**推出 的新主控台體驗 AWS WAF** 您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 在 Shield Advanced 中檢視應用程式層 (第 7 層) 事件詳細資訊 您可以在 主控台頁面底部查看應用程式層事件偵測、緩解和最大貢獻者的詳細資訊。本節可以包含合法和可能不需要的流量的混合,並可能代表傳送到受保護資源的流量,以及 Shield Advanced 緩解措施封鎖的流量。 緩解詳細資訊適用於 Web ACL 中與資源相關聯的任何規則,包括專門為了回應攻擊而部署的規則,以及 Web ACL 中定義的以速率為基礎的規則。如果您為應用程式啟用自動應用程式層 DDoS 緩解,緩解指標會包含這些額外規則的指標。如需這些應用程式層保護的相關資訊,請參閱 [使用 AWS Shield Advanced 和 保護應用程式層 (第 7 層) AWS WAF](ddos-app-layer-protections.md)。 ## 偵測和緩解 對於應用程式層 (第 7 層) 事件,**偵測和緩解**索引標籤會顯示以從 AWS WAF 日誌取得的資訊為基礎的偵測指標。緩解指標是根據相關聯 Web ACL 中的 AWS WAF 規則,這些規則設定為封鎖不需要的流量。 對於 Amazon CloudFront 分佈,您可以設定 Shield Advanced 為您套用自動緩解措施。透過任何應用程式層資源,您可以選擇在 Web ACL 中定義自己的緩解規則,也可以向 Shield 回應團隊 (SRT) 請求協助。如需這些選項的資訊,請參閱 [在 中回應 DDoS 事件 AWS](ddos-responding.md)。 下列螢幕擷取畫面顯示應用程式層事件的偵測指標範例,該事件會在數小時後消失。 ![偵測指標圖表顯示從 11:30 到 16:00 下降的請求洪水流量偵測。](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/shield-app-detection-metrics.png) 緩解規則生效之前 下的事件流量不會在緩解指標中表示。這可能會導致偵測圖表中顯示的 Web 請求流量與緩解圖表中顯示的允許和封鎖指標之間的差異。 ## 主要貢獻因子 應用程式層事件的前 5 個**貢獻**者索引標籤會根據 Shield 擷取的 AWS WAF 日誌,顯示 Shield 為事件識別的前 5 個貢獻者。Shield 依來源 IP、來源國家/地區和目的地 URL 等維度來分類主要參與者資訊。 **注意** 如需導致應用程式層事件之流量的最準確資訊,請使用 AWS WAF 日誌。 僅使用 Shield 應用程式層主要參與者資訊來取得攻擊本質的一般概念,而不是根據其做出安全決策。對於應用程式層事件, AWS WAF 日誌是了解攻擊參與者和制定緩解策略的最佳資訊來源。 Shield 主要參與者資訊不一定完全反映 AWS WAF 日誌中的資料。擷取日誌時,Shield 會優先減少對系統效能的影響,而不是從日誌擷取完整的資料集。這可能會導致 Shield 可用於分析的資料中遺失精細程度。在大多數情況下,大多數資訊都是可用的,但主要貢獻者資料可能會因為任何攻擊而偏向某種程度。 下列螢幕擷取畫面顯示應用程式層事件**的最佳參與者**標籤範例。 ![應用程式層事件的前 5 個貢獻者索引標籤說明了多個 Web 請求特性的前 5 個貢獻者。畫面顯示前 5 個來源 IP 地址、前 5 URLs、前 5 個來源國家/地區,以及前 5 個使用者代理程式。](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/shield-app-event-top-contributors.png) 貢獻者資訊是根據對合法和可能不需要的流量的請求。較大的磁碟區事件和請求來源未高度分佈的事件,更有可能具有可識別的主要參與者。顯著分佈的攻擊可能具有任意數量的來源,因此很難識別攻擊的主要原因。如果 Shield Advanced 無法識別特定類別的重要參與者,則會將資料顯示為無法使用。