通过防火墙数据分析指标,您可以分析防火墙规则的使用情况。您可以使用 Cloud Monitoring 和 Google Cloud 控制台查看指标。
以下指标可帮助您跟踪防火墙使用情况:
- 防火墙命中数指标显示防火墙规则用于允许或拒绝流量的次数。
- 防火墙上次使用时间指标显示上次使用特定防火墙规则来允许或拒绝流量的时间。
请注意防火墙数据分析指标的以下方面:
- 这些指标衍生自防火墙规则日志记录。
- 这些指标仅适用于启用了防火墙规则日志记录的规则,并且仅在启用防火墙规则日志记录的时间段内是准确的。
- 仅为符合防火墙规则日志记录规范的流量生成防火墙指标。例如,系统仅记录 TCP 和 UDP 流量的数据并生成指标。如需查看标准的完整列表,请参阅“防火墙规则日志记录”概览中的规范。
您可以使用 Cloud Monitoring 版本 3 API 文档中的 projects.timeSeries.list
请求方法,针对防火墙数据分析指标构建任意查询。
防火墙数据分析收集上次应用防火墙规则以允许或拒绝流量(时间戳)的指标数据,以及保留期限内防火墙规则上的命中数。
firewallinsights.googleapis.com/subnet/firewall_hit_count
firewallinsights.googleapis.com/subnet/firewall_last_used_timestamp
firewallinsights.googleapis.com/vm/firewall_hit_count
firewallinsights.googleapis.com/vm/firewall_last_used_timestamp
每个虚拟机 (VM) 实例和每个 Virtual Private Cloud (VPC) 子网都定义了跟踪防火墙命中数的指标。
每个实例 (VM) 指标提供了虚拟机网络接口的命中数和上次使用的时间戳信息。每个子网的指标为单个防火墙规则提供了命中数信息。
您可以使用以下资源访问防火墙数据分析指标数据:
- 在 Google Cloud 指标页面上查看防火墙数据分析的指标。
- 如需简要了解指标Z、时间序列和资源,请参阅 Cloud Monitoring 版本 3 API 文档中的指标模型。
- 如需了解如何读取这些指标,请参阅读取指标数据。
所需的角色和权限
如需获得管理和导出数据分析所需的权限,请让您的管理员为您授予项目的以下 IAM 角色:
-
Firewall Recommender Admin (
roles/recommender.firewallAdmin
) -
Firewall Recommender Viewer (
roles/recommender.firewallViewer
)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
此预定义角色包含管理和导出数据分析所需的 recommender.computeFirewallInsights.list
权限。
查看防火墙命中数指标
firewall_hit_count
指标跟踪防火墙规则用于允许或拒绝流量的次数。
对于每条防火墙规则,仅当规则因 TCP 或 UDP 流量而命中时,Cloud Monitoring 才会存储 firewall_hit_count
指标的数据。也就是说,Cloud Monitoring 不会存储未命中的规则的数据。
您可以在 Google Cloud 控制台中的防火墙页面上查看源自此指标的数据。
“防火墙”页面上的数据可能与 Cloud Monitoring 中存储的 firewall_hit_count
指标数据不同。Cloud Monitoring 不会明确标识没有命中的规则。例如,即使 Cloud Monitoring 未记录任何命中,Google Cloud 控制台也会显示零命中。您可以看到配置为允许或拒绝 TCP、UDP、ICMP 或任何其他类型的流量的防火墙规则存在这种差异。
此行为与 allow rules with no hits
数据分析不同。如果此数据分析确定没有命中的防火墙规则,则省略配置为允许 TCP 或 UDP 以外的流量的防火墙规则,即使这些规则也允许 TCP 或 UDP 流量。
查看防火墙上次使用时间指标
使用 Cloud Monitoring 中的 Metrics Explorer,您可以通过查看 firewall_last_used_timestamp
指标来查看上次使用特定防火墙规则允许或拒绝流量的时间。此指标可帮助您确定哪些防火墙规则最近未被使用过。
在 Google Cloud 控制台中的防火墙政策页面上,您可以查看过去六周内或者启用防火墙规则日志记录期间(以较短者为准)上次使用防火墙规则的时间。如果最后一次命中发生在过去六周之前或启用防火墙规则日志记录之前,则 last hit
时间显示为 —
。
报告频率和保留时间
firewall rule hit count
指标每分钟都会导出至 Monitoring。Monitoring 数据保留时间为六周。您可以以一分钟为间隔分析前六周内的任何时间间隔。
过滤和汇总
对于每条防火墙规则,通过汇总虚拟机实例的命中数,您可以观察 VPC 网络中流动的所有流量的总命中数。
如需查看示例,请参阅检测 deny
防火墙规则的命中数突然增加情况。
使用 Monitoring 信息中心和提醒
您可以使用 Monitoring 信息中心及其关联图表来直观呈现前面几部分中介绍的防火墙数据分析指标的数据。
要在 Monitoring 中监控这些指标,您可以创建自定义信息中心。您还可以基于这些指标添加提醒。