当您需通过事件源如对象存储ZOS触发函数执行时，可授予该事件源触发函数的权限，该权限是触发器级别的，每个触发器的委托均可以被授予相应权限，该委托也可以同时被授予不同触发器。本文以授予ZOS访问函数计算的权限为例，介绍授予事件源访问函数计算权限的应用场景和操作步骤。 应用场景 以ZOS事件源触发函数计算代码执行为例，当存在一个ZOS Bucket A和函数B，需要将此Bucket A的上传文件事件触发函数计算的函数B时，您需要创建一个ZOS触发器并授予相应权限策略。访问控制提供系统授权策略CtyunServicelnlineDelegationPolicyForEb，该策略具有S3事件源触发函数计算代码执行的权限。在创建触发器时，您可以为触发器绑定一个委托，既可以新建一个新委托也可以使用已有委托。然后将策略CtyunServicelnlineDelegationPolicyForEb绑定到该委托内，成功绑定该策略后ZOS事件源就可以触发函数计算代码执行。 操作步骤 1. 登录函数计算控制台，在左侧导航栏，单击函数。 2. 在顶部菜单栏，选择地域，然后在函数页面，单击目标函数。 3. 在函数配置页面，选择配置 页签，在左侧导航栏，单击触发器 ，然后单击创建触发器。 4. 在创建触发器面板，填写相关信息，然后单击确定。 说明 其他类型的触发器的权限配置过程基本一致，按需选择相应的服务类型即可。 配置项 操作 本文示例 触发器类型 选择对象存储 ZOS。 对象存储ZOS 名称 填写自定义的触发器名称。 zostrigger 版本或别名 默认值为LATEST ，如果您需要创建其他版本或别名的触发器，需先在函数详情页的版本或别名 下拉列表选择该版本。关于版本和别名的简介，请参见版本管理和别名管理。 LATEST Bucket 名称 选择已创建的ZOS Bucket。 testbucket 文件前缀 输入要匹配的文件名称的前缀。建议您配置文件前缀和后缀，避免触发事件嵌套循环触发引起额外费用。此外，一个Bucket的不同触发器如果指定了相同的事件类型，则前缀和后缀不能重复。 myfolder 文件后缀 输入要匹配的文件名称的后缀。强烈建议您配置前缀和后缀，避免触发事件嵌套循环触发引起额外费用。另外，一个Bucket的不同触发器如果指定了相同的事件类型，则前缀和后缀不能重复。 zip 触发事件 选择一个或多个触发事件。关于对象存储ZOS的事件类型。本示例选择zos:ObjectCreated:Put。 zos:ObjectCreated:Put 委托名称 选择CtyunServiceDelegateRoleForEb。如果您第一次创建该类型的触发器，则需要在单击确定后，在弹出的对话框中选择立即授权。 CtyunServiceDelegateRoleForEb

参数名 说明 录制回调 当有录像文件生成时，会向服务器发送事件状态。 设备状态回调 当设备状态发生改变时，会向服务器发送事件状态。 流状态回调 当流状态发生改变时，会向服务器发送事件状态。 AI事件通知回调 当有AI事件发生时，会向服务器发送事件状态。

本章节介绍如何配置追踪器。 操作场景 云审计服务管理控制台支持对已创建的数据类追踪器增加OBS转储、LTS转储等相关配置。 用户可以选择是否将已记录的事件发送到OBS桶永久保存。 配置追踪器完成后，系统立即以新的规则开始记录操作。 本节介绍如何配置数据类事件追踪器。 前提条件 已开通云审计服务，且已创建一个数据类事件追踪器。 配置数据类事件追踪器 1. 登录管理控制台。 2. 在管理控制台右上角单击图标，选择区域和项目。 3. 单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务详情页面。 4. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 5. 在数据类追踪器信息右侧，单击操作下的“配置”。 6. 在选择追踪对象页面，设置相关参数，参数详情见表 选择转储事件参数表，单击“下一步”。 7. 在配置转储页面可以修改该追踪器的转储信息。用户通过云审计控制台只能查询最近7天的操作记录，如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或配置转储到云日志服务（LTS）。具体参数说明参见表 配置转储到OBS参数列表和表 配置转储到LTS参数列表。 8. 单击“下一步 > 配置”，完成配置数据类事件追踪器。 追踪器配置成功后，您可以在追踪器信息页面查看配置的追踪器的详细信息。 说明 因为CTS所存储的事件是周期性转储到OBS桶的，因此当您配置了追踪器所对应的OBS桶后，当前转储周期内（通常为数分钟）已收到事件会转储到配置后的OBS桶中。例如当前转储周期为12:00~12:05，用户在12:02分修改了当前追踪器对应的OBS桶，那么12:00~12:02分之间收到的事件会在12:05分时转储到新配置的OBS桶中。 9. （可选）在追踪器页面，单击标签列下的，可以为该追踪器添加标签。 标签以键值对的形式表示，用于标识追踪器，便于对追踪器进行分类和搜索。此处的标签仅用于追踪器的过滤和管理。一个追踪器最多添加20个标签。 如果您的组织已经设定云审计服务的相关标签策略，则需按照标签策略规则为追踪器添加标签。详情参考表 标签说明。 表 选择转储事件参数表 参数名称 参数说明 数据事件来源 数据事件的存储容器，默认为OBS桶。 OBS桶名称 默认为您创建数据类追踪器时设置的OBS桶名称，不可以修改。 事件操作类型 数据操作类型分为“读操作”和“写操作”，读操作指的是从OBS桶中获取或下载对象数据，写操作指的是向OBS桶中上传或写入对象数据。 勾选“读操作”后，CTS只会记录读操作类型的数据事件。 勾选“写操作”后，CTS只会记录写操作类型的数据事件。 您可以在OBS服务的页面的“表2 云审计服务支持的OBS数据事件操作列表”中，查看当前支持云审计的全部OBS操作数据事件，以及查看具体有哪些读操作类型事件和写操作类型事件。 表 配置转储到OBS参数列表 参数名称 参数说明 转储到OBS 当“转储到OBS”开关打开时，您可以选择已存在的OBS桶，并配置事件文件前缀。 如果“转储到OBS”开关关闭时，则无需配置相应参数。 选择OBS 选择已有OBS桶：选择当前区域已创建的OBS桶。 OBS桶名称 当“选择OBS”选择“新建OBS桶”时，直接新建OBS桶名称。OBS桶名称不能为空，仅支持小写字母、数字、“”和“.”，且长度范围为363个字符。禁止两个“.”相邻（如“my..bucket”），禁止“.”和“”相邻（如“my.bucket”和“my.bucket”），禁止使用ip为桶名称。 当“选择OBS”选择“选择已有OBS桶”时，可以选择已存在的OBS桶。 保存周期 转储至OBS桶中日志的保存周期。该配置会修改被选择桶的桶策略，影响范围为桶内的所有文件。不同类型、不同级别的合规认证标准对审计日志的保存时间有不同的要求，建议设置保存周期不低于180天。 数据类事件追踪器：保存周期支持设置为30天、60天、90天、180天、三年和沿用OBS配置。 事件文件名前缀 用于标识被转储的事件文件，该字段支持用户自定义，会自动添加在转储事件文件的文件名前端，方便用户快速进行筛选。事件文件名前缀只能由英文字母、数字、下划线（）、中划线（）和小数点（.）组成，且长度范围为064个字符。 表 配置转储到LTS参数列表 参数名称 参数说明 转储到LTS 当“转储到LTS”开关打开时，表示操作事件将转储到日志流中。 日志组名称 当“转储到LTS”开关打开时，日志组名称默认为“CTS”。如果“转储到LTS”开关关闭时，则无需配置该参数。 表 标签说明 参数 说明 举例 标签键 输入标签的键，同一个追踪器标签的键不能重复。键可以自定义，也可以选择预先在标签服务（TMS）创建好的标签的键。 键命名规则如下： 长度范围为1到128个字符。 可以包含任意语种字母、数字、空格和.:+@，但首尾不能含有空格，不能以sys开头。 Key0001 标签值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 长度范围为0到255个字符。 可以包含任意语种字母、数字、空格和.:/+@。 Value0001

本页面主要介绍天翼云数据传输服务DTS对接的云审计服务使用和查看方法。 操作场景 数据传输服务DTS现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 操作事件 字段 创建实例 dtsCreateInstance 删除实例 dtsDeleteInstance 任务启动 dtsStartJob 任务暂停 dtsStopJob 操作步骤 1. 开通云审计服务。 参见开通云审计服务云审计。 2. 查看云审计事件。 参见查看审计事件云审计。 3. 在事件列表页，根据需要选择时间段、设置筛选条件，如：读写类型、事件级别、操作用户、事件来源、资源类型、资源名称、事件名称等。点击查询即可。 4. 在审计事件查询结果列表右侧操作列点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

本文为您介绍云审计服务涉及的相关概念。 事件 事件是用户通过天翼云控制台、OpenAPI对云上服务进行操作所产生的记录。事件包含事件来源、操作人员、资源信息、操作时间、操作请求、操作结果等。 跟踪 跟踪是云审计的一种配置，可用于将云审计事件投递至对象存储桶实现180天以上存储。支持用户选择投递事件类型范围、投递目标等。

扣分项 含义 扣分子项 条件 分数计算规则 内存使用率（memUsage） 一天的平均内存使用率。 严重事件 memUsage>90% min[3 + (memUsage0.9)50, 10] 内存使用率（memUsage） 一天的平均内存使用率。 警告事件 80%<memUsage<90% 1+(memUsage0.8)20 CPU使用率（cpuUsage） 一天的CPU平均使用率。 说明 多核CPU需要换算为单核进行计算。 严重事件 cpuUsage>80% min[3+(cpuUsage0.8)30,10] CPU使用率（cpuUsage） 一天的CPU平均使用率。 说明 多核CPU需要换算为单核进行计算。 警告事件 70%<cpuUsage<80% 1+(cpuUsage0.7)20 空间使用率（spaceUsage） （已使用空间的平均值/总空间）100%。 严重事件 spaceUsage > 90% min[3+(spaceUsage0.9)40,10] 空间使用率（spaceUsage） （已使用空间的平均值/总空间）100%。 警告事件 70%<spaceUsage<90% 1+(spaceUsage0.7)20 连接使用率（connectionRate） 一天内连接数的平均值/最大允许的连接数。 严重事件 connectionRate>80% 3 连接使用率（connectionRate） 一天内连接数的平均值/最大允许的连接数。 警告事件 70%<connectionRate<80% 1 IOPS使用率（iopsUsage） （一天内IOPS的平均值/最大允许IOPS值）100%。 严重事件 iopsUsage>90% 5 IOPS使用率（iopsUsage） （一天内IOPS的平均值/最大允许IOPS值）100%。 警告事件 70%<iopsUsage<90% 3 活跃会话（threadRunning） 一天内产生的活跃会话的个数。 严重事件 threadRunning>min(4cpuCores+8,96) 9 活跃会话（threadRunning） 一天内产生的活跃会话的个数。 警告事件 threadRunning>min(2cpuCores+8,64) 3 慢SQL数量（slowSqlCount） 一天内产生的慢SQL的总条数。 严重事件 slowSqlCount>500 18+(slowSqlCount10)/30 慢SQL数量（slowSqlCount） 一天内产生的慢SQL的总条数。 警告事件 100<slowSqlCount<500 4+(slowSqlCount100)/30 慢SQL数量（slowSqlCount） 一天内产生的慢SQL的总条数。 优化事件 0

本节介绍云审计服务支持审计的自身服务操作列表,以及如何查看云审计自身服务操作事件。 云审计服务支持记录云审计自身服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务支持的自身服务操作列表 事件名称 读写类型 开通云审计 写类型 新建跟踪任务 写类型 修改跟踪任务 写类型 删除跟踪任务 写类型 保存授权凭据 写类型 查询事件列表 读类型 查询筛选事件的条件列表 读类型 查询跟踪任务列表 读类型 查询跟踪任务详情 读类型 查看云审计自身服务事件 1. 开通云审计服务。 参见开通云审计服务。 2. 在事件列表中，上方时间选择需要筛选的时间段，筛选条件选择事件来源为“管理与部署”，资源类型选择“云审计”，点击“查询”即可。 3. 在审计事件右侧点击“查看详情”，可以看到更详细的事件信息。

本文介绍如何查看日志，包括攻击事件日志、访问控制日志、流量日志。 日志查询为您提供7天的日志记录。 攻击事件日志：查看检测到的危险流量的危险等级、受影响的端口、命中的规则、攻击事件类型等信息。 访问控制日志：查看根据访问控制策略放行或阻断的所有流量，以便更好的调整访问控制策略。 流量日志：查看通过的所有流量记录。 日志支持筛选、刷新、导出、显示/隐藏列的方式，助您使用。 前提条件 开启弹性公网IP防护。 配置入侵防御策略。 攻击事件日志 1. 登录天翼云控制中心。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. 在左侧导航树中，选择“日志审计”，进入“攻击事件日志”页面。 4. 查看近一周的攻击事件详情。 参数 说明 发生时间 攻击事件发生的时间。 攻击类型 攻击事件所属类型，主要包括：IMAP、DNS、FTP、HTTP、POP3、TCP、UDP等。 危险等级 危险等级包括：严重、高、中、低。 规则ID 对应规则的ID号。 规则名称 规则库中相对应的命中规则名称。 源IP 攻击事件的来源IP。 源IP为WAF回源IP时，“源IP”会展示WAF回源IP和RealIP，其中RealIP展示XForwardedFor对应的第一个IP，即客户端的真实IP。 标签 IP类型标识。 其它标签：非WAF回源IP，无需特别处理。 WAF回源IP：“源IP”是WAF回源IP，如果本条记录的“响应动作”是阻断、阻断IP、丢弃，需手动设置放行。 操作方式：根据“规则ID”在IPS规则库中，在该规则的“操作”列，选择“观察”。 源国家/地区 攻击事件源IP所属的地理位置。 源端口 攻击事件的源端口。 目的IP 攻击事件中受到攻击的IP地址。 目的国家/地区 攻击事件目的IP所属的地理位置。 目的端口 攻击事件的目的端口。 协议 攻击事件的协议类型。 应用 攻击事件的应用类型。 方向 包括两个方向：出方向、入方向。 响应动作 防火墙的动作。 放行 阻断 阻断IP 丢弃 操作 操作：查看攻击事件的“基本信息”和“攻击payload”。

事件名称 事件ID 事件级别 删除桶 deleteBucket 重要 删除桶policy配置 deleteBucketPolicy 重要 设置桶的ACL setBucketAcl 次要 设置桶的策略 setBucketPolicy 次要

本文介绍函数运行时的addEventListener定义与用法。 此函数定义执行用户函数脚本的触发器。addEventListener仅支持注册一个事件监听器。当前仅支持fetch请求事件，通过注册fetch事件监听器，生成HTTP请求事件FetchEvent，进而实现对HTTP请求的处理。 定义 javascript addEventListener(type: string, listener: (event: FetchEvent) > void): void; 说明 如果注册多个"fetch"类型的监听器，当一个监听器未调用时event.respondWith()，运行时会将事件传递给下一个已注册的监听器。 如果对某个事件进行多次调用会形成调用链条。当某个回调函数调用respondWith函数时，调用链条会被终止，后面注册的回调函数不会再被调用。 参数 type string 事件类型，当前仅支持"fetch"，后续会支持"scheduled"。 listener function 事件监听器。用于处理事件回调。 示例 javascript // 注册请求事件监听器 addEventListener("fetch", event > { // 响应客户端请求 return event.respondWith( new Response("Hello world") ) }) 相关参考 示例代码：返回HTML页面 示例代码：返回JSON内容

流程执行简介 概述 工作流执行是指对流程的一次具体运行。创建流程后，您可以多次执行同一个流程，每次执行可根据实际需求传入不同的输入参数。 执行属性 下文列出了执行的属性，除了 执行名称 和 执行输入 是开始执行输入外，其他是执行的输出信息。 执行名称(executionName): 执行的名称。可以为空。 工作流执行时定义 (executionWorkflowDsl): 执行时对应工作流定义的快照,工作流定义详情见工作流定义。 执行输入(input): 执行的输入,不可为空，必须是JSON对象格式。 执行输出(output): 执行完成后的输出，JSON对象格式。 执行模式(executionMode): 执行模式。包含 快速模式(express)、标准模式(standard)。 执行状态(status): 执行的状态。包含started、completed、faulted、canceled 执行开始时间(startTime): 执行的开始时间。 执行结束时间(endTime): 执行的结束时间。 执行事件历史 通常，一个流程包含多个步骤。在执行过程中，每个步骤都会产生相应的事件，这些事件详细记录了步骤的执行状态。通过这些事件，您可以清晰了解流程当前所处的步骤、输入输出、执行时长及失败原因等信息。同时，云工作流服务会利用这些状态数据实时跟踪流程执行，保障系统的高可用性。 您可以通过下述信息了解执行事件（Event）的属性。其中，事件详情（EventDetail）为 JSON 对象格式字符串，不同事件类型（Type）对应的事件详情内容可能有所差异。 事件类型(eventType): 事件类型。包含 started、 submitted、failed、succeeded 。 状态名称(taskName)：步骤名称。对应流程定义语言中的步骤名称。 状态类型(taskType): 步骤类型，如http、cloudflow:executionworkflow、cf:invokeFunction、noop、sleep、switch、parallel、foreach。 事件执行时间(eventTime): 事件发生时间。 执行输入(input): 事件发生时的输入。 执行输出(output): 事件发生时的输出。

事件名称 事件ID 事件级别 禁用密钥 disableKey 重要 计划删除密钥 scheduleKeyDeletion 次要 退役授权 retireGrant 重要 撤销授权 revokeGrant 重要

本节介绍如何查看AntiDDoS云审计日志。 开启了云审计服务后，系统开始记录AntiDDoS资源的操作。云审计服务管理控制台保存最近7天的操作记录。 操作步骤 1. 登录管理控制台。 2. 选择区域。 3. 选择“管理与部署> 云审计服务”，进入云审计服务信息页面。 4. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 5. 在下拉框中选择“云服务”，输入“AntiDDoS”，按“Enter”。 6. 在查询结果中单击事件名称，查看事件详情。 事件列表支持通过高级搜索来查询对应的操作事件，您可以在筛选器组合一个或多个筛选条件： 事件名称、资源名称、资源ID、事件ID：需要输入某个具体的名称或ID。 资源名称：当该事件所涉及的云资源无资源名称或对应的API接口操作不涉及资源名称参数时，该字段为空。 资源ID：当该资源类型无资源ID或资源创建失败时，该字段为空。 云服务、资源类型：在下拉框中选择对应的云服务名称或资源类型。 操作用户：在下拉框中选择一个或多个具体的操作用户。 事件级别：可选项为“normal”、“warning”、“incident”，只可选择其中一项。 normal：表示操作成功。 warning：表示操作失败。 incident：表示比操作失败更严重的情况，如引起其他故障等。 时间范围：可选择查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近1周内任意时间段的操作事件。

常见问题 端口启用失败怎么办？ 可能原因一：端口被其他服务占用 解决办法：通过“编辑策略”操作，添加其他空闲的端口。 可能原因二：系统资源不足 解决办法：清理部分系统资源后，请通过“编辑策略”操作先去勾选服务器并保存，再通过“编辑策略”操作重新勾选绑定该服务器。 查看并处理蜜罐防护事件 操作场景 动态端口蜜罐功能默认主动连接蜜罐端口的主机都是内网失陷主机，一旦发现可疑的连接行为将会上报告警。 本节介绍如何查看并处理这些防护告警事件。 操作步骤 1、登录管理控制台。 2、在页面右上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 动态端口蜜罐”，进入“动态端口蜜罐”界面。 4、（可选）如果您已开通企业项目，可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。 5、在操作指引下方，查看防护信息概览。 您可以查看防护策略数量、防护服务器数量、防护事件数量等信息。 如果您有新增主机需要默认开启动态端口蜜罐功能时，可开启“新增主机自动绑定默认策略”，按钮状态为表示开启。 6、选择“防护事件”页签，查看蜜罐防护事件。 参数名称 参数说明 告警名称 告警事件名称。单击告警名称，可查看告警详情。 告警等级 告警威胁等级，蜜罐防护事件分为以下两个等级： 高危：远端主机多次连接蜜罐端口。 中危：远端主机连接了蜜罐端口。 告警摘要 告警事件关键信息摘要，您可以根据这些信息了解可能失陷的主机和该主机与蜜罐端口建立的连接行为。 影响资产 失陷主机连接的动态端口蜜罐服务器。 告警发生时间 告警发生的时间。 状态 告警处理状态，分为“已处理”和“待处理”。 操作 您可以对告警事件进行“处置”操作。 7、确认告警信息后，在“状态”为“待处理”的防护事件所在行的“操作”列，单击“处置”，弹出“处理告警事件”对话框。 如果您需要批量处理多个告警事件，可在告警事件列表左上角，单击“批量处理”。 8、选择处理措施。 参数名称 参数说明 处理方式 忽略：忽略本次防护告警事件，当下一次威胁事件发生时仍为您告警。 手动处理：您自行手动对失陷主机进行隔离端口等处理。 加入告警白名单：触发告警事件的主机是您信任的主机，将该告警事件加入到告警白名单中，后续类似威胁事件发生时不再告警。 批量处理 如果您需要同时处理相同告警事件，可以勾选。 备注描述（可选） 为了方便后续易辨别本次处理操作的情况，可作补充描述。 9、单击“确认”，完成处理。

本节介绍了创建事件监控告警通知的操作场景、操作步骤等内容。 操作场景 本章节指导用户针对事件监控创建告警规则。 操作步骤 步骤 1 登录管理控制台。 步骤 2 选择“管理与监管 > 云监控服务 CES”，进入“云监控服务”信息页面。 步骤 3 在左侧导航栏选择“事件监控”，进入“事件监控”页面。 步骤 4 在事件列表页面，单击页面右上角的“创建告警规则”。 步骤 5 在“创建告警规则”界面，配置参数。 表 告警内容参数说明 参数 参数说明 名称 系统会随机产生一个名称，用户也可以进行修改。 描述 告警规则描述（此参数非必填项）。 告警类型 用于指定告警规则对应的告警类型。 事件类型 用于指定告警规则对应指标的事件类型。 事件来源 事件来源的云服务名称。 选择“关系型数据库”或者“数据库代理”。 触发规则 关联模板：所关联模板内容修改后，该告警规则中所包含策略也会跟随修改。 建议选择导入已有模板，模板中已经包含CPU使用率、内存使用率、磁盘利用率三个常用告警指标。 自定义创建：自行配置告警策略。 模板 触发规则选择关联模板时，需要选择模板。 您可以选择系统预置的默认告警模板，或者选择自定义模板。 单击 开启“发送通知”，生效时间默认为全天，若没有您想要选择的主题，可以单击下一行的“创建主题”进行添加。 表 发送通知 参数 参数说明 发送通知 配置是否发送邮件、短信、HTTP和HTTPS通知用户。 通知对象 需要发送告警通知的对象，可选择“云账号联系人”或主题。 云账号联系人：注册账号时的手机和邮箱。 主题：消息发布或客户端订阅通知的特定事件类型，若此处没有需要的主题，需先创建主题并订阅该主题。 生效时间 该告警规则仅在生效时间内发送通知消息。 如生效时间为08:0020:00，则该告警规则仅在08:0020:00发送通知消息。 触发条件 出现告警 步骤 6 配置完成后，单击“立即创建”，完成告警规则的创建。 结束

告警和事件关系说明 本部分介绍告警和事件的含义、区别，告警转事件的原因和告警关联事件的原因。 告警和事件的含义与区别 类别 告警 事件 定义 告警是运维中的一种异常信号的通知，通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如，当服务器的CPU使用率超过90%时，系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性，能够明确指出异常发生的位置、类型和影响。同时，告警可以按照严重程度来进行分类，如紧急、重要、一般等，以便运维人员根据告警的严重程度来决定哪些需要优先处理。 告警的目的是及时通知相关人员，以便能够迅速响应并采取措施解决问题。 事件是一个更广泛的概念，可以包括告警，但不限于此。事件可以是系统正常操作的一部分，也可以是异常或错误。在运维和安全领域，事件通常指的是已经发生并需要被关注、调查和处理的问题或故障。事件可能由一条或多条告警触发，也可能由其他因素（如用户操作、系统日志等）引发。 事件的目的更广泛，可以是为了记录、分析、报告或审计，通常用于记录和报告系统的历史行为，以便于分析和审计。 处理流程 告警的处理流程通常包括接收、确认、分析、响应和关闭等步骤。当监控系统发出告警时，运维人员首先需要确认告警的真实性，然后分析告警的原因和影响范围，最后采取相应的措施来解决问题，并关闭告警。 事件的处理流程则更加复杂和全面。除了包含告警处理流程中的各个环节外，事件处理还需要进行事件调查、影响评估、风险分析、制定应急计划、执行应急响应、事后总结等步骤。事件处理的目标是彻底解决问题，防止类似事件再次发生，并减少事件对业务的影响。 重要性与紧急程度 告警一般需要立即评估和响应。 每条告警的紧急程度和重要性各不相同，取决于告警的类型、级别和影响的范围。一些告警可能只是简单的提醒或预警，而另一些告警则可能表示系统已经遭受严重攻击或面临重大故障风险。 事件可能需要记录、分析或在某些情况下采取行动，但不一定需要立即响应。 事件通常比告警具有更高的重要性和紧急程度。因为事件已经发生并产生了实际的影响，需要立即采取措施来应对和解决问题。如果事件得不到及时处理，可能会给组织带来重大的经济损失或声誉损害。 告警转事件或关联事件的原因 告警通常是在系统或服务出现异常或潜在故障时产生的通知。这些异常可能会直接影响业务的正常运行，因此告警需要被及时处理，以防止业务异常。告警通常需要采取相应的措施来清除故障，否则可能会因为这些异常或故障引起业务的异常。 事件则是在系统或服务在正常运行状态下产生的通知，它可能涉及到一些重要的状态变化，但不一定会引起业务异常。因此，事件一般不需要进行处理，主要用于帮助分析、定位问题。 类别 说明 告警转事件原因 当告警的严重性达到一定程度，或者持续出现，或者其影响范围广泛时，它可能不再仅仅是一个需要关注的信号，也可能表明系统或网络中存在一个持续性的问题，此时，它已经演变成了一个需要立即处理的事件，这种情况下，可以将告警转化为事件来处理，以便深入调查问题的根源，并采取相应的措施来彻底解决。通常告警转事件的原因有以下几个方面： 信息聚合与分类 告警通常是对某个特定条件或阈值被违反的即时响应。随着时间的推移，大量的告警可能会被触发，如果直接处理这些独立的告警，可能会变得非常混乱和低效。将这些告警聚合成事件，可以帮助相关人员根据告警的类型、来源、影响等维度进行分类，从而更有效地处理它们。 简化工作流程 告警到事件的转换过程，通常伴随着对告警的过滤、去重、聚合等处理。这些处理使得原本可能触发多个相似告警的情况，被整合为一个更具代表性的事件。这样不仅减少了处理单个告警的工作量，也使得处理过程更加条理清晰，便于跟踪和记录。 提升问题解决效率 将告警转换为事件后，由于事件通常提供了比单个告警更全面的上下文信息，因此相关人员可以更容易地识别出问题的根本原因，有助于更快地定位问题，并采取有效的解决措施。 便于历史回顾与趋势分析 事件记录了问题的发生、发展、解决的全过程，这为后续的问题预防、系统优化等提供了宝贵的历史数据。通过对事件进行趋势分析，可以发现系统中潜在的薄弱环节，提前采取措施进行改进。 增强跨部门协作 在大型组织中，不同的部门可能需要共同参与问题的处理。将告警转换为事件后，可以更容易地在不同部门之间共享相关信息，促进跨部门协作，提高问题解决的效率。 总而言之，将告警转换为事件助于简化工作流程、提升问题解决效率、便于历史回顾与趋势分析。 告警关联事件原因 告警关联事件是监控和故障管理中的一个重要环节，它涉及到将多个独立但可能相互关联的事件或告警组合起来，以便更好地理解问题的根源和范围，从而更有效地进行故障排查和响应。通常告警关联事件的原因有以下几个方面： 依赖关系 在复杂的系统中，各个组件之间往往存在复杂的依赖关系。当一个组件出现故障时，可能会影响依赖它的其他组件的正常工作，进而引发一系列告警。例如，在微服务架构中，一个服务的崩溃可能导致调用该服务的其他服务也出现问题。 资源共享 当多个系统或服务共享同一资源（如服务器、数据库、网络设备等）时，该资源的问题可能导致多个系统或服务同时发出告警。例如，共享数据库服务器的性能下降可能会触发多个依赖该数据库的应用程序的性能告警。 连锁反应 某些情况下，一个初始的故障可能触发一系列连锁反应，导致更多的组件或系统受到影响。这种连锁反应可能由于系统设计不当、错误处理机制不完善或资源限制（如内存泄漏导致的性能下降）等原因引起。 配置错误 配置错误或不一致的配置可能导致系统行为异常，进而触发多个看似不相关的告警。例如，错误的路由配置可能导致流量被错误地路由到不稳定的服务器，从而引发多个与性能相关的告警。 软件缺陷 软件中的缺陷（如bug）可能导致程序在特定条件下表现异常，并触发告警。如果这些缺陷影响了多个组件或系统，则可能引发多个关联告警。 外部因素 外部因素如自然灾害（如地震、洪水）、网络攻击、基础设施故障（如电力中断、网络中断）等也可能导致多个系统或组件同时出现问题，并触发大量告警。

本文介绍函数运行时中的addEventListener定义与用法。 此函数定义了执行用户函数脚本的触发器。addEventListener仅支持注册一个事件监听器。当前仅支持fetch请求事件，通过注册fetch事件监听器，生成HTTP请求事件FetchEvent，进而实现对HTTP请求的处理。 定义 javascript addEventListener(type: string, listener: (event: FetchEvent) > void): void; 说明 如果注册了多个"fetch"类型的监听器，当一个监听器未调用时event.respondWith()，运行时会将事件传递给下一个已注册的监听器。 如果对某个事件进行多次调用会形成调用链条。当某个回调函数调用了respondWith函数时，调用链条会被终止，后面注册的回调函数不会再被调用。 参数 type string 事件类型，当前仅支持"fetch"，后续会支持"scheduled"。 listener function 事件监听器。用于处理事件回调。 示例 javascript // 注册请求事件监听器 addEventListener("fetch", event > { // 响应客户端请求 return event.respondWith( new Response("Hello world") ) }) 相关参考 示例代码：返回 HTML 页面 示例代码：返回 JSON

本文介绍函数运行时的addEventListener定义与用法。 此函数定义了执行用户函数脚本的触发器。addEventListener仅支持注册一个事件监听器。当前仅支持fetch请求事件，通过注册fetch事件监听器，生成HTTP请求事件FetchEvent，进而实现对HTTP请求的处理。 定义 javascript addEventListener(type: string, listener: (event: FetchEvent) > void): void; 说明 如果注册了多个"fetch"类型的监听器，当一个监听器未调用时event.respondWith()，运行时会将事件传递给下一个已注册的监听器。 如果对某个事件进行多次调用会形成调用链条。当某个回调函数调用了respondWith函数时，调用链条会被终止，后面注册的回调函数不会再被调用。 参数 type string 事件类型，当前仅支持"fetch"，后续会支持"scheduled"。 listener function 事件监听器。用于处理事件回调。 示例 javascript // 注册请求事件监听器 addEventListener("fetch", event > { // 响应客户端请求 return event.respondWith( new Response("Hello world") ) }) 相关参考 示例代码：返回HTML页面 示例代码：返回JSON内容

本文主要介绍 工作原理 云审计服务直接对接云服务平台上的其他服务，记录租户的云服务资源的操作信息，实现云帐户操作云服务资源动作和结果的实时记录功能，并将记录内容以事件文件形式实时保存至OBS桶中。 用户可以对事件文件执行以下两种操作： 事件文件的创建和保存： 当用户在弹性云主机、云硬盘服务、镜像服务等其它与云审计服务完成对接的服务中，进行了增加、删除、修改类型的操作时，被操作的服务会自动记录操作动作及操作结果，并按照指定的格式发送事件到云审计服务完成事件归档。 云审计服务管理控制台会保存最近7天的操作记录，如已配置OBS服务，云审计服务会定期将操作记录同步保存到用户定义的OBS桶中进行长期保存。 事件文件查询： 在“事件列表”页面，用户可以按照通过系统自带的条件和时间过滤功能，查询最近7天的操作记录。 若要查询7天前的操作记录且已配置OBS服务，可以在对应的OBS桶中下载事件文件进行查看。 在云审计服务页面的追踪器界面，用户可以对追踪器进行启用、停用、删除、配置等操作。 以用户创建镜像为例，在用户使用镜像服务执行创建镜像的操作过程中，镜像服务会将用户操作事件上报至云审计服务，如已配置OBS服务，云审计服务将事件转存至OBS桶中。用户也可以通过云审计服务的事件列表查看事件文件。云审计服务工作原理示意如图所示。 云审计服务工作原理示意图

本文将介绍如何查询网络层攻击事件。 使用场景 业务接入DDoS高防（边缘云版）后，您可以通过网络层安全报表查询网络层防护的相关统计数据。 前提条件 已开通DDoS高防（边缘云版）。 说明 网络层防护根据内置的智能识别算法进行攻击判断，未开放控制台配置。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【攻击事件】【网络层攻击事件】页面。 查询功能 您可以在网络层攻击事件表头部指定您要查询的时间范围。默认将展示最近7天。 攻击详情 攻击事件列表将展示攻击开始时间、攻击结束时间、攻击峰值带宽、攻击峰值时间、被攻击域名和攻击类型。 点击单条攻击事件的操作【详情】按钮，即可查看网络层攻击事件的攻击趋势、TOP攻击源IP。 注意 TOP攻击源IP的统计功能默认关闭，攻击详情中将不进行展示。如需开通，请

当防护网站成功接入WAF后，您可以使用接口测试工具模拟用户发起各类HTTP(S)请求，以验证配置的WAF防护规则是否生效，即验证配置防护规则的防护效果。本实践以Postman工具为例，说明如何验证全局白名单（原误报屏蔽）规则。 应用示例 例如，您的业务部署在“/product”路径下，由于生态开发，针对参数ID存在用户提交脚本或富文本的业务场景，为了确保业务正常运行，您需要对用户提交的内容进行误报屏蔽，以屏蔽误拦截的访问请求，提升WAF防护效果。 前提条件 防护网站已成功接入WAF。 已开启“Web基础防护”，且防护模式为“拦截”。同时，“常规检测”已开启。 操作步骤 步骤 1 下载并安装Postman。 步骤 2 在Postman上设置请求路径为“/product”，参数ID为普通测试脚本，防护网站的访问请求被拦截。 步骤 3 处理误报事件。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域或项目。 3. 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 5. 在防护事件页面，WAF拦截的防护事件命中了“XSS攻击”的“010000”规则。 6. 在该防护事件所在行的“操作”列中，单击“更多 > 误报处理”。 7. 在弹出的“误报处理”对话框中，添加全局白名单（原误报屏蔽）规则。 8. 单击“确认添加”。防护规则生效需要5分钟左右。 步骤 4 在Postman上再次设置请求路径为“/product”，参数ID为普通测试脚本，防护网站的访问请求还是被拦截。 步骤 5 参照步骤3，查看防护事件，处理命中“XSS攻击”的“110053”规则的误报防护事件。 步骤 6 在Postman上第三次设置请求路径为“/product”，参数ID为普通测试脚本，防护网站的访问请求仍被拦截。 步骤 7 参照步骤3，查看防护事件，处理命中“XSS攻击”的“110060”规则的误报防护事件。 步骤 8 在Postman上第四次设置请求路径为“/product”，参数ID为普通测试脚本。此时，防护网站的访问请求不再被拦截，说明所有全局白名单规则都已生效。同时，查看“防护事件”页面，防护事件列表也没有新增的XSS攻击防护事件。 步骤 9 在Postman上模拟攻击，验证设置的全局白名单（原误报屏蔽）规则不会影响WAF拦截其他参数的XSS攻击事件。 1. 在Postman上设置请求路径为“/product”，参数item为普通测试脚本，防护网站的访问请求被拦截。 2. 查看“防护事件”页面，WAF拦截参数item的XSS攻击事件。 步骤 10 在Postman上模拟攻击，验证设置的全局白名单（原误报屏蔽）规则不会影响WAF拦截其他路径的XSS攻击事件。 1. 在Postman上设置请求路径为“/order”，参数ID为普通测试脚本，防护网站的访问请求被拦截。 2. 查看“防护事件”页面，WAF拦截“URL”为“/order”、参数ID的XSS攻击事件。

集群拓扑 集群拓扑：对集群物理资源实际部署方式的可视化逻辑展示。 故障域 存储池支持设置故障域，故障域是指一组可能因共享某些基础设施（如机房、机架、服务器等）而同时发生故障的组件的集合，同一故障域内组件的故障仅影响本故障域内的数据。 HBlock将副本模式数据的各个副本或者EC模式数据的各个分块，按照故障域分配并存储，以达到数据保护的目的。同一数据的各个副本，以及同一数据的EC分块，写入不同故障域中。 数据服务 一个数据目录对应一个数据服务，HBlock通过数据服务管理数据目录内用户的文件数据块。 监控 监控是指对HBlock系统、存储池、服务器、数据目录、卷的性能指标进行监测记录，用户可以查看实时或者历史性能数据，关注存储服务的性能。监控指标详见监控指标。 事件 事件指系统记录的用户操作HBlock的行为或HBlock系统行为，方便排查故障、审计和跟踪，全方面掌控存储运行情况。 事件分为用户事件和系统事件： 用户事件：用户操作HBlock的行为，具体用户事件列表详见用户事件列表。 系统事件：HBlock系统行为，具体系统事件列表详见附录系统事件列表。

如何获取拦截的数据？ 通过Web应用防火墙服务可下载5天内的所有防护域名的仅记录和拦截的攻击事件数据，当天的防护事件数据，在次日凌晨生成防护事件数据的CSV文件。 可参照下载防护事件数据获取拦截数据。 防护事件列表中，防护动作为“不匹配”是什么意思呢？ 配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后，如果访问请求命中这些防护规则，则防护日志中记录的防护事件，“防护动作”显示为“不匹配”。 Web应用防火墙的防护日志可以存储多久？ 在WAF管理控制台，您可以免费查看最近30天的防护日志、下载5天内的所有防护域名的防护日志数据。 您可以将WAF的防护日志记录到单独收费的云日志服务（Log Tank Service，简称LTS），LTS默认存储日志的时间为7天，存储时间可以在1～30天之间进行设置，超出存储时间的日志数据将会被自动删除，对于需要长期存储的日志数据（日志持久化），LTS提供转储功能，可以将日志转储至对象存储服务（OBS）或者数据接入服务（DIS）中长期保存。 Web应用防火墙可以同时查询多个指定IP的防护事件吗？ WAF不支持同时查询多个指定IP的防护事件。您可以在“防护事件”页面，通过“事件类型”、“防护动作”、“源IP”、“URL”、“事件ID”组合条件，查看防护域名相应的防护事件。

支持审计的关键操作列表 事件来源 资源类型 操作事件 事件级别 操作字段 容器服务 弹性容器实例ECI 订购弹性容器实例ECI 普通 ECIScheduling 容器服务 弹性容器实例ECI 更新弹性容器实例ECI 普通 ECIUpdating 容器服务 弹性容器实例ECI 重启弹性容器实例ECI 普通 ECIRestarting 容器服务 弹性容器实例ECI 退订弹性容器实例ECI 告警 ECITerminating 查看云审计事件 1. 开通云审计服务。 具体操作请参见开通云审计服务云审计。 2. 在事件列表中，上方时间选择需要筛选的时间段，筛选条件选择事件来源 为“容器服务”，资源类型选择“弹性容器实例ECI”，单击“查询”即可。 3. 在审计事件右侧点击“查看详情”，可以看到更详细的事件信息。 详细操作参见查看审计事件云审计。更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

事件名称 事件ID 事件级别 删除VPC deleteVpc 重要 修改VPC modifyVpc 次要 删除Subnet deleteSubnet 次要 修改Subnet modifySubnet 次要 修改带宽 modifyBandwidth 次要 删除VPN deleteVpn 重要 修改VPN modifyVpn 次要

限制事件 限制规格 每个事件跟踪限制的ZOS桶数量 1个 用户操作后多久可以通过云审计查询到数据 管理类事件：1分钟 数据类事件：5分钟 用户通过云审计能查询到多久前的操作事件 7天

参数名称 参数说明 威胁告警 呈现近7天内本账号所有工作空间内未处理威胁告警，可快速了解资产遭受的威胁告警类型和数量，呈现威胁告警的统计结果。统计信息更新频率为每5分钟更新一次。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了入侵事件，建议您立即查看告警事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常事件，建议您立即查看告警事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常事件，建议您及时查看该告警事件的详情。 单击威胁告警模块，系统将列表实时呈现近7天内TOP5的威胁告警事件，可快速查看威胁告警详情，监控威胁告警状况。 列表呈现近7天TOP5的威胁告警事件的信息，包括威胁告警名称、告警等级、资产名称、告警发现时间。 若列表显示内容为空，表示近7天无威胁告警事件。 漏洞 展示您本账号所有工作空间内资产中TOP5漏洞类型，以及近7天内还未修复的漏洞总数和不同漏洞风险等级对应的数量。统计信息更新频率为每5分钟更新一次。 此处严重等级含义如下： 高危：即高危风险，表示资产中检测到了漏洞事件，建议您立即查看漏洞事件的详情并及时进行处理。 中危：即中危风险，表示资产中检测到了可疑的异常事件，建议您立即查看漏洞事件的详情并及时进行处理。 其他：即其他类型（低危、提示）风险，表示服务器中检测到了有风险的异常事件，建议您及时查看该漏洞的详情。 单击漏洞模块中的“漏洞类型Top5”栏，系统将列表呈现TOP5（根据某个漏洞影响的主机数量进行排序）的漏洞类型。 此处的TOP等级是根据某个漏洞影响的主机数量进行排序，受影响主机数量越多排名越靠前。 仅当主机中Agent版本为2.0时，才会在“漏洞类型Top5”中显示对应数据。如未显示数据或需要查看TOP5漏洞类型，请将主机将Agent1.0升级至Agent2.0。 单击漏洞模块中的“实时监控最新漏洞风险事件 Top5”栏，系统将列表实时呈现近7天内TOP5的漏洞事件，可快速查看漏洞详情。 列表呈现当日最新TOP5漏洞事件详情，包括漏洞名称、漏洞等级、资产名称、漏洞发现时间。 若列表显示内容为空，表示当日无漏洞事件。 合规检查 展示您本账号所有工作空间内资产中存在的合规风险总数量和不同危险等级的合规检查风险对应的数量。统计信息更新频率为每5分钟更新一次。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了不合规配置，建议您立即查看合规异常事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常配置，建议您立即查看合规检查事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常配置，建议您及时查看该合规检查项目的详情。 单击合规检查异常模块，系统将列表实时呈现TOP5的合规检查异常事件，可快速查看合规检查详情。 列表呈现最近一次合规检查中TOP的合规异常事件详情，包括合规检查项目名称、等级、受影响资产数量、发现时间。 若列表显示内容为空，表示近30天无合规异常事件。

本节主要介绍PutEventSelectors。 此操作用来配置跟踪的管理事件筛选器。 默认情况下，未设置管理事件筛选器的跟踪，会记录所有的管理事件，每个跟踪最多创建1个管理事件筛选器。 请求参数 名称 描述 是否必须 ::: TrailName 指定跟踪的名称。 类型：字符串 取值：3~128个字符。 可以包含ASCII字母（az，AZ），数字（09），句点（.），下划线（）或短划线（）。 必须以字母或数字开头，以字母或数字结尾。 不能是IP地址格式（例如：192.168.5.4）。 不能包含相邻句点（.）、下划线（）、短划线（）任意组合。如不能包含类似点点（..）,点下划线（.）的组合。 是 EventSelectors 指定管理事件筛选器。 取值：ReadWriteType。 是 ReadWriteType 指定管理事件的读写类型。 类型：字符串 取值： ReadOnly：只读。 WriteOnly：只写。 All：所有管理事件。 默认值为All。 否 响应结果 名称 描述 :: EventSelectors.ReadWriteType 管理事件的读写类型： ReadOnly：只读。 WriteOnly：只写。 All：所有管理事件。 TrailARN 跟踪的ARN。 请求示例 为跟踪testcloudtrail创建只写（WriteOnly）类型跟踪的管理事件筛选器。 POST / HTTP/1.1 Host:ooscncloudtrail.ctyunapi.cn xamzcontentsha256: UNSIGNEDPAYLOAD Authorization: SignatureValue XAmzDate: 20190422T032847Z XAmzTarget:cn.ctyunapi.ooscncloudtrail.v20131101.CloudTrail20131101.PutEventSelectors ContentType:application/json {"TrailName":"testcloudtrail","EventSelectors":[{"ReadWriteType":"WriteOnly"}]}

本节主要介绍问题定位 操作场景 当现网某个特定资源或动作出现问题，可根据云审计服务收集的日志记录，通过查询对应时间、对应资源的操作记录，查看当时的请求动作和响应，支撑问题定位分析。 前提条件 已开通云审计服务且追踪器状态正常。 操作步骤 以现网某个弹性云主机在某日上午发生故障后的辅助定位为例： 1. 以管理员权限登录管理控制台。 2. 单击“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务详情页面。 3. 单击左侧导航树的“事件列表”，进入事件列表界面。 4. 在事件列表界面单击“筛选”，显示过滤条件查询框，依次选择“事件来源”>“资源类型”>“筛选类型”，单击“查询”，查看过滤结果。 过滤条件查询示例：依次选择“ecs”>“ecs”>“Resource id”>“问题虚拟机 ID ”，并在右上角时间条件设置窗口设置时间为某日上午6点到中午12点，查看过滤结果。 5. 逐条查看操作记录，注意请求的类型和响应结果，特别关注“事件级别”为warning和incident的事件，以及相应结果为失败的事件。 以现网进行创建弹性云主机操作失败报错后的辅助定位为例： 1. 以管理员权限登录管理控制台。 2. 单击“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务详情页面。 3. 单击左侧导航树的“事件列表”，进入事件列表界面。 4. 根据创建虚拟机弹性云主机失败的操作，设置过滤条件：“ecs”>“ecs”>“事件级别”>“Warning”，在结果中查看事件名称 为“createSingleServer”操作记录事件。 5. 查看操作记录，重点关注响应中的错误提示信息，根据错误提示代码或错误提示信息进行问题定位分析。

本节介绍了云审计的用户指南。 操作场景 本服务现已对接天翼云++云审计++，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： ● 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 ● 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 ● 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 ● 用户通过云审计能查询到多久前的操作事件：7天。 ● 用户操作后多久可以通过云审计查询到数据：5分钟。 ● 其它限制请参考++使用限制云审计++。 操作步骤 1. 开通云审计服务。 参见++开通云审计服务云审计++。 2. 查看云审计事件。 参见++查看审计事件云审计++。 3. 在事件列表中，选择事件来源为“容器”，资源类型选择“云容器引擎”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考++用户指南、++++常见问题++。

配置指标告警 登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页面。 在集群列表中点击需要配置告警的集群，进入集群管理页面。 左侧菜单栏选择 运维管理 > 指标告警 > 告警规则 进入告警规则页面，点击按钮创建告警规则 创建告警规则。 目前共提供的告警分组有Kubernetes节点、Kubernetes负载、指标采集上报和黑盒监控，其中节点、负载和指标采集上报均为基础告警，只要安装了ccsemonitor插件即可使用，黑盒监控需要应用接入黑盒监控才可使用，可参考 用户指南 > 集群可观测 > 黑盒监控 章节。 选择告警分组和告警指标后会显示告警阈值及当前集群的指标值，部分指标可以通过告警条件调整告警阈值及判断条件；告警触发条件可以选择立即触发或告警条件持续数分钟后才触发。 查看告警事件历史及告警发送历史 登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页面。 在集群列表中点击需要配置告警的集群，进入集群管理页面。 左侧菜单栏选择 运维管理 > 指标告警 > 告警事件历史 或 告警发送历史 可分别查看集群告警事件历史及告警发送历史。 告警事件历史页面可以查看告警事件名称、事件描述、事件数量、事件状态等信息，通过右上角事件状态筛选下拉框还可以筛选指定状态的告警事件。 告警发送历史页面可以查看事件告警的告警状态、通知状态等，还可以根据告警的状态、等级等进行筛选。

3.6添加事件订阅 在左侧导航栏找到并点击事件与回调。点击事件配置列表订阅方式后的编辑按钮，选中“使用长连接接收事件”并保存。 在已添加事项列表点击“添加事件”，具体添加项见下表： 事件 中文名称 im.message.receivev1 用户发送新消息至机器人或群聊后推送事件 im.message.messagereadv1 消息被阅读事件 im.chat.member.bot.addedv1 机器人被添加至群聊时推送事件 im.chat.member.bot.deletedv1 机器人被移出群聊时推送事件 注意 事件订阅必须在OpenClaw添加飞书配置并启动后，才可以创建，否则无法创建成功。 3.7创建版本并发布 左侧导航栏找到并点击版本管理与发布。若账号为企业管理员，点击右上角的“创建版本”，填写应用版本号和更新说明等信息，点击保存并确认发布。即可在版本管理与发布页面，查看到已经发布的版本号和版本状态。 若账号为“员工”，双击“应用列表”进入，填写应用版本号和更新说明等信息，点击“申请线上发布”后，等待企业管理员审核。待企业管理员通过发布审核，即可在版本管理与发布页面，查看到已经发布的版本号和状态。