**引入全新的主机体验 AWS WAF**
现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 Amazon 进行监控 CloudWatch
您可以使用 Amazon 监控网络请求 CloudWatch、网络 ACLs 和规则,Amazon 从可读的近乎实时的指标收集原始数据, AWS WAF 并将其处理 AWS Shield Advanced 为可读的近乎实时的指标。您可以使用 Amazon 中的统计数据 CloudWatch 来了解您的 Web 应用程序或服务的性能。有关更多信息,请参阅《*Amazon CloudWatch 用户指南*》 CloudWatch中的[内容](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html)。
**注意**
CloudWatch 未为 Firewall Manager 启用指标和警报。
您可以创建一个 Amazon CloudWatch 警报,当警报状态发生变化时,该警报会发送 Amazon SNS 消息。警报会监控某个指标在一定时间段 (由您指定) 的变化情况,并根据相对于指定阈值的指标值每隔若干个时间段执行一项或多项操作。操作是一个发送到 Amazon SNS 主题或自动扩缩策略的通知。警报仅针对持续的状态变化调用操作。 CloudWatch 警报不会仅仅因为它们处于特定状态就调用操作;该状态必须已更改并保持了指定的时间段。
**Topics**
+ [查看 指标和维度](metrics_dimensions.md)
+ [AWS WAF 指标和维度](waf-metrics.md)
+ [AWS Shield Advanced 指标](shield-metrics.md)
+ [AWS Firewall Manager 通知](set-fms-alarms.md)
# 查看 指标和维度
指标首先按服务命名空间分组,然后按每个命名空间内的各种维度组合进行分组。 AWS Firewall Manager 不记录指标。
+ AWS WAF 命名空间是 `AWS/WAFV2`
+ Shield Advanced 命名空间是 `AWS/DDoSProtection`
**注意**
AWS WAF 每分钟报告一次指标。
Shield Advanced 在活动期间每分钟报告一次指标,其他时间则不那么频繁。
使用以下过程查看 AWS WAF 和的指标 AWS Shield Advanced。
**使用 CloudWatch 控制台查看指标**
1. 登录 AWS 管理控制台 并打开 CloudWatch 控制台,网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。
1. 如有必要,请将区域更改为 AWS 资源所在的区域。对于 CloudFront,请选择美国东部(弗吉尼亚北部)区域。
1. 在导航窗格的**指标**下,选择**所有指标**,然后在**浏览**选项卡下搜索该服务。
**使用 AWS CLI 查看指标**
+ 对于 AWS/WAFV2,在命令提示符下使用以下命令:
```
1. aws cloudwatch list-metrics --namespace "AWS/WAFV2"
```
对于 Shield Advanced,在命令提示符处使用以下命令:
```
1. aws cloudwatch list-metrics --namespace "AWS/DDoSProtection"
```
# AWS WAF 指标和维度
AWS WAF 每分钟报告一次指标。 AWS WAF 在`AWS/WAFV2`命名空间中提供指标和维度。
您可以通过 AWS WAF 控制台在保护包 (Web ACL) 的流量概述选项卡中查看 AWS WAF 指标的摘要信息。有关更多信息,请转到控制台或参阅 [保护包的流量概述仪表板 (Web ACLs)](web-acl-dashboards.md)。
您可以看到保护包 (Web ACLs)、规则、规则组和标签的以下指标。
+ **您的规则**:指标按照规则操作进行分组。例如,如果在 Count 模式下测试规则,则其匹配项列为保护包(web ACL)的 `Count` 指标。
+ **您的规则组**:您的规则组指标列在规则组指标下。
+ **其他账户拥有的规则组**:规则组指标通常只有规则组的所有者可见。但是,如果覆盖了某个规则的规则操作,则该规则的指标将列示在保护包(web ACL)指标下。此外,任何规则组添加的标签都会列示在您的保护包(web ACL)指标中
规则组中的计数操作规则不会发出 Web ACL 维度指标, RuleGroup仅发出 “规则” 和 “区域” 维度。即使在 Web ACL 中引用了规则组,这也适用。
此类别中的规则组 [AWS 的托管规则 AWS WAF](aws-managed-rule-groups.md)、[AWS Marketplace 规则组](marketplace-rule-groups.md)、[识别其他服务提供的规则组](waf-service-owned-rule-groups.md) 以及其他账户与您共享的规则组。通过 Firewall Manager 部署保护包(web ACL)时,WebACL 中使用计数操作的任何规则均不会在成员账户中显示其指标。
+ **标签**:评估期间添加到 web 请求的标签列在保护包(web ACL)的标签指标中。您可以访问所有标签的指标,无论这些指标是由您的规则和规则组添加的,还是由其他账户拥有的规则添加的。
**Topics**
+ [AWS WAF 核心指标和维度](#waf-metrics-general)
+ [标签指标和维度](#waf-metrics-label)
+ [免费机器人可见性指标和维度](#waf-metrics-bot-free)
+ [账户指标和维度](#waf-metrics-account)
+ [AWS WAF 使用量指标](#waf-metrics-usage)
## AWS WAF 核心指标和维度
**AWS WAF 核心指标**
| 指标 | 说明 |
| --- | --- |
| `AllowedRequests` | 允许的 web 请求数。 报告标准:有非零值。 有效统计数据:Sum |
| `BlockedRequests` | 阻止的 web 请求数。 报告标准:有非零值。 有效统计数据:Sum |
| `CountedRequests` | 计数的 web 请求数。 报告标准:有非零值。 已计数的 web 请求是至少匹配了一个规则的请求。请求计数通常用于测试。 有效统计数据:Sum |
| `CaptchaRequests` | 应用了验证码控制的网络请求数量。它代表终止规则,不包括`RequestsWithValidCaptchaToken`。 报告标准:有非零值。 验证码 web 请求是指与具有 CAPTCHA 操作设置的规则相匹配的请求。此指标记录所有匹配的请求,无论验证码令牌是否过期、无效、缺失或具备不匹配的域。 有效统计数据:Sum |
| `RequestsWithValidCaptchaToken` | 应用了验证码控件且验证码令牌有效的 web 请求数量。 报告标准:有非零值。 有效统计数据:Sum |
| `CaptchasAttempted` | 最终用户为响应验证码拼图挑战而提交的解决方案数量。 报告标准:有非零值。 有效统计数据:Sum |
| `CaptchasSolved` | 已提交的成功完成的验证码拼图解决方案的数量。 报告标准:有非零值。 有效统计数据:Sum |
| `ChallengeRequests` | 应用了质询控件的 web 请求数量。它代表终止规则,不包括`RequestsWithValidChallengeToken`。 报告标准:有非零值。 质询 web 请求是指与具有 Challenge 操作设置的规则相匹配的请求。此指标记录所有匹配的请求,无论质询令牌是否过期、无效、缺失或具备不匹配的域。 有效统计数据:Sum |
| `ChallengesAttempted` | 终端用户为响应 Challenge 规则提供的静默质询而提交的尝试次数。 报告标准:有非零值。 有效统计数据:Sum |
| `ChallengesSolved` | 成功通过 Challenge 规则所提供静默质询的静默质询解决方案数量。 报告标准:有非零值。 有效统计数据:Sum |
| `PassedRequests` | 已通过的请求数。这仅用于通过规则组评估但不匹配任何规则组规则的请求。 报告标准:有非零值。 有效统计数据:Sum |
| `RequestsWithValidChallengeToken` | 应用了质询控件且质询令牌有效的 web 请求数量。 报告标准:有非零值。 有效统计数据:Sum |
| `LowReputationPacketsDropped` | 已知恶意源丢弃的数据包数量。当请求被资源级 DDo S 保护阻止时,就会记录此指标。 报告标准:有非零值。 有效统计数据:Sum 此指标会发布到 `AWS/ApplicationELB` 命名空间。 |
| `LowReputationRequestsDenied` | HTTP 403 响应拒绝 HTTP 请求的数量。当请求被资源级 DDo S 保护阻止时,就会记录此指标。 报告标准:有非零值。 有效统计数据:Sum 此指标会发布到 `AWS/ApplicationELB` 命名空间。 |
**AWS WAF 核心尺寸**
| 维度 | 说明 |
| --- | --- |
| `Region` | 除 Amazon CloudFront 分配以外的所有受保护资源类型均为必填项。 |
| `Rule` | 下列情况之一: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/waf-metrics.html) |
| `RuleGroup` | `RuleGroup` 的指标名称。 |
| `WebACL` | `WebACL` 的指标名称。 |
| `WebACLArn` | Web ACL 的 Amazon 资源名称(ARN)。此维度仅在启用时 AWS WAF 可用。 |
| `ResourceType` | 受保护资源的类型,例如 `CF`、`APIGW` 或 `ALB`。 |
| `Resource` | 受保护资源的 Amazon 资源名称(ARN)。 此维度不包括 App Runner 资源 ARNs。 |
| `Country` | 请求的源国家/地区。这是国际标准化组织 (ISO) 3166 标准中的双字符名称。例如,US 代表美国,UA 代表乌克兰。 如果请求有 `X-Forwarded-For` 标头,则 AWS WAF 使用该标头来确定此设置。否则, AWS WAF 使用客户端 IP 所在的国家/地区。此决定与您在规则中用于确定原产国的任何逻辑无关。 AWS WAF 确定 IPs使用 MaxMind GeoIP 数据库的位置。 |
| `Attack` | 根据您在 Web ACL 中使用的规则和规则组,在请求中 AWS WAF 识别的攻击类型。 您的规则和基准 AWS 托管规则组中的规则可以识别攻击类型。例如,跨站脚本攻击(XSS)规则匹配标识 XSS 攻击类型,基于速率的规则识别容量攻击类型。攻击类型通常表示终止 web 请求评估的规则类型。 |
| `Device` | 发送请求的客户端的设备类型,从 web 请求的 `user-agent` 标头中获取。 |
| `LoadBalancerArn` | 负载均衡器的 Amazon 资源名称(ARN)。 |
| `LoadBalancerArnAvailabilityZone` | 负载均衡器 ARN 和可用区的组合。 |
| `ManagedRuleGroup` | `ManagedRuleGroup` 的指标名称。 |
| `ManagedRuleGroupRule` | `ManagedRuleGroup` 中已匹配的规则。 |
| `VulnerabilityCategory` | 请求匹配的漏洞类别,基于 AWS 托管规则 IP 集。 |
## 标签指标和维度
根据您的规则和您在保护包(web ACL)中使用的托管规则组在评估期间向请求添加的标签的指标。有关信息,请参阅[Web 请求标签](waf-labels.md)。
对于任何一个 Web 请求,最多可 AWS WAF 存储 100 个标签的指标。保护包(web ACL)评估可以应用 100 多个标签,并与 100 多个标签进行匹配,但只有前 100 个标签会反映在指标中。
**标签指标**
| 指标 | 说明 |
| --- | --- |
| `AllowedRequests` | Allow 应用了操作设置的 web 请求上的标签数量。在 web 请求评估期间,可以随时添加标签。 报告标准:有非零值。 有效统计数据:Sum |
| `BlockedRequests` | Block 应用了操作设置的 web 请求上的标签数量。在 web 请求评估期间,可以随时添加标签。 报告标准:有非零值。 有效统计数据:Sum |
| `CountedRequests` | 具有 Count 操作设置的规则组规则向 web 请求添加的标签数量。 此指标仅适用于规则组的所有者,适用于规则组内的规则。对于其他情况,计数标签指标会汇总到应用于请求的终止操作中,例如 Allow 或 Block。 报告标准:有非零值。 有效统计数据:Sum |
| `CaptchaRequests` | 已应用终止 CAPTCHA 操作的 web 请求上的标签数量。在 web 请求评估期间,可以随时添加标签。 报告标准:有非零值。 有效统计数据:Sum |
| `ChallengeRequests` | 已应用终止 Challenge 操作的 web 请求上的标签数量。在 web 请求评估期间,可以随时添加标签。 报告标准:有非零值。 有效统计数据:Sum |
| `AllowRuleMatch` | 生成相关标签并通过 Allow 操作终止了请求评估的匹配规则数。 报告标准:有非零值。 有效统计数据:Sum |
| `BlockRuleMatch` | 生成相关标签并通过 Block 操作终止了请求评估的匹配规则数。 报告标准:有非零值。 有效统计数据:Sum |
| `CountRuleMatch` | 生成相关标签并应用了 Count 操作的匹配规则数。 如果多条规则配置了相同的标签和操作,则一个请求可能会导致该指标产生多个实例。 报告标准:有非零值。 有效统计数据:Sum |
| `CaptchaRuleMatch` | 生成相关标签并通过 CAPTCHA 操作终止了请求评估的匹配规则数。 报告标准:有非零值。 有效统计数据:Sum |
| `ChallengeRuleMatch` | 生成相关标签并通过 Challenge 操作终止了请求评估的匹配规则数。 报告标准:有非零值。 有效统计数据:Sum |
| `CaptchaRuleMatchWithValidToken` | 生成相关标签并应用非终止性 CAPTCHA 操作的匹配规则数。 如果多条规则配置了相同的标签和操作,则一个请求可能会导致该指标产生多个实例。 报告标准:有非零值。 有效统计数据:Sum |
| `ChallengeRuleMatchWithValidToken` | 生成相关标签并应用非终止性 Challenge 操作的匹配规则数。 如果多条规则配置了相同的标签和操作,则一个请求可能会导致该指标产生多个实例。 报告标准:有非零值。 有效统计数据:Sum |
**标签维度**
| 维度 | 说明 |
| --- | --- |
| `Region` | 除 Amazon CloudFront 分配以外的所有受保护资源类型均为必填项。 |
| `RuleGroup` | `RuleGroup` 的指标名称。用于指标 `CountedRequests` |
| `WebACL` | `WebACL` 的指标名称。 |
| `ResourceType` | 受保护资源的类型,例如 `CF`、`APIGW` 或 `ALB`。 |
| `Resource` | 受保护资源的 Amazon 资源名称(ARN)。 |
| `LabelNamespace` | 添加到请求中的标签的命名空间前缀。 |
| `Label` | 添加到请求中的标签的名称。 |
| `Context` | 作为标签添加上下文的托管规则组。例如,令牌管理标签的上下文,例如awswaf:managed:token:accepted对请求使用令牌管理的 AWS WAF 托管规则组,例如 Bot Control 或 ATP 托管规则组。该维度不适用于所有标签。 |
## 免费机器人可见性指标和维度
当您在保护包(Web ACL)中未使用机器人控制时,可以将机器人控制托管规则组 AWS WAF 应用于您的 Web 请求样本,无需支付额外费用。这可以让您了解流向受保护资源的机器人流量。有关机器人控制功能的详细信息,请参阅 [AWS WAF 机器人控制规则组](aws-managed-rule-groups-bot.md)。
**免费机器人可见度指标**
| 指标 | 说明 |
| --- | --- |
| `SampleAllowedRequest` | 已执行 Allow 操作的抽样请求的次数。 报告标准:有非零值。 有效统计数据:Sum |
| `SampleBlockedRequest` | 已执行 Block 操作的抽样请求的次数。 报告标准:有非零值。 有效统计数据:Sum |
| `SampleCaptchaRequest` | 已执行 CAPTCHA 操作的抽样请求的次数。 报告标准:有非零值。 有效统计数据:Sum |
| `SampleChallengeRequest` | 已执行 Challenge 操作的抽样请求的次数。 报告标准:有非零值。 有效统计数据:Sum |
| `SampleCountRequest` | 已执行 Count 操作的抽样请求的次数。 报告标准:有非零值。 有效统计数据:Sum |
**免费机器人可见度维度**
| 维度 | 说明 |
| --- | --- |
| `Region` | 除 Amazon CloudFront 分配以外的所有受保护资源类型均为必填项。 |
| `WebACL` | `WebACL` 的指标名称。 |
| `BotCategory` | 检测到的机器人类别的名称,基于网络请求标签。 |
| `VerificationStatus` | 检测到的机器人验证状态的名称,基于网络请求标签。 |
| `Signal` | 检测到的机器人信号的名称,基于网络请求标签。 |
## 账户指标和维度
账户指标提供有关通过 API 提供的 CAPTCHA 难题和静默Challenge规则操作的账户范围信息。 JavaScript
**账户指标**
| 指标 | 说明 |
| --- | --- |
| `CaptchasAttemptedSdk` | 对于通过 CAPTCHA API 提供的谜题,最终用户为响应 CAPTCHA 拼图挑战而提交的解决方案数量。 JavaScript 报告标准:有非零值。 有效统计数据:Sum |
| `CaptchasSolvedSdk` | 对于通过 CAPTCHA API 提供的谜题,提交的成功解开谜题的 CAP JavaScript TCHA 拼图解决方案的数量。 报告标准:有非零值。 有效统计数据:Sum |
| `ChallengesAttemptedSdk` | 最终用户为响应 Challenge JavaScript API 提供的静默质询而提交的尝试次数。 报告标准:有非零值。 有效统计数据:Sum |
| `ChallengesSolvedSdk` | 已提交的成功通过 Challenge JavaScript API 提供的静默挑战的静默挑战解决方案的数量。 报告标准:有非零值。 有效统计数据:Sum |
**账户维度**
| 维度 | 说明 |
| --- | --- |
| `Region` | 除 Amazon CloudFront 分配以外的所有受保护资源类型均为必填项。 |
## AWS WAF 使用量指标
您可以使用 CloudWatch 使用量指标来了解您的账户的资源使用情况。使用这些指标在 CloudWatch 图表和仪表板上可视化您当前的服务使用情况。
AWS WAF 使用量指标对应于 AWS 服务配额。您可以配置警报,以在用量接近服务配额时向您发出警报。有关与服务配额 CloudWatch 集成的更多信息,请参阅 *Amazon CloudWatch 用户指南中的[AWS 使用量指标](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Service-Quota-Integration.html)。*
AWS WAF 在`AWS/Usage`命名空间中发布以下指标。
**使用情况指标**
| 指标 | 说明 |
| --- | --- |
| `ResourceCount` | 您账户中指定资源的数量。资源由与指标关联的维度定义。 此指标最有用的统计数据是 `MAXIMUM`,这表示 1 分钟期间内使用的最大资源数。 |
以下维度用于细化发布的使用量指标 AWS WAF。
**用量维度**
| 维度 | 说明 |
| --- | --- |
| `Resource` | 报告用量的资源类型。 |
以下是 `Resource` 维度的支持值。
**`Resource` 值**
| 值 | 说明 |
| --- | --- |
| `WebAclsPerAccountCloudFront` | 客户在 CloudFront 每个账户中拥有的保护包(网络 ACLs)数量。只有当中至少有一个保护包 (Web ACL) 时,此指标才可用 CloudFront。 |
| `WebAclsPerAccountRegional` | 客户每个账户在一个区域内拥有的保护包(网络 ACLs)数量。此指标仅在该区域中至少有一个保护包(web ACL)时可用。 |
| `RuleGroupsPerAccountCloudFront` | 客户在 CloudFront 每个账户中拥有的规则组数量。仅当中至少有一个规则组时,此指标才可用 CloudFront。 |
| `RuleGroupsPerAccountRegional` | 客户在区域中每个账户拥有的规则组数量。此指标仅在该区域中至少有一个规则组时可用。 |
| `IpSetsPerAccountCloudFront` | 客户在 CloudFront 每个账户中拥有的 IP 集数。此指标仅在中设置了至少一个 IP 时才可用 CloudFront。 |
| `IpSetsPerAccountRegional` | 客户在区域中每个账户拥有的 IP 集数量。此指标仅在该区域中至少有一个 IP 集时可用。 |
| `RegexPatternSetsPerAccountCloudFront` | 客户在每个账户中拥有的正则表达式模式集的 CloudFront 数量。仅当中设置了至少一个正则表达式模式时,此指标才可用。 CloudFront |
| `RegexPatternSetsPerAccountRegional` | 客户在区域中每个账户拥有的正则表达式模式集数量。此指标仅在该区域中至少有一个正则表达式模式集时可用。 |
# AWS Shield Advanced 指标
Shield Advanced 会发布其保护的所有资源的亚马逊 CloudWatch 检测、缓解和主要贡献者指标。这些指标使您可以为资源创建和配置 CloudWatch 仪表板和警报,从而提高您监控资源的能力。
Shield Advanced 控制台提供了其记录的众多指标的摘要。有关信息,请参阅[使用 Shield Advanced 查看 DDo S 事件](ddos-viewing-events.md)。
如果您为应用层保护启用自动应用层 DDo S 缓解,Shield Advanced 会在您的保护包(Web ACL)中添加一个规则组,用于管理自动保护。此规则组生成 AWS WAF 指标,但无法查看。这与您在保护包 (Web ACL) 中使用但不拥有的任何其他规则组相同,例如 AWS 托管规则规则组。有关 AWS WAF 指标的更多信息,请参阅[AWS WAF 指标和维度](waf-metrics.md)。有关该 Shield Advanced 保护选项的信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。
**指标报告位置**
Shield Advanced 报告的美国东部(弗吉尼亚州北部)区域 `us-east-1` 的指标如下:
+ 全球服务亚马逊 CloudFront 和亚马逊 Route 53。
+ 保护组 有关保护组的信息,请参阅 [对您的 AWS Shield Advanced 保护进行分组](ddos-protection-groups.md)。
对于其他资源类型,Shield Advanced 会报告资源所在区域的指标。
**报告指标的时间**
Shield Advanced CloudWatch 在 DDo S 事件期间向亚马逊报告 AWS 资源指标的频率要高于没有事件发生时的频率。Shield Advanced 在活动期间每分钟报告一次指标,然后在活动结束后立即报告一次。
在没有事件的情况下,Shield Advanced 会每天报告一次分配给指定资源的指标。此定期报告可保持指标处于活动状态,可在自定义 CloudWatch 警报和仪表板中使用。
**警报推荐**
我们建议您创建警报,以通知您需要注意的情况。首先,您可以为每个受保护的资源创建一个警报,在 `DDoSDetected` 检测指标不为零时进行报告。此指标中的非零值并不一定表示正在进行 DDo S 攻击,但我们建议在指标处于此状态时仔细查看资源状态。
对于请求泛洪,我们建议您为综合检查创建警报,同时考虑应用程序运行状况和 web 请求量等因素。您可以选择对报告不同攻击向量维度的流量的其他三个指标发出警报。通过考虑应用程序的容量并在流量接近应用程序限制时发出警报,您可以创建一组规则,在需要时通知您,而不会产生太多不必要的噪音。
**Topics**
+ [检测指标](#ddos-metrics-detection)
+ [缓解指标](#ddos-metrics-mitigation)
+ [排名靠前的贡献者指标](#ddos-metrics-top-contributors)
## 检测指标
Shield Advanced 在 `AWS/DDoSProtection` 命名空间中提供指标和维度。
**检测指标**
| 指标 | 说明 |
| --- | --- |
| DDoSDetected | 表示特定的 Amazon 资源名称 (ARN) 是否正在发生 DDo S 事件。在事件发生期间,此指标的值为非零。 |
| DDoSAttackBitsPerSecond | 在 DDo S 事件期间观察到的特定亚马逊资源名称 (ARN) 的位数。此指标仅适用于网络和传输层(第 3 层和第 4 层) DDoS 事件。在事件发生期间,此指标的值为非零。单位:位 |
| DDoSAttackPacketsPerSecond | 在 DDo S 事件期间观察到的针对特定 Amazon 资源名称 (ARN) 的数据包数量。此指标仅适用于网络和传输层(第 3 层和第 4 层) DDoS 事件。在事件发生期间,此指标的值为非零。单位:数据包 |
| DDoSAttackRequestsPerSecond | 在 DDo S 事件期间观察到的针对特定 Amazon 资源名称 (ARN) 的请求数。此指标仅适用于第 7 层 DDo S 事件。仅针对最重要的第 7 层事件报告指标。在事件发生期间,此指标的值为非零。单位:请求 |
| DDoSAttackRequests | 在 DDo S 事件期间观察到的针对特定 Amazon 资源名称 (ARN) 的请求数。此指标仅适用于反 DDo S 托管规则 (AMR) DDo S 事件。此指标位于 AWS/WAFV2 命名空间中,并且在事件期间具有非零值。单位:请求 |
Shield Advanced 发布不具有其他维度的 `DDoSDetected` 指标。其余的检测指标包括以下列表中与攻击类型相对应的 `AttackVector` 维度:
+ `ACKFlood`
+ `ChargenReflection`
+ `DNSReflection`
+ AWS/WAFV2
+ `GenericUDPReflection`
+ `MemcachedReflection`
+ `MSSQLReflection`
+ `NetBIOSReflection`
+ `NTPReflection`
+ `PortMapper`
+ `RequestFlood`
+ `RIPReflection`
+ `SNMPReflection`
+ `SSDPReflection`
+ `SYNFlood`
+ `UDPFragment`
+ `UDPTraffic`
+ `UDPReflection`
## 缓解指标
Shield Advanced 在 `AWS/DDoSProtection` 命名空间中提供指标和维度。
**缓解指标**
| 指标 | 说明 |
| --- | --- |
| VolumePacketsPerSecond | 为响应检测到的事件而部署的缓解措施每秒丢弃或通过的数据包数量。单位:数据包 |
**缓解维度**
| 维度 | 说明 |
| --- | --- |
| `ResourceArn` | Amazon 资源名称(ARN) |
| `MitigationAction` | 应用缓解措施的结果。可能的值为 `Pass` 或 `Drop`。 |
## 排名靠前的贡献者指标
Shield Advanced 在 `AWS/DDoSProtection` 命名空间中提供指标。
**排名靠前的贡献者指标**
| 指标 | 说明 |
| --- | --- |
| VolumePacketsPerSecond | 排名靠前的贡献者的每秒数据包数。单位:数据包 |
| VolumeBitsPerSecond | 排名靠前的贡献者的每秒比特数。单位:位 |
Shield Advanced 按代表事件贡献者的维度组合发布排名靠前的贡献者的指标。您能够将以下维度组合作为排名靠前的贡献者的指标使用:
+ `ResourceArn`, `Protocol`
+ `ResourceArn`, `Protocol`, `SourcePort`
+ `ResourceArn`, `Protocol`, `DestinationPort`
+ `ResourceArn`, `Protocol`, `SourceIp`
+ `ResourceArn`, `Protocol`, `SourceAsn`
+ `ResourceArn`, `TcpFlags`
**排名靠前的贡献者维度**
| 维度 | 说明 |
| --- | --- |
| `ResourceArn` | Amazon 资源名称(ARN)。 |
| `Protocol` | IP 协议名称,`TCP` 或 `UDP`。 |
| `SourcePort` | 源 TCP 或 UDP 端口。 |
| `DestinationPort` | 目标 TCP 或 UDP 端口。 |
| `SourceIp` | 源 IP 地址 |
| `SourceAsn` | 源自治系统号(ASN)。 |
| `TcpFlags ` | TCP 数据包中存在的标志组合,用短划线 (`-`) 分隔。受监控的标志是 `ACK`、`FIN`、`RST`、`SYN`。此维度值始终按字母顺序显示。例如:`ACK-FIN-RST-SYN`、`ACK-SYN` 和 `FIN-RST`。 |
# AWS Firewall Manager 通知
AWS Firewall Manager 不记录指标,因此您无法专门为 Firewall Manager 创建亚马逊 CloudWatch 警报。但是,您可以配置 Amazon SNS 通知以提醒您有潜在攻击。要在 Firewall Manager 中创建 Amazon SNS 通知,请参阅 [第 4 步:配置亚马逊 SNS 通知和亚马逊警报 CloudWatch](getting-started-fms-shield.md#get-started-fms-shield-cloudwatch)。