**推出 的新主控台體驗 AWS WAF** 您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 監控和調校您的 AWS WAF 保護 監控和調整您的 AWS WAF 保護。 **注意** 若要遵循本節中的指引,您需要大致了解如何建立和管理 AWS WAF 保護,例如保護套件 (Web ACLs)、規則和規則群組。本指南稍早章節會介紹該資訊。 監控 Web 流量和規則相符項目,以驗證保護套件 (Web ACL) 的行為。如果您發現問題,請調整您的規則以更正,然後監控 以驗證調整。 重複下列程序,直到保護套件 (Web ACL) 視需要管理您的 Web 流量為止。 **監控和調校** 1. **監控流量和規則相符項目** 請確定流量正在流動,而且您的測試規則正在尋找相符的請求。 尋找以下資訊,了解您正在測試的保護: + **日誌** – 存取符合 Web 請求之規則的相關資訊: + **您的規則** - 保護套件 (Web ACL) 中具有 Count 動作的規則會列在 下`nonTerminatingMatchingRules`。具有 Allow或 的規則Block會列為 `terminatingRule`。具有 CAPTCHA或 的規則Challenge可以終止或非終止,因此會根據規則比對的結果,列在兩個類別的其中之一下。 + **規則群組** - 規則群組會在 `ruleGroupId` 欄位中識別,其規則符合與獨立規則的分類相同。 + **標籤** - 規則已套用至請求的標籤會列在 `Labels` 欄位中。 如需詳細資訊,請參閱[保護套件 (Web ACL) 流量的日誌欄位](logging-fields.md)。 + **Amazon CloudWatch 指標** – 您可以存取以下用於保護套件 (Web ACL) 請求評估的指標。 + **您的規則** – 指標會依規則動作分組。例如,當您在 Count 模式下測試規則時,其相符項目會列為保護套件 (Web ACL) 的`Count`指標。 + **您的規則群組** – 規則群組的指標會列在規則群組指標下。 + **另一個帳戶擁有的規則群組** – 規則群組指標通常只有規則群組擁有者可見。不過,如果您覆寫規則的規則動作,則該規則的指標會列在您的保護套件 (Web ACL) 指標下。此外,任何規則群組新增的標籤都會列在您的保護套件 (Web ACL) 指標中。 規則群組中的計數動作規則不會發出 Web ACL 維度指標 - 僅限規則、RuleGroup 和區域維度。即使在 Web ACL 中參考規則群組,這也適用。 此類別中的規則群組是 [AWS 的受管規則 AWS WAF](aws-managed-rule-groups.md)、[辨識其他服務提供的規則群組](waf-service-owned-rule-groups.md)、 [AWS Marketplace 規則群組](marketplace-rule-groups.md)和規則群組,這些群組由另一個帳戶與您共用。透過 Firewall Manager 部署保護套件 (Web ACL) 時,WebACL 中具有計數動作的任何規則都不會在成員帳戶中顯示其指標。 + **標籤** - 在評估期間新增至 Web 請求的標籤會列在保護套件 (Web ACL) 標籤指標中。您可以存取所有標籤的指標,無論它們是由您的規則和規則群組新增,還是由另一個帳戶擁有的規則群組中的規則新增。 如需詳細資訊,請參閱[檢視 Web ACL 的指標](web-acl-testing-view-metrics.md)。 + **保護套件 (Web ACL) 流量概觀儀表板** – 存取保護套件 (Web ACL) 已評估的 Web 流量摘要,方法是前往 AWS WAF 主控台中的保護套件 (Web ACL) 頁面並開啟**流量概觀**索引標籤。 流量概觀儀表板提供近乎即時的 Amazon CloudWatch 指標摘要,這些指標會在評估應用程式 Web 流量時 AWS WAF 收集。 如需詳細資訊,請參閱[保護套件的流量概觀儀表板 (Web ACLs)](web-acl-dashboards.md)。 + **抽樣 Web 請求** – 存取符合 Web 請求抽樣之規則的資訊。範例資訊會依保護套件 (Web ACL) 中規則的指標名稱來識別相符的規則。對於規則群組,指標會識別規則群組參考陳述式。對於規則群組內的規則,範例會列出 中的相符規則名稱`RuleWithinRuleGroup`。 如需詳細資訊,請參閱[檢視 Web 請求的範例](web-acl-testing-view-sample.md)。 1. **設定緩解措施以解決誤判** 如果您判斷規則正在產生誤報,則透過比對不應該產生的 Web 請求,下列選項可協助您調整保護套件 (Web ACL) 保護以減輕錯誤。 **更正規則檢查條件** 對於您自己的規則,您通常只需要調整您用來檢查 Web 請求的設定。範例包括變更規則運算式模式集中的規格、調整您在檢查前套用至請求元件的文字轉換,或使用轉送的 IP 地址切換到 。請參閱 下導致問題的規則類型指引[在 中使用規則陳述式 AWS WAF](waf-rule-statements.md)。 **修正更複雜的問題** 對於您無法控制的檢查條件和某些複雜的規則,您可能需要進行其他變更,例如新增明確允許或封鎖請求的規則,或消除有問題規則評估的請求。受管規則群組通常需要這種類型的緩解措施,但其他規則也可能需要。範例包括速率型規則陳述式和 SQL Injection 攻擊規則陳述式。 如何緩解誤報取決於您的使用案例。以下是常見的方法: + **新增緩解規則** – 新增在新規則之前執行的規則,並明確允許導致誤報的請求。如需 Web ACL 中規則評估順序的資訊,請參閱 [設定規則優先順序](web-acl-processing-order.md)。 透過此方法,允許的請求會傳送至受保護的資源,因此永遠不會到達新規則進行評估。如果新規則是付費的受管規則群組,此方法也有助於包含使用規則群組的成本。 + **新增具有緩解規則的邏輯規則** – 使用邏輯規則陳述式將新規則與排除誤報的規則結合。如需相關資訊,請參閱[在 中使用邏輯規則陳述式 AWS WAF](waf-rule-statements-logical.md)。 例如,假設您要新增 SQL Injection 攻擊比對陳述式,該陳述式會為某個類別的請求產生誤報。建立符合這些請求的規則,然後使用邏輯規則陳述式合併規則,以便僅在不符合誤報條件且確實符合 SQL Injection 攻擊條件的請求上進行比對。 + **新增縮小範圍陳述式** – 對於以速率為基礎的陳述式和受管規則群組參考陳述式,透過在主要陳述式中新增縮小範圍陳述式,排除導致誤報的請求。 不符合範圍縮小陳述式的請求絕不會達到規則群組或速率型評估。如需縮小範圍陳述式的詳細資訊,請參閱 [在 中使用縮小範圍陳述式 AWS WAF](waf-rule-scope-down-statements.md)。如需範例,請參閱 [從機器人管理排除 IP 範圍](waf-bot-control-example-scope-down-ip.md)。 + **新增標籤比對規則** – 對於使用標籤的規則群組,請識別有問題規則套用至請求的標籤。如果您尚未這麼做,您可能需要先在計數模式中設定規則群組規則。新增標籤比對規則,定位為在規則群組之後執行,比對有問題的規則所新增的標籤。在標籤比對規則中,您可以從要封鎖的請求中篩選要允許的請求。 如果您使用此方法,在完成測試時,請將有問題的規則保留在規則群組中的計數模式中,並保留您的自訂標籤比對規則。如需標籤比對陳述式的詳細資訊,請參閱 [標籤比對規則陳述式](waf-rule-statement-type-label-match.md)。如需範例,請參閱 [允許特定封鎖的機器人](waf-bot-control-example-allow-blocked-bot.md) 和 [ATP 範例:針對遺失和洩露的登入資料進行自訂處理](waf-atp-control-example-user-agent-exception.md)。 + **變更受管規則群組的版本** – 對於版本控制的受管規則群組,請變更您正在使用的版本。例如,您可以切換回您成功使用的最後一個靜態版本。 這通常是暫時修正。當您在測試或預備環境中繼續測試最新版本,或是等待供應商提供更相容的版本時,您可以變更生產流量的版本。如需受管規則群組版本的資訊,請參閱 [在 中使用受管規則群組 AWS WAF](waf-managed-rule-groups.md)。 當您確定新規則符合您需要的請求時,請移至測試的下一個階段並重複此程序。在生產環境中執行測試和調校的最後階段。