Les métriques Firewall Insights vous permettent d'analyser l'utilisation de vos règles de pare-feu. Vous pouvez afficher les métriques à l'aide de Cloud Monitoring et de la console Google Cloud.
Les métriques suivantes vous aident à suivre l'utilisation de votre pare-feu :
- Les métriques sur le nombre d'appels de pare-feu indiquent le nombre de fois qu'une règle de pare-feu a été utilisé pour autoriser ou refuser le trafic.
- Les métriques "Dernière utilisation du pare-feu" indiquent la dernière fois qu'un utilisateur donné une règle de pare-feu a été utilisée pour autoriser ou refuser le trafic.
Notez les aspects suivants concernant les métriques Firewall Insights:
- Les métriques sont dérivées de la journalisation des règles de pare-feu.
- Les métriques ne sont disponibles que pour les règles comportant la journalisation des règles de pare-feu est activée et précise uniquement pour la période pendant laquelle la journalisation des règles de pare-feu est activé.
- Les métriques de pare-feu ne sont générées que pour le trafic correspondant aux spécifications de la journalisation des règles de pare-feu. Par exemple, les données ne sont consignées et les métriques ne sont générées que pour le trafic TCP et UDP. Pour obtenir la liste complète des critères, consultez la section Spécifications de la présentation de la journalisation des règles de pare-feu.
Vous pouvez créer des requêtes arbitraires sur les métriques Firewall Insights à l'aide de la méthode de requête projects.timeSeries.list que vous trouverez dans la documentation de l'API Cloud Monitoring version 3.
Firewall Insights recueille des données de métriques correspondant à la dernière fois qu'une règle de pare-feu a été appliquée pour autoriser ou refuser le trafic (horodatage) et au nombre d'appels d'une règle de pare-feu pour la période de conservation.
firewallinsights.googleapis.com/subnet/firewall_hit_countfirewallinsights.googleapis.com/subnet/firewall_last_used_timestampfirewallinsights.googleapis.com/vm/firewall_hit_countfirewallinsights.googleapis.com/vm/firewall_last_used_timestamp
La métrique de suivi du nombre d'appels du pare-feu est définie par instance de machine virtuelle (VM) et par sous-réseau cloud privé virtuel (VPC, Virtual Private Cloud).
Les métriques par instance (VM) fournissent des informations sur le nombre d'appels et l'horodatage de la dernière utilisation pour l'interface réseau d'une VM. Les métriques par sous-réseau fournissent des informations sur le nombre d'appels des règles de pare-feu individuelles.
Pour accéder aux données des métriques Firewall Insights, utilisez les ressources suivantes :
- Affichez les métriques de Firewall Insights sur le Page Métriques Google Cloud
- Pour obtenir une présentation des métriques, des séries temporelles et des ressources, consultez le modèle de métrique dans la documentation de l'API Cloud Monitoring version 3.
- Pour plus d'informations sur la lecture de ces métriques, consultez la page Lire les données de métrique.
Rôles et autorisations requis
Pour obtenir l'autorisation dont vous avez besoin pour gérer et exporter des insights, demandez à votre administrateur de vous accorder le les rôles IAM suivants sur votre projet:
-
Administrateur de l'outil de recommandation de pare-feu (
roles/recommender.firewallAdmin) -
Lecteur de l'outil de recommandation de pare-feu (
roles/recommender.firewallViewer)
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Ce rôle prédéfini contient l'autorisation recommender.computeFirewallInsights.list, qui est requise pour gérer et exporter des insights.
Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.
Afficher les métriques sur le nombre d'appels de pare-feu
La métrique firewall_hit_count permet de suivre le nombre de fois où une règle de pare-feu est utilisée pour autoriser ou refuser le trafic.
Pour chaque règle de pare-feu, Cloud Monitoring ne stocke les données de la métrique firewall_hit_count que si la règle a fait l'objet d'appels en raison du trafic TCP ou UDP. Autrement dit, Cloud Monitoring ne stocke pas de données sur les règles n'ayant fait l'objet d'aucun appel.
Vous pouvez afficher les données dérivées de cette métrique sur la page Stratégies de pare-feu de la console Google Cloud.
Les données de la page "Pare-feu" peuvent ne pas être identiques à celles de firewall_hit_count
stockées dans Cloud Monitoring. Cloud Monitoring n'identifie pas explicitement les règles n'ayant fait l'objet d'aucun appel. Par exemple, la console Google Cloud affiche
même si Cloud Monitoring n'enregistre aucun appel. Vous pouvez constater cette différence pour les règles de pare-feu configurées pour autoriser ou refuser les connexions TCP, UDP, ICMP ou tout autre type de trafic.
Ce comportement diffère des
Insight allow rules with no hits.
Lorsque cet insight identifie des règles de pare-feu n'ayant fait l'objet d'aucun appel, il omet les règles de pare-feu configurées pour autoriser le trafic autre que TCP ou UDP, même si ces règles autorisent également le trafic TCP ou UDP.
Afficher les métriques de la dernière utilisation du pare-feu
En utilisant l'Explorateur de métriques dans Cloud Monitoring, vous pouvez voir les métriques
la dernière fois qu'une règle de pare-feu a été utilisée
refuser le trafic en affichant la métrique firewall_last_used_timestamp. Cette métrique
vous aide à identifier les règles de pare-feu qui n'ont pas été utilisées récemment.
Sur la page Stratégies de pare-feu,
de la console Google Cloud, vous pouvez voir quand vous avez utilisé un pare-feu
au cours des six dernières semaines ou pour une durée quelconque
La journalisation des règles de pare-feu a été activée, selon la première limite atteinte. Si le dernier appel s'est produit avant les six dernières semaines ou avant l'activation de la journalisation des règles de pare-feu, l'heure last hit s'affiche comme —.
Fréquence et conservation des rapports
La métrique firewall rule hit count est exportée vers Cloud Monitoring toutes les minutes. La conservation des données dans Monitoring est de six semaines. Vous pouvez analyser n'importe quelle période au cours des six semaines précédentes par intervalles d'une minute.
Filtrage et agrégation
Pour chaque règle de pare-feu, en agrégeant le nombre d'appels pour les instances de VM, vous pouvez observer le nombre global d'appels qui s'accumulent pour tout le trafic circulant dans votre réseau VPC.
Par exemple, consultez
Détectez les augmentations soudaines du nombre d'appels pour les règles de pare-feu deny.
Utiliser les tableaux de bord et les alertes Monitoring
Les tableaux de bord Monitoring et les graphiques associés vous permettent de visualiser les données des métriques Firewall Insights décrites dans les sections précédentes.
Pour surveiller ces métriques dans Monitoring, vous pouvez créer des tableaux de bord personnalisés. Vous pouvez également ajouter des alertes en fonction de ces métriques.