數目。

報告條件:有非零值。

CAPTCHA 網頁要求是與具有CAPTCHA動作設定的規則相符的要求。此指標會記錄所有匹配的請求,無論它們是否具有有效的 CAPTCHA 令牌。

有效的統計資訊:總和

RequestsWithValidCaptchaToken

套用了 CAPTCHA 控制項且具有有效驗證碼權杖的網頁要求數目。

報告條件:有非零值。

有效的統計資訊:總和

CaptchasAttempted

終端使用者為了回應驗證碼難題挑戰而提交的解決方案數量。

報告條件:有非零值。

有效的統計資訊:總和

CaptchasSolved

提交成功解決難題的驗證碼拼圖解決方案的數量。

報告條件:有非零值。

有效的統計資訊:總和

ChallengeRequests

套用了挑戰控制項的 Web 要求數目。

報告條件:有非零值。

挑戰 Web 要求是符合具有Challenge動作設定的規則的要求。此量度會記錄所有符合的要求,不論它們是否具有有效的挑戰 Token。

有效的統計資訊:總和

RequestsWithValidChallengeToken

已套用挑戰控制項且具有有效挑戰權杖的 Web 要求數目。

報告條件:有非零值。

有效的統計資訊:總和

PassedRequests

傳遞的要求數目。這僅適用於經過規則群組評估但不符合任何規則群組規則的要求。

報告條件:有非零值。

傳遞的要求是不符合規則群組中任何規則的要求。

有效的統計資訊:總和

網頁 ACL、規則群組和規則維度
維度 描述

Region

除了 Amazon CloudFront 分發以外,所有受保護的資源類型都需要此項

Rule

下列其中一項:

  • Rule 的指標名稱。

  • ALL,代表 WebACL 或 RuleGroup 內的所有規則。

  • Default_Action(僅適用於與WebACL維度結合時),表示指派給任何請求的動作,而該請求的評估未因 Web ACL 中的規則動作終止。

RuleGroup

RuleGroup 的指標名稱。

WebACL

WebACL 的指標名稱。

Country

請求的來源國。這是來自國際標準化組織 (ISO) 3166 標準的兩個字元名稱。例如,US 代表美國和 UA 代表烏克蘭。

如果請求具有X-Forwarded-For標頭,則AWS WAF使用該標題來確定此設置。否則,AWS WAF會使用用戶端 IP 的國家/地區。此決定與您在規則中使用的任何邏輯無關,以確定原籍國。 AWS WAF確定使用 MaxMind GeoIP 數據庫的 IP 的位置。

Attack

根據您在 Web ACL 中使用的規則和規則群組,在要求中AWS WAF識別的攻擊類型。

您的規則和基準AWS管理規則群組中的規則可以識別攻擊類型。例如,跨網站指令碼 (XSS) 規則符合可識別 XSS 攻擊類型,而以速率為基礎的規則則可識別容量攻擊類型。攻擊類型通常表示終止 Web 請求評估的規則類型。

Device

傳送要求的用戶端裝置類型 (從 Web 要求的user-agent標頭取得)。

ManagedRuleGroup

管理規則群組的測量結果名稱,其規則終止 Web 要求的評估。

標示量度和維度

根據規則評估期間以及您在 Web ACL 中使用的受管規則群組新增至要求的標籤量度。如需相關資訊,請參閱 網頁要求上的標籤

對於任何單一 Web 請求,最多可AWS WAF儲存 100 個標籤的指標。您的 Web ACL 評估可以套用 100 個以上的標籤,並與 100 個以上的標籤進行比對,但只有前 100 個標籤會反映在量度中。

標籤指標
指標 描述

AllowedRequests

已Allow套用動作設定之 Web 要求上的標籤數目。您可以在 Web 要求評估期間隨時新增這些標籤。

報告條件:有非零值。

有效的統計資訊:總和

BlockedRequests

已Block套用動作設定之 Web 要求上的標籤數目。您可以在 Web 要求評估期間隨時新增這些標籤。

報告條件:有非零值。

有效的統計資訊:總和

CountedRequests

依規則群組規則 (具有Count動作設定) 新增至 Web 要求的標籤數目。

此量度僅供規則群組的擁有者使用,適用於規則群組內的規則。在其他情況下,計數標籤量度會彙總到套用至要求的終止動作,例如Allow或Block。

報告條件:有非零值。

有效的統計資訊:總和

CaptchaRequests

已套用終止CAPTCHA動作之 Web 要求上的標籤數目。您可以在 Web 要求評估期間隨時新增這些標籤。

報告條件:有非零值。

有效的統計資訊:總和

ChallengeRequests

已套用終止Challenge動作之 Web 要求上的標籤數目。您可以在 Web 要求評估期間隨時新增這些標籤。

報告條件:有非零值。

有效的統計資訊:總和

標籤尺寸
維度 描述

Region

除了 Amazon CloudFront 分發以外,所有受保護的資源類型都需要此項

WebACL

WebACL 的指標名稱。

RuleGroup

RuleGroup 的指標名稱。用於量度CountedRequests

LabelNamespace

新增至要求之標籤的命名空間前置詞。

Label

新增至要求的標籤名稱。

Context

作為標籤新增前後關聯的受管理規則群組。例如,權杖管理標籤的前後關聯awswaf:managed:token:accepted是在請求上使用權杖管理的AWS WAF受管規則群組,例如機器人控制或 ATP 管理規則群組。此維度不適用於所有標籤。

免費機器人可見度指標和維度

當您未在 Web ACL 中使用機器人控制時,會將機器人控制受管規則群組AWS WAF套用至 Web 請求的取樣,而無需額外付費。這可以提供來自受保護資源的機器人流量的概念。如需機器人控制的相關資訊,請參閱AWS WAF機器人控制規則群組

免費的機器人可見度
指標 描述

SampleAllowedRequest

具Allow有動作的取樣要求百分比。

報告條件:有非零值。

有效的統計資訊:總和

SampleBlockedRequest

具Block有動作的取樣要求百分比。

報告條件:有非零值。

有效的統計資訊:總和

SampleCaptchaRequest

具CAPTCHA有動作的取樣要求百分比。

報告條件:有非零值。

有效的統計資訊:總和

SampleChallengeRequest

具Challenge有動作的取樣要求百分比。

報告條件:有非零值。

有效的統計資訊:總和

SampleCountRequest

具Count有動作的取樣要求百分比。

報告條件:有非零值。

有效的統計資訊:總和

免費的機器人可見度
維度 描述

Region

除了 Amazon CloudFront 分發以外,所有受保護的資源類型都需要此項

WebACL

WebACL 的指標名稱。

BotCategory

根據 Web 要求標籤,偵測到的機器人類別名稱。

VerificationStatus

根據 Web 要求標籤,偵測到的機器人驗證狀態的名稱。

Signal

根據 Web 請求標籤,偵測到的機器人訊號的名稱。

AWS Shield Advanced 指標與警示

本節討論 AWS Shield Advanced 可用的指標和警示。

AWS Shield Advanced 指標

Shield A AWS dvanced CloudWatch 在 DDoS 事件期間向 Amazon 報告指標的頻率高於沒有事件正在進行的情況下。「Shield 牌進階」會在活動期間每分鐘報告一次指標,然後在活動結束後立即報告一次指標。雖然沒有任何事件正在進行中,Shield Advanced 會在指派給資源的時間每天報告一次度量。此定期報告會保持量度處於作用中狀態,並可用於自訂 CloudWatch 警示。

Shield Advanced 報告美國東部 (維吉尼亞北部) 區域的量度,us-east-1適用於下列項目:

對於其他資源類型,「Shield 牌進階」會報告資源「區域」中的度量。

偵測指標

Shield 牌進階在AWS/DDoSProtection命名空間中提供下列偵測指標和維度。

偵測指標
指標 描述
DDoSDetected 指出特定 Amazon Resource Name (ARN) 是否正遭遇 DDoS 事件。

此測量結果在事件期間的值非零。

DDoSAttackBitsPerSecond 在特定 Amazon Resource Name (ARN) 的 DDoS 事件期間觀察到的位元組數。此指標僅適用於網路和傳輸層 (第 3 層和第 4 層) DDoS 事件。

此測量結果在事件期間的值非零。

單位:位元

DDoSAttackPacketsPerSecond 在特定 Amazon Resource Name (ARN) 的 DDoS 事件期間觀察到的封包數量。此指標僅適用於網路和傳輸層 (第 3 層和第 4 層) DDoS 事件。

此測量結果在事件期間的值非零。

單位:封包數

DDoSAttackRequestsPerSecond 在特定 Amazon Resource Name (ARN) 的 DDoS 事件期間觀察到的請求數量。本指標僅適用於 layer 3/4 的 DDoS 事件。本指標只會回報為最重大的 Layer 7 事件。

此測量結果在事件期間的值非零。

單位:請求

「Shield 牌進階」會在不包含其他維度的情況下DDoSDetected張貼 其餘的偵測指AttackVector標包括對應於攻擊類型的維度,從下列清單中:

  • ACKFlood

  • ChargenReflection

  • DNSReflection

  • GenericUDPReflection

  • MemcachedReflection

  • MSSQLReflection

  • NetBIOSReflection

  • NTPReflection

  • PortMapper

  • RequestFlood

  • RIPReflection

  • SNMPReflection

  • SSDPReflection

  • SYNFlood

  • UDPFragment

  • UDPTraffic

  • UDPReflection

緩解指標

Shield 進階在AWS/DDoSProtection命名空間中提供下列緩和指標和維度。

緩解指標
指標 描述
VolumePacketsPerSecond 針對偵測到的事件而部署的緩和措施捨棄或傳遞的每秒封包數目。

單位:封包數

緩解維度
維度 描述

ResourceArn

Amazon Resource Name (ARN)

MitigationAction

套用緩和措施的結果。可能的值為 PassDrop

頂級貢獻者指標

Shield 進階在AWS/DDoSProtection命名空間中提供下列緩和指標和維度。

頂級貢獻者指標
指標 描述
VolumePacketsPerSecond 頂尖貢獻者每秒的封包數目。

單位:封包數

VolumeBitsPerSecond 頂尖貢獻者每秒的位元數。

單位:位

Shield Advanced 會根據特徵事件貢獻者的維度組合來張貼頂尖貢獻者量度。您可以針對任何主要貢獻者量度使用下列任何維度組合:

  • ResourceArn, Protocol

  • ResourceArn, Protocol, SourcePort

  • ResourceArn, Protocol, DestinationPort

  • ResourceArn, Protocol, SourceIp

  • ResourceArn, Protocol, SourceAsn

  • ResourceArn, TcpFlags

頂尖貢獻者維度
維度 描述

ResourceArn

Amazon 資源名稱(ARN)。

Protocol

IP 通訊協定名稱,TCPUDP

SourcePort

來源 TCP 或 UDP 連接埠。

DestinationPort

目的地 TCP 或 UDP 連接埠。

SourceIp

來源 IP 位址。

SourceAsn

來源自主系統編號 (ASN)。

TcpFlags

TCP 封包中存在的旗標組合,以破折號 (-) 分隔。受監控的旗標為ACKFINRST、、SYN。此尺寸值始終按字母順序排序顯示。例如:ACK-FIN-RST-SYNACK-SYNFIN-RST

AWS Firewall Manager 通知

AWS Firewall Manager不會記錄指標,因此您無法專門為 Firewall Manager 員建立 Amazon CloudWatch 警示。不過,您可以設定 Amazon SNS 通知,提醒您潛在攻擊。若要在 Firewall Manager 員中建立 Amazon SNS 通知,請參閱步驟 4:設定 Amazon SNS 通知和 Amazon CloudWatch 警示