Visualiza métricas de Firewall Insights

Las métricas de Estadísticas de firewall te permiten analizar cómo se usan tus reglas. Puedes ver las métricas con Cloud Monitoring y la consola de Google Cloud.

Las siguientes métricas te ayudan a hacer un seguimiento del uso del firewall:

  • Las métricas del recuento de hits de firewall te muestran la cantidad de veces que se usó una regla de firewall para permitir o denegar el tráfico.
  • Las métricas de último uso del firewall muestran la última vez que se usó una regla de firewall en particular para permitir o rechazar el tráfico.

Ten en cuenta los siguientes aspectos sobre las métricas de Estadísticas de firewall:

  • Las métricas derivan del registro de reglas de firewall.
  • Las métricas están disponibles solo para las reglas que tienen habilitado el registro de reglas de firewall y son precisas solo para el momento en el que está habilitado el registro de reglas de firewall.
  • Las métricas de firewall se generan solo para el tráfico que se ajusta a las especificaciones del Registro de reglas de firewall. Por ejemplo, los datos se registran y las métricas se generan solo para el tráfico de TCP y UDP. Para obtener una lista completa de criterios, consulta Especificaciones en la Descripción general del registro de reglas de firewall.

Puedes crear consultas arbitrarias sobre las métricas de Estadísticas de firewall con el método de solicitud projects.timeSeries.list en la documentación de la API de la versión 3 de Cloud Monitoring.

Estadísticas de firewall recopila datos de métricas sobre la última vez que se aplicó una regla de firewall para permitir o rechazar el tráfico (marca de tiempo) y la cantidad de hits en una regla de firewall durante el período de retención.

  • firewallinsights.googleapis.com/subnet/firewall_hit_count
  • firewallinsights.googleapis.com/subnet/firewall_last_used_timestamp
  • firewallinsights.googleapis.com/vm/firewall_hit_count
  • firewallinsights.googleapis.com/vm/firewall_last_used_timestamp

La métrica para realizar un seguimiento de los recuentos de hits de firewall se define por instancia de máquina virtual (VM) y por subred de nube privada virtual (VPC).

Las métricas por instancia (VM) proporcionan el recuento de hits y la información de la marca de tiempo del último uso para la interfaz de red de una VM. Las métricas por subred proporcionan información de recuento de hits para reglas de firewall individuales.

Usa los siguientes recursos para acceder a los datos de las métricas de Estadísticas de firewall:

  • Consulta las métricas de Estadísticas de firewall en la página de métricas de Google Cloud.
  • Para obtener una descripción general de las métricas, las series temporales y los recursos, consulta el modelo de métricas en la documentación de la API de Cloud Monitoring versión 3.
  • Si deseas obtener información para leer estas métricas, consulta Lee datos de métricas.

Roles y permisos requeridos

Si quieres obtener el permiso que necesitas para administrar y exportar estadísticas, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:

Si quieres obtener más información para otorgar roles, consulta Administra el acceso.

Este rol predefinido contiene el permiso recommender.computeFirewallInsights.list, que se necesita para administrar y exportar estadísticas.

Es posible que también puedas obtener este permiso con funciones personalizadas o con otras funciones predefinidas.

Visualiza las métricas del recuento de aciertos de firewall

Con la métrica firewall_hit_count, se realiza un seguimiento de la cantidad de veces que se usa una regla de firewall para permitir o denegar el tráfico.

Para cada regla de firewall, Cloud Monitoring almacena datos de la métrica firewall_hit_count solo si la regla tuvo hits debido al tráfico de TCP o UDP. Es decir, Cloud Monitoring no almacena datos sobre reglas que no tuvieron hits.

Puedes ver los datos derivados de esta métrica en la página Políticas de firewall de la consola de Google Cloud.

Es posible que los datos de la página Firewall no sean idénticos a los datos de métricas firewall_hit_count almacenados en Cloud Monitoring. Cloud Monitoring no identifica de forma explícita las reglas sin hits. Por ejemplo, la consola de Google Cloud muestra un recuento de aciertos cero, incluso si Cloud Monitoring no registra ningún hit. Puedes ver esta diferencia en las reglas de firewall configuradas para permitir o rechazar el tráfico de TCP, UDP, ICMP o cualquier otro tipo.

Este comportamiento difiere de la estadística allow rules with no hits. Cuando esta estadística identifica las reglas de firewall sin hits, omite las reglas de firewall que están configuradas para permitir tráfico distinto de TCP o UDP, incluso si esas reglas también permiten el tráfico de TCP o UDP.

Ver las métricas del último uso del firewall

Si usas el Explorador de métricas en Cloud Monitoring, puedes ver la última vez que se usó una regla de firewall particular para permitir o rechazar el tráfico si consultas la métrica firewall_last_used_timestamp. Esta métrica te ayuda a identificar qué reglas de firewall no se usaron recientemente.

En la página Políticas de firewall de la consola de Google Cloud, puedes ver cuándo usaste una regla de firewall por última vez en las últimas seis semanas o durante el tiempo que se habilitó el Registro de reglas de firewall, lo que sea menor. Si el último hito ocurrió antes de las últimas seis semanas o antes de que se habilitara el registro de reglas de firewall, la hora last hit se muestra como .

Frecuencia y retención de informes

La métrica firewall rule hit count se exporta a Monitoring cada un minuto. Supervisar la retención de datos toma seis semanas. Puedes analizar cualquier intervalo de tiempo dentro de las seis semanas anteriores en intervalos de un minuto.

Filtración y agregado

En cada regla de firewall, si agregas los recuentos de hits de las instancias de VM, podrás observar los recuentos de hits generales que se acumulan para todo el tráfico que fluye en tu red de VPC.

Por ejemplo, consulta Detecta aumentos repentinos en el recuento de hits de deny reglas de firewall.

Usa los paneles y las alertas de Monitoring

Puedes usar los paneles de Monitoring y sus gráficos asociados para visualizar los datos de las métricas de Estadísticas de firewall descritas en las secciones anteriores.

Para supervisar estas métricas en Monitoring, puedes crear paneles personalizados. También puedes agregar alertas en función de estas métricas.