Auf dieser Seite wird beschrieben, wie Sie Statistiken oder Nutzungsmesswerte für Firewall Insights aufrufen. Der Zugriff auf diese Informationen kann über die folgenden Konsolen, Seiten oder Tools erfolgen:
- Die Network Intelligence Center Console
- Den Recommendation Hub
- Die Seite "Firewallregeln" für Virtual Private Cloud (VPC)
- Die Seite "Netzwerkschnittstellendetails" für eine VM-Instanz von Compute Engine
- Die
gcloud-Recommender-Befehle oder die API
Eine Übersicht über Firewall Insights und ihren Status finden Sie unter Firewall Insights – Übersicht.
Eine Liste der Messwerte zur Firewallnutzung finden Sie unter Messwerte ansehen.
Vorbereitung
Richten Sie die folgenden Elemente in Google Cloud ein, bevor Sie Firewall Insights nutzen:
Rufen Sie in der Google Cloud Console die Seite für die Projektauswahl auf.
Wählen Sie ein Google Cloud-Projekt aus oder erstellen Sie eines.
Aktivieren Sie die Firewall Insights API wie im nächsten Abschnitt beschrieben.
Erkennung von verdeckten Regeln aktivieren
Sie müssen die Firewall Insights API aktivieren, um die Erkennung von verdeckten Regeln nutzen zu können.
Wenn Sie Firewall Insights in der Cloud Console verwenden, erhalten Sie von der Cloud Console eine Erinnerung, die API zu aktivieren, falls keine Statistiken erkannt werden.
Die Analyse verdeckter Regeln wird einmal täglich ausgeführt. Es kann also bis zu 24 Stunden dauern, bis Ergebnisse angezeigt werden.
Console
Rufen Sie in der Google Cloud Console Firewall Insights auf.
Klicken Sie auf Konfiguration.
Klicken Sie auf Aktivierung.
Klicken Sie auf den Selektor, damit Aktiviert angezeigt wird.
Klicken Sie auf Fertig.
Firewallregel-Logging aktivieren
Wenn Sie Statistiken und Nutzungsmesswerte für Firewallregeln sehen möchten, müssen Sie das Logging von Firewallregeln für eine oder mehrere Firewallregeln aktivieren. Weitere Informationen finden Sie unter Logging von Firewallregeln – Übersicht.
Berechtigungen verwalten
Eine Liste der Rollen und Berechtigungen, die zum Anzeigen und Verwalten von Statistiken und Nutzungsdaten erforderlich sind, finden Sie unter Zugriffssteuerung.
Network Intelligence Center verwenden
In der Cloud Console werden auf der Landingpage des Network Intelligence Center für Firewall Insights drei Arten von Statistikkarten angezeigt:
- Verdeckte Firewallregeln
Allow-Firewallregeln ohne Treffer im angegebenen Beobachtungszeitraum. Dieser umfasst standardmäßig die letzten sechs Wochen.Deny-Firewallregeln mit Treffern im angegebenen Beobachtungszeitraum. Dieser umfasst standardmäßig die letzten 24 Stunden.
Jede Karte enthält ein zusammenfassendes Snapshot-Beispiel. Mit einer Filtersuchleiste über den Karten können Sie Statistiken zu einem bestimmten VPC-Netzwerk filtern.
In den folgenden Abschnitten wird beschrieben, wie Sie diese Statistiken aufrufen.
Verdeckte Firewallregeln ansehen
Informationen zu verdeckten Firewallregeln finden Sie unter Firewall Insights – Übersicht.
Console
Rufen Sie in der Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte Verdeckte Regeln auf Vollständige Liste anzeigen.
Eine Seite mit Details wird geöffnet, die alle verdeckten Regeln enthält.
Klicken Sie in der Spalte Statistik für jede Regel auf die jeweils verdeckte Regel, um sich Statistikdetails anzeigen zu lassen. Diese Details zeigen die verdeckte Regel sowie eine oder mehrere Verdeckungsregeln, damit Sie nachvollziehen können, warum die verdeckte Regel redundant ist. Weitere Informationen finden Sie im Beispiel zu verdeckten Regeln unter "Firewall Insights – Übersicht". Informationen zum Markieren von Statistiken finden Sie in den folgenden Abschnitten.
Statistik als verworfen markieren
Console
Rufen Sie in der Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte Verdeckte Regeln auf Vollständige Liste anzeigen.
Eine Seite mit Details wird geöffnet, die alle verdeckten Regeln enthält.
Wenn eine verdeckte Regel nicht aussagekräftig ist, können Sie sie verwerfen, indem Sie oben auf der Seite auf Verwerfen klicken.
Nachdem Sie eine Statistik verworfen haben, wird sie Ihnen oder anderen Nutzern in der Cloud Console nicht mehr angezeigt, sofern Sie sie nicht wiederherstellen. Informationen zum Wiederherstellen eine Statistik finden Sie im nächsten Abschnitt.
Verworfene Statistik wiederherstellen
Wenn Sie eine Statistik verworfen haben, die Sie später für relevant halten, können Sie oder ein Nutzer sie wiederherstellen und in der Cloud Console sichtbar machen. Gehen Sie dazu so vor:
Console
Rufen Sie in der Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte Verdeckte Regeln auf Vollständige Liste anzeigen.
Eine Seite mit Details wird geöffnet, die alle verdeckten Regeln enthält.
Wenn Sie verworfene Statistiken wiederherstellen möchten, klicken Sie oben auf der Seite auf Verwurfsverlauf. Dadurch gelangen Sie zur Seite Verworfene Statistiken.
Aktivieren Sie auf der Seite Verworfene Statistiken das Kästchen für eine oder mehrere Statistiken und klicken Sie dann oben auf der Seite auf Wiederherstellen.
allow-Regeln ohne Treffer im Beobachtungszeitraum aufrufen
Informationen zum genauen Erfassen von Daten für den gesamten Beobachtungszeitraum finden Sie unter Firewall Insights – Übersicht.
Console
Rufen Sie in der Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte Regeln ohne Treffer zulassen auf Vollständige Liste ansehen.
Es öffnet sich eine Detailseite mit allen
allow-Regeln, die in den letzten sechs Wochen nicht verwendet wurden.Klicken Sie für jede Firewallregel rechts neben der Spalte Logs auf Audit-Logs abrufen, um zu sehen, wann Firewall-Logging für jede Firewallregel aktiviert oder deaktiviert wurde.
Klicken Sie auf den Namen einer Firewallregel, um die Konfigurations- und Nutzungsdetails aufzurufen.
deny-Regeln mit Treffern im Beobachtungszeitraum aufrufen
Informationen zum genauen Erfassen von Daten für den gesamten Beobachtungszeitraum finden Sie unter Firewall Insights – Übersicht.
Console
Rufen Sie in der Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte mit dem Namen Deny-Regeln mit Treffern auf Vollständige Liste ansehen.
Eine Detailseite wird geöffnet, die alle
deny-Firewallregeln mit Treffern im angegebenen Beobachtungszeitraum enthält. Dieser umfasst standardmäßig die letzten 24 Stunden.Um die von einer Firewall verworfenen Pakete zu prüfen, klicken Sie auf Trefferanzahl. Dann wird die Cloud Logging-Seite mit den Details angezeigt.
Recommendation Hub verwenden
Der Recommendation Hub ist ein Feature des Recommender-Produkts, das Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste bietet. Weitere Informationen finden Sie in der Dokumentation zum Recommendation Hub.
In der Cloud Console für den Recommendation Hub werden folgende Statistiken zu Firewallregeln angezeigt:
- Verdeckte Firewallregeln
Im Recommendation Hub werden diese Empfehlungen zusammen mit Empfehlungen für andere Produkte wie Identity and Access Management (IAM) und die VM-Größenanpassung angezeigt.
Verdeckte Firewallregeln ansehen
Informationen zu verdeckten Firewallregeln finden Sie unter Firewall Insights – Übersicht.
Console
Rufen Sie in der Cloud Console den Recommendation Hub auf.
Klicken Sie unter Firewallkonfiguration vereinfachen auf Alle ansehen.
Es wird eine Seite mit allen verdeckten Regeln angezeigt.
Sie können auf die Statistik klicken, um nachzuvollziehen, warum sie generiert wurde. In den Statistikdetails werden die verdeckte Firewall und eine oder mehrere Firewallverdeckungsregeln angezeigt, damit Sie nachvollziehen können, warum die verdeckte Regel redundant ist. Weitere Informationen finden Sie im Beispiel zu verdeckten Regeln unter "Firewall Insights – Übersicht".
Statistik als verworfen markieren
Console
Rufen Sie in der Cloud Console den Recommendation Hub auf.
- Klicken Sie auf der Karte Firewallkonfiguration vereinfachen auf Alle ansehen.
- Eine Seite mit Details wird geöffnet, die alle verdeckten Regeln enthält.
- Wenn eine Statistik für verdeckte Regeln nicht aussagekräftig ist, können Sie sie verwerfen: Klicken Sie auf die Statistik und dann im Steuerfeld auf Statistik schließen.
- Nachdem Sie Statistiken verworfen haben, werden sie Ihnen oder anderen Nutzern in der Cloud Console nicht mehr angezeigt, sofern Sie sie nicht wiederherstellen. Informationen zum Wiederherstellen eine Statistik finden Sie im nächsten Abschnitt.
Verworfene Statistik wiederherstellen
Wenn Sie eine Statistik verworfen haben, die Sie später für relevant halten, können Sie oder ein Nutzer sie wiederherstellen und in der Cloud Console sichtbar machen. Gehen Sie dazu so vor:
Console
Rufen Sie in der Cloud Console den Recommendation Hub auf.
Klicken Sie oben auf der Seite auf Verlauf.
Klicken Sie auf den Tab Verworfen, um verworfene Empfehlungen und Statistiken für das Projekt zu sehen.
Wählen Sie die Option neben der Statistik aus, die Sie wiederherstellen möchten.
Klicken Sie auf Wiederherstellen.
Detailseite der Firewallregeln verwenden
Weitere Informationen zu dieser Seite finden Sie unter Firewallregeln für ein VPC-Netzwerk auflisten.
Statistiken für ein Projekt auflisten
Console
Rufen Sie in der Cloud Console die Seite Firewallregeln auf.
Sehen Sie sich für jede Firewallregel den Namen der verfügbaren Statistiken in der Spalte Statistiken an.
Sie können auf den Namen einer Statistik klicken, um die Details aufzurufen. In den folgenden Abschnitten wird beschrieben, wie Sie die Details für jede Art von Statistik aufrufen und deuten.
allow-Regeln ohne Treffer in den letzten 24 Monaten ansehen
Console
Rufen Sie in der Cloud Console die Seite Firewallregeln auf.
Sehen Sie in der Spalte Letzter Treffer nach, wann eine bestimmte Firewallregel in den letzten 24 Monaten das letzte Mal verwendet wurde.
Diagramm zum Nutzungsverlauf einer Regel aufrufen
Console
Rufen Sie in der Cloud Console die Seite Firewallregeln auf.
Klicken Sie auf den Namen einer Firewallregel.
Rufen Sie im Abschnitt Trefferzahl-Überwachung der Seite das resultierende Diagramm mit der Anzahl der Firewall-Treffer für einen bestimmten Zeitraum auf. Sie können über dem Diagramm Tabs für verschiedene Zeiträume auswählen.
deny-Regeln mit Treffern für einen Beobachtungszeitraum aufrufen
Console
Rufen Sie in der Cloud Console die Seite Firewallregeln auf.
In der Spalte Trefferzahl sehen Sie die Anzahl der einzelnen Verbindungen, die in den letzten 24 Monaten (Standardeinstellung) für eine bestimmte Firewallregel verwendet wurden.
Detailseite zur VM-Netzwerkschnittstelle verwenden
Rufen Sie auf der Seite Details zur Netzwerkschnittstelle die Firewallnutzung für eine VM auf.
Weitere Informationen zu dieser Seite finden Sie unter Firewallregeln für eine Netzwerkschnittstelle einer VM-Instanz auflisten.
Regeln mit Treffern in den letzten 24 Stunden ansehen
Console
Öffnen Sie in der Cloud Console die Seite Compute Engine-VM-Instanzen:
Wählen Sie ganz rechts eine VM aus und klicken Sie auf das
-Menü Weitere Aktionen.Wählen Sie im Menü Netzwerkdetails anzeigen aus.
Klicken Sie im Abschnitt Firewall- und Routendetails auf den Tab Firewallregeln.
In der Spalte Trefferzahl wird die Trefferzahl für
allow- unddeny-Traffic in den letzten 24 Monaten für alle Firewallregeln angezeigt, die einer bestimmten Netzwerkschnittstelle zugeordnet sind.
Mithilfe von gcloud-Befehlen oder der API mit Statistiken arbeiten
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst mit Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste.
Statistiken auflisten
gcloud
Geben Sie den folgenden Befehl ein, um Statistiken für ein Projekt aufzulisten:
gcloud beta recommender insights list --project=PROJECT_ID \ --location=global --insight-type=google.compute.firewall.Insight \ --filter=EXPRESSION --limit=LIMIT \ --page-size=PAGE_SIZE --sort-by=SORT_BY \ --format=json
Ersetzen Sie
PROJECT_IDdurch die Projekt-ID, für die Sie Statistiken auflisten möchten.locationverwendet immer den Standort mit dem Namenglobal.insight-typeverwendet immer den Statistiktyp mit dem Namengoogle.compute.firewall.Insight. Sofern Sie die Ausgabe nicht im JSON-Format formatieren, ist die Befehlsausgabe tabellarisch.Die folgenden Felder sind optional:
EXPRESSION: Wenden Sie diesen booleschen Filter auf jede Ressource an, die Sie auflisten möchten. Wenn der Ausdruck alsTrueausgewertet wird, wird dieses Element aufgelistet. Für weitere Informationen und Beispiele zu Filterausdrücken führen Sie$ gcloud topic filtersaus oder sehen Sie sich die Dokumentation zu gcloud-Themen an.LIMIT: Dient zum Angeben der maximalen Anzahl von Ressourcen, die aufgelistet werden sollen. Die Standardanzahl der aufgelisteten Ressourcen ist unbegrenzt.PAGE_SIZE: Dient zum Angeben der maximalen Anzahl von Ressourcen, die pro Seite aufgelistet werden sollen. Die Standardseitengröße wird vom Dienst bestimmt, ansonsten gibt es keine Seitenwechsel. Seitenwechsel können vor oder nachFILTERundLIMITeingefügt werden.SORT_BY: Dient zum Angeben einer Liste von kommagetrennten Feldschlüsselnamen, nach denen für eine Ressource sortiert wird. Die Standardreihenfolge ist aufsteigend. Wenn Sie eine absteigende Reihenfolge angeben möchten, stellen Sie dem Feld~(eine Tilde) voran.
API
Wenn Sie alle Statistiken für ein Google Cloud-Projekt abrufen möchten, senden Sie eine GET-Anfrage an die Methode projects.locations.insightTypes.insights.
GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights
Das folgende Beispiel zeigt eine Beispielantwort für diesen Befehl.
insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
"shadowingFirewalls": [
"//compute.googleapis.com/projects/{project_id}/global/firewalls/shadowing_firewall_name1}"
]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
"state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
"//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
],
"insightSubtype": "SHADOWED_RULE"
}
Statistiken beschreiben
Verwenden Sie diesen Befehl, um Details zu einer Statistik aufzulisten.
gcloud
gcloud beta recommender insights describe INSIGHT_NAME \ --project=PROJECT_NAME --location=global \ --insight-type=google.compute.firewall.Insight
Ersetzen Sie folgende Werte durch Werte für Ihr Netzwerk:
INSIGHT_NAME: Der Name der zu beschreibenden StatistikPROJECT_NAME: Der Name des Projekts, für das Sie Statistiken auflisten möchten
location verwendet immer den Standort mit dem Namen global. insight-type verwendet immer den Statistiktyp mit dem Namen google.compute.firewall.Insight.
API
Zum Abrufen von Details zu einer Statistik stellen Sie eine GET-Anfrage an die Methode projects.locations.insightTypes.insights.
GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
"name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
{
Ersetzen Sie folgende Werte durch Werte für Ihr Netzwerk:
PROJECT_ID: die Projekt-IDLOCATION: immer den StandortglobalverwendenINSIGHT_TYPE_ID: immer den Wertgoogle.compute.firewall.InsightverwendenINSIGHT_ID: Statistik-ID für die Statistik
Nächste Schritte
- Informationen zum Prüfen der Laufzeitnutzung einer VPC-Firewall, zum Bereinigen und Optimieren der Konfigurationen von Firewallregeln und zum Verschärfen der Sicherheitsgrenzen finden Sie unter Mit gängigen Anwendungsfällen arbeiten.