Beobachtungszeitraum und Aktualisierungszyklus einrichten

Auf dieser Seite wird beschrieben, wie Sie einen Beobachtungszeitraum und einen Aktualisierungszyklus in Firewall Insights konfigurieren.

Eine Übersicht über die verfügbaren Statistiken finden Sie unter Kategorien und Status von Firewall Insights.

Eine Liste der Messwerte zur Firewallnutzung finden Sie unter Firewall Insights-Messwerte ansehen.

Erforderliche Rollen und Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Firewall Recommender Admin (roles/recommender.firewallAdmin) für Ihr Projekt zu gewähren, um die Berechtigung zu erhalten, die Sie zum Konfigurieren des Beobachtungszeitraums und des Aktualisierungszyklus benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierte Rolle enthält die Berechtigung recommender.computeFirewallInsightTypeConfigs.update, die zum Konfigurieren des Beobachtungszeitraums und des Aktualisierungszyklus erforderlich ist.

Möglicherweise können Sie diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Beobachtungszeitraum konfigurieren

Für einige Statistiken können Sie einen Beobachtungszeitraum konfigurieren. Das ist das Zeitintervall, das von den Statistiken abgedeckt wird. Sie können den Beobachtungszeitraum beispielsweise für zu moderate Statistiken und Statistiken für deny-Regeln konfigurieren. Der standardmäßige Beobachtungszeitraum umfasst sechs Wochen. Sie können einen Beobachtungszeitraum von sieben Tagen bis zu einem Jahr konfigurieren.

Wenn Sie beispielsweise den Beobachtungszeitraum für Statistiken zu deny-Regeln auf zwei Monate festlegen und die Liste der deny-Regeln mit Treffern nach dem Beobachtungszeitraum aufrufen, zeigt Firewall Insights nur die Ergebnisse an, für die in den letzten zwei Monaten Treffer erfasst wurden. Angenommen, Sie ändern den Beobachtungszeitraum später auf einen Monat. Firewall Insights könnte eine andere Anzahl von Regeln identifizieren, da ein kürzeres Zeitintervall analysiert werden würde.

Beachten Sie Folgendes, wenn Sie Statistiken prüfen und Beobachtungszeiträume konfigurieren:

  • Wenn Sie den Beobachtungszeitraum für deny-Regeln mit Treffern konfigurieren, aktualisiert Firewall Insights die Statistikergebnisse sofort.

  • Wenn Sie den Beobachtungszeitraum für Insights mit zu vielen Berechtigungen aktualisieren, kann es bis zu 48 Stunden dauern, bis Firewall Insights vorhandene Ergebnisse aktualisiert. In der Zwischenzeit entspricht der Beobachtungszeitraum für vorhandene Ergebnisse dem zuvor konfigurierten Beobachtungszeitraum.

  • Wenn die Statistik bei zu moderaten Statistiken keine Firewallregeln identifiziert hat, wird in Firewall Insights nicht der Beobachtungszeitraum angezeigt, um die verwendeten Statistiken zu identifizieren.

  • Statistiken für verdeckte Regeln haben keinen Beobachtungszeitraum, da sie keine Verlaufsdaten auswerten. Die Analyse verdeckter Regeln wertet alle 24 Stunden die Konfiguration Ihrer vorhandenen Firewallregel aus.

  • Traffic-Logdaten der letzten 24 Stunden werden beim Generieren von Statistiken möglicherweise nicht berücksichtigt.

Console

Konfigurieren Sie einen Beobachtungszeitraum:

  1. Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.

    Zu Firewall Insights

  2. Klicken Sie auf Konfiguration.

  3. Klicken Sie auf Beobachtungszeitraum.

  4. Legen Sie gegebenenfalls in der Drop-down-Liste Beobachtungszeitraum die entsprechende Zeit für jedes der folgenden Ereignisse fest:

    • Statistiken für zu moderate Regeln

    • Statistiken für Ablehnungsregeln

API

Wenn Sie den Beobachtungszeitraum für deny-Regeln mit Treffern festlegen möchten, müssen Sie die Google Cloud Console verwenden. Sie können jedoch die Recommender API verwenden, um den Beobachtungszeitraum für Statistiken für zu moderate Regeln festzulegen. Sie können die API auch verwenden, um Statistiken zu aktivieren und Konfigurationsdetails abzurufen.

Verwenden Sie die Methode updateConfig, um den Beobachtungszeitraum für Statistiken für zu moderate Regeln festzulegen.

Wenn Sie die Methode updateConfig verwenden möchten, müssen Sie Werte für alle Parameter festlegen. Geben Sie auch an, ob Statistiken für verdeckte Regeln und für zu moderate Regeln aktiviert oder deaktiviert sind.

Verwenden Sie die folgende Anfrage, um diese Art von Aktualisierung durchzuführen.

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

Ersetzen Sie die folgenden Werte:

  • PROJECT_ID: die Projekt-ID
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE: die Dauer des Beobachtungszeitraums in Sekunden für Statistiken für zu moderate Regeln
  • ENABLEMENT_SHADOWED: ein boolescher Wert, der angibt, ob Statistiken für verdeckte Regeln aktiviert sind
  • ENABLEMENT_OVERLY_PERMISSIVE: ein boolescher Wert, der angibt, ob Statistiken für zu moderate Regeln aktiviert sind
  • ETAG: Wert der Etag-Richtlinie von IAM. Zum Abrufen des etag-Werts verwenden Sie die Methode getConfig, wie im folgenden Abschnitt beschrieben

Beispiel

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "604800s",
          "enable_shadowed_rule_insights": true,
          "enable_overly_permissive_rule_insights": true
         }
       },
    "etag": "\"ETAG\"",
  }

Konfigurationsdetails abrufen

Wenn Sie Details zur Konfiguration von Firewall Insights abrufen möchten, verwenden Sie die Methode getConfig, wie im folgenden Beispiel gezeigt. 

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

Benutzerdefinierten Aktualisierungszyklus planen

Richten Sie einen Aktualisierungszyklus ein, um verdeckte Regelinformationen für Ihr Projekt zu generieren.

Sie können den Aktualisierungszyklus so planen, dass er an einem bestimmten Datum beginnt, und die Zyklushäufigkeit anpassen. Die standardmäßige Zyklushäufigkeit beträgt ein Tag (24 Stunden).

Console

Konfigurieren Sie einen benutzerdefinierten Aktualisierungszyklus:

  1. Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.

    Zu Firewall Insights

  2. Klicken Sie auf Konfiguration.

  3. Klicken Sie auf Aktivierung.

  4. Klicken Sie auf die Ein/Aus-Schaltfläche, um Statistiken zu verdeckten Regeln zu aktivieren.

  5. Geben Sie im Feld Starten am ein Datum ein, ab dem der benutzerdefinierte Aktualisierungszyklus beginnt.

  6. Wählen Sie im Feld Wiederholungsintervall die Häufigkeit für den Aktualisierungszyklus ab, also ab dem Startdatum des Zyklus:

    • Tag: alle 24 Stunden
    • Woche: jede Woche an den von Ihnen ausgewählten Tagen
    • Monat: jeden Monat
    • Quartal: vierteljährlich

    Der neue Zeitplan zum Generieren von Statistiken wird 24 Stunden nach dem Speichern der Änderungen am Zeitplan wirksam.

Nächste Schritte