本頁面由 Cloud Translation API 翻譯而成。

查看防火牆洞察指標

防火牆深入分析指標可讓您分析防火牆規則的使用方式。您可以使用 Cloud Monitoring 和 Google Cloud 主控台查看指標。

您可以透過下列指標追蹤防火牆使用情形：

防火牆命中次數指標：顯示防火牆規則用於允許或拒絕流量的次數。
「防火牆上次使用指標」會顯示特定防火牆規則上次用於允許或拒絕流量的時間。

請注意下列防火牆洞察指標的事項：

這些指標來自防火牆規則記錄。
這些指標僅適用於已啟用防火牆規則記錄功能的規則，且只有在啟用防火牆規則記錄功能的期間才會準確。
只有符合防火牆規則記錄功能規格的流量，才會產生防火牆指標。舉例來說，系統只會針對 TCP 和 UDP 流量記錄資料並產生指標。如需完整的條件清單，請參閱「防火牆規則記錄總覽」中的「規格」。

您可以使用 Cloud Monitoring 3 版 API 文件中的 projects.timeSeries.list 要求方法，針對 Firewall Insights 指標建立任意查詢。

Firewall Insights 會收集防火牆規則上次套用來允許或拒絕流量 (時間戳記) 的時間，以及防火牆規則在保留期間的命中次數。

firewallinsights.googleapis.com/subnet/firewall_hit_count
firewallinsights.googleapis.com/subnet/firewall_last_used_timestamp
firewallinsights.googleapis.com/vm/firewall_hit_count
firewallinsights.googleapis.com/vm/firewall_last_used_timestamp

追蹤防火牆命中次數的評量指標，會依個別虛擬機器 (VM) 執行個體和個別虛擬私有雲 (VPC) 子網路定義。

每個執行個體 (VM) 指標會針對 VM 的網路介面提供命中次數和上次使用時間戳記資訊。個別子網路指標會提供個別防火牆規則的命中次數資訊。

您可以使用下列資源存取防火牆深入分析指標資料：

在「Google Cloud 指標」頁面中查看防火牆洞察指標。
如需指標、時間序列和資源的概略說明，請參閱 Cloud Monitoring 第 3 版 API 說明文件中的指標模型。
如要瞭解如何讀取這些指標，請參閱「讀取指標資料」一文。

必要角色和權限

如要取得管理及匯出洞察所需的權限，請要求管理員為您授予專案的下列 IAM 角色：

防火牆推薦功能管理員 (roles/recommender.firewallAdmin)
防火牆推薦功能檢視器 (roles/recommender.firewallViewer)

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

這個預先定義的角色包含 recommender.computeFirewallInsights.list 權限，這是管理及匯出洞察所需的權限。

您或許還可透過自訂角色或其他預先定義的角色取得此權限。

查看防火牆命中次數指標

firewall_hit_count 指標會追蹤防火牆規則用於允許或拒絕流量的次數。

對於每項防火牆規則，只有在規則因 TCP 或 UDP 流量而命中時，Cloud Monitoring 才會儲存 firewall_hit_count 指標的資料。也就是說，Cloud Monitoring 不會儲存未命中的規則相關資料。

您可以在 Google Cloud 控制台的「防火牆政策」頁面中，查看這項指標衍生的資料。

防火牆頁面上的資料可能與儲存在 Cloud Monitoring 中的firewall_hit_count指標資料不同。Cloud Monitoring 不會明確指出未命中的規則。舉例來說，即使 Cloud Monitoring 未記錄任何命中， Google Cloud 主控台仍會顯示命中次數為零。您可以看到這項差異，因為防火牆規則會設為允許或拒絕 TCP、UDP、ICMP 或任何其他類型的流量。

這與allow rules with no hits洞察的行為不同。當這項洞察功能找出沒有命中的防火牆規則時，會略過已設定為允許 TCP 或 UDP 以外流量的防火牆規則，即使這些規則也允許 TCP 或 UDP 流量。

查看防火牆上次使用的指標

您可以使用 Cloud Monitoring 中的 Metrics Explorer，查看 firewall_last_used_timestamp 指標，瞭解特定防火牆規則上次用於允許或拒絕流量的時間。這個指標可協助您找出最近未使用的防火牆規則。

在 Google Cloud 控制台的「防火牆政策」頁面上，您可以查看過去六週內最後一次使用防火牆規則的時間，或防火牆規則記錄功能啟用期間的時間 (以較短者為準)。如果上次命中發生的時間是在過去六週之前，或是在啟用防火牆規則記錄功能之前，last hit 時間會顯示為 —。

回報頻率與保留期

firewall rule hit count 指標會每分鐘匯出至 Monitoring。監控資料的保留期限為六週。您可以以一分鐘的間隔，分析過去六週內的任何時間間隔。

篩選和匯總

針對每個防火牆規則，您可以匯總 VM 執行個體的命中次數，觀察 VPC 網路中所有流量累積的整體命中次數。

例如，請參閱「偵測 deny 防火牆規則的命中次數突然增加」。

使用 Monitoring 資訊主頁和快訊

您可以使用監控資訊主頁及其相關圖表，以視覺化方式呈現前面各節所述的防火牆深入分析指標資料。

如要在 Monitoring 中監控這些指標，您可以建立自訂資訊主頁。您也可以根據這些指標新增快訊。