En esta página, se describe cómo enumerar, describir, descartar, restablecer y exportar estadísticas.
Funciones y permisos requeridos
Si quieres obtener los permisos que necesitas para administrar y exportar estadísticas, sigue estos pasos: solicita a tu administrador que te otorgue el los siguientes roles de IAM en tu proyecto:
-
Administrador de recomendador de firewall (
roles/recommender.firewallAdmin
) -
Visualizador del recomendador de firewall (
roles/recommender.firewallViewer
)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen los permisos necesarios para administrar y exportar las estadísticas. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para administrar y exportar estadísticas:
-
recommender.computeFirewallInsights.list
-
recommender.computeFirewallInsights.update
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
Enumera las estadísticas de un proyecto
Para enumerar las conclusiones de un proyecto, haz lo siguiente:
gcloud
Usa el comando gcloud recommender insights list
:
gcloud recommender insights list \ --project=PROJECT_ID \ --location=global \ --insight-type=google.compute.firewall.Insight \ --filter=EXPRESSION \ --limit=LIMIT \ --page-size=PAGE_SIZE \ --sort-by=SORT_BY \ --format=json
Reemplaza PROJECT_ID
por el ID del proyecto para el que deseas enumerar estadísticas.
La marca location
siempre usa la ubicación llamada global
. La marca insight-type
siempre usa el tipo de estadística denominado google.compute.firewall.Insight
. A menos que formatees la salida en JSON, el resultado del comando será tabular.
Los siguientes campos son opcionales:
EXPRESSION
: Aplica este filtro booleano a cada recurso que quieras enumerar.Si la expresión se evalúa como
True
, ese elemento aparecerá en la lista. Para obtener más detalles y ejemplos de expresiones de filtro, ejecuta$ gcloud topic filters
o consulta la documentación degcloud topic filters
.LIMIT
: Es la cantidad máxima de recursos que se van a enumerar, la cantidad predeterminada de recursos enumerados es ilimitada.PAGE_SIZE
: Es la cantidad máxima de recursos que se deben incluir en la lista por página.El servicio determina el tamaño de página predeterminado. de lo contrario, no hay paginación. La paginación puede aplicarse antes o después de
FILTER
yLIMIT
.SORT_BY
: Es una lista de nombres de clave de campo separados por comas en los que se ordenará un recursoEl orden predeterminado es ascendente. Para especificar un orden descendente, prefija un campo con
~
(una tilde).
API
Realiza una solicitud GET
al método projects.locations.insightTypes.insights
.
GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights
En el siguiente ejemplo, se muestra una respuesta de muestra para este comando.
insights { "name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}" "description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by projects/{project_id}/global/firewalls/{shadowing_firewall_name}." "content": { "shadowingFirewalls": [ "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowing_firewall_name1}" ] }, "lastRefreshTime": "2020-04-01T19:16:43Z", "observationPeriod": "0s", "stateInfo" { "state": "ACTIVE" } "category": "SECURITY" "targetResources":[ "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}" ], "insightSubtype": "SHADOWED_RULE" }
Describe las estadísticas
Para describir los detalles sobre una regla de firewall particular en un proyecto, haz lo siguiente:
gcloud
Usa el comando gcloud recommender insights describe
:
gcloud recommender insights describe INSIGHT_ID \ --project=PROJECT_NAME \ --location=global \ --insight-type=google.compute.firewall.Insight
Reemplaza lo siguiente:
INSIGHT_ID
: el nombre de la estadística que se quiere describirPROJECT_NAME
: el nombre del proyecto del que deseas generar una lista de estadísticas.
La marca location
siempre usa la ubicación llamada global
. La marca insight-type
siempre usa el tipo de estadística denominado google.compute.firewall.Insight
.
API
Realiza una solicitud GET
al método projects.locations.insightTypes.insights
.
GET https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*} { "name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID, }
Reemplaza lo siguiente:
PROJECT_ID
: El ID del proyectoLOCATION
: usa siempre la ubicación llamadaglobal
INSIGHT_TYPE_ID
: usa siempre el valorgoogle.compute.firewall.Insight
.INSIGHT_ID
: El ID de la estadística
Marca una estadística como descartada
Si alguna estadística no es significativa o si deseas ocultarla por algún otro motivo, puedes descartarla. Después de descartar una estadística, la consola de Google Cloud ya no la mostrará a ti ni a otros usuarios, a menos que la restablezcas.
Para marcar una estadística como descartada, sigue estos pasos:
Console
En la consola de Google Cloud, ve a la página Estadísticas de firewall.
Busque la tarjeta correspondiente y haga clic en Ver lista completa.
Selecciona las reglas que deseas descartar y haz clic en Descartar.
Restablece una estadística descartada
Si descartaste una estadística que luego crees que es relevante, tú o algún otro usuario pueden restablecerla y hacerla visible en la consola de Google Cloud.
Para restablecer una estadística descartada, haz lo siguiente:
Console
En la consola de Google Cloud, ve a la página Estadísticas de firewall.
Haz clic en Descartar historial. En respuesta, la consola de Google Cloud muestra la página Estadísticas descartadas.
Selecciona las estadísticas que deseas restablecer y, luego, haz clic en Restablecer.
Exporta estadísticas
Si es necesario, puedes exportar estadísticas de reglas bloqueadas y demasiado permisivas en formato CSV o JSON. No se puede exportar la información de Deny rules with hits
porque
se basa en las métricas de Stackdriver de firewall y no en las estadísticas.
Recomendamos exportar estadísticas por cualquiera de los siguientes motivos:
- Debes importar los datos a otro sistema.
- Desea acceder a los datos sin conexión.
- Tienes la intención de inhabilitar las Estadísticas de firewall, pero deseas conservar el acceso a las estadísticas generadas con anterioridad.
Para exportar estadísticas, haz lo siguiente:
Console
En la consola de Google Cloud, ve a la página Estadísticas de firewall.
Haz clic en Guardar como.
Sigue las indicaciones para elegir un formato de estadísticas y descargarlos.
También puedes exportar estadísticas a BigQuery. Cuando exportas estadísticas a BigQuery, puedes ver instantáneas diarias de estadísticas para tu organización. Para obtener más información, consulta Exporta recomendaciones a BigQuery.