Afficher les métriques Firewall Insights

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Les métriques Firewall Insights vous permettent d'analyser l'utilisation de vos règles de pare-feu. Vous pouvez afficher les métriques à l'aide de Cloud Monitoring et de la console Google Cloud.

Les métriques suivantes vous aident à suivre l'utilisation de votre pare-feu:

  • Les métriques de nombre d'accès au pare-feu indiquent le nombre de fois où une règle de pare-feu a été utilisée pour autoriser ou refuser le trafic.
  • Les métriques "Dernière utilisation du pare-feu" indiquent la dernière fois qu'une règle de pare-feu particulière a été utilisée pour autoriser ou refuser le trafic.

Les métriques sont dérivées de la journalisation des règles de pare-feu. Les métriques ne sont disponibles que pour les règles pour lesquelles la journalisation des règles de pare-feu est activée et qui ne sont exactes que pour la période pendant laquelle la journalisation des règles de pare-feu est activée. En outre, les métriques de pare-feu ne sont générées que pour le trafic correspondant aux spécifications de la journalisation des règles de pare-feu. Par exemple, les données sont consignées et les métriques ne sont générées que pour le trafic TCP et UDP. Pour obtenir la liste complète des critères, consultez la section Spécifications dans la Présentation de la journalisation des règles de pare-feu.

Vous pouvez créer des requêtes arbitraires sur les métriques Firewall Insights à l'aide de la méthode de requête projects.timeSeries.list que vous trouverez dans la documentation de l'API Cloud Monitoring version 3.

Firewall Insights collecte les métriques pour la dernière fois qu'une règle de pare-feu a été appliquée pour autoriser ou refuser le trafic (horodatage) et pour le nombre d'appels sur une règle de pare-feu pendant la durée de conservation.

  • firewallinsights.googleapis.com/subnet/firewall_hit_count
  • firewallinsights.googleapis.com/subnet/firewall_last_used_timestamp
  • firewallinsights.googleapis.com/vm/firewall_hit_count
  • firewallinsights.googleapis.com/vm/firewall_last_used_timestamp

La métrique de suivi du nombre d'appels du pare-feu est définie par instance de machine virtuelle (VM) et par sous-réseau cloud privé virtuel (VPC, Virtual Private Cloud).

Les métriques par instance (VM) fournissent des informations sur le nombre d'appels et l'horodatage de la dernière utilisation de l'interface réseau d'une VM. Les métriques par sous-réseau fournissent des informations sur le nombre d'appels des règles de pare-feu individuelles.

Utilisez les ressources suivantes pour accéder aux données des métriques Firewall Insights:

  • Affichez les métriques de Firewall Insights sur la page Métriques Google Cloud.
  • Pour obtenir une présentation des métriques, des séries temporelles et des ressources, consultez le modèle de métrique dans la documentation de l'API Cloud Monitoring version 3.
  • Pour plus d'informations sur la lecture de ces métriques, consultez la page Lire les données de métrique.

Rôles et autorisations requis

Pour obtenir l'autorisation dont vous avez besoin pour gérer et exporter des insights, demandez à votre administrateur de vous attribuer les rôles IAM suivants sur votre projet:

  • Administrateur de l'outil de recommandation de pare-feu (roles/recommender.firewallAdmin)
  • Lecteur de l'outil de recommandation de pare-feu (roles/recommender.firewallViewer)

Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Ce rôle prédéfini contient l'autorisation recommender.computeFirewallInsights.list, nécessaire pour gérer et exporter des insights. Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.

Afficher les métriques du nombre d'appels de pare-feu

La métrique firewall_hit_count suit le nombre d'utilisations d'une règle de pare-feu pour autoriser ou refuser le trafic.

Pour chaque règle de pare-feu, Cloud Monitoring ne stocke les données de la métrique firewall_hit_count que si la règle a fait l'objet d'appels en raison du trafic TCP ou UDP. Autrement dit, Cloud Monitoring ne stocke pas de données sur les règles n'ayant fait l'objet d'aucun appel.

Vous pouvez afficher les données issues de cette métrique sur la page Pare-feu de la console Google Cloud.

Les données de la page "Pare-feu" peuvent ne pas être identiques aux données de métriques firewall_hit_count stockées dans Cloud Monitoring. Cloud Monitoring n'identifie pas explicitement les règles sans appel. Par exemple, la console Google Cloud affiche un nombre d'appels égal à zéro, même si Cloud Monitoring n'enregistre aucun appel. Vous pouvez constater cette différence pour les règles de pare-feu configurées pour autoriser ou refuser les trafics TCP, UDP, ICMP ou tout autre type de trafic.

Ce comportement diffère de l'insight allow rules with no hits. Lorsque cet insight identifie des règles de pare-feu sans appel, il omet les règles de pare-feu configurées pour autoriser le trafic autre que TCP ou UDP, même si ces règles autorisent également le trafic TCP ou UDP.

Afficher les dernières métriques utilisées par le pare-feu

En utilisant l'explorateur de métriques dans Cloud Monitoring, vous pouvez afficher la dernière fois qu'une règle de pare-feu particulière a été utilisée pour autoriser ou refuser le trafic, en affichant la métrique firewall_last_used_timestamp. Cette métrique vous aide à identifier les règles de pare-feu qui n'ont pas été utilisées récemment.

Sur la page Pare-feu de Google Cloud Console, vous pouvez savoir quand vous avez utilisé une règle de pare-feu pour la dernière fois au cours des six dernières semaines ou pendant toute la durée d'activation de la journalisation des règles de pare-feu (selon la première limite atteinte). Si le dernier appel s'est produit avant les six dernières semaines ou avant l'activation de la journalisation des règles de pare-feu, l'heure last hit est .

Fréquence et conservation des rapports

La métrique firewall rule hit count est exportée vers Cloud Monitoring toutes les minutes. La conservation des données dans Monitoring est de six semaines. Vous pouvez analyser n'importe quelle période au cours des six semaines précédentes par intervalles d'une minute.

Filtrage et agrégation

Pour chaque règle de pare-feu, en agrégeant le nombre d'appels des instances de VM, vous pouvez observer le nombre total d'appels qui s'accumulent pour tout le trafic circulant sur votre réseau VPC.

Pour obtenir un exemple, consultez la section Détecter les augmentations soudaines du nombre d'appels pour deny règles de pare-feu.

Utiliser les tableaux de bord et les alertes Monitoring

Vous pouvez utiliser les tableaux de bord Monitoring et les graphiques associés pour visualiser les données des métriques Firewall Insights décrites dans les sections précédentes.

Pour surveiller ces métriques dans Monitoring, vous pouvez créer des tableaux de bord personnalisés. Vous pouvez également ajouter des alertes en fonction de ces métriques.