Auf dieser Seite wird beschrieben, wie Sie einen Beobachtungszeitraum und einen Aktualisierungszyklus in Firewall Insights konfigurieren.
Eine Übersicht über die verfügbaren Statistiken finden Sie unter Kategorien und Status von Firewall Insights.
Eine Liste der Messwerte zur Firewallnutzung finden Sie unter Firewall Insights-Messwerte ansehen.
Erforderliche Rollen und Berechtigungen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Firewall Recommender Admin (roles/recommender.firewallAdmin
) für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren des Beobachtungszeitraums und des Aktualisierungszyklus benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die Berechtigung recommender.computeFirewallInsightTypeConfigs.update
, die zum Konfigurieren des Beobachtungszeitraums und des Aktualisierungszyklus erforderlich ist.
Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Beobachtungszeitraum konfigurieren
Für einige Statistiken können Sie einen Beobachtungszeitraum konfigurieren, also den Zeitraum, den die Statistik abdeckt. Sie können beispielsweise den Beobachtungszeitraum für Statistiken für zu moderate Regeln und deny
-Regeln konfigurieren. Der Standardbeobachtungszeitraum beträgt sechs Wochen. Sie können ihn jedoch auf einen Zeitraum von sieben Tagen bis zu einem Jahr festlegen.
Wenn Sie beispielsweise den Beobachtungszeitraum für Regelstatistiken von deny
auf zwei Monate festlegen, zeigt Firewall Insights nach dem Beobachtungszeitraum in der Liste der deny
-Regeln mit Treffern nur die Regeln an, die in den letzten zwei Monaten Treffer hatten. Angenommen, Sie ändern den Beobachtungszeitraum später in einen Monat. In diesem Fall wird in Firewall Insights möglicherweise eine andere Anzahl von Regeln erkannt, da ein kürzeres Zeitintervall analysiert wird.
Beachten Sie Folgendes, wenn Sie Statistiken prüfen und Beobachtungszeiträume konfigurieren:
Wenn Sie den Beobachtungszeitraum für
deny
-Regeln mit Treffern konfigurieren, aktualisiert Firewall Insights die Statistikergebnisse sofort.Wenn Sie den Beobachtungszeitraum für Insights mit zu vielen Berechtigungen aktualisieren, kann es bis zu 48 Stunden dauern, bis Firewall Insights vorhandene Ergebnisse aktualisiert. In der Zwischenzeit entspricht der Beobachtungszeitraum für vorhandene Ergebnisse dem zuvor konfigurierten Beobachtungszeitraum.
Bei zu Statistiken mit zu vielen Berechtigungen wird in Firewall Insights nicht der Beobachtungszeitraum angezeigt, um die verwendeten Statistiken zu identifizieren, wenn keine Firewall-Regeln von der Statistik identifiziert wurden.
Verdeckte Regelstatistiken haben keinen Beobachtungszeitraum, da sie keine Verlaufsdaten auswerten. Die Analyse verdeckter Regeln wertet alle 24 Stunden die Konfiguration Ihrer vorhandenen Firewallregel aus.
Traffic-Logdaten der letzten 24 Stunden werden beim Generieren von Informationen möglicherweise nicht einbezogen.
Console
So konfigurieren Sie einen Beobachtungszeitraum:
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf Konfiguration.
Klicken Sie auf Beobachtungszeitraum.
Legen Sie gegebenenfalls in der Drop-down-Liste Beobachtungszeitraum die entsprechende Zeit für jedes der folgenden Ereignisse fest:
Statistiken für zu moderate Regeln
Statistiken für Ablehnungsregeln
API
Wenn Sie den Beobachtungszeitraum für deny
-Regeln mit Treffern festlegen möchten, müssen Sie die Google Cloud Console verwenden. Sie können jedoch die Recommender API verwenden, um den Beobachtungszeitraum für Statistiken für zu moderate Regeln festzulegen. Sie können die API auch verwenden, um Statistiken zu aktivieren und Konfigurationsdetails abzurufen.
Verwenden Sie die Methode updateConfig
, um den Beobachtungszeitraum für Statistiken für zu moderate Regeln festzulegen.
Wenn Sie die Methode updateConfig
verwenden möchten, müssen Sie Werte für alle Parameter festlegen. Geben Sie auch an, ob Statistiken für verdeckte Regeln und Statistiken mit zu vielen Berechtigungen aktiviert oder deaktiviert sind.
Verwenden Sie die folgende Anfrage, um diese Art von Aktualisierung durchzuführen.
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config { "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config", "insightTypeGenerationConfig": { "params": { "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE", "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED, "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE } }, "etag": "\"ETAG\"", }
Ersetzen Sie die folgenden Werte:
- PROJECT_ID: die Projekt-ID
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE: die Dauer des Beobachtungszeitraums in Sekunden für Statistiken für zu moderate Regeln
- ENABLEMENT_SHADOWED: ein boolescher Wert, der angibt, ob Statistiken für verdeckte Regeln aktiviert sind
- ENABLEMENT_OVERLY_PERMISSIVE: ein boolescher Wert, der angibt, ob Statistiken für zu moderate Regeln aktiviert sind
- ETAG: Wert der Etag-Richtlinie von IAM. Zum Abrufen des etag-Werts verwenden Sie die Methode
getConfig
, wie im folgenden Abschnitt beschrieben
Beispiel
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config { "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config", "insightTypeGenerationConfig": { "params": { "observation_period": "604800s", "enable_shadowed_rule_insights": true, "enable_overly_permissive_rule_insights": true } }, "etag": "\"ETAG\"", }
Konfigurationsdetails abrufen
Wenn Sie Details zur Konfiguration von Firewall Insights abrufen möchten, verwenden Sie die Methode getConfig
, wie im folgenden Beispiel gezeigt.
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
Benutzerdefinierten Aktualisierungszyklus planen
Richten Sie einen Aktualisierungszyklus ein, um verdeckte Regelinformationen für Ihr Projekt zu generieren.
Sie können den Aktualisierungszyklus so planen, dass er an einem bestimmten Datum beginnt, und die Häufigkeit des Zyklus anpassen. Die standardmäßige Zyklushäufigkeit beträgt ein Tag (24 Stunden).
Console
Konfigurieren Sie einen benutzerdefinierten Aktualisierungszyklus:
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf Konfiguration.
Klicken Sie auf Aktivierung.
Klicken Sie auf die Ein/Aus-Schaltfläche, um Statistiken zu verdeckten Regeln zu aktivieren.
Geben Sie im Feld Starten am ein Datum ein, ab dem der benutzerdefinierte Aktualisierungszyklus beginnt.
Wählen Sie im Feld Wiederholungsintervall die Häufigkeit für den Aktualisierungszyklus ab, also ab dem Startdatum des Zyklus:
- Tag: alle 24 Stunden
- Woche: jede Woche an den von Ihnen ausgewählten Tagen
- Monat: jeden Monat
- Quartal: vierteljährlich
Der neue Zeitplan zum Generieren von Statistiken wird 24 Stunden nach dem Speichern der Änderungen am Zeitplan wirksam.