ファイアウォール インサイト指標を表示する

ファイアウォール インサイトの指標により、ファイアウォール ルールの使用状況を分析できます。指標は、Cloud Monitoring と Google Cloud コンソールを使用して表示できます。

次の指標は、ファイアウォールの使用状況を追跡するのに役立ちます。

• ファイアウォール ヒット数の指標は、ファイアウォール ルールでトラフィックが許可または拒否された回数を表します。
• ファイアウォールが最後に使用した指標には、特定のファイアウォール ルールがトラフィックを許可または拒否するために最後に使用された日時が表示されます。

ファイアウォール インサイトの指標について、次の点に注意してください。

• 指標はファイアウォール ルール ロギングから取得されます。
• 指標は、ファイアウォール ルール ロギングが有効になっているルールでのみ使用できます。また、ファイアウォール ルール ロギングが有効になっている間にのみ正確な値となります。
• また、ファイアウォール指標は、ファイアウォール ルール ロギングの仕様に適合するトラフィックに対してのみ生成されます。たとえば、データは TCP と UDP のトラフィックについてのみログに記録され、指標が生成されます。条件の一覧については、ファイアウォール ルール ロギングの概要の仕様をご覧ください。

Cloud Monitoring バージョン 3 API ドキュメントの projects.timeSeries.list リクエスト メソッドを使用して、ファイアウォール インサイトの指標に対する任意のクエリを作成できます。

ファイアウォール インサイトは、ファイアウォール ルールが最後に適用されてトラフィックが許可または拒否された時刻（タイムスタンプ）と、保持期間中にファイアウォール ルールがヒットした数についての指標データを収集します。

• firewallinsights.googleapis.com/subnet/firewall_hit_count
• firewallinsights.googleapis.com/subnet/firewall_last_used_timestamp
• firewallinsights.googleapis.com/vm/firewall_hit_count
• firewallinsights.googleapis.com/vm/firewall_last_used_timestamp

ファイアウォールのヒット数を追跡するための指標は、仮想マシン（VM）インスタンスおよび Virtual Private Cloud（VPC）サブネットごとに定義されます。

インスタンスごとの（VM）指標は、VM のネットワーク インターフェースのヒットカウントと最後に使用されたタイムスタンプ情報を提供します。サブネットごとの指標は、個々のファイアウォール ルールのヒット数情報を提供します。

ファイアウォール インサイトの指標データにアクセスするには、次のリソースを使用します。

• Google Cloud の指標ページでファイアウォール インサイトの指標を表示します。
• 指標、時系列、リソースの概要については、Cloud Monitoring バージョン 3 API ドキュメントの指標モデルをご覧ください。
• 指標の読み取り方法については、指標データの読み取りをご覧ください。

必要なロールと権限

分析情報の管理とエクスポートに必要な権限を取得するには、プロジェクトに関する次の IAM ロールを付与してもらうよう管理者に依頼してください。

• Firewall Recommender 管理者（roles/recommender.firewallAdmin）
• Firewall Recommender 閲覧者（roles/recommender.firewallViewer）

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

この事前定義ロールには、分析情報の管理とエクスポートに必要な recommender.computeFirewallInsights.list 権限が含まれています。

カスタムロールや他の事前定義ロールを使用して、この権限を取得することもできます。

ファイアウォール ヒット数の指標を表示する

firewall_hit_count 指標は、ファイアウォール ルールでトラフィックが許可または拒否された回数をトラッキングします。

Cloud Monitoring は、TCP または UDP トラフィックでルールがヒットした場合にのみ、ファイアウォール ルールごとに firewall_hit_count 指標のデータを保存します。つまり、Cloud Monitoring は、ヒットしないルールのデータを保存しません。

この指標から得られるデータは、Google Cloud コンソールの [ファイアウォール] ページで確認できます。

[ファイアウォール] ページのデータは、Cloud Monitoring に保存されている firewall_hit_count 指標データと同一でない場合があります。Cloud Monitoring は、ヒットしないルールを明示的に識別しません。たとえば、Cloud Monitoring がヒットを記録しない場合でも、Google Cloud コンソールにはヒット数が 0 と表示されます。TCP、UDP、ICMP などのトラフィックを許可または拒否するように構成されているファイアウォール ルールでは、この違いがわかります。

この動作は、allow rules with no hits の分析情報とは異なります。この分析情報で、ヒットしないファイアウォール ルールが特定されると、これらのルールで TCP または UDP のトラフィックが許可されている場合でも、TCP または UDP 以外のトラフィックを許可するように構成されたファイアウォール ルールは除外されます。

ファイアウォールが最後に使用した指標を表示する

Cloud Monitoring の Metrics Explorer を使用すると、firewall_last_used_timestamp 指標を表示して、特定のファイアウォール ルールが最後にトラフィックを許可または拒否した時間を確認できます。この指標は、最近使用されていないファイアウォール ルールを特定するのに役立ちます。

Google Cloud コンソールの [ファイアウォール ポリシー] ページには、過去 6 週間またはファイアウォール ルールのロギングの有効期間内（どちらか短いほう）で、ファイアウォール ルールが最後に使用された時間が表示されます。最後のヒットが過去 6 週間より前に発生した場合、またはファイアウォール ルールのロギングが有効になる前に発生した場合は、last hit 時間が — として表示されます。

レポートの頻度と保持期間

firewall rule hit count 指標は Monitoring に毎分エクスポートされます。Monitoring のデータ保持は 6 週間です。過去 6 週間以内の任意の時間間隔を 1 分間隔で分析できます。

フィルタと集約

ファイアウォール ルールごとに、VM インスタンスのヒットカウントを集計することで、VPC ネットワーク内を流れるすべてのトラフィックの累積ヒット数を確認できます。

例については、deny ファイアウォール ルールのヒット数の急激な増加を検出するをご覧ください。

Monitoring ダッシュボードとアラートの使用

Monitoring ダッシュボードとそれに関連するグラフを使用すると、前のセクションで説明したファイアウォール インサイト指標のデータを可視化できます。

Monitoring でこうした指標をモニタリングするために、カスタム ダッシュボードを作成できます。こうした指標に基づいてアラートを追加することもできます。