通过Amazon 监控 CloudWatch - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过Amazon 监控 CloudWatch

您可以使用亚马逊监控网络请求、Web ACL 和规则 CloudWatch,用于收集和处理来自以下来源的原始数据Amazon WAF和Amazon Shield Advanced转换便于读取的近乎实时的指标。您可以在亚马逊中使用统计数据 CloudWatch 了解您的 Web 应用程序或服务的执行情况。有关更多信息,请参阅 。是什么 CloudWatch中的亚马逊 CloudWatch 用户指南.

注意

CloudWatch 没有为Firewall Manager 启用指标和警报。

创建Amazon CloudWatch 警报

你可以创建Amazon CloudWatch 警报,用于在警报改变状态时发送 Amazon SNS 消息。警报会监控某个指标在一定时间段 (由您指定) 的变化情况,并根据相对于指定阈值的指标值每隔若干个时间段执行一项或多项操作。操作是一个发送到 Amazon SNS 主题或 Auto Scaling 策略的通知。警报只会调用操作进行持续的状态变更。 CloudWatch 警报将不会调用操作,因为这些操作处于特定状态,该状态必须改变并在指定数量的时间段内一直保持。

Amazon WAF 和 Amazon Shield Advanced 的指标与维度

指标的分组首先依据服务命名空间,然后依据每个命名空间内的各种维度组合。

  • 这些区域有:Amazon WAF命名空间是AWS/WAFV2

  • Shield 高级命名空间是AWS/DDoSProtection

注意

Amazon WAF一分钟报告一次指标。

Shield Advanced 在活动期间每分钟报告一次指标,而在其他时间则不那么频繁地报告指标。

按照以下过程查看的指标Amazon WAF和Amazon Shield Advanced.

使用 查看指标 CloudWatch 控制台

  1. 登录到Amazon Web Services Management Console打开 CloudWatch 控制台https://console.aws.amazon.com/cloudwatch/.

  2. 如果需要,可以更改区域,可以更改您的Amazon资源已找到。适用于 CloudFront,可以更改为 US East (N. Virginia) 区域。

  3. 在导航窗格中的下指标,选择所有指标然后在浏览选项卡上的服务。

使用Amazon CLI 查看指标

  • 对于 AWS/WAFV2,在命令提示符处使用以下命令:

    aws cloudwatch list-metrics --namespace "AWS/WAFV2"

    对于 Shield Advanced,在命令提示符处使用以下命令:

    aws cloudwatch list-metrics --namespace "AWS/DDoSProtection"

Amazon WAF 指标和维度

Amazon WAF一分钟报告一次指标。Amazon WAF在AWS/WAFV2命名空间。

Web ACL、规则组和规则衡量指标
指标 描述

AllowedRequests

允许的 Web 请求数。

报告标准:有非零值。

有效统计数据:总计

BlockedRequests

阻止的 Web 请求数。

报告标准:有非零值。

有效统计数据:总计

CountedRequests

计数的 Web 请求数。

报告标准:有非零值。

已计数的 Web 请求是至少匹配了一个规则的请求。请求计数通常用于测试。

有效统计数据:总计

CaptchaRequests

有的 Web 请求数CAPTCHA已应用控件。

报告标准:有非零值。

一个CAPTCHAWeb 请求是一个匹配具有以下内容的规则的请求CAPTCHA动作设置。此指标记录所有匹配的请求,无论它们是否具有有效的CAPTCHA令牌。

有效统计数据:总计

RequestsWithValidCaptchaToken

有的 Web 请求数CAPTCHA应用了控件,并且该控件具有有效的CAPTCHA令牌。

报告标准:有非零值。

有效统计数据:总计

PassedRequests

传递的请求数。这仅用于通过规则组评估但未匹配任何规则组规则的请求。

报告标准:有非零值。

传递的请求是与规则组中的任何规则不匹配的请求。

有效统计数据:总计

Web ACL、规则组和规则维度
维度 描述

Region

除 Amazon 之外的所有受保护资源类型均为必填项 CloudFront分配。

Rule

下列情况之一:

  • Rule 的指标名称。

  • ALL,表示 WebACL 或 RuleGroup 中的所有规则。

  • Default_Action(仅当与 WebACL 维度组合时),表示分配给不符合与允许或阻止操作相关的任何规则的任何请求的操作。

RuleGroup

RuleGroup 的指标名称。

WebACL

WebACL 的指标名称。

注意

对于任何单个 Web 请求,Amazon WAF最多发出 100 个标签的量度。您的 Web ACL 评估可以应用超过 100 个标签并与超过 100 个标签进行匹配,但只有前 100 个标签会反映在这些指标中。

LabelAmazon WAF自动程序控制指标
指标 描述

AllowedRequests

具有允许操作设置的规则应用于 Web 请求的标签数。

报告标准:有非零值。

有效统计数据:总计

BlockedRequests

具有阻止操作设置的规则应用于 Web 请求的标签数。

报告标准:有非零值。

有效统计数据:总计

CountedRequests

具有计数操作设置的规则应用于 Web 请求的标签数。

报告标准:有非零值。

有效统计数据:总计

CaptchaRequests

规则应用于 Web 请求的标签数量CAPTCHA动作设置。

报告标准:有非零值。

有效统计数据:总计

LabelAmazon WAF自动程序控制维度
维度 描述

Region

除 Amazon 之外的所有受保护资源类型均为必填项 CloudFront分配。

WebACL

WebACL 的指标名称。

RuleGroup

RuleGroup 的指标名称。用于指标CountedRequests.

LabelNamespace

指定匹配规则的 Web ACL 或规则组的命名空间前缀。用于衡量指标AllowedRequestsBlockedRequests.

Label

匹配规则应用于 Web 请求的标签。用于衡量指标AllowedRequestsBlockedRequests.
免费机器人可见度指标
指标 描述

SampleAllowedRequests

具有允许操作的抽样请求的百分比。

报告标准:有非零值。

有效统计数据:总计

SampleBlockedRequests

具有阻止操作的抽样请求的百分比。

报告标准:有非零值。

有效统计数据:总计

免费机器人可见性尺寸
维度 描述

Region

除 Amazon 之外的所有受保护资源类型均为必填项 CloudFront分配。

WebACL

WebACL 的指标名称。

BotCategory

检测到的机器人类别的指标名称,基于 Web 请求标签。

Amazon Shield Advanced 指标和警报

此部分会讨论 Amazon Shield Advanced 提供的指标和警报。

Amazon Shield Advanced 指标

Shield 高级向亚马逊报告指标 CloudWatch 在一个AmazonDDoS 事件期间资源的频率高于没有事件正在进行时的频率。Shield Advanced 在活动期间每分钟报告一次指标,然后在活动结束后立即报告一次。在没有事件的情况下,Shield Advanced 会每天报告一次分配给指定资源的指标。此定期报告使指标保持活动状态并可用于自定义 CloudWatch 警报。

Shield Advanced 报告了美国东部(弗吉尼亚北部)区域的指标,us-east-1用于以下内容:

检测指标

Shield Advanced 在AWS/DDoSProtection命名空间。

检测指标
指标 描述
DDoSDetected 指示特定 Amazon 资源名称 (ARN) 的 DDoS 事件是否正在进行中。

该指标在事件期间具有非零值。

DDoSAttackBitsPerSecond 特定 Amazon 资源名称 (ARN) 的 DDoS 事件期间观察到的位数。该指标仅适用于网络和传输层 (第 3 层和第 4 层) DDoS 事件。

该指标在事件期间具有非零值。

单位:Bits

DDoSAttackPacketsPerSecond 特定 Amazon 资源名称 (ARN) 的 DDoS 事件期间观察到的数据包数。该指标仅适用于网络和传输层 (第 3 层和第 4 层) DDoS 事件。

该指标在事件期间具有非零值。

单位:pack

DDoSAttackRequestsPerSecond 特定 Amazon 资源名称 (ARN) 的 DDoS 事件期间观察到的请求数。该指标仅适用于第 7 层 DDoS 事件。仅针对最重要的第 7 层事件报告指标。

该指标在事件期间具有非零值。

单位:请求

Shield AdvanceDDoSDetected不具有其他维度的指标。其余的检测指标包括AttackVector与攻击类型相对应的维度,来自以下列表:

  • ACKFlood

  • ChargenReflection

  • DNSReflection

  • GenericUDPReflection

  • MemcachedReflection

  • MSSQLReflection

  • NetBIOSReflection

  • NTPReflection

  • PortMapper

  • RequestFlood

  • RIPReflection

  • SNMPReflection

  • SSDPReflection

  • SYNFlood

  • UDPFragment

  • UDPTraffic

  • UDPReflection

缓解措施示例

Shield Advanced 在AWS/DDoSProtection命名空间。

缓解措施示例
指标 描述
VolumePacketsPerSecond 为响应检测到的事件而部署的缓解措施每秒丢弃或传递的数据包数。

单位:数据包

缓解措施维度
维度 描述

ResourceArn

Amazon Resource Name (ARN)

MitigationAction

应用缓解的结果。可能的值为 PassDrop

排名靠前的贡献指标

Shield Advanced 在AWS/DDoSProtection命名空间。

排名靠前的贡献指标
指标 描述
VolumePacketsPerSecond 最大贡献者每秒的数据包数。

单位:数据包

VolumeBitsPerSecond 最高贡献者每秒的位数。

单位:位

Shield Advanced 按维度组合发布了表现事件贡献者特征的顶级贡献者指标。您可以将以下任意维度组合用于任何主要贡献者指标:

  • ResourceArn, Protocol

  • ResourceArn, Protocol, SourcePort

  • ResourceArn, Protocol, DestinationPort

  • ResourceArn, Protocol, SourceIp

  • ResourceArn, Protocol, SourceAsn

  • ResourceArn, TcpFlags

排名靠前的贡献维度
维度 描述

ResourceArn

Amazon 资源名称 (ARN)。

Protocol

IP 协议名称TCP要么UDP.

SourcePort

源 TCP 或 UDP 端口。

DestinationPort

目标 TCP 或 UDP 端口。

SourceIp

源 IP 地址。

SourceAsn

源自治系统编号 (ASN)。

TcpFlags

TCP 数据包中存在的标志组合,用短划线 (-)。监控的标记是ACKFINRSTSYN. 此维度值始终按字母顺序显示。例如:ACK-FIN-RST-SYNACK-SYNFIN-RST

创建 Amazon Shield Advanced 警报

您可以使用Amazon Shield AdvancedAmazon 指标 CloudWatch 警报。 CloudWatch 可根据您定义的规则发送通知或者对您所监控的资源自动进行更改。

有关创建 CloudWatch 警报,请参阅亚马逊 CloudWatch 用户指南. 在上创建警报时 CloudWatch 控制台,以使用 Shield Advanced 指标,然后选择创建警报,选择AWSDDOSProtectionMetrics. 然后,您可以根据特定的流量创建警报,也可以在指标为非零时触发警报。第二个选项会针对Shield Advanced观察到的任何潜在攻击触发警报。

注意

这些区域有:AWSDDOSProtectionMetrics仅适用于Shield 高级客户。

有关更多信息,请参阅 。是什么 CloudWatch中的亚马逊 CloudWatch 用户指南.

Amazon Firewall Manager 通知

Amazon Firewall Manager不记录指标,因此您无法创建亚马逊 CloudWatch 专门针对Firewall Manager 的警报。但是,您可以配置Amazon SNS通知以提醒您有潜在攻击。要在Firewall Manager 中创建 Amazon SNS 通知,请参阅第 4 步:配置 Amazon SNS 通知和 Amazon CloudWatch 警报.