**の新しいコンソールエクスペリエンスの紹介 AWS WAF**

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Shield Advanced メトリクス
<a name="shield-metrics"></a>

Shield Advanced は、保護するすべてのリソースの Amazon CloudWatch 検出、緩和とトップコントリビューターのメトリクスを発行します。これらのメトリクスにより、リソースに関する CloudWatch ダッシュボードとアラームを作成および設定できるようになるため、それらのリソースをより良くモニタリングできます。

Shield Advanced コンソールには、記録する多くのメトリクスの概要が表示されます。詳細については、「[Shield Advanced による DDoS イベントの可視性](ddos-viewing-events.md)」を参照してください。

アプリケーションレイヤー保護の自動アプリケーションレイヤー DDoS 緩和を有効にすると、Shield Advanced は自動保護の管理に使用するルールグループを保護パック (ウェブ ACL) に追加します。このルールグループは AWS WAF メトリクスを生成しますが、表示することはできません。これは、 AWS マネージドルールルールグループなど、保護パック (ウェブ ACL) で使用する他のルールグループと同じですが、所有していません。 AWS WAF メトリクスの詳細については、「」を参照してください[AWS WAF メトリクスとディメンション](waf-metrics.md)。Shield Advanced 保護オプションの機能については、[Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和](ddos-automatic-app-layer-response.md) を参照してください。

**メトリクスレポートの位置**  
Shield Advanced は、次のように、米国東部 (バージニア北部) (`us-east-1`) リージョンのメトリクスをレポートします。
+ グローバルサービスの Amazon CloudFront と Amazon Route 53。
+ 保護グループ 保護グループについては、「[AWS Shield Advanced 保護のグループ化](ddos-protection-groups.md)」を参照してください。

他のリソースタイプについては、Shield Advanced がリソースのリージョンのメトリクスをレポートします。

**メトリクスレポートの時点**  
Shield Advanced は、DDoS イベント中、進行中のイベントがない場合よりも頻繁に AWS リソースのメトリクスを Amazon CloudWatch に報告します。Shield Advanced は、イベント中は 1 分ごとに、およびイベント終了直後に 1 回、メトリクスをレポートします。

イベントが発生していない間、Shield Advanced は 1 日に 1 回、リソースに割り当てられた時間にメトリクスを報告します。この定期的なレポートにより、メトリクスをアクティブに保ち、カスタム CloudWatch アラームとダッシュボードで使用できるようにします。

**アラームの推奨**  
注意が必要な状況を通知するアラームを作成することをお勧めします。開始点として、`DDoSDetected` 検出メトリクスがゼロ以外の場合にレポートする保護されたリソースごとにアラームを作成できます。このメトリクスのゼロ以外の値は、DDoS 攻撃が進行中であることを必ずしも意味するわけではありませんが、メトリクスがこの状態にある場合は、リソースのステータスを詳しく調べることをお勧めします。

リクエストフラッドについては、アプリケーションのヘルスやウェブリクエストの量などの要素も考慮する複合チェックのアラームを作成することをお勧めします。さまざまな攻撃ベクトルディメンションのトラフィック量について報告する他の 3 つのメトリクスでアラームを設定できます。アプリケーションの容量を考慮し、トラフィックがアプリケーションの制限に近づいたときにアラームを発信することで、望ましくないノイズを過剰に発生させることなく、必要に応じて通知する一連のルールを作成できます。

**Topics**
+ [検出メトリクス](#ddos-metrics-detection)
+ [緩和のメトリクス](#ddos-metrics-mitigation)
+ [上位の寄稿者のメトリクス](#ddos-metrics-top-contributors)

## 検出メトリクス
<a name="ddos-metrics-detection"></a>

Shield Advanced は、`AWS/DDoSProtection` ネームスペースで次の検出メトリクスとディメンションを提供します。


**検出メトリクス**  

| メトリクス | 説明 | 
| --- | --- | 
| DDoSDetected | 特定の Amazon リソースネーム (ARN) に対して DDoS イベントが進行中かどうかを示します。このメトリクスは、イベント中はゼロ以外の値を持ちます。  | 
| DDoSAttackBitsPerSecond | 特定の Amazon リソースネーム (ARN) の DDoS イベント中に認められたビット数。このメトリクスは、ネットワークおよびトランスポートレイヤー (レイヤー 3 およびレイヤー 4) の DDoS イベントにのみ使用できます。このメトリクスは、イベント中はゼロ以外の値を持ちます。単位: ビット  | 
| DDoSAttackPacketsPerSecond | 特定の Amazon リソースネーム (ARN) の DDoS イベント中に認められたパケット数。このメトリクスは、ネットワークおよびトランスポートレイヤー (レイヤー 3 およびレイヤー 4) の DDoS イベントにのみ使用できます。このメトリクスは、イベント中はゼロ以外の値を持ちます。単位: パケット  | 
| DDoSAttackRequestsPerSecond | 特定の Amazon リソースネーム (ARN) の DDoS イベント中に認められたリクエスト数。このメトリクスは、レイヤー 7 の DDoS イベントのみで使用できます。メトリクスは、特に重要なレイヤー 7 イベントのみについて報告されます。このメトリクスは、イベント中はゼロ以外の値を持ちます。単位: リクエスト  | 
| DDoSAttackRequests | 特定の Amazon リソースネーム (ARN) の DDoS イベント中に認められたリクエスト数。このメトリクスは、DDoS 対策 DDoS マネージドルール (AMR) DDoS イベントでのみ使用できます。このメティックは AWS/WAFV2 名前空間にあり、イベント中にゼロ以外の値を持ちます。単位: リクエスト  | 

Shield Advanced は、他のディメンションなしで `DDoSDetected` メトリクスを投稿します。残りの検出メトリクスには、次のリストから、攻撃のタイプに対応する `AttackVector` ディメンションが含まれます。
+ `ACKFlood`
+ `ChargenReflection`
+ `DNSReflection`
+ AWS/WAFV2
+ `GenericUDPReflection`
+ `MemcachedReflection`
+ `MSSQLReflection`
+ `NetBIOSReflection`
+ `NTPReflection`
+ `PortMapper`
+ `RequestFlood`
+ `RIPReflection`
+ `SNMPReflection`
+ `SSDPReflection`
+ `SYNFlood`
+ `UDPFragment`
+ `UDPTraffic`
+ `UDPReflection`

## 緩和のメトリクス
<a name="ddos-metrics-mitigation"></a>

Shield Advanced は、`AWS/DDoSProtection` ネームスペースで次の検出メトリクスとディメンションを提供します。


**緩和のメトリクス**  

| メトリクス | 説明 | 
| --- | --- | 
| VolumePacketsPerSecond | 検出されたイベントに対応してデプロイされた緩和策によってドロップされたか、または渡された 1 秒あたりのパケット数。単位: パケット  | 


**緩和のディメンション**  

| ディメンション | 説明 | 
| --- | --- | 
|  `ResourceArn`  |  Amazon リソースネーム (ARN)  | 
|  `MitigationAction`  |  適用された緩和策の結果。想定される値は、`Pass` または `Drop` です。  | 

## 上位の寄稿者のメトリクス
<a name="ddos-metrics-top-contributors"></a>

Shield Advanced は、`AWS/DDoSProtection` ネームスペースにメトリクスを提供します。


**上位の寄稿者のメトリクス**  

| メトリクス | 説明 | 
| --- | --- | 
| VolumePacketsPerSecond | 上位のコントリビューターの 1 秒あたりのパケット数。単位: パケット  | 
| VolumeBitsPerSecond | 上位のコントリビューターの 1 秒あたりのビット数。単位: ビット  | 

Shield Advanced は、イベントの寄稿者を特徴づけるディメンションの組み合わせによって、上位の寄稿者のメトリクスを投稿します 上位の寄稿者のあらゆるメトリクスについて、次のいずれかのディメンションの組み合わせを使用できます。
+ `ResourceArn`, `Protocol` 
+ `ResourceArn`, `Protocol`, `SourcePort` 
+ `ResourceArn`, `Protocol`, `DestinationPort` 
+ `ResourceArn`, `Protocol`, `SourceIp` 
+ `ResourceArn`, `Protocol`, `SourceAsn` 
+ `ResourceArn`, `TcpFlags` 


**上位の寄稿者のディメンション**  

| ディメンション | 説明 | 
| --- | --- | 
|  `ResourceArn`  |  Amazon リソースネーム (ARN)。  | 
|  `Protocol`  |  `TCP` または `UDP` のいずれかの IP プロトコル名。  | 
|  `SourcePort`  |  ソース TCP または UDP ポート。  | 
|  `DestinationPort`  |  宛先 TCP または UDP ポート。  | 
|  `SourceIp`  |  送信元 IP アドレス。  | 
|  `SourceAsn`  |  ソース Autonomous System number (ASN)。  | 
|  `TcpFlags `  |  ダッシュ `-` で区切られた TCP パケットに存在するフラグの組み合わせ。モニタリング対象フラグは、`ACK`、`FIN`、`RST`、`SYN` です。このディメンション値は、常にアルファベット順にソートされて表示されます。例: `ACK-FIN-RST-SYN`、`ACK-SYN`、`FIN-RST`。  |