本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
檢視 Web 請求的範例
本節說明 AWS WAF 主控台中的 Web ACL 抽樣請求索引標籤。在此索引標籤中,您可以檢視 AWS WAF 已檢查之 Web 請求的所有規則比對的圖表。此外,如果您已為 Web 啟用請求取樣ACL,您可以看到 AWS WAF 已檢查的 Web 請求範例的資料表檢視。您也可以透過API呼叫 擷取取樣的請求資訊GetSampledRequests
。
請求範例包含最多 100 個符合 Web 中規則條件的請求ACL,以及另外 100 個不符合任何規則且已套用 Web ACL 預設動作的請求。範例中的請求來自過去三小時內收到您內容請求的所有受保護資源。
當 Web 請求符合規則中的條件,且該規則的動作不會終止請求評估時, 會 AWS WAF 繼續使用 Web 中的後續規則來檢查 Web 請求ACL。因此,Web 請求可能會多次出現。如需規則動作行為的詳細資訊,請參閱 使用規則動作於 AWS WAF。
檢視所有規則圖表和抽樣請求
登入 AWS Management Console 並在 開啟 AWS WAF 主控台https://console.aws.amazon.com/wafv2/
。 在導覽窗格中,選擇 Web ACLs。
-
選擇您要檢視請求的 Web ACL 名稱。主控台會帶您前往 Web ACL的描述,您可以在其中編輯它。
-
在抽樣請求索引標籤中,您可以看到以下內容:
-
所有規則圖表 – 此圖表顯示指定時間範圍內執行的所有 Web 請求評估的相符規則和規則動作。
注意
此圖形的時間範圍是在 Web ACL的流量概觀索引標籤中的資料篩選條件區段中設定。如需相關資訊,請參閱 檢視網頁 ACL 的儀表板。
-
範例請求資料表 – 此資料表會顯示過去 3 小時的範例請求資料。
注意
如果您未看到受管規則群組預期的範例,請參閱此程序下方的一節。
對於每個項目,資料表會顯示下列資料:
- 指標名稱
-
Web CloudWatch 中ACL符合請求之規則的指標名稱。如果 Web 請求不符合 Web 中的任何規則ACL,則此值為預設值。
注意
如果您變更規則的名稱,且希望規則的指標名稱反映變更,則必須也更新指標名稱。 AWS WAF 當您變更規則名稱時, 不會自動更新規則的指標名稱。您可以使用規則JSON編輯器,在主控台中編輯規則時變更指標名稱。您也可以透過 APIs和 在任何用於定義 Web ACL或規則群組的JSON清單中變更這兩個名稱。
- 來源 IP
-
請求來源的 IP 地址,或者,如果檢視器使用HTTP代理或 Application Load Balancer 傳送請求,則為代理或 Application Load Balancer 的 IP 地址。
- URI
-
URL 識別資源的部分,例如
/images/daily-ad.jpg
。 - 規則群組中的規則
-
如果指標名稱識別規則群組參考陳述式,則會識別符合請求之規則群組內的規則。
- 動作
-
指示對應規則的動作。如需可能規則動作的相關資訊,請參閱 使用規則動作於 AWS WAF。
- 時間
-
從受保護資源 AWS WAF 收到請求的時間。
若要顯示 Web 請求元件的其他資訊,請在請求的 列URI中選擇 的名稱。
-
受管規則群組中規則的取樣請求
在 主控台中,只有在沒有動作覆寫,或動作覆寫使用最新的覆寫組態設定 時,受管規則群組規則才能使用抽樣請求RuleActionOverrides
。無法使用主控台來覆寫使用較舊ExcludedRules
設定的規則動作。如果您沒有看到所有預期的受管規則群組請求範例,請檢查您的 Web ACL JSON 是否有使用較舊設定的覆寫。您可以從 JSON Web ACL的主控台頁面下載 。
如果您看到較舊的設定,請將它們取代為新的設定,以開始透過主控台提供取樣請求。您可以透過 主控台執行此操作,方法是在 Web 中編輯ACL並儲存受管規則群組。 AWS WAF 會自動將任何較舊的設定取代為 RuleActionOverrides
設定,並將規則動作覆寫設定為 Count。 如需這兩個設定的詳細資訊,請參閱 JSON 列出:RuleActionOverrides取代 ExcludedRules。
您可以透過 API、 SDKs或 命令列存取具有舊覆寫的 AWS WAF REST規則的範例請求。如需詳細資訊,請參閱 AWS WAF API 參考GetSampledRequests中的 。
以下顯示命令列請求的語法:
aws wafv2 get-sampled-requests \ --web-acl-arn
webACL ARN
\ --rule-metric-nameMetric name of the rule in the managed rule group
\ --scope=REGIONAL or CLOUDFRONT
\ --time-window StartTime=UTC timestamp
,EndTime=UTC timestamp
\ --max-items 100