Auf dieser Seite wird beschrieben, wie Sie Statistiken auflisten, beschreiben, schließen, wiederherstellen und exportieren.
Erforderliche Rollen und Berechtigungen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten und Exportieren von Statistiken benötigen:
-
Firewall Recommender Admin (
roles/recommender.firewallAdmin
) -
Firewall Recommender-Betrachter (
roles/recommender.firewallViewer
)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwalten und Exportieren von Statistiken erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um Statistiken zu verwalten und zu exportieren:
-
recommender.computeFirewallInsights.list
-
recommender.computeFirewallInsights.update
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Informationen zu einem Projekt auflisten
So listen Sie die Statistiken für ein Projekt auf:
gcloud
Führen Sie folgenden gcloud recommender insights list
-Befehl aus:
gcloud recommender insights list \ --project=PROJECT_ID \ --location=global \ --insight-type=google.compute.firewall.Insight \ --filter=EXPRESSION \ --limit=LIMIT \ --page-size=PAGE_SIZE \ --sort-by=SORT_BY \ --format=json
Ersetzen Sie PROJECT_ID
durch die Projekt-ID, für die Sie Statistiken auflisten möchten.
Das Flag location
verwendet immer den Standort global
. Das Flag insight-type
verwendet immer den Statistiktyp google.compute.firewall.Insight
. Sofern Sie die Ausgabe nicht im JSON-Format formatieren, ist die Befehlsausgabe tabellarisch.
Die folgenden Felder sind optional:
EXPRESSION
: Wenden Sie diesen booleschen Filter auf jede Ressource an, die Sie auflisten möchten.Wenn der Ausdruck als
True
ausgewertet wird, wird dieses Element aufgelistet. Für weitere Informationen und Beispiele zu Filterausdrücken führen Sie$ gcloud topic filters
aus oder lesen Sie die Dokumentation zugcloud topic filters
an.LIMIT
: Die maximale Anzahl von Ressourcen, die aufgelistet werden sollen. Die Standardanzahl der aufgelisteten Ressourcen ist unbegrenzt.PAGE_SIZE
: Die maximale Anzahl von Ressourcen, die pro Seite aufgelistet werden sollen.Die Standardseitengröße wird vom Dienst bestimmt, ansonsten gibt es keine Seitenwechsel. Seitenwechsel können vor oder nach
FILTER
undLIMIT
eingefügt werden.SORT_BY
: Eine Liste von durch Kommas getrennten Feldschlüsselnamen, nach denen für eine Ressource sortiert wirdDie Standardreihenfolge ist aufsteigend. Wenn Sie eine absteigende Reihenfolge angeben möchten, stellen Sie dem Feld
~
(eine Tilde) voran.
API
Stellen Sie eine GET
-Anfrage an die Methode projects.locations.insightTypes.insights
:
GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights
Das folgende Beispiel zeigt eine Beispielantwort für diesen Befehl.
insights { "name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}" "description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by projects/{project_id}/global/firewalls/{shadowing_firewall_name}." "content": { "shadowingFirewalls": [ "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowing_firewall_name1}" ] }, "lastRefreshTime": "2020-04-01T19:16:43Z", "observationPeriod": "0s", "stateInfo" { "state": "ACTIVE" } "category": "SECURITY" "targetResources":[ "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}" ], "insightSubtype": "SHADOWED_RULE" }
Statistiken beschreiben
So beschreiben Sie Details zu einer bestimmten Firewallregel in einem Projekt:
gcloud
Führen Sie folgenden gcloud recommender insights describe
-Befehl aus:
gcloud recommender insights describe INSIGHT_ID \ --project=PROJECT_NAME \ --location=global \ --insight-type=google.compute.firewall.Insight
Ersetzen Sie Folgendes:
INSIGHT_ID
: Die ID der zu beschreibenden StatistikPROJECT_NAME
: Der Name des Projekts, für das Sie Statistiken auflisten möchten
Das Flag location
verwendet immer den Standort global
. Das Flag insight-type
verwendet immer den Statistiktyp google.compute.firewall.Insight
.
API
Stellen Sie eine GET
-Anfrage an die Methode projects.locations.insightTypes.insights
:
GET https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*} { "name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID, }
Ersetzen Sie Folgendes:
PROJECT_ID
: die Projekt-IDLOCATION
: immer den Standortglobal
verwendenINSIGHT_TYPE_ID
: immer den Wertgoogle.compute.firewall.Insight
verwendenINSIGHT_ID
: die ID der Statistik
Statistik als abgelehnt markieren
Wenn eine Statistik nicht aussagekräftig ist oder Sie sie aus einem anderen Grund ausblenden möchten, können Sie sie verwerfen. Nachdem Sie eine Statistik verworfen haben, wird sie Ihnen oder anderen Nutzern in der Google Cloud Console nicht mehr angezeigt, sofern Sie sie nicht wiederherstellen.
So markieren Sie eine Statistik als verworfen:
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Suchen Sie die entsprechende Karte und klicken Sie auf Vollständige Liste anzeigen.
Wählen Sie die Regeln aus, die Sie schließen möchten, und klicken Sie auf Schließen.
Verworfene Statistik wiederherstellen
Wenn Sie eine Statistik geschlossen haben, die Sie später für relevant halten, können Sie oder ein anderer Nutzer sie wiederherstellen und in der Google Cloud Console sichtbar machen.
So stellen Sie eine geschlossene Statistik wieder her:
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf Verlauf schließen. Als Antwort wird in der Google Cloud Console die Seite Geschlossene Statistiken angezeigt.
Wählen Sie die Statistiken aus, die Sie wiederherstellen möchten, und klicken Sie dann auf Wiederherstellen.
Statistiken exportieren
Bei Bedarf können Sie Statistiken zu ausgeblendeten und zu moderaten Regeln im CSV- oder JSON-Format exportieren. Deny rules with hits
-Informationen können nicht exportiert werden, da sie auf Firewall-Stackdriver-Messwerten und nicht auf Statistiken basieren.
Statistiken können aus folgenden Gründen exportiert werden:
- Sie müssen die Daten in ein anderes System importieren.
- Sie möchten offline auf die Daten zugreifen.
- Sie möchten Firewall Insights deaktivieren, möchten aber den Zugriff auf zuvor generierte Statistiken beibehalten.
So exportieren Sie Statistiken:
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf Speichern unter.
Folgen Sie der Anleitung, um ein Format für Ihre Statistiken auszuwählen und herunterzuladen.
Sie können Statistiken auch nach BigQuery exportieren. Wenn Sie Statistiken nach BigQuery exportieren, können Sie sich tägliche Snapshots der Statistiken für Ihre Organisation ansehen. Weitere Informationen finden Sie unter Empfehlungen nach BigQuery exportieren.