Ver métricas do Firewall Insights

Com as métricas do Firewall Insights, é possível analisar como suas regras de firewall são usadas. É possível visualizar as métricas usando o Cloud Monitoring e o console do Google Cloud.

As métricas a seguir ajudam a rastrear o uso do firewall:

  • As métricas de contagem de ocorrências do firewall mostram o número de vezes que uma regra de firewall foi usada para permitir ou negar o tráfego.
  • As métricas de último uso do firewall mostram a última vez que uma regra de firewall específica foi usada para permitir ou negar o tráfego.

Observe os seguintes aspectos sobre as métricas do Firewall Insights:

  • As métricas são derivadas da geração de registros de regras de firewall.
  • As métricas estão disponíveis apenas para regras que têm a geração de registros de regras de firewall ativada e são precisas apenas para o tempo em que esse recurso está ativado.
  • As métricas de firewall são geradas apenas para o tráfego que se encaixa nas especificações da geração de registros de regras de firewall. Por exemplo, os dados são registrados e as métricas são geradas apenas para o tráfego TCP e UDP. Para uma lista completa de critérios, consulte Especificações nas informações gerais da Geração de registros de regras de firewall.

É possível criar consultas arbitrárias com base nas métricas do Firewall Insights usando o método de solicitação projects.timeSeries.list na documentação da API do Cloud Monitoring versão 3.

O Firewall Insights reúne dados de métricas pela última vez em que uma regra de firewall foi aplicada para permitir ou negar tráfego (registro de data e hora) e para o número de ocorrências em uma regra de firewall pelo período de armazenamento.

  • firewallinsights.googleapis.com/subnet/firewall_hit_count
  • firewallinsights.googleapis.com/subnet/firewall_last_used_timestamp
  • firewallinsights.googleapis.com/vm/firewall_hit_count
  • firewallinsights.googleapis.com/vm/firewall_last_used_timestamp

A métrica para rastrear contagens de ocorrências de firewall é definida por instância de máquina virtual (VM) e por sub-rede de nuvem privada virtual (VPC).

As métricas por instância (VM) fornecem a contagem de hits e as últimas informações de carimbo de data/hora usadas para a interface de rede de uma VM. As métricas por sub-rede fornecem informações de contagem de hits para regras de firewall individuais.

Use os recursos a seguir para acessar os dados de métricas do Firewall Insights:

Papéis e permissões necessárias

Para receber a permissão necessária a fim de gerenciar e exportar insights, peça que o administrador conceda a você os seguintes papéis do IAM no projeto:

Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Esse papel predefinido contém a permissão recommender.computeFirewallInsights.list, que é necessária para gerenciar e exportar insights.

Também é possível conseguir essa permissão com papéis personalizados ou outros papéis predefinidos.

Conferir métricas de contagem de ocorrências do firewall

A métrica firewall_hit_count rastreia o número de vezes que uma regra de firewall é usada para permitir ou negar tráfego.

Para cada regra de firewall, o Cloud Monitoring armazena dados da métrica firewall_hit_count somente se a regra tiver ocorrências devido ao tráfego TCP ou UDP. Ou seja, o Cloud Monitoring não armazena dados sobre regras que não tiveram ocorrências.

É possível conferir os dados derivados dessa métrica na página Políticas de firewall no console do Google Cloud.

Os dados na página "Firewall" podem não ser idênticos aos dados das métricas firewall_hit_count armazenados no Cloud Monitoring. O Cloud Monitoring não identifica explicitamente regras sem ocorrências. Por exemplo, o console do Google Cloud mostra uma contagem de zero hits, mesmo que o Cloud Monitoring não registre nenhum hit. É possível conferir essa diferença nas regras de firewall configuradas para permitir ou negar TCP, UDP, ICMP ou qualquer outro tipo de tráfego.

Esse comportamento é diferente do insight allow rules with no hits. Quando esse insight identifica regras de firewall sem ocorrências, ele omite regras de firewall configuradas para permitir tráfego diferente de TCP ou UDP, mesmo que elas também permitam esse tipo de tráfego.

Conferir métricas usadas por último no firewall

Ao usar o Metrics Explorer no Cloud Monitoring, é possível conferir a última vez que uma regra de firewall específica foi usada para permitir ou negar o tráfego visualizando a métrica firewall_last_used_timestamp. Essa métrica ajuda a identificar quais regras de firewall não foram usadas recentemente.

Na página Políticas de firewall no console do Google Cloud, é possível conferir quando você usou uma regra de firewall pela última vez nas últimas seis semanas ou em qualquer período desde a ativação da geração de registros das regras de firewall, o que for menor. Se a última ocorrência aconteceu antes das últimas seis semanas ou antes da ativação da geração de registros das regras de firewall, o horário last hit é exibido como .

Frequência e retenção de relatórios

A métrica firewall rule hit count é exportada para o Monitoramento a cada minuto. O monitoramento da retenção de dados é de seis semanas. Você pode analisar qualquer intervalo de tempo nas seis semanas anteriores em intervalos de um minuto.

Filtragem e agregação

Para cada regra de firewall, agregando as contagens de hits das instâncias de VM, observe as contagens de hits gerais acumuladas para todo o tráfego na rede VPC.

Por exemplo, consulte Detectar aumentos repentinos na contagem de ocorrências de regras de firewall deny.

Usar painéis e alertas do Monitoring

É possível usar os painéis de monitoramento e os respectivos gráficos associados para visualizar os dados das métricas do Firewall Insights descritas nas seções anteriores.

Para monitorar essas métricas no Monitoring, é possível criar painéis personalizados. Você também pode adicionar alertas com base nessas métricas.