Visualizar as métricas do Firewall Insights

Com as métricas do Firewall Insights, é possível analisar como suas regras de firewall são usadas. Use o Cloud Monitoring e o console do Google Cloud para visualizar as métricas.

Rastreie o uso do firewall com as métricas a seguir:

  • As métricas de contagem de ocorrências do firewall mostram quantas vezes uma regra de firewall foi usada para permitir ou negar o tráfego.
  • As métricas do firewall utilizadas pela última vez mostram a última vez que uma regra de firewall específica foi usada para permitir ou negar o tráfego.

Confira estes aspectos sobre as métricas do Firewall Insights:

  • As métricas são derivadas da Geração de Registros de Regras de Firewall.
  • As métricas ficam disponíveis e são precisas apenas enquanto a Geração de Registros de Regras de Firewall estiver ativada.
  • Além disso, as métricas de firewall são geradas apenas para o tráfego que se encaixa nas especificações da Geração de Registros de Regras de Firewall. Por exemplo, os dados são registrados e as métricas são geradas apenas para o tráfego TCP e UDP. Para uma lista completa de critérios, consulte Especificações nos aspectos gerais da Geração de Registros de Regras de Firewall.

É possível criar consultas arbitrárias nas métricas do Firewall Insights usando o método de solicitação projects.timeSeries.list na documentação da API do Cloud Monitoring versão 3.

O Firewall Insights reúne dados de métricas sobre a última aplicação de uma regra de firewall para permitir ou negar tráfego (carimbo de data/hora) e o número de ocorrências em uma regra de firewall por um período de armazenamento.

  • firewallinsights.googleapis.com/subnet/firewall_hit_count
  • firewallinsights.googleapis.com/subnet/firewall_last_used_timestamp
  • firewallinsights.googleapis.com/vm/firewall_hit_count
  • firewallinsights.googleapis.com/vm/firewall_last_used_timestamp

A métrica para rastrear contagens de ocorrências de firewall é definida por instância de máquina virtual (VM) e sub-rede de nuvem privada virtual (VPC).

As métricas por instância (VM) fornecem a contagem de ocorrências e as informações de carimbo de data/hora da última vez que a interface de rede de uma VM foi usada. As métricas por sub-rede fornecem informações de contagem de ocorrências de regras de firewall individuais.

Use os recursos a seguir para acessar os dados de métricas do Firewall Insights:

Permissões e papéis necessários

Para receber a permissão necessária para gerenciar e exportar insights, o administrador precisa conceder a você os seguintes papéis do IAM no projeto:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esse papel predefinido contém a permissão recommender.computeFirewallInsights.list, que é necessária para gerenciar e exportar insights.

Também é possível receber essa permissão com papéis personalizados ou outros papéis predefinidos.

Visualizar as métricas de contagem de ocorrências do firewall

A métrica firewall_hit_count rastreia quantas vezes uma regra de firewall é usada para permitir ou negar tráfego.

Para cada regra de firewall, o Cloud Monitoring armazena dados da métrica firewall_hit_count somente se a regra tiver ocorrências devido ao tráfego TCP ou UDP. Ou seja, o Cloud Monitoring não armazena dados sobre regras que não tiveram ocorrências.

É possível conferir os dados derivados dessa métrica na página Políticas de firewall, no console do Google Cloud .

Os dados da página "Firewall" podem não ser idênticos aos dados das métricas firewall_hit_count armazenados no Cloud Monitoring. O Cloud Monitoring não identifica explicitamente regras sem ocorrências. Por exemplo, o console do Google Cloud mostra uma contagem de zero, mesmo que o Cloud Monitoring não registre nenhuma ocorrência. É possível conferir essa diferença nas regras de firewall configuradas para permitir ou negar tráfego TCP, UDP, ICMP ou de qualquer outro tipo.

Esse comportamento é diferente do insight allow rules with no hits. Quando esse insight identifica regras de firewall sem ocorrências, ele omite regras de firewall configuradas para permitir tráfego diferente de TCP ou UDP, mesmo que elas também permitam esse tipo de tráfego.

Visualizar as métricas do firewall utilizadas pela última vez

Ao usar o Metrics Explorer no Cloud Monitoring, é possível visualizar a métrica firewall_last_used_timestamp para conferir a última vez que uma regra de firewall específica foi usada para permitir ou negar tráfego. Essa métrica ajuda a identificar quais regras de firewall não foram usadas recentemente.

Na página Políticas de firewall, no console do Google Cloud , é possível conferir quando uma regra de firewall foi usada pela última vez nas últimas seis semanas ou por qualquer período enquanto a Geração de Registros de Regras de Firewall esteve ativada, o que for menor. Se a última ocorrência aconteceu antes das últimas seis semanas ou antes da ativação da Geração de Registros de Regras de Firewall, o horário last hit é exibido como .

Frequência e retenção de relatórios

A métrica firewall rule hit count é exportada para o Monitoring a cada minuto. O retenção de dados do Monitoring é de seis semanas. É possível analisar qualquer intervalo de tempo das seis semanas anteriores em intervalos de um minuto.

Filtragem e agregação

Para cada regra de firewall, ao agregar as contagens de ocorrências das instâncias de VM, é possível conferir as contagens de ocorrências gerais acumuladas de todo o tráfego da rede VPC.

Por exemplo, consulte Detectar aumentos repentinos na contagem de ocorrências de regras de firewall deny.

Usar painéis e alertas do Monitoring

É possível usar os painéis do Monitoring e os gráficos associados para visualizar os dados das métricas do Firewall Insights descritas nas seções anteriores.

Para monitorar essas métricas no Monitoring, crie painéis personalizados. Você também pode adicionar alertas com base nessas métricas.