As métricas das Estatísticas de firewall permitem-lhe analisar a forma como as suas regras de firewall são usadas. Pode ver as métricas através do Cloud Monitoring e da Google Cloud consola.
As seguintes métricas ajudam a acompanhar a utilização da firewall:
- As métricas de contagem de acertos da firewall mostram o número de vezes que uma regra de firewall foi usada para permitir ou negar tráfego.
- As métricas de utilização da firewall mostram a última vez que uma regra de firewall específica foi usada para permitir ou negar tráfego.
Tenha em atenção os seguintes aspetos sobre as métricas do Firewall Insights:
- As métricas são derivadas do registo das regras de firewall.
- As métricas só estão disponíveis para regras com o registo de regras de firewall ativado e são precisas apenas para o período durante o qual o registo de regras de firewall está ativado.
- As métricas de firewall são geradas apenas para o tráfego que se enquadra nas especificações do registo de regras de firewall. Por exemplo, os dados são registados e as métricas são geradas apenas para o tráfego TCP e UDP. Para ver uma lista completa de critérios, consulte as especificações na vista geral do registo de regras de firewall.
Pode criar consultas arbitrárias sobre as métricas do Firewall Insights usando o método de pedido projects.timeSeries.list na documentação da API Cloud Monitoring versão 3.
O Firewall Insights recolhe dados de métricas relativos à última vez que uma regra de firewall foi aplicada para permitir ou negar tráfego (data/hora) e ao número de acessos a uma regra de firewall durante o período de retenção.
firewallinsights.googleapis.com/subnet/firewall_hit_countfirewallinsights.googleapis.com/subnet/firewall_last_used_timestampfirewallinsights.googleapis.com/vm/firewall_hit_countfirewallinsights.googleapis.com/vm/firewall_last_used_timestamp
A métrica para acompanhar as contagens de acessos à firewall é definida por instância de máquina virtual (VM) e por sub-rede da nuvem virtual privada (VPC).
As métricas por instância (VM) fornecem informações de contagem de resultados e data/hora da última utilização para a interface de rede de uma VM. As métricas por sub-rede fornecem informações de contagem de acessos para regras de firewall individuais.
Use os seguintes recursos para aceder aos dados das métricas do Firewall Insights:
- Veja as métricas do Firewall Insights na página de Google Cloud métricas.
- Para uma vista geral das métricas, das séries cronológicas e dos recursos, consulte o modelo de métricas na documentação da API Cloud Monitoring versão 3.
- Para mais informações sobre como ler estas métricas, consulte o artigo Ler dados de métricas.
Funções e autorizações necessárias
Para receber a autorização de que precisa para gerir e exportar estatísticas, peça ao seu administrador para lhe conceder as seguintes funções da IAM no seu projeto:
-
Administrador do Firewall Recommender (
roles/recommender.firewallAdmin) -
Leitor do Firewall Recommender (
roles/recommender.firewallViewer)
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Esta função predefinida contém a autorização
recommender.computeFirewallInsights.list
, que é necessária para
gerir e exportar estatísticas.
Também pode receber esta autorização com funções personalizadas ou outras funções predefinidas.
Veja as métricas de contagem de acessos da firewall
A métrica firewall_hit_count monitoriza o número de vezes que uma regra de firewall é usada para permitir ou negar tráfego.
Para cada regra de firewall, o Cloud Monitoring armazena dados para a métrica firewall_hit_count apenas se a regra tiver ocorrências devido ao tráfego TCP ou UDP. Ou seja, o Cloud Monitoring não armazena dados sobre regras que não tiveram resultados.
Pode ver os dados derivados desta métrica na página Políticas de firewall na Google Cloud consola.
Os dados na página Firewall podem não ser idênticos aos firewall_hit_count
dados de métricas armazenados no Cloud Monitoring. O Cloud Monitoring não identifica explicitamente as regras sem resultados. Por exemplo, a Google Cloud consola mostra uma quantidade de acessos zero, mesmo que o Cloud Monitoring não registe nenhum acesso. Pode ver esta diferença para regras de firewall configuradas para permitir ou negar TCP, UDP, ICMP ou qualquer outro tipo de tráfego.
Este comportamento difere da estatística allow rules with no hits.
Quando esta estatística identifica regras de firewall sem ocorrências, omite as regras de firewall configuradas para permitir tráfego que não seja TCP ou UDP, mesmo que essas regras também permitam tráfego TCP ou UDP.
Veja as métricas de utilização mais recentes da firewall
Ao usar o Explorador de métricas no Cloud Monitoring, pode ver a última vez que uma regra de firewall específica foi usada para permitir ou negar tráfego através da visualização da métrica firewall_last_used_timestamp. Esta métrica ajuda a identificar as regras de firewall que não foram usadas recentemente.
Na página Políticas de firewall
na consola, pode ver quando usou uma regra de firewall pela última vez nas últimas seis semanas ou durante o período em que o registo de regras de firewall esteve ativado, consoante o que for inferior. Google Cloud Se o último
acesso ocorreu antes das últimas seis semanas ou antes de o registo das regras de firewall
ter sido ativado, a hora last hit é apresentada como —.
Frequência e retenção de relatórios
A métrica firewall rule hit count é exportada para a monitorização a cada minuto. A retenção de dados de monitorização é de seis semanas. Pode analisar qualquer intervalo de tempo
nas seis semanas anteriores em intervalos de um minuto.
Filtragem e agregação
Para cada regra de firewall, ao agregar as contagens de acessos para instâncias de VM, pode observar as contagens de acessos gerais que se acumulam para todo o tráfego que flui na sua rede VPC.
Por exemplo, consulte o artigo
Detete aumentos súbitos na contagem de acessos para regras da firewall deny.
Use painéis de controlo e alertas de monitorização
Pode usar os painéis de controlo de monitorização e os respetivos gráficos associados para visualizar os dados das métricas do Firewall Insights descritas nas secções anteriores.
Para monitorizar estas métricas na Monitorização, pode criar painéis de controlo personalizados. Também pode adicionar alertas com base nestas métricas.