**推出 的新主控台體驗 AWS WAF**
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Shield Advanced 指標
Shield Advanced 會針對其保護的所有資源發佈 Amazon CloudWatch 偵測、緩解和最佳參與者指標。這些指標可讓您為資源建立和設定 CloudWatch 儀表板和警示,藉此改善您監控資源的能力。
Shield Advanced 主控台提供其記錄的許多指標摘要。如需相關資訊,請參閱[使用 Shield Advanced 的 DDoS 事件可見性](ddos-viewing-events.md)。
如果您為應用程式層保護啟用自動應用程式層 DDoS 緩解,Shield Advanced 會將規則群組新增至您的保護套件 (Web ACL),以用於管理自動化保護。此規則群組會產生 AWS WAF 指標,但無法檢視。這與您在保護套件 (Web ACL) 中使用的任何其他規則群組相同,但不會擁有,例如 AWS 受管規則規則群組。如需 AWS WAF 指標的詳細資訊,請參閱 [AWS WAF 指標和維度](waf-metrics.md)。如需此 Shield Advanced 保護選項的詳細資訊,請參閱 [使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)。
**指標報告位置**
Shield Advanced 會報告美國東部 (維吉尼亞北部) 區域中的指標,`us-east-1`包括下列項目:
+ 全球服務 Amazon CloudFront 和 Amazon Route 53。
+ 保護群組。如需保護群組的相關資訊,請參閱 [將您的 AWS Shield Advanced 保護分組](ddos-protection-groups.md)。
對於其他資源類型,Shield Advanced 會在資源的 區域中報告指標。
**指標報告的時機**
Shield Advanced 會在 DDoS 事件期間比沒有事件正在進行時更頻繁地向 AWS 資源上的 Amazon CloudWatch 報告指標。Shield Advanced 會在事件期間每分鐘報告一次指標,然後在事件結束後立即報告一次指標。
雖然沒有進行中的事件,但 Shield Advanced 每天在指派給資源的時間報告一次指標。此定期報告會保持指標作用中,並可用於自訂 CloudWatch 警示和儀表板。
**警示建議**
我們建議您建立警示,以通知您需要注意的情況。作為起點,您可以為每個受保護的資源建立警示,當`DDoSDetected`偵測指標為非零時報告。此指標中的非零值不一定表示 DDoS 攻擊正在進行中,但我們建議在指標處於此狀態時更仔細地查看資源狀態。
對於請求洪水,我們建議您為複合檢查建立警示,這些警示也會考慮應用程式運作狀態和 Web 請求磁碟區等因素。您可以選擇對報告各種攻擊向量維度流量的其他三個指標發出警示。透過考慮應用程式的容量,並在流量接近應用程式限制時發出警示,您可以建立一組規則,視需要通知您,而不會產生太多不必要的雜訊。
**Topics**
+ [偵測指標](#ddos-metrics-detection)
+ [緩解指標](#ddos-metrics-mitigation)
+ [最佳參與者指標](#ddos-metrics-top-contributors)
## 偵測指標
Shield Advanced 提供`AWS/DDoSProtection`命名空間中的指標和維度。
**偵測指標**
| 指標 | Description |
| --- | --- |
| DDoSDetected | 指出特定 Amazon Resource Name (ARN) 是否正遭遇 DDoS 事件。此指標在事件期間具有非零值。 |
| DDoSAttackBitsPerSecond | 在特定 Amazon Resource Name (ARN) 的 DDoS 事件期間觀察到的位元組數。此指標僅適用於網路和傳輸層 (第 3 層和第 4 層) DDoS 事件。此指標在事件期間具有非零值。單位:位元 |
| DDoSAttackPacketsPerSecond | 在特定 Amazon Resource Name (ARN) 的 DDoS 事件期間觀察到的封包數量。此指標僅適用於網路和傳輸層 (第 3 層和第 4 層) DDoS 事件。此指標在事件期間具有非零值。單位:封包數 |
| DDoSAttackRequestsPerSecond | 在特定 Amazon Resource Name (ARN) 的 DDoS 事件期間觀察到的請求數量。本指標僅適用於 layer 3/4 的 DDoS 事件。本指標只會回報為最重大的 Layer 7 事件。此指標在事件期間具有非零值。單位:請求 |
| DDoSAttackRequests | 在特定 Amazon Resource Name (ARN) 的 DDoS 事件期間觀察到的請求數量。此指標僅適用於反 DDoS 受管規則 (AMR) DDoS 事件。此指標位於 AWS/WAFV2 命名空間中,且在事件期間具有非零值。單位:請求 |
Shield Advanced `DDoSDetected` 會在沒有其他維度的情況下發佈指標。剩餘的偵測指標包括對應於攻擊類型的`AttackVector`維度,從下列清單列出:
+ `ACKFlood`
+ `ChargenReflection`
+ `DNSReflection`
+ AWS/WAFV2
+ `GenericUDPReflection`
+ `MemcachedReflection`
+ `MSSQLReflection`
+ `NetBIOSReflection`
+ `NTPReflection`
+ `PortMapper`
+ `RequestFlood`
+ `RIPReflection`
+ `SNMPReflection`
+ `SSDPReflection`
+ `SYNFlood`
+ `UDPFragment`
+ `UDPTraffic`
+ `UDPReflection`
## 緩解指標
Shield Advanced 在`AWS/DDoSProtection`命名空間中提供指標和維度。
**緩解指標**
| 指標 | Description |
| --- | --- |
| VolumePacketsPerSecond | 為回應偵測到的事件而部署的緩解措施所捨棄或傳遞的每秒封包數。單位:封包數 |
**緩解維度**
| 維度 | Description |
| --- | --- |
| `ResourceArn` | Amazon Resource Name (ARN) |
| `MitigationAction` | 套用的緩解結果。可能的值為 `Pass` 或 `Drop`。 |
## 最佳參與者指標
Shield Advanced 在 `AWS/DDoSProtection` 命名空間中提供指標。
**最佳參與者指標**
| 指標 | Description |
| --- | --- |
| VolumePacketsPerSecond | 最大貢獻者的每秒封包數。單位:封包數 |
| VolumeBitsPerSecond | 最大貢獻者的每秒位元數。單位:位元 |
Shield Advanced 會依維度組合發佈主要參與者指標,以描述事件參與者的特性。您可以將下列任何維度組合用於任何主要參與者指標:
+ `ResourceArn`, `Protocol`
+ `ResourceArn`, `Protocol`, `SourcePort`
+ `ResourceArn`, `Protocol`, `DestinationPort`
+ `ResourceArn`, `Protocol`, `SourceIp`
+ `ResourceArn`, `Protocol`, `SourceAsn`
+ `ResourceArn`, `TcpFlags`
**最佳參與者維度**
| 維度 | Description |
| --- | --- |
| `ResourceArn` | Amazon Resource Name (ARN)。 |
| `Protocol` | IP 通訊協定名稱, `TCP`或 `UDP`。 |
| `SourcePort` | 來源 TCP 或 UDP 連接埠。 |
| `DestinationPort` | 目的地 TCP 或 UDP 連接埠。 |
| `SourceIp` | 來源 IP 地址。 |
| `SourceAsn` | 來源自主系統編號 (ASN)。 |
| `TcpFlags ` | TCP 封包中存在的旗標組合,以破折號 () 分隔`-`。監控的旗標為 `ACK`、`FIN`、`RST`、`SYN`。此維度值一律會依字母順序顯示。例如:`ACK-FIN-RST-SYN`、`ACK-SYN` 和 `FIN-RST`。 |