Mit Firewall Insights-Messwerten können Sie die Verwendung Ihrer Firewallregeln analysieren. Sie können die Messwerte mithilfe von Cloud Monitoring und der Google Cloud Console ansehen.
Anhand der folgenden Messwerte können Sie Ihre Firewallnutzung verfolgen:
- Messwerte für die Anzahl der Firewalltreffer geben an, wie oft eine Firewallregel verwendet wurde, um Traffic zuzulassen oder abzulehnen.
- Zuletzt verwendete Firewallmesswerte zeigen an, wann eine bestimmte Firewallregel das letzte Mal verwendet wurde, um Traffic zuzulassen oder abzulehnen.
Beachten Sie die folgenden Aspekte zu Firewall Insights-Messwerten:
- Die Messwerte werden aus dem Logging von Firewallregeln abgeleitet.
- Die Messwerte sind nur für Regeln verfügbar, für die das Logging von Firewallregeln aktiviert ist, und sind nur für den Zeitraum präzise, in dem das Logging für Firewallregeln aktiviert ist.
- Firewall-Messwerte werden nur für Traffic generiert, der den Spezifikationen für das Logging von Firewallregeln entspricht. Beispielsweise werden Daten protokolliert und Messwerte werden nur für TCP- und UDP-Traffic generiert. Eine vollständige Liste der Kriterien finden Sie unter Spezifikationen in der Logging-Übersicht für Firewallregeln.
Mit der Anfragemethode projects.timeSeries.list in der Dokumentation zur Cloud Monitoring API Version 3 können Sie beliebige Abfragen über Firewall Insights-Messwerte erstellen.
Firewall Insights erfasst Messwertdaten für das letzte Mal, dass eine Firewallregel zum Zulassen oder Ablehnen von Traffic (Zeitstempel) angewendet wurde, und für die Anzahl der Treffer für eine Firewallregel während der Aufbewahrungsdauer.
firewallinsights.googleapis.com/subnet/firewall_hit_countfirewallinsights.googleapis.com/subnet/firewall_last_used_timestampfirewallinsights.googleapis.com/vm/firewall_hit_countfirewallinsights.googleapis.com/vm/firewall_last_used_timestamp
Die Metrik zum Verfolgen der Firewall-Trefferzahlen wird pro VM-Instanz (Virtual Machine) und pro VPC-Subnetz (Virtual Private Cloud) definiert.
Instanzmesswerte liefern Informationen zur Trefferanzahl und zum Zeitstempel der letzten Verwendung für die Netzwerkschnittstelle einer VM. Pro-Subnetz-Metriken liefern Informationen zur Trefferanzahl für einzelne Firewall-Regeln.
Verwenden Sie die folgenden Ressourcen, um auf Firewall Insights-Messwertdaten zuzugreifen:
- Messwerte für Firewall Insights finden Sie auf der Seite Google Cloud-Messwerte.
- Eine Übersicht über Messwerte, Zeitachsen und Ressourcen finden Sie im Messwertmodell in der API-Dokumentation zu Cloud Monitoring Version 3.
- Informationen zum Lesen dieser Messwerte finden Sie unter Messwertdaten lesen.
Erforderliche Rollen und Berechtigungen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zu gewähren, damit Sie die erforderliche Berechtigung zum Verwalten und Exportieren von Statistiken erhalten:
-
Firewall Recommender-Administrator (
roles/recommender.firewallAdmin) -
Firewall Recommender Viewer (
roles/recommender.firewallViewer)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierte Rolle enthält die Berechtigung recommender.computeFirewallInsights.list, die zum Verwalten und Exportieren von Statistiken erforderlich ist.
Möglicherweise können Sie diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Messwerte für die Anzahl der Firewalltreffer ansehen
Der Messwert firewall_hit_count gibt an, wie oft eine Firewallregel verwendet wird, um Traffic zuzulassen oder abzulehnen.
Cloud Monitoring speichert für jede Firewallregel Daten für den Messwert firewall_hit_count nur, wenn die Regel aufgrund von TCP- oder UDP-Traffic Treffern hat. Das heißt, Cloud Monitoring speichert keine Daten zu Regeln, die keine Treffer hatten.
Sie können die von diesem Messwert abgeleiteten Daten in der Google Cloud Console auf der Seite Firewallrichtlinien ansehen.
Die Daten auf der Firewallseite sind möglicherweise nicht mit den firewall_hit_count-Messwertdaten identisch, die in Cloud Monitoring gespeichert sind. Cloud Monitoring identifiziert Regeln ohne Treffer nicht explizit. Die Google Cloud Console zeigt beispielsweise eine Null-Trefferanzahl an, auch wenn Cloud Monitoring keine Treffer aufzeichnet. Dies ist bei Firewallregeln zu sehen, die so konfiguriert sind, dass TCP, UDP, ICMP oder andere Arten von Traffic zugelassen oder abgelehnt werden.
Dieses Verhalten unterscheidet sich von der allow rules with no hits-Statistik.
Wenn anhand dieser Statistik Firewallregeln ohne Treffer identifiziert werden, werden Firewallregeln ignoriert, die so konfiguriert sind, dass sie anderen Traffic als TCP oder UDP zulassen, selbst wenn diese Regeln auch TCP- oder UDP-Traffic zulassen.
Zuletzt verwendete Firewall-Messwerte ansehen
Mit dem Metrics Explorer in Cloud Monitoring können Sie anhand des Messwerts firewall_last_used_timestamp sehen, wann zuletzt eine bestimmte Firewallregel verwendet wurde, um Traffic zuzulassen oder abzulehnen. Mit diesem Messwert können Sie ermitteln, welche Firewallregeln in letzter Zeit nicht verwendet wurden.
Auf der Seite Firewallrichtlinien in der Google Cloud Console können Sie sehen, wann Sie in den letzten sechs Wochen zuletzt eine Firewallregel verwendet haben oder wie lange das Logging von Firewallregeln aktiviert war – je nachdem, welcher Zeitraum kürzer ist. Wenn der letzte Treffer vor den letzten sechs Wochen oder vor der Aktivierung des Loggings von Firewallregeln aufgetreten ist, wird die Zeit last hit als — angezeigt.
Häufigkeit und Aufbewahrung von Berichten
Die Metrik firewall rule hit count wird jede Minute in Monitoring exportiert. Monitoring bewahrt Daten 6 Wochen lang auf. Sie können jedes Zeitintervall innerhalb der letzten sechs Wochen in Minutenintervallen analysieren.
Filtern und Aggregieren
Durch Aggregieren der Trefferanzahl für VM-Instanzen können Sie für jede Firewallregel die Gesamtzahl der Treffer sehen, die für den gesamten Traffic in Ihrem VPC-Netzwerk akkumuliert werden.
Ein Beispiel finden Sie unter Plötzliche Anstiege der Trefferanzahl für deny-Firewallregeln erkennen.
Monitoring-Dashboards und -Benachrichtigungen verwenden
Mit Monitoring-Dashboards und den zugehörigen Diagrammen können Sie die Daten für die in den vorherigen Abschnitten beschriebenen Messwerte von Firewall Insights visualisieren.
Zum Überwachen dieser Messwerte in Monitoring können Sie benutzerdefinierte Dashboards erstellen. Sie können auch Warnungen basierend auf diesen Metriken hinzufügen.