Las métricas de las Estadísticas de firewall te permiten analizar cómo se usan tus reglas de firewall. Puedes ver las métricas Cloud Monitoring y la consola de Google Cloud.
Las siguientes métricas te ayudan a realizar un seguimiento del uso del firewall:
- Las métricas de recuento de hits de firewall te muestran la cantidad de veces que se usó una regla de firewall para permitir o denegar el tráfico.
- Las métricas más recientes del firewall te muestran la última vez que se usó una regla de firewall específica para permitir o denegar el tráfico.
Ten en cuenta los siguientes aspectos sobre las métricas de Estadísticas de firewall:
- Las métricas se derivan del registro de reglas de firewall.
- Las métricas están disponibles solo para las reglas que tienen Los registros de reglas de firewall están habilitados y están es precisa solo durante el tiempo durante el cual el Registro de reglas de firewall esté habilitado.
- Las métricas de firewall se generan solo para el tráfico que se ajusta a las especificaciones del registro de reglas de firewall. Por ejemplo, los datos son y las métricas se generan solo para el tráfico de TCP y UDP. Para un lista completa de criterios, consulta Especificaciones en la Descripción general del registro de reglas de firewall.
Puedes crear consultas arbitrarias a través de las métricas de Estadísticas de firewall
Con el método de solicitud projects.timeSeries.list
en la documentación de la API de la versión 3 de Cloud Monitoring.
Firewall Insights recopila datos de métricas de la última vez que se aplicó una regla de firewall para permitir o denegar el tráfico (marca de tiempo) y la cantidad de hits en una regla de firewall para el período de retención.
firewallinsights.googleapis.com/subnet/firewall_hit_countfirewallinsights.googleapis.com/subnet/firewall_last_used_timestampfirewallinsights.googleapis.com/vm/firewall_hit_countfirewallinsights.googleapis.com/vm/firewall_last_used_timestamp
La métrica para realizar un seguimiento de los recuentos de hits de firewall se define por instancia de máquina virtual (VM) y por subred de nube privada virtual (VPC).
Las métricas por instancia (VM) proporcionan recuento de hits y la información de la última marca de tiempo utilizada para la interfaz de red de una VM. Las métricas por subred proporcionan información de recuento de hits para reglas de firewall individuales.
Usa los siguientes recursos para acceder a los datos de las métricas de Estadísticas de firewall:
- Consulta las métricas de Estadísticas de firewall en la Página de métricas de Google Cloud
- Para obtener una descripción general de las métricas, las series temporales y los recursos, consulta el modelo de métricas en la documentación de la API de Cloud Monitoring versión 3.
- Si deseas obtener información para leer estas métricas, consulta Lee datos de métricas.
Roles y permisos requeridos
Para obtener el permiso que necesitas para administrar y exportar estadísticas, sigue estos pasos: solicita a tu administrador que te otorgue el los siguientes roles de IAM en tu proyecto:
-
Administrador del recomendador de firewall (
roles/recommender.firewallAdmin) -
Visualizador del recomendador de firewall (
roles/recommender.firewallViewer)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene las
recommender.computeFirewallInsights.list
permiso,
que se requiere para
administrar y exportar estadísticas.
También puedes obtener este permiso con roles personalizados o con otros roles predefinidos.
Cómo ver las métricas de recuento de hits de firewall
La métrica firewall_hit_count hace un seguimiento de la cantidad de veces que una regla de firewall
se usa para permitir o denegar el tráfico.
Para cada regla de firewall, Cloud Monitoring almacena datos de la métrica firewall_hit_count solo si la regla tuvo hits debido al tráfico de TCP o UDP. Es decir, Cloud Monitoring no almacena datos sobre reglas que no tuvieron hits.
Puedes ver los datos derivados de esta métrica en la página Políticas de firewall de la consola de Google Cloud.
Es posible que los datos de la página Firewall no sean idénticos a firewall_hit_count
datos de métricas almacenados en Cloud Monitoring. Cloud Monitoring no identifica de forma explícita las reglas sin hits. Por ejemplo, la consola de Google Cloud muestra un recuento de hits de cero incluso si Cloud Monitoring no registra ningún hit. Puedes ver esta diferencia en las reglas de firewall que se configuran para permitir o rechazar TCP, UDP, ICMP o cualquier otro tipo de tráfico.
Este comportamiento difiere del
Estadística de allow rules with no hits.
Cuando esta estadística identifica reglas de firewall sin hits, las omite.
configurados para permitir tráfico distinto de TCP o UDP, incluso si esas reglas
permiten el tráfico de TCP o UDP.
Cómo ver las métricas más recientes del firewall
Si usas el Explorador de métricas en Cloud Monitoring, puedes ver la última vez que se aplicó una regla de firewall específica para permitir o rechazar el tráfico si consultas las métricas de firewall_last_used_timestamp. Esta métrica
te ayuda a identificar qué reglas de firewall no se usaron recientemente.
En Políticas de firewall,
de la consola de Google Cloud, podrás ver cuándo usaste un firewall
regla en las últimas seis semanas o por cualquier duración
Se habilitó el registro de reglas de firewall, lo que sea menor. Si el último golpe ocurrió antes de las últimas seis semanas o antes de que se habilitara el registro de reglas de firewall, la hora de last hit se muestra como —.
Frecuencia y retención de informes
La métrica firewall rule hit count se exporta a Monitoring cada un minuto. Supervisar la retención de datos toma seis semanas. Puedes analizar cualquier intervalo de tiempo dentro de las seis semanas anteriores en intervalos de un minuto.
Filtración y agregado
Para cada regla de firewall, si agregas los recuentos de hits de las instancias de VM, puedes observar los recuentos de hits generales que se acumulan para todo el tráfico que fluye en tu red de VPC.
Por ejemplo, consulta
Detecta aumentos repentinos en el recuento de hits para reglas de firewall de deny.
Usa los paneles y las alertas de Monitoring
Puedes usar los paneles de Monitoring y sus gráficos asociados para visualizarás los datos de las métricas de Estadísticas de firewall descritas en las secciones anteriores.
Para supervisar estas métricas en Monitoring, puedes crear paneles personalizados. También puedes agregar alertas en función de estas métricas.