Metrik Analisis Firewall memungkinkan Anda menganalisis penggunaan aturan firewall. Anda dapat melihat metrik menggunakan Cloud Monitoring dan konsol Google Cloud.
Metrik berikut membantu Anda melacak penggunaan firewall:
- Metrik jumlah hit firewall menunjukkan frekuensi penggunaan aturan firewall untuk mengizinkan atau menolak traffic.
- Metrik terakhir yang digunakan firewall menunjukkan waktu terakhir aturan firewall tertentu digunakan untuk mengizinkan atau menolak traffic.
Perhatikan aspek-aspek berikut tentang metrik Analisis Firewall:
- Metrik ini berasal dari Logging Aturan Firewall.
- Metrik ini hanya tersedia untuk aturan yang telah mengaktifkan Logging Aturan Firewall dan hanya akurat selama waktu Logging Aturan Firewall diaktifkan.
- Metrik firewall hanya dihasilkan untuk traffic yang sesuai dengan spesifikasi untuk Logging Aturan Firewall. Misalnya, data dicatat ke dalam log dan metrik hanya dihasilkan untuk traffic TCP dan UDP. Untuk daftar lengkap kriteria, lihat Spesifikasi di Ringkasan Logging Aturan Firewall.
Anda dapat membuat kueri arbitrer melalui metrik Firewall Insights dengan menggunakan metode permintaan projects.timeSeries.list dalam dokumentasi API Cloud Monitoring versi 3.
Analisis Firewall mengumpulkan data metrik untuk terakhir kali aturan firewall diterapkan untuk mengizinkan atau menolak traffic (stempel waktu) dan untuk jumlah hit pada aturan firewall selama periode retensi.
firewallinsights.googleapis.com/subnet/firewall_hit_countfirewallinsights.googleapis.com/subnet/firewall_last_used_timestampfirewallinsights.googleapis.com/vm/firewall_hit_countfirewallinsights.googleapis.com/vm/firewall_last_used_timestamp
Metrik untuk melacak jumlah hit firewall ditentukan per instance virtual machine (VM) dan per subnet Virtual Private Cloud (VPC).
Metrik per instance (VM) memberikan informasi jumlah hit dan stempel waktu yang terakhir digunakan untuk antarmuka jaringan VM. Metrik per subnet memberikan informasi jumlah hit untuk setiap aturan firewall.
Gunakan referensi berikut untuk mengakses data metrik Firewall Insights:
- Lihat metrik untuk Analisis Firewall di halaman Metrik Google Cloud.
- Untuk ringkasan metrik, deret waktu, dan resource, lihat model metrik dalam dokumentasi Cloud Monitoring API versi 3.
- Untuk mengetahui informasi tentang cara membaca metrik ini, lihat Membaca data metrik.
Peran dan izin yang diperlukan
Untuk mendapatkan izin yang diperlukan guna mengelola dan mengekspor insight, minta administrator untuk memberi Anda peran IAM berikut pada project Anda:
-
Firewall Recommender Admin (
roles/recommender.firewallAdmin) -
Firewall Recommender Viewer (
roles/recommender.firewallViewer)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran bawaan ini berisi izin recommender.computeFirewallInsights.list, yang diperlukan untuk mengelola dan mengekspor insight.
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Melihat metrik jumlah hit firewall
Metrik firewall_hit_count melacak frekuensi penggunaan aturan firewall untuk mengizinkan atau menolak traffic.
Untuk setiap aturan firewall, Cloud Monitoring menyimpan data untuk metrik firewall_hit_count hanya jika aturan tersebut memiliki hit karena traffic TCP atau UDP. Artinya, Cloud Monitoring tidak menyimpan data tentang aturan
yang tidak memiliki hit.
Anda dapat melihat data yang berasal dari metrik ini di halaman Kebijakan firewall di konsol Google Cloud.
Data di halaman Firewall mungkin tidak identik dengan data metrik firewall_hit_count yang disimpan di Cloud Monitoring. Cloud Monitoring tidak secara eksplisit
mengidentifikasi aturan tanpa hit. Misalnya, konsol Google Cloud menampilkan jumlah hit
nol meskipun Cloud Monitoring tidak mencatat hit apa pun. Anda dapat melihat perbedaan ini untuk aturan firewall yang dikonfigurasi untuk mengizinkan atau menolak TCP, UDP, ICMP, atau jenis traffic lainnya.
Perilaku ini berbeda dengan
insight allow rules with no hits.
Saat mengidentifikasi aturan firewall tanpa hit, insight ini akan menghapus aturan firewall yang dikonfigurasi untuk mengizinkan traffic selain TCP atau UDP, meskipun aturan tersebut juga mengizinkan traffic TCP atau UDP.
Melihat metrik firewall yang terakhir digunakan
Dengan menggunakan Metrics Explorer di Cloud Monitoring, Anda dapat melihat waktu terakhir aturan firewall tertentu digunakan untuk mengizinkan atau menolak traffic dengan melihat metrik firewall_last_used_timestamp. Metrik ini membantu Anda mengidentifikasi aturan firewall mana yang belum digunakan baru-baru ini.
Di halaman Kebijakan firewall di Konsol Google Cloud, Anda dapat melihat kapan terakhir kali menggunakan aturan
firewall dalam enam minggu terakhir atau selama durasi apa pun
Firewall Rules Logging telah diaktifkan, mana saja yang lebih singkat. Jika hit terakhir terjadi sebelum enam minggu terakhir atau sebelum Logging Aturan Firewall diaktifkan, waktu last hit akan ditampilkan sebagai —.
Frekuensi dan retensi pelaporan
Metrik firewall rule hit count diekspor ke Monitoring setiap menit. Retensi data Monitoring adalah enam minggu. Anda dapat menganalisis interval waktu apa pun dalam enam minggu sebelumnya dalam interval satu menit.
Pemfilteran dan agregasi
Untuk setiap aturan firewall, dengan menggabungkan jumlah hit untuk instance VM, Anda dapat mengamati jumlah hit keseluruhan yang terakumulasi untuk semua traffic yang mengalir di jaringan VPC.
Misalnya, lihat
Mendeteksi peningkatan jumlah hit yang tiba-tiba untuk aturan firewall deny.
Menggunakan dasbor dan pemberitahuan Monitoring
Anda dapat menggunakan dasbor Monitoring dan diagram terkait untuk memvisualisasikan data untuk metrik Firewall Insights yang dijelaskan di bagian sebelumnya.
Untuk memantau metrik ini di Monitoring, Anda dapat membuat dasbor kustom. Anda juga dapat menambahkan pemberitahuan berdasarkan metrik ini.