Le metriche di Firewall Insights consentono di analizzare l'utilizzo delle regole firewall. Puoi visualizzare le metriche utilizzando Cloud Monitoring e la Google Cloud console.
Le seguenti metriche ti aiutano a monitorare l'utilizzo del firewall:
- Le metriche del conteggio degli hit del firewall mostrano il numero di volte in cui una regola firewall è stata utilizzata per consentire o negare il traffico.
- Le metriche dell'ultimo utilizzo del firewall mostrano l'ultima volta in cui una determinata regola firewall è stata utilizzata per consentire o negare il traffico.
Tieni presente i seguenti aspetti delle metriche di Firewall Insights:
- Le metriche derivano dal logging delle regole firewall.
- Le metriche sono disponibili solo per le regole per le quali è abilitato il logging delle regole firewall e sono accurate solo per il periodo di tempo in cui è abilitato il logging delle regole firewall.
- Le metriche del firewall vengono generate solo per il traffico che soddisfa le specifiche per il logging delle regole firewall. Ad esempio, i dati vengono registrati e le metriche vengono generate solo per il traffico TCP e UDP. Per un elenco completo dei criteri, consulta Specifiche nella panoramica del logging delle regole firewall.
Puoi creare query arbitrarie sulle metriche di Firewall Insights by
utilizzando il projects.timeSeries.list metodo di richiesta
nella documentazione dell'API Cloud Monitoring versione 3.
Firewall Insights raccoglie i dati delle metriche per l'ultima volta in cui una regola firewall è stata applicata per consentire o negare il traffico (timestamp) e per il numero di hit su una regola firewall per il periodo di conservazione.
firewallinsights.googleapis.com/subnet/firewall_hit_countfirewallinsights.googleapis.com/subnet/firewall_last_used_timestampfirewallinsights.googleapis.com/vm/firewall_hit_countfirewallinsights.googleapis.com/vm/firewall_last_used_timestamp
La metrica per il monitoraggio dei conteggi degli hit del firewall è definita per istanza di macchina virtuale (VM) e per subnet Virtual Private Cloud (VPC).
Le metriche per istanza (VM) forniscono informazioni sul conteggio degli hit e sul timestamp dell'ultimo utilizzo per l'interfaccia di rete di una VM. Le metriche per subnet forniscono informazioni sul conteggio degli hit per le singole regole firewall.
Utilizza le seguenti risorse per accedere ai dati delle metriche di Firewall Insights:
- Visualizza le metriche per Firewall Insights nella Google Cloud pagina delle metriche.
- Per una panoramica delle metriche, delle serie temporali e delle risorse, consulta il modello di metriche nella documentazione dell'API Cloud Monitoring versione 3.
- Per informazioni su come leggere queste metriche, consulta Leggere i dati delle metriche.
Ruoli e autorizzazioni richiesti
Per ottenere l'autorizzazione necessaria per gestire ed esportare gli insight, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:
- Firewall Recommender Admin (
roles/recommender.firewallAdmin) - Visualizzatore motore per suggerimenti firewall (
roles/recommender.firewallViewer)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene l'
recommender.computeFirewallInsights.list
autorizzazione,
necessaria per
gestire ed esportare gli insight.
Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.
Visualizzare le metriche del conteggio degli hit del firewall
La metrica firewall_hit_count monitora il numero di volte in cui una regola firewall viene utilizzata per consentire o negare il traffico.
Per ogni regola firewall, Cloud Monitoring archivia i dati per la metrica firewall_hit_count solo se la regola ha avuto hit a causa del traffico TCP o UDP. Ciò significa che Cloud Monitoring non archivia i dati sulle regole che non hanno avuto hit.
Puoi visualizzare i dati derivati da questa metrica nella pagina Policy del firewall nella Google Cloud console. La metrica del conteggio degli hit risale alle ultime sei settimane ed è visibile solo per le regole per le quali è abilitato il logging delle regole firewall. Questa metrica si basa sui dati raccolti durante il periodo di tempo in cui è stato abilitato il logging delle regole firewall.
I dati nella pagina Firewall potrebbero non essere identici ai dati della metrica firewall_hit_count archiviati in Cloud Monitoring. Cloud Monitoring non identifica esplicitamente le regole senza hit. Ad esempio, la Google Cloud console mostra un conteggio degli hit pari a zero
anche se Cloud Monitoring non registra alcun hit. Puoi vedere questa differenza per le regole firewall configurate per consentire o negare il traffico TCP, UDP, ICMP o di qualsiasi altro tipo.
Questo comportamento è diverso dall'
allow rules with no hits insight.
Quando questo insight identifica le regole firewall senza hit, omette le regole firewall configurate per consentire il traffico diverso da TCP o UDP, anche se queste regole consentono anche il traffico TCP o UDP.
Visualizzare le metriche dell'ultimo utilizzo del firewall
Utilizzando Metrics Explorer in Cloud Monitoring, puoi vedere l'ultima volta in cui una determinata regola firewall è stata utilizzata per consentire o negare il traffico visualizzando la metrica firewall_last_used_timestamp. Questa metrica ti aiuta a identificare le regole firewall che non sono state utilizzate di recente.
Nella pagina Policy del firewall
nella Google Cloud console, puoi vedere l'ultima volta in cui hai utilizzato una regola
firewall nelle ultime sei settimane o per la durata in cui è stato abilitato il
logging delle regole firewall, a seconda di quale sia inferiore. Se l'ultimo
hit si è verificato prima delle ultime sei settimane o prima dell'abilitazione del logging delle regole firewall, l'ora dell'last hit viene visualizzata come —.
Frequenza e conservazione dei report
La metrica firewall rule hit count viene esportata in Monitoring ogni minuto. La conservazione dei dati di Monitoring è di due anni.
Filtro e aggregazione
Per ogni regola firewall, aggregando i conteggi degli hit per le istanze VM, puoi osservare i conteggi degli hit complessivi che si accumulano per tutto il traffico che scorre nella tua rete VPC.
Ad esempio, vedi
Rilevare aumenti improvvisi del conteggio degli hit per le regole firewall deny.
Utilizzare le dashboard e gli avvisi di Monitoring
Puoi utilizzare le dashboard di Monitoring e i relativi grafici per visualizzare i dati delle metriche di Firewall Insights descritte nelle sezioni precedenti.
Per monitorare queste metriche in Monitoring, puoi creare dashboard personalizzate. Puoi anche aggiungere avvisi in base a queste metriche.