Gestionar y exportar estadísticas

En esta página se describe cómo enumerar, describir, rechazar, restaurar y exportar estadísticas.

Roles y permisos necesarios

Para obtener los permisos que necesitas para gestionar y exportar estadísticas, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu proyecto:

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para gestionar y exportar estadísticas. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para gestionar y exportar estadísticas, se necesitan los siguientes permisos:

  • recommender.computeFirewallInsights.list
  • recommender.computeFirewallInsights.update

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Mostrar estadísticas de un proyecto

Para enumerar las estadísticas de un proyecto, haz lo siguiente:

gcloud

Usa el comando gcloud recommender insights list:

gcloud recommender insights list \
    --project=PROJECT_ID \
    --location=global \
    --insight-type=google.compute.firewall.Insight \
    --filter=EXPRESSION \
    --limit=LIMIT \
    --page-size=PAGE_SIZE \
    --sort-by=SORT_BY \
    --format=json

Sustituye PROJECT_ID por el ID del proyecto del que quieras obtener una lista de estadísticas.

La marca location siempre usa la ubicación llamada global. La marca insight-type siempre usa el tipo de información valiosa llamado google.compute.firewall.Insight. Si no das formato JSON a la salida, esta será tabular.

Los siguientes campos son opcionales:

  • EXPRESSION: aplica este filtro booleano a cada recurso que quieras incluir en la lista

    Si la expresión se evalúa como True, se muestra ese elemento. Para obtener más información y ejemplos de expresiones de filtro, ejecuta $ gcloud topic filters o consulta la documentación de gcloud topic filters.

  • LIMIT: número máximo de recursos que se van a enumerar. El número predeterminado de recursos que se enumeran es ilimitado.

  • PAGE_SIZE: número máximo de recursos que se mostrarán por página.

    El tamaño de página predeterminado lo determina el servicio. De lo contrario, no se paginará. La paginación se puede aplicar antes o después de FILTER y LIMIT.

  • SORT_BY: lista de nombres de claves de campo separados por comas por los que se debe ordenar un recurso.

    El orden predeterminado es ascendente. Para especificar un orden descendente, añade el prefijo ~ (una tilde) a un campo.

API

Haz una solicitud GET al método projects.locations.insightTypes.insights:

GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights

En el siguiente ejemplo se muestra una respuesta de muestra para este comando:

insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
  "shadowingFirewalls": [
    "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowing_firewall_name1}"
  ]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
 "state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
 "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
 ],
"insightSubtype": "SHADOWED_RULE"
}

Describir estadísticas

Para describir los detalles de una regla de cortafuegos concreta de un proyecto, haz lo siguiente:

gcloud

Usa el comando gcloud recommender insights describe:

gcloud recommender insights describe INSIGHT_ID \
    --project=PROJECT_NAME \
    --location=global \
    --insight-type=google.compute.firewall.Insight

Haz los cambios siguientes:

  • INSIGHT_ID: el ID de la estadística que se va a describir
  • PROJECT_NAME: el nombre del proyecto del que quieres obtener estadísticas

La marca location siempre usa la ubicación llamada global. La marca insight-type siempre usa el tipo de información valiosa llamado google.compute.firewall.Insight.

API

Haz una solicitud GET al método projects.locations.insightTypes.insights:

GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
 "name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
}

Haz los cambios siguientes:

  • PROJECT_ID: el ID del proyecto
  • LOCATION: siempre usa la ubicación llamada global
  • INSIGHT_TYPE_ID: siempre se usa el valor google.compute.firewall.Insight
  • INSIGHT_ID: el ID de la estadística.

Marcar una estadística como rechazada

Si alguna estadística no te resulta útil o quieres ocultarla por cualquier otro motivo, puedes descartarla. Después de descartar un dato valioso, la consola Google Cloud ya no lo mostrará a ti ni a otros usuarios, a menos que lo restaures.

Para marcar una estadística como rechazada, sigue estos pasos:

Consola

  1. En la Google Cloud consola, ve a la página Estadísticas de cortafuegos.

    Ir a Firewall Insights

  2. Busca la tarjeta correspondiente y haz clic en Ver lista completa.

  3. Selecciona las reglas que quieras descartar y, a continuación, haz clic en Descartar.

Restaurar un dato valioso rechazado

Si has rechazado una estadística y más adelante crees que es relevante, tú u otro usuario podéis restaurarla para que se muestre en la consola de Google Cloud .

Para restaurar una estadística rechazada, sigue estos pasos:

Consola

  1. En la Google Cloud consola, ve a la página Estadísticas de cortafuegos.

    Ir a Firewall Insights

  2. Haz clic en Rechazar historial. En respuesta, la Google Cloud consola muestra la página Estadísticas rechazadas.

  3. Selecciona las estadísticas que quieras restaurar y, a continuación, haz clic en Restaurar.

Exportar estadísticas

Si lo necesitas, puedes exportar las estadísticas de reglas ocultas y demasiado permisivas en formato CSV o JSON. No se puede exportar la información de Deny rules with hits porque se basa en métricas de Stackdriver de cortafuegos y no en estadísticas.

Puede exportar estadísticas por cualquiera de los siguientes motivos:

  • Debes importar los datos a otro sistema.
  • Quieres acceder a los datos cuando no tengas conexión.
  • Quieres inhabilitar Estadísticas de cortafuegos, pero quieres seguir teniendo acceso a las estadísticas generadas anteriormente.

Para exportar estadísticas, sigue estos pasos:

Consola

  1. En la Google Cloud consola, ve a la página Estadísticas de cortafuegos.

    Ir a Firewall Insights

  2. Haz clic en Guardar como.

  3. Sigue las indicaciones para elegir un formato para tus estadísticas y descárgalas.

También puede exportar estadísticas a BigQuery. Cuando exportas estadísticas a BigQuery, puedes ver las estadísticas de tu organización en forma de instantáneas diarias. Para obtener más información, consulta el artículo sobre exportar recomendaciones a BigQuery.

Siguientes pasos