使用 Amazon 進行監控 CloudWatch - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon 進行監控 CloudWatch

您可以使用亞馬遜監控網絡請求和網絡 ACL 和規則 CloudWatch,它會收集並處理來自的原始資料AWS WAF和AWS Shield Advanced轉換為便於讀取且幾近即時的指標。您可以在亞馬遜使用統計 CloudWatch 以獲取 Web 應用程式或服務的執行效能。如需詳細資訊,請參閱「」什麼是 CloudWatch中的亞馬遜 CloudWatch 使用者指南

注意

CloudWatch 指標和警示並未針對 Firewall Manager 啟用。

創建 Amazon CloudWatch 警報

您可以創建 Amazon CloudWatch 警示,會在警示變更狀態時傳送 Amazon SNS 訊息。警示會監看您指定時段的單個指標,然後根據幾個時間段內與指定閾值相關的指標值來執行一或多個動作。此動作是傳送到 Amazon SNS 主題或 Auto Scaling 政策的通知。警示僅會針對持續狀態變更呼叫動作。 CloudWatch 警示不會只叫用動作,因為它們處於特定狀態;狀態必須已變更,並且已維護指定數目的時段。

AWS WAF 和 AWS Shield Advanced 指標與維度

指標會先依服務命名空間分組,再依各命名空間內不同的維度組合分類。

  • 所以此AWS WAF命名空間AWS/WAFV2

  • Shield 高級命名空間是AWS/DDoSProtection

注意

AWS WAF每分鐘報告一次。

「Shield 牌進階」會在活動期間每分鐘報告一次指標,而其他時間則較少報告指標。

使用下列程序來檢視的指標AWS WAF和AWS Shield Advanced。

若要使用 來檢視指標 CloudWatch 安慰

  1. 前往登入AWS Management Console並開啟 CloudWatch console (位於)https://console.aws.amazon.com/cloudwatch/

  2. 如有必要請將區域變更為您的區域AWS資源位於。適用於 CloudFront,選擇 US East (N. Virginia) 區域。

  3. 在導覽窗格中的指標,選擇所有量度然後在瀏覽服務的索引標籤。

使用 AWS CLI 來檢視指標

  • 針對 AWS/WAFV2,在命令提示中,使用下列命令:

    aws cloudwatch list-metrics --namespace "AWS/WAFV2"

    針對 Shield Advanced,在命令提示中,使用下列命令:

    aws cloudwatch list-metrics --namespace "AWS/DDoSProtection"

AWS WAF 指標與維度

AWS WAF每分鐘報告一次。AWS WAF在中提供下列指標和維度AWS/WAFV2命名空間。

Web ACL、規則群組和規則測量結果
指標 描述

AllowedRequests

允許的 Web 要求數目。

報告條件:有非零值。

有效的統計資訊:總和

BlockedRequests

封鎖的 Web 要求數目。

報告 有非零值。

有效的統計資訊:總和

CountedRequests

計入的 Web 要求數目。

報告 有非零值。

計算的 Web 請求是指至少符合其中一個規則的請求。請求計數一般用於測試。

有效的統計資訊:總和

CaptchaRequests

有的 Web 要求數目CAPTCHA已套用控制項。

報告 有非零值。

一個CAPTCHAWeb 請求是符合具有的規則的請求CAPTCHA動作設定。此量度會記錄所有符合的要求,無論它們是否有效CAPTCHA權杖。

有效的統計資訊:總和

RequestsWithValidCaptchaToken

有的 Web 要求數目CAPTCHA應用的控件,並且具有有效CAPTCHA權杖。

報告 有非零值。

有效的統計資訊:總和

PassedRequests

已傳遞的要求數目。這僅適用於經過規則群組評估但不符合任何規則群組規則的要求。

報告 有非零值。

已傳遞的要求就是不符合規則群組中任何規則的要求。

有效的統計資訊:總和

網頁 ACL、規則群組和規則維度
維度 描述

Region

除了 Amazon 以外,所有受保護的資源類型都需要 CloudFront分佈。

Rule

下列其中一項:

  • Rule 的指標名稱。

  • ALL,代表 WebACL 或 RuleGroup 內的所有規則。

  • Default_Action (只有與 WebACL 維度合併使用時),代表指派給任何要求的動作,而要求不符合任何含允許或封鎖動作的規則。

RuleGroup

RuleGroup 的指標名稱。

WebACL

WebACL 的指標名稱。

注意

對於任何單個 Web 請求,AWS WAF發出最多 100 個標籤的指標。您的 Web ACL 評估可以套用 100 個以上的標籤,並與 100 個以上的標籤進行比對,但只有前 100 個標籤會反映在這些指標中。

Label 和AWS WAF機器人控制指標
指標 描述

AllowedRequests

依具有允許動作設定的規則套用至 Web 要求的標籤數目。

報告 有非零值。

有效的統計資訊:總和

BlockedRequests

依具有封鎖動作設定的規則套用至 Web 要求的標籤數目。

報告 有非零值。

有效的統計資訊:總和

CountedRequests

依具有計數動作設定的規則套用至 Web 要求的標籤數目。

報告 有非零值。

有效的統計資訊:總和

CaptchaRequests

依規則套用至 Web 要求的標籤數目CAPTCHA動作設定。

報告 有非零值。

有效的統計資訊:總和

Label 和AWS WAF機器人控制維度
維度 描述

Region

除了 Amazon 以外,所有受保護的資源類型都需要 CloudFront分佈。

WebACL

WebACL 的指標名稱。

RuleGroup

RuleGroup 的指標名稱。用於指標CountedRequests

LabelNamespace

指定相符規則之 Web ACL 或規則群組的命名空間前置詞。用於指標AllowedRequestsBlockedRequests

Label

符合規則套用至 Web 要求的標籤。用於指標AllowedRequestsBlockedRequests
免費機器人可見度指標
指標 描述

SampleAllowedRequests

具有允許動作的取樣要求百分比。

報告 有非零值。

有效的統計資訊:總和

SampleBlockedRequests

具有封鎖動作的取樣要求百分比。

報告 有非零值。

有效的統計資訊:總和

免費機器人可見度維度
維度 描述

Region

除了 Amazon 以外,所有受保護的資源類型都需要 CloudFront分佈。

WebACL

WebACL 的指標名稱。

BotCategory

根據 Web 要求標籤,偵測到的機器人類別的度量名稱。

AWS Shield Advanced 指標與警示

本節討論 AWS Shield Advanced 可用的指標和警示。

AWS Shield Advanced 指標

Shield 高級向亞馬遜報告指標 CloudWatch 在一個AWSDDoS 事件期間的資源頻率高於沒有事件正在進行的情況下。Shield Advanced 在活動期間會每分鐘報告一次指標,並在活動結束後立即報告一次。沒有任何事件正在進行時,Shield Advanced 會每天在指派給資源的時間報告一次指標。此定期報告可讓指標保持作用中,並可用於自訂 CloudWatch 警示。

Shield Advanced 會報告美國東部 (維吉尼亞北部) 區域的指標、us-east-1適用於下列項目:

  • 全球服務亞馬遜 CloudFront 和 Amazon Route 53

  • 保護群組。如需保護群組的詳細資訊,請參閱。AWS Shield Advanced保護

偵測指標

Shield 牌進階提供下列偵測指標和維度AWS/DDoSProtection命名空間。

偵測指標
指標 描述
DDoSDetected 指出特定 Amazon Resource Name (ARN) 是否正遭遇 DDoS 事件。

此指標在事件期間具有非零值。

DDoSAttackBitsPerSecond 在特定 Amazon Resource Name (ARN) 的 DDoS 事件期間觀察到的位元組數。本指標僅適用於網路和傳輸層 (layer 3 和 layer 4) DDoS 事件。

此指標在事件期間具有非零值。

單位:位元

DDoSAttackPacketsPerSecond 在特定 Amazon Resource Name (ARN) 的 DDoS 事件期間觀察到的封包數量。本指標僅適用於網路和傳輸層 (layer 3 和 layer 4) DDoS 事件。

此指標在事件期間具有非零值。

單位:Fabel

DDoSAttackRequestsPerSecond 在特定 Amazon Resource Name (ARN) 的 DDoS 事件期間觀察到的請求數量。本指標僅適用於 layer 3/4 的 DDoS 事件。本指標只會回報為最重大的 Layer 7 事件。

此指標在事件期間具有非零值。

單位:請求

Shield Advanced 的帖子DDoSDetected無其他維度的指標。其餘的偵測指標包括AttackVector對應於攻擊類型的維度,從下列清單:

  • ACKFlood

  • ChargenReflection

  • DNSReflection

  • GenericUDPReflection

  • MemcachedReflection

  • MSSQLReflection

  • NetBIOSReflection

  • NTPReflection

  • PortMapper

  • RequestFlood

  • RIPReflection

  • SNMPReflection

  • SSDPReflection

  • SYNFlood

  • UDPFragment

  • UDPTraffic

  • UDPReflection

緩解指標

Shield 牌進階提供下列緩和指標和維度AWS/DDoSProtection命名空間。

緩解指標
指標 描述
VolumePacketsPerSecond 針對偵測到的事件而部署的緩和措施捨棄或傳遞的每秒封包數目。

單位:封包數

緩解維度
維度 描述

ResourceArn

一個資源名稱 (ARN)

MitigationAction

套用緩和措施的結果。可能的值為 PassDrop

頂端貢獻因子

Shield 牌進階提供下列緩和指標和維度AWS/DDoSProtection命名空間。

頂端貢獻因子
指標 描述
VolumePacketsPerSecond 頂尖貢獻者每秒的封包數。

單位:封包數

VolumeBitsPerSecond 頂尖貢獻者每秒的位元數。

單位:位元

Shield Advanced 會根據特徵事件貢獻者的維度組合來張貼頂尖貢獻者量度。您可以對任何主要貢獻者指標使用下列任一維度組合:

  • ResourceArn, Protocol

  • ResourceArn, Protocol, SourcePort

  • ResourceArn, Protocol, DestinationPort

  • ResourceArn, Protocol, SourceIp

  • ResourceArn, Protocol, SourceAsn

  • ResourceArn, TcpFlags

頂端貢獻因子維度
維度 描述

ResourceArn

Amazon Resource Name (ARN)

Protocol

IP 通訊協定名稱TCP或者UDP

SourcePort

來源 TCP 或 UDP 連接埠。

DestinationPort

目的地 TCP 或 UDP 連接埠。

SourceIp

來源 IP 地址。

SourceAsn

來源自主系統編號 (ASN)。

TcpFlags

TCP 數據包中存在的標誌的組合,由分隔一個DASH (-。受控的旗標ACKFINRSTSYN。此尺寸值始終按字母順序排序顯示。例如:ACK-FIN-RST-SYNACK-SYNFIN-RST

建立 AWS Shield Advanced 警示

您可以使用AWS Shield AdvancedAmazon 指標 CloudWatch 警示。 CloudWatch 會根據您定義的規則來發送通知,或自動對您監控的資源進行變更。

如需建立的詳細說明 CloudWatch 警報,請參閱亞馬遜 CloudWatch 使用者指南。在上建立鬧鐘時 CloudWatch 主控台,在選擇之後使用「Shield 牌進階」度量建立警示,選擇AWSDDOSProtectionMetrics。然後,您可以根據特定流量建立警示,或者您可以在指標非零時觸發警示。第二個選項會根據護 Shield 進階觀察到的任何潛在攻擊而觸發警示。

注意

所以此AWSDDOSProtectionMetrics僅提供給進階 Shield 戶使用。

如需詳細資訊,請參閱「」什麼是 CloudWatch中的亞馬遜 CloudWatch 使用者指南

AWS Firewall Manager 通知

AWS Firewall Manager不會記錄指標,因此您無法建立 Amazon CloudWatch 專門針對 Firewall Manager 的警報。不過,您可以設定 Amazon SNS 通知,提醒您潛在的攻擊。若要在 Firewall Manager 中建立 Amazon SNS 通知,請參閱步驟 4:設定 Amazon SNS 通知和 Amazon CloudWatch 警報