Afficher les métriques Firewall Insights

Les métriques Firewall Insights vous permettent d'analyser l'utilisation de vos règles de pare-feu. Vous pouvez afficher les métriques à l'aide de Cloud Monitoring et de la console Google Cloud.

Les métriques suivantes vous permettent de suivre l'utilisation de votre pare-feu:

• Les métriques sur le nombre d'appels de pare-feu indiquent le nombre de fois où une règle de pare-feu a été utilisée pour autoriser ou refuser le trafic.
• La section Dernière utilisation du pare-feu indique quand une règle de pare-feu spécifique a été utilisée pour la dernière fois pour autoriser ou refuser le trafic.

Notez les aspects suivants concernant les métriques Firewall Insights:

• Les métriques sont issues de la journalisation des règles de pare-feu.
• Les métriques ne sont disponibles que pour les règles pour lesquelles la journalisation des règles de pare-feu est activée. La précision n'est valable que pour la période pendant laquelle la journalisation des règles de pare-feu est activée.
• Les métriques de pare-feu ne sont générées que pour le trafic correspondant aux spécifications de journalisation des règles de pare-feu. Par exemple, les données sont consignées et les métriques ne sont générées que pour le trafic TCP et UDP. Pour obtenir la liste complète des critères, consultez la section Spécifications dans la Présentation de la journalisation des règles de pare-feu.

Vous pouvez créer des requêtes arbitraires sur les métriques Firewall Insights à l'aide de la méthode de requête projects.timeSeries.list fournie dans la documentation de l'API Cloud Monitoring version 3.

Firewall Insights collecte les données de métriques correspondant à la dernière fois qu'une règle de pare-feu a été appliquée pour autoriser ou refuser le trafic (horodatage) et pour le nombre d'appels sur une règle de pare-feu au cours de la durée de conservation.

• firewallinsights.googleapis.com/subnet/firewall_hit_count
• firewallinsights.googleapis.com/subnet/firewall_last_used_timestamp
• firewallinsights.googleapis.com/vm/firewall_hit_count
• firewallinsights.googleapis.com/vm/firewall_last_used_timestamp

La métrique de suivi du nombre d'appels du pare-feu est définie par instance de machine virtuelle (VM) et par sous-réseau cloud privé virtuel (VPC, Virtual Private Cloud).

Les métriques par instance (VM) fournissent des informations sur le nombre d'appels et le dernier horodatage utilisé pour l'interface réseau d'une VM. Les métriques par sous-réseau fournissent des informations sur le nombre d'appels des règles de pare-feu individuelles.

Utilisez les ressources suivantes pour accéder aux données des métriques Firewall Insights:

• Affichez les métriques de Firewall Insights sur la page Métriques Google Cloud.
• Pour obtenir une présentation des métriques, des séries temporelles et des ressources, consultez le modèle de métrique dans la documentation de l'API Cloud Monitoring version 3.
• Pour plus d'informations sur la lecture de ces métriques, consultez la page Lire les données de métrique.

Rôles et autorisations requis

Pour obtenir l'autorisation nécessaire pour gérer et exporter les insights, demandez à votre administrateur de vous attribuer les rôles IAM suivants sur votre projet:

• Administrateur de l'outil de recommandation de pare-feu (roles/recommender.firewallAdmin)
• Lecteur de l'outil de recommandation de pare-feu (roles/recommender.firewallViewer)

Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Ce rôle prédéfini contient l'autorisation recommender.computeFirewallInsights.list, nécessaire pour gérer et exporter des insights.

Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.

Afficher les métriques sur le nombre d'appels de pare-feu

La métrique firewall_hit_count suit le nombre de fois où une règle de pare-feu est utilisée pour autoriser ou refuser le trafic.

Pour chaque règle de pare-feu, Cloud Monitoring ne stocke les données de la métrique firewall_hit_count que si la règle a fait l'objet d'appels en raison du trafic TCP ou UDP. Autrement dit, Cloud Monitoring ne stocke pas de données sur les règles n'ayant fait l'objet d'aucun appel.

Vous pouvez afficher les données dérivées de cette métrique sur la page Stratégies de pare-feu de la console Google Cloud.

Les données de la page "Pare-feu" peuvent ne pas être identiques aux données de métrique firewall_hit_count stockées dans Cloud Monitoring. Cloud Monitoring n'identifie pas explicitement les règles non utilisées. Par exemple, la console Google Cloud affiche un nombre d'appels de zéro, même si Cloud Monitoring n'en enregistre aucun. Vous pouvez constater cette différence pour les règles de pare-feu configurées pour autoriser ou refuser le trafic TCP, UDP, ICMP ou tout autre type de trafic.

Ce comportement diffère de l'insight allow rules with no hits. Lorsque cet insight identifie les règles de pare-feu non utilisées, il omet les règles de pare-feu configurées pour autoriser le trafic autre que TCP ou UDP, même si ces règles autorisent également le trafic TCP ou UDP.

Afficher les dernières métriques utilisées par le pare-feu

Dans l'Explorateur de métriques de Cloud Monitoring, vous pouvez consulter la métrique firewall_last_used_timestamp pour savoir quand une règle de pare-feu particulière a été utilisée pour autoriser ou refuser le trafic pour la dernière fois. Cette métrique vous aide à identifier les règles de pare-feu qui n'ont pas été utilisées récemment.

Sur la page Stratégies de pare-feu de la console Google Cloud, vous pouvez voir la date et l'heure auxquelles vous avez utilisé une règle de pare-feu pour la dernière fois au cours des six dernières semaines, ou pendant toute la durée d'activation de la journalisation des règles de pare-feu, la durée la plus courte prévalant. Si le dernier appel s'est produit avant les six dernières semaines ou avant l'activation de la journalisation des règles de pare-feu, l'heure last hit est indiquée sous la forme —.

Fréquence et conservation des rapports

La métrique firewall rule hit count est exportée vers Cloud Monitoring toutes les minutes. La conservation des données dans Monitoring est de six semaines. Vous pouvez analyser n'importe quelle période au cours des six semaines précédentes par intervalles d'une minute.

Filtrage et agrégation

Pour chaque règle de pare-feu, en agrégeant le nombre d'appels pour les instances de VM, vous pouvez observer le nombre total d'appels cumulés pour l'ensemble du trafic circulant sur votre réseau VPC.

Par exemple, consultez la section Détecter les augmentations soudaines du nombre d'appels pour les règles de pare-feu deny.

Utiliser les tableaux de bord et les alertes Monitoring

Vous pouvez utiliser les tableaux de bord Monitoring et les graphiques associés pour visualiser les données des métriques Firewall Insights décrites dans les sections précédentes.

Pour surveiller ces métriques dans Monitoring, vous pouvez créer des tableaux de bord personnalisés. Vous pouvez également ajouter des alertes en fonction de ces métriques.