管理及匯出洞察資料

本頁說明如何列出、描述、關閉、還原及匯出洞察。

必要角色和權限

如要取得管理及匯出洞察資料所需的權限,請要求管理員將專案的下列 IAM 角色授予您:

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

這些預先定義的角色具備管理及匯出洞察資料所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:

所需權限

如要管理及匯出洞察資料,必須具備下列權限:

  • recommender.computeFirewallInsights.list
  • recommender.computeFirewallInsights.update

您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

列出專案的洞察資料

如要列出專案的洞察資料,請按照下列步驟操作:

gcloud

使用 gcloud recommender insights list 指令

gcloud recommender insights list \
    --project=PROJECT_ID \
    --location=global \
    --insight-type=google.compute.firewall.Insight \
    --filter=EXPRESSION \
    --limit=LIMIT \
    --page-size=PAGE_SIZE \
    --sort-by=SORT_BY \
    --format=json

PROJECT_ID 替換為要列出洞察資料的專案 ID。

location 旗標一律會使用名為 global 的位置。insight-type 標記一律會使用名為 google.compute.firewall.Insight 的洞察類型。除非您以 JSON 格式設定輸出內容,否則指令輸出內容會以表格形式呈現。

以下欄位為選填:

  • EXPRESSION:將這個布林值篩選器套用至要列出的每個資源

    如果運算式評估為 True,該項目就會列出。如要進一步瞭解篩選器運算式並查看範例,請執行 $ gcloud topic filters 或參閱 gcloud topic filters 說明文件

  • LIMIT:要列出的資源數量上限;預設列出的資源數量沒有上限

  • PAGE_SIZE:每個頁面要列出的資源數量上限

    預設頁面大小由服務決定;否則不會分頁。分頁可能在 FILTERLIMIT 前後套用。

  • SORT_BY:以逗號分隔的欄位鍵名稱清單,用於排序資源

    預設為遞增順序。如要指定遞減順序,請在欄位前面加上 ~ (波狀符號)。

API

projects.locations.insightTypes.insights 方法發出 GET 要求:

GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights

以下範例顯示這項指令的回應範例:

insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
  "shadowingFirewalls": [
    "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowing_firewall_name1}"
  ]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
 "state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
 "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
 ],
"insightSubtype": "SHADOWED_RULE"
}

說明洞察資料

如要說明專案中特定防火牆規則的詳細資料,請按照下列步驟操作:

gcloud

使用 gcloud recommender insights describe 指令

gcloud recommender insights describe INSIGHT_ID \
    --project=PROJECT_NAME \
    --location=global \
    --insight-type=google.compute.firewall.Insight

更改下列內容:

  • INSIGHT_ID:要說明的洞察 ID
  • PROJECT_NAME:您要列出洞察資料的專案名稱

location 旗標一律會使用名為 global 的位置。insight-type 標記一律會使用名為 google.compute.firewall.Insight 的洞察類型。

API

projects.locations.insightTypes.insights 方法發出 GET 要求:

GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
 "name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
}

更改下列內容:

  • PROJECT_ID:專案 ID
  • LOCATION:一律使用名為 global 的位置
  • INSIGHT_TYPE_ID:一律使用值 google.compute.firewall.Insight
  • INSIGHT_ID:洞察 ID

將洞察資料標示為已關閉

如果任何洞察資訊沒有意義,或您想因其他原因隱藏該資訊,可以將其關閉。深入分析遭捨棄後,除非您還原,否則 Google Cloud 管理中心不會再向您或其他使用者顯示該深入分析。

如要將洞察資料標示為已關閉,請按照下列步驟操作:

主控台

  1. 前往 Google Cloud 控制台的「Firewall Insights」頁面。

    前往「防火牆深入分析」

  2. 找到適當的資訊卡,然後按一下「查看完整清單」

  3. 選取要排除的規則,然後按一下「排除」

還原已關閉的洞察資訊

如果您先前已關閉洞察資訊,但後來認為該資訊與您相關,您或其他使用者可以還原該資訊,讓它顯示在 Google Cloud 控制台中。

如要還原已關閉的洞察資料,請按照下列步驟操作:

主控台

  1. 前往 Google Cloud 控制台的「Firewall Insights」頁面。

    前往「防火牆深入分析」

  2. 按一下「關閉記錄」。控制台會顯示「已捨棄的洞察」 Google Cloud 頁面。

  3. 選取要還原的洞察資料,然後按一下「還原」

匯出洞察資料

如有需要,您可以將遭遮蔽和過於寬鬆規則的深入分析匯出為 CSV 或 JSON 格式。Deny rules with hits資訊無法匯出,因為這類資訊是根據防火牆 Stackdriver 指標,而非洞察資料。

您可能基於下列原因匯出洞察資料:

  • 您必須將資料匯入其他系統。
  • 您想在離線時存取資料。
  • 您打算停用防火牆洞察,但希望保留先前產生的洞察資訊。

如要匯出洞察資料,請按照下列步驟操作:

主控台

  1. 前往 Google Cloud 控制台的「Firewall Insights」頁面。

    前往「防火牆深入分析」

  2. 按一下「另存新檔」

  3. 按照提示選擇洞察資料的格式並下載。

您也可以將洞察資料匯出至 BigQuery。將洞察資料匯出至 BigQuery 後,即可查看貴機構每日的洞察資料快照。詳情請參閱「將建議匯出至 BigQuery」。

後續步驟