Mit den Firewall Insights-Messwerten können Sie analysieren, wie Ihre Firewallregeln verwendet werden. Sie können die Messwerte mit Cloud Monitoring und der Google Cloud Console aufrufen.
Die folgenden Messwerte helfen Ihnen, die Firewallnutzung zu verfolgen:
- Messwerte für die Trefferanzahl von Firewalls geben an, wie oft eine Firewallregel verwendet wurde, um Traffic zuzulassen oder abzulehnen.
- Die Firewall – letzte Metriken zeigen Ihnen, wann eine bestimmte Firewall-Regel das letzte Mal verwendet wurde, um Traffic zuzulassen oder zu verweigern.
Beachten Sie die folgenden Aspekte zu Firewall Insights-Messwerten:
- Die Messwerte werden über das Logging von Firewallregeln abgeleitet.
- Die Messwerte sind nur für Regeln verfügbar, für die das Logging von Firewallregeln aktiviert ist, und sind nur für den Zeitraum korrekt, in dem das Logging von Firewallregeln aktiviert ist.
- Firewall-Messwerte werden nur für Traffic generiert, der den Spezifikationen für das Logging von Firewallregeln entspricht. Daten werden beispielsweise protokolliert und Messwerte werden nur für TCP- und UDP-Traffic generiert. Eine vollständige Liste der Kriterien finden Sie unter Spezifikationen in der Übersicht über das Logging von Firewallregeln.
Sie können beliebige Abfragen zu Firewall Insights-Messwerten erstellen. Verwenden Sie dazu die Anfragemethode projects.timeSeries.list in der API-Dokumentation zu Cloud Monitoring Version 3.
Firewall Insights erfasst Metrikdaten zum Zeitpunkt, an dem die Firewallregel zuletzt angewendet wurde, um Traffic zuzulassen oder zu verweigern (Zeitstempel), und zur Anzahl der Treffer einer Firewallregel für den Aufbewahrungszeitraum.
firewallinsights.googleapis.com/subnet/firewall_hit_countfirewallinsights.googleapis.com/subnet/firewall_last_used_timestampfirewallinsights.googleapis.com/vm/firewall_hit_countfirewallinsights.googleapis.com/vm/firewall_last_used_timestamp
Die Metrik zum Verfolgen der Firewall-Trefferzahlen wird pro VM-Instanz (Virtual Machine) und pro VPC-Subnetz (Virtual Private Cloud) definiert.
Pro-Instanz-Metriken (VM-Metriken) liefern die Anzahl der Treffer und die zuletzt verwendeten Zeitstempelinformationen für die Netzwerkschnittstelle einer VM. Pro-Subnetz-Metriken liefern Informationen zur Trefferanzahl für einzelne Firewall-Regeln.
Verwenden Sie die folgenden Ressourcen, um auf Firewall Insights-Messwertdaten zuzugreifen:
- Sie können Metriken für Firewall Insights auf der Seite Google Cloud -Messwerte ansehen.
- Eine Übersicht über Messwerte, Zeitachsen und Ressourcen finden Sie im Messwertmodell in der API-Dokumentation zu Cloud Monitoring Version 3.
- Informationen zum Lesen dieser Messwerte finden Sie unter Messwertdaten lesen.
Erforderliche Rollen und Berechtigungen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten und Exportieren von Statistiken benötigen:
-
Firewall Recommender Admin (
roles/recommender.firewallAdmin) -
Firewall Recommender Viewer (
roles/recommender.firewallViewer)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die Berechtigung recommender.computeFirewallInsights.list, die zum Verwalten und Exportieren von Statistiken erforderlich ist.
Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Metriken für die Anzahl der Firewall-Treffer ansehen
Der Messwert firewall_hit_count erfasst, wie oft eine Firewallregel verwendet wird, um Traffic zuzulassen oder abzulehnen.
Cloud Monitoring speichert für jede Firewallregel Daten für den Messwert firewall_hit_count nur, wenn die Regel aufgrund von TCP- oder UDP-Traffic Treffern hat. Das heißt, Cloud Monitoring speichert keine Daten zu Regeln, die keine Treffer hatten.
Sie können die aus diesem Messwert abgeleiteten Daten auf der Seite Firewall-Richtlinien in der Google Cloud -Konsole aufrufen.
Die Daten auf der Seite „Firewall“ sind möglicherweise nicht mit den in Cloud Monitoring gespeicherten Messwertdaten firewall_hit_count identisch. Cloud Monitoring identifiziert keine Regeln ohne Treffer. In der Google Cloud Console wird beispielsweise eine Anzahl von null Treffern angezeigt, auch wenn Cloud Monitoring keine Treffer aufzeichnet. Dieser Unterschied kann bei Firewallregeln auftreten, die so konfiguriert sind, dass sie TCP, UDP, ICMP oder einen anderen Traffictyp zulassen oder ablehnen.
Dieses Verhalten unterscheidet sich von der allow rules with no hits-Statistik.
Wenn bei dieser Statistik Firewallregeln ohne Treffer ermittelt werden, werden Firewallregeln weggelassen, die so konfiguriert sind, dass sie anderen Traffic als TCP oder UDP zulassen, auch wenn diese Regeln auch TCP- oder UDP-Traffic zulassen.
Messwerte zur letzten Nutzung der Firewall ansehen
Mit dem Metrics Explorer in Cloud Monitoring können Sie sehen, wann eine bestimmte Firewall-Regel das letzte Mal zur Anwendung kam, um Traffic zuzulassen oder zu verweigern. Zeigen Sie dazu die firewall_last_used_timestamp-Messwerte an. Mit dieser Messgröße können Sie ermitteln, welche Firewallregeln in letzter Zeit nicht verwendet wurden.
Auf der Seite Firewall-Richtlinien in der Google Cloud -Konsole können Sie sehen, wann Sie eine Firewallregel in den letzten sechs Wochen oder im Zeitraum, in dem das Logging von Firewallregeln aktiviert war (je nachdem, welcher Zeitraum kürzer ist), zuletzt verwendet haben. Wenn der letzte Treffer vor mehr als sechs Wochen oder vor der Aktivierung des Firewallregel-Loggings aufgetreten ist, wird die last hit-Zeit als — angezeigt.
Häufigkeit und Aufbewahrung von Berichten
Die Metrik firewall rule hit count wird jede Minute in Monitoring exportiert. Monitoring bewahrt Daten 6 Wochen lang auf. Sie können jedes Zeitintervall innerhalb der letzten sechs Wochen in Minutenintervallen analysieren.
Filtern und Aggregieren
Durch Aggregieren der Trefferzahlen für VM-Instanzen können Sie für jede Firewallregel die Gesamttrefferzahlen beobachten, die sich für den gesamten Traffic in Ihrem VPC-Netzwerk ansammeln.
Ein Beispiel finden Sie unter Plötzliche Erhöhungen der Trefferanzahl für deny-Firewallregeln erkennen.
Monitoring-Dashboards und -Benachrichtigungen verwenden
Sie können Monitoring-Dashboards und die zugehörigen Diagramme verwenden, um die Daten für die in den vorhergehenden Abschnitten beschriebenen Firewall Insights-Messwerte zu visualisieren.
Zum Überwachen dieser Messwerte in Monitoring können Sie benutzerdefinierte Dashboards erstellen. Sie können auch Warnungen basierend auf diesen Metriken hinzufügen.