本小节介绍管理文件隔离箱。 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。被成功隔离的文件一直保留在文件隔离箱中，您也可以根据自己的需要进行一键恢复。 对应告警事件支持隔离查杀的情况详情请参见主机告警事件支持情况说明。 约束限制 未开启防护不支持告警事件相关操作。 隔离查杀操作 1、登录管理控制台。 2、在页面左上角单击 ，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。 5、单击支持隔离查杀的告警事件“操作”列的“处理”，选择“隔离查杀”。 说明 对应告警事件支持隔离查杀的情况详情请参见主机告警事件支持情况说明。 6、单击“确认”，对目标告警事件进行隔离查杀。 被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。 查看文件隔离箱 1、在“主机安全告警”页面的“安全告警统计”中，单击“已隔离文件”下方的“查看详情”，进入“文件隔离箱”页面。 安全告警统计 2、在文件隔离箱列表中，您可以查看被隔离的文件服务器名称、路径和修改时间。 文件隔离箱

本小节介绍管理文件隔离箱。 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。被成功隔离的文件一直保留在文件隔离箱中，您也可以根据自己的需要进行一键恢复。 对应告警事件支持隔离查杀的情况详情请参见主机告警事件支持情况说明。 约束限制 未开启防护不支持告警事件相关操作。 隔离查杀操作 1、登录管理控制台。 2、在页面左上角单击 ，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。 5、单击支持隔离查杀的告警事件“操作”列的“处理”，选择“隔离查杀”。 说明 对应告警事件支持隔离查杀的情况详情请参见主机告警事件支持情况说明。 6、单击“确认”，对目标告警事件进行隔离查杀。 被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。 查看文件隔离箱 1、在“主机安全告警”页面的“安全告警统计”中，单击“已隔离文件”下方的“查看详情”，进入“文件隔离箱”页面。 安全告警统计 2、在文件隔离箱列表中，您可以查看被隔离的文件服务器名称、路径和修改时间。 文件隔离箱

记录审计日志 支持记录用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询 支持在管理控制台对7天内操作记录按照事件来源、资源类型、事件名称、资源名称/ID、事件级别和时间范围等多个维度进行组合查询。 审计日志转储 支持将审计日志周期性的转储至对象存储服务（Object Storage Service，简称OBS）下的OBS桶，转储时会按照服务维度压缩审计日志为事件文件。

对象 审计类型 审计前提 云CCE集群 K8s审计日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 K8s审计事件 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 容器日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 SWR私有镜像仓库 镜像仓日志审计 您使用了容器镜像服务SWR，并授予了HSS云审计服务的操作权限（CTSOperatePolicy）。

本文为您列举云审计服务的常见问题。 云审计服务如何收费？ 云审计服务支持免费使用。 云审计服务如何开通？ 云审计为region级服务，您需要分别在云资源所在的资源池开通云审计服务，才能使用云审计服务。 事件列表用于记录哪些信息？ 事件列表记录了云账户中对云服务资源新建、修改、删除等操作的详细信息。 事件列表中的信息可以删除吗？ 不可以，根据SAC/TC及国际信息、数据安全管理部门发布的规范，审计日志必须保持客观全面、准确，因此不提供删除或修改功能。 事件文件可以存储多长时间？ 默认情况下，云审计服务管理控制台可存储最近7天内的事件文件，而对于已保存至ZOS桶的历史操作记录，您可以无限期存储这些事件文件。 启用云审计服务是否会影响其他云服务资源的性能？ 不会。启用云审计服务不会影响其他云服务资源的性能。

本节主要介绍查看堆栈 堆栈创建后，您可以在堆栈详情页面查看其数据和资源。 堆栈元素 显示堆栈的组成元素，如应用、云服务。 元素健康状态说明： 健康：说明该资源运行正常。 未知：AOS在执行该资源的健康检查时发生错误，未成功获取到资源的状态。 异常：AOS成功调用资源的健康检查接口，但资源的状态为异常。 样例： 输出参数 显示在堆栈模板中声明的输出参数及其取值。 样例： 输入参数 显示在堆栈模板中声明的输入参数及其取值。还支持导出配置，格式为.json文件。 样例： 告警 显示堆栈中的告警信息。 事件 通过查看堆栈事件来监控堆栈相关操作进度。例如，升级堆栈，在“事件”页签中会显示堆栈升级过程中的每个重要步骤（按照每个事件的时间进行排序，最新的事件显示在最上方）。 注：事件仅展示最近10条记录，且事件保存时间为48小时，48小时后自动清除数据。

云应用引擎控制台支持查看K8s原生应用的事件，帮助您了解应用运行时的状态，方便快速聚焦问题。 功能入口 1. 在 CAE 控制台左侧导航栏选择应用管理 > 应用列表。 2. 在应用列表页面，单击目标应用名称，进入应用基本信息页。 3. 在左侧导航栏中单击应用事件，即可查看应用相关的 K8s 事件。

本节主要介绍LookupEvents。 此操作用来查看账户中的管理事件。用户可以查看近6个月内发生的管理事件。 支持查询以下属性： OOS访问密钥。 管理事件ID。 管理事件名称。 管理事件来源。 是否只读。 资源名称。 资源类型。 子用户名。 所有的属性都是可选项，默认返回50个查询结果，一次最多只能返回50个结果，如果想查看其他结果，可以通过设置MaxResults 和NextToken来进行查看。 请求参数 名称 描述 是否必须 ::: StartTime 指定返回管理事件的起始时间。如果同时指定了起始时间和结束时间，则起始时间必须早于结束时间，否则将返回错误信息。 类型：时间戳 取值：unix时间戳（UTC），精确到毫秒。默认起始时间为距当前时间往前数的第184天。 如果起始时间晚于结束时间，会报错。 如果起始时间是早于当前时间184天之前的时间，则返回数据的起始时间为距当前时间往前数的第184天。 否 EndTime 指定返回管理事件的结束时间。如果同时指定了起始时间和结束时间，则起始时间必须早于结束时间，否则将返回错误信息。 类型：时间戳 取值：unix时间戳（UTC），精确到毫秒。默认结束时间为目前时间。 如果StartTime和EndTime都为早于当前时间184天前的时间，则返回距当前时间往前数的第184天那天的数据。 否 LookupAttributes 指定管理事件的查询属性。 类型：数组 取值：Attributekey和AttributeValue成对出现。 否 AttributeKey 指定查询管理事件的属性Key。 注意 如果指定AttributeKey，每次只能指定一个AttributeKey，且取值唯一。 类型：字符串 取值： EventId。 EventName。 ReadOnly。 UserName。 ResourceType。 ResourceName。 EventSource。 AccessKeyId。 否 AttributeValue 指定AttributeKey对应的值。 类型：字符串 取值：根据AttributeKey确定。其中ResourceName根据前缀匹配查询，区分大小写；EventId、UserName、EventName、ResourceType、EventSource、AccessKeyId全字匹配查询，并且区分大小写。 否 MaxResults 设置响应中最多返回的条数。如果存在超出您指定的返回项，响应结果中会返回NextToken的值。 类型：整数类型 取值：150，默认值为50。 否 NextToken 分页标识。还有需要返回的管理事件时，上条响应结果中会返回该参数。查看未显示项时，请求参数中需要携带此参数。 类型：字符串 取值：与上条响应结果中的参数值一样。 否

维度 监控事件 测量对象 云硬盘备份事件 备份副本创建为失败 备份副本 云硬盘备份策略事件 云硬盘备份策略调度失败 备份策略

本文主要介绍镜像服务支持审计的关键操作 镜像服务（Image Management Service，以下简称IMS）提供简单方便的镜像自助管理功能，用户可以使用公共镜像或者私有镜像灵活便捷的申请弹性云主机。同时，用户还能通过已有的云主机或使用外部镜像文件创建私有镜像。 通过云审计服务，您可以记录与镜像服务相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的IMS操作列表 操作名称 资源类型 事件名称 创建镜像 ims createImage 修改镜像 ims updateImage 批量删除镜像 ims deleteImage 新增成员 ims addMember 批量修改成员 ims updateMember 批量删除成员 ims deleteMember 说明 表2 IMS的操作，为底层（OpenStack）服务触发；部分事件名称与表1中重复，是因为这些事件采用了异步调用的模式：操作下发会产生上表中描述的事件，而操作结果响应会产生表2中描述的事件。 表 云审计服务支持的IMS操作列表（由底层服务触发） 操作名称 资源类型 事件名称 创建镜像 image createImage 修改镜像信息/上传镜像 image updateImage 删除镜像 image deleteImage 添加标签 image addTag 删除标签 image deleteTag 添加镜像成员 image addMember 修改镜像成员信息 image updateMember 删除镜像成员 image deleteMember

操作步骤 执行以下命令，更新数据库统计信息。 exec msdb.dbo.TYYUpdateStatistics; 堵塞事件 说明 该存储过程仅支持开通时间在20240828及之后的实例，若您的实例在此日期之前开通且需要使用以下存储过程，请通过咨询工单申请。 如果为主备实例，使用后仅在主节点上开启或调整堵塞事件。如实例发生过主备切换，请在切换后再次执行该存储过程。 第一次执行该存储过程会自动开启堵塞事件，后续执行仅调整堵塞事件采集阈值。 操作步骤 执行以下命令，开启堵塞日志采集，或调整堵塞事件采集阈值。 exec msdb.dbo.TYYCreateBlockedEvent @timeThreshold; @timeThreshold：堵塞事件采集阈值。 堵塞事件调整成功后，系统将会提示： TYY: create blocked event session success 授予库级dbowner角色 说明 该存储过程仅支持开通时间在20240828及之后的实例，若您的实例在此日期之前开通且需要使用以下存储过程，请通过咨询工单申请。 约束 仅支持授予非系统库的dbowner角色，如果您授予系统库，将会提示： TYYERROR: can not operate system database 操作步骤 执行以下命令，授予库级dbowner角色。 exec msdb.dbo.TYYGrantDbOwner '@dbName', '@login'; @dbName：需要授予的数据库名称。 @login：被授予dbowner角色的账号名。 授予库级dbowner角色成功后，系统将会提示： grant dbowner to database [dbName] for [login] success 创建SQL执行跟踪会话 说明 该存储过程仅支持开通时间在20250228及之后的实例，若您的实例在此日期之前开通且需要使用以下存储过程，请通过咨询工单申请。 该存储过程基于 SQL Server 扩展事件（Extended Events） 技术实现，而非已弃用的 SQL Trace。 如果为主备实例，使用后仅在主节点上创建扩展事件会话。如实例发生过主备切换，请在切换后再次执行该存储过程。 重复执行会把已经存在的扩展事件会话删除，然后重新创建。

参数 参数类型 说明 示例 下级对象 initCount Integer 未审核事件 1 passCount Integer 审核通过事件 1 noPassCount Integer 审核不通过事件 1 threatHostCount Integer 存在风险的服务器 1

进度监控接口 通过实现上传过程监控接口，从而可以在上传过程中掌握您的大文件上传进度。常用的监听事件有： REQUESTCONTENTLENGTHEVENT（要在请求中发送的对象内容长度的事件） TRANSFERSTARTEDEVENT（上传开始事件） TRANSFERPARTSTARTEDEVENT（开始上传分片事件） TRANSFERPARTCOMPLETEDEVENT（分片上传完毕事件） TRANSFERCOMPLETEDEVENT（上传完毕事件） TRANSFERFAILEDEVENT（上传失败事件） TRANSFERPARTFAILEDEVENT（上传分片失败事件） 当有相应场景发生时progressChanged，则会产生相应的事件回调，即可调用您的监控代码从而掌握对象的上传进度。 以下为进度监控代码。 java ProgressListener progressListener new ProgressListener() { private long totalBytes 1; private long transferredBytes 0; private long startTime System.currentTimeMillis(); private final Object lock new Object(); // 用于线程安全更新进度 @Override public void progressChanged(ProgressEvent event) { switch (event.getEventType()) { case REQUESTCONTENTLENGTHEVENT: totalBytes event.getBytes(); System.out.printf("总大小: %,d bytes%n", totalBytes); break; case TRANSFERSTARTEDEVENT: System.out.println("[开始] 文件传输启动"); startTime System.currentTimeMillis(); break; case CLIENTREQUESTSUCCESSEVENT: System.out.printf("[秒传] 文件已存在服务端 (大小: %.2fMB)%n", event.getBytes() / 1024.0 / 1024); break; case TRANSFERPARTSTARTEDEVENT: long encodedStart event.getBytes(); int partNumber (int) (encodedStart >> 32); long partSize encodedStart & 0xFFFFFFFFL; System.out.printf("[分片] %d 开始上传 (大小: %.2fMB)%n", partNumber, partSize / 1024.0 / 1024); break; case TRANSFERPARTCOMPLETEDEVENT: long encodedComplete event.getBytes(); long actualBytes encodedComplete & 0xFFFFFFFFL; synchronized (lock) { transferredBytes + actualBytes; } printProgress(); break; case TRANSFERCOMPLETEDEVENT: System.out.println("n[完成] 所有分片上传成功"); printFinalStats(); break; case TRANSFERFAILEDEVENT: System.err.println("n[失败] 文件传输异常终止"); printFinalStats(); break; case TRANSFERPARTFAILEDEVENT: long encodedFail event.getBytes(); int failedPart (int) (encodedFail >> 32); System.err.printf("[异常] 分片

点播模式下的媒资信息变更回调事件。 事件名称 BasicInfoChange 事件说明 媒资信息变更。 示例 json { "eventTime":"20170320T07:49:17Z", "eventType":"BasicInfoChange", "videoID":"45caa4a6488844a3aaa2ea1334a7b806", "changeDetail":{ "videoName":"这是源视频修改后的名称", "videoTags":["动作片"], "videoRemark":"早期经典喜剧动作片" } } 返回数据描述 名称 示例值 描述 ::: eventTime 20170320T07:49:17Z 事件触发时间，为 UTC 时间，如 yyyyMMddTHH:mm:ssZ。 eventType BasicInfoChange 回调事件类型。 videoID 45caa4a6488844a3aaa2ea1334a7b806 视频上传到【媒体库】的唯一标识ID。 changeDetail 媒资信息变更结果。详细信息见表changeDetail。 表changeDetail 名称 示例值 描述 ::: videoName 更名后的文件名 源视频修改后的名称。 videoTags ["动作片"] 视频标签。 videoRemark 成龙早期经典喜剧动作片 修改后源视频备注信息。

本节介绍关闭弱口令策略后，之前扫描的弱口令事件为什么还会重复出现。 若您在关闭弱口令策略前，已经修改弱口令事件，进行重新检测并符合弱口令检测要求，该弱口令事件不会在重复出现。 若您在关闭弱口令策略前，未修改弱口令事件，已经检测出来的结果不会改变，系统也将不再进行新的检测且历史检测结果会保留30天。 为保障您的主机安全，请您及时修改登录主机系统时使用弱口令的帐号，如SSH帐号。 为保障您主机内部数据信息的安全，请您及时修改使用弱口令的软件帐号，如MySQL帐号和FTP帐号等。 验证 ：完成弱口令修复后，建议您立即执行手动检测，查看弱口令修复结果。如果您未进行手动验证且未关闭弱口令检测，HSS会在次日凌晨执行自动验证。

事件统计 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“事件分析 > 日志检索”进行日志检索，系统默认展示事件列表并且显示最近5分钟日志。 3. 在页面上方选择“统计条件”，事件统计会自动将数据转化为图表形式展示。 4. 您可以在页面右侧修改“图表类型”和“基本配置”，将您想要的数据以图表的形式展示。

分布式关系型数据库DRDS支持的事件列表 事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 创建实例失败 createDDM InstanceFailed 重要 一般是由于底层资源不足等原因导致。 释放资源后重新创建。 无法创建DRDS实例。 变更规格失败 resizeFlavor Failed 重要 一般是由于底层资源不足等原因导致。 请工单联系运维在后台协调资源再重试规格变更操作。 部分节点业务中断 节点扩容失败 enlargeNode Failed 重要 一般是由于底层资源不足等原因导致。 请工单联系运维后台协调资源，删除添加失败的节点，重新尝试添加节点 节点扩容失败 节点缩容失败 reduceNode Failed 重要 一般是由于底层释放资源失败等原因导致。 请工单联系运维后台处理资源。 节点缩容失败 重启实例失败 restartInstance Failed 重要 一般是由于底层关联数据库实例异常等原因导致。 建议先排查底层数据库实例是否异常，如果无异常请工单联系运维进行排查。 部分节点业务中断 创建逻辑库失败 createLogic DbFailed 重要 一般是由于以下几种原因导致的： 1、数据库实例账号密码错误； 2、DRDS实例与底层数据库实例安全组设置错误，导致无法通信。 请排查： 1、数据库实例账号密码是否错误； 2、DRDS实例与底层数据库实例安全组是否设置正确等问题。 业务无法正常运行 绑定弹性公网IP失败 bindEipFailed 重要 一般是由于EIP服务繁忙。 稍后重试，紧急情况下请联系运维排查问题。 无法通过公网访问服务 逻辑库扩容失败 migrateLogic DbFailed 重要 一般是由于底层处理失败。 请工单联系运维处理。 无法实现逻辑库扩容 逻辑库扩容重试失败 retryMigrate LogicDbFailed 重要 一般是由于底层处理失败。 请工单联系运维处理。 无法实现逻辑库扩容

恢复流程 1、当节点运行异常，并持续一段时间，云容器引擎将判断节点状态，与诊断条件进行对比。控制台会将符合诊断条件的异常节点进行展示，用户可以选择一个或多个节点进行故障恢复。 2、节点故障恢复会以任务形式执行，期间会形成任务事件，查看恢复进度： 当恢复任务完成，异常状态解除，节点将恢复运行状态； 当恢复任务完成，节点状态依旧异常，事件将体现恢复失败，可以提交工单进行手动修复 说明 1. 同一节点池中的多个异常节点，故障恢复将以串行方式执行。期间一个节点恢复失败，云容器引擎将停止对该节点池其余异常节点进行恢复； 2. 多个节点池之间可以并行进行故障恢复。 恢复事件 故障恢复过程中，会将相应操作以任务事件形式记录。可以在控制台 故障恢复窗口查看恢复事件。事件类型包括： 事件 详细描述 NODEREPAIRSTART 故障恢复开始 NODEREPAIRDIAGNOSEISSUE 故障诊断确认 NODEREPAIRIGNORE 故障恢复跳过，比如主机示例异常、故障未达到阈值时间 NODEREPAIRACTION 执行故障恢复操作 NODEREPAIRFAILED 故障恢复失败，可以提交工单进行手动修复 NODEREPAIRSUCCEED 故障恢复成功

本文为您介绍云审计服务的功能特性。 记录审计日志 支持记录用户通过管理控制台发起的操作，以及各服务内部自触发的操作。 审计日志查询 支持在管理控制台对7天内操作记录按照事件来源、资源类型、事件名称、资源名称/ID、事件级别和时间范围等多个维度进行组合查询。 审计日志转储 支持将审计日志以gzip文件的形式周期性的转储至对象存储服务（简称ZOS）下的存储桶，并以“目录前缀/日志类型标识符/地域/年/月/日”逐层设置为目录层级，存放投递的事件。

本节主要介绍资源跟踪 操作场景 根据云审计服务所记录的操作记录，可以查看任意云服务资源在其整个生命周期内的操作记录，并检视具体操作的细节。 前提条件 已开通云审计服务且追踪器状态正常。 操作步骤 以查看某个弹性云主机的所有操作记录为例： 1.以管理员权限登录管理控制台。 2.单击“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务详情页面。 3.单击左侧导航树的“事件列表”，进入事件列表界面。 4.在事件列表界面单击“筛选”，显示过滤条件查询框，依次选择“事件来源”>“资源类型”>“筛选类型”，单击“查询”执行搜索，查看过滤结果。 说明 过滤条件查询示例：依次选择“ecs”>“ecs”>“Resource id”>“问题虚拟机 ID ”，单击“查询”执行搜索，查看最近7天的操作记录。 5.单击左侧导航树的“追踪器”，进入追踪器详情页面，获取OBS桶名。 6.参照查看已归档事件下载7天之前或者所有的事件。 7.从第4步和第6步的结果中，检视该弹性云主机的所有操作和变更记录。

参数 参数说明 取值样例 防护方式 “全部域名”：默认防护当前策略下绑定的所有域名。 “指定域名”：选择策略绑定的防护域名或手动输入泛域名对应的单域名。“防护方式”选择“指定域名”时，需要配置此参数。 指定域名 防护域名 “防护方式”选择“指定域名”时，需要配置此参数。 需要手动输入当前策略下绑定的需要防护的泛域名对应的单域名，且需要输入完整的域名。 www.example.com 条件列表 单击“添加”增加新的条件，一个防护规则至少包含一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 条件设置参数说明如下： 字段 子字段：当字段选择“Params”、“Cookie”或者“Header”时，请根据实际使用需求配置子字段。 子字段的长度不能超过2048字节，且只能由数字、字母、下划线和中划线组成。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 内容：输入或者选择条件匹配的内容。 “路径”包含“/product” 不检测模块 “所有检测模块”：通过WAF配置的其他所有的规则都不会生效，WAF将放行该域名下的所有请求流量。 “Web基础防护模块”：选择此参数时，可根据选择的“不检测规则类型”，对某些规则ID或者事件类别进行忽略设置（例如，某URL不进行XSS的检查，可设置屏蔽规则，屏蔽XSS检查）。 Web基础防护模块 不检测规则类型 “不检测模块”选择“Web基础防护模块”时，您可以选择以下三种方式进行配置： 按ID：按攻击事件的ID进行配置。 按类别：按攻击事件类别进行配置，如：XSS、SQL注入等。一个类别会包含一个或者多个规则ID。 所有内置规则。 按类别 不检测规则ID 当“不检测规则类型”选择“按ID”时，需要配置此参数。 “防护事件”列表中事件类型为非自定义规则的攻击事件所对应的规则编号。建议您直接在防护事件页面进行误报处理。 041046 不检测规则类别 当“不检测规则类型”选择“按类别”时，需要配置此参数。 在下拉框中选择事件类别。 WAF支持的防护事件类别有：XSS攻击、网站木马、其他类型攻击、SQL注入攻击、恶意爬虫、远程文件包含、本地文件包含、命令注入攻击。 SQL注入攻击 规则描述 可选参数，设置该规则的备注信息。 不拦截SQL注入攻击 高级设置 如果您只想忽略来源于某攻击事件下指定字段的攻击，可在“高级设置”里选择指定字段进行配置，配置完成后，WAF将不再拦截指定字段的攻击事件。 在左边第一个下拉列表中选择目标字段。支持的字段有：Params、Cookie、Header、Body、Multipart。 当选择“Params”、“Cookie”或者“Header”字段时，可以配置“全部”或根据需求配置子字段。 当选择“Body”或“Multipart”字段时，可以配置“全部”。 当选择“Cookie”字段时，“防护域名”和“路径”可以为空。 说明 当字段配置为“全部”时，配置完成后，WAF将不再拦截该字段的所有攻击事件。 Params 全部

参数 说明 触发事件类型 选择触发作业运行的事件类型。 “KAFKA” “KAFKA”触发事件类型的参数 连接名称 选择数据连接，需先在“管理中心”创建kafka数据连接。 Topic 选择需要发往kafka的消息Topic。 事件处理并发数 选择作业并行处理的数量，最大并发数为128。 事件检测间隔 配置时间间隔，检测通道下是否有新的消息。时间间隔单位可以配置为秒或分钟。 读取策略 选择数据的读取位置： 从上次位置读取：首次启动时，从最新的位置读取数据。后续启动时，则从前一次记录的位置读取数据。 从最新位置读取：每次启动都会从最新的位置读取数据。 失败策略 选择调度失败后的策略： 挂起 忽略失败，读取下一个

本小节介绍管理告警白名单。 白名单管理提供告警白名单的展示与删除功能，用户可以通过配置告警白名单避免大量告警误报的发生，提升安全事件告警质量。 告警白名单用于忽略告警，把当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 在“安全告警事件”页面处理告警事件时，如果告警为误报，您可以将告警加入告警白名单。告警加入白名单后，后续主机安全平台不会再对该事件进行告警和统计。 约束限制 需开启旗舰版、网页防篡改版、容器版任一防护版本。 添加告警白名单 添加方式 说明 加入告警白名单 处理告警事件时，将告警事件加入到告警白名单。 以下类型的告警事件加入“告警白名单”： 反弹Shell 勒索软件 恶意程序 Webshell 进程异常行为 进程提权 文件提权 高危命令执行 恶意软件 关键文件变更 文件/目录变更 异常Shell Crontab可疑任务 非法系统帐号 一般漏洞利用 查看告警白名单 加入告警白名单后，您可以查看已添加的告警白名单，操作步骤如下所示。 1、登录管理控制台。 2、在页面左上角单击 ，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树中，选择“入侵检测 > 白名单管理”，进入“白名单管理”页面。 4、选择“告警白名单”页签，查看已添加的告警白名单列表，参数说明如表79所示。 告警白名单列表参数说明 参数名称 参数说明 告警类型 白名单的告警类型名称。 SHA256 目标文件哈希。 路径 服务器文件路径。 数据来源 目标白名单的来源方式。

分类 扣分项 单项扣分项 处理建议 最高扣分上限 合规检查 存在未处理的致命不合规项 10 按照合规修复建议指导进行合规问题修复，修复后重新触发扫描任务，自动刷新评分。 20 合规检查 存在未处理的高危不合规项 5 按照合规修复建议指导进行合规问题修复，修复后重新触发扫描任务，自动刷新评分。 20 合规检查 存在未处理的中危不合规项 2 按照合规修复建议指导进行合规问题修复，修复后重新触发扫描任务，自动刷新评分。 20 合规检查 存在未处理的低危不合规项 0.1 按照合规修复建议指导进行合规问题修复，修复后重新触发扫描任务，自动刷新评分。 20 漏洞 存在未处理的致命漏洞 10 按照漏洞修复建议指导进行漏洞修复，修复后重新触发漏洞扫描任务，自动刷新评分。 20 漏洞 存在未处理的高危漏洞 5 按照漏洞修复建议指导进行漏洞修复，修复后重新触发漏洞扫描任务，自动刷新评分。 20 漏洞 存在未处理的中危漏洞 2 按照漏洞修复建议指导进行漏洞修复，修复后重新触发漏洞扫描任务，自动刷新评分。 20 漏洞 存在未处理的低危漏洞 0.1 按照漏洞修复建议指导进行漏洞修复，修复后重新触发漏洞扫描任务，自动刷新评分。 20 威胁告警 存在未处理的致命告警事件 10 按照威胁事件处置指导建议进行修复，修复后自动刷新评分。 30 威胁告警 存在未处理的高危告警事件 5 按照威胁事件处置指导建议进行修复，修复后自动刷新评分。 30 威胁告警 存在未处理的中危告警事件 2 按照威胁事件处置指导建议进行修复，修复后自动刷新评分。 30 威胁告警 存在未处理的低危告警事件 0.1 按照威胁事件处置指导建议进行修复，修复后自动刷新评分。 30

点播模式下的视频拼接完成事件。 事件名称 StitchingComplete 事件说明 视频拼接完成。 示例 json { "eventTime":"20221013T18:06:16Z", "eventType":"StitchingComplete", "videoID":"147362d5167641419854b9859c114820", "taskId":"0003fgty85118429465b99a794951ffd4310", "status": "SUCCESS", "taskMessage":"写入文件失败", "stitchingInfo":{ "stitchingTemplateID": "100000000102", "watermarkTemplateID":100000000021, "stitchingVideoID": "62cb3151eba52js82j2da3b55bc5rt.mp4" } } 返回数据描述 名称 示例值 描述 ::: eventTime 20170320T07:49:17Z 事件触发时间，为 UTC 时间，如 yyyyMMddTHH:mm:ssZ。 eventType StitchingComplete 回调事件类型。 videoID 45caa4a6488844a3aaa2ea1334a7b806 视频上传到【媒体库】的唯一标识ID。 taskId 0003fgty85118429465b99a794951ffd4310 任务ID。 status SUCCESS 任务状态：SUCCESS成功;FAIL失败。 taskMessage 写入文件失败 回调信息：任务失败时为失败原因；成功时为：任务成功。 stitchingInfo 视频拼接结果详情。详细信息见表stitchingInfo。 表stitchingInfo 名称 示例值 描述 ::: stitchingTemplateID 100000000102 视频拼接模版ID。 watermarkTemplateID 100000000021 水印模版ID。 stitchingVideoID 62cb3151eba52js82j2da3b55bc5rt.mp4 拼接视频条目videoId（在媒体库进行查找）

本章节主要介绍配置追踪器 。 操作场景 云审计服务管理控制台支持对已创建的管理类追踪器增加OBS转储、LTS转储等相关配置。 用户可以选择是否将已记录的事件发送到OBS桶永久保存。 配置追踪器完成后，系统立即以新的规则开始记录操作。 本节介绍如何配置管理类事件追踪器。 前提条件 已开通云审计服务。 配置管理类事件追踪器 1. 登录管理控制台。 2. 在管理控制台右上角单击图标，选择区域和项目。 3. 单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务详情页面。 4. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 5. 在管理类追踪器信息右侧，单击操作下的“配置”。 6. 设置追踪器的基本信息，详见表 追踪器基本参数说明，单击“下一步”。 7. 在配置转储页面，您可以设置追踪器的转储信息。用户通过云审计控制台只能查询最近7天的操作记录，如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或配置转储到云日志服务（LTS）。具体参数说明参见表 配置转储到OBS参数说明和表 配置转储到LTS参数说明。 8. 单击“下一步 > 配置”，完成配置管理类事件追踪器。 追踪器配置成功后，您可以在追踪器信息页面查看配置的追踪器的详细信息。 说明 因为CTS所存储的事件是周期性转储到OBS桶的，因此当您配置了追踪器所对应的OBS桶后，当前转储周期内（通常为数分钟）已收到事件会转储到配置后的OBS桶中。例如当前转储周期为12:00~12:05，用户在12:02分修改了当前追踪器对应的OBS桶，那么12:00~12:02分之间收到的事件会在12:05分时转储到新配置的OBS桶中。 9. （可选）在追踪器页面，单击标签列下的，可以为该追踪器添加标签。 标签以键值对的形式表示，用于标识追踪器，便于对追踪器进行分类和搜索。此处的标签仅用于追踪器的过滤和管理。一个追踪器最多添加20个标签。 如果您的组织已经设定云审计服务的相关标签策略，则需按照标签策略规则为追踪器添加标签。详情参考表 标签说明。 表 追踪器基本参数说明 参数名称 说明 追踪器名称 默认为system，不可修改。 企业项目 选择一个企业项目。 说明 企业项目是一种云资源管理方式，由企业项目管理服务提供将云资源统一按项目管理、项目内的资源管理或成员管理。 开启企业项目的具体操作请参考《企业管理服务用户指南》中的“创建企业项目”章节。 表 配置转储到OBS参数说明 参数名称 参数说明 转储到OBS 当“转储到OBS”开关打开时，您可以选择已存在的OBS桶或直接通过配置页面新建OBS桶，并配置事件文件前缀。 如果“转储到OBS”开关关闭时，则无需配置相应参数。 选择OBS 新建OBS桶：在您填写一个桶名后系统将自动为您创建一个OBS桶。 选择已有OBS桶：选择当前区域已创建的OBS桶。 OBS桶名称 当“选择OBS”选择“新建OBS桶”时，直接新建OBS桶名称。OBS桶名称不能为空，仅支持小写字母、数字、“”和“.”，且长度范围为363个字符。禁止两个“.”相邻（如“my..bucket”），禁止“.”和“”相邻（如“my.bucket”和“my.bucket”），禁止使用ip为桶名称。 当“选择OBS”选择“选择已有OBS桶”时，可以选择已存在的OBS桶。 保存周期 管理类事件追踪器的保存周期默认沿用在OBS的配置，不支持修改。 事件文件名前缀 用于标识被转储的事件文件，该字段支持用户自定义，会自动添加在转储事件文件的文件名前端，方便用户快速进行筛选。事件文件名前缀只能由英文字母、数字、下划线（）、中划线（）和小数点（.）组成，且长度范围为064个字符。 表 配置转储到LTS参数说明 参数名称 参数说明 转储到LTS 当“转储到LTS”开关打开时，表示操作事件将转储到日志流中。 日志组名称 当“转储到LTS”开关打开时，日志组名称默认为“CTS”。如果“转储到LTS”开关关闭时，则无需配置该参数。 表 标签说明 参数 说明 举例 标签键 输入标签的键，同一个追踪器标签的键不能重复。键可以自定义，也可以选择预先在标签服务（TMS）创建好的标签的键。 键命名规则如下： 长度范围为1到128个字符。 可以包含任意语种字母、数字、空格和.:+@，但首尾不能含有空格，不能以sys开头。 Key0001 标签值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 长度范围为0到255个字符。 可以包含任意语种字母、数字、空格和.:/+@。 Value0001

参数 字段说明 用户id 用户唯一身份标识，可在统一身份认证控制台查看。 AK/SK 访问云资源时的身份凭证，如何获取请参考： 日志项目（可选） 在云日志服务中创建的日志项目，可参考： 日志项目ID（可选） 提供日志项目对应的日志项目ID，可在云日志服务控制台查看。 日志单元（可选） 在云日志服务中创建的日志单元，可参考： 日志单元ID（可选） 提供日志单元对应的日志单元ID，可在云日志服务控制台查看。 上传域名（可选） 提供需要上传日志至云日志服务的域名，若不提供则上传对应用户下的所有防护域名。 攻击类型（可选） 提供需要上传的防护事件类型，若不提供默认上传所有防护事件类型。 防护事件目前可选择：核心Web攻击事件、CC攻击事件、智能BOT事件、IP/地域黑名单、攻击惩罚。

参数 是否必填 参数类型 说明 示例 下级对象 labelSelector 否 String Kubernetes labelSelector，可通过label过滤资源；label之间通过“,”分隔，特殊符号要转义为url编码，如“”写为“%3D” name%3Daaa fieldSelector 否 String Kubernetes fieldSelector，可通过field过滤资源；label之间通过“,”分隔，特殊符号要转义为url编码，如“”写为“%3D”，以下为过滤Event常用的key及其含义： type：事件等级，有Normal和Warning两种等级 regarding.kind：产生事件资源的类型，如Pod、Node等 regarding.name：产生事件资源的名称 regarding.namesapce：产生事件资源所在的命名空间 regarding.kind%3DPod,type%3DNormal

分布式缓存服务DCS支持的事件列表 事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 在线迁移发生全量重试 migrationFullResync 次要 在线迁移在重试时，因无法进行增量同步，而触发了全量同步。 确认是否发生反复的全量重试，需要检查到源端的网络连接是否正常，是否源端压力过大。如果反复全量重试，联系运维人员处理。 迁移任务与源实例发生中断，重新触发了全量同步，可能导致源实例CPU冲高。 Redis主从倒换 masterStandbyFailover 次要 Redis主节点异常，触发主从倒换机制，备节点升主。 检查原主节点状态，修复异常节点。 无。 Memcached主从倒换 memcachedMasterStandbyFailover 次要 Memcached主节点异常，触发主从倒换机制，备节点升主。 检查业务是否自愈。如果应用未恢复，需要重启应用进行恢复。 实例长连接会中断。 Redis节点状态异常 redisNodeStatusAbnormal 重要 Redis节点状态异常。 检查业务是否受影响，如果影响联系运维人员处理。 节点状态异常，主节点异常会自动主备切换。从节点异常，如果客户端直连从节点进行读写分离，读操作会出现异常。 Redis节点状态恢复正常 redisNodeStatusNormal 重要 Redis节点从异常恢复正常。 检查业务是否恢复。如果应用未重连，需要重启应用进行恢复。 异常恢复事件。 数据迁移同步失败 migrateSyncDataFail 重要 执行在线迁移任务时，迁移任务失败。 重新配置迁移任务重试迁移。如果仍然失败，联系运维人员处理。 数据迁移失败。 Memcached实例状态异常 memcachedInstanceStatusAbnormal 重要 Memcached节点状态异常。 检查业务是否受影响，如果影响联系运维人员处理。 Memcached实例状态异常,实例可能无法访问。 Memcached实例状态异常恢复 memcachedInstanceStatusNormal 重要 Memcached节点从异常恢复正常。 检查业务是否恢复。如果应用未重连，需要重启应用进行恢复。 异常恢复事件。 实例备份失败 instanceBackupFailure 重要 DCS实例备份失败，一般可能是由于访问OBS失败等原因导致。 手动备份进行重试。 自动备份失败。 实例节点异常重启 instanceNodeAbnormalRestart 重要 一般是由于DCS实例节点异常后重启导致。 检查业务是否自愈。如果应用未恢复，需要重启应用进行恢复。 实例长连接会中断。 终止超时lua脚本 scriptsStopped 提醒 一般是由于lua脚本运行时间过长，自动终止脚本运行。 优化lua脚本，防止执行超时。 lua脚本执行时间超长，被强制中断。lua脚本执行时间过长，会阻塞整个实例。 节点自动重启 nodeRestarted 提醒 一般是由于lua脚本运行时间过长，并且已执行写操作，自动重启节点终止脚本运行。 检查业务是否自愈。如果应用未恢复，需要重启应用进行恢复。 实例长连接会中断。

参数 说明 pipeline.workers 并行执行管道的Filters+Outputs阶段的工作线程数，默认值为CPU核数，建议取值为120之间。 pipeline.batch.size 单个工作线程在尝试执行其Filters和Outputs之前将从inputs收集的最大事件数，该值较大通常更有效，但会增加内存开销，默认为125。 pipeline.batch.delay 创建管道事件批时，在将过小的批调度到管道工作线程之前，等待每个事件的时间（以毫秒为单位），默认值为50。 queue.type 用于事件缓冲的内部队列模型。memory为基于内存的传统队列，persisted为基于磁盘的ACKed持久化队列，默认值为memory。 queue.checkpoint.writes 如果使用持久化队列，则表示强制执行检查点之前写入的最大事件数，默认值为1024。 queue.maxbytes 如果使用持久化队列，则表示持久化队列的总容量，确保磁盘的容量大于该值，默认值为1024。 单位：MB。

本文主要介绍价格说明 云审计服务本身免费，包括开通追踪器、事件跟踪以及7天内事件的存储和检索。 但云审计提供的事件文件转储功能需要使用对象存储服务，会产生对象存储服务费用，相关费用信息请参考对象存储服务文档。

接口描述 开启或关闭PostgreSQL历史事件功能 请求方法 POST URI /v1/event/modifyactioneventpolicy 请求参数 名称 位置 类型 必选 说明 enableEventLog query Boolean 是 开启或关闭历史事件功能 响应参数 名称 二级节点 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object 所有的返回信息都以JSON形式保存 enableEventLog Boolean 历史事件开启情况 true：开启 false：关闭 示例 请求示例 /v1/event/modifyActionEventPolicy { "enableEventLog":false } 响应示例 { "message": "SUCCESS", "returnObj": { "enableEventLog": true }, "statusCode": 800 } 错误码 访问ErrorCodes说明文档查看更多错误码。