Las métricas de las Estadísticas de firewall te permiten analizar cómo se usan tus reglas de firewall. Puedes ver las métricas con Cloud Monitoring y la consola de Google Cloud.
Las siguientes métricas te ayudan a hacer un seguimiento del uso del firewall:
- Las métricas de recuento de hits de firewall te muestran la cantidad de veces que se usó una regla de firewall para permitir o denegar el tráfico.
- Las métricas más recientes del firewall te muestran la última vez que se usó una regla de firewall específica para permitir o denegar el tráfico.
Ten en cuenta los siguientes aspectos sobre las métricas de Estadísticas de firewall:
- Las métricas se derivan del registro de reglas de firewall.
- Las métricas solo están disponibles para las reglas que tienen habilitado el registro de reglas de firewall y son precisas solo durante el tiempo durante el cual se habilita el registro de reglas de firewall.
- Las métricas de firewall se generan solo para el tráfico que se ajusta a las especificaciones del registro de reglas de firewall. Por ejemplo, los datos se registran y las métricas se generan solo para el tráfico de TCP y UDP. Para obtener una lista completa de criterios, consulta Especificaciones en la descripción general de Registros de reglas de firewall.
Puedes construir consultas arbitrarias sobre las métricas de Estadísticas de firewall mediante el método de solicitud projects.timeSeries.list en la documentación de la API de Cloud Monitoring versión 3.
Estadísticas de firewall recopila datos de métricas de la última vez que se aplicó una regla de firewall para permitir o denegar el tráfico (marca de tiempo) y la cantidad de hits en una regla de firewall para el período de retención.
firewallinsights.googleapis.com/subnet/firewall_hit_countfirewallinsights.googleapis.com/subnet/firewall_last_used_timestampfirewallinsights.googleapis.com/vm/firewall_hit_countfirewallinsights.googleapis.com/vm/firewall_last_used_timestamp
La métrica para realizar un seguimiento de los recuentos de hits de firewall se define por instancia de máquina virtual (VM) y por subred de nube privada virtual (VPC).
Las métricas por instancia (VM) proporcionan recuento de hits y la información de la última marca de tiempo utilizada para la interfaz de red de una VM. Las métricas por subred proporcionan información de recuento de hits para reglas de firewall individuales.
Usa los siguientes recursos para acceder a los datos de las métricas de Estadísticas de firewall:
- Consulta las métricas de las Estadísticas de firewall en la página Métricas de Google Cloud.
- Para obtener una descripción general de las métricas, las series temporales y los recursos, consulta el modelo de métricas en la documentación de la API de Cloud Monitoring versión 3.
- Si deseas obtener información para leer estas métricas, consulta Lee datos de métricas.
Roles y permisos requeridos
Para obtener el permiso que necesitas para administrar y exportar estadísticas, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:
-
Administrador de recomendador de firewall (
roles/recommender.firewallAdmin) -
Visualizador del recomendador de firewall (
roles/recommender.firewallViewer)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene el permiso recommender.computeFirewallInsights.list, que se requiere para administrar y exportar estadísticas.
También puedes obtener este permiso con roles personalizados o con otros roles predefinidos.
Cómo ver las métricas de recuento de hits de firewall
La métrica firewall_hit_count realiza un seguimiento de la cantidad de veces que se usó una regla de firewall para permitir o denegar el tráfico.
Para cada regla de firewall, Cloud Monitoring almacena datos de la métrica firewall_hit_count solo si la regla tuvo hits debido al tráfico de TCP o UDP. Es decir, Cloud Monitoring no almacena datos sobre reglas que no tuvieron hits.
Puedes ver los datos derivados de esta métrica en la página Políticas de firewall de la consola de Google Cloud.
Es posible que los datos de la página Firewall no sean idénticos a los datos de métrica de firewall_hit_count almacenados en Cloud Monitoring. Cloud Monitoring no identifica de forma explícita las reglas sin hits. Por ejemplo, la consola de Google Cloud muestra un recuento de hits de cero incluso si Cloud Monitoring no registra ningún hit. Puedes ver esta diferencia en las reglas de firewall que se configuran para permitir o rechazar TCP, UDP, ICMP o cualquier otro tipo de tráfico.
Este comportamiento difiere de la estadística allow rules with no hits.
Cuando esta estadística identifica reglas de firewall sin hits, omite las reglas de firewall configuradas para permitir tráfico distinto de TCP o UDP, incluso si esas reglas también permiten tráfico de TCP o UDP.
Cómo ver las métricas más recientes del firewall
Si usas el Explorador de métricas en Cloud Monitoring, puedes ver la última vez que se aplicó una regla de firewall específica para permitir o rechazar el tráfico si consultas las métricas de firewall_last_used_timestamp. Esta métrica te ayuda a identificar qué reglas de firewall no se usaron recientemente.
En la página Políticas de firewall de la consola de Google Cloud, puedes ver cuándo usaste por última vez una regla de firewall en las últimas seis semanas o durante el período en el que se habilitó el registro de reglas de firewall, lo que dure menos. Si el último golpe ocurrió antes de las últimas seis semanas o antes de que se habilitara el registro de reglas de firewall, la hora de last hit se muestra como —.
Frecuencia y retención de informes
La métrica firewall rule hit count se exporta a Monitoring cada un minuto. Supervisar la retención de datos toma seis semanas. Puedes analizar cualquier intervalo de tiempo dentro de las seis semanas anteriores en intervalos de un minuto.
Filtración y agregado
Para cada regla de firewall, si agregas los recuentos de hits de las instancias de VM, puedes observar los recuentos de hits generales que se acumulan para todo el tráfico que fluye en tu red de VPC.
Por ejemplo, consulta Detecta aumentos repentinos en el recuento de hits de las reglas de firewall de deny.
Usa los paneles y las alertas de Monitoring
Puedes usar los paneles de Monitoring y sus gráficos asociados para visualizar los datos de las métricas de las Estadísticas de firewall descritas en las secciones anteriores.
Para supervisar estas métricas en Monitoring, puedes crear paneles personalizados. También puedes agregar alertas en función de estas métricas.