Cette page a été traduite par l'API Cloud Translation.

Afficher les métriques Firewall Insights

Les métriques Firewall Insights vous permettent d'analyser l'utilisation de vos règles de pare-feu. Vous pouvez afficher les métriques à l'aide de Cloud Monitoring et de la console Google Cloud.

Les métriques suivantes vous aident à suivre l'utilisation de votre pare-feu:

Les métriques de nombre d'appels du pare-feu indiquent le nombre de fois où une règle de pare-feu a été utilisée pour autoriser ou refuser le trafic.
Les dernières métriques utilisées par le pare-feu indiquent la dernière fois qu'une règle de pare-feu particulière a été utilisée pour autoriser ou refuser le trafic.

Notez les points suivants concernant les métriques Firewall Insights:

Les métriques sont dérivées de la journalisation des règles de pare-feu.
Les métriques ne sont disponibles que pour les règles pour lesquelles la journalisation des règles de pare-feu est activée et ne sont précises que pour la période pendant laquelle la journalisation des règles de pare-feu est activée.
Les métriques de pare-feu ne sont générées que pour le trafic correspondant aux spécifications de la journalisation des règles de pare-feu. Par exemple, les données ne sont consignées et les métriques ne sont générées que pour le trafic TCP et UDP. Pour obtenir la liste complète des critères, consultez la section Spécifications de la présentation de la journalisation des règles de pare-feu.

Vous pouvez créer des requêtes arbitraires sur les métriques Firewall Insights à l'aide de la méthode de requête projects.timeSeries.list que vous trouverez dans la documentation de l'API Cloud Monitoring version 3.

Firewall Insights recueille des données de métriques correspondant à la dernière fois qu'une règle de pare-feu a été appliquée pour autoriser ou refuser le trafic (horodatage) et au nombre d'appels d'une règle de pare-feu pour la période de conservation.

firewallinsights.googleapis.com/subnet/firewall_hit_count
firewallinsights.googleapis.com/subnet/firewall_last_used_timestamp
firewallinsights.googleapis.com/vm/firewall_hit_count
firewallinsights.googleapis.com/vm/firewall_last_used_timestamp

La métrique de suivi du nombre d'appels du pare-feu est définie par instance de machine virtuelle (VM) et par sous-réseau cloud privé virtuel (VPC, Virtual Private Cloud).

Les métriques par instance (VM) fournissent le nombre d'appels et les dernières informations d'horodatage utilisées pour l'interface réseau d'une VM. Les métriques par sous-réseau fournissent des informations sur le nombre d'appels des règles de pare-feu individuelles.

Pour accéder aux données des métriques Firewall Insights, utilisez les ressources suivantes:

Affichez les métriques Firewall Insights sur la page Métriques Google Cloud.
Pour obtenir une présentation des métriques, des séries temporelles et des ressources, consultez le modèle de métrique dans la documentation de l'API Cloud Monitoring version 3.
Pour plus d'informations sur la lecture de ces métriques, consultez la page Lire les données de métrique.

Rôles et autorisations requis

Pour obtenir l'autorisation nécessaire pour gérer et exporter des insights, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet:

Administrateur de l'outil de recommandation de pare-feu (roles/recommender.firewallAdmin)
Lecteur de l'outil de recommandation de pare-feu (roles/recommender.firewallViewer)

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient l'autorisation recommender.computeFirewallInsights.list, qui est nécessaire pour gérer et exporter des insights.

Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.

Afficher les métriques de comptage des appels du pare-feu

La métrique firewall_hit_count permet de suivre le nombre de fois où une règle de pare-feu est utilisée pour autoriser ou refuser le trafic.

Pour chaque règle de pare-feu, Cloud Monitoring ne stocke les données de la métrique firewall_hit_count que si la règle a fait l'objet d'appels en raison du trafic TCP ou UDP. Autrement dit, Cloud Monitoring ne stocke pas de données sur les règles n'ayant fait l'objet d'aucun appel.

Vous pouvez afficher les données dérivées de cette métrique sur la page Stratégies de pare-feu de la console Google Cloud.

Les données de la page "Firewall" ne sont pas nécessairement identiques aux données de la métrique firewall_hit_count stockées dans Cloud Monitoring. Cloud Monitoring n'identifie pas explicitement les règles n'ayant fait l'objet d'aucun appel. Par exemple, Google Cloud Console affiche un nombre d'appels de zéro, même si Cloud Monitoring n'enregistre aucun. Vous pouvez constater cette différence pour les règles de pare-feu configurées pour autoriser ou refuser les connexions TCP, UDP, ICMP ou tout autre type de trafic.

Ce comportement diffère de l'insight allow rules with no hits. Lorsque cet insight identifie des règles de pare-feu n'ayant fait l'objet d'aucun appel, il omet les règles de pare-feu configurées pour autoriser le trafic autre que TCP ou UDP, même si ces règles autorisent également le trafic TCP ou UDP.

Afficher les dernières métriques utilisées par le pare-feu

En utilisant l'explorateur de métriques dans Cloud Monitoring, vous pouvez voir la dernière fois qu'une règle de pare-feu particulière a été utilisée pour autoriser ou refuser le trafic en affichant la métrique firewall_last_used_timestamp. Cette métrique vous aide à identifier les règles de pare-feu qui n'ont pas été utilisées récemment.

Sur la page Pare-feu de la console Google Cloud, vous pouvez voir la date et l'heure de la dernière utilisation d'une règle de pare-feu au cours des six dernières semaines ou pendant la durée d'activation de la journalisation des règles de pare-feu, la durée la plus courte étant retenue. Si le dernier appel s'est produit avant les six dernières semaines ou avant l'activation de la journalisation des règles de pare-feu, l'heure last hit s'affiche comme —.

Fréquence et conservation des rapports

La métrique firewall rule hit count est exportée vers Cloud Monitoring toutes les minutes. La conservation des données dans Monitoring est de six semaines. Vous pouvez analyser n'importe quelle période au cours des six semaines précédentes par intervalles d'une minute.

Filtrage et agrégation

Pour chaque règle de pare-feu, en agrégeant les décomptes d'appels pour les instances de VM, vous pouvez examiner le nombre d'appels total qui s'accumule pour l'ensemble du trafic circulant dans votre réseau VPC.

Pour obtenir un exemple, consultez Détecter les augmentations soudaines du nombre d'appels des règles de pare-feu deny.

Utiliser les tableaux de bord et les alertes Monitoring

Les tableaux de bord Monitoring et les graphiques associés vous permettent de visualiser les données des métriques Firewall Insights décrites dans les sections précédentes.

Pour surveiller ces métriques dans Monitoring, vous pouvez créer des tableaux de bord personnalisés. Vous pouvez également ajouter des alertes en fonction de ces métriques.