Mit Firewall Insights-Messwerten können Sie analysieren, wie Ihre Firewallregeln verwendet werden. Sie können die Messwerte mit Cloud Monitoring und der Google Cloud Console aufrufen.
Mit den folgenden Messwerten können Sie die Nutzung Ihrer Firewall verfolgen:
- Messwerte zur Trefferanzahl für die Firewall geben Aufschluss darüber, wie oft eine Firewallregel verwendet wurde, um Traffic zuzulassen oder abzulehnen.
- Messwerte zu zuletzt verwendeten Firewalls zeigen an, wann eine bestimmte Firewallregel zuletzt verwendet wurde, um Traffic zuzulassen oder abzulehnen.
Messwerte werden über vom Logging von Firewallregeln abgeleitet. Messwerte sind nur für Regeln verfügbar, bei denen Firewallregel-Logging aktiviert ist. Sie gelten nur für den Zeitraum, in dem das Logging von Firewallregeln aktiviert ist. Außerdem werden Firewall-Messwerte nur für Traffic generiert, der den Spezifikationen für das Logging von Firewallregeln entspricht. So werden beispielsweise Daten protokolliert und Messwerte werden nur für TCP- und UDP-Traffic generiert. Eine vollständige Liste der Kriterien finden Sie unter Spezifikationen in der Logging-Übersicht zu Firewallregeln.
Sie können beliebige Abfragen zu Firewall Insights-Messwerten erstellen. Verwenden Sie dazu die Anfragemethode projects.timeSeries.list in der API-Dokumentation zu Cloud Monitoring Version 3.
Firewall Insights sammelt Messwertdaten für die letzte Anwendung einer Firewallregel, um Traffic (Zeitstempel) zuzulassen oder abzulehnen, und für die Anzahl der Treffer für eine Firewallregel für die Aufbewahrungsdauer.
firewallinsights.googleapis.com/subnet/firewall_hit_countfirewallinsights.googleapis.com/subnet/firewall_last_used_timestampfirewallinsights.googleapis.com/vm/firewall_hit_countfirewallinsights.googleapis.com/vm/firewall_last_used_timestamp
Die Metrik zum Verfolgen der Firewall-Trefferzahlen wird pro VM-Instanz (Virtual Machine) und pro VPC-Subnetz (Virtual Private Cloud) definiert.
Instanzmesswerte (VM-Messwerte) geben die Trefferanzahl und die zuletzt verwendeten Zeitstempelinformationen für die Netzwerkschnittstelle einer VM an. Pro-Subnetz-Metriken liefern Informationen zur Trefferanzahl für einzelne Firewall-Regeln.
Verwenden Sie die folgenden Ressourcen, um auf die Messwertdaten von Firewall Insights zuzugreifen:
- Messwerte für Firewall Insights finden Sie auf der Seite Google Cloud-Messwerte.
- Eine Übersicht über Messwerte, Zeitachsen und Ressourcen finden Sie im Messwertmodell in der API-Dokumentation zu Cloud Monitoring Version 3.
- Informationen zum Lesen dieser Messwerte finden Sie unter Messwertdaten lesen.
Erforderliche Rollen und Berechtigungen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zu gewähren, damit Sie die Berechtigung zum Verwalten und Exportieren von Statistiken erhalten:
- Firewall Recommender-Administrator (
roles/recommender.firewallAdmin) - Firewall Recommender-Betrachter (
roles/recommender.firewallViewer)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierte Rolle enthält die Berechtigung recommender.computeFirewallInsights.list, die zum Verwalten und Exportieren von Statistiken erforderlich ist.
Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Messwerte zur Firewall-Trefferquote ansehen
Mit dem Messwert firewall_hit_count wird erfasst, wie oft eine Firewallregel verwendet wird, um Traffic zuzulassen oder abzulehnen.
Cloud Monitoring speichert für jede Firewallregel Daten für den Messwert firewall_hit_count nur, wenn die Regel aufgrund von TCP- oder UDP-Traffic Treffern hat. Das heißt, Cloud Monitoring speichert keine Daten zu Regeln, die keine Treffer hatten.
Sie können die aus diesem Messwert abgeleiteten Daten in der Google Cloud Console auf der Seite Firewall einsehen.
Die Daten auf der Firewallseite sind möglicherweise nicht mit den firewall_hit_count-Messwertdaten identisch, die in Cloud Monitoring gespeichert sind. Cloud Monitoring identifiziert Regeln nicht explizit ohne Treffer. Die Google Cloud Console zeigt beispielsweise eine Nullanzahl an, auch wenn Cloud Monitoring keine Treffer erfasst. Sie sehen diesen Unterschied bei Firewallregeln, die so konfiguriert sind, dass sie TCP-, UDP-, ICMP- oder andere Arten von Traffic zulassen oder ablehnen.
Dieses Verhalten unterscheidet sich von der allow rules with no hits-Statistik. Wenn in dieser Statistik Firewallregeln erkannt werden, die keine Treffer haben, werden Firewallregeln, die für anderen Traffic als TCP oder UDP zugelassen sind, nicht berücksichtigt, auch wenn diese Regeln auch TCP- oder UDP-Traffic zulassen.
Zuletzt verwendete Firewall-Messwerte ansehen
Mit dem Metrics Explorer in Cloud Monitoring können Sie im Messwert firewall_last_used_timestamp sehen, wann eine bestimmte Firewallregel zum Zulassen oder Ablehnen des Traffics zuletzt verwendet wurde. Mit diesem Messwert können Sie feststellen, welche Firewallregeln in letzter Zeit nicht verwendet wurden.
Auf der Seite Firewall in der Google Cloud Console können Sie sehen, wann Sie eine Firewallregel zuletzt in den letzten sechs Wochen oder für den Zeitraum verwendet haben, für den das Logging von Firewallregeln aktiviert war – je nachdem, welcher Zeitraum kürzer ist. Wenn der letzte Treffer vor den letzten sechs Wochen oder vor der Aktivierung von Logging von Firewallregeln aufgetreten ist, wird die last hit-Zeit als — angezeigt.
Häufigkeit und Aufbewahrung von Berichten
Die Metrik firewall rule hit count wird jede Minute in Monitoring exportiert. Monitoring bewahrt Daten 6 Wochen lang auf. Sie können jedes Zeitintervall innerhalb der letzten sechs Wochen in Minutenintervallen analysieren.
Filtern und Aggregieren
Durch die Zusammenfassung der Trefferzahlen für VM-Instanzen können Sie für jede Firewallregel die Gesamtzahl der Treffer für den gesamten Traffic in Ihrem VPC-Netzwerk beobachten.
Ein Beispiel finden Sie unter Plötzliche Erhöhungen der Trefferzahl für deny-Firewallregeln ermitteln.
Monitoring-Dashboards und -Benachrichtigungen verwenden
Sie können Monitoring-Dashboards und die zugehörigen Diagramme verwenden, um die Daten für die Firewall Insights-Messwerte zu visualisieren, die in den vorherigen Abschnitten beschrieben wurden.
Zum Überwachen dieser Messwerte in Monitoring können Sie benutzerdefinierte Dashboards erstellen. Sie können auch Warnungen basierend auf diesen Metriken hinzufügen.