Administra y exporta estadísticas

En esta página, se describe cómo enumerar, describir, descartar, restablecer y exportar estadísticas.

Funciones y permisos requeridos

Si quieres obtener los permisos que necesitas para administrar y exportar estadísticas, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:

Si quieres obtener más información para otorgar funciones, consulta Administra el acceso.

Estos roles predefinidos contienen los permisos necesarios para administrar y exportar estadísticas. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para administrar y exportar estadísticas:

  • recommender.computeFirewallInsights.list
  • recommender.computeFirewallInsights.update

Es posible que también puedas obtener estos permisos con funciones personalizadas o con otras funciones predefinidas.

Enumera las estadísticas de un proyecto

Para enumerar las conclusiones de un proyecto, haz lo siguiente:

gcloud

Usa el comando gcloud recommender insights list:

gcloud recommender insights list \
    --project=PROJECT_ID \
    --location=global \
    --insight-type=google.compute.firewall.Insight \
    --filter=EXPRESSION \
    --limit=LIMIT \
    --page-size=PAGE_SIZE \
    --sort-by=SORT_BY \
    --format=json

Reemplaza PROJECT_ID por el ID del proyecto para el que deseas enumerar estadísticas.

La marca location siempre usa la ubicación llamada global. La marca insight-type siempre usa el tipo de estadística denominado google.compute.firewall.Insight. A menos que formatees la salida en JSON, el resultado del comando será tabular.

Los siguientes campos son opcionales:

  • EXPRESSION: Aplica este filtro booleano a cada recurso que quieras enumerar.

    Si la expresión se evalúa como True, ese elemento aparecerá en la lista. Para obtener más detalles y ejemplos de expresiones de filtro, ejecuta $ gcloud topic filters o consulta la documentación de gcloud topic filters.

  • LIMIT: Es la cantidad máxima de recursos que se van a enumerar, la cantidad predeterminada de recursos enumerados es ilimitada.

  • PAGE_SIZE: Es la cantidad máxima de recursos que se deben incluir en la lista por página.

    El servicio determina el tamaño predeterminado de la página; de lo contrario, no habrá paginación. La paginación puede aplicarse antes o después de FILTER y LIMIT.

  • SORT_BY: Es una lista de nombres de clave de campo separados por comas en los que se ordenará un recurso

    El orden predeterminado es ascendente. Para especificar un orden descendente, prefija un campo con ~ (una tilde).

API

Realiza una solicitud GET al método projects.locations.insightTypes.insights.

GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights

En el siguiente ejemplo, se muestra una respuesta de muestra para este comando.

insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
  "shadowingFirewalls": [
    "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowing_firewall_name1}"
  ]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
 "state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
 "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
 ],
"insightSubtype": "SHADOWED_RULE"
}

Describe las estadísticas

Para describir detalles sobre una regla de firewall específica en un proyecto, haz lo siguiente:

gcloud

Usa el comando gcloud recommender insights describe:

gcloud recommender insights describe INSIGHT_ID \
    --project=PROJECT_NAME \
    --location=global \
    --insight-type=google.compute.firewall.Insight

Reemplaza lo siguiente:

  • INSIGHT_ID: el nombre de la estadística que se quiere describir
  • PROJECT_NAME: el nombre del proyecto del que deseas generar una lista de estadísticas.

La marca location siempre usa la ubicación llamada global. La marca insight-type siempre usa el tipo de estadística denominado google.compute.firewall.Insight.

API

Realiza una solicitud GET al método projects.locations.insightTypes.insights.

GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
 "name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
}

Reemplaza lo siguiente:

  • PROJECT_ID: el ID del proyecto
  • LOCATION: usa siempre la ubicación llamada global
  • INSIGHT_TYPE_ID: Usa siempre el valor google.compute.firewall.Insight.
  • INSIGHT_ID: El ID de la estadística

Marca una estadística como descartada

Si alguna estadística no es significativa o si deseas ocultarla por algún otro motivo, puedes descartarla. Después de descartar una estadística, la consola de Google Cloud ya no la mostrará a ti ni a otros usuarios, a menos que la restablezcas.

Para marcar una estadística como descartada, haz lo siguiente:

Consola

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. Busque la tarjeta correspondiente y haga clic en Ver lista completa.

  3. Selecciona las reglas que deseas descartar y haz clic en Descartar.

Restablece una estadística descartada

Si descartaste una estadística que luego crees que es relevante, tú o algún otro usuario pueden restablecerla y hacerla visible en la consola de Google Cloud.

Para restablecer una estadística descartada, haz lo siguiente:

Consola

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. Haz clic en Descartar historial. En respuesta, la consola de Google Cloud muestra la página Estadísticas descartadas.

  3. Selecciona las estadísticas que deseas restablecer y, luego, haz clic en Restablecer.

Exporta estadísticas

Si es necesario, puedes exportar estadísticas de reglas bloqueadas y demasiado permisivas en formato CSV o JSON. La información de Deny rules with hits no se puede exportar porque se basa en métricas de Stackdriver de firewall y no en estadísticas.

Recomendamos exportar estadísticas por cualquiera de los siguientes motivos:

  • Debes importar los datos a otro sistema.
  • Desea acceder a los datos sin conexión.
  • Tienes la intención de inhabilitar las Estadísticas de firewall, pero deseas conservar el acceso a las estadísticas generadas con anterioridad.

Para exportar estadísticas, haz lo siguiente:

Consola

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. Haz clic en Guardar como.

  3. Sigue las indicaciones para elegir un formato de estadísticas y descargarlos.

También puedes exportar estadísticas a BigQuery. Cuando exportas estadísticas a BigQuery, puedes ver instantáneas diarias de las estadísticas de tu organización. Para obtener más información, consulta Exporta recomendaciones a BigQuery.

¿Qué sigue?