查看 web 请求示例 - AWS WAF、 AWS Firewall Manager AWS Shield Advanced、和 AWS Shield 网络安全总监

引入全新的主机体验 AWS WAF

现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅使用控制台

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看 web 请求示例

本节介绍 AWS WAF 控制台中的保护包 (Web ACL) 采样请求选项卡。在此选项卡中,您可以查看 AWS WAF 已检查的 Web 请求的所有规则匹配项的图表。此外,如果您为保护包(Web ACL)启用了请求采样,则可以看到 AWS WAF 已检查的 Web 请求样本的表格视图。您还可以通过 API 调用 GetSampledRequests 检索抽样请求信息。

请求采样包含多达 100 个符合保护包(web ACL)规则条件的请求,另有 100 个请求不符合任何规则,但应用了保护包(web ACL)默认操作。样本中的请求来自所有受保护的资源,这些资源在过去三小时内收到了对您内容的请求。

当 Web 请求与规则中的条件相匹配且该规则的操作未终止请求评估时, AWS WAF 将继续使用保护包 (Web ACL) 中的后续规则检查 Web 请求。因此,web 请求可能会多次出现。有关规则操作行为的信息,请参阅 在中使用规则操作 AWS WAF

查看所有规则图表和采样请求

  1. 登录 AWS 管理控制台 并在 https://console.aws.amazon.com/wafv2/homev 2 上打开主 AWS WAF 机。

  2. 在导航窗格中,选择保护包 (Web ACLs)

  3. 选择要查看其请求的保护包(web ACL)名称。控制台会将您转到保护包(web ACL)的描述,您可以在其中对其进行编辑。

  4. 采样请求选项卡中,您可以看到以下内容:

    • 所有规则图表:此图表显示在指定时间范围内执行的所有 web 请求评估的匹配规则和规则操作。

      注意

      此图表的时间范围在保护包(web ACL)流量概述选项卡的数据筛选器部分中设置。有关信息,请参阅查看保护包(web ACL)的控制面板

    • 采样请求表 - 此表显示过去 3 小时的采样请求数据。

      注意

      如果您没有看到预期的托管规则组示例,请参阅此过程以下的部分。

      对于每个条目,该表显示下列数据:

      指标名称

      与请求匹配的保护包 (Web ACL) 中规则的 CloudWatch 指标名称。如果 web 请求与保护包(web ACL)中的任何规则都不匹配,则此值为默认值。

      注意

      如果您更改了规则的名称,并且希望该规则的指标名称反映更改,则还必须更新该指标名称。 AWS WAF 当您更改规则名称时,不会自动更新规则的指标名称。在控制台中编辑规则时,您可以使用规则 JSON 编辑器更改指标名称。您也可以通过 APIs 和在用于定义保护包 (Web ACL) 或规则组的任何 JSON 列表中更改两个名称。

      源 IP

      该请求来自的 IP 地址或(如果查看者使用 HTTP 代理或应用程序负载均衡器发送请求)代理或应用程序负载均衡器的 IP 地址。

      URI

      URL 中标识资源的部分 (例如 /images/daily-ad.jpg)。

      规则组中的规则数

      如果指标名称标识了规则组参考语句,则该语句标识了规则组中与该请求相匹配的规则。

      Action

      指示对应规则的操作。有关可能的规则操作的信息,请参阅 在中使用规则操作 AWS WAF

      时间

      从受保护资源 AWS WAF 收到请求的时间。

      要显示有关 web 请求组成部分的其他信息,请在请求行中选择 URI 的名称。

托管规则组中规则的采样请求

控制台显示规则组的指标,其中 “规则组内的规则” 指定了触发的规则。您可以使用最新RuleActionOverrides设置查看默认操作规则集和规则的指标。对于使用旧ExcludedRules设置的规则,请从 “采样请求” 指标规则下拉列表中选择规则集中的特定规则。

如果您看到较旧的设置,请使用新设置进行替换,以开始通过控制台提供采样请求。您可以通过控制台编辑保护包(web ACL)中的托管规则组并将其保存以完成此操作。 AWS WAF 自动使用 RuleActionOverrides 设置替换任何较旧的设置,并将规则操作覆盖设置为 Count。有关这两种设置的更多信息,请参阅 JSON 列表:RuleActionOverrides 取代 ExcludedRules

您可以通过 AWS WAF REST API 或命令行访问已使用旧覆盖的规则的采样请求。 SDKs有关信息,请参阅 AWS WAF API 参考GetSampledRequests中的。

以下说明命令行请求的语法:

aws wafv2 get-sampled-requests \
  --web-acl-arn webACL ARN \
  --rule-metric-name Metric name of the rule in the managed rule group \
  --scope=REGIONAL or CLOUDFRONT \
  --time-window StartTime=UTC timestamp,EndTime=UTC timestamp \
  --max-items 100