**の新しいコンソールエクスペリエンスの紹介 AWS WAF**

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon CloudWatch によるモニタリング
<a name="monitoring-cloudwatch"></a>

Amazon CloudWatch を使用してウェブリクエスト、ウェブ ACLs、ルールをモニタリングできます。Amazon CloudWatch は、raw データを収集し、読み取り可能なほぼリアルタイムのメトリクス AWS WAF AWS Shield Advanced に加工します。 Amazon CloudWatch Amazon CloudWatch の統計を使用して、ウェブアプリケーションやサービスの動作状況を把握できます。詳細については、「*Amazon CloudWatch ユーザーガイド*」の「[CloudWatch とは](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html)」を参照してください。

**注記**  
CloudWatch メトリクスとアラームは、Firewall Manager に対応していません。

アラームの状態が変わったときに Amazon SNS メッセージを送信する Amazon CloudWatch のアラームを作成することができます。アラームは、指定期間にわたって 1 つのメトリクスを監視し、複数期間にわたる指定しきい値との比較結果に基づいて 1 つ以上のアクションを実行します。アクションは、Amazon SNS のトピックまたは Auto Scaling のポリシーに送信される通知です。アラームは、持続している状態変化に対してのみアクションを呼び出します。CloudWatch のアラームは、メトリクスが特定の状態にあるだけではアクションを呼び出しません。アクションを呼び出すには、指定した期間継続している必要があります。

**Topics**
+ [メトリクスおよびディメンションの表示](metrics_dimensions.md)
+ [AWS WAF メトリクスとディメンション](waf-metrics.md)
+ [AWS Shield Advanced メトリクス](shield-metrics.md)
+ [AWS Firewall Manager 通知](set-fms-alarms.md)

# メトリクスおよびディメンションの表示
<a name="metrics_dimensions"></a>

メトリクスは、最初にサービス名前空間によってグループ化され、次に各名前空間内のさまざまなディメンションの組み合わせによってグループ化されます。メトリクスは記録 AWS Firewall Manager されません。
+  AWS WAF 名前空間は です。 `AWS/WAFV2`
+ Shield Advanced の名前空間は `AWS/DDoSProtection` です

**注記**  
AWS WAF は 1 分に 1 回メトリクスを報告します。  
Shield Advanced は、イベント中 1 分に 1 回メトリクスをレポートし、イベント以外ではその頻度は少なくなります。

および のメトリクスを表示するには、次の手順を使用します AWS WAF AWS Shield Advanced。

**CloudWatch コンソールを使用してメトリクスを表示するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) で CloudWatch コンソールを開きます。

1. 必要に応じて、リージョンを AWS リソースがあるリージョンに変更します。CloudFront の場合、米国東部 (バージニア北部) リージョンを選択する必要があります。

1. ナビゲーションペインの **[Metrics]** (メトリクス) で、**[All metrics]** (すべてのメトリクス) を選択し、**[Browse]** (参照) タブでサービスを検索します。

**CLI AWS を使用してメトリクスを表示するには**
+ AWS/WAFV2 の場合、コマンドプロンプトで次のコマンドを使用します。

  ```
  1. aws cloudwatch list-metrics --namespace "AWS/WAFV2"
  ```

  Shield Advanced の場合、コマンドプロンプトで次のコマンドを使用します。

  ```
  1. aws cloudwatch list-metrics --namespace "AWS/DDoSProtection"
  ```

# AWS WAF メトリクスとディメンション
<a name="waf-metrics"></a>

AWS WAF は、メトリクスを 1 分に 1 回レポートします。 は`AWS/WAFV2`、名前空間にメトリクスとディメンション AWS WAF を提供します。

 AWS WAF メトリクスの概要情報は、 AWS WAF コンソールの 保護パック (ウェブ ACL) のトラフィック概要タブで確認できます。詳細については、[保護パック (ウェブ ACL) のトラフィック概要ダッシュボード](web-acl-dashboards.md) を参照してください。

保護パック (ウェブ ACL)、ルール、ルールグループ、ラベルには、次のメトリクスが表示されます。
+ **ルール** – メトリクスはルールアクションによってグループ化されます。例えば、Count モードでルールをテストする場合、一致したルールが保護パック (ウェブ ACL) の `Count` メトリクスとして一覧表示されます。
+ **ルールグループ** – ルールグループのメトリクスは、ルールグループメトリクスの下に一覧表示されます。
+ **別のアカウントが所有するルールグループ** – ルールグループメトリクスは、通常、ルールグループの所有者にのみ表示されます。ただし、ルールのルールアクションを上書きすると、そのルールのメトリクスが保護パック (ウェブ ACL) メトリクスの下に一覧表示されます。さらに、ルールグループによって追加されたラベルは、保護パック (ウェブ ACL) メトリクスに一覧表示されます。

  ルールグループのカウントアクションルールは、ウェブ ACL ディメンションメトリクスを出力しません - Rule、RuleGroup、およびリージョンディメンションのみ。これは、ルールグループがウェブ ACL で参照されている場合でも適用されます。

  このカテゴリにあるルールグループは [AWS の マネージドルール AWS WAF](aws-managed-rule-groups.md)、[AWS Marketplace ルールグループ](marketplace-rule-groups.md)、[他のサービスによって提供されるルールグループを識別する](waf-service-owned-rule-groups.md)、また、他のアカウントから共有されたルールグループも含まれます。Firewall Manager を介して保護パック (ウェブ ACL) がデプロイされると、カウントアクションを持つ WebACL 内のルールはメンバーアカウントにメトリクスを表示しません。
+ **ラベル** – 評価中にウェブリクエストに追加されたラベルは、保護パック (ウェブ ACL) のラベルメトリクスに一覧表示されます。自分のルールやルールグループによって追加されたか、他のアカウントが所有するルールグループのルールによって追加されたかにかかわらず、すべてのラベルのメトリクスにアクセスできます。

**Topics**
+ [AWS WAF コアメトリクスとディメンション](#waf-metrics-general)
+ [ラベルメトリクスとディメンション](#waf-metrics-label)
+ [無料のボット可視性メトリクスおよびディメンション](#waf-metrics-bot-free)
+ [アカウントメトリクスとディメンション](#waf-metrics-account)
+ [AWS WAF 使用状況メトリクス](#waf-metrics-usage)

## AWS WAF コアメトリクスとディメンション
<a name="waf-metrics-general"></a>


**AWS WAF コアメトリクス**  

| メトリクス | 説明 | 
| --- | --- | 
| `AllowedRequests` |  許可されたウェブリクエストの数。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
| `BlockedRequests` |  ブロックされたウェブリクエストの数。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
| `CountedRequests` |  カウントされたウェブリクエストの数。 レポート条件: ゼロ以外の値がある。 カウントされたウェブリクエストは、少なくとも 1 つのルールに一致するリクエストです。リクエストカウントは、通常、テストに使用されます。 有効な統計: Sum  | 
| `CaptchaRequests` |  CAPTCHA コントロールが適用されたウェブリクエストの数。終了ルールを表し、 は含まれません`RequestsWithValidCaptchaToken`。 レポート条件: ゼロ以外の値がある。 CAPTCHA ウェブリクエストは、CAPTCHA アクション設定を持つルールに一致するリクエストです。このメトリクスは、CAPTCHA トークンが有効期限切れである、無効である、存在しない、または一致していないドメインを持っているかどうかに関係なく、一致するすべてのリクエストを記録します。 有効な統計: Sum  | 
|  `RequestsWithValidCaptchaToken`  |  CAPTCHA コントロールが適用され、有効な CAPTCHA トークンを持つウェブリクエストの数。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `CaptchasAttempted`  |  CAPTCHA パズルチャレンジに応答してエンドユーザーから送信されたソリューションの数。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `CaptchasSolved`  |  パズルを正解し、送信された CAPTCHA パズルソリューションの数。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `ChallengeRequests`  |  チャレンジコントロールが適用されたウェブリクエストの数。終了ルールを表し、 は含まれません`RequestsWithValidChallengeToken`。 レポート条件: ゼロ以外の値がある。 チャレンジウェブリクエストは、Challenge アクション設定を持つルールに一致するリクエストです。このメトリクスは、チャレンジトークンが有効期限切れである、無効である、存在しない、または一致していないドメインを持っているかどうかに関係なく、一致するすべてのリクエストを記録します。 有効な統計: Sum  | 
|  `ChallengesAttempted`  |  Challenge ルールによって提供されるサイレントチャレンジに応答してエンドユーザーから送信された試行の数。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `ChallengesSolved`  |  Challenge ルールによって提供されるサイレントチャレンジに正常に合格した、送信されたサイレントチャレンジ解決の数。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
| `PassedRequests` |  渡されたリクエストの数。これは、ルールグループのルールのいずれとも一致せず、ルールグループ評価を通過するリクエストについてのみ使用されます。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `RequestsWithValidChallengeToken`  |  チャレンジコントロールが適用され、有効なチャレンジトークンを持つウェブリクエストの数。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `LowReputationPacketsDropped`  |  既知の悪意のあるソースから削除されたパケットの数。このメトリクスは、リクエストがリソースレベルの DDoS 保護によってブロックされたときに記録されます。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum このメトリクスは、`AWS/ApplicationELB` 名前空間に公開されます。  | 
|  `LowReputationRequestsDenied`  |  HTTP 403 レスポンスで拒否された HTTP リクエストの数。このメトリクスは、リクエストがリソースレベルの DDoS 保護によってブロックされたときに記録されます。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum このメトリクスは、`AWS/ApplicationELB` 名前空間に公開されます。  | 


**AWS WAF コアディメンション**  

| ディメンション | 説明 | 
| --- | --- | 
|  `Region`  | Amazon CloudFront ディストリビューションを除くすべての保護されたリソースタイプで必要です。 | 
|  `Rule`  |  次のいずれかです。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/waf-metrics.html)  | 
|  `RuleGroup`  |  `RuleGroup` のメトリクス名。  | 
|  `WebACL`  |  `WebACL` のメトリクス名。  | 
|  `WebACLArn`  |  Web ACL の Amazon リソースネーム (ARN)。このディメンションは、 AWS WAF が有効になっている場合にのみ使用できます。  | 
|  `ResourceType`  |  `CF`、`APIGW`、`ALB` など、保護されたリソースのタイプ。  | 
|  `Resource`  |  保護されたリソースの Amazon リソースネーム (ARN)。 このディメンションには App Runner リソース ARN は含まれません。  | 
|  `Country`  |  リクエストの送信元の国 これは、国際標準化機構 (ISO) 3166 規格の 2 文字の名称です。たとえば、米国は US、ウクライナは UA です。 リクエストに `X-Forwarded-For` ヘッダーがある場合、 AWS WAF はそのヘッダーを使用してこの設定を決定します。それ以外の場合は、 AWS WAF はクライアント IP の国を使用します。この決定は、オリジン国を決定するためにルールで使用するロジックとは無関係です。 は、MaxMind GeoIP データベースを使用して IPs の場所 AWS WAF を決定します。  | 
|  `Attack`  |  ウェブ ACL で使用するルールとルールグループに基づいて、リクエストで が AWS WAF 識別した攻撃のタイプ。 ルールとベースライン AWS マネージドルールグループのルールは、攻撃タイプを識別できます。たとえば、クロスサイトスクリプティング (XSS) ルール一致は XSS 攻撃タイプを識別し、レートベースのルールはボリューム攻撃タイプを識別します。攻撃タイプは、通常、ウェブリクエストの評価を終了したルールのタイプを示します。  | 
|  `Device`  |  リクエストを送信したクライアントのデバイスタイプは、ウェブリクエストの `user-agent` ヘッダーから取得されます。  | 
|  `LoadBalancerArn`  |  ロードバランサーの Amazon リソースネーム (ARN)。  | 
|  `LoadBalancerArnAvailabilityZone`  |  ロードバランサー ARN とアベイラビリティーゾーンの組み合わせ。  | 
|  `ManagedRuleGroup`  |  `ManagedRuleGroup` のメトリクス名。  | 
|  `ManagedRuleGroupRule`  |  一致した `ManagedRuleGroup` 内のルール。  | 
|  `VulnerabilityCategory`  |   AWS マネージドルール IP セットに基づいて、リクエストが一致する脆弱性カテゴリ。  | 

## ラベルメトリクスとディメンション
<a name="waf-metrics-label"></a>

ルールおよび保護パック (ウェブ ACL) で使用するマネージドルールグループによる評価中に、リクエストに追加されたラベルのメトリクス。詳細については、「[ウェブリクエストのラベル付け](waf-labels.md)」を参照してください。

1 つのウェブリクエストについて、 は最大 100 個のラベルのメトリクス AWS WAF を保存します。保護パック (ウェブ ACL) 評価では、100 個を超えるラベルを適用したり、100 個を超えるラベルと照合したりできますが、メトリクスには最初の 100 個のみが反映されます。


**ラベルメトリクス**  

| メトリクス | 説明 | 
| --- | --- | 
|  `AllowedRequests`  |  アクション設定 Allow を適用したウェブリクエストのラベルの数。ラベルは、ウェブリクエストの評価中のどの時点でも追加できます。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `BlockedRequests`  |  アクション設定 Block を適用したウェブリクエストのラベルの数。ラベルは、ウェブリクエストの評価中のどの時点でも追加できます。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `CountedRequests`  |  Count アクション設定を持つルールグループルールによってウェブリクエストに追加されるラベルの数。 このメトリクスは、ルールグループ内のルールについて、ルールグループの所有者のみが使用できます。その他のケースでは、リクエストに適用された終了アクション (Allow または Block など) にカウントラベルメトリクスがまとめられます。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `CaptchaRequests`  |  終了 CAPTCHA アクションが適用されたウェブリクエストのラベルの数。ラベルは、ウェブリクエストの評価中のどの時点でも追加できます。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `ChallengeRequests`  |  終了 Challenge アクションが適用されたウェブリクエストのラベルの数。ラベルは、ウェブリクエストの評価中のどの時点でも追加できます。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `AllowRuleMatch`  |  関連付けられたラベルを生成し、Allow アクションを使用してリクエスト評価を終了した一致ルールの数。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `BlockRuleMatch`  |  関連付けられたラベルを生成し、Block アクションを使用してリクエスト評価を終了した一致ルールの数。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `CountRuleMatch`  |  関連付けられたラベルを生成し、Count アクションを適用した一致ルールの数。 複数のルールが同じラベルとアクションで設定されている場合、1 つのリクエストでこのメトリクスの複数のインスタンスが発生する可能性があります。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `CaptchaRuleMatch`  |  関連付けられたラベルを生成し、CAPTCHA アクションを使用してリクエスト評価を終了した一致ルールの数。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `ChallengeRuleMatch`  |  関連付けられたラベルを生成し、Challenge アクションを使用してリクエスト評価を終了した一致ルールの数。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `CaptchaRuleMatchWithValidToken`  |  関連付けられたラベルを生成し、終了していない CAPTCHA アクションを適用した一致ルールの数。 複数のルールが同じラベルとアクションで設定されている場合、1 つのリクエストでこのメトリクスの複数のインスタンスが発生する可能性があります。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `ChallengeRuleMatchWithValidToken`  |  関連付けられたラベルを生成し、終了していない Challenge アクションを適用した一致ルールの数。 複数のルールが同じラベルとアクションで設定されている場合、1 つのリクエストでこのメトリクスの複数のインスタンスが発生する可能性があります。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 


**ラベルディメンション**  

| ディメンション | 説明 | 
| --- | --- | 
|  `Region`  | Amazon CloudFront ディストリビューションを除くすべての保護されたリソースタイプで必要です。 | 
|  `RuleGroup`  |  `RuleGroup` のメトリクス名。メトリクス `CountedRequests` に使用されます。  | 
|  `WebACL`  |  `WebACL` のメトリクス名。  | 
|  `ResourceType`  |  `CF`、`APIGW`、`ALB` など、保護されたリソースのタイプ。  | 
|  `Resource`  |  保護されたリソースの Amazon リソースネーム (ARN)。  | 
|  `LabelNamespace`  | リクエストに追加されたラベルの名前空間プレフィックス。 | 
|  `Label`  | リクエストに追加されたラベルの名前。 | 
|  `Context`  | ラベル追加のコンテキストとして機能するマネージドルールグループ。たとえば、 などのトークン管理ラベルのコンテキストawswaf:managed:token:acceptedは、Bot Control や ATP AWS WAF マネージドルールグループなど、リクエストでトークン管理を使用するマネージドルールグループです。このディメンションはすべてのラベルに適用されるわけではありません。 | 

## 無料のボット可視性メトリクスおよびディメンション
<a name="waf-metrics-bot-free"></a>

保護パック (ウェブ ACL) で Bot Control を使用しない場合、 は Bot Control マネージドルールグループをウェブリクエストのサンプリングに追加コストなしで AWS WAF 適用します。これにより、保護対象リソースに流入するボットトラフィックを把握できます。Bot Control については、「[AWS WAF Bot Control ルールグループ](aws-managed-rule-groups-bot.md)」を参照してください。


**無料のボット可視性メトリクス**  

| メトリクス | 説明 | 
| --- | --- | 
|  `SampleAllowedRequest`  |  Allow アクションを持つサンプル化したリクエストの割合。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `SampleBlockedRequest`  |  Block アクションを持つサンプル化したリクエストの割合。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `SampleCaptchaRequest`  |  CAPTCHA アクションを持つサンプル化したリクエストの割合。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `SampleChallengeRequest`  |  Challenge アクションを持つサンプル化したリクエストの割合。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `SampleCountRequest`  |  Count アクションを持つサンプル化したリクエストの割合。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 


**無料のボット可視性ディメンション**  

| ディメンション | 説明 | 
| --- | --- | 
|  `Region`  | Amazon CloudFront ディストリビューションを除くすべての保護されたリソースタイプで必要です。 | 
|  `WebACL`  |  `WebACL` のメトリクス名。  | 
|  `BotCategory`  |  ウェブリクエストのラベルに基づく、検出されたボットカテゴリ名。  | 
|  `VerificationStatus`  |  ウェブリクエストのラベルに基づく、検出されたボット検証ステータス名。  | 
|  `Signal`  |  ウェブリクエストのラベルに基づく、検出されたボットシグナル名。  | 

## アカウントメトリクスとディメンション
<a name="waf-metrics-account"></a>

アカウントメトリクスは、JavaScript API を介してサービスが提供された CAPTCHA パズルとサイレント Challenge ルールアクションに関するアカウント全体の情報を提供します。


**アカウントメトリクス**  

| メトリクス | 説明 | 
| --- | --- | 
|  `CaptchasAttemptedSdk`  |  CAPTCHA JavaScript API を通じて出されたパズルに対して、エンドユーザーが CAPTCHA パズルチャレンジを応答するために提出したソリューションの数。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `CaptchasSolvedSdk`  |  CAPTCHA JavaScript API を通じて提供されたパズルについて、パズルを正常に解決した CAPTCHA パズルソリューションの送信数。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `ChallengesAttemptedSdk`  |  Challenge JavaScript API によって提供されるサイレントチャレンジに応答してエンドユーザーから送信された試行の数。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 
|  `ChallengesSolvedSdk`  |  Challenge JavaScript API によって提供されるサイレントチャレンジに正常に合格した、送信されたサイレントチャレンジ解決の数。 レポート条件: ゼロ以外の値がある。 有効な統計: Sum  | 


**アカウントディメンション**  

| ディメンション | 説明 | 
| --- | --- | 
|  `Region`  | Amazon CloudFront ディストリビューションを除くすべての保護されたリソースタイプで必要です。 | 

## AWS WAF 使用状況メトリクス
<a name="waf-metrics-usage"></a>

CloudWatch 使用状況メトリクスを使用して、アカウントのリソースの使用状況を把握できます。これらのメトリクスを使用して、CloudWatch グラフやダッシュボードで現在のサービスの使用状況を可視化できます。

AWS WAF 使用状況メトリクスは、 AWS サービスクォータに対応しています。使用量がサービスクォータに近づいたときに警告するアラームを設定することもできます。CloudWatch とサービスクオータの統合については、「*Amazon CloudWatch ユーザーガイド*」の「[AWS 使用状況メトリクス](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Service-Quota-Integration.html)」を参照してください。

AWS WAF は、 `AWS/Usage`名前空間に次のメトリクスを発行します。


**使用状況メトリクス**  

| メトリクス | 説明 | 
| --- | --- | 
|  `ResourceCount`  |  アカウントの指定されたリソースの数。リソースはメトリクスに関連付けられたディメンションによって定義されます。 このメトリクスで最も役に立つ統計は `MAXIMUM` です。これは1 分間の期間中に使用されるリソースの最大数を表します。  | 

次のディメンションは、 によって発行される使用状況メトリクスを絞り込むために使用されます AWS WAF。


**使用状況ディメンション**  

| ディメンション | 説明 | 
| --- | --- | 
|  `Resource`  | 使用状況が報告されるリソースのタイプ。 | 

`Resource` ディメンションでサポートされている値を次に示します。


**`Resource`値**  

| 値 | 説明 | 
| --- | --- | 
|  `WebAclsPerAccountCloudFront`  | アカウントあたりの CloudFront で顧客が持っている保護パック (ウェブ ACL) の数。このメトリクスは、CloudFront に少なくとも 1 つの保護パック (ウェブ ACL) がある場合にのみ使用可能です。 | 
|  `WebAclsPerAccountRegional`  | アカウントあたりのリージョンで顧客が持っている保護パック (ウェブ ACL) の数。このメトリクスは、そのリージョンに少なくとも 1 つの保護パック (ウェブ ACL) がある場合にのみ使用使用可能です。 | 
|  `RuleGroupsPerAccountCloudFront`  | アカウントあたりの CloudFront で顧客が持っているルールグループの数。このメトリクスは、CloudFront に少なくとも 1 つのルールグループがある場合にのみ使用可能です。 | 
|  `RuleGroupsPerAccountRegional`  | アカウントあたりのリージョンで顧客が持っているルールグループの数。このメトリクスは、そのリージョンに少なくとも 1 つのルールグループがある場合にのみ使用可能です。 | 
|  `IpSetsPerAccountCloudFront`  | アカウントあたりの CloudFront で顧客が持っている IP セットの数。このメトリクスは、CloudFront に少なくとも 1 つの IP セットがある場合にのみ使用可能です。 | 
|  `IpSetsPerAccountRegional`  | アカウントあたりのリージョンにで顧客が持っている IP セットの数。このメトリクスは、そのリージョンに少なくとも 1 つの IP セットがある場合にのみ使用可能です。 | 
|  `RegexPatternSetsPerAccountCloudFront`  | アカウントあたりの CloudFront で顧客が持っている正規表現パターンセットの数。このメトリクスは、CloudFront に少なくとも 1 つの正規表現パターンが設定されている場合にのみ使用可能です。 | 
|  `RegexPatternSetsPerAccountRegional`  | アカウントあたりのリージョンで顧客が持っている正規表現パターンセットの数。このメトリクスは、そのリージョンに少なくとも 1 つの正規表現パターンが設定されている場合にのみ使用可能です。 | 

# AWS Shield Advanced メトリクス
<a name="shield-metrics"></a>

Shield Advanced は、保護するすべてのリソースの Amazon CloudWatch 検出、緩和とトップコントリビューターのメトリクスを発行します。これらのメトリクスにより、リソースに関する CloudWatch ダッシュボードとアラームを作成および設定できるようになるため、それらのリソースをより良くモニタリングできます。

Shield Advanced コンソールには、記録する多くのメトリクスの概要が表示されます。詳細については、「[Shield Advanced による DDoS イベントの可視性](ddos-viewing-events.md)」を参照してください。

アプリケーションレイヤー保護の自動アプリケーションレイヤー DDoS 緩和を有効にすると、Shield Advanced は自動保護の管理に使用するルールグループを保護パック (ウェブ ACL) に追加します。このルールグループは AWS WAF メトリクスを生成しますが、表示することはできません。これは、 AWS マネージドルールルールグループなど、保護パック (ウェブ ACL) で使用する他のルールグループと同じですが、所有していません。 AWS WAF メトリクスの詳細については、「」を参照してください[AWS WAF メトリクスとディメンション](waf-metrics.md)。Shield Advanced 保護オプションの機能については、[Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和](ddos-automatic-app-layer-response.md) を参照してください。

**メトリクスレポートの位置**  
Shield Advanced は、次のように、米国東部 (バージニア北部) (`us-east-1`) リージョンのメトリクスをレポートします。
+ グローバルサービスの Amazon CloudFront と Amazon Route 53。
+ 保護グループ 保護グループについては、「[AWS Shield Advanced 保護のグループ化](ddos-protection-groups.md)」を参照してください。

他のリソースタイプについては、Shield Advanced がリソースのリージョンのメトリクスをレポートします。

**メトリクスレポートの時点**  
Shield Advanced は、DDoS イベント中、進行中のイベントがない場合よりも頻繁に AWS リソースのメトリクスを Amazon CloudWatch に報告します。Shield Advanced は、イベント中は 1 分ごとに、およびイベント終了直後に 1 回、メトリクスをレポートします。

イベントが発生していない間、Shield Advanced は 1 日に 1 回、リソースに割り当てられた時間にメトリクスを報告します。この定期的なレポートにより、メトリクスをアクティブに保ち、カスタム CloudWatch アラームとダッシュボードで使用できるようにします。

**アラームの推奨**  
注意が必要な状況を通知するアラームを作成することをお勧めします。開始点として、`DDoSDetected` 検出メトリクスがゼロ以外の場合にレポートする保護されたリソースごとにアラームを作成できます。このメトリクスのゼロ以外の値は、DDoS 攻撃が進行中であることを必ずしも意味するわけではありませんが、メトリクスがこの状態にある場合は、リソースのステータスを詳しく調べることをお勧めします。

リクエストフラッドについては、アプリケーションのヘルスやウェブリクエストの量などの要素も考慮する複合チェックのアラームを作成することをお勧めします。さまざまな攻撃ベクトルディメンションのトラフィック量について報告する他の 3 つのメトリクスでアラームを設定できます。アプリケーションの容量を考慮し、トラフィックがアプリケーションの制限に近づいたときにアラームを発信することで、望ましくないノイズを過剰に発生させることなく、必要に応じて通知する一連のルールを作成できます。

**Topics**
+ [検出メトリクス](#ddos-metrics-detection)
+ [緩和のメトリクス](#ddos-metrics-mitigation)
+ [上位の寄稿者のメトリクス](#ddos-metrics-top-contributors)

## 検出メトリクス
<a name="ddos-metrics-detection"></a>

Shield Advanced は、`AWS/DDoSProtection` ネームスペースで次の検出メトリクスとディメンションを提供します。


**検出メトリクス**  

| メトリクス | 説明 | 
| --- | --- | 
| DDoSDetected | 特定の Amazon リソースネーム (ARN) に対して DDoS イベントが進行中かどうかを示します。このメトリクスは、イベント中はゼロ以外の値を持ちます。  | 
| DDoSAttackBitsPerSecond | 特定の Amazon リソースネーム (ARN) の DDoS イベント中に認められたビット数。このメトリクスは、ネットワークおよびトランスポートレイヤー (レイヤー 3 およびレイヤー 4) の DDoS イベントにのみ使用できます。このメトリクスは、イベント中はゼロ以外の値を持ちます。単位: ビット  | 
| DDoSAttackPacketsPerSecond | 特定の Amazon リソースネーム (ARN) の DDoS イベント中に認められたパケット数。このメトリクスは、ネットワークおよびトランスポートレイヤー (レイヤー 3 およびレイヤー 4) の DDoS イベントにのみ使用できます。このメトリクスは、イベント中はゼロ以外の値を持ちます。単位: パケット  | 
| DDoSAttackRequestsPerSecond | 特定の Amazon リソースネーム (ARN) の DDoS イベント中に認められたリクエスト数。このメトリクスは、レイヤー 7 の DDoS イベントのみで使用できます。メトリクスは、特に重要なレイヤー 7 イベントのみについて報告されます。このメトリクスは、イベント中はゼロ以外の値を持ちます。単位: リクエスト  | 
| DDoSAttackRequests | 特定の Amazon リソースネーム (ARN) の DDoS イベント中に認められたリクエスト数。このメトリクスは、DDoS 対策 DDoS マネージドルール (AMR) DDoS イベントでのみ使用できます。このメティックは AWS/WAFV2 名前空間にあり、イベント中にゼロ以外の値を持ちます。単位: リクエスト  | 

Shield Advanced は、他のディメンションなしで `DDoSDetected` メトリクスを投稿します。残りの検出メトリクスには、次のリストから、攻撃のタイプに対応する `AttackVector` ディメンションが含まれます。
+ `ACKFlood`
+ `ChargenReflection`
+ `DNSReflection`
+ AWS/WAFV2
+ `GenericUDPReflection`
+ `MemcachedReflection`
+ `MSSQLReflection`
+ `NetBIOSReflection`
+ `NTPReflection`
+ `PortMapper`
+ `RequestFlood`
+ `RIPReflection`
+ `SNMPReflection`
+ `SSDPReflection`
+ `SYNFlood`
+ `UDPFragment`
+ `UDPTraffic`
+ `UDPReflection`

## 緩和のメトリクス
<a name="ddos-metrics-mitigation"></a>

Shield Advanced は、`AWS/DDoSProtection` ネームスペースで次の検出メトリクスとディメンションを提供します。


**緩和のメトリクス**  

| メトリクス | 説明 | 
| --- | --- | 
| VolumePacketsPerSecond | 検出されたイベントに対応してデプロイされた緩和策によってドロップされたか、または渡された 1 秒あたりのパケット数。単位: パケット  | 


**緩和のディメンション**  

| ディメンション | 説明 | 
| --- | --- | 
|  `ResourceArn`  |  Amazon リソースネーム (ARN)  | 
|  `MitigationAction`  |  適用された緩和策の結果。想定される値は、`Pass` または `Drop` です。  | 

## 上位の寄稿者のメトリクス
<a name="ddos-metrics-top-contributors"></a>

Shield Advanced は、`AWS/DDoSProtection` ネームスペースにメトリクスを提供します。


**上位の寄稿者のメトリクス**  

| メトリクス | 説明 | 
| --- | --- | 
| VolumePacketsPerSecond | 上位のコントリビューターの 1 秒あたりのパケット数。単位: パケット  | 
| VolumeBitsPerSecond | 上位のコントリビューターの 1 秒あたりのビット数。単位: ビット  | 

Shield Advanced は、イベントの寄稿者を特徴づけるディメンションの組み合わせによって、上位の寄稿者のメトリクスを投稿します 上位の寄稿者のあらゆるメトリクスについて、次のいずれかのディメンションの組み合わせを使用できます。
+ `ResourceArn`, `Protocol` 
+ `ResourceArn`, `Protocol`, `SourcePort` 
+ `ResourceArn`, `Protocol`, `DestinationPort` 
+ `ResourceArn`, `Protocol`, `SourceIp` 
+ `ResourceArn`, `Protocol`, `SourceAsn` 
+ `ResourceArn`, `TcpFlags` 


**上位の寄稿者のディメンション**  

| ディメンション | 説明 | 
| --- | --- | 
|  `ResourceArn`  |  Amazon リソースネーム (ARN)。  | 
|  `Protocol`  |  `TCP` または `UDP` のいずれかの IP プロトコル名。  | 
|  `SourcePort`  |  ソース TCP または UDP ポート。  | 
|  `DestinationPort`  |  宛先 TCP または UDP ポート。  | 
|  `SourceIp`  |  送信元 IP アドレス。  | 
|  `SourceAsn`  |  ソース Autonomous System number (ASN)。  | 
|  `TcpFlags `  |  ダッシュ `-` で区切られた TCP パケットに存在するフラグの組み合わせ。モニタリング対象フラグは、`ACK`、`FIN`、`RST`、`SYN` です。このディメンション値は、常にアルファベット順にソートされて表示されます。例: `ACK-FIN-RST-SYN`、`ACK-SYN`、`FIN-RST`。  | 

# AWS Firewall Manager 通知
<a name="set-fms-alarms"></a>

AWS Firewall Manager はメトリクスを記録しないため、Firewall Manager 専用の Amazon CloudWatch アラームを作成することはできません。ただし、可能性のある攻撃のアラートを送信する Amazon SNS 通知を設定することができます。Firewall Manager で Amazon SNS 通知を作成するには、「[ステップ 4: Amazon SNS 通知と Amazon CloudWatch アラームを設定する](getting-started-fms-shield.md#get-started-fms-shield-cloudwatch)」を参照してください。