查看防火牆洞察指標

防火牆洞察指標可讓您分析防火牆規則的使用情形。您可以使用 Cloud Monitoring 和 Google Cloud 控制台查看指標。

下列指標可協助您追蹤防火牆使用情形：

• 防火牆命中次數指標會顯示防火牆規則允許或拒絕流量的次數。
• 防火牆上次使用指標會顯示特定防火牆規則上次用於允許或拒絕流量的時間。

請注意防火牆洞察指標的下列事項：

• 這些指標是從防火牆規則記錄檔衍生而來。
• 只有啟用防火牆規則記錄功能的規則，才能使用這些指標，而且這些指標僅在啟用防火牆規則記錄功能期間有效。
• 只有符合防火牆規則記錄規格的流量，才會產生防火牆指標。舉例來說，系統只會記錄 TCP 和 UDP 流量的資料，並產生相關指標。如需完整條件清單，請參閱「防火牆規則記錄總覽」中的「規格」。

您可以在 Cloud Monitoring 第 3 版 API 說明文件中，使用 projects.timeSeries.list 要求方法，針對 Firewall Insights 指標建構任意查詢。

Firewall Insights 會收集指標資料，包括防火牆規則上次套用來允許或拒絕流量的時間 (時間戳記)，以及保留期限內防火牆規則的命中次數。

• firewallinsights.googleapis.com/subnet/firewall_hit_count
• firewallinsights.googleapis.com/subnet/firewall_last_used_timestamp
• firewallinsights.googleapis.com/vm/firewall_hit_count
• firewallinsights.googleapis.com/vm/firewall_last_used_timestamp

追蹤防火牆命中次數的指標是根據虛擬機器 (VM) 執行個體和虛擬私有雲 (VPC) 子網路定義。

每個執行個體 (VM) 的指標會提供 VM 網路介面的點擊次數和上次使用時間戳記資訊。子網路指標會提供個別防火牆規則的命中次數資訊。

如要存取防火牆洞察指標資料，請使用下列資源：

• 在「Google Cloud 指標」頁面中查看防火牆洞察指標。
• 如要瞭解指標、時間序列和資源，請參閱 Cloud Monitoring 第 3 版 API 說明文件中的指標模型。
• 如要瞭解如何解讀這些指標，請參閱「讀取指標資料」一文。

必要角色和權限

如要取得管理及匯出洞察資料所需的權限，請要求管理員在專案中授予您下列 IAM 角色：

• Firewall 建議工具管理員 (roles/recommender.firewallAdmin)
• 防火牆推薦功能檢視者 (roles/recommender.firewallViewer)

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和組織的存取權」。

這個預先定義的角色具備 recommender.computeFirewallInsights.list 權限，可管理及匯出洞察資料。

您或許還可透過自訂角色或其他預先定義的角色取得這項權限。

查看防火牆命中次數指標

firewall_hit_count 指標會追蹤防火牆規則用於允許或拒絕流量的次數。

針對每項防火牆規則，Cloud Monitoring 只會在規則因 TCP 或 UDP 流量而遭到命中時，儲存 firewall_hit_count 指標的資料。也就是說，Cloud Monitoring 不會儲存未命中規則的資料。

您可以在 Google Cloud 控制台的「防火牆政策」頁面，查看這項指標的衍生資料。命中次數指標來自過去六週，且只會顯示已啟用防火牆規則記錄功能的規則。這項指標是根據防火牆規則記錄功能啟用期間內收集到的資料計算而得。

「防火牆」頁面上的資料可能與 Cloud Monitoring 中儲存的 firewall_hit_count指標資料不同。Cloud Monitoring 不會明確指出未命中的規則。舉例來說，即使 Cloud Monitoring 未記錄任何點擊次數， Google Cloud 控制台也會顯示點擊次數為零。您可以查看設定為允許或拒絕 TCP、UDP、ICMP 或任何其他類型流量的防火牆規則，瞭解這項差異。

這與allow rules with no hits洞察資料不同。如果這項洞察資訊發現沒有任何作用的防火牆規則，就會省略設定為允許 TCP 或 UDP 以外流量的防火牆規則，即使這些規則也允許 TCP 或 UDP 流量。

查看防火牆上次使用的指標

您可以使用 Cloud Monitoring 中的 Metrics Explorer，查看 firewall_last_used_timestamp 指標，瞭解特定防火牆規則上次允許或拒絕流量的時間。這項指標可協助您找出最近未使用的防火牆規則。

在 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面，您可以查看過去六週內，或防火牆規則記錄功能啟用期間內，您最後一次使用防火牆規則的時間 (以較短者為準)。如果上次命中發生在過去六週「之前」或防火牆規則記錄功能啟用「之前」，則 last hit 時間會顯示為 —。

回報頻率與保留期

firewall rule hit count 指標每分鐘都會匯出至 Monitoring。監控資料保留期限為兩年。

篩選和匯總

針對每項防火牆規則，您可以匯總 VM 執行個體的點擊次數，觀察虛擬私有雲網路中所有流量累積的整體點擊次數。

舉例來說，請參閱偵測 deny 防火牆規則的命中次數是否突然增加。

使用 Monitoring 資訊主頁和快訊

您可以使用監控資訊主頁和相關圖表，以視覺化方式呈現前幾節所述的防火牆洞察指標資料。

如要在 Monitoring 中監控這些指標，可以建立自訂資訊主頁。您也可以根據這些指標新增快訊。