**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS WAF 指标和维度
<a name="waf-metrics"></a>

AWS WAF 每分钟报告一次指标。 AWS WAF 在`AWS/WAFV2`命名空间中提供指标和维度。

您可以通过 AWS WAF 控制台在保护包 (Web ACL) 的流量概述选项卡中查看 AWS WAF 指标的摘要信息。有关更多信息，请转到控制台或参阅 [保护包的流量概述仪表板 (Web ACLs)](web-acl-dashboards.md)。

您可以看到保护包 (Web ACLs)、规则、规则组和标签的以下指标。
+ **您的规则**：指标按照规则操作进行分组。例如，如果在 Count 模式下测试规则，则其匹配项列为保护包（web ACL）的 `Count` 指标。
+ **您的规则组**：您的规则组指标列在规则组指标下。
+ **其他账户拥有的规则组**：规则组指标通常只有规则组的所有者可见。但是，如果覆盖了某个规则的规则操作，则该规则的指标将列示在保护包（web ACL）指标下。此外，任何规则组添加的标签都会列示在您的保护包（web ACL）指标中 

  规则组中的计数操作规则不会发出 Web ACL 维度指标， RuleGroup仅发出 “规则” 和 “区域” 维度。即使在 Web ACL 中引用了规则组，这也适用。

  此类别中的规则组 [AWS 的托管规则 AWS WAF](aws-managed-rule-groups.md)、[AWS Marketplace 规则组](marketplace-rule-groups.md)、[识别其他服务提供的规则组](waf-service-owned-rule-groups.md) 以及其他账户与您共享的规则组。通过 Firewall Manager 部署保护包（web ACL）时，WebACL 中使用计数操作的任何规则均不会在成员账户中显示其指标。
+ **标签**：评估期间添加到 web 请求的标签列在保护包（web ACL）的标签指标中。您可以访问所有标签的指标，无论这些指标是由您的规则和规则组添加的，还是由其他账户拥有的规则添加的。

**Topics**
+ [

## AWS WAF 核心指标和维度
](#waf-metrics-general)
+ [

## 标签指标和维度
](#waf-metrics-label)
+ [

## 免费机器人可见性指标和维度
](#waf-metrics-bot-free)
+ [

## 账户指标和维度
](#waf-metrics-account)
+ [

## AWS WAF 使用量指标
](#waf-metrics-usage)

## AWS WAF 核心指标和维度
<a name="waf-metrics-general"></a>


**AWS WAF 核心指标**  

| 指标 | 说明 | 
| --- | --- | 
| `AllowedRequests` |  允许的 web 请求数。 报告标准：有非零值。 有效统计数据：Sum  | 
| `BlockedRequests` |  阻止的 web 请求数。 报告标准：有非零值。 有效统计数据：Sum  | 
| `CountedRequests` |  计数的 web 请求数。 报告标准：有非零值。 已计数的 web 请求是至少匹配了一个规则的请求。请求计数通常用于测试。 有效统计数据：Sum  | 
| `CaptchaRequests` |  应用了验证码控制的网络请求数量。它代表终止规则，不包括`RequestsWithValidCaptchaToken`。 报告标准：有非零值。 验证码 web 请求是指与具有 CAPTCHA 操作设置的规则相匹配的请求。此指标记录所有匹配的请求，无论验证码令牌是否过期、无效、缺失或具备不匹配的域。 有效统计数据：Sum  | 
|  `RequestsWithValidCaptchaToken`  |  应用了验证码控件且验证码令牌有效的 web 请求数量。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `CaptchasAttempted`  |  最终用户为响应验证码拼图挑战而提交的解决方案数量。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `CaptchasSolved`  |  已提交的成功完成的验证码拼图解决方案的数量。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `ChallengeRequests`  |  应用了质询控件的 web 请求数量。它代表终止规则，不包括`RequestsWithValidChallengeToken`。 报告标准：有非零值。 质询 web 请求是指与具有 Challenge 操作设置的规则相匹配的请求。此指标记录所有匹配的请求，无论质询令牌是否过期、无效、缺失或具备不匹配的域。 有效统计数据：Sum  | 
|  `ChallengesAttempted`  |  终端用户为响应 Challenge 规则提供的静默质询而提交的尝试次数。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `ChallengesSolved`  |  成功通过 Challenge 规则所提供静默质询的静默质询解决方案数量。 报告标准：有非零值。 有效统计数据：Sum  | 
| `PassedRequests` |  已通过的请求数。这仅用于通过规则组评估但不匹配任何规则组规则的请求。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `RequestsWithValidChallengeToken`  |  应用了质询控件且质询令牌有效的 web 请求数量。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `LowReputationPacketsDropped`  |  已知恶意源丢弃的数据包数量。当请求被资源级 DDo S 保护阻止时，就会记录此指标。 报告标准：有非零值。 有效统计数据：Sum 此指标会发布到 `AWS/ApplicationELB` 命名空间。  | 
|  `LowReputationRequestsDenied`  |  HTTP 403 响应拒绝 HTTP 请求的数量。当请求被资源级 DDo S 保护阻止时，就会记录此指标。 报告标准：有非零值。 有效统计数据：Sum 此指标会发布到 `AWS/ApplicationELB` 命名空间。  | 


**AWS WAF 核心尺寸**  

| 维度 | 说明 | 
| --- | --- | 
|  `Region`  | 除 Amazon CloudFront 分配以外的所有受保护资源类型均为必填项。 | 
|  `Rule`  |  下列情况之一： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/waf-metrics.html)  | 
|  `RuleGroup`  |  `RuleGroup` 的指标名称。  | 
|  `WebACL`  |  `WebACL` 的指标名称。  | 
|  `WebACLArn`  |  Web ACL 的 Amazon 资源名称（ARN）。此维度仅在启用时 AWS WAF 可用。  | 
|  `ResourceType`  |  受保护资源的类型，例如 `CF`、`APIGW` 或 `ALB`。  | 
|  `Resource`  |  受保护资源的 Amazon 资源名称（ARN）。 此维度不包括 App Runner 资源 ARNs。  | 
|  `Country`  |  请求的源国家/地区。这是国际标准化组织 (ISO) 3166 标准中的双字符名称。例如，US 代表美国，UA 代表乌克兰。 如果请求有 `X-Forwarded-For` 标头，则 AWS WAF 使用该标头来确定此设置。否则， AWS WAF 使用客户端 IP 所在的国家/地区。此决定与您在规则中用于确定原产国的任何逻辑无关。 AWS WAF 确定 IPs使用 MaxMind GeoIP 数据库的位置。  | 
|  `Attack`  |  根据您在 Web ACL 中使用的规则和规则组，在请求中 AWS WAF 识别的攻击类型。 您的规则和基准 AWS 托管规则组中的规则可以识别攻击类型。例如，跨站脚本攻击（XSS）规则匹配标识 XSS 攻击类型，基于速率的规则识别容量攻击类型。攻击类型通常表示终止 web 请求评估的规则类型。  | 
|  `Device`  |  发送请求的客户端的设备类型，从 web 请求的 `user-agent` 标头中获取。  | 
|  `LoadBalancerArn`  |  负载均衡器的 Amazon 资源名称（ARN）。  | 
|  `LoadBalancerArnAvailabilityZone`  |  负载均衡器 ARN 和可用区的组合。  | 
|  `ManagedRuleGroup`  |  `ManagedRuleGroup` 的指标名称。  | 
|  `ManagedRuleGroupRule`  |  `ManagedRuleGroup` 中已匹配的规则。  | 
|  `VulnerabilityCategory`  |  请求匹配的漏洞类别，基于 AWS 托管规则 IP 集。  | 

## 标签指标和维度
<a name="waf-metrics-label"></a>

根据您的规则和您在保护包（web ACL）中使用的托管规则组在评估期间向请求添加的标签的指标。有关信息，请参阅[Web 请求标签](waf-labels.md)。

对于任何一个 Web 请求，最多可 AWS WAF 存储 100 个标签的指标。保护包（web ACL）评估可以应用 100 多个标签，并与 100 多个标签进行匹配，但只有前 100 个标签会反映在指标中。


**标签指标**  

| 指标 | 说明 | 
| --- | --- | 
|  `AllowedRequests`  |  Allow 应用了操作设置的 web 请求上的标签数量。在 web 请求评估期间，可以随时添加标签。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `BlockedRequests`  |  Block 应用了操作设置的 web 请求上的标签数量。在 web 请求评估期间，可以随时添加标签。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `CountedRequests`  |  具有 Count 操作设置的规则组规则向 web 请求添加的标签数量。 此指标仅适用于规则组的所有者，适用于规则组内的规则。对于其他情况，计数标签指标会汇总到应用于请求的终止操作中，例如 Allow 或 Block。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `CaptchaRequests`  |  已应用终止 CAPTCHA 操作的 web 请求上的标签数量。在 web 请求评估期间，可以随时添加标签。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `ChallengeRequests`  |  已应用终止 Challenge 操作的 web 请求上的标签数量。在 web 请求评估期间，可以随时添加标签。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `AllowRuleMatch`  |  生成相关标签并通过 Allow 操作终止了请求评估的匹配规则数。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `BlockRuleMatch`  |  生成相关标签并通过 Block 操作终止了请求评估的匹配规则数。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `CountRuleMatch`  |  生成相关标签并应用了 Count 操作的匹配规则数。 如果多条规则配置了相同的标签和操作，则一个请求可能会导致该指标产生多个实例。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `CaptchaRuleMatch`  |  生成相关标签并通过 CAPTCHA 操作终止了请求评估的匹配规则数。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `ChallengeRuleMatch`  |  生成相关标签并通过 Challenge 操作终止了请求评估的匹配规则数。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `CaptchaRuleMatchWithValidToken`  |  生成相关标签并应用非终止性 CAPTCHA 操作的匹配规则数。 如果多条规则配置了相同的标签和操作，则一个请求可能会导致该指标产生多个实例。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `ChallengeRuleMatchWithValidToken`  |  生成相关标签并应用非终止性 Challenge 操作的匹配规则数。 如果多条规则配置了相同的标签和操作，则一个请求可能会导致该指标产生多个实例。 报告标准：有非零值。 有效统计数据：Sum  | 


**标签维度**  

| 维度 | 说明 | 
| --- | --- | 
|  `Region`  | 除 Amazon CloudFront 分配以外的所有受保护资源类型均为必填项。 | 
|  `RuleGroup`  |  `RuleGroup` 的指标名称。用于指标 `CountedRequests`  | 
|  `WebACL`  |  `WebACL` 的指标名称。  | 
|  `ResourceType`  |  受保护资源的类型，例如 `CF`、`APIGW` 或 `ALB`。  | 
|  `Resource`  |  受保护资源的 Amazon 资源名称（ARN）。  | 
|  `LabelNamespace`  | 添加到请求中的标签的命名空间前缀。 | 
|  `Label`  | 添加到请求中的标签的名称。 | 
|  `Context`  | 作为标签添加上下文的托管规则组。例如，令牌管理标签的上下文，例如awswaf:managed:token:accepted对请求使用令牌管理的 AWS WAF 托管规则组，例如 Bot Control 或 ATP 托管规则组。该维度不适用于所有标签。 | 

## 免费机器人可见性指标和维度
<a name="waf-metrics-bot-free"></a>

当您在保护包（Web ACL）中未使用机器人控制时，可以将机器人控制托管规则组 AWS WAF 应用于您的 Web 请求样本，无需支付额外费用。这可以让您了解流向受保护资源的机器人流量。有关机器人控制功能的详细信息，请参阅 [AWS WAF 机器人控制规则组](aws-managed-rule-groups-bot.md)。


**免费机器人可见度指标**  

| 指标 | 说明 | 
| --- | --- | 
|  `SampleAllowedRequest`  |  已执行 Allow 操作的抽样请求的次数。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `SampleBlockedRequest`  |  已执行 Block 操作的抽样请求的次数。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `SampleCaptchaRequest`  |  已执行 CAPTCHA 操作的抽样请求的次数。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `SampleChallengeRequest`  |  已执行 Challenge 操作的抽样请求的次数。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `SampleCountRequest`  |  已执行 Count 操作的抽样请求的次数。 报告标准：有非零值。 有效统计数据：Sum  | 


**免费机器人可见度维度**  

| 维度 | 说明 | 
| --- | --- | 
|  `Region`  | 除 Amazon CloudFront 分配以外的所有受保护资源类型均为必填项。 | 
|  `WebACL`  |  `WebACL` 的指标名称。  | 
|  `BotCategory`  |  检测到的机器人类别的名称，基于网络请求标签。  | 
|  `VerificationStatus`  |  检测到的机器人验证状态的名称，基于网络请求标签。  | 
|  `Signal`  |  检测到的机器人信号的名称，基于网络请求标签。  | 

## 账户指标和维度
<a name="waf-metrics-account"></a>

账户指标提供有关通过 API 提供的 CAPTCHA 难题和静默Challenge规则操作的账户范围信息。 JavaScript


**账户指标**  

| 指标 | 说明 | 
| --- | --- | 
|  `CaptchasAttemptedSdk`  |  对于通过 CAPTCHA API 提供的谜题，最终用户为响应 CAPTCHA 拼图挑战而提交的解决方案数量。 JavaScript  报告标准：有非零值。 有效统计数据：Sum  | 
|  `CaptchasSolvedSdk`  |  对于通过 CAPTCHA API 提供的谜题，提交的成功解开谜题的 CAP JavaScript TCHA 拼图解决方案的数量。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `ChallengesAttemptedSdk`  |  最终用户为响应 Challenge JavaScript API 提供的静默质询而提交的尝试次数。 报告标准：有非零值。 有效统计数据：Sum  | 
|  `ChallengesSolvedSdk`  |  已提交的成功通过 Challenge JavaScript API 提供的静默挑战的静默挑战解决方案的数量。 报告标准：有非零值。 有效统计数据：Sum  | 


**账户维度**  

| 维度 | 说明 | 
| --- | --- | 
|  `Region`  | 除 Amazon CloudFront 分配以外的所有受保护资源类型均为必填项。 | 

## AWS WAF 使用量指标
<a name="waf-metrics-usage"></a>

您可以使用 CloudWatch 使用量指标来了解您的账户的资源使用情况。使用这些指标在 CloudWatch 图表和仪表板上可视化您当前的服务使用情况。

AWS WAF 使用量指标对应于 AWS 服务配额。您可以配置警报，以在用量接近服务配额时向您发出警报。有关与服务配额 CloudWatch 集成的更多信息，请参阅 *Amazon CloudWatch 用户指南中的[AWS 使用量指标](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Service-Quota-Integration.html)。*

AWS WAF 在`AWS/Usage`命名空间中发布以下指标。


**使用情况指标**  

| 指标 | 说明 | 
| --- | --- | 
|  `ResourceCount`  |  您账户中指定资源的数量。资源由与指标关联的维度定义。 此指标最有用的统计数据是 `MAXIMUM`，这表示 1 分钟期间内使用的最大资源数。  | 

以下维度用于细化发布的使用量指标 AWS WAF。


**用量维度**  

| 维度 | 说明 | 
| --- | --- | 
|  `Resource`  | 报告用量的资源类型。 | 

以下是 `Resource` 维度的支持值。


**`Resource` 值**  

| 值 | 说明 | 
| --- | --- | 
|  `WebAclsPerAccountCloudFront`  | 客户在 CloudFront 每个账户中拥有的保护包（网络 ACLs）数量。只有当中至少有一个保护包 (Web ACL) 时，此指标才可用 CloudFront。 | 
|  `WebAclsPerAccountRegional`  | 客户每个账户在一个区域内拥有的保护包（网络 ACLs）数量。此指标仅在该区域中至少有一个保护包（web ACL）时可用。 | 
|  `RuleGroupsPerAccountCloudFront`  | 客户在 CloudFront 每个账户中拥有的规则组数量。仅当中至少有一个规则组时，此指标才可用 CloudFront。 | 
|  `RuleGroupsPerAccountRegional`  | 客户在区域中每个账户拥有的规则组数量。此指标仅在该区域中至少有一个规则组时可用。 | 
|  `IpSetsPerAccountCloudFront`  | 客户在 CloudFront 每个账户中拥有的 IP 集数。此指标仅在中设置了至少一个 IP 时才可用 CloudFront。 | 
|  `IpSetsPerAccountRegional`  | 客户在区域中每个账户拥有的 IP 集数量。此指标仅在该区域中至少有一个 IP 集时可用。 | 
|  `RegexPatternSetsPerAccountCloudFront`  | 客户在每个账户中拥有的正则表达式模式集的 CloudFront 数量。仅当中设置了至少一个正则表达式模式时，此指标才可用。 CloudFront | 
|  `RegexPatternSetsPerAccountRegional`  | 客户在区域中每个账户拥有的正则表达式模式集数量。此指标仅在该区域中至少有一个正则表达式模式集时可用。 |