**引入全新的主机体验 Amazon WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon WAF 指标和维度
<a name="waf-metrics"></a>

Amazon WAF 每分钟报告一次指标。 Amazon WAF 在`AWS/WAFV2`命名空间中提供指标和维度。

您可以通过 Amazon WAF 控制台在保护包 (Web ACL) 的流量概述选项卡中查看 Amazon WAF 指标的摘要信息。有关更多信息，请转到控制台或参阅 [保护包的流量概述仪表板 (Web ACLs)](web-acl-dashboards.md)。

您可以看到保护包 (Web ACLs)、规则、规则组和标签的以下指标。
+ **您的规则**：指标按照规则操作进行分组。例如，如果在 Count 模式下测试规则，则其匹配项列为保护包（web ACL）的 `Count` 指标。
+ **您的规则组**：您的规则组指标列在规则组指标下。
+ **其他账户拥有的规则组**：规则组指标通常只有规则组的所有者可见。但是，如果覆盖了某个规则的规则操作，则该规则的指标将列示在保护包（web ACL）指标下。此外，任何规则组添加的标签都会列示在您的保护包（web ACL）指标中 

  规则组中的计数操作规则不会发出 Web ACL 维度指标， RuleGroup仅发出 “规则” 和 “区域” 维度。即使在 Web ACL 中引用了规则组，这也适用。

  此类别中的规则组 [Amazon 的托管规则 Amazon WAF](aws-managed-rule-groups.md)、[Amazon Web Services Marketplace 规则组](marketplace-rule-groups.md)、[识别其他服务提供的规则组](waf-service-owned-rule-groups.md) 以及其他账户与您共享的规则组。通过 Firewall Manager 部署保护包（web ACL）时，WebACL 中使用计数操作的任何规则均不会在成员账户中显示其指标。
+ **标签**：评估期间添加到 web 请求的标签列在保护包（web ACL）的标签指标中。您可以访问所有标签的指标，无论这些指标是由您的规则和规则组添加的，还是由其他账户拥有的规则添加的。

**Topics**
+ [Amazon WAF 核心指标和维度](#waf-metrics-general)
+ [标签指标和维度](#waf-metrics-label)
+ [免费机器人可见性指标和维度](#waf-metrics-bot-free)
+ [账户指标和维度](#waf-metrics-account)
+ [Amazon WAF 使用量指标](#waf-metrics-usage)

## Amazon WAF 核心指标和维度
<a name="waf-metrics-general"></a>


**Amazon WAF 核心指标**  

| 指标 | 说明 | 
| --- | --- | 
| `AllowedRequests` | 允许的 web 请求数。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `BlockedRequests` | 阻止的 web 请求数。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `CountedRequests` | 计数的 web 请求数。<br />报告标准：有非零值。<br />已计数的 web 请求是至少匹配了一个规则的请求。请求计数通常用于测试。<br />有效统计数据：Sum | 
| `CaptchaRequests` | 应用了验证码控制的网络请求数量。它代表终止规则，不包括`RequestsWithValidCaptchaToken`。<br />报告标准：有非零值。<br />验证码 web 请求是指与具有 CAPTCHA 操作设置的规则相匹配的请求。此指标记录所有匹配的请求，无论验证码令牌是否过期、无效、缺失或具备不匹配的域。<br />有效统计数据：Sum | 
| `RequestsWithValidCaptchaToken` | 应用了验证码控件且验证码令牌有效的 web 请求数量。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `CaptchasAttempted` | 最终用户为响应验证码拼图挑战而提交的解决方案数量。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `CaptchasSolved` | 已提交的成功完成的验证码拼图解决方案的数量。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `ChallengeRequests` | 应用了质询控件的 web 请求数量。它代表终止规则，不包括`RequestsWithValidChallengeToken`。<br />报告标准：有非零值。<br />质询 web 请求是指与具有 Challenge 操作设置的规则相匹配的请求。此指标记录所有匹配的请求，无论质询令牌是否过期、无效、缺失或具备不匹配的域。<br />有效统计数据：Sum | 
| `ChallengesAttempted` | 最终用户为响应由提供的静默质询而提交的尝试次数 Amazon WAF。这包括Challenge规则操作提供的挑战，以及在没有代币存在时作为CAPTCHA操作一部分运行的挑战。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `ChallengesSolved` | 提交的成功通过无声挑战的无声挑战解决方案的数量 Amazon WAF。这包括Challenge规则操作提供的挑战，以及在没有代币存在时作为CAPTCHA操作一部分运行的挑战。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `PassedRequests` | 已通过的请求数。这仅用于通过规则组评估但不匹配任何规则组规则的请求。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `RequestsWithValidChallengeToken` | 应用了质询控件且质询令牌有效的 web 请求数量。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `LowReputationPacketsDropped` | 已知恶意源丢弃的数据包数量。当请求被资源级 DDo S 保护阻止时，就会记录此指标。<br />报告标准：有非零值。<br />有效统计数据：Sum<br />此指标会发布到 `Amazon/ApplicationELB` 命名空间。 | 
| `LowReputationRequestsDenied` | HTTP 403 响应拒绝 HTTP 请求的数量。当请求被资源级 DDo S 保护阻止时，就会记录此指标。<br />报告标准：有非零值。<br />有效统计数据：Sum<br />此指标会发布到 `Amazon/ApplicationELB` 命名空间。 | 


**Amazon WAF 核心尺寸**  

| 维度 | 说明 | 
| --- | --- | 
| `Region` | 除 Amazon CloudFront 分配以外的所有受保护资源类型均为必填项。 | 
| `Rule` | 下列情况之一：[See the AWS documentation website for more details](http://docs.amazonaws.cn/waf/latest/developerguide/waf-metrics.html) | 
| `RuleGroup` | `RuleGroup` 的指标名称。 | 
| `WebACL` | `WebACL` 的指标名称。 | 
| `WebACLArn` | Web ACL 的 Amazon 资源名称（ARN）。此维度仅在启用时 Amazon WAF 可用。 | 
| `ResourceType` | 受保护资源的类型，例如 `CF`、`APIGW` 或 `ALB`。 | 
| `Resource` | 受保护资源的 Amazon 资源名称（ARN）。<br />此维度不包括 App Runner 资源 ARNs。 | 
| `Country` | 请求的源国家/地区。这是国际标准化组织 (ISO) 3166 标准中的双字符名称。例如，US 代表美国，UA 代表乌克兰。<br />如果请求有 `X-Forwarded-For` 标头，则 Amazon WAF 使用该标头来确定此设置。否则， Amazon WAF 使用客户端 IP 所在的国家/地区。此决定与您在规则中用于确定原产国的任何逻辑无关。 Amazon WAF 确定 IPs使用 MaxMind GeoIP 数据库的位置。 | 
| `Attack` | 根据您在 Web ACL 中使用的规则和规则组，在请求中 Amazon WAF 识别的攻击类型。<br />您的规则和基准 Amazon 托管规则组中的规则可以识别攻击类型。例如，跨站脚本攻击（XSS）规则匹配标识 XSS 攻击类型，基于速率的规则识别容量攻击类型。攻击类型通常表示终止 web 请求评估的规则类型。 | 
| `Device` | 发送请求的客户端的设备类型，从 web 请求的 `user-agent` 标头中获取。 | 
| `LoadBalancerArn` | 负载均衡器的 Amazon 资源名称（ARN）。 | 
| `LoadBalancerArnAvailabilityZone` | 负载均衡器 ARN 和可用区的组合。 | 
| `ManagedRuleGroup` | `ManagedRuleGroup` 的指标名称。 | 
| `ManagedRuleGroupRule` | `ManagedRuleGroup` 中已匹配的规则。 | 
| `VulnerabilityCategory` | 请求匹配的漏洞类别，基于 Amazon 托管规则 IP 集。 | 

## 标签指标和维度
<a name="waf-metrics-label"></a>

根据您的规则和您在保护包（web ACL）中使用的托管规则组在评估期间向请求添加的标签的指标。有关信息，请参阅[Web 请求标签](waf-labels.md)。

对于任何一个 Web 请求，最多可 Amazon WAF 存储 100 个标签的指标。保护包（web ACL）评估可以应用 100 多个标签，并与 100 多个标签进行匹配，但只有前 100 个标签会反映在指标中。


**标签指标**  

| 指标 | 说明 | 
| --- | --- | 
| `AllowedRequests` | Allow 应用了操作设置的 web 请求上的标签数量。在 web 请求评估期间，可以随时添加标签。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `BlockedRequests` | Block 应用了操作设置的 web 请求上的标签数量。在 web 请求评估期间，可以随时添加标签。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `CountedRequests` | 具有 Count 操作设置的规则组规则向 web 请求添加的标签数量。<br />此指标仅适用于规则组的所有者，适用于规则组内的规则。对于其他情况，计数标签指标会汇总到应用于请求的终止操作中，例如 Allow 或 Block。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `CaptchaRequests` | 已应用终止 CAPTCHA 操作的 web 请求上的标签数量。在 web 请求评估期间，可以随时添加标签。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `ChallengeRequests` | 已应用终止 Challenge 操作的 web 请求上的标签数量。在 web 请求评估期间，可以随时添加标签。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `AllowRuleMatch` | 生成相关标签并通过 Allow 操作终止了请求评估的匹配规则数。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `BlockRuleMatch` | 生成相关标签并通过 Block 操作终止了请求评估的匹配规则数。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `CountRuleMatch` | 生成相关标签并应用了 Count 操作的匹配规则数。<br />如果多条规则配置了相同的标签和操作，则一个请求可能会导致该指标产生多个实例。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `CaptchaRuleMatch` | 生成相关标签并通过 CAPTCHA 操作终止了请求评估的匹配规则数。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `ChallengeRuleMatch` | 生成相关标签并通过 Challenge 操作终止了请求评估的匹配规则数。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `CaptchaRuleMatchWithValidToken` | 生成相关标签并应用非终止性 CAPTCHA 操作的匹配规则数。<br />如果多条规则配置了相同的标签和操作，则一个请求可能会导致该指标产生多个实例。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `ChallengeRuleMatchWithValidToken` | 生成相关标签并应用非终止性 Challenge 操作的匹配规则数。<br />如果多条规则配置了相同的标签和操作，则一个请求可能会导致该指标产生多个实例。<br />报告标准：有非零值。<br />有效统计数据：Sum | 


**标签维度**  

| 维度 | 说明 | 
| --- | --- | 
| `Region` | 除 Amazon CloudFront 分配以外的所有受保护资源类型均为必填项。 | 
| `RuleGroup` | `RuleGroup` 的指标名称。用于指标 `CountedRequests` | 
| `WebACL` | `WebACL` 的指标名称。 | 
| `ResourceType` | 受保护资源的类型，例如 `CF`、`APIGW` 或 `ALB`。 | 
| `Resource` | 受保护资源的 Amazon 资源名称（ARN）。 | 
| `LabelNamespace` | 添加到请求中的标签的命名空间前缀。 | 
| `Label` | 添加到请求中的标签的名称。 | 
| `Context` | 作为标签添加上下文的托管规则组。例如，令牌管理标签的上下文，例如awswaf:managed:token:accepted对请求使用令牌管理的 Amazon WAF 托管规则组，例如 Bot Control 或 ATP 托管规则组。该维度不适用于所有标签。 | 

## 免费机器人可见性指标和维度
<a name="waf-metrics-bot-free"></a>

当您在保护包（Web ACL）中未使用机器人控制时，可以将机器人控制托管规则组 Amazon WAF 应用于您的 Web 请求样本，无需支付额外费用。这可以让您了解流向受保护资源的机器人流量。有关机器人控制功能的详细信息，请参阅 [Amazon WAF 机器人控制规则组](aws-managed-rule-groups-bot.md)。


**免费机器人可见度指标**  

| 指标 | 说明 | 
| --- | --- | 
| `SampleAllowedRequest` | 已执行 Allow 操作的抽样请求的次数。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `SampleBlockedRequest` | 已执行 Block 操作的抽样请求的次数。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `SampleCaptchaRequest` | 已执行 CAPTCHA 操作的抽样请求的次数。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `SampleChallengeRequest` | 已执行 Challenge 操作的抽样请求的次数。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `SampleCountRequest` | 已执行 Count 操作的抽样请求的次数。<br />报告标准：有非零值。<br />有效统计数据：Sum | 


**免费机器人可见度维度**  

| 维度 | 说明 | 
| --- | --- | 
| `Region` | 除 Amazon CloudFront 分配以外的所有受保护资源类型均为必填项。 | 
| `WebACL` | `WebACL` 的指标名称。 | 
| `BotCategory` | 检测到的机器人类别的名称，基于网络请求标签。 | 
| `VerificationStatus` | 检测到的机器人验证状态的名称，基于网络请求标签。 | 
| `Signal` | 检测到的机器人信号的名称，基于网络请求标签。 | 

## 账户指标和维度
<a name="waf-metrics-account"></a>

账户指标提供有关通过 API 提供的 CAPTCHA 难题和静默Challenge规则操作的账户范围信息。 JavaScript


**账户指标**  

| 指标 | 说明 | 
| --- | --- | 
| `CaptchasAttemptedSdk` | 对于通过 CAPTCHA API 提供的谜题，最终用户为响应 CAPTCHA 拼图挑战而提交的解决方案数量。 JavaScript <br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `CaptchasSolvedSdk` | 对于通过 CAPTCHA API 提供的谜题，提交的成功解开谜题的 CAP JavaScript TCHA 拼图解决方案的数量。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `ChallengesAttemptedSdk` | 最终用户为响应通过 Challenge JavaScript API 发出的无提示质询而提交的尝试次数。这包括由Challenge操作发起的挑战和在没有代币存在时作为CAPTCHA操作一部分运行的挑战。<br />报告标准：有非零值。<br />有效统计数据：Sum | 
| `ChallengesSolvedSdk` | 提交的、成功通过通过 Challenge JavaScript API 进行的无声挑战的静默挑战解决方案的数量。这包括由Challenge操作发起的挑战和在没有代币存在时作为CAPTCHA操作一部分运行的挑战。<br />报告标准：有非零值。<br />有效统计数据：Sum | 


**账户维度**  

| 维度 | 说明 | 
| --- | --- | 
| `Region` | 除 Amazon CloudFront 分配以外的所有受保护资源类型均为必填项。 | 

## Amazon WAF 使用量指标
<a name="waf-metrics-usage"></a>

您可以使用 CloudWatch 使用量指标来了解您的账户的资源使用情况。使用这些指标在 CloudWatch 图表和仪表板上可视化您当前的服务使用情况。

Amazon WAF 使用量指标对应于 Amazon 服务配额。您可以配置警报，以在用量接近服务配额时向您发出警报。有关与服务配额 CloudWatch 集成的更多信息，请参阅 *Amazon CloudWatch 用户指南中的[Amazon 使用量指标](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/CloudWatch-Service-Quota-Integration.html)。*

Amazon WAF 在`AWS/Usage`命名空间中发布以下指标。


**使用情况指标**  

| 指标 | 说明 | 
| --- | --- | 
| `ResourceCount` | 您账户中指定资源的数量。资源由与指标关联的维度定义。<br />此指标最有用的统计数据是 `MAXIMUM`，这表示 1 分钟期间内使用的最大资源数。 | 

以下维度用于细化发布的使用量指标 Amazon WAF。


**用量维度**  

| 维度 | 说明 | 
| --- | --- | 
| `Resource` | 报告用量的资源类型。 | 

以下是 `Resource` 维度的支持值。


**`Resource` 值**  

| 值 | 说明 | 
| --- | --- | 
| `WebAclsPerAccountCloudFront` | 客户在 CloudFront 每个账户中拥有的保护包（网络 ACLs）数量。只有当中至少有一个保护包 (Web ACL) 时，此指标才可用 CloudFront。 | 
| `WebAclsPerAccountRegional` | 客户每个账户在一个区域内拥有的保护包（网络 ACLs）数量。此指标仅在该区域中至少有一个保护包（web ACL）时可用。 | 
| `RuleGroupsPerAccountCloudFront` | 客户在 CloudFront 每个账户中拥有的规则组数量。仅当中至少有一个规则组时，此指标才可用 CloudFront。 | 
| `RuleGroupsPerAccountRegional` | 客户在区域中每个账户拥有的规则组数量。此指标仅在该区域中至少有一个规则组时可用。 | 
| `IpSetsPerAccountCloudFront` | 客户在 CloudFront 每个账户中拥有的 IP 集数。此指标仅在中设置了至少一个 IP 时才可用 CloudFront。 | 
| `IpSetsPerAccountRegional` | 客户在区域中每个账户拥有的 IP 集数量。此指标仅在该区域中至少有一个 IP 集时可用。 | 
| `RegexPatternSetsPerAccountCloudFront` | 客户在每个账户中拥有的正则表达式模式集的 CloudFront 数量。仅当中设置了至少一个正则表达式模式时，此指标才可用。 CloudFront | 
| `RegexPatternSetsPerAccountRegional` | 客户在区域中每个账户拥有的正则表达式模式集数量。此指标仅在该区域中至少有一个正则表达式模式集时可用。 |