標籤的工作原理

當規則符合 Web 要求時，如果規則已定義標籤，則會在規則評估結束時將標籤 AWS WAF 新增至要求。在 Web ACL 中相符規則之後評估的規則可以與規則新增的標籤相符。

誰在請求中新增標籤

用於評估請求的 Web ACL 元件可以在請求中加入標籤。

• 任何不是規則群組參考陳述式的規則都可以在相符的 Web 要求中新增標籤。標籤準則是規則定義的一部分，當 Web 請求符合規則時，會將規則的標籤 AWS WAF 新增至請求。如需相關資訊，請參閱添加標籤到匹配的 Web 請求。

• geo 比對規則陳述式會將國家/地區標籤新增至其檢查的任何請求，而不論陳述式是否產生相符項目。如需相關資訊，請參閱地理比對規則陳述式。

• AWS WAF 所有將標籤新增至其檢查請求的 AWS 受管規則。它們會根據規則群組中的規則相符項目新增一些標籤，並根據受管規則群組使用的 AWS 處理序新增一些標籤，例如當您使用智慧型威脅緩和規則群組時新增的 Token 標籤。如需每個受管規則群組新增之標籤的相關資訊，請參閱AWS 受管規則規則群組清單。

如何 AWS WAF 管理標籤

AWS WAF 在規則檢查請求結束時，將規則的標籤新增至要求。標籤是規則比對活動的一部分，類似於動作。

Web ACL 評估結束後，標籤不會保留在 Web 要求中。為了讓其他規則與規則新增的標籤相符，您的規則動作不得終止 Web ACL 對 Web 要求的評估。規則動作必須設定為CountCAPTCHA、或Challenge。當 Web ACL 評估未終止時，Web ACL 中的後續規則可以針對請求執行其標籤比對準則。如需規則動作的詳細資訊，請參閱 規則動作。

如何在 Web ACL 評估期間存取標籤

新增之後，只要針對 Web ACL 評估請求，標籤仍可用於請求。 AWS WAF Web ACL 中的任何規則都可以存取已在相同 Web ACL 中執行的規則加入的標示。這包括直接在 Web ACL 內定義的規則，以及在 Web ACL 中使用的規則群組內定義的規則。

• 您可以使用 label match 陳述式來比對規則請求檢查條件中的標籤。您可以比對附加至要求的任何標籤。如需陳述式詳細資訊，請參閱 標籤比對規則陳述式

• 地理匹配語句添加了帶有或不匹配的標籤，但只有在語句的包含 Web ACL 規則完成請求評估後才可用。

  • 您不能使用單一規則 (例如邏輯AND陳述式) 來執行 geo match 陳述式，後面接著針對地理標籤的 label match 陳述式。您必須將 label match 陳述式置於在包含 geo match 陳述式的規則之後執行的個別規則中。

  • 如果您在以速率為基礎的規則陳述式或受管規則群組參考陳述式中使用 geo match 陳述式做為範圍向下陳述式，則 geo match 陳述式新增的標籤無法透過包含規則的陳述式進行檢查。如果您需要檢查以速率為基礎的規則陳述式或規則群組中的地理標籤，則必須在事先執行的個別規則中執行 geo match 陳述式。

如何在 Web ACL 評估之外存取標籤資訊

Web ACL 評估結束後，標籤不會保留在 Web 要求中，但會在 AWS WAF 記錄檔和指標中記錄標籤資訊。

• AWS WAF 在任何單一請求上存放前 100 個標籤的 Amazon CloudWatch 指標。如需有關存取標籤指標的資訊，請參閱使用 Amazon 監控 CloudWatch和標示量度和維度。

• AWS WAF 在 AWS WAF 主控台中摘要 Web ACL 流量概觀儀表板中的 CloudWatch 標籤度量。您可以存取任何 Web ACL 頁面上的儀表板。如需詳細資訊，請參閱 網頁 ACL 流量概觀儀表板。

• AWS WAF 在記錄檔中記錄要求前 100 個標籤的標籤。您可以使用標籤和規則動作來篩選記錄的記 AWS WAF 錄檔。如需相關資訊，請參閱記錄 AWS WAF 網頁 ACL 流量。

您的 Web ACL 評估可以將 100 多個標籤套用至 Web 請求，並與 100 多個標籤進行比對，但 AWS WAF 只會在記錄檔和指標中記錄前 100 個標籤。