Mit den Firewall Insights-Messwerten können Sie analysieren, wie Ihre Firewallregeln verwendet werden. Sie können die Messwerte mit Cloud Monitoring und die Google Cloud Console
Mit den folgenden Messwerten können Sie die Firewallnutzung im Blick behalten:
- Messwerte für die Anzahl der Firewalltreffer geben an, wie oft eine Firewallregel verwendet wurde, um Traffic zuzulassen oder abzulehnen.
- Die zuletzt verwendeten Firewall-Messwerte zeigen an, wann eine bestimmte Firewallregel verwendet wurde, um Traffic zuzulassen oder abzulehnen.
Beachten Sie die folgenden Aspekte zu Firewall Insights-Messwerten:
- Die Messwerte werden aus dem Logging von Firewallregeln abgeleitet.
- Die Messwerte sind nur für Regeln verfügbar, für die das Logging von Firewallregeln aktiviert ist, und sind nur für den Zeitraum korrekt, in dem das Logging von Firewallregeln aktiviert ist.
- Firewall-Messwerte werden nur für Traffic generiert, der den Spezifikationen für das Logging von Firewallregeln. Daten werden beispielsweise protokolliert und Messwerte werden nur für TCP- und UDP-Traffic generiert. Eine vollständige Liste der Kriterien finden Sie unter Spezifikationen in der Übersicht über das Logging von Firewallregeln.
Sie können beliebige Abfragen zu Firewall Insights-Messwerten erstellen. Verwenden Sie dazu die Anfragemethode projects.timeSeries.list in der API-Dokumentation zu Cloud Monitoring Version 3.
Firewall Insights erfasst Messwertdaten für das letzte Mal, dass ein Firewallregel angewendet wurde, um Traffic zuzulassen oder abzulehnen (Zeitstempel) und für den Anzahl der Treffer für eine Firewallregel während der Aufbewahrungsdauer
firewallinsights.googleapis.com/subnet/firewall_hit_countfirewallinsights.googleapis.com/subnet/firewall_last_used_timestampfirewallinsights.googleapis.com/vm/firewall_hit_countfirewallinsights.googleapis.com/vm/firewall_last_used_timestamp
Die Metrik zum Verfolgen der Firewall-Trefferzahlen wird pro VM-Instanz (Virtual Machine) und pro VPC-Subnetz (Virtual Private Cloud) definiert.
Messwerte pro Instanz (VM) liefern Informationen zur Trefferanzahl und zum zuletzt verwendeten Zeitstempel für die Netzwerkschnittstelle einer VM. Pro-Subnetz-Metriken liefern Informationen zur Trefferanzahl für einzelne Firewall-Regeln.
Verwenden Sie die folgenden Ressourcen, um auf Firewall Insights-Messwertdaten zuzugreifen:
- Sehen Sie sich Messwerte für Firewall Insights auf der Seite Google Cloud-Messwerte:
- Eine Übersicht über Messwerte, Zeitachsen und Ressourcen finden Sie im Messwertmodell in der API-Dokumentation zu Cloud Monitoring Version 3.
- Informationen zum Lesen dieser Messwerte finden Sie unter Messwertdaten lesen.
Erforderliche Rollen und Berechtigungen
Um die Berechtigung zum Verwalten und Exportieren von Statistiken zu erhalten, bitten Sie Ihren Administrator, Ihnen folgende IAM-Rollen für Ihr Projekt:
-
Firewall Recommender Admin (
roles/recommender.firewallAdmin) -
Firewall Recommender-Betrachter (
roles/recommender.firewallViewer)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die
recommender.computeFirewallInsights.list
Berechtigung,
was erforderlich ist, um
Statistiken verwalten und exportieren.
Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Messwerte für die Anzahl der Firewalltreffer ansehen
Der Messwert firewall_hit_count erfasst, wie oft eine Firewallregel
wird verwendet, um Traffic zuzulassen oder abzulehnen.
Cloud Monitoring speichert für jede Firewallregel Daten für den Messwert firewall_hit_count nur, wenn die Regel aufgrund von TCP- oder UDP-Traffic Treffern hat. Das heißt, Cloud Monitoring speichert keine Daten zu Regeln, die keine Treffer hatten.
Sie können die aus diesem Messwert abgeleiteten Daten auf der Seite Firewall-Richtlinien in der Google Cloud Console aufrufen.
Die Daten auf der Seite „Firewall“ sind möglicherweise nicht mit den in Cloud Monitoring gespeicherten Messwertdaten firewall_hit_count identisch. In Cloud Monitoring werden Regeln ohne Treffer nicht explizit identifiziert. In der Google Cloud Console wird beispielsweise eine Trefferanzahl von null angezeigt, auch wenn Cloud Monitoring keine Treffer aufzeichnet. Dieser Unterschied ist bei Firewallregeln zu sehen, die so konfiguriert sind, dass sie TCP, UDP, ICMP oder einen anderen Traffictyp zulassen oder ablehnen.
Dieses Verhalten unterscheidet sich von der Statistik allow rules with no hits.
Wenn diese Statistik Firewallregeln ohne Treffer identifiziert, werden Firewallregeln weggelassen
die so konfiguriert sind, dass sie anderen Traffic als TCP oder UDP zulassen, auch wenn diese Regeln
TCP- oder UDP-Traffic zulassen.
Messwerte der zuletzt verwendeten Firewall ansehen
Mit dem Metrics Explorer in Cloud Monitoring können Sie die
das letzte Mal verwendet wurde,
dass eine bestimmte Firewallregel
Rufen Sie den Messwert firewall_last_used_timestamp auf, um Traffic abzulehnen. Anhand dieses Messwerts können Sie feststellen, welche Firewallregeln in letzter Zeit nicht verwendet wurden.
Auf der Seite Firewall-Richtlinien in der Google Cloud Console sehen Sie, wann Sie eine Firewallregel in den letzten sechs Wochen oder für die Dauer, in der das Logging für Firewallregeln aktiviert war, zuletzt verwendet haben (je nachdem, was kürzer ist). Wenn die letzte
Treffer vor den letzten sechs Wochen oder vor dem Logging von Firewallregeln aufgetreten
aktiviert wurde, wird als last hit-Zeit — angezeigt.
Häufigkeit und Aufbewahrung von Berichten
Die Metrik firewall rule hit count wird jede Minute in Monitoring exportiert. Monitoring bewahrt Daten 6 Wochen lang auf. Sie können jedes Zeitintervall innerhalb der letzten sechs Wochen in Minutenintervallen analysieren.
Filtern und Aggregieren
Durch Aggregieren der Trefferanzahl für VM-Instanzen für jede Firewallregel sehen Sie die Gesamtzahl der Treffer, Traffic in Ihrem VPC-Netzwerk.
Siehe zum Beispiel
Plötzliche Erhöhungen der Trefferanzahl für deny-Firewallregeln erkennen.
Monitoring-Dashboards und -Benachrichtigungen verwenden
Mit Monitoring-Dashboards und den zugehörigen Diagrammen die Daten für die beschriebenen Firewall Insights-Messwerte visualisieren, in den vorherigen Abschnitten.
Zum Überwachen dieser Messwerte in Monitoring können Sie benutzerdefinierte Dashboards erstellen. Sie können auch Warnungen basierend auf diesen Metriken hinzufügen.