Statistiken verwalten und exportieren

Auf dieser Seite wird beschrieben, wie Sie Statistiken auflisten, beschreiben, schließen, wiederherstellen und exportieren.

Erforderliche Rollen und Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten und Exportieren von Statistiken benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwalten und Exportieren von Statistiken erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Statistiken zu verwalten und zu exportieren:

  • recommender.computeFirewallInsights.list
  • recommender.computeFirewallInsights.update

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Informationen zu einem Projekt auflisten

So listen Sie die Statistiken für ein Projekt auf:

gcloud

Führen Sie folgenden gcloud recommender insights list-Befehl aus:

gcloud recommender insights list \
    --project=PROJECT_ID \
    --location=global \
    --insight-type=google.compute.firewall.Insight \
    --filter=EXPRESSION \
    --limit=LIMIT \
    --page-size=PAGE_SIZE \
    --sort-by=SORT_BY \
    --format=json

Ersetzen Sie PROJECT_ID durch die Projekt-ID, für die Sie Statistiken auflisten möchten.

Das Flag location verwendet immer den Standort global. Das Flag insight-type verwendet immer den Statistiktyp google.compute.firewall.Insight. Sofern Sie die Ausgabe nicht im JSON-Format formatieren, ist die Befehlsausgabe tabellarisch.

Die folgenden Felder sind optional:

  • EXPRESSION: Wenden Sie diesen booleschen Filter auf jede Ressource an, die Sie auflisten möchten.

    Wenn der Ausdruck als True ausgewertet wird, wird dieses Element aufgelistet. Für weitere Informationen und Beispiele zu Filterausdrücken führen Sie $ gcloud topic filters aus oder lesen Sie die Dokumentation zu gcloud topic filters an.

  • LIMIT: Die maximale Anzahl von Ressourcen, die aufgelistet werden sollen. Die Standardanzahl der aufgelisteten Ressourcen ist unbegrenzt.

  • PAGE_SIZE: Die maximale Anzahl von Ressourcen, die pro Seite aufgelistet werden sollen.

    Die Standardseitengröße wird vom Dienst bestimmt, ansonsten gibt es keine Seitenwechsel. Seitenwechsel können vor oder nach FILTER und LIMIT eingefügt werden.

  • SORT_BY: Eine Liste von durch Kommas getrennten Feldschlüsselnamen, nach denen für eine Ressource sortiert wird

    Die Standardreihenfolge ist aufsteigend. Wenn Sie eine absteigende Reihenfolge angeben möchten, stellen Sie dem Feld ~ (eine Tilde) voran.

API

Stellen Sie eine GET-Anfrage an die Methode projects.locations.insightTypes.insights:

GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights

Das folgende Beispiel zeigt eine Beispielantwort für diesen Befehl.

insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
  "shadowingFirewalls": [
    "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowing_firewall_name1}"
  ]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
 "state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
 "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
 ],
"insightSubtype": "SHADOWED_RULE"
}

Statistiken beschreiben

So beschreiben Sie Details zu einer bestimmten Firewallregel in einem Projekt:

gcloud

Führen Sie folgenden gcloud recommender insights describe-Befehl aus:

gcloud recommender insights describe INSIGHT_ID \
    --project=PROJECT_NAME \
    --location=global \
    --insight-type=google.compute.firewall.Insight

Ersetzen Sie Folgendes:

  • INSIGHT_ID: Die ID der zu beschreibenden Statistik
  • PROJECT_NAME: Der Name des Projekts, für das Sie Statistiken auflisten möchten

Das Flag location verwendet immer den Standort global. Das Flag insight-type verwendet immer den Statistiktyp google.compute.firewall.Insight.

API

Stellen Sie eine GET-Anfrage an die Methode projects.locations.insightTypes.insights:

GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
 "name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die Projekt-ID
  • LOCATION: immer den Standort global verwenden
  • INSIGHT_TYPE_ID: immer den Wert google.compute.firewall.Insight verwenden
  • INSIGHT_ID: die ID der Statistik

Statistik als abgelehnt markieren

Wenn eine Statistik nicht aussagekräftig ist oder Sie sie aus einem anderen Grund ausblenden möchten, können Sie sie verwerfen. Nachdem Sie eine Statistik verworfen haben, wird sie Ihnen oder anderen Nutzern in der Google Cloud Console nicht mehr angezeigt, sofern Sie sie nicht wiederherstellen.

So markieren Sie eine Statistik als verworfen:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.

    Zu Firewall Insights

  2. Suchen Sie die entsprechende Karte und klicken Sie auf Vollständige Liste anzeigen.

  3. Wählen Sie die Regeln aus, die Sie schließen möchten, und klicken Sie auf Schließen.

Verworfene Statistik wiederherstellen

Wenn Sie eine Statistik geschlossen haben, die Sie später für relevant halten, können Sie oder ein anderer Nutzer sie wiederherstellen und in der Google Cloud Console sichtbar machen.

So stellen Sie eine geschlossene Statistik wieder her:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.

    Zu Firewall Insights

  2. Klicken Sie auf Verlauf schließen. Als Antwort wird in der Google Cloud Console die Seite Geschlossene Statistiken angezeigt.

  3. Wählen Sie die Statistiken aus, die Sie wiederherstellen möchten, und klicken Sie dann auf Wiederherstellen.

Statistiken exportieren

Bei Bedarf können Sie Statistiken zu ausgeblendeten und zu moderaten Regeln im CSV- oder JSON-Format exportieren. Deny rules with hits-Informationen können nicht exportiert werden, da sie auf Firewall-Stackdriver-Messwerten und nicht auf Statistiken basieren.

Statistiken können aus folgenden Gründen exportiert werden:

  • Sie müssen die Daten in ein anderes System importieren.
  • Sie möchten offline auf die Daten zugreifen.
  • Sie möchten Firewall Insights deaktivieren, möchten aber den Zugriff auf zuvor generierte Statistiken beibehalten.

So exportieren Sie Statistiken:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.

    Zu Firewall Insights

  2. Klicken Sie auf Speichern unter.

  3. Folgen Sie der Anleitung, um ein Format für Ihre Statistiken auszuwählen und herunterzuladen.

Sie können Statistiken auch nach BigQuery exportieren. Wenn Sie Statistiken nach BigQuery exportieren, können Sie sich tägliche Snapshots der Statistiken für Ihre Organisation ansehen. Weitere Informationen finden Sie unter Empfehlungen nach BigQuery exportieren.

Nächste Schritte