AWS WAF コアメトリクスとディメンションラベルメトリクスとディメンション無料のボット可視性メトリクスおよびディメンションアカウントメトリクスとディメンション AWS WAF 使用状況メトリクス

AWS WAF のメトリクスとディメンション

AWS WAF はメトリクスを 1 分ごとに 1 回レポートします。AWS WAF は、AWS/WAFV2 ネームスペースでメトリクスとディメンションを提供します。

AWS WAF メトリクスの概要情報は、保護パック (ウェブ ACL) のトラフィック概要タブにある AWS WAF コンソールから確認できます。詳細については、保護パック (ウェブ ACL) のトラフィック概要ダッシュボードを参照してください。

保護パック (ウェブ ACL)、ルール、ルールグループ、ラベルには、次のメトリクスが表示されます。

ルール – メトリクスはルールアクションによってグループ化されます。例えば、Count モードでルールをテストする場合、一致したルールが保護パック (ウェブ ACL) の Count メトリクスとして一覧表示されます。
ルールグループ – ルールグループのメトリクスは、ルールグループメトリクスの下に一覧表示されます。
別のアカウントが所有するルールグループ – ルールグループメトリクスは、通常、ルールグループの所有者にのみ表示されます。ただし、ルールのルールアクションを上書きすると、そのルールのメトリクスが保護パック (ウェブ ACL) メトリクスの下に一覧表示されます。さらに、ルールグループによって追加されたラベルは、保護パック (ウェブ ACL) メトリクスに一覧表示されます。

このカテゴリにあるルールグループは AWS WAF の AWS マネージドルール、AWS Marketplace ルールグループ、他のサービスによって提供されるルールグループを識別する、また、他のアカウントから共有されたルールグループも含まれます。Firewall Manager を介して保護パック (ウェブ ACL) がデプロイされると、カウントアクションを持つ WebACL 内のルールはメンバーアカウントにメトリクスを表示しません。
ラベル – 評価中にウェブリクエストに追加されたラベルは、保護パック (ウェブ ACL) のラベルメトリクスに一覧表示されます。自分のルールやルールグループによって追加されたか、他のアカウントが所有するルールグループのルールによって追加されたかにかかわらず、すべてのラベルのメトリクスにアクセスできます。

AWS WAF コアメトリクスとディメンション

AWS WAF コアメトリクス
メトリクス	説明
`AllowedRequests`	許可されたウェブリクエストの数。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`BlockedRequests`	ブロックされたウェブリクエストの数。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`CountedRequests`	カウントされたウェブリクエストの数。レポート条件: ゼロ以外の値がある。カウントされたウェブリクエストは、少なくとも 1 つのルールに一致するリクエストです。リクエストカウントは、通常、テストに使用されます。有効な統計: Sum
`CaptchaRequests`	CAPTCHA コントロールが適用されたウェブリクエストの数。レポート条件: ゼロ以外の値がある。 CAPTCHA ウェブリクエストは、CAPTCHA アクション設定を持つルールに一致するリクエストです。このメトリクスは、CAPTCHA トークンが有効期限切れである、無効である、存在しない、または一致していないドメインを持っているかどうかに関係なく、一致するすべてのリクエストを記録します。有効な統計: Sum
`RequestsWithValidCaptchaToken`	CAPTCHA コントロールが適用され、有効な CAPTCHA トークンを持つウェブリクエストの数。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`CaptchasAttempted`	CAPTCHA パズルチャレンジに応答してエンドユーザーから送信されたソリューションの数。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`CaptchasSolved`	パズルを正解し、送信された CAPTCHA パズルソリューションの数。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`ChallengeRequests`	チャレンジコントロールが適用されたウェブリクエストの数。レポート条件: ゼロ以外の値がある。チャレンジウェブリクエストは、Challenge アクション設定を持つルールに一致するリクエストです。このメトリクスは、チャレンジトークンが有効期限切れである、無効である、存在しない、または一致していないドメインを持っているかどうかに関係なく、一致するすべてのリクエストを記録します。有効な統計: Sum
`ChallengesAttempted`	Challenge ルールによって提供されるサイレントチャレンジに応答してエンドユーザーから送信された試行の数。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`ChallengesSolved`	Challenge ルールによって提供されるサイレントチャレンジに正常に合格した、送信されたサイレントチャレンジ解決の数。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`PassedRequests`	渡されたリクエストの数。これは、ルールグループのルールのいずれとも一致せず、ルールグループ評価を通過するリクエストについてのみ使用されます。レポート条件: ゼロ以外の値がある。渡されたリクエストは、ルールグループのいずれのルールにも一致しないリクエストです。有効な統計: Sum
`RequestsWithValidChallengeToken`	チャレンジコントロールが適用され、有効なチャレンジトークンを持つウェブリクエストの数。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`LowReputationPacketsDropped`	既知の悪意のあるソースから削除されたパケットの数。レポート条件: ゼロ以外の値がある。有効な統計: Sum このメトリクスは、`AWS/ApplicationELB` 名前空間に公開されます。
`LowReputationRequestsDenied`	HTTP 403 レスポンスで拒否された HTTP リクエストの数。レポート条件: ゼロ以外の値がある。有効な統計: Sum このメトリクスは、`AWS/ApplicationELB` 名前空間に公開されます。

AWS WAF コアディメンション
ディメンション	説明
`Region`	Amazon CloudFront ディストリビューションを除くすべての保護されたリソースタイプで必要です。
`Rule`	次のいずれかです。 `Rule` のメトリクス名。すべて。これは、WebACL または `RuleGroup` 内のすべてのルールを表します。 `Default_Action` (`WebACL` ディメンションと組み合わせた場合のみ)。これは、保護パック (ウェブ ACL) のルールのアクションによって評価が終了されなかったリクエストに割り当てられたアクションを表します。
`RuleGroup`	`RuleGroup` のメトリクス名。
`WebACL`	`WebACL` のメトリクス名。
`WebACLArn`	Web ACL の Amazon リソースネーム (ARN)。このディメンションは、AWS WAF が有効になっている場合にのみ使用できます。
`ResourceType`	`CF`、`APIGW`、`ALB` など、保護されたリソースのタイプ。
`Resource`	保護されたリソースの Amazon リソースネーム (ARN)。このディメンションには App Runner リソース ARN は含まれません。
`Country`	リクエストの送信元の国これは、国際標準化機構 (ISO) 3166 規格の 2 文字の名称です。たとえば、米国は US、ウクライナは UA です。リクエストに `X-Forwarded-For` ヘッダーがある場合、AWS WAF はそのヘッダーを使用してこの設定を決定します。それ以外の場合は、AWS WAF はクライアント IP の国を使用します。この判定は、ルールで原産国を決定するために使用するロジックとは無関係です。AWS WAF は MaxMind GeoIP データベースを使用して IP の場所を決定します。
`Attack`	ウェブ ACL で使用するルールとルールグループに基づいて、リクエストで AWS WAF が識別した攻撃のタイプ。作成したルールとベースライン AWS マネージドルールグループ内のルールで攻撃タイプを識別できます。たとえば、クロスサイトスクリプティング (XSS) ルール一致は XSS 攻撃タイプを識別し、レートベースのルールはボリューム攻撃タイプを識別します。攻撃タイプは、通常、ウェブリクエストの評価を終了したルールのタイプを示します。
`Device`	リクエストを送信したクライアントのデバイスタイプは、ウェブリクエストの `user-agent` ヘッダーから取得されます。
`LoadBalancerArn`	ロードバランサーの Amazon リソースネーム (ARN)。
`LoadBalancerArnAvailabilityZone`	ロードバランサー ARN とアベイラビリティーゾーンの組み合わせ。
`ManagedRuleGroup`	`ManagedRuleGroup` のメトリクス名。
`ManagedRuleGroupRule`	一致した `ManagedRuleGroup` 内のルール。

ラベルメトリクスとディメンション

ルールおよび保護パック (ウェブ ACL) で使用するマネージドルールグループによる評価中に、リクエストに追加されたラベルのメトリクス。詳細については、「ウェブリクエストのラベル付け」を参照してください。

1 つのウェブリクエストについて、AWS WAF は最大 100 個のラベルについてのメトリクスを格納します。保護パック (ウェブ ACL) 評価では、100 個を超えるラベルを適用したり、100 個を超えるラベルと照合したりできますが、メトリクスには最初の 100 個のみが反映されます。

ラベルメトリクス
メトリクス	説明
`AllowedRequests`	アクション設定 Allow を適用したウェブリクエストのラベルの数。ラベルは、ウェブリクエストの評価中のどの時点でも追加できます。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`BlockedRequests`	アクション設定 Block を適用したウェブリクエストのラベルの数。ラベルは、ウェブリクエストの評価中のどの時点でも追加できます。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`CountedRequests`	Count アクション設定を持つルールグループルールによってウェブリクエストに追加されるラベルの数。このメトリクスは、ルールグループ内のルールについて、ルールグループの所有者のみが使用できます。その他のケースでは、リクエストに適用された終了アクション (Allow または Block など) にカウントラベルメトリクスがまとめられます。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`CaptchaRequests`	終了 CAPTCHA アクションが適用されたウェブリクエストのラベルの数。ラベルは、ウェブリクエストの評価中のどの時点でも追加できます。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`ChallengeRequests`	終了 Challenge アクションが適用されたウェブリクエストのラベルの数。ラベルは、ウェブリクエストの評価中のどの時点でも追加できます。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`AllowRuleMatch`	関連付けられたラベルを生成し、Allow アクションを使用してリクエスト評価を終了した一致ルールの数。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`BlockRuleMatch`	関連付けられたラベルを生成し、Block アクションを使用してリクエスト評価を終了した一致ルールの数。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`CountRuleMatch`	関連付けられたラベルを生成し、Count アクションを適用した一致ルールの数。複数のルールが同じラベルとアクションで設定されている場合、1 つのリクエストでこのメトリクスの複数のインスタンスが発生する可能性があります。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`CaptchaRuleMatch`	関連付けられたラベルを生成し、CAPTCHA アクションを使用してリクエスト評価を終了した一致ルールの数。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`ChallengeRuleMatch`	関連付けられたラベルを生成し、Challenge アクションを使用してリクエスト評価を終了した一致ルールの数。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`CaptchaRuleMatchWithValidToken`	関連付けられたラベルを生成し、終了していない CAPTCHA アクションを適用した一致ルールの数。複数のルールが同じラベルとアクションで設定されている場合、1 つのリクエストでこのメトリクスの複数のインスタンスが発生する可能性があります。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`ChallengeRuleMatchWithValidToken`	関連付けられたラベルを生成し、終了していない Challenge アクションを適用した一致ルールの数。複数のルールが同じラベルとアクションで設定されている場合、1 つのリクエストでこのメトリクスの複数のインスタンスが発生する可能性があります。レポート条件: ゼロ以外の値がある。有効な統計: Sum

ラベルディメンション
ディメンション	説明
`Region`	Amazon CloudFront ディストリビューションを除くすべての保護されたリソースタイプで必要です。
`RuleGroup`	`RuleGroup` のメトリクス名。メトリクス `CountedRequests` に使用されます。
`WebACL`	`WebACL` のメトリクス名。
`ResourceType`	`CF`、`APIGW`、`ALB` など、保護されたリソースのタイプ。
`Resource`	保護されたリソースの Amazon リソースネーム (ARN)。
`LabelNamespace`	リクエストに追加されたラベルの名前空間プレフィックス。
`Label`	リクエストに追加されたラベルの名前。
`Context`	ラベル追加のコンテキストとして機能するマネージドルールグループ。例えば、`awswaf:managed:token:accepted` などのトークン管理ラベルのコンテキストは、Bot Control や ATP マネージドルールグループなど、リクエストでトークン管理を使用する AWS WAF マネージドルールグループです。このディメンションはすべてのラベルに適用されるわけではありません。

無料のボット可視性メトリクスおよびディメンション

保護パック (ウェブ ACL) で Bot Control を使用しない場合、AWS WAF は Bot Control マネージドルールグループをウェブリクエストのサンプルに適用します。これには追加費用がかかりません。これにより、保護対象リソースに流入するボットトラフィックを把握できます。Bot Control については、「AWS WAF Bot Control ルールグループ」を参照してください。

無料のボット可視性メトリクス
メトリクス	説明
`SampleAllowedRequest`	Allow アクションを持つサンプル化したリクエストの割合。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`SampleBlockedRequest`	Block アクションを持つサンプル化したリクエストの割合。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`SampleCaptchaRequest`	CAPTCHA アクションを持つサンプル化したリクエストの割合。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`SampleChallengeRequest`	Challenge アクションを持つサンプル化したリクエストの割合。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`SampleCountRequest`	Count アクションを持つサンプル化したリクエストの割合。レポート条件: ゼロ以外の値がある。有効な統計: Sum

無料のボット可視性ディメンション
ディメンション	説明
`Region`	Amazon CloudFront ディストリビューションを除くすべての保護されたリソースタイプで必要です。
`WebACL`	`WebACL` のメトリクス名。
`BotCategory`	ウェブリクエストのラベルに基づく、検出されたボットカテゴリ名。
`VerificationStatus`	ウェブリクエストのラベルに基づく、検出されたボット検証ステータス名。
`Signal`	ウェブリクエストのラベルに基づく、検出されたボットシグナル名。

アカウントメトリクスとディメンション

アカウントメトリクスは、JavaScript API を介してサービスが提供された CAPTCHA パズルとサイレント Challenge ルールアクションに関するアカウント全体の情報を提供します。

アカウントメトリクス
メトリクス	説明
`CaptchasAttemptedSdk`	CAPTCHA JavaScript API を通じて出されたパズルに対して、エンドユーザーが CAPTCHA パズルチャレンジを応答するために提出したソリューションの数。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`CaptchasSolvedSdk`	CAPTCHA JavaScript API を通じて提供されたパズルについて、パズルを正常に解決した CAPTCHA パズルソリューションの送信数。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`ChallengesAttemptedSdk`	Challenge JavaScript API によって提供されるサイレントチャレンジに応答してエンドユーザーから送信された試行の数。レポート条件: ゼロ以外の値がある。有効な統計: Sum
`ChallengesSolvedSdk`	Challenge JavaScript API によって提供されるサイレントチャレンジに正常に合格した、送信されたサイレントチャレンジ解決の数。レポート条件: ゼロ以外の値がある。有効な統計: Sum

アカウントディメンション
ディメンション	説明
`Region`	Amazon CloudFront ディストリビューションを除くすべての保護されたリソースタイプで必要です。

AWS WAF 使用状況メトリクス

CloudWatch 使用状況メトリクスを使用して、アカウントのリソースの使用状況を把握できます。これらのメトリクスを使用して、CloudWatch グラフやダッシュボードで現在のサービスの使用状況を可視化できます。

AWS WAF 使用状況メトリクスは、AWS のサービスクォータに対応しています。使用量がサービスクォータに近づいたときに警告するアラームを設定することもできます。CloudWatch とサービスクオータの統合については、「Amazon CloudWatch ユーザーガイド」の「AWS 使用状況メトリクス」を参照してください。

AWS WAF は、AWS/Usage 名前空間に以下のメトリクスを公開します。

使用状況メトリクス
メトリクス	説明
`ResourceCount`	アカウントの指定されたリソースの数。リソースはメトリクスに関連付けられたディメンションによって定義されます。このメトリクスで最も役に立つ統計は `MAXIMUM` です。これは1 分間の期間中に使用されるリソースの最大数を表します。

以下のディメンションは、AWS WAF によって発行される使用状況メトリクスを絞り込むために使用されます。

使用状況ディメンション
ディメンション	説明
`Resource`	使用状況が報告されるリソースのタイプ。

Resource ディメンションでサポートされている値を次に示します。

`Resource`値
値	説明
`WebAclsPerAccountCloudFront`	アカウントあたりの CloudFront で顧客が持っている保護パック (ウェブ ACL) の数。このメトリクスは、CloudFront に少なくとも 1 つの保護パック (ウェブ ACL) がある場合にのみ使用可能です。
`WebAclsPerAccountRegional`	アカウントあたりのリージョンで顧客が持っている保護パック (ウェブ ACL) の数。このメトリクスは、そのリージョンに少なくとも 1 つの保護パック (ウェブ ACL) がある場合にのみ使用使用可能です。
`RuleGroupsPerAccountCloudFront`	アカウントあたりの CloudFront で顧客が持っているルールグループの数。このメトリクスは、CloudFront に少なくとも 1 つのルールグループがある場合にのみ使用可能です。
`RuleGroupsPerAccountRegional`	アカウントあたりのリージョンで顧客が持っているルールグループの数。このメトリクスは、そのリージョンに少なくとも 1 つのルールグループがある場合にのみ使用可能です。
`IpSetsPerAccountCloudFront`	アカウントあたりの CloudFront で顧客が持っている IP セットの数。このメトリクスは、CloudFront に少なくとも 1 つの IP セットがある場合にのみ使用可能です。
`IpSetsPerAccountRegional`	アカウントあたりのリージョンにで顧客が持っている IP セットの数。このメトリクスは、そのリージョンに少なくとも 1 つの IP セットがある場合にのみ使用可能です。
`RegexPatternSetsPerAccountCloudFront`	アカウントあたりの CloudFront で顧客が持っている正規表現パターンセットの数。このメトリクスは、CloudFront に少なくとも 1 つの正規表現パターンが設定されている場合にのみ使用可能です。
`RegexPatternSetsPerAccountRegional`	アカウントあたりのリージョンで顧客が持っている正規表現パターンセットの数。このメトリクスは、そのリージョンに少なくとも 1 つの正規表現パターンが設定されている場合にのみ使用可能です。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

メトリクスおよびディメンションの表示

AWS Shield Advanced のメトリクス