使用 Amazon CloudWatch 進行監控 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon CloudWatch 進行監控

您可以使用 Amazon CloudWatch 監控 Web 請求和 Web ACL 和規則,Amazon CloudWatch 會收集並處理來自AWS WAF和AWS Shield Advanced轉換為便於讀取且幾近即時的指標。您可以使用 Amazon CloudWatch 中的統計資料,了解 Web 應用程式或服務的執行效能。如需詳細資訊,請參閱「」什麼是 CloudWatch alse中的Amazon CloudWatch 使用者指南

注意

CloudWatch 指標和警示並未針對啟用 Firewall Manager 啟用。

建立 Amazon CloudWatch 警示

您可以建立 Amazon CloudWatch 警示,在警示變更狀態時傳送 Amazon SNS 訊息。警示會監看您指定時段的單個指標,然後根據幾個時間段內與指定閾值相關的指標值來執行一或多個動作。此動作是傳送到 Amazon SNS 主題或 Auto Scaling 政策的通知。警示僅會針對持續狀態變更呼叫動作。CloudWatch 警示不會只因處於特定狀態就叫用動作,狀態必須已變更並已維持一段指定的時間。

AWS WAF 和 AWS Shield Advanced 指標與維度

您可以使用下列程序檢視AWS WAF和AWS Shield Advanced。

注意

Amazon CloudWatch 指標和警示並未針對啟用AWS Firewall Manager。

使用 CloudWatch 主控台檢視指標

指標會先依服務命名空間分組,再依各命名空間內不同的維度組合分類。

  1. 透過 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

  2. 如有必要請變更 區域。請在導覽列中選擇您的 AWS 資源所處的區域。如需詳細資訊,請參閱「」AWS服務端點

    檢視AWS WAF指標,您必須選擇美國東部 (維吉尼亞北部) 區域。

  3. 在導覽窗格中,選擇 Metrics (指標)。

  4. 所有指標標籤中,選擇適當的服務。

使用 AWS CLI 來檢視指標

  • 針對 AWS/WAGV2,在命令提示中,使用下列命令:

    aws cloudwatch list-metrics --namespace "AWS/WAFV2"

    針對 Side Advanced,請在命令提示中,使用下列命令:

    aws cloudwatch list-metrics --namespace "AWS/DDoSProtection"

AWS WAF 指標與維度

所以此WAF命名空間包含下列指標和維度。

Web ACL、規則群組和規則度量
指標 描述

AllowedRequests

允許的 Web 要求數目。

報告條件:有非零值。

有效的統計資訊:總和

BlockedRequests

封鎖的 Web 要求數目。

報告條件:有非零值。

有效的統計資訊:總和

CountedRequests

計入的 Web 要求數目。

報告條件:有非零值。

計算的 Web 請求是指至少符合其中一個規則的請求。請求計數一般用於測試。

有效的統計資訊:總和

PassedRequests

已傳遞的請求數目。這只適用於通過規則群組評估而不符合任何規則群組規則的要求。

報告條件:有非零值。

已傳遞的要求就是不符合規則群組中任何規則的要求。

有效的統計資訊:總和

Web ACL、規則群組和規則維度
維度 描述

Region

所有受保護的資源類型都必須使用,但 Amazon CloudFront 分發除外。

Rule

下列其中一項:

  • Rule 的指標名稱。

  • ALL,代表 WebACL 或 RuleGroup 內的所有規則。

  • Default_Action (只有與 WebACL 維度合併使用時),代表指派給任何要求的動作,而要求不符合任何含允許或封鎖動作的規則。

RuleGroup

RuleGroup 的指標名稱。

WebACL

WebACL 的指標名稱。

Label 與AWS WAF自動程式控制指標
指標 描述

AllowedRequests

依具有允許動作設定的規則套用至 Web 要求的標籤數目。

報告條件:有非零值。

有效的統計資訊:總和

BlockedRequests

依據具有封鎖動作設定的規則套用至 Web 要求的標籤數目。

報告條件:有非零值。

有效的統計資訊:總和

CountedRequests

依具有計數動作設定的規則套用至 Web 要求的標籤數目。

報告條件:有非零值。

有效的統計資訊:總和

Label 與AWS WAF自動程式控制維度
維度 描述

Region

所有受保護的資源類型都必須使用,但 Amazon CloudFront 分發除外。

WebACL

WebACL 的指標名稱。

RuleGroup

RuleGroup 的指標名稱。用於指標CountedRequests

LabelNamespace

指定相符規則之 Web ACL 或規則群組的命名空間前置詞。用於度量AllowedRequestsBlockedRequests

Label

符合規則套用至 Web 要求的標籤。用於度量AllowedRequestsBlockedRequests
免費機器人可見度量
指標 描述

SampleAllowedRequests

具有允許動作的取樣要求百分比。

報告條件:有非零值。

有效的統計資訊:總和

SampleBlockedRequests

具有封鎖動作的取樣要求百分比。

報告條件:有非零值。

有效的統計資訊:總和

免費機器人可見性維度
維度 描述

Region

所有受保護的資源類型都必須使用,但 Amazon CloudFront 分發除外。

WebACL

WebACL 的指標名稱。

BotCategory

偵測到的機器人類別的度量名稱 (以 Web 要求標籤為基礎)。

AWS Shield Advanced 指標與警示

本節討論 AWS Shield Advanced 可用的指標和警示。

AWS Shield Advanced 指標

將進階報告指標 Shield 至 Amazon CloudWatch 的AWS資源在 DDoS 事件期間比沒有事件進行時更頻繁。Shield Advanced 會每分鐘報告一次指標,並在事件結束後立即報告一次指標。沒有任何事件進行時,Shield Advanced 會每天在指派給資源的時間報告一次指標。此定期報告可讓指標保持作用中,並可用於自訂 CloudWatch 警示。

對於 Amazon CloudFront 和 Amazon Route 53 CloudFront 的全球服務,指標會在美國東部 (維吉尼亞北部) 區域報告指標。

偵測指標

Shield 進階提供下列偵測指標和尺寸。

偵測指標
指標 描述
DDoSDetected 指出特定 Amazon Resource Name (ARN) 是否正遭遇 DDoS 事件。

此指標在事件期間的值為 1,否則值為 0。

DDoSAttackBitsPerSecond 在特定 Amazon Resource Name (ARN) 的 DDoS 事件期間觀察到的位元組數。本指標僅適用於 Layer 3 和 Layer 4 的 DDoS 事件。

此指標在事件期間具有非零值,否則值為 0。

個單位: 位元

DDoSAttackPacketsPerSecond 在特定 Amazon Resource Name (ARN) 的 DDoS 事件期間觀察到的封包數量。本指標僅適用於 Layer 3 和 Layer 4 的 DDoS 事件。

此指標在事件期間具有非零值,否則值為 0。

個單位: 封包

DDoSAttackRequestsPerSecond 在特定 Amazon Resource Name (ARN) 的 DDoS 事件期間觀察到的請求數量。本指標僅適用於 layer 3/4 的 DDoS 事件。本指標只會回報為最重大的 Layer 7 事件。

此指標在事件期間具有非零值,否則值為 0。

個單位: 請求

Shield Advanced 會張貼DDoSDetected指標,沒有其他維度。其餘偵測度量包括AttackVector與攻擊類型相對應的維度 (從下列清單中):

  • ACKFlood

  • ChargenReflection

  • DNSReflection

  • GenericUDPReflection

  • MemcachedReflection

  • MSSQLReflection

  • NetBIOSReflection

  • NTPReflection

  • PortMapper

  • RequestFlood

  • RIPReflection

  • SNMPReflection

  • SSDPReflection

  • SYNFlood

  • UDPFragment

  • UDPTraffic

  • UDPReflection

緩解指標

Shield 進階提供下列緩和措施指標和維度。

緩解指標
指標 描述
VolumePacketsPerSecond 為回應偵測到的事件而部署的緩和措施捨棄或傳遞的每秒封包數目。

單位:封包數

緩解維度
維度 描述

ResourceArn

A馬宗資源名稱 (ARN)

MitigationAction

套用緩和措施的結果。可能的值為 PassDrop

熱門貢獻因子指標

Shield 進階提供下列主要貢獻者指標和維度。

熱門貢獻因子指標
指標 描述
VolumePacketsPerSecond 最高貢獻者每秒的封包數。

單位:封包數

VolumeBitsPerSecond 每秒最高貢獻者的位元數。

單位:位元

「Shield 進階」會依照標示事件參與者特性的維度組合,張貼頂尖貢獻者指標。您可以針對任一頂尖參與者指標,使用下列任一維度組合:

  • ResourceArn, Protocol

  • ResourceArn, Protocol, SourcePort

  • ResourceArn, Protocol, DestinationPort

  • ResourceArn, Protocol, SourceIp

  • ResourceArn, Protocol, SourceAsn

  • ResourceArn, TcpFlags

前貢獻因子維度
維度 描述

ResourceArn

Amazon Resource Name (ARN)。

Protocol

IP 通訊協定的名稱,TCPUDP

SourcePort

來源 TCP 或 UDP 連接埠。

DestinationPort

目的地 TCP 或 UDP 連接埠。

SourceIp

來源 IP 地址。

SourceAsn

來源自主系統編號 (ASN)。

TcpFlags

存在於 TCP 封包中的旗標組合,以aDASH (-。受監控的旗標包括ACKFINRSTSYN。此維度值永遠依字母順序顯示。例如:ACK-FIN-RST-SYNACK-SYNFIN-RST

建立 AWS Shield Advanced 警示

您可以使用AWS Shield AdvancedAmazon CloudWatch 警示的指標。CloudWatch 會根據您定義的規則來發送通知,或自動對您監控的資源進行變更。

如需建立 CloudWatch 警示的詳細,請參閱Amazon CloudWatch 使用者指南。在 CloudWatch 主控台建立警示時,在選擇建立警示中,選擇AWSDO 保護測量結果。然後,您可以根據特定流量建立警示,或者您可以在指標非零時觸發警示。第二個選項會針對 Shield 進階觀察到的任何潛在攻擊而觸發警示。

注意

所以此AWSDO 保護測量結果僅提供給 Side 進 Shield 客戶使用。

如需詳細資訊,請參閱「」什麼是 CloudWatch alse中的Amazon CloudWatch 使用者指南

AWS Firewall Manager 通知

AWS Firewall Manager不會記錄指標,因此您無法專為 Firewall Manager 建立 Amazon CloudWatch 警示。不過,您可以設定 Amazon SNS 通知,提醒您潛在的攻擊。若要在 Firewall Manager 中建立 Amazon SNS 通知,請參閱在 Firewall Manager (主控台) 中建立 Amazon SNS 主題