Con las métricas de Estadísticas de firewall, puedes analizar cómo se usan reglas de firewall. Puedes ver las métricas Cloud Monitoring y la consola de Google Cloud.
Las siguientes métricas te ayudan a hacer un seguimiento del uso del firewall:
- Las métricas de recuento de hits de firewall te muestran la cantidad de veces que se usó una regla de firewall para permitir o denegar el tráfico.
- Las métricas que se usaron por última vez del firewall muestran la última vez que se usó un regla de firewall se usó para permitir o rechazar el tráfico.
Ten en cuenta los siguientes aspectos sobre las métricas de Estadísticas de firewall:
- Las métricas se derivan del registro de reglas de firewall.
- Las métricas están disponibles solo para las reglas que tienen Los registros de reglas de firewall están habilitados y están es precisa solo durante el tiempo durante el cual el Registro de reglas de firewall esté habilitado.
- Las métricas de firewall se generan solo para el tráfico que se ajusta a para los registros de reglas de firewall. Por ejemplo, los datos son y las métricas se generan solo para el tráfico de TCP y UDP. Para un lista completa de criterios, consulta Especificaciones en la Descripción general del registro de reglas de firewall.
Puedes crear consultas arbitrarias a través de las métricas de Estadísticas de firewall
Con el método de solicitud projects.timeSeries.list
en la documentación de la API de la versión 3 de Cloud Monitoring.
Estadísticas de firewall recopila datos de métricas sobre la última vez que un regla de firewall se aplicó para permitir o rechazar tráfico (marca de tiempo) y para la la cantidad de hits en una regla de firewall durante el período de retención.
firewallinsights.googleapis.com/subnet/firewall_hit_countfirewallinsights.googleapis.com/subnet/firewall_last_used_timestampfirewallinsights.googleapis.com/vm/firewall_hit_countfirewallinsights.googleapis.com/vm/firewall_last_used_timestamp
La métrica para realizar un seguimiento de los recuentos de hits de firewall se define por instancia de máquina virtual (VM) y por subred de nube privada virtual (VPC).
Las métricas por instancia (VM) proporcionan información sobre el recuento de hits y la información de la marca de tiempo que se usó por última vez para la interfaz de red de una VM. Las métricas por subred proporcionan información de recuento de hits para reglas de firewall individuales.
Usa los siguientes recursos para acceder a los datos de las métricas de Estadísticas de firewall:
- Consulta las métricas de Estadísticas de firewall en la Página de métricas de Google Cloud
- Para obtener una descripción general de las métricas, las series temporales y los recursos, consulta el modelo de métricas en la documentación de la API de Cloud Monitoring versión 3.
- Si deseas obtener información para leer estas métricas, consulta Lee datos de métricas.
Funciones y permisos requeridos
Para obtener el permiso que necesitas para administrar y exportar estadísticas, sigue estos pasos: solicita a tu administrador que te otorgue el los siguientes roles de IAM en tu proyecto:
-
Administrador del recomendador de firewall (
roles/recommender.firewallAdmin) -
Visualizador del recomendador de firewall (
roles/recommender.firewallViewer)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene las
recommender.computeFirewallInsights.list
permiso,
que se requiere para
administrar y exportar estadísticas.
Es posible que también puedas obtener este permiso con roles personalizados otros roles predefinidos.
Visualiza las métricas del recuento de hits de firewall
La métrica firewall_hit_count realiza un seguimiento de la cantidad de veces que se usó una regla de firewall para permitir o denegar el tráfico.
Para cada regla de firewall, Cloud Monitoring almacena datos de la métrica firewall_hit_count solo si la regla tuvo hits debido al tráfico de TCP o UDP. Es decir, Cloud Monitoring no almacena datos sobre reglas que no tuvieron hits.
Puedes ver los datos derivados de esta métrica en la Políticas de firewall en la consola de Google Cloud.
Es posible que los datos de la página Firewall no sean idénticos a firewall_hit_count
datos de métricas almacenados en Cloud Monitoring. Cloud Monitoring no muestra
identificar reglas sin hits. Por ejemplo, la consola de Google Cloud muestra
el recuento de hits, incluso si Cloud Monitoring no registra ningún hit. Puedes ver esto
diferencia entre las reglas de firewall configuradas para permitir o rechazar
ICMP o cualquier otro tipo de tráfico.
Este comportamiento difiere del
Estadística de allow rules with no hits.
Cuando esta estadística identifica reglas de firewall sin hits, las omite.
configurados para permitir tráfico distinto de TCP o UDP, incluso si esas reglas
permiten el tráfico de TCP o UDP.
Ver las últimas métricas usadas de firewall
Con el Explorador de métricas en Cloud Monitoring, puedes ver el
la última vez que se usó una regla
de firewall específica para permitir
rechazar el tráfico viendo la métrica firewall_last_used_timestamp. Esta métrica
te ayuda a identificar qué reglas de firewall no se usaron recientemente.
En Políticas de firewall,
de la consola de Google Cloud, podrás ver cuándo usaste un firewall
regla en las últimas seis semanas o por cualquier duración
Se habilitó el registro de reglas de firewall, lo que sea menor. Si la última
el hit se produjo antes de las últimas seis semanas o antes del registro de las reglas de firewall
se habilitó, la hora del last hit se muestra como —.
Frecuencia y retención de informes
La métrica firewall rule hit count se exporta a Monitoring cada un minuto. Supervisar la retención de datos toma seis semanas. Puedes analizar cualquier intervalo de tiempo dentro de las seis semanas anteriores en intervalos de un minuto.
Filtración y agregado
Para cada regla de firewall, al agregar los recuentos de hits de las instancias de VM puedes observar los recuentos de hits globales que se acumulan para todo el tráfico que fluye en tu red de VPC.
Por ejemplo, consulta
Detecta aumentos repentinos en el recuento de hits para reglas de firewall de deny.
Usa los paneles y las alertas de Monitoring
Puedes usar los paneles de Monitoring y sus gráficos asociados para visualizarás los datos de las métricas de Estadísticas de firewall descritas en las secciones anteriores.
Para supervisar estas métricas en Monitoring, puedes crear paneles personalizados. También puedes agregar alertas en función de estas métricas.