Melihat metrik Analisis Firewall

Metrik Analisis Firewall memungkinkan Anda menganalisis cara penggunaan aturan firewall. Anda dapat melihat metrik dengan menggunakan Cloud Monitoring dan Konsol Google Cloud.

Metrik berikut membantu Anda melacak penggunaan firewall:

  • Metrik jumlah hit firewall menunjukkan frekuensi penggunaan aturan firewall untuk mengizinkan atau menolak traffic.
  • Metrik firewall yang terakhir digunakan menunjukkan kapan terakhir kali aturan firewall tertentu digunakan untuk mengizinkan atau menolak traffic.

Perhatikan aspek-aspek berikut terkait metrik Analisis Firewall:

  • Metrik ini berasal dari Firewall Rules Logging.
  • Metrik ini hanya tersedia untuk aturan yang mengaktifkan Logging Aturan Firewall dan akurat hanya untuk waktu ketika Logging Aturan Firewall diaktifkan.
  • Metrik firewall hanya dibuat untuk traffic yang sesuai dengan spesifikasi untuk Logging Aturan Firewall. Misalnya, data dicatat ke dalam log dan metrik hanya dihasilkan untuk traffic TCP dan UDP. Untuk mengetahui daftar lengkap kriteria, lihat Spesifikasi di ringkasan Logging Aturan Firewall.

Anda dapat membuat kueri arbitrer melalui metrik Analisis Firewall dengan menggunakan metode permintaan projects.timeSeries.list dalam dokumentasi API Cloud Monitoring versi 3.

Analisis Firewall mengumpulkan data metrik untuk terakhir kalinya ketika aturan firewall diterapkan untuk mengizinkan atau menolak traffic (stempel waktu) dan untuk jumlah hit pada aturan firewall selama periode retensi.

  • firewallinsights.googleapis.com/subnet/firewall_hit_count
  • firewallinsights.googleapis.com/subnet/firewall_last_used_timestamp
  • firewallinsights.googleapis.com/vm/firewall_hit_count
  • firewallinsights.googleapis.com/vm/firewall_last_used_timestamp

Metrik untuk melacak jumlah hit firewall ditentukan per instance virtual machine (VM) dan per subnet Virtual Private Cloud (VPC).

Metrik per instance (VM) memberikan jumlah hit dan informasi stempel waktu yang terakhir digunakan untuk antarmuka jaringan VM. Metrik per subnet memberikan informasi jumlah hit untuk setiap aturan firewall.

Gunakan referensi berikut untuk mengakses data metrik Analisis Firewall:

  • Lihat metrik untuk Analisis Firewall di halaman metrik Google Cloud.
  • Untuk ringkasan mengenai metrik, deret waktu, dan resource, lihat model metrik dalam dokumentasi API Cloud Monitoring versi 3.
  • Untuk informasi tentang cara membaca metrik ini, lihat Membaca data metrik.

Peran dan izin yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk mengelola dan mengekspor insight, minta administrator Anda untuk memberi Anda peran IAM berikut pada project Anda:

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses.

Peran bawaan ini berisi izin recommender.computeFirewallInsights.list, yang diperlukan untuk mengelola dan mengekspor insight.

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Melihat metrik jumlah hit firewall

Metrik firewall_hit_count melacak berapa kali aturan firewall digunakan untuk mengizinkan atau menolak traffic.

Untuk setiap aturan firewall, Cloud Monitoring menyimpan data untuk metrik firewall_hit_count hanya jika aturan memiliki hit karena traffic TCP atau UDP. Artinya, Cloud Monitoring tidak menyimpan data tentang aturan yang tidak memiliki hit.

Anda dapat melihat data yang berasal dari metrik ini di halaman Kebijakan firewall di Konsol Google Cloud.

Data di halaman Firewall mungkin tidak sama dengan data metrik firewall_hit_count yang disimpan di Cloud Monitoring. Cloud Monitoring tidak secara eksplisit mengidentifikasi aturan tanpa hit. Misalnya, Konsol Google Cloud menampilkan jumlah hit nol meskipun Cloud Monitoring tidak mencatat hit apa pun. Anda dapat melihat perbedaan pada aturan firewall yang dikonfigurasi untuk mengizinkan atau menolak TCP, UDP, ICMP, atau jenis traffic lainnya.

Perilaku ini berbeda dengan insight allow rules with no hits. Saat mengidentifikasi aturan firewall tanpa hit, insight ini akan menghilangkan aturan firewall yang dikonfigurasi untuk mengizinkan traffic selain TCP atau UDP, meskipun aturan tersebut juga mengizinkan traffic TCP atau UDP.

Lihat metrik firewall yang terakhir digunakan

Dengan Metrics Explorer di Cloud Monitoring, Anda dapat mengetahui kapan terakhir kali aturan firewall tertentu digunakan untuk mengizinkan atau menolak traffic dengan melihat metrik firewall_last_used_timestamp. Metrik ini membantu Anda mengidentifikasi aturan firewall mana yang belum digunakan baru-baru ini.

Pada halaman Kebijakan firewall di Google Cloud Console, Anda dapat melihat kapan terakhir kali Anda menggunakan aturan firewall dalam enam minggu terakhir atau berapa pun durasi Firewall Rules Logging yang telah diaktifkan, mana saja yang lebih singkat. Jika hit terakhir terjadi sebelum enam minggu terakhir atau sebelum Logging Aturan Firewall diaktifkan, waktu last hit akan ditampilkan sebagai .

Retensi dan frekuensi pelaporan

Metrik firewall rule hit count diekspor ke Monitoring setiap menit. Pemantauan retensi data adalah enam minggu. Anda dapat menganalisis interval waktu apa pun dalam enam minggu sebelumnya dalam interval satu menit.

Pemfilteran dan agregasi

Untuk setiap aturan firewall, dengan menggabungkan jumlah hit untuk instance VM, Anda dapat mengamati keseluruhan jumlah hit yang terakumulasi untuk semua traffic yang mengalir di jaringan VPC Anda.

Misalnya, baca bagian Mendeteksi peningkatan jumlah hit secara tiba-tiba untuk aturan firewall deny.

Menggunakan dasbor dan pemberitahuan Monitoring

Anda dapat menggunakan dasbor Monitoring dan diagram terkait guna memvisualisasikan data untuk metrik Analisis Firewall yang dijelaskan di bagian sebelumnya.

Untuk memantau metrik ini di Monitoring, Anda dapat membuat dasbor kustom. Anda juga dapat menambahkan pemberitahuan berdasarkan metrik ini.