Le metriche di Firewall Insights consentono di analizzare l'utilizzo delle regole firewall. Puoi visualizzare le metriche utilizzando Cloud Monitoring e la console Google Cloud .
Le seguenti metriche ti aiutano a monitorare l'utilizzo del firewall:
- Le metriche del conteggio dei riscontri del firewall mostrano il numero di volte in cui una regola firewall è stata utilizzata per consentire o negare il traffico.
- Le metriche dell'ultimo utilizzo del firewall mostrano l'ultima volta che una determinata regola firewall è stata utilizzata per consentire o negare il traffico.
Tieni presente i seguenti aspetti delle metriche di Firewall Insights:
- Le metriche derivano dal logging delle regole firewall.
- Le metriche sono disponibili solo per le regole per cui è abilitato il logging delle regole firewall e sono accurate solo per il periodo di tempo in cui il logging delle regole firewall è abilitato.
- Le metriche firewall vengono generate solo per il traffico che soddisfa le specifiche per il logging delle regole firewall. Ad esempio, i dati vengono registrati e le metriche vengono generate solo per il traffico TCP e UDP. Per un elenco completo dei criteri, consulta Specifiche nella Panoramica del logging delle regole firewall.
Puoi creare query arbitrarie sulle metriche di Firewall Insights utilizzando il
metodo di richiesta projects.timeSeries.list
nella documentazione dell'API Cloud Monitoring versione 3.
Firewall Insights raccoglie i dati delle metriche per l'ultima volta che una regola firewall è stata applicata per consentire o negare il traffico (timestamp) e per il numero di hit su una regola firewall per il periodo di conservazione.
firewallinsights.googleapis.com/subnet/firewall_hit_countfirewallinsights.googleapis.com/subnet/firewall_last_used_timestampfirewallinsights.googleapis.com/vm/firewall_hit_countfirewallinsights.googleapis.com/vm/firewall_last_used_timestamp
La metrica per il monitoraggio dei conteggi degli hit del firewall è definita per istanza di macchina virtuale (VM) e per subnet Virtual Private Cloud (VPC).
Le metriche per istanza (VM) forniscono informazioni sul conteggio degli hit e sul timestamp dell'ultimo utilizzo per l'interfaccia di rete di una VM. Le metriche per subnet forniscono informazioni sul numero di hit per le singole regole firewall.
Utilizza le seguenti risorse per accedere ai dati delle metriche di Firewall Insights:
- Visualizza le metriche per Firewall Insights nella pagina Google Cloud Metriche.
- Per una panoramica di metriche, serie temporali e risorse, consulta il modello di metrica nella documentazione dell'API Cloud Monitoring versione 3.
- Per informazioni su come leggere queste metriche, consulta Lettura dei dati delle metriche.
Ruoli e autorizzazioni richiesti
Per ottenere l'autorizzazione necessaria per gestire ed esportare gli approfondimenti, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto:
-
Firewall Recommender Admin (
roles/recommender.firewallAdmin) -
Visualizzatore motore per suggerimenti firewall (
roles/recommender.firewallViewer)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene l'autorizzazione
recommender.computeFirewallInsights.list
necessaria per
gestire ed esportare gli approfondimenti.
Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.
Visualizzare le metriche del conteggio degli hit del firewall
La metrica firewall_hit_count tiene traccia del numero di volte in cui una regola firewall
viene utilizzata per consentire o negare il traffico.
Per ogni regola firewall, Cloud Monitoring archivia i dati per la metrica
firewall_hit_count solo se la regola ha avuto riscontri a causa del traffico
TCP o UDP. ovvero Cloud Monitoring non archivia i dati relativi alle regole
che non hanno avuto corrispondenze.
Puoi visualizzare i dati derivati da questa metrica nella pagina Policy firewall nella console Google Cloud .
I dati nella pagina Firewall potrebbero non essere identici ai dati delle metriche firewall_hit_count
archiviati in Cloud Monitoring. Cloud Monitoring non identifica
esplicitamente le regole senza corrispondenze. Ad esempio, la console Google Cloud mostra un conteggio
di hit pari a zero anche se Cloud Monitoring non registra alcun hit. Puoi notare questa
differenza per le regole firewall configurate per consentire o negare il traffico TCP, UDP,
ICMP o di qualsiasi altro tipo.
Questo comportamento è diverso dall'approfondimento
allow rules with no hits.
Quando questo insight identifica regole firewall senza corrispondenze, omette le regole firewall
configurate per consentire il traffico diverso da TCP o UDP, anche se queste regole
consentono anche il traffico TCP o UDP.
Visualizzare le metriche dell'ultimo utilizzo del firewall
Utilizzando Metrics Explorer in Cloud Monitoring, puoi vedere
l'ultima volta che una determinata regola firewall è stata utilizzata per consentire o
negare il traffico visualizzando la metrica firewall_last_used_timestamp. Questa metrica
ti aiuta a identificare le regole firewall che non sono state utilizzate di recente.
Nella pagina Norme firewall
della console Google Cloud , puoi vedere l'ultima volta che hai utilizzato una regola firewall
nelle ultime sei settimane o per la durata in cui è stato abilitato il logging delle regole firewall, a seconda di quale sia inferiore. Se l'ultimo
hit si è verificato prima delle ultime sei settimane o prima dell'attivazione del logging delle regole firewall, l'ora last hit viene visualizzata come —.
Frequenza e conservazione dei report
La metrica firewall rule hit count viene esportata in Monitoring
ogni minuto. La conservazione dei dati di monitoraggio è di sei settimane. Puoi analizzare qualsiasi intervallo di tempo
nelle sei settimane precedenti a intervalli di un minuto.
Filtro e aggregazione
Per ogni regola firewall, aggregando i conteggi degli hit per le istanze VM, puoi osservare i conteggi degli hit complessivi che si accumulano per tutto il traffico che scorre nella tua rete VPC.
Ad esempio, consulta
Rilevare aumenti improvvisi del numero di hit per le regole firewall deny.
Utilizzare le dashboard e gli avvisi di Monitoring
Puoi utilizzare le dashboard di Monitoring e i relativi grafici per visualizzare i dati per le metriche di Firewall Insights descritte nelle sezioni precedenti.
Per monitorare queste metriche in Monitoring, puoi creare dashboard personalizzate. Puoi anche aggiungere avvisi in base a queste metriche.