**Présentation d'une nouvelle expérience de console pour AWS WAF**

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section [Utilisation de la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Surveillance avec Amazon CloudWatch
<a name="monitoring-cloudwatch"></a>

Vous pouvez surveiller les requêtes Web, le Web ACLs et les règles à l'aide d'Amazon CloudWatch, qui collecte et traite les données brutes à partir de AWS WAF métriques lisibles AWS Shield Advanced en temps quasi réel. Vous pouvez utiliser les statistiques CloudWatch d'Amazon pour avoir une idée des performances de votre application ou service Web. Pour plus d'informations, consultez [le contenu CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) du *guide de CloudWatch l'utilisateur Amazon*.

**Note**  
CloudWatch les métriques et les alarmes ne sont pas activées pour Firewall Manager.

Vous pouvez créer une CloudWatch alarme Amazon qui envoie un message Amazon SNS lorsque l'alarme change d'état. Une alarme surveille une métrique individuelle pendant une période que vous définissez, et exécute une ou plusieurs actions en fonction de la valeur de cette métrique, par rapport à un seuil spécifié sur un certain nombre de périodes. L’action est une notification envoyée à une rubrique Amazon SNS ou à une politique Auto Scaling. Les alarmes déclenchent des actions uniquement pour les changements d'état prolongés. CloudWatch les alarmes n'appellent pas d'actions simplement parce qu'elles se trouvent dans un état particulier ; l'état doit avoir changé et être maintenu pendant un certain nombre de périodes.

**Topics**
+ [Affichage des métriques et dimensions](metrics_dimensions.md)
+ [AWS WAF métriques et dimensions](waf-metrics.md)
+ [AWS Shield Advanced métriques](shield-metrics.md)
+ [AWS Firewall Manager notifications](set-fms-alarms.md)

# Affichage des métriques et dimensions
<a name="metrics_dimensions"></a>

Les métriques sont regroupées d'abord en fonction de l'espace de noms du service, puis en fonction des différentes combinaisons de dimensions au sein de chaque espace de noms. AWS Firewall Manager n'enregistre pas les métriques.
+ L' AWS WAF espace de noms est `AWS/WAFV2`
+ L'espace de noms Shield Advanced est `AWS/DDoSProtection`

**Note**  
AWS WAF rapporte les statistiques une fois par minute.  
Shield Advanced publie des statistiques une fois par minute lors d'un événement et moins fréquemment à d'autres moments.

Utilisez les procédures suivantes pour afficher les métriques pour AWS WAF et AWS Shield Advanced.

**Pour afficher les métriques à l'aide de la CloudWatch console**

1. Connectez-vous à la CloudWatch console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Si nécessaire, remplacez la région par celle où se trouvent vos AWS ressources. Pour CloudFront, choisissez la région USA Est (Virginie du Nord).

1. Dans le volet de navigation, sous **Mesures**, choisissez **Toutes les mesures**, puis recherchez le service dans l'onglet **Parcourir**. 

**Pour afficher les métriques à l'aide de la AWS CLI**
+ Pour AWS/WAFV2, à l'invite de commande, utilisez la commande suivante :

  ```
  1. aws cloudwatch list-metrics --namespace "AWS/WAFV2"
  ```

  Pour Shield Advanced, à l'invite de commande, utilisez la commande suivante :

  ```
  1. aws cloudwatch list-metrics --namespace "AWS/DDoSProtection"
  ```

# AWS WAF métriques et dimensions
<a name="waf-metrics"></a>

AWS WAF rapporte les statistiques une fois par minute. AWS WAF fournit des métriques et des dimensions dans l'espace de `AWS/WAFV2` noms. 

Vous pouvez consulter les informations récapitulatives relatives aux AWS WAF métriques via la AWS WAF console, dans l'onglet d'aperçu du trafic du pack de protection (ACL Web). Pour plus d'informations, accédez à la console ou consultez[Tableaux de bord d'aperçu du trafic pour les packs de protection (Web ACLs)](web-acl-dashboards.md).

Vous pouvez consulter les mesures suivantes pour les packs de protection (Web ACLs), les règles, les groupes de règles et les étiquettes. 
+ **Vos règles : les** métriques sont regroupées en fonction de l'action de la règle. Par exemple, lorsque vous testez une règle en Count mode, ses correspondances sont répertoriées sous forme de `Count` métriques pour le pack de protection (ACL Web). 
+ **Vos groupes de règles** : les statistiques de vos groupes de règles sont répertoriées sous les métriques des groupes de règles. 
+ **Groupes de règles appartenant à un autre compte** : les statistiques des groupes de règles ne sont généralement visibles que par le propriétaire du groupe de règles. Toutefois, si vous annulez l'action d'une règle, les mesures associées à cette règle seront répertoriées dans les métriques de votre pack de protection (ACL Web). En outre, les étiquettes ajoutées par n'importe quel groupe de règles sont répertoriées dans les métriques de votre pack de protection (ACL Web). 

  Les règles d'action de comptage dans les groupes de règles n'émettent PAS de métriques de dimension ACL Web RuleGroup, uniquement les dimensions Règle et Région. Cela s'applique même lorsque le groupe de règles est référencé dans une ACL Web.

  Les groupes de règles de cette catégorie sont les groupes de règles [AWS Règles gérées pour AWS WAF](aws-managed-rule-groups.md) [AWS Marketplace groupes de règles](marketplace-rule-groups.md)[Reconnaissance des groupes de règles fournis par d'autres services](waf-service-owned-rule-groups.md),, et les groupes de règles partagés avec vous par un autre compte. Lorsqu'un pack de protection (ACL Web) est déployé via Firewall Manager, les règles du WebACL comportant une action Count n'afficheront pas leurs métriques dans le compte du membre.
+ **Étiquettes** : les étiquettes ajoutées à une demande Web lors de l'évaluation sont répertoriées dans les métriques d'étiquette du pack de protection (ACL Web). Vous pouvez accéder aux statistiques de toutes les étiquettes, qu'elles aient été ajoutées par vos règles et groupes de règles ou par les règles d'un groupe de règles appartenant à un autre compte. 

**Topics**
+ [AWS WAF mesures et dimensions de base](#waf-metrics-general)
+ [Métriques et dimensions des étiquettes](#waf-metrics-label)
+ [Mesures et dimensions de visibilité des bots gratuites](#waf-metrics-bot-free)
+ [Mesures et dimensions du compte](#waf-metrics-account)
+ [AWS WAF métriques d'utilisation](#waf-metrics-usage)

## AWS WAF mesures et dimensions de base
<a name="waf-metrics-general"></a>


**AWS WAF indicateurs de base**  

| Métrique | Description | 
| --- | --- | 
| `AllowedRequests` |  Nombre de requêtes Web autorisées. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
| `BlockedRequests` |  Nombre de requêtes Web bloquées. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
| `CountedRequests` |  Nombre de requêtes Web comptabilisées. Critères de notification : il existe une valeur différente de zéro. Une demande web comptée est une demande qui correspond à au moins l'une des règles. Le comptage des demandes est généralement utilisé pour les tests. Statistiques valides : somme  | 
| `CaptchaRequests` |  Le nombre de requêtes Web auxquelles des contrôles CAPTCHA ont été appliqués. Il représente une règle de terminaison et n'inclut `RequestsWithValidCaptchaToken` pas. Critères de notification : il existe une valeur différente de zéro. Une requête Web CAPTCHA correspond à une règle comportant un paramètre d'CAPTCHAaction. Cette métrique enregistre toutes les demandes qui correspondent, que le jeton CAPTCHA soit expiré, non valide, absent ou qu'il présente une incompatibilité de domaine. Statistiques valides : somme  | 
|  `RequestsWithValidCaptchaToken`  |  Le nombre de requêtes Web auxquelles des contrôles CAPTCHA étaient appliqués et pour lesquelles un jeton CAPTCHA était valide.  Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `CaptchasAttempted`  |  Le nombre de solutions soumises par un utilisateur final en réponse à un défi de type CAPTCHA. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `CaptchasSolved`  |  Le nombre de solutions de casse-tête CAPTCHA soumises qui ont résolu le casse-tête avec succès. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `ChallengeRequests`  |  Le nombre de requêtes Web pour lesquelles des contrôles de contestation ont été appliqués. Il représente une règle de terminaison et n'inclut `RequestsWithValidChallengeToken` pas.  Critères de notification : il existe une valeur différente de zéro. Une requête Web de défi correspond à une règle comportant un paramètre Challenge d'action. Cette métrique enregistre toutes les demandes qui correspondent, que le jeton de défi soit expiré, non valide, absent ou qu'il présente une incompatibilité de domaine. Statistiques valides : somme  | 
|  `ChallengesAttempted`  |  Nombre de tentatives soumises par un utilisateur final en réponse à une contestation silencieuse motivée par une Challenge règle. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `ChallengesSolved`  |  Le nombre de solutions de contestation silencieuse soumises qui ont réussi le défi silencieux visé par une Challenge règle. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
| `PassedRequests` |  Le nombre de demandes passées. Ceci n'est utilisé que pour les demandes soumises à une évaluation de groupe de règles sans correspondre à aucune des règles du groupe de règles.  Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `RequestsWithValidChallengeToken`  |  Le nombre de requêtes Web auxquelles des contrôles de contestation étaient appliqués et pour lesquelles un jeton de défi était valide.  Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `LowReputationPacketsDropped`  |  Le nombre de paquets déposés par des sources malveillantes connues. Cette métrique est enregistrée lorsqu'une demande est bloquée par une protection DDo S au niveau des ressources. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme Cette métrique est publiée dans l'espace de `AWS/ApplicationELB` noms.  | 
|  `LowReputationRequestsDenied`  |  Le nombre de requêtes HTTP refusées avec des réponses HTTP 403. Cette métrique est enregistrée lorsqu'une demande est bloquée par une protection DDo S au niveau des ressources. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme Cette métrique est publiée dans l'espace de `AWS/ApplicationELB` noms.  | 


**AWS WAF dimensions de base**  

| Dimension | Description | 
| --- | --- | 
|  `Region`  | Obligatoire pour tous les types de ressources protégées, à l'exception CloudFront des distributions Amazon. | 
|  `Rule`  |  L’un des éléments suivants : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/waf-metrics.html)  | 
|  `RuleGroup`  |  Nom de la métrique de la `RuleGroup`.  | 
|  `WebACL`  |  Nom de la métrique de la `WebACL`.  | 
|  `WebACLArn`  |  Amazon Resource Name (ARN) de la liste ACL web. Cette dimension n'est disponible que lorsqu'elle AWS WAF est activée.  | 
|  `ResourceType`  |  Le type de ressource protégée, tel que `CF``APIGW`, ou`ALB`.  | 
|  `Resource`  |  Le nom de ressource Amazon (ARN) de la ressource protégée.  Cette dimension n'inclut pas la ressource App Runner ARNs.  | 
|  `Country`  |  Le pays d'origine de la demande. Il s'agit de la désignation à deux caractères de la norme 3166 de l'Organisation internationale de normalisation (ISO). Par exemple, US pour les États-Unis d'Amérique et UA pour l'Ukraine.  Si une demande possède un `X-Forwarded-For` en-tête, AWS WAF utilisez-le pour déterminer ce paramètre. Dans le cas contraire, AWS WAF utilise le pays de l'adresse IP du client. Cette détermination est indépendante de toute logique que vous utilisez dans vos règles pour déterminer le pays d'origine. AWS WAF détermine les emplacements des bases de MaxMind données GeoIP IPs utilisatrices.  | 
|  `Attack`  |  Type d'attaque AWS WAF identifié dans la demande, en fonction des règles et des groupes de règles que vous utilisez dans votre ACL Web.  Vos règles et celles des groupes de règles AWS gérés de base peuvent identifier les types d'attaques. Par exemple, les correspondances de règles de script intersite (XSS) identifient les types d'attaques XSS, tandis que les règles basées sur le taux identifient les types d'attaques volumétriques. Le type d'attaque indique généralement le type de règle qui a mis fin à l'évaluation de la demande Web.   | 
|  `Device`  |  Type d'appareil du client qui a envoyé la demande, obtenu à partir de l'`user-agent`en-tête de la demande Web.  | 
|  `LoadBalancerArn`  |  L'Amazon Resource Name (ARN) de l'équilibreur de charge.  | 
|  `LoadBalancerArnAvailabilityZone`  |  Combinaison de l'ARN de l'équilibreur de charge et de la zone de disponibilité.  | 
|  `ManagedRuleGroup`  |  Nom de la métrique de la `ManagedRuleGroup`.  | 
|  `ManagedRuleGroupRule`  |  La règle contenue dans le `ManagedRuleGroup` qui a été mise en correspondance.  | 
|  `VulnerabilityCategory`  |  Catégorie de vulnérabilité à laquelle correspond la demande, en fonction des ensembles d'adresses IP de règles AWS gérées.  | 

## Métriques et dimensions des étiquettes
<a name="waf-metrics-label"></a>

Mesures relatives aux étiquettes ajoutées aux demandes lors de l'évaluation par vos règles et par les groupes de règles gérés que vous utilisez dans votre pack de protection (ACL Web). Pour plus d'informations, consultez [Étiquetage des requêtes Web](waf-labels.md).

Pour chaque requête Web, AWS WAF stocke les statistiques d'au plus 100 étiquettes. L'évaluation de votre pack de protection (ACL Web) peut appliquer plus de 100 étiquettes et établir une correspondance avec plus de 100 étiquettes, mais seules les 100 premières sont prises en compte dans les statistiques. 


**Métriques relatives aux étiquettes**  

| Métrique | Description | 
| --- | --- | 
|  `AllowedRequests`  |  Nombre d'étiquettes sur les requêtes Web auxquelles le paramètre d'action était Allow appliqué. Les étiquettes peuvent avoir été ajoutées à tout moment pendant l'évaluation de la demande Web. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `BlockedRequests`  |  Nombre d'étiquettes sur les requêtes Web auxquelles le paramètre d'action était Block appliqué. Les étiquettes peuvent avoir été ajoutées à tout moment pendant l'évaluation de la demande Web. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `CountedRequests`  |  Nombre d'étiquettes ajoutées aux requêtes Web par des règles de groupe de règles comportant un paramètre Count d'action. Cette métrique n'est disponible que pour le propriétaire d'un groupe de règles, pour les règles internes au groupe de règles. Dans les autres cas, les métriques de l'étiquette de comptage sont intégrées à l'action de fin qui a été appliquée à la demande, comme Allow ouBlock. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `CaptchaRequests`  |  Le nombre d'étiquettes figurant sur les requêtes Web auxquelles une CAPTCHA action de résiliation a été appliquée. Les étiquettes peuvent avoir été ajoutées à tout moment pendant l'évaluation de la demande Web. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `ChallengeRequests`  |  Le nombre d'étiquettes figurant sur les requêtes Web auxquelles une Challenge action de résiliation a été appliquée. Les étiquettes peuvent avoir été ajoutées à tout moment pendant l'évaluation de la demande Web. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `AllowRuleMatch`  |  Le nombre de règles correspondantes qui ont à la fois généré l'étiquette associée et mis fin à l'évaluation de la demande par une Allow action. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `BlockRuleMatch`  |  Le nombre de règles correspondantes qui ont à la fois généré l'étiquette associée et mis fin à l'évaluation de la demande par une Block action. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `CountRuleMatch`  |  Le nombre de règles correspondantes qui ont à la fois généré l'étiquette associée et appliqué une Count action. Une demande peut générer plusieurs instances de cette métrique, si plusieurs règles sont configurées avec la même étiquette et la même action. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `CaptchaRuleMatch`  |  Le nombre de règles correspondantes qui ont à la fois généré l'étiquette associée et mis fin à l'évaluation de la demande par une CAPTCHA action. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `ChallengeRuleMatch`  |  Le nombre de règles correspondantes qui ont à la fois généré l'étiquette associée et mis fin à l'évaluation de la demande par une Challenge action. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `CaptchaRuleMatchWithValidToken`  |  Le nombre de règles correspondantes qui ont à la fois généré l'étiquette associée et appliqué une action sans interruption. CAPTCHA Une demande peut générer plusieurs instances de cette métrique, si plusieurs règles sont configurées avec la même étiquette et la même action. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `ChallengeRuleMatchWithValidToken`  |  Le nombre de règles correspondantes qui ont à la fois généré l'étiquette associée et appliqué une action sans interruption. Challenge Une demande peut générer plusieurs instances de cette métrique, si plusieurs règles sont configurées avec la même étiquette et la même action. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 


**Dimensions de l'étiquette**  

| Dimension | Description | 
| --- | --- | 
|  `Region`  | Obligatoire pour tous les types de ressources protégées, à l'exception CloudFront des distributions Amazon. | 
|  `RuleGroup`  |  Nom de la métrique de la `RuleGroup`. Utilisé pour la métrique`CountedRequests`.  | 
|  `WebACL`  |  Nom de la métrique de la `WebACL`.  | 
|  `ResourceType`  |  Le type de ressource protégée, tel que `CF``APIGW`, ou`ALB`.  | 
|  `Resource`  |  Le nom de ressource Amazon (ARN) de la ressource protégée.  | 
|  `LabelNamespace`  | Le préfixe d'espace de noms de l'étiquette ajoutée à la demande.  | 
|  `Label`  | Le nom de l'étiquette qui a été ajoutée à la demande.  | 
|  `Context`  | Le groupe de règles géré qui a servi de contexte à l'ajout d'étiquettes. Par exemple, le contexte des étiquettes de gestion des jetons awswaf:managed:token:accepted est le groupe de règles AWS WAF géré qui utilise la gestion des jetons sur la demande, tel que le groupe de règles géré par Bot Control ou ATP. Cette dimension ne s'applique pas à toutes les étiquettes.  | 

## Mesures et dimensions de visibilité des bots gratuites
<a name="waf-metrics-bot-free"></a>

Lorsque vous n'utilisez pas Bot Control dans votre pack de protection (ACL Web), AWS WAF applique le groupe de règles géré par Bot Control à un échantillon de vos requêtes Web, sans frais supplémentaires. Cela peut vous donner une idée du trafic de bots qui arrive sur vos ressources protégées. Pour plus d'informations sur le contrôle des robots, consultez[AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md).


**Mesures de visibilité gratuites des bots**  

| Métrique | Description | 
| --- | --- | 
|  `SampleAllowedRequest`  |  Le nombre de demandes échantillonnées qui ont fait l'objet Allow d'une action.  Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `SampleBlockedRequest`  |  Le nombre de demandes échantillonnées qui ont fait l'objet Block d'une action.  Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `SampleCaptchaRequest`  |  Le nombre de demandes échantillonnées qui ont fait l'objet CAPTCHA d'une action.  Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `SampleChallengeRequest`  |  Le nombre de demandes échantillonnées qui ont fait l'objet Challenge d'une action.  Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `SampleCountRequest`  |  Le nombre de demandes échantillonnées qui ont fait l'objet Count d'une action.  Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 


**Dimensions de visibilité gratuites des bots**  

| Dimension | Description | 
| --- | --- | 
|  `Region`  | Obligatoire pour tous les types de ressources protégées, à l'exception CloudFront des distributions Amazon. | 
|  `WebACL`  |  Nom de la métrique de la `WebACL`.  | 
|  `BotCategory`  |  Le nom de la catégorie de bot détectée, en fonction des libellés des requêtes Web.   | 
|  `VerificationStatus`  |  Nom du statut de vérification du bot détecté, basé sur les étiquettes des requêtes Web.   | 
|  `Signal`  |  Le nom des signaux de bot détectés, basé sur les étiquettes des requêtes Web.   | 

## Mesures et dimensions du compte
<a name="waf-metrics-account"></a>

Les statistiques du compte fournissent des informations à l'échelle du compte sur les puzzles CAPTCHA et les actions de Challenge règles silencieuses gérées via l'API. JavaScript


**Indicateurs du compte**  

| Métrique | Description | 
| --- | --- | 
|  `CaptchasAttemptedSdk`  |  Le nombre de solutions soumises par un utilisateur final en réponse à un défi CAPTCHA, pour les puzzles proposés via l'API JavaScript CAPTCHA. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `CaptchasSolvedSdk`  |  Le nombre de solutions de puzzle CAPTCHA soumises qui ont réussi à résoudre le casse-tête, pour les puzzles servis via l'API JavaScript CAPTCHA. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `ChallengesAttemptedSdk`  |  Nombre de tentatives soumises par un utilisateur final en réponse à un défi silencieux lancé par l'Challenge JavaScript API. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 
|  `ChallengesSolvedSdk`  |  Le nombre de solutions de défi silencieux soumises qui ont réussi le défi silencieux proposé par l'Challenge JavaScript API. Critères de notification : il existe une valeur différente de zéro. Statistiques valides : somme  | 


**Dimensions du compte**  

| Dimension | Description | 
| --- | --- | 
|  `Region`  | Obligatoire pour tous les types de ressources protégées, à l'exception CloudFront des distributions Amazon. | 

## AWS WAF métriques d'utilisation
<a name="waf-metrics-usage"></a>

Vous pouvez utiliser les statistiques CloudWatch d'utilisation pour obtenir une visibilité sur l'utilisation des ressources par votre compte. Utilisez ces indicateurs pour visualiser l'utilisation actuelle de vos services sur CloudWatch des graphiques et des tableaux de bord.

AWS WAF les métriques d'utilisation correspondent aux quotas AWS de service. Vous pouvez configurer des alarmes qui vous alertent lorsque votre utilisation approche d’un quota de service. Pour plus d'informations sur CloudWatch l'intégration avec les quotas de service, consultez [les statistiques AWS d'utilisation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Service-Quota-Integration.html) dans le *guide de CloudWatch l'utilisateur Amazon.*

AWS WAF publie les métriques suivantes dans l'espace de `AWS/Usage` noms.


**Métriques d’utilisation**  

| Métrique | Description | 
| --- | --- | 
|  `ResourceCount`  |  Le nombre de ressources spécifiées dans votre compte. Les ressources sont définies par les dimensions associées à la métrique. La statistique la plus utile pour cette métrique est `MAXIMUM`, qui représente le nombre maximal de ressources utilisées pendant la période d’une minute.  | 

La dimension suivante est utilisée pour affiner les métriques d'utilisation publiées par AWS WAF.


**Dimensions d'utilisation**  

| Dimension | Description | 
| --- | --- | 
|  `Resource`  | Type de ressource dont l'utilisation est signalée. | 

Les valeurs prises en charge pour la `Resource` dimension sont les suivantes.


**`Resource` values**  

| Value | Description | 
| --- | --- | 
|  `WebAclsPerAccountCloudFront`  | Le nombre de packs de protection (Web ACLs) que le client possède CloudFront par compte. Cette métrique n'est disponible que lorsqu'il existe au moins un pack de protection (ACL Web) CloudFront. | 
|  `WebAclsPerAccountRegional`  | Nombre de packs de protection (Web ACLs) dont dispose le client dans une région par compte. Cette métrique n'est disponible que lorsqu'il existe au moins un pack de protection (ACL Web) dans cette région. | 
|  `RuleGroupsPerAccountCloudFront`  | Le nombre de groupes de règles auxquels appartient le client CloudFront par compte. Cette métrique n'est disponible que lorsqu'il existe au moins un groupe de règles CloudFront. | 
|  `RuleGroupsPerAccountRegional`  | Nombre de groupes de règles que le client possède dans une région par compte. Cette métrique n'est disponible que lorsqu'il existe au moins un groupe de règles dans cette région. | 
|  `IpSetsPerAccountCloudFront`  | Le nombre d'adresses IP que le client possède CloudFront par compte. Cette métrique n'est disponible que lorsqu'au moins une adresse IP est définie CloudFront. | 
|  `IpSetsPerAccountRegional`  | Le nombre d'adresses IP que possède le client dans une région par compte. Cette métrique n'est disponible que lorsqu'au moins une adresse IP est définie dans cette région. | 
|  `RegexPatternSetsPerAccountCloudFront`  | Le nombre d'ensembles de modèles regex que possède le client CloudFront par compte. Cette métrique n'est disponible que lorsqu'au moins un modèle d'expression régulière est défini. CloudFront | 
|  `RegexPatternSetsPerAccountRegional`  | Le nombre d'ensembles de modèles regex dont dispose le client dans une région par compte. Cette métrique n'est disponible que lorsqu'il existe au moins un modèle d'expression régulière défini dans cette région. | 

# AWS Shield Advanced métriques
<a name="shield-metrics"></a>

Shield Advanced publie les indicateurs CloudWatch de détection et d'atténuation d'Amazon ainsi que les indicateurs relatifs aux principaux contributeurs pour toutes les ressources qu'il protège. Ces indicateurs améliorent votre capacité à surveiller vos ressources en permettant de créer et de configurer des CloudWatch tableaux de bord et des alarmes pour celles-ci. 

La console Shield Advanced présente des résumés de nombreux indicateurs qu'elle enregistre. Pour plus d'informations, consultez [Visibilité des événements DDo S avec Shield Advanced](ddos-viewing-events.md).

Si vous activez l'atténuation automatique de la couche d'application DDo S pour une protection de la couche d'application, Shield Advanced ajoute un groupe de règles à votre pack de protection (ACL Web) qu'il utilise pour gérer les protections automatisées. Ce groupe de règles génère AWS WAF des métriques, mais elles ne peuvent pas être consultées. Il en va de même pour tous les autres groupes de règles que vous utilisez dans votre pack de protection (ACL Web) mais que vous ne possédez pas, tels que les groupes de règles AWS Managed Rules. Pour plus d'informations sur AWS WAF les métriques, consultez[AWS WAF métriques et dimensions](waf-metrics.md). Pour plus d'informations sur cette option de protection Shield Advanced, consultez[Automatiser l'atténuation de la couche DDo S de l'application avec Shield Advanced](ddos-automatic-app-layer-response.md). 

**Emplacements des rapports métriques**  
Shield Advanced publie des statistiques dans la région de l'est des États-Unis (Virginie du Nord), `us-east-1` pour les domaines suivants :
+ Les services mondiaux Amazon CloudFront et Amazon Route 53.
+ Groupes de protection. Pour plus d'informations sur les groupes de protection, consultez[Regrouper vos AWS Shield Advanced protections](ddos-protection-groups.md).

Pour les autres types de ressources, Shield Advanced fournit des statistiques dans la région de la ressource. 

**Calendrier des rapports métriques**  
Shield Advanced communique des métriques à Amazon CloudWatch sur une AWS ressource plus fréquemment lors d'événements DDo S que lorsqu'aucun événement n'est en cours. Shield Advanced fournit des statistiques une fois par minute pendant un événement, puis une fois juste après la fin de l'événement. 

Tant qu'aucun événement n'est en cours, Shield Advanced fournit des statistiques une fois par jour, à l'heure assignée à la ressource. Ce rapport périodique maintient les métriques actives et disponibles pour une utilisation dans des CloudWatch alarmes et des tableaux de bord personnalisés. 

**Recommandations relatives aux alarmes**  
Nous vous recommandons de créer des alarmes pour vous avertir des circonstances nécessitant une attention particulière. Comme point de départ, vous pouvez créer une alarme pour chaque ressource protégée signalant lorsque la métrique `DDoSDetected` de détection est différente de zéro. Une valeur différente de zéro dans cette métrique ne signifie pas nécessairement qu'une attaque DDo S est en cours, mais nous vous recommandons d'examiner de plus près l'état de la ressource lorsque la métrique est dans cet état. 

En cas d'afflux de demandes, nous vous recommandons de créer des alarmes pour les vérifications composites qui tiennent également compte de facteurs tels que l'état de santé des applications et le volume de demandes Web. Vous pouvez choisir de déclencher une alarme sur les trois autres indicateurs qui indiquent le volume de trafic pour différentes dimensions du vecteur d'attaque. En tenant compte de la capacité de votre application et en vous alertant lorsque le trafic approche des limites de votre application, vous pouvez créer un ensemble de règles qui vous avertissent selon vos besoins, sans trop de bruit indésirable. 

**Topics**
+ [Métriques de détection](#ddos-metrics-detection)
+ [Mesures d'atténuation](#ddos-metrics-mitigation)
+ [Statistiques relatives aux principaux contributeurs](#ddos-metrics-top-contributors)

## Métriques de détection
<a name="ddos-metrics-detection"></a>

Shield Advanced fournit les métriques et les dimensions de l'espace de `AWS/DDoSProtection` noms. 


**Métriques de détection**  

| Métrique | Description | 
| --- | --- | 
| DDoSDetected | Indique si un événement DDo S est en cours pour un Amazon Resource Name (ARN) spécifique. Cette métrique a une valeur différente de zéro lors d'un événement.   | 
| DDoSAttackBitsPerSecond | Le nombre de bits observés lors d'un événement DDo S pour un Amazon Resource Name (ARN) spécifique. Cette métrique n'est disponible que pour les événements du réseau et de la couche de transport (couches 3 et 4) DDo S. Cette métrique a une valeur différente de zéro lors d'un événement.Unités : octets  | 
| DDoSAttackPacketsPerSecond | Nombre de paquets observés lors d'un événement DDo S pour un Amazon Resource Name (ARN) spécifique. Cette métrique n'est disponible que pour les événements du réseau et de la couche de transport (couches 3 et 4) DDo S. Cette métrique a une valeur différente de zéro lors d'un événement.Unités : paquets  | 
| DDoSAttackRequestsPerSecond | Le nombre de demandes observées lors d'un événement DDo S pour un Amazon Resource Name (ARN) spécifique. Cette métrique n'est disponible que pour les événements de couche 7 DDo S. Cette métrique est présentée uniquement pour les événements de couche 7 les plus significatifs. Cette métrique a une valeur différente de zéro lors d'un événement.Unités : demandes  | 
| DDoSAttackRequests | Le nombre de demandes observées lors d'un événement DDo S pour un Amazon Resource Name (ARN) spécifique. Cette métrique n'est disponible que pour les événements Anti- DDo S Managed Rules (AMR) DDo S. Cette métrique se trouve dans l'espace de WAFV2 noms AWS/ et a une valeur différente de zéro lors d'un événement.Unités : demandes  | 

Shield Advanced publie la `DDoSDetected` métrique sans aucune autre dimension. Les autres mesures de détection incluent les `AttackVector` dimensions correspondant au type d'attaque, dans la liste suivante :
+ `ACKFlood`
+ `ChargenReflection`
+ `DNSReflection`
+ AW/ WAFV2
+ `GenericUDPReflection`
+ `MemcachedReflection`
+ `MSSQLReflection`
+ `NetBIOSReflection`
+ `NTPReflection`
+ `PortMapper`
+ `RequestFlood`
+ `RIPReflection`
+ `SNMPReflection`
+ `SSDPReflection`
+ `SYNFlood`
+ `UDPFragment`
+ `UDPTraffic`
+ `UDPReflection`

## Mesures d'atténuation
<a name="ddos-metrics-mitigation"></a>

Shield Advanced fournit des métriques et des dimensions dans l'espace de `AWS/DDoSProtection` noms. 


**Mesures d'atténuation**  

| Métrique | Description | 
| --- | --- | 
| VolumePacketsPerSecond | Nombre de paquets par seconde qui ont été abandonnés ou transmis par une mesure d'atténuation déployée en réponse à un événement détecté.Unités : Paquets  | 


**Dimensions d'atténuation**  

| Dimension | Description | 
| --- | --- | 
|  `ResourceArn`  |  Amazon Resource Name (ARN)  | 
|  `MitigationAction`  |  Le résultat d'une atténuation appliquée. Les valeurs possibles sont `Pass` ou `Drop`.   | 

## Statistiques relatives aux principaux contributeurs
<a name="ddos-metrics-top-contributors"></a>

Shield Advanced fournit des métriques dans l'espace de `AWS/DDoSProtection` noms. 


**Statistiques relatives aux principaux contributeurs**  

| Métrique | Description | 
| --- | --- | 
| VolumePacketsPerSecond | Le nombre de paquets par seconde pour un contributeur de premier plan.Unités : Paquets  | 
| VolumeBitsPerSecond | Le nombre de bits par seconde pour le meilleur contributeur. Unités : bits  | 

Shield Advanced publie les statistiques des principaux contributeurs par combinaison de dimensions qui caractérisent les contributeurs à l'événement. Vous pouvez utiliser l'une des combinaisons de dimensions suivantes pour les indicateurs des principaux contributeurs :
+ `ResourceArn`, `Protocol` 
+ `ResourceArn`, `Protocol`, `SourcePort` 
+ `ResourceArn`, `Protocol`, `DestinationPort` 
+ `ResourceArn`, `Protocol`, `SourceIp` 
+ `ResourceArn`, `Protocol`, `SourceAsn` 
+ `ResourceArn`, `TcpFlags` 


**Dimensions des principaux contributeurs**  

| Dimension | Description | 
| --- | --- | 
|  `ResourceArn`  |  Nom de la ressource Amazon (ARN).  | 
|  `Protocol`  |  Nom du protocole IP, `TCP` soit`UDP`.  | 
|  `SourcePort`  |  Port TCP ou UDP source.  | 
|  `DestinationPort`  |  Port TCP ou UDP de destination.  | 
|  `SourceIp`  |  Adresse IP source.  | 
|  `SourceAsn`  |  Numéro de système autonome source (ASN).  | 
|  `TcpFlags `  |  Combinaison d'indicateurs présents dans un paquet TCP, séparés par un tiret (`-`). Les drapeaux surveillés sont `ACK``FIN`,`RST`,`SYN`. Cette valeur de dimension apparaît toujours triée par ordre alphabétique. Par exemple, `ACK-FIN-RST-SYN`, `ACK-SYN` et `FIN-RST`.  | 

# AWS Firewall Manager notifications
<a name="set-fms-alarms"></a>

AWS Firewall Manager n'enregistre pas de statistiques, vous ne pouvez donc pas créer d' CloudWatch alarmes Amazon spécifiquement pour Firewall Manager. Cependant, vous pouvez configurer les notifications Amazon SNS pour vous avertir d'attaques potentielles. Pour créer des notifications Amazon SNS dans Firewall Manager, consultez. [Étape 4 : Configuration des notifications Amazon SNS et des alarmes Amazon CloudWatch](getting-started-fms-shield.md#get-started-fms-shield-cloudwatch)