Las métricas de las Estadísticas de firewall te permiten analizar cómo se usan tus reglas de firewall. Puedes ver las métricas con Cloud Monitoring y la consola de Google Cloud .
Las siguientes métricas te ayudan a hacer un seguimiento del uso de firewall:
- Las métricas de recuento de hits del firewall muestran la cantidad de veces que se usó una regla de firewall para permitir o denegar el tráfico.
- Las métricas más recientes de firewall muestran la última vez que se usó una regla de firewall específica para permitir o rechazar el tráfico.
Ten en cuenta los siguientes aspectos sobre las métricas de Estadísticas de firewall:
- Las métricas se derivan del Registro de reglas de firewall.
- Las métricas solo están disponibles para las reglas que tienen habilitado el Registro de reglas de firewall y son precisas solo durante el tiempo en que se habilita el Registro de reglas de firewall.
- Además, las métricas de firewall se generan solo para el tráfico que se ajusta a las especificaciones del Registro de reglas de firewall. Por ejemplo, los datos se registran y las métricas se generan solo para el tráfico de TCP y UDP. Para obtener una lista completa de criterios, consulta Especificaciones en la descripción general de Registros de reglas de firewall.
Puedes construir consultas arbitrarias sobre las métricas de Estadísticas de firewall con el
método de solicitud projects.timeSeries.list
en la documentación de la API de Cloud Monitoring versión 3.
Las Estadísticas de firewall recopilan datos de métricas de la última vez que se aplicó una regla de firewall para permitir o denegar el tráfico (marca de tiempo) y la cantidad de hits en una regla de firewall para el período de retención.
firewallinsights.googleapis.com/subnet/firewall_hit_countfirewallinsights.googleapis.com/subnet/firewall_last_used_timestampfirewallinsights.googleapis.com/vm/firewall_hit_countfirewallinsights.googleapis.com/vm/firewall_last_used_timestamp
La métrica para realizar un seguimiento de los recuentos de hits de firewall se define por instancia de máquina virtual (VM) y por subred de nube privada virtual (VPC).
Las métricas por instancia (VM) proporcionan recuento de hits y la información de la última marca de tiempo utilizada para la interfaz de red de una VM. Las métricas por subred proporcionan información de recuento de hits para reglas de firewall individuales.
Usa los siguientes recursos para acceder a los datos de las métricas de Estadísticas de firewall:
- Puedes ver las métricas de Estadísticas de firewall en la página métricas deGoogle Cloud .
- Para obtener una descripción general de las métricas, las series temporales y los recursos, consulta el modelo de métricas en la documentación de la API de Cloud Monitoring versión 3.
- Si deseas obtener información sobre cómo leer estas métricas, consulta Lee datos de métricas.
Roles y permisos requeridos
Para obtener el permiso que necesitas para administrar y exportar estadísticas, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:
-
Administrador del recomendador de firewall (
roles/recommender.firewallAdmin) -
Visualizador del recomendador de firewall (
roles/recommender.firewallViewer)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene el
permiso
recommender.computeFirewallInsights.list,
que se requiere para
administrar y exportar estadísticas.
También puedes obtener este permiso con roles personalizados o con otros roles predefinidos.
Visualiza las métricas del recuento de hits del firewall
La métrica firewall_hit_count realiza un seguimiento de la cantidad de veces que se usó una regla de firewall
para permitir o denegar el tráfico.
Para cada regla de firewall, Cloud Monitoring almacena datos de
la métrica firewall_hit_count solo si la regla tuvo hits debido al tráfico de
TCP o UDP. Es decir, Cloud Monitoring no almacena datos sobre reglas
que no tuvieron hits.
Puedes ver los datos derivados de esta métrica en la página Políticas de firewall de la consola de Google Cloud .
Es posible que los datos de la página Firewall no sean idénticos a los datos de métrica firewall_hit_count
almacenados en Cloud Monitoring. Cloud Monitoring no identifica de forma explícita
las reglas sin hits. Por ejemplo, la consola de Google Cloud muestra un recuento de hits de cero
incluso si Cloud Monitoring no registra ningún hit. Puedes ver
esta diferencia en las reglas de firewall que se configuran para permitir o rechazar TCP, UDP, ICMP
o cualquier otro tipo de tráfico.
Este comportamiento difiere de la
estadística de allow rules with no hits.
Cuando esta estadística identifica reglas de firewall sin hits, omite las reglas de firewall
configuradas para permitir tráfico distinto de TCP o UDP, incluso si esas reglas
también permiten tráfico de TCP o UDP.
Visualiza las métricas del firewall más recientes
Con el Explorador de métricas en Cloud Monitoring, puedes ver
la última vez que se usó una regla de firewall específica para permitir o
rechazar el tráfico si consultas la métrica firewall_last_used_timestamp. Esta métrica
te ayuda a identificar qué reglas de firewall no se usaron recientemente.
En la página Políticas de firewall
de la consola de Google Cloud , puedes ver cuándo usaste por última vez una regla de firewall
en las últimas seis semanas o durante el período
en el que se habilitó el Registro de reglas de firewall, lo que sea menor. Si el último hit ocurrió
antes de las últimas seis semanas o antes de que se habilitara el Registro de reglas de firewall,
la hora de last hit se muestra como —.
Frecuencia y retención de informes
La métrica firewall rule hit count se exporta a Monitoring
cada un minuto. Supervisar la retención de datos toma seis semanas. Puedes analizar cualquier intervalo de tiempo
dentro de las seis semanas anteriores en intervalos de un minuto.
Filtración y agregado
Para cada regla de firewall, cuando agregas los recuentos de hits para las instancias de VM, puedes observar los recuentos de hits generales que se acumulan para todo el tráfico que fluye en tu red de VPC.
Por ejemplo, consulta
Detecta aumentos repentinos en el recuento de hits de las reglas de firewall de deny.
Usa los paneles y las alertas de Monitoring
Puedes usar los paneles de Monitoring y sus gráficos asociados para visualizar los datos de las métricas de las Estadísticas de firewall descritas en las secciones anteriores.
Para supervisar estas métricas en Monitoring, puedes crear paneles personalizados. También puedes agregar alertas en función de estas métricas.