Metrik Analisis Firewall memungkinkan Anda menganalisis penggunaan aturan firewall Anda. Anda dapat melihat metrik menggunakan Cloud Monitoring dan konsol Google Cloud .
Metrik berikut membantu Anda melacak penggunaan firewall:
- Metrik jumlah hit firewall menunjukkan frekuensi aturan firewall digunakan untuk mengizinkan atau menolak traffic.
- Metrik terakhir kali digunakan firewall menunjukkan terakhir kali aturan firewall tertentu digunakan untuk mengizinkan atau menolak traffic.
Perhatikan aspek berikut tentang metrik Analisis Firewall:
- Metrik ini berasal dari Logging Aturan Firewall.
- Metrik hanya tersedia untuk aturan yang mengaktifkan Logging Aturan Firewall dan akurat hanya untuk waktu selama Logging Aturan Firewall diaktifkan.
- Metrik firewall hanya dibuat untuk traffic yang sesuai dengan spesifikasi Logging Aturan Firewall. Misalnya, data dicatat dan metrik dibuat hanya untuk traffic TCP dan UDP. Untuk melihat daftar lengkap kriteria, lihat Spesifikasi di Ringkasan Logging Aturan Firewall.
Anda dapat membuat kueri arbitrer atas metrik Firewall Insights dengan
menggunakan metode permintaan projects.timeSeries.list
dalam dokumentasi Cloud Monitoring API versi 3.
Analisis Firewall mengumpulkan data metrik untuk terakhir kalinya aturan firewall diterapkan untuk mengizinkan atau menolak traffic (stempel waktu) dan untuk jumlah hit pada aturan firewall selama periode retensi.
firewallinsights.googleapis.com/subnet/firewall_hit_countfirewallinsights.googleapis.com/subnet/firewall_last_used_timestampfirewallinsights.googleapis.com/vm/firewall_hit_countfirewallinsights.googleapis.com/vm/firewall_last_used_timestamp
Metrik untuk melacak jumlah hit firewall ditentukan per instance mesin virtual (VM) dan per subnet Virtual Private Cloud (VPC).
Metrik per instance (VM) memberikan informasi jumlah hit dan stempel waktu terakhir digunakan untuk antarmuka jaringan VM. Metrik per subnet memberikan informasi jumlah hit untuk setiap aturan firewall.
Gunakan resource berikut untuk mengakses data metrik Analisis Firewall:
- Lihat metrik untuk Analisis Firewall di halaman Google Cloud metrik.
- Untuk ringkasan metrik, deret waktu, dan resource, lihat model metrik di dokumentasi Cloud Monitoring API versi 3.
- Untuk mengetahui informasi tentang cara membaca metrik ini, lihat Membaca data metrik.
Peran dan izin yang diperlukan
Untuk mendapatkan izin yang Anda perlukan untuk mengelola dan mengekspor insight, minta administrator Anda untuk memberi Anda peran IAM berikut di project Anda:
-
Admin Firewall Recommender (
roles/recommender.firewallAdmin) -
Firewall Recommender Viewer (
roles/recommender.firewallViewer)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran bawaan ini berisi izin
recommender.computeFirewallInsights.list
,
yang diperlukan untuk
mengelola dan mengekspor insight.
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Melihat metrik jumlah hit firewall
Metrik firewall_hit_count melacak frekuensi penggunaan aturan firewall untuk mengizinkan atau menolak traffic.
Untuk setiap aturan firewall, Cloud Monitoring menyimpan data untuk metrik
firewall_hit_count hanya jika aturan tersebut mendapatkan hit karena traffic TCP atau UDP. Artinya, Cloud Monitoring tidak menyimpan data tentang aturan
yang tidak memiliki hit.
Anda dapat melihat data yang berasal dari metrik ini di halaman Firewall policies di konsol Google Cloud .
Data di halaman Firewall mungkin tidak sama dengan data metrik yang disimpan di Cloud Monitoring.firewall_hit_count Cloud Monitoring tidak secara eksplisit mengidentifikasi aturan tanpa hit. Misalnya, konsol Google Cloud menampilkan jumlah hit nol meskipun Cloud Monitoring tidak mencatat hit apa pun. Anda dapat melihat perbedaan ini untuk aturan firewall yang dikonfigurasi untuk mengizinkan atau menolak TCP, UDP, ICMP, atau jenis traffic lainnya.
Perilaku ini berbeda dengan insight
allow rules with no hits.
Saat mengidentifikasi aturan firewall tanpa hit, insight ini akan menghilangkan aturan firewall yang dikonfigurasi untuk mengizinkan traffic selain TCP atau UDP, meskipun aturan tersebut juga mengizinkan traffic TCP atau UDP.
Melihat metrik terakhir kali firewall digunakan
Dengan menggunakan Metrics Explorer di Cloud Monitoring, Anda dapat melihat terakhir kali aturan firewall tertentu digunakan untuk mengizinkan atau menolak traffic dengan melihat metrik firewall_last_used_timestamp. Metrik ini membantu Anda mengidentifikasi aturan firewall yang belum digunakan baru-baru ini.
Di halaman Kebijakan firewall
di konsol Google Cloud , Anda dapat melihat kapan terakhir kali Anda menggunakan aturan firewall dalam enam minggu terakhir atau selama durasi apa pun Firewall Rules Logging telah diaktifkan, mana saja yang lebih singkat. Jika hit terakhir terjadi sebelum enam minggu terakhir atau sebelum Logging Aturan Firewall diaktifkan, waktu last hit ditampilkan sebagai —.
Frekuensi dan retensi pelaporan
Metrik firewall rule hit count diekspor ke Monitoring setiap menit. Retensi data Monitoring adalah enam minggu. Anda dapat menganalisis interval waktu apa pun dalam enam minggu sebelumnya dalam interval satu menit.
Pemfilteran dan agregasi
Untuk setiap aturan firewall, dengan menggabungkan jumlah hit untuk instance VM, Anda dapat mengamati jumlah hit keseluruhan yang terakumulasi untuk semua traffic yang mengalir di jaringan VPC Anda.
Misalnya, lihat
Mendeteksi peningkatan jumlah hit yang tiba-tiba untuk aturan firewall deny.
Menggunakan dasbor dan pemberitahuan Monitoring
Anda dapat menggunakan dasbor Monitoring dan diagram terkaitnya untuk memvisualisasikan data metrik Analisis Firewall yang dijelaskan di bagian sebelumnya.
Untuk memantau metrik ini di Monitoring, Anda dapat membuat dasbor kustom. Anda juga dapat menambahkan pemberitahuan berdasarkan metrik ini.