设置观察期和刷新周期

本页介绍了如何在防火墙数据分析中配置观察期和刷新周期。

如需简要了解可用的数据分析,请参阅防火墙数据分析类别和状态

如需查看防火墙用量指标的列表,请参阅查看防火墙数据分析指标

所需的角色和权限

如需获得配置观察期和刷新周期所需的权限,请让您的管理员向您授予项目的 Firewall Recommender Admin (roles/recommender.firewallAdmin) IAM 角色。 如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

此预定义角色包含配置观察期和刷新周期所需的 recommender.computeFirewallInsightTypeConfigs.update 权限。

您也可以使用自定义角色或其他预定义角色来获取此权限。

配置观察期

对于某些数据分析,您可以配置观察期,即数据分析涵盖的时间间隔。例如,您可以为过于宽松的规则和 deny 规则数据分析配置观察期。默认观察期为 6 周,您可以将观察期配置为 7 天到 1 年。

例如,如果您将 deny 规则数据分析的观察期设置为两个月,则当您在观察期后查看具有命中的 deny 规则列表时,防火墙数据分析仅向您显示在过去两个月内有命中的规则。假设您稍后将观察期更改为一个月;防火墙数据分析可能会识别不同数量的规则,因为它会分析较短的时间间隔。

查看数据分析和配置观察期时,请注意以下事项:

  • 当为有命中的 deny 规则配置观察期时,防火墙数据分析会立即更新数据分析结果。

  • 当您更新过于宽松的规则数据分析的观察期时,防火墙数据分析最多可能需要 48 小时才能更新现有结果。在此期间,现有结果的观察期与先前配置的观察期一致。

  • 对于过于宽松的数据分析,如果数据分析未识别防火墙规则,则防火墙数据分析不会显示观察期以识别所用的数据分析。

  • 被覆盖的规则数据分析没有观察期,因为它们不会评估历史数据。被覆盖的规则分析每 24 小时评估一次现有的防火墙规则配置。

  • 生成数据分析时,可能不会包含过去 24 小时内的流量日志数据。

控制台

配置观察期

  1. 在 Google Cloud 控制台中,进入防火墙数据分析页面。

    转到“防火墙数据分析”

  2. 点击配置

  3. 点击观察期

  4. 根据需要,将观察期下拉列表设置为以下每项的适当时间:

    • 过于宽松的规则数据分析

    • 拒绝规则数据分析

API

要为具有命中的 deny 规则设置观察期,您必须使用 Google Cloud 控制台。但是,您可以使用 Recommender API 为过于宽松的规则数据分析设置观察期。您还可以使用 API 启用数据分析并检索配置详细信息。

如需为过于宽松的规则数据分析设置观察期,请使用 updateConfig 方法

如需使用 updateConfig 方法,请为其所有参数设置值。此外,您还必须指定是启用还是停用了被覆盖的规则数据分析和过于宽松的规则数据分析。

如需进行此类更新,请使用以下请求。

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

替换以下值:

  • PROJECT_ID:您的项目的 ID
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE:过于宽松的规则数据分析的观察期的时间(以秒为单位)
  • ENABLEMENT_SHADOWED:一个布尔值,表示是否启用了被覆盖的规则数据分析
  • ENABLEMENT_OVERLY_PERMISSIVE:一个布尔值,表示是否启用了过于宽松的规则数据分析
  • ETAGIAM 政策 etag 值;如需检索 etag 值,请使用 getConfig 方法,如以下部分所述

示例

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "604800s",
          "enable_shadowed_rule_insights": true,
          "enable_overly_permissive_rule_insights": true
         }
       },
    "etag": "\"ETAG\"",
  }

检索配置详情

如需检索有关如何配置防火墙数据分析的详细信息,请使用 getConfig 方法,如以下示例所示。

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

安排自定义刷新周期

设置刷新周期以为您的项目生成被覆盖的规则数据分析。

您可以将刷新周期设置为在指定的日期开始,并自定义周期频率。默认周期频率为一天(24 小时)。

控制台

为数据分析配置自定义刷新周期:

  1. 在 Google Cloud 控制台中,进入防火墙数据分析页面。

    转到“防火墙数据分析”

  2. 点击配置

  3. 点击启用

  4. 要启用被覆盖的规则数据分析,请点击切换开关。

  5. 开始日期字段中,输入自定义刷新周期的开始日期。

  6. 重复间隔字段中,选择从周期开始日期开始的刷新周期频率:

    • :每 24 小时
    • :每周,在您选择的那一天
    • :每月
    • 季度:每个季度

    新的数据分析生成时间表会在保存时间表更改后的 24 小时后生效。

后续步骤