ファイアウォール・インサイトを使用する

このページでは、ファイアウォール インサイトを使用して、分析情報、推奨事項、指標にアクセスする方法について説明します。この情報は、Google Cloud Console の [ファイアウォール インサイト] ページと Cloud Console の他の場所で確認できます。また、Recommender API または Google Cloud CLI を使用してデータを取得することもできます。

使用可能な分析情報の概要については、ファイアウォール インサイトの概要をご覧ください。

ファイアウォールの使用状況の指標の一覧については、ファイアウォール インサイトの指標をご覧ください。

始める前に

ファイアウォール インサイトを使用する前に、プロジェクトを選択し、必要な設定タスクを完了する必要があります。一部の機能は前提条件が異なります。詳しくは、次の表をご覧ください。

タスク すべての指標 シャドウルールの分析情報 制限が緩すぎるルールの分析情報 ヒットが含まれる拒否ルール
Firewall Insights API を有効にする
ファイアウォール ルール ロギングを有効にする
Recommender API を有効にする
このタイプの分析情報を有効にする
観察期間を構成する

以降のセクションで、これらの各要素について説明します。

プロジェクトを選択する

前提条件を満たすために操作を行う前、またはファイアウォール インサイトを使用して他の操作を行う前に、Google Cloud プロジェクトを作成または選択することをおすすめします。次の操作を行います。

  1. Google Cloud Console でプロジェクト セレクタ ページに移動します。

    プロジェクト セレクタに移動

  2. Google Cloud プロジェクトを選択または作成します。

  3. Cloud プロジェクトに対して課金が有効になっていることを確認します。

Firewall Insights API を有効にする

ファイアウォール インサイトを使用してタスクを行う前に、Firewall Insights API を有効にする必要があります。次の操作を行います。または、API を有効にするで説明されているように、Cloud Console API ライブラリを使用することもできます。

コンソール

  1. Google Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [Firewall Insights API] で [有効にする] をクリックします。

gcloud

次のコマンドを実行します。

gcloud services enable firewallinsights.googleapis.com

ファイアウォール ルール ロギングを有効にする

次のいずれかを表示するには、ファイアウォール ルール ロギングを有効にする必要があります。

  • ファイアウォール ルールに関する指標
  • 制限が緩すぎるルールまたは deny ルールに関する分析情報。これらの分析情報は、まとめてログベースの指標と呼ばれます。

ファイアウォール インサイトは、ロギングが有効になっているルールについてのみ、指標とログベースの分析情報を生成します。詳細については、ファイアウォール ルール ロギングの概要をご覧ください。

Recommender API を有効にする

次のいずれかを行う場合は、Recommender API を有効にする必要があります。

  • シャドウルールの分析情報を使用する
  • 制限が緩すぎるルールの分析情報を使用する
  • API 呼び出しまたは Google Cloud CLI を使用してデータを取得する

コンソール

  1. Cloud Console で、[API を有効にする] ページに移動します。

    API を有効にする

  2. 正しいプロジェクトが選択されていることを確認して、[次へ] をクリックします。

  3. [有効にする] をクリックします。

gcloud

次のコマンドを実行します。

gcloud services enable recommender.googleapis.com

シャドウルールや制限が緩すぎるルールの分析情報を有効にする

ファイアウォール インサイトは、[ファイアウォール インサイト] ページで有効にしない限り、シャドウルールまたは制限が緩すぎるルールの分析情報を生成しません。

いずれかの機能を有効にしてから、生成された分析情報が表示されるまでに、最長で 48 時間ほどかかることがあります。機械学習の予測が表示されるまでに 1 週間かかる場合があります。

コンソール

  1. Google Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [構成] をクリックします。

  3. [有効化] をクリックします。

  4. 必要に応じて、次のいずれか、または両方のスライダーを [有効] または [無効] に移動します。

    • シャドウルールの分析情報

    • 制限が緩すぎるルールの分析情報

API

Recommender API を使用して、シャドウルールの分析情報と制限が緩すぎるルール分析情報の両方またはいずれか一方を有効または無効にできます。また、API を使用して、制限が緩すぎるルールの分析情報の観察期間を設定したり、構成の詳細を取得したりすることもできます。

分析情報を有効にし、観察期間を設定する

updateConfig メソッドを使用すると、シャドウルールの分析情報と制限が緩すぎるルールの分析情報の両方またはいずれか一方を有効にできます。

updateConfig メソッドを使用するには、すべてのパラメータの値を設定する必要があります。したがって、分析情報を有効または無効にする場合は、制限が緩すぎる分析情報の観察期間も同時に構成する必要があります。

この更新を行うには、次のリクエストを使用します。

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

次の値を置き換えます。

  • PROJECT_ID: オブジェクトの ID
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE: 制限が緩すぎるルールの分析情報の観察期間(秒)
  • ENABLEMENT_SHADOWED: シャドウルールの分析情報を有効にするかどうかを示すブール値
  • ENABLEMENT_OVERLY_PERMISSIVE: 制限が緩すぎるルールの分析情報を有効にするかどうかを示すブール値
  • ETAG: IAM ポリシーの ETag 値。ETag 値を取得するには、次のセクションで説明するように getConfig メソッドを使用します。

構成の詳細を取得する

ファイアウォール インサイトの構成の詳細を取得するには、次の例に示すように getConfig メソッドを使用します。

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

観察期間を構成する

一部の分析情報では、観察期間(分析情報がカバーする期間)を構成できます。これは、制限が緩すぎるルールと deny ルールの分析情報で行うことができます。

たとえば、deny ルールの分析情報の観察期間を 2 か月に設定したとします。この場合、ヒットがある deny ルールのリストを確認すると、ファイアウォール インサイトでは、過去 2 か月間のある時点でヒットしたルールのみが表示されます。後で観察期間を 1 か月に変更するとします。この場合、ファイアウォール インサイトで分析される期間が短いため、異なる数のルールが識別される可能性があります。

分析情報の確認と観察期間の構成を行う際には、次の点に注意してください。

  • ヒットがある deny ルールの観察期間を構成すると、ファイアウォール インサイトが分析情報の結果をすぐに更新します。

  • 制限が緩すぎるルールの分析情報の観察期間を更新すると、ファイアウォール インサイトが既存の結果を更新するまでに最大 48 時間かかることがあります。その間、既存の結果の観察期間は以前に構成された観察期間と一致します。

  • 制限が緩すぎる分析情報では、分析情報でファイアウォール ルールが特定されなかった場合、使用された観察期間はファイアウォール インサイトに表示されません。

  • シャドウルールの分析情報は過去のデータを評価しないため、観察期間はありません。シャドウルールの分析では、既存のファイアウォール ルールの構成が 24 時間ごとに評価されます。

  • 過去 24 時間のトラフィック ログデータは、分析情報の生成時に含まれないことがあります。

コンソール

観察期間を構成するには:

  1. Google Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [構成] をクリックします。

  3. [観察期間] をクリックします。

  4. 必要に応じて、次の項目ごとに [観測期間] プルダウン リストで適切な時間を設定します。

    • 制限が緩すぎるルールの分析情報

    • 拒否ルールの分析情報

API

ヒットがある deny ルールの観察期間を設定するには、Cloud Console を使用する必要があります。制限が緩すぎるルールの分析情報については、Recommender API を使用して観察期間を設定できます。また、この API を使用すると、分析情報を有効にしたり、構成の詳細を取得したりすることもできます。

観察期間を設定し、分析情報を有効にする

updateConfig メソッドを使用すると、制限が緩すぎるルールの分析情報の観察期間を設定できます。

updateConfig メソッドを使用するには、すべてのパラメータの値を設定する必要があります。つまり、シャドウルールの分析情報と制限が緩すぎるルールの分析情報を有効にするか無効にするかも指定する必要があります。

この更新を行うには、次のリクエストを使用します。

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

次の値を置き換えます。

  • PROJECT_ID: オブジェクトの ID
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE: 制限が緩すぎるルールの分析情報の観察期間(秒)
  • ENABLEMENT_SHADOWED: シャドウルールの分析情報を有効にするかどうかを示すブール値
  • ENABLEMENT_OVERLY_PERMISSIVE: 制限が緩すぎるルールの分析情報を有効にするかどうかを示すブール値
  • ETAG: IAM ポリシーの ETag 値。ETag 値を取得するには、次のセクションで説明するように getConfig メソッドを使用します。

構成の詳細を取得する

ファイアウォール インサイトの構成の詳細を取得するには、次の例に示すように getConfig メソッドを使用します。

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

ファイアウォール インサイトのランディング ページを使用する

Cloud コンソールのファイアウォール インサイトのランディング ページでは、次のような分析情報のカードが表示されます。

  • シャドウ ファイアウォール ルール
  • 制限が緩すぎるルール。次のようなルールがあります。
    • ヒットなしの Allow ルール
    • 未使用の属性を含む Allow ルール
    • 制限が過度に緩い IP アドレスまたはポート範囲を含む Allow ルール
  • ヒットなしの Deny ルール

各カードには、分析情報の基準を満たすプロジェクトのすべてのルールが一覧表示されます。結果を 1 つの VPC ネットワークに限定する場合は、ページの上部にあるフィルタバーでネットワークを選択します。

以下のセクションでは、各分析情報の表示方法について説明します。

シャドウ ファイアウォール ルールを表示する

この分析情報については、ファイアウォール インサイトの概要のシャドウルールをご覧ください。

コンソール

  1. Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [シャドウルール] というカードで、[全リストを表示] をクリックします。これに応じて、Cloud Console に [シャドウルール] ページが表示されます。ここには、シャドウとして識別されたすべてのルールが一覧表示されます。各ルールの [分析情報] 列には、ルールがシャドウルールとして識別された理由の概要が表示されます。

  3. シャドウルールとシャドウルールの詳細を表示するには、分析情報をクリックします。

ヒットのない allow ルールを表示する

この分析情報については、ファイアウォール インサイトの概要のヒットのない許可ルールをご覧ください。

コンソール

  1. Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [ヒットのない許可ルール] というカードで、[全リストを表示] をクリックします。これに応じて、Cloud Console に [ヒットのない許可ルール] ページが表示されます。このページには、観察期間中にヒットがなかったすべてのルールが一覧表示されます。各ルールの [分析情報] 列には、ルールが今後ヒットする可能性があるかどうかの予測が表示されます。

  3. リスト内のルールについて、必要に応じて次のいずれかを行います。

    • ルールの [ファイアウォール ルールの詳細] ページを表示するには、ルールの名前をクリックします。
    • ルールのログを表示するには、[監査ログを表示] をクリックします。
    • 予測の詳細を表示するには、予測リンクをクリックします。この操作により、[分析情報の詳細] パネルが表示されます。このパネルでは、ルールの主な属性の説明が表示されます。また、プロジェクト内の他の類似ルールの属性と、ヒット数も表示されます。

未使用の属性を含む allow ルールを表示する

この分析情報については、ファイアウォール インサイトの概要の未使用の属性を含む許可ルールをご覧ください。

コンソール

  1. Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [未使用の属性を含む許可ルール] というカードで、[全リストを表示] をクリックします。これに応じて、Cloud Console に [未使用の属性を含む許可ルール] ページが表示されます。このページには、観察期間中に未使用の属性が確認されたすべてのルールが一覧表示されます。各ルールの [分析情報] 列には、その属性が今後使用されるかどうかの予測が表示されます。

  3. リスト内のルールについて、必要に応じて次のいずれかを行います。

    • ルールの [ファイアウォール ルールの詳細] ページを表示するには、ルールの名前をクリックします。
    • ルールのログを表示するには、[監査ログを表示] をクリックします。
    • 予測の詳細を表示するには、予測リンクをクリックします。この操作により、[分析情報の詳細] パネルが表示されます。このパネルでは、ルールの主な属性の説明が表示されます。また、プロジェクト内で類似の属性を含む他のルールについても表示されます。

制限が過度に緩い IP アドレスまたはポート範囲を含む allow ルールを表示する

この分析情報については、ファイアウォール インサイトの概要の制限が過度に緩い IP アドレスまたはポート範囲を含む許可ルールをご覧ください。

プロジェクトに、ロードバランサのヘルスチェックや他の Google Cloud 機能のために特定の IP アドレス ブロックへのアクセスを許可するファイアウォール ルールが存在する場合があります。これらの IP アドレスはヒットしない可能性がありますが、ファイアウォール ルールから削除しないでください。これらの範囲の詳細については、Compute Engine のドキュメントをご覧ください。

コンソール

  1. Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [制限が過度に緩い IP アドレスまたはポート範囲を含む許可ルール] というカードで、[全リストを表示] をクリックします。それに応じて、観測期間中に確認された、制限が過度に緩いすべてのルールが Cloud Console に表示されます。

  3. リスト内のルールについて、必要に応じて次のいずれかを行います。

    • ルールの [ファイアウォール ルールの詳細] ページを表示するには、ルールの名前をクリックします。
    • ルールのログを表示するには、[監査ログを表示] をクリックします。
    • 範囲を絞り込む方法のヒントを表示するには、[分析情報] 列のリンクをクリックします。この操作により、[分析情報の詳細] パネルが表示されます。このパネルでは、ルールの主な属性の説明が表示されます。IP アドレスまたはポート範囲をより狭い範囲で定義することが提案されます。

ヒットした deny ルールを表示する

この分析情報については、ファイアウォール インサイトの概要のヒットが含まれる拒否ルールをご覧ください。

コンソール

  1. Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [ヒットが含まれる拒否ルール] というカードで、[全リストを表示] をクリックします。レスポンスとして、Cloud Console に [ヒットが含まれる拒否ルール] ページが表示されます。このページには、観察期間中にヒットが発生したすべての deny ルールが一覧表示されます。

  3. ファイアウォールによってドロップされたパケットを確認するには、[ヒットカウント] をクリックします。

分析情報を「閉じる」としてマークする

意味のない分析情報や、その他の理由で非表示にする場合は、分析情報を閉じることができます。分析情報を閉じると、復元しない限り、Cloud Console はその分析情報を表示しなくなります。

コンソール

  1. Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. 該当するカードを見つけて、[全リストを表示] をクリックします。

  3. 閉じるルールを選択して、[閉じる] をクリックします。

閉じた分析情報を復元する

閉じた分析情報の関連性が後で確認された場合、自身または別のユーザーが分析情報を復元して Cloud コンソールに表示できます。

コンソール

  1. Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [閉じた分析情報] をクリックします。これに応じて、Cloud Console に [閉じた分析情報] ページが表示されます。

  3. 復元する分析情報を選択し、[復元] をクリックします。

分析情報をエクスポートする

必要に応じて、CSV 形式または JSON 形式で分析情報をエクスポートできます。

次のような場合は、分析情報をエクスポートすることをおすすめします。

  • データを別のシステムにインポートする必要がある場合。
  • オフライン中にデータにアクセスする必要がある場合。
  • ファイアウォール インサイトを無効にするが、以前に生成した分析情報に引き続きアクセスしたい場合。

コンソール

  1. Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [名前を付けて保存] をクリックします。

  3. 表示された手順に沿って分析情報の形式を選択し、ダウンロードします。

おすすめハブを使用する

おすすめハブは、Google Cloud プロダクトとサービスを使用するにあたっての推奨事項を提供する、Recommender プロダクトの機能です。

Cloud Console のおすすめハブには、次のファイアウォール ルールの分析情報が表示されます。

  • シャドウ ファイアウォール ルール
  • 制限が緩すぎるルール。次のようなルールがあります。
    • ヒットなしの Allow ルール
    • 未使用の属性を含む Allow ルール
    • 制限が過度に緩い IP アドレスまたはポート範囲を含む Allow ルール

おすすめハブには、これらの分析情報と、Identity and Access Management(IAM)や VM 適正化などの他のプロダクトに関する推奨事項が表示されます。

おすすめハブに関する一般的な情報については、おすすめハブを使ってみるをご覧ください。

シャドウ ファイアウォール ルールを表示する

この分析情報については、ファイアウォール インサイトの概要のシャドウルールをご覧ください。

コンソール

  1. Cloud Console で [おすすめハブ] に移動します。

    [おすすめハブ] に移動

  2. [ファイアウォール構成の簡素化] というカードで、[すべて表示] をクリックします。おすすめハブのページにシャドウルールのリストが表示されます。各ルールの [分析情報] 列には、ルールがシャドウルールとして識別された理由の概要が表示されます。

  3. シャドウルールとシャドウルールの詳細を表示するには、分析情報をクリックします。

制限が緩すぎるルールの分析情報を表示する

制限が過度に緩いルールの分析情報については、ファイアウォール インサイトの概要で次のセクションをご覧ください。

コンソール

  1. Cloud Console で [おすすめハブ] に移動します。

    [おすすめハブ] に移動

  2. [制限が緩すぎるファイアウォール ルール] というカードで、[すべて表示] をクリックします。

  3. ページの上部にあるタブを使用して、分析情報のタイプを切り替えます。

    表示されているルールの分析情報をクリックすると、そのルールがリストに含まれている理由を確認できます。分析情報の詳細には、ルールのヒット数と属性に関する詳細情報が表示されます。

分析情報を「閉じる」としてマークする

意味のない分析情報や、その他の理由で非表示にする場合は、分析情報を閉じることができます。分析情報を閉じると、復元しない限り、Cloud Console はその分析情報を表示しなくなります。

コンソール

  1. Cloud Console で [おすすめハブ] に移動します。

    [おすすめハブ] に移動

  2. 対象のカードを見つけて [すべて表示] をクリックします。

  3. 制限が過度に緩いルールに関する分析情報を閉じる場合は、ページ上部のタブを使用して適切な分析情報カテゴリに移動します。

  4. 閉じる分析情報を選択して、[閉じる] をクリックします。

  5. 確認ダイアログで [閉じる] をクリックします。

閉じた分析情報を復元する

後で関連があると思われる分析情報を閉じた場合、次の手順で復元して Cloud コンソールに表示できます。

コンソール

  1. Cloud Console で [おすすめハブ] に移動します。

    [おすすめハブ] に移動

  2. 対象のカードを見つけて [すべて表示] をクリックします。

  3. 制限が過度に緩いルールに関する分析情報を閉じる場合は、ページ上部のタブを使用して適切な分析情報カテゴリに移動します。

  4. ページの上部にある [履歴] をクリックします。

  5. [閉じる] タブをクリックします。このページには、プロジェクトの閉じられた推奨事項と分析情報が表示されます。

  6. 復元する分析情報を選択します。

  7. [復元] をクリックします。

  8. 確認ダイアログで [復元] をクリックします。

ファイアウォールの詳細ページを使用する

このページの詳細については、VPC ネットワークのファイアウォール ルールを一覧表示するをご覧ください。

プロジェクトの分析情報を一覧表示する

コンソール

  1. Cloud Console で、[ファイアウォール] ページに移動します。

    [ファイアウォール] に移動

  2. ファイアウォール ルールごとに、利用可能な分析情報の名前を [分析情報] 列に表示します。

  3. 分析情報の名前をクリックすると、その詳細が表示されます。次のセクションでは、各種類の分析情報の詳細を表示および解釈する方法について説明します。

過去 24 か月間にヒットのない allow ルールを表示する

コンソール

  1. Cloud Console で、[ファイアウォール] ページに移動します。

    [ファイアウォール] に移動

  2. [前回のヒット] 列で、過去 24 か月に特定のファイアウォール ルールがいつ最後に使用されたか確認します。

ルールの使用状況の履歴グラフを表示する

コンソール

  1. Cloud Console で、[ファイアウォール] ページに移動します。

    [ファイアウォール] に移動

  2. ファイアウォール ルール名をクリックします。

  3. そのページの [ヒットカウント モニタリング] セクションで、特定の期間におけるファイアウォール ヒット数を示す結果のグラフを表示します。タブを選択して、グラフ上に表示する期間を変更できます。

観察期間にヒットした deny ルールを表示する

コンソール

  1. Cloud Console で、[ファイアウォール] ページに移動します。

    [ファイアウォール] に移動

  2. [ヒットカウント] 列で、過去 24 か月間(デフォルト)に特定のファイアウォール ルールで使用された一意の接続数を表示します。

VM ネットワーク インターフェースの詳細ページを使用する

VM の [ネットワーク インターフェースの詳細] ページでファイアウォールの使用状況を表示します。

このページの詳細については、VM インスタンスのネットワーク インターフェースのファイアウォール ルールを一覧表示するをご覧ください。

過去 24 時間にヒットしたルールを表示する

コンソール

  1. Cloud Console で、Compute Engine VM インスタンスのページに移動します。

    Compute Engine VM インスタンスに移動

  2. VM を選択し、ページの右端にあるその他の操作メニュー をクリックします。

  3. メニューで、[ネットワークの詳細を表示] を選択します。

  4. [ファイアウォールとルートの詳細] セクションで、[ファイアウォール ルール] タブをクリックします。

  5. [ヒットカウント] 列で、特定のネットワーク インターフェースに関連付けられたすべてのファイアウォール ルールに対する、過去 24 か月間の allowdeny のトラフィックのヒット数を表示します。

gcloud コマンドまたは API を使用して分析情報を操作する

ファイアウォール インサイトは Recommender コマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

分析情報を一覧表示する

gcloud

プロジェクトの分析情報を一覧表示するには、次のコマンドを実行します。

gcloud beta recommender insights list \
    --project=PROJECT_ID \
    --location=global \
    --insight-type=google.compute.firewall.Insight \
    --filter=EXPRESSION \
    --limit=LIMIT \
    --page-size=PAGE_SIZE \
    --sort-by=SORT_BY \
    --format=json

PROJECT_ID は、分析情報をリストするプロジェクト ID に置き換えます。

location フラグは、常に global というロケーションを使用します。insight-type フラグは、常に google.compute.firewall.Insight という分析情報タイプを使用します。出力を JSON でフォーマットしない限り、コマンド出力は表形式です。

次のフィールドは省略可能です。

  • EXPRESSION: リストする各リソースに、このブール値フィルタを適用します。

    式が True と評価された場合、そのアイテムがリストされます。フィルタ式の詳細と例については、$ gcloud topic filters を実行するか、gcloud topic filters のドキュメントをご覧ください。

  • LIMIT: 一覧表示するリソースの最大数。一覧表示するリソースのデフォルト数は無制限です。

  • PAGE_SIZE: ページごとに一覧表示するリソースの最大数。

    デフォルトのページサイズがサービスによって決まっています。それ以外には、ページ設定は行われません。ページ設定は、FILTERLIMIT の前または後に適用されます。

  • SORT_BY: リソースで並べ替えるカンマ区切りのフィールドキー名のリスト。

    デフォルトの順序は昇順です。降順を指定するには、フィールドの先頭に ~(チルダ)を付けます。

API

Google Cloud プロジェクトのすべての分析情報を取得するには、projects.locations.insightTypes.insights メソッドに GET リクエストを行います。

GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights

次の例は、このコマンドのレスポンス例を示しています。

insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by   projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
  "shadowingFirewalls": [
    "//compute.googleapis.com/projects/{project_id}/global/firewalls/shadowing_firewall_name1}"
  ]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
 "state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
 "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
 ],
"insightSubtype": "SHADOWED_RULE"
}

分析情報の説明を表示する

gcloud

特定のファイアウォール ルールに関する分析情報の詳細を一覧表示するには、次のコマンドを実行します。

gcloud beta recommender insights describe INSIGHT_ID \
    --project=PROJECT_NAME \
    --location=global \
    --insight-type=google.compute.firewall.Insight

次の変数をネットワークの値に置き換えます。

  • INSIGHT_ID: 説明する分析情報の ID
  • PROJECT_NAME: 分析情報をリストするプロジェクトの名前

location フラグは、常に global というロケーションを使用します。insight-type フラグは、常に google.compute.firewall.Insight という分析情報タイプを使用します。

API

分析情報の詳細を取得するには、projects.locations.insightTypes.insights メソッドに GET リクエストを行います。

GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
 "name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
{

次の変数をネットワークの値に置き換えます。

  • PROJECT_ID: プロジェクト ID
  • LOCATION: 常に global というロケーションを使用
  • INSIGHT_TYPE_ID: 常に google.compute.firewall.Insight の値を使用
  • INSIGHT_ID: 分析情報の分析情報 ID

次のステップ

  • VPC ファイアウォール ランタイムの使用量を確認して、ファイアウォール ルールの構成をクリーンアップして最適化し、セキュリティ境界を強化するには、一般的なユースケースをご覧ください。