Esta página descreve como listar, descrever, ignorar, restaurar e exportar estatísticas.
Funções e autorizações necessárias
Para receber as autorizações de que precisa para gerir e exportar estatísticas, peça ao seu administrador para lhe conceder as seguintes funções da IAM no seu projeto:
-
Administrador do Firewall Recommender (
roles/recommender.firewallAdmin) -
Leitor do Firewall Recommender (
roles/recommender.firewallViewer)
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Estas funções predefinidas contêm as autorizações necessárias para gerir e exportar estatísticas. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:
Autorizações necessárias
São necessárias as seguintes autorizações para gerir e exportar estatísticas:
-
recommender.computeFirewallInsights.list -
recommender.computeFirewallInsights.update
Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.
Apresenta estatísticas de um projeto.
Para listar as estatísticas de um projeto, faça o seguinte:
gcloud
Use o comando gcloud recommender insights list:
gcloud recommender insights list \
--project=PROJECT_ID \
--location=global \
--insight-type=google.compute.firewall.Insight \
--filter=EXPRESSION \
--limit=LIMIT \
--page-size=PAGE_SIZE \
--sort-by=SORT_BY \
--format=json
Substitua PROJECT_ID pelo ID do projeto para o qual quer
listar estatísticas.
A flag location usa sempre a localização denominada global. A flag insight-typeusa sempre o tipo de estatísticas denominado google.compute.firewall.Insight. A menos que formate a saída em JSON, a saída do comando é tabular.
Os seguintes campos são opcionais:
EXPRESSION: aplique este filtro booleano a cada recurso que quer listarSe a expressão for avaliada como
True, o item é apresentado. Para ver mais detalhes e exemplos de expressões de filtro, execute$ gcloud topic filtersou consulte agcloud topic filtersdocumentação.LIMIT: o número máximo de recursos a listar; o número predefinido de recursos listados é ilimitadoPAGE_SIZE: o número máximo de recursos a listar por páginaO tamanho da página predefinido é determinado pelo serviço; caso contrário, não existe paginação. A paginação pode ser aplicada antes ou depois de
FILTEReLIMIT.SORT_BY: uma lista de nomes de chaves de campos separados por vírgulas para ordenar por um recursoA ordem predefinida é ascendente. Para especificar uma ordem descendente, adicione o prefixo
~(um til) a um campo.
API
Faça um pedido GET ao
método projects.locations.insightTypes.insights:
GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights
O exemplo seguinte mostra uma resposta de exemplo para este comando:
insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
"shadowingFirewalls": [
"//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowing_firewall_name1}"
]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
"state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
"//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
],
"insightSubtype": "SHADOWED_RULE"
}
Descreva estatísticas
Para descrever detalhes sobre uma regra de firewall específica num projeto, faça o seguinte:
gcloud
Use o comando gcloud recommender insights describe:
gcloud recommender insights describe INSIGHT_ID \
--project=PROJECT_NAME \
--location=global \
--insight-type=google.compute.firewall.Insight
Substitua o seguinte:
INSIGHT_ID: o ID da estatística a descreverPROJECT_NAME: o nome do projeto para o qual quer apresentar estatísticas
A flag location usa sempre a localização denominada global. A flag insight-typeusa sempre o tipo de estatísticas denominado google.compute.firewall.Insight.
API
Faça um pedido GET ao
método projects.locations.insightTypes.insights:
GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
"name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
}
Substitua o seguinte:
PROJECT_ID: o ID do projetoLOCATION: usar sempre a localização denominadaglobalINSIGHT_TYPE_ID: use sempre o valorgoogle.compute.firewall.InsightINSIGHT_ID: o ID da estatística
Marque uma estatística como ignorada
Se uma estatística não for significativa ou se quiser ocultá-la por qualquer outro motivo, pode ignorá-la. Depois de ignorar uma estatística, a Google Cloud consola deixa de a apresentar a si ou a outros utilizadores, a menos que a restaure.
Para marcar uma estatística como ignorada, faça o seguinte:
Consola
Na Google Cloud consola, aceda à página Estatísticas da firewall.
Encontre o cartão adequado e clique em Ver lista completa.
Selecione as regras que quer ignorar e, de seguida, clique em Ignorar.
Restaure uma estatística ignorada
Se ignorou uma estatística que, mais tarde, considera relevante, pode restaurá-la e torná-la visível na Google Cloud consola.
Para restaurar uma estatística ignorada, faça o seguinte:
Consola
Na Google Cloud consola, aceda à página Estatísticas da firewall.
Clique em Dismiss History (Ignorar histórico). Em resposta, a Google Cloud consola apresenta a página Estatísticas ignoradas.
Selecione as estatísticas que quer restaurar e, de seguida, clique em Restaurar.
Exporte estatísticas
Se necessário, pode exportar estatísticas de regras excessivamente permissivas e ocultadas no formato CSV ou JSON. As informações Deny rules with hits não podem ser exportadas porque
se baseiam em métricas do Stackdriver do firewall e não em estatísticas.
Pode exportar estatísticas por qualquer um dos seguintes motivos:
- Tem de importar os dados para outro sistema.
- Quer aceder aos dados quando está offline.
- Pretende desativar o Firewall Insights, mas quer manter o acesso às estatísticas geradas anteriormente.
Para exportar estatísticas, faça o seguinte:
Consola
Na Google Cloud consola, aceda à página Estatísticas da firewall.
Clique em Guardar como.
Siga as instruções para escolher um formato para as suas estatísticas e transferi-las.
Também pode exportar estatísticas para o BigQuery. Quando exporta estatísticas para o BigQuery, pode ver instantâneos diários das estatísticas da sua organização. Para mais informações, consulte o artigo Exporte recomendações para o BigQuery.