本頁面由 Cloud Translation API 翻譯而成。

查看防火牆洞察指標

防火牆深入分析指標可讓您分析防火牆規則的使用情形。您可以使用 Cloud Monitoring 和 Google Cloud 控制台查看指標。

下列指標可協助您追蹤防火牆使用情形：

防火牆命中次數指標會顯示防火牆規則允許或拒絕流量的次數。
防火牆上次使用指標會顯示特定防火牆規則上次允許或拒絕流量的時間。

請注意防火牆深入分析指標的下列事項：

這些指標是從防火牆規則記錄檔衍生而來。
只有已啟用防火牆規則記錄功能的規則，才會顯示這些指標，而且這些指標只會在防火牆規則記錄功能啟用期間內準確。
只有符合防火牆規則記錄規格的流量，才會產生防火牆指標。舉例來說，系統只會記錄 TCP 和 UDP 流量的資料，並產生相關指標。如需完整條件清單，請參閱「防火牆規則記錄總覽」中的「規格」。

您可以在 Cloud Monitoring 第 3 版 API 說明文件中，使用 projects.timeSeries.list 要求方法，針對 Firewall Insights 指標建構任意查詢。

Firewall Insights 會收集指標資料，包括防火牆規則上次套用來允許或拒絕流量的時間 (時間戳記)，以及防火牆規則在保留期限內的命中次數。

firewallinsights.googleapis.com/subnet/firewall_hit_count
firewallinsights.googleapis.com/subnet/firewall_last_used_timestamp
firewallinsights.googleapis.com/vm/firewall_hit_count
firewallinsights.googleapis.com/vm/firewall_last_used_timestamp

追蹤防火牆命中次數的指標是根據虛擬機器 (VM) 執行個體和虛擬私有雲 (VPC) 子網路定義。

每個執行個體 (VM) 的指標會提供 VM 網路介面的點擊次數和上次使用時間戳記資訊。子網路指標會提供個別防火牆規則的命中次數資訊。

如要存取防火牆深入分析指標資料，請使用下列資源：

在「Google Cloud 指標」頁面中查看防火牆洞察指標。
如要瞭解指標、時間序列和資源，請參閱 Cloud Monitoring 第 3 版 API 說明文件中的指標模型。
如要瞭解如何解讀這些指標，請參閱「讀取指標資料」一文。

必要角色和權限

如要取得管理及匯出洞察資料所需的權限，請要求管理員將專案的下列 IAM 角色授予您：

Firewall 建議工具管理員 (roles/recommender.firewallAdmin)
防火牆推薦功能檢視者 (roles/recommender.firewallViewer)

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

這個預先定義的角色具備 recommender.computeFirewallInsights.list 權限，這是管理及匯出洞察資料的必要權限。

您或許還可透過自訂角色或其他預先定義的角色取得這項權限。

查看防火牆命中次數指標

firewall_hit_count 指標會追蹤防火牆規則允許或拒絕流量的次數。

針對每項防火牆規則，只有在規則因 TCP 或 UDP 流量而遭到命中時，Cloud Monitoring 才會儲存 firewall_hit_count 指標的資料。也就是說，Cloud Monitoring 不會儲存沒有任何相符項目的規則資料。

您可以在 Google Cloud 控制台的「防火牆政策」頁面，查看這項指標的衍生資料。

「防火牆」頁面上的資料可能與儲存在 Cloud Monitoring 中的 firewall_hit_count 指標資料不同。Cloud Monitoring 不會明確指出未命中的規則。舉例來說，即使 Cloud Monitoring 未記錄任何命中次數， Google Cloud 控制台也會顯示命中次數為零。您可以查看設定為允許或拒絕 TCP、UDP、ICMP 或任何其他類型流量的防火牆規則，瞭解這項差異。

這與allow rules with no hits洞察資料不同。如果這項洞察資訊發現沒有任何作用的防火牆規則，就會省略設定為允許 TCP 或 UDP 以外流量的防火牆規則，即使這些規則也允許 TCP 或 UDP 流量。

查看防火牆上次使用的指標

您可以使用 Cloud Monitoring 中的 Metrics Explorer，查看 firewall_last_used_timestamp 指標，瞭解特定防火牆規則上次允許或拒絕流量的時間。這項指標可協助您找出最近未使用的防火牆規則。

在 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面中，您可以查看過去六週內或防火牆規則記錄功能啟用期間內，您最後一次使用防火牆規則的時間 (以較短者為準)。如果上次發揮作用的時間早於過去六週，或早於啟用防火牆規則記錄功能的時間，則 last hit 時間會顯示為 —。

報表頻率和保留期限

firewall rule hit count 指標每分鐘都會匯出至 Monitoring。監控資料會保留六週。您可以分析過去六週內任何時間間隔的資料，間隔時間為一分鐘。

篩選和匯總

針對每項防火牆規則，您可以匯總 VM 執行個體的命中次數，觀察虛擬私有雲網路中所有流量累積的整體命中次數。

舉例來說，請參閱偵測 deny 防火牆規則的命中次數是否突然增加。

使用 Monitoring 資訊主頁和快訊

您可以使用監控資訊主頁和相關圖表，以視覺化方式呈現前幾節所述的防火牆洞察指標資料。

如要在 Monitoring 中監控這些指標，可以建立自訂資訊主頁。您也可以根據這些指標新增快訊。