Beobachtungszeitraum und Aktualisierungszyklus einrichten

Auf dieser Seite wird beschrieben, wie Sie einen Beobachtungszeitraum und einen Aktualisierungszyklus in Firewall Insights konfigurieren.

Eine Übersicht über die verfügbaren Statistiken finden Sie unter Kategorien und Status von Firewall Insights.

Eine Liste der Messwerte zur Firewallnutzung finden Sie unter Firewall Insights-Messwerte ansehen

Erforderliche Rollen und Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Firewall Recommender Admin (roles/recommender.firewallAdmin) für Ihr Projekt zuzuweisen, um die Berechtigung zum Konfigurieren des Beobachtungszeitraums und des Aktualisierungszyklus zu erhalten. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die recommender.computeFirewallInsightTypeConfigs.update Berechtigung, was erforderlich ist, um Beobachtungszeitraum und Aktualisierungszyklus konfigurieren.

Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Beobachtungszeitraum konfigurieren

Für einige Statistiken können Sie den Beobachtungszeitraum konfigurieren, also den Zeitraum, den die Statistik abdeckt. Sie können beispielsweise den Beobachtungszeitraum für Statistiken für zu moderate Regeln und deny-Regeln konfigurieren. Der Standardbeobachtungszeitraum beträgt sechs Wochen. Sie können ihn jedoch auf einen Zeitraum von sieben Tagen bis zu einem Jahr festlegen.

Wenn Sie beispielsweise den Beobachtungszeitraum für Regelstatistiken von deny auf zwei Monate festlegen, zeigt Firewall Insights nach dem Beobachtungszeitraum in der Liste der deny-Regeln mit Treffern nur die Regeln an, die in den letzten zwei Monaten Treffer hatten. Angenommen, Sie ändern den Beobachtungszeitraum später in einen Monat. In diesem Fall wird in Firewall Insights möglicherweise eine andere Anzahl von Regeln erkannt, da ein kürzeres Zeitintervall analysiert wird.

Beachten Sie Folgendes, wenn Sie Statistiken prüfen und Beobachtungszeiträume konfigurieren:

  • Wenn Sie den Beobachtungszeitraum für deny-Regeln mit Treffern konfigurieren, aktualisiert Firewall Insights die Statistikergebnisse sofort.

  • Wenn Sie den Beobachtungszeitraum für Insights mit zu vielen Berechtigungen aktualisieren, kann es bis zu 48 Stunden dauern, bis Firewall Insights vorhandene Ergebnisse aktualisiert. In der Zwischenzeit entspricht der Beobachtungszeitraum für vorhandene Ergebnisse dem zuvor konfigurierten Beobachtungszeitraum.

  • Bei zu Statistiken mit zu vielen Berechtigungen wird in Firewall Insights nicht der Beobachtungszeitraum angezeigt, um die verwendeten Statistiken zu identifizieren, wenn keine Firewall-Regeln von der Statistik identifiziert wurden.

  • Für Statistiken für verdeckte Regeln gibt es keinen Beobachtungszeitraum, da sie keine um historische Daten auszuwerten. Die Analyse verdeckter Regeln wertet alle 24 Stunden die Konfiguration Ihrer vorhandenen Firewallregel aus.

  • Traffic-Logdaten der letzten 24 Stunden werden beim Generieren von Informationen möglicherweise nicht einbezogen.

Console

So konfigurieren Sie einen Beobachtungszeitraum:

  1. Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.

    Zu Firewall Insights

  2. Klicken Sie auf Konfiguration.

  3. Klicken Sie auf Beobachtungszeitraum.

  4. Legen Sie gegebenenfalls in der Drop-down-Liste Beobachtungszeitraum die entsprechende Zeit für jedes der folgenden Ereignisse fest:

    • Statistiken für zu moderate Regeln

    • Statistiken für Ablehnungsregeln

API

Wenn Sie den Beobachtungszeitraum für deny-Regeln mit Treffern festlegen möchten, müssen Sie die Google Cloud Console verwenden. Sie können jedoch die Recommender API verwenden, um den Beobachtungszeitraum für Statistiken für zu moderate Regeln festzulegen. Sie können die API auch verwenden, um Statistiken zu aktivieren und Konfigurationsdetails abzurufen.

Um den Beobachtungszeitraum für Statistiken für zu moderate Regeln festzulegen, verwenden Sie die updateConfig-Methode.

Wenn Sie die Methode updateConfig verwenden möchten, müssen Sie Werte für alle Parameter festlegen. Geben Sie auch an, ob Statistiken für verdeckte Regeln und Statistiken mit zu vielen Berechtigungen aktiviert oder deaktiviert sind.

Verwenden Sie die folgende Anfrage, um diese Art von Aktualisierung durchzuführen.

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

Ersetzen Sie die folgenden Werte:

  • PROJECT_ID: die Projekt-ID
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE: die Dauer des Beobachtungszeitraums in Sekunden für Statistiken für zu moderate Regeln
  • ENABLEMENT_SHADOWED: ein boolescher Wert, der angibt, ob Statistiken für verdeckte Regeln aktiviert sind
  • ENABLEMENT_OVERLY_PERMISSIVE: ein boolescher Wert, der angibt, ob Statistiken für zu moderate Regeln aktiviert sind
  • ETAG: Wert der Etag-Richtlinie von IAM. Zum Abrufen des etag-Werts verwenden Sie die Methode getConfig, wie im folgenden Abschnitt beschrieben

Beispiel

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "604800s",
          "enable_shadowed_rule_insights": true,
          "enable_overly_permissive_rule_insights": true
         }
       },
    "etag": "\"ETAG\"",
  }

Konfigurationsdetails abrufen

Wenn Sie Details zur Konfiguration von Firewall Insights abrufen möchten, verwenden Sie die Methode getConfig, wie im folgenden Beispiel gezeigt. 

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

Benutzerdefinierten Aktualisierungszyklus planen

Richten Sie einen Aktualisierungszyklus ein, um verdeckte Regelinformationen für Ihr Projekt zu generieren.

Sie können festlegen, dass der Aktualisierungszyklus an einem bestimmten Datum beginnt, die Zyklushäufigkeit. Die standardmäßige Zyklushäufigkeit beträgt ein Tag (24 Stunden).

Console

Konfigurieren Sie einen benutzerdefinierten Aktualisierungszyklus:

  1. Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.

    Zu Firewall Insights

  2. Klicken Sie auf Konfiguration.

  3. Klicken Sie auf Aktivierung.

  4. Klicken Sie auf die Ein/Aus-Schaltfläche, um Statistiken zu verdeckten Regeln zu aktivieren.

  5. Geben Sie im Feld Starten am ein Datum ein, ab dem der benutzerdefinierte Aktualisierungszyklus beginnt.

  6. Wählen Sie im Feld Wiederholungsintervall die Häufigkeit für den Aktualisierungszyklus ab, also ab dem Startdatum des Zyklus:

    • Tag: alle 24 Stunden
    • Woche: jede Woche an den von Ihnen ausgewählten Tagen
    • Monat: jeden Monat
    • Quartal: vierteljährlich

    Der neue Zeitplan zum Generieren von Statistiken wird 24 Stunden nach dem Speichern der Änderungen am Zeitplan wirksam.

Nächste Schritte