방화벽 통계 측정항목 보기

방화벽 통계 측정항목을 사용하면 방화벽 규칙이 사용되는 방식을 분석할 수 있습니다. Cloud Monitoring 및 Google Cloud 콘솔을 사용하여 측정항목을 볼 수 있습니다.

다음 측정항목은 방화벽 사용을 추적하는 데 도움이 됩니다.

  • 방화벽 적중 횟수 측정항목은 트래픽 허용 또는 거부를 위해 방화벽 규칙이 사용된 횟수를 보여줍니다.
  • 방화벽에 마지막으로 사용된 측정항목은 트래픽 허용 또는 거부를 위해 특정 방화벽 규칙이 사용된 마지막 시간을 보여줍니다.

방화벽 통계 측정항목에 대한 다음 측면을 참고하세요.

  • 측정항목은 방화벽 규칙 로깅에서 파생됩니다.
  • 방화벽 규칙 로깅이 사용 설정된 규칙에만 측정항목을 사용할 수 있으며, 방화벽 규칙 로깅이 사용 설정된 시간 동안에만 정확합니다.
  • 방화벽 측정항목은 방화벽 규칙 로깅의 사양에 맞는 트래픽에만 생성됩니다. 예를 들어 TCP 및 UDP 트래픽의 데이터만 로깅되고 측정항목이 생성됩니다. 전체 기준 목록은 방화벽 규칙 로깅 개요사양을 참조하세요.

Cloud Monitoring 버전 3 API 참고 리소스의 projects.timeSeries.list 요청 메서드를 사용하여 방화벽 통계 측정항목을 통해 임의의 쿼리를 구성할 수 있습니다.

방화벽 통계는 트래픽을 허용 또는 거부하기 위해 방화벽 규칙이 마지막으로 적용된 시간(타임스탬프) 및 보관 기간 동안 방화벽 규칙의 적중 횟수에 대한 측정항목 데이터를 수집합니다.

  • firewallinsights.googleapis.com/subnet/firewall_hit_count
  • firewallinsights.googleapis.com/subnet/firewall_last_used_timestamp
  • firewallinsights.googleapis.com/vm/firewall_hit_count
  • firewallinsights.googleapis.com/vm/firewall_last_used_timestamp

방화벽 적중 횟수를 추적하기 위한 측정항목은 가상 머신(VM) 인스턴스 및 Virtual Private Cloud(VPC) 서브넷마다 정의됩니다.

인스턴스(VM)별 측정항목은 VM의 네트워크 인터페이스에 대한 적중 횟수 및 마지막으로 사용된 타임스탬프 정보를 제공합니다. 서브넷별 측정항목은 개별 방화벽 규칙에 대한 적중 횟수 정보를 제공합니다.

다음 리소스를 사용하여 방화벽 통계 측정항목 데이터에 액세스합니다.

  • Google Cloud 측정항목 페이지에서 방화벽 통계에 대한 측정항목을 확인합니다.
  • 측정항목, 시계열, 리소스에 대한 개요는 Cloud Monitoring 버전 3 API 참고 리소스의 측정항목 모델을 참조하세요.
  • 이러한 측정항목을 읽는 방법에 대한 자세한 내용은 측정항목 데이터 읽기를 참조하세요.

필수 역할 및 권한

통계 관리 및 내보내기에 필요한 권한을 얻으려면 관리자에게 프로젝트에 대해 다음 IAM 역할을 부여해 달라고 요청하세요.

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이 사전 정의된 역할에는 통계 관리 및 내보내기에 필요한 recommender.computeFirewallInsights.list 권한이 포함되어 있습니다.

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

방화벽 적중 횟수 측정항목 보기

firewall_hit_count 측정항목은 방화벽 규칙이 트래픽을 허용하거나 거부하는 데 사용된 횟수를 추적합니다.

각 방화벽 규칙에 대해 Cloud Monitoring은 TCP 또는 UDP 트래픽으로 인해 규칙에 적중 항목이 있는 경우에만 firewall_hit_count 측정항목의 데이터를 저장합니다. 즉, Cloud Monitoring은 적중 항목이 없는 규칙에 대한 데이터를 저장하지 않습니다.

Google Cloud 콘솔의 방화벽 정책 페이지에서 이 측정항목에서 파생된 데이터를 볼 수 있습니다.

방화벽 페이지의 데이터는 Cloud Monitoring에 저장된 firewall_hit_count 측정항목 데이터와 동일하지 않을 수 있습니다. Cloud Monitoring은 적중이 없는 규칙을 명시적으로 식별하지 않습니다. 예를 들어 Cloud Monitoring이 적중을 기록하지 않더라도 Google Cloud 콘솔에 적중 횟수가 0으로 표시됩니다. TCP, UDP, ICMP 또는 기타 유형의 트래픽을 허용하거나 거부하도록 구성된 방화벽 규칙에서 이러한 차이를 확인할 수 있습니다.

이 동작은 allow rules with no hits 통계와 다릅니다. 이 통계로 적중이 없는 방화벽 규칙이 식별되면 해당 규칙에서 TCP 또는 UDP 트래픽이 허용되더라도 TCP 또는 UDP 이외의 트래픽을 허용하도록 구성된 방화벽 규칙을 생략합니다.

방화벽에 마지막으로 사용된 측정항목 보기

Cloud Monitoring에서 측정항목 탐색기를 사용하면 firewall_last_used_timestamp 측정항목을 확인하여 트래픽을 허용하거나 거부하기 위해 특정 방화벽 규칙이 마지막으로 사용된 시간을 볼 수 있습니다. 이 측정항목은 최근에 사용되지 않은 방화벽 규칙을 식별하는 데 도움이 됩니다.

Google Cloud 콘솔의 방화벽 정책 페이지에서 이전 6주 또는 방화벽 규칙 로깅이 사용 설정된 기간 중 더 짧은 기간 동안 방화벽 규칙이 마지막으로 사용된 시간을 볼 수 있습니다. 마지막 적중이 지난 6주 이전에 또는 방화벽 규칙 로깅이 사용 설정되기 이전에 발생한 경우 last hit 시간이 로 표시됩니다.

빈도 및 보관 보고

firewall rule hit count 측정항목은 1분마다 모니터링으로 내보내집니다. 모니터링 데이터 보관 기간은 6주입니다. 이전 6주 내의 모든 시간 간격을 1분 간격으로 분석할 수 있습니다.

필터링 및 집계

각 방화벽 규칙에 대해 VM 인스턴스의 적중 횟수를 집계하여 VPC 네트워크의 모든 트래픽 이동에 대해 누적된 전체 적중 횟수를 관찰할 수 있습니다.

예시를 보려면 deny 방화벽 규칙에 대한 적중 횟수의 급격한 증가 감지를 참조하세요.

Monitoring 대시보드 및 알림 사용

Monitoring 대시보드 및 관련 차트를 사용하여 이전 섹션에서 설명한 방화벽 통계 측정항목에 대한 데이터를 시각화할 수 있습니다.

Monitoring에서 이러한 측정항목을 모니터링하려면 커스텀 대시보드를 만듭니다. 이러한 측정항목을 기반으로 알림을 추가할 수도 있습니다.