使用亚马逊进行监控 CloudWatch - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
创建警报指标与维度Amazon WAF 指标和维度Amazon Shield Advanced 指标和警报Amazon Firewall Manager 通知
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用亚马逊进行监控 CloudWatch

您可以使用 Amazon 监控 Web 请求、Web ACL 和规则 CloudWatch,此工具可从Amazon WAF原始数据收集原始数据,近实时处理Amazon Shield Advanced为便于读取的指标。您可以使用Amazon 的统计数据 CloudWatch 来了解您的 Web 应用程序或服务的执行情况。有关更多信息,请参阅《亚马逊 CloudWatch 用户指南》 CloudWatch中的内容

注意

CloudWatch Firewall Manager 器的指标和警报未启用。

创建Amazon CloudWatch 警报

您可以创建 Amazon CloudWatch 告警,在告警改变状态时发送 Amazon SNS 消息。警报会监控某个指标在一定时间段 (由您指定) 的变化情况,并根据相对于指定阈值的指标值每隔若干个时间段执行一项或多项操作。操作是一个发送到 Amazon SNS 主题或 Auto Scaling 策略的通知。警报只会调用操作进行持续的状态变更。 CloudWatch 警报将不会调用操作,因为这些操作处于特定状态,该状态必须改变并在指定数量的时间段内一直保持。

Amazon WAF 和 Amazon Shield Advanced 的指标与维度

指标的分组首先依据服务命名空间,然后依据每个命名空间内的各种维度组合。

  • 命Amazon WAF名空间是AWS/WAFV2

  • Shield 高级命名空间是AWS/DDoSProtection

注意

Amazon WAF每分钟报告一次指标。

Shield Advanced 在活动期间每分钟报告一次指标,其他时间则不那么频繁。

使用以下流程查看Amazon WAF和的指标Amazon Shield Advanced。

使用 CloudWatch 控制台查看指标

  1. 登录Amazon Web Services Management Console并打开 CloudWatch 主机,网址为 https://console.aws.amazon.com/cloudwatch/

  2. 如果需要,可将区域更改为Amazon资源所在的区域。为 CloudFront选择 US East (N. Virginia) 区域。

  3. 在导航窗格的 “指标” 下,选择 “所有指标”,然后在 “浏览” 选项卡下搜索服务。

使用Amazon CLI 查看指标

  • 对于 AWS/WAFV2,在命令提示符处使用以下命令:

    aws cloudwatch list-metrics --namespace "AWS/WAFV2"

    对于 Shield Advanced,在命令提示符处使用以下命令:

    aws cloudwatch list-metrics --namespace "AWS/DDoSProtection"

Amazon WAF 指标和维度

Amazon WAF每分钟报告一次指标。 Amazon WAF在AWS/WAFV2命名空间中提供以下指标和维度。

Web ACL、规则组和规则指标
指标 描述

AllowedRequests

允许的 Web 请求数。

报告标准:有非零值。

有效统计数据:Sum

BlockedRequests

阻止的 Web 请求数。

报告标准:有非零值。

有效统计数据:Sum

CountedRequests

计数的 Web 请求数。

报告标准:有非零值。

已计数的 Web 请求是至少匹配了一个规则的请求。请求计数通常用于测试。

有效统计数据:Sum

CaptchaRequests

应用了验证码控制的网络请求数量。

报告标准:有非零值。

CAPTCHA 网络请求是与具有CAPTCHA操作设置的规则相匹配的请求。此指标记录所有匹配的请求,无论它们是否具有有效的 CAPTCHA 令牌。

有效统计数据:Sum

RequestsWithValidCaptchaToken

应用了 CAPTCHA 控件且具有有效 CAPTCHA 令牌的网络请求数量。

报告标准:有非零值。

有效统计数据:Sum

ChallengeRequests

应用了质询控制的 Web 请求数量。

报告标准:有非零值。

质询 Web 请求是与具有Challenge操作设置的规则相匹配的请求。该指标记录所有匹配的请求,无论它们是否具有有效的质询令牌。

有效统计数据:Sum

RequestsWithValidChallengeToken

应用了质询控制且具有有效质询令牌的 Web 请求的数量。

报告标准:有非零值。

有效统计数据:Sum

PassedRequests

通过的请求数。这仅用于在不匹配任何规则组规则的情况下通过规则组评估的请求。

报告标准:有非零值。

通过的请求是指与规则组中任何规则都不匹配的请求。

有效统计数据:Sum
Web ACL、规则组和规则维度
维度 描述

Region

 除亚马逊 CloudFront发行版以外的所有受保护资源类型均为必填项。

Rule

下列情况之一:

  • Rule 的指标名称。

  • ALL,表示 WebACL 或 RuleGroup 中的所有规则。

  • Default_Action(仅当与WebACL维度结合使用时),它表示分配给任何请求的操作,其评估未因 Web ACL 中的规则操作而终止。

RuleGroup

RuleGroup 的指标名称。

WebACL

WebACL 的指标名称。
注意

对于任何单个 Web 请求,最多Amazon WAF发出 100 个标签的指标。您的 Web ACL 评估可以应用 100 多个标签并与 100 多个标签进行匹配,但只有前 100 个标签会反映在这些指标中。

有关标签的信息,请参见网络请求上的标签

标签指标
指标 描述

AllowedRequests

Web 请求上Allow应用了操作设置的标签数量。在 Web 请求评估期间,可以随时添加标签。

报告标准:有非零值。

有效统计数据:Sum

BlockedRequests

Web 请求上Block应用了操作设置的标签数量。在 Web 请求评估期间,可以随时添加标签。

报告标准:有非零值。

有效统计数据:Sum

CountedRequests

由具有Count操作设置的规则组规则添加到 Web 请求的标签数量。

此指标仅适用于规则组的所有者,适用于规则组内部的规则。对于其他情况,计数标签指标将汇总到应用于请求的终止操作中,例如Allow或Block。

报告标准:有非零值。

有效统计数据:Sum

CaptchaRequests

已应用终止CAPTCHA操作的 Web 请求上的标签数量。在 Web 请求评估期间,可以随时添加标签。

报告标准:有非零值。

有效统计数据:Sum

ChallengeRequests

已应用终止Challenge操作的 Web 请求上的标签数量。在 Web 请求评估期间,可以随时添加标签。

报告标准:有非零值。

有效统计数据:Sum
标签维度
维度 描述

Region

 除亚马逊 CloudFront发行版以外的所有受保护资源类型均为必填项。

WebACL

WebACL 的指标名称。

RuleGroup

RuleGroup 的指标名称。用于指标CountedRequests

LabelNamespace

 添加到请求的标签的命名空间前缀。

Label

 添加到请求的标签的名称。
免费机器人可见度指标
指标 描述

SampleAllowedRequests

具有Allow操作的抽样请求的百分比。

报告标准:有非零值。

有效统计数据:Sum

SampleBlockedRequests

具有Block操作的抽样请求的百分比。

报告标准:有非零值。

有效统计数据:Sum
免费机器人可见度尺寸
维度 描述

Region

 除亚马逊 CloudFront发行版以外的所有受保护资源类型均为必填项。

WebACL

WebACL 的指标名称。

BotCategory

检测到的机器人类别的指标名称,基于 Web 请求标签。

Amazon Shield Advanced 指标和警报

此部分会讨论 Amazon Shield Advanced 提供的指标和警报。

Amazon Shield Advanced 指标

与没有事件发生时,Shield Advanced CloudWatch 在 DDoS 事件期间向亚马逊报告Amazon资源指标的频率更高。Shield Advanced 在活动期间每分钟报告一次指标,然后在活动结束后立即报告一次。虽然没有事件在进行中,但 Shield Advanced 会在分配给资源的时间每天报告一次指标。此定期报告使指标保持活动状态并可用于自定义 CloudWatch 警报。

Shield Advanced 报告了美国东部(弗吉尼亚北部)区域us-east-1的指标,内容如下:

  • 亚马逊 CloudFront 和亚马逊 Route 53 的全球服务。

  • 保护组。有关保护组的信息,请参阅Amazon Shield Advanced保护

检测指标

Shield Advanced 在AWS/DDoSProtection命名空间中提供以下检测指标和维度。

检测指标
指标 描述
DDoSDetected 指示特定 Amazon 资源名称 (ARN) 的 DDoS 事件是否正在进行中。

该指标在事件期间的值为非零。
DDoSAttackBitsPerSecond 特定 Amazon 资源名称 (ARN) 的 DDoS 事件期间观察到的位数。此指标仅适用于网络和传输层(第 3 层和第 4 层)DDoS 事件。

该指标在事件期间的值为非零。

单位:位
DDoSAttackPacketsPerSecond 特定 Amazon 资源名称 (ARN) 的 DDoS 事件期间观察到的数据包数。此指标仅适用于网络和传输层(第 3 层和第 4 层)DDoS 事件。

该指标在事件期间的值为非零。

单位:数据包
DDoSAttackRequestsPerSecond 特定 Amazon 资源名称 (ARN) 的 DDoS 事件期间观察到的请求数。该指标仅适用于第 7 层 DDoS 事件。仅针对最重要的第 7 层事件报告指标。

该指标在事件期间的值为非零。

单位:请求

Shield AdvanDDoSDetected ced 发布的指标没有其他维度。其余检测指标包括以下列表中与攻击类型对应的AttackVector维度:

  • ACKFlood

  • ChargenReflection

  • DNSReflection

  • GenericUDPReflection

  • MemcachedReflection

  • MSSQLReflection

  • NetBIOSReflection

  • NTPReflection

  • PortMapper

  • RequestFlood

  • RIPReflection

  • SNMPReflection

  • SSDPReflection

  • SYNFlood

  • UDPFragment

  • UDPTraffic

  • UDPReflection

风险防范

Shield Advanced 在AWS/DDoSProtection命名空间中提供以下缓解指标和维度。

风险防范
指标 描述
VolumePacketsPerSecond 为响应检测到的事件而部署的缓解措施每秒丢弃或传递的数据包数。

单位:数据包

风险防范
维度 描述

ResourceArn

Amazon Resource Name (ARN)

MitigationAction

应用缓解的结果。可能的值为 PassDrop

热门贡献者指标

Shield Advanced 在AWS/DDoSProtection命名空间中提供以下缓解指标和维度。

热门贡献者指标
指标 描述
VolumePacketsPerSecond 主要贡献者每秒的数据包数。

单位:数据包

VolumeBitsPerSecond 最大贡献者的每秒比特数。

单位:比特

Shield Advanced 按维度组合发布了主要贡献者指标,这些指标代表了事件贡献者的特征。您可以使用以下任何维度组合来查看任何主要贡献者指标:

  • ResourceArn, Protocol

  • ResourceArn, Protocol, SourcePort

  • ResourceArn, Protocol, DestinationPort

  • ResourceArn, Protocol, SourceIp

  • ResourceArn, Protocol, SourceAsn

  • ResourceArn, TcpFlags

主要贡献者维度
维度 描述

ResourceArn

Amazon 资源名称 (ARN)。

Protocol

IP 协议名称,TCP或为UDP

SourcePort

源 TCP 或 UDP 端口。

DestinationPort

目标 TCP 或 UDP 端口。

SourceIp

源 IP 地址。

SourceAsn

源自治系统号 (ASN)。

TcpFlags

TCP 数据包中存在的标志组合,由短划线 (-) 分隔。监控标志是ACKFINRSTSYN。此维度值始终按字母顺序显示。例如:ACK-FIN-RST-SYNACK-SYNFIN-RST

创建 Amazon Shield Advanced 警报

您可以将Amazon Shield Advanced指标用于亚马逊 CloudWatch 警报。 CloudWatch 发送通知或自动更改正在监控的资源。

有关创建 CloudWatch 警报的详细说明,请参阅亚马逊 CloudWatch 用户指南。在 CloudWatch 控制台上创建警报时,要使用 Shield Advanced 指标,请在选择 “创建警报” 后,选择AWSDDOSProtectionMetrics。然后,您可以根据特定的流量创建警报,也可以在指标为非零时触发警报。第二个选项会对Shield Advanced观察到的任何潜在攻击触发警报。

注意

仅适用AWSDDOSProtectionMetrics于 Shield Advanced 客户。

有关更多信息,请参阅《亚马逊 CloudWatch 用户指南》 CloudWatch中的内容

Amazon Firewall Manager 通知

Amazon Firewall Manager不记录指标,因此您无法专门为Firewall Manager 创建 Amazon CloudWatch 警报。但是,您可以配置 Amazon SNS 通知以提醒您注意潜在的攻击。要在Firewall Manager 中创建 Amazon SNS 通知,请参阅第 4 步:配置 Amazon SNS 通知和Amazon CloudWatch 警报