Visualizza le metriche di Firewall Insights

Le metriche di Firewall Insights consentono di analizzare l'utilizzo delle regole firewall. Puoi visualizzare le metriche utilizzando Cloud Monitoring e la console Google Cloud.

Le seguenti metriche ti consentono di tenere traccia dell'utilizzo del firewall:

  • Le metriche del numero di hit del firewall mostrano il numero di volte in cui è stata utilizzata una regola firewall per consentire o negare il traffico.
  • L'ultima metrica utilizzata per il firewall mostra l'ultima volta che una determinata regola firewall è stata utilizzata per consentire o negare il traffico.

Tieni presente i seguenti aspetti delle metriche di Firewall Insights:

  • Le metriche vengono ricavate dal logging delle regole firewall.
  • Le metriche sono disponibili solo per le regole con il logging delle regole firewall abilitato e sono accurate solo per il periodo in cui è abilitato il logging delle regole firewall.
  • Le metriche firewall vengono generate solo per il traffico che soddisfa le specifiche per il logging delle regole firewall. Ad esempio, i dati vengono registrati e le metriche vengono generate solo per il traffico TCP e UDP. Per un elenco completo dei criteri, consulta Specifiche nella Panoramica del logging delle regole firewall.

Puoi creare query arbitrarie sulle metriche di Firewall Insights utilizzando il metodo di richiesta projects.timeSeries.list nella documentazione dell'API Cloud Monitoring versione 3.

Firewall Insights raccoglie i dati delle metriche per l'ultima volta in cui è stata applicata una regola firewall per consentire o negare il traffico (timestamp) e per il numero di hit su una regola firewall per il periodo di conservazione.

  • firewallinsights.googleapis.com/subnet/firewall_hit_count
  • firewallinsights.googleapis.com/subnet/firewall_last_used_timestamp
  • firewallinsights.googleapis.com/vm/firewall_hit_count
  • firewallinsights.googleapis.com/vm/firewall_last_used_timestamp

La metrica per il monitoraggio del numero di hit del firewall viene definita per istanza di macchina virtuale (VM) e per subnet Virtual Private Cloud (VPC).

Le metriche per istanza (VM) forniscono il numero di hit e le informazioni sull'ultimo timestamp utilizzato per l'interfaccia di rete di una VM. Le metriche per subnet forniscono informazioni sul numero di hit per le singole regole firewall.

Utilizza le seguenti risorse per accedere ai dati delle metriche di Firewall Insights:

Autorizzazioni e ruoli richiesti

Per ottenere l'autorizzazione necessaria per gestire ed esportare gli insight, chiedi all'amministratore di concederti i seguenti ruoli IAM sul tuo progetto:

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questo ruolo predefinito contiene l'autorizzazione recommender.computeFirewallInsights.list, necessaria per gestire ed esportare gli approfondimenti.

Potresti anche essere in grado di ottenere questa autorizzazione con i ruoli personalizzati o altri ruoli predefiniti.

Visualizza le metriche del numero di hit del firewall

La metrica firewall_hit_count monitora il numero di volte in cui viene utilizzata una regola firewall per consentire o negare il traffico.

Per ogni regola firewall, Cloud Monitoring archivia i dati per la metrica firewall_hit_count solo se la regola ha avuto hit a causa del traffico TCP o UDP. In altre parole, Cloud Monitoring non archivia i dati relativi a regole senza hit.

Puoi visualizzare i dati derivati da questa metrica nella pagina Criteri firewall nella console Google Cloud.

I dati nella pagina Firewall potrebbero non essere identici ai dati delle metriche firewall_hit_count archiviati in Cloud Monitoring. Cloud Monitoring non identifica esplicitamente le regole senza hit. Ad esempio, nella console Google Cloud viene indicato il numero di zero hit anche se Cloud Monitoring non registra alcun hit. Puoi notare questa differenza per le regole firewall configurate per consentire o negare il traffico TCP, UDP, ICMP o qualsiasi altro tipo di traffico.

Questo comportamento è diverso dall'insight di allow rules with no hits. Quando questo insight identifica le regole firewall senza hit, omette le regole firewall configurate per consentire il traffico diverso da TCP o UDP, anche se queste regole consentono anche il traffico TCP o UDP.

Visualizza le metriche dell'ultimo utilizzo del firewall

Utilizzando Metrics Explorer in Cloud Monitoring, puoi vedere l'ultima volta che una determinata regola firewall è stata utilizzata per consentire o negare il traffico visualizzando la metrica firewall_last_used_timestamp. Questa metrica ti aiuta a identificare le regole firewall non utilizzate di recente.

Nella pagina Criteri firewall della console Google Cloud puoi vedere quando è stata l'ultima volta che hai utilizzato una regola firewall nelle ultime sei settimane o per qualsiasi periodo di tempo in cui il logging delle regole firewall è stato abilitato, a seconda di quale sia il periodo inferiore. Se l'ultimo hit si è verificato prima delle ultime sei settimane o prima dell'abilitazione del logging delle regole firewall, l'ora last hit viene mostrata come .

Frequenza e fidelizzazione dei report

La metrica firewall rule hit count viene esportata in Monitoring ogni minuto. Il monitoraggio della conservazione dei dati è di sei settimane. Puoi analizzare qualsiasi intervallo di tempo nelle sei settimane precedenti a intervalli di un minuto.

Filtro e aggregazione

Per ogni regola firewall, aggregando il numero di hit per le istanze VM, puoi osservare il numero complessivo di hit che si accumulano per tutto il traffico che passa nella tua rete VPC.

Ad esempio, consulta Rilevare aumenti improvvisi nel numero di hit per le regole firewall deny.

Utilizzo delle dashboard e degli avvisi di Monitoring

Puoi utilizzare le dashboard di Monitoring e i grafici associati per visualizzare i dati per le metriche di Firewall Insights descritte nelle sezioni precedenti.

Per monitorare queste metriche in Monitoring, puoi creare dashboard personalizzate. Puoi anche aggiungere avvisi in base a queste metriche.