Mit den Firewall Insights-Messwerten können Sie analysieren, wie Ihre Firewallregeln verwendet werden. Sie können die Messwerte mit Cloud Monitoring und der Google Cloud Console aufrufen.
Mit den folgenden Messwerten können Sie die Firewallnutzung im Blick behalten:
- Die Messwerte für die Anzahl der Firewall-Treffer geben an, wie oft eine Firewallregel verwendet wurde, um Traffic zuzulassen oder abzulehnen.
- In den letzten Firewall-Messwerten sehen Sie, wann eine bestimmte Firewall-Regel zuletzt verwendet wurde, um Traffic zuzulassen oder zu verweigern.
Beachten Sie bei Firewall Insights-Messwerten Folgendes:
- Die Messwerte werden über das Logging von Firewallregeln abgeleitet.
- Die Messwerte sind nur für Regeln verfügbar, für die das Logging von Firewallregeln aktiviert ist, und sind nur für den Zeitraum korrekt, in dem das Logging von Firewallregeln aktiviert ist.
- Firewall-Messwerte werden nur für Traffic generiert, der den Spezifikationen für das Logging von Firewallregeln entspricht. Daten werden beispielsweise protokolliert und Messwerte werden nur für TCP- und UDP-Traffic generiert. Eine vollständige Liste der Kriterien finden Sie unter Spezifikationen in der Übersicht über das Logging von Firewallregeln.
Sie können beliebige Abfragen zu Firewall Insights-Messwerten erstellen. Verwenden Sie dazu die Anfragemethode projects.timeSeries.list in der API-Dokumentation zu Cloud Monitoring Version 3.
Firewall Insights sammelt Metrikdaten zu dem Zeitpunkt, an dem die Firewall-Regel zuletzt angewendet wurde, um Datentraffic zuzulassen oder zu verweigern (Zeitstempel), und für die Anzahl der Treffer einer Firewall-Regel für den Aufbewahrungszeitraum.
firewallinsights.googleapis.com/subnet/firewall_hit_countfirewallinsights.googleapis.com/subnet/firewall_last_used_timestampfirewallinsights.googleapis.com/vm/firewall_hit_countfirewallinsights.googleapis.com/vm/firewall_last_used_timestamp
Die Metrik zum Verfolgen der Firewall-Trefferzahlen wird pro VM-Instanz (Virtual Machine) und pro VPC-Subnetz (Virtual Private Cloud) definiert.
Pro-Instanz-Metriken (VM-Metriken) liefern die Anzahl der Treffer und die zuletzt verwendeten Zeitstempelinformationen für die Netzwerkschnittstelle einer VM. Pro-Subnetz-Metriken liefern Informationen zur Trefferanzahl für einzelne Firewall-Regeln.
Über die folgenden Ressourcen können Sie auf Firewall Insights-Messwertdaten zugreifen:
- Sie können Metriken für Firewall Insights auf der Seite Google Cloud-Messwerte anzeigen.
- Eine Übersicht über Messwerte, Zeitachsen und Ressourcen finden Sie im Messwertmodell in der API-Dokumentation zu Cloud Monitoring Version 3.
- Informationen zum Lesen dieser Messwerte finden Sie unter Messwertdaten lesen.
Erforderliche Rollen und Berechtigungen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten und Exportieren von Statistiken benötigen:
-
Firewall Recommender Admin (
roles/recommender.firewallAdmin) -
Firewall Recommender-Betrachter (
roles/recommender.firewallViewer)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die Berechtigung recommender.computeFirewallInsights.list, die zum Verwalten und Exportieren von Statistiken erforderlich ist.
Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Messwerte für die Anzahl der Firewall-Treffer ansehen
Der Messwert firewall_hit_count erfasst, wie oft eine Firewallregel verwendet wird, um Traffic zuzulassen oder abzulehnen.
Cloud Monitoring speichert für jede Firewallregel Daten für den Messwert firewall_hit_count nur, wenn die Regel aufgrund von TCP- oder UDP-Traffic Treffern hat. Das heißt, Cloud Monitoring speichert keine Daten zu Regeln, die keine Treffer hatten.
Sie können die aus diesem Messwert abgeleiteten Daten auf der Seite Firewallrichtlinien in der Google Cloud Console aufrufen.
Die Daten auf der Seite „Firewall“ sind möglicherweise nicht mit den in Cloud Monitoring gespeicherten Messwertdaten firewall_hit_count identisch. In Cloud Monitoring werden Regeln ohne Treffer nicht explizit identifiziert. In der Google Cloud Console wird beispielsweise eine Trefferanzahl von null angezeigt, auch wenn Cloud Monitoring keine Treffer aufzeichnet. Dieser Unterschied ist bei Firewallregeln zu sehen, die so konfiguriert sind, dass sie TCP, UDP, ICMP oder einen anderen Traffictyp zulassen oder ablehnen.
Dieses Verhalten unterscheidet sich von der Statistik allow rules with no hits.
Wenn bei dieser Statistik Firewallregeln ohne Treffer ermittelt werden, werden Firewallregeln weggelassen, die so konfiguriert sind, dass sie anderen Traffic als TCP oder UDP zulassen, auch wenn diese Regeln auch TCP- oder UDP-Traffic zulassen.
Messwerte zur letzten Verwendung der Firewall ansehen
Mit dem Metrics Explorer in Cloud Monitoring können Sie sehen, wann eine bestimmte Firewall-Regel das letzte Mal zur Anwendung kam, um Traffic zuzulassen oder zu verweigern. Zeigen Sie dazu die firewall_last_used_timestamp-Messwerte an. Anhand dieses Messwerts können Sie feststellen, welche Firewallregeln in letzter Zeit nicht verwendet wurden.
Auf der Seite Firewall-Richtlinien in der Google Cloud Console sehen Sie, wann Sie eine Firewallregel in den letzten sechs Wochen oder für die Dauer, in der das Logging für Firewallregeln aktiviert war, zuletzt verwendet haben (je nachdem, was kürzer ist). Wenn der letzte Treffer vor den letzten sechs Wochen oder vor der Aktivierung des Loggings für Firewallregeln aufgetreten ist, wird die last hit-Zeit als — angezeigt.
Häufigkeit und Aufbewahrung von Berichten
Die Metrik firewall rule hit count wird jede Minute in Monitoring exportiert. Monitoring bewahrt Daten 6 Wochen lang auf. Sie können jedes Zeitintervall innerhalb der letzten sechs Wochen in Minutenintervallen analysieren.
Filtern und Aggregieren
Durch Aggregieren der Trefferzahlen für VM-Instanzen können Sie die Gesamtzahl der Treffer für jede Firewallregel beobachten, die für den gesamten Traffic in Ihrem VPC-Netzwerk erfasst werden.
Weitere Informationen finden Sie unter Plötzliche Erhöhungen der Trefferanzahl für deny-Firewallregeln erkennen.
Monitoring-Dashboards und -Benachrichtigungen verwenden
Sie können Monitoring-Dashboards und die zugehörigen Diagramme verwenden, um die Daten für die in den vorhergehenden Abschnitten beschriebenen Firewall Insights-Metriken anzuzeigen.
Zum Überwachen dieser Messwerte in Monitoring können Sie benutzerdefinierte Dashboards erstellen. Sie können auch Warnungen basierend auf diesen Metriken hinzufügen.