参数 说明 事件处理并发数 选择作业并行处理的数量，最大并发数为10。 事件检测间隔 配置事件检测时间间隔。时间间隔单位可以配置为秒或分钟。 失败策略 选择调度失败后的策略： 结束调度 忽略失败，继续调度

本文向您介绍如何查看并导出CC攻击事件详情。 简介 天翼云WAF默认提供CC攻击事件，详细记录CC攻击事件攻击产生的时间、攻击时长和攻击详情，并且支持导出攻击事件。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见快速接入WAF 开通标准版及以上版本支持开启CC防护，识别CC攻击将自动拦截并生成攻击日志 操作步骤 1. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【日志管理】—【CC攻击事件】页面 2. 通过域名、时间周期进行组合查询攻击日志 字段说明： 峰值QPS：CC攻击峰值QPS 攻击开始时间：CC攻击开始的时间 攻击结束时间：CC攻击结束的时间 攻击时长：CC攻击持续的时间 攻击详情：CC攻击QPS变化趋势、攻击请求数最高的前10个客户端IP、被攻击请求数最高的前10个URL

本章主要介绍停用/启用追踪器。 操作场景 云审计服务管理控制台支持停用/启用已创建的追踪器。追踪器停用成功后对已有的操作记录没有影响。 本节介绍如何停用/启用追踪器。 使用限制 停用追踪器后，操作事件仍可以正常上报到云审计服务。您可以在事件列表查看已有的7天内的操作记录，也能查看新的操作记录和接收关键事件通知，但是您无法转储事件至OBS/LTS。 前提条件 已开通云审计服务。 操作步骤 1. 登录管理控制台。 2. 在管理控制台右上角单击图标，选择区域和项目。 3. 单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务详情页面。 4. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 5. 在管理类追踪器信息右侧，单击操作下的“停用”。 6. 单击“确定”，停用追踪器。追踪器停用成功后，操作下的“停用”切换为“启用。 7. 如果您需要重新启用管理类追踪器，单击“启用 > 确定”。

威胁告警事件 默认“实时监控”并上报威胁告警事件，支持检测和呈现威胁告警事件，包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 威胁告警事件说明： 告警名称 威胁告警说明 DDoS “实时检测”互联网主机的DDoS攻击。 共支持检测100+种子类型DDoS威胁。 网络层攻击 NTP Flood攻击、CC攻击等。 传输层攻击 SYN Flood攻击、ACK Flood攻击等。 会话层攻击 SSL连接攻击等。 应用层攻击 HTTP Get Flood攻击、HTTP Post Flood攻击等。 暴力破解 “实时检测”入侵资产的行为和主机资产内部的风险，检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击，以及检测资产账户是否被破解异常登录。 共支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破解（2种）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3种）、HTTP暴力破解（4种）、Telnet暴力破解。 接入的HSS服务上报的告警事件 包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。 Web攻击 “实时检测”Web恶意扫描器、IP、网马等威胁。 共支持检测38种子类型的Web攻击威胁。 支持检测的Web攻击威胁 包括Webshell攻击（3种）、跨站脚本攻击、代码注入攻击（7种）、SQL注入攻击（9种）、命令注入攻击。 接入的HSS服务上报的告警事件 包括Webshell攻击、Linux网页篡改、Windows网页篡改。 接入的WAF服务上报的告警事件 包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。 后门木马 “实时检测”资产系统是否存在后门木马风险，以及被后门木马程序入侵后的恶意请求行为。 共支持检测5种子类型的后门木马威胁。 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。 检测资产被植入木马特性 检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序，被入侵后访问HFS下载服务器等。 僵尸主机 “实时检测”资产被入侵后对外发起攻击的威胁。 共支持检测7种子类型的僵尸主机威胁。 对外发起SSH暴力破解 对外发起RDP暴力破解 对外发起Web暴力破解 对外发起MySQL暴力破解 对外发起SQLServer暴力破解 对外发起DDoS攻击 被入侵后安装挖矿程序 异常行为 “实时检测”资产系统异常变更和操作行为。 共支持检测21种子类型的异常行为威胁。 支持检测的异常行为威胁 包括文件系统被扫描、CMS V1.0漏洞、敏感文件被访问。 接入的HSS服务上报的告警事件 包括系统成功登录审计事件、文件目录变更监测事件、混杂模式网卡、异常权限用户、反弹Shell、异常Shell、高危命令执行、异常自启动、文件提权、进程提权、Rootkit程序。 接入的WAF服务上报的告警事件 包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、IP黑白名单、非法访问。 漏洞攻击 “实时检测”资产被尝试使用漏洞进行攻击。 共支持检测2种子类型的漏洞攻击威胁。 WebCMS漏洞攻击 命令控制 “实时检测”资产可能被命令与控制服务器（C&C，Command and Control Server）远程控制，访问与恶意软件或建立与恶意软件之间的链接。 共支持检测3种子类型的命令控制威胁。 监控主机存在访问DGA域名行为 监控主机存在访问恶意C&C域名行为 监控主机存在恶意C&C通道行为

本文介绍了如何进行防火墙入侵防御配置。 云防火墙提供“网络攻击防护”，帮助您检测常见的网络攻击。 对业务的影响 调整防护模式时，建议您优先开启“观察模式”，等待业务运行一段时间排查误拦截后，再逐步更换至“拦截模式”。 调整IPS防护模式拦截网络攻击 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“攻击防御> 入侵防御”，进入“入侵防御”界面，保持“基础防御”右侧开关开启。 5. 选择合适的防护模式。 观察模式：仅对攻击事件进行检测并记录到“攻击事件日志”中，不做拦截。 拦截模式：在发生明确攻击类型的事件和检测到异常IP访问时，将实施自动拦截操作。 拦截模式宽松：防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。 拦截模式中等：防护粒度中等。满足大多数场景下的防护需求。 拦截模式严格：防护粒度精细，全量拦截攻击请求。 说明 建议您优先开启“观察模式”，等待业务运行一段时间后，再逐步更换至“拦截模式”，查看攻击事件日志，请参见“攻击事件日志”。 如果存在误拦截情况，可对基础防御规则库的单条防御规则进行动作修改。具体操作请参见“IPS规则管理”。

本小节介绍服务器安全卫士告警列表的操作步骤。 告警列表提供对上报告警的病毒事件的查看、分析和处理能力。 具体操作 查看病毒详情 提供对病毒详细信息的查看，包含病毒引擎分析后的检测说明、病毒文件的静态信息以及病毒进程的进程相关信息。 下载病毒文件 提供对病毒的下载，用户可对想进一步分析的病毒进行下载，病毒文件已上传服务端，故主机上无论是否仍存在该病毒，都可以进行下载，下载的文件为病毒的真实文件，请注意在安全的环境下进行下载。 处理病毒 对病毒提供各项处理能力，处理操作皆支持批量，包含： 1）支持对病毒进行进程阻断、文件隔离和文件删除，其中隔离和删除成功后的病毒认为已修复，已修复事件将移出告警列表，可在告警列表的修复历史功能中进行查看； 2）确认为非病毒时可将该事件加入受信任区，加入受信任区后，相同的病毒在该主机上将不再进行告警，可在受信区中查看该事件记录； 3）修复后可将病毒事件标记为已修复，标记为已修复的事件同样将移出告警列表，可在告警列表的修复历史功能中进行查看，其操作人为当时手动操作的账号名。

参数 参数类型 说明 示例 下级对象 value Integer 事件统计数量 5 samplingTime Integer 事件统计采样时间,秒级 1667815639

AAS列表 列表展示AAS趋势对应的等待事件、来源、数据库、用户、SQL维度对象信息，SQL维度的对象信息展示SQL模板，每个SQL模板可以展开查询对应的SQL明细信息，SQL维度的SQL模板性能字段支持扩展，点击设置按钮，可选择更多字段，每个维度的对象支持单选查看对应的AAS趋势。 性能监控指标 展示上方性能趋势选择框时间范围的关键性能指标。 平均活跃会话计数算法 概述 平均活跃会话用于评估在一段时间内，实例中平均有多少个会话同时处于活动状态。选定的时间周期越长，统计的平均活跃会话数时间颗粒度越粗。 计算方式 性能洞察每3秒会对实例进行活跃会话信息的采集，平均活跃会话数特定时间段内的会话总数/特定时间段内的采集次数。 示例如下，在采集3次活跃会话快照信息的时间间隔内，平均有7个会话处于活动状态。 采集序列 活跃会话数 平均活跃会话数 计算过程 1 6 6 会话总数6/采集次数1 2 0 3 会话总数6/采集次数2 3 15 7 会话总数21/采集次数3 MySQL等待事件说明 概述 等待事件表示当前SQL 语句正在等待特定事件，事件结束后SQL才能继续运行，等待事件说明了SQL运行过程中受到阻塞的具体阶段，是衡量数据库负载的一个重要参考维度。 总体来说，活跃会话的SQL在执行过程中，会处于CPU执行或资源等待状态，比如等待写入binlog，等待数据文件扫描等。 在优化数据库整体负载时，常见的场景是少量的SQL模板在等待某些资源上花费了大量的时间，通过性能洞察可以对TOP等待的对象进行针对性识别、分析和优化。 有关MySQL 等待事件的信息，请参阅 MySQL官方文档。

功能模块 功能详情 事件管理 集中呈现事件详情，支持人工转事件、自动化转事件。 告警管理 通过集成各云服务告警，包含HSS、WAF、DDoS等，集中呈现告警信息。 情报管理 支持接入各云服务情报，同时也可以基于告警和事件自定义规则提取指标。 智能建模 支持构建告警模型。 安全分析 查询与分析 检索分析：支持数据的快捷检索分析，支持安全调查场景安全数据的快速筛留、筛除等操作，快速定位关键数据。 筛选统计：支持数据字段快速分析统计，并基于分析结果进行数据的快速筛选；时序数据支持默认时间分区统计，快速识别数据量的变化趋势，支持基于时间分区的快速筛选；支持分析、统计、排序等丰富统计分析函数，支撑快速构建安全分析模型。 可视化：支持数据可视化分析，直观反映业务结构性和趋势性特征，并基于此构建自定义分析报告和分析指标。 安全分析 数据监控 支持数据流量端到端的监控管理。 安全分析 数据消费 提供数据消费和生产的流式通信接口，提供数据管道集成SDK，支持租户利用SDK进行系统集成，支持客户自定义数据的生产和消费。 提供Logstash开源采集软件插件，支持利用开源生态进行数据消费和生产。

section1588682602717 " ")QPS计算方式。 QPS（Queries Per Second）即每秒钟的请求量，例如一个HTTP GET请求就是一个Query。 发送/接收字节数 域名访问的占用带宽。 发送、接收字节数是通过requestlength，upstreambytesreceived按时间进行累加统计，与EIP上监控的网络带宽值存在差异。此外，造成两者差异的原因，还可能跟网页压缩、连接复用、TCP重传等因素相关。 响应码 可以查看“WAF返回客户端”和“源站返回给WAF”对应响应码以及响应次数。 响应码的数量是按照图表下方响应码的顺序（从左至右）累加进行显示，对应响应码的数量是为两条线的差值（如果某个响应码值为0，会与前一个的响应码显示的线重合）。 事件分布 查看攻击事件类型。 单击“事件分布”中的任意一个区域，可查看指定域名被攻击的类型、攻击的次数、以及攻击占比。 受攻击域名 Top10 受攻击统计次数Top 10的域名以及各域名受攻击的次数。 单击“查看更多”，可以跳转到“防护事件”页面，查看更多防护数据。 攻击源IP Top10 攻击次数Top 10的攻击源IP以及各源IP发起的攻击次数。 单击“查看更多”，可以跳转到“防护事件”页面，查看更多防护数据。 受攻击URL Top10 受攻击统计次数Top 10的URL以及各URL受攻击的次数。 单击“查看更多”，可以跳转到“防护事件”页面，查看更多防护数据。

防护效果 假如已添加域名“www.example.com”，且已开启了Web基础防护的“常规检测”，防护模式为“拦截”。您可以参照以下步骤验证WAF防护效果： 步骤1 清理浏览器缓存，在浏览器中输入防护域名，测试网站域名是否能正常访问。 不能正常访问，参照章节：网站接入WAF步骤一：添加防护网站 重新完成域名接入。 能正常访问，执行步骤2。 步骤2 清理浏览器缓存，在浏览器中输入“ 步骤3 返回Web应用防火墙控制界面，在左侧导航树，单击“防护事件”，进入“防护事件”页面，查看防护域名拦截日志，您也可以：下载防护事件数据 。 配置示例拦截SQL注入攻击 假如防护域名“www.example.com”已接入WAF，您可以参照以下操作步骤验证WAF拦截SQL注入攻击。 步骤1 开启Web基础防护的“常规检测”，并将防护模式设置为“拦截”。 步骤2 开启Web基础防护。 步骤3 清理浏览器缓存，在浏览器中输入模拟SQL注入攻击（例如， 11）。WAF将拦截该访问请求，拦截页面示例如图所示。 步骤 4 返回Web应用防火墙管理控制台，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，您可以查看该防护事件。

本节主要介绍数据管理操作 表管理 1. 在“对象列表”下选择“表”页签。单击“新建表”，输入表名、存储引擎、字符集、校验视角、备注、高级选项等信息。 2. 确认无误后，单击“下一步”。添加表的字段信息。 3. 确认无误后，依次单击“下一步”，添加虚拟列、索引和外键。 4. 确认无误后，单击“立即创建”并在SQL预览窗口再次确认，有误请单击“返回修改”，无误请单击“执行脚本”即可建表成功。 视图管理 1. 在“对象列表”下选择“视图”页签。单击“新建视图”，输入视图名称、安全性、定义者、检查选项、算法和“视图定义”等信息。 2. 确认无误后，单击“立即创建”并在“请确认视图定义脚本”窗口再次确认，有误请单击“返回修改”，无误请单击“执行脚本”即可创建成功。 存储过程管理 1. 在“对象列表”下选择“存储过程”页签。单击“新建存储过程”，输入存储过程名称和描述信息。 2. 确认无误后，单击“确定”。页面跳转到“新建存储过程”的SQL预览页面。 3. 在SQL预览页面中单击“选项”，对存储过程的SQL Security、确定性、数据访问等进行配置。 4. 确认无误后，单击“保存”。单击取消，再跳转至预览窗口修改。 5. 确认无误后，单击“执行”即可创建成功。 事件管理 1. 在“对象列表”下选择“事件”页签。单击“新建事件”，输入事件名称、状态、备注、执行时间定义、事件定义语句等信息。 2. 确认无误后，单击“立即创建”并在“请确认事件定义脚本”窗口再次确认，有误请单击“返回修改”，无误请单击“执行脚本”即可创建成功。

本节主要介绍操作跟踪相关问题。 什么是OOS 操作跟踪 (CloudTrail)？ 操作跟踪用于记录OOS账户的管理事件，并将产生的跟踪日志保存到指定的OOS存储桶中。记录的信息包括用户的身份，请求时间，源IP地址，请求参数以及服务返回的响应元素等，便于您实时了解账户的操作情况及合规性审查。 为什么要使用 CloudTrail？ CloudTrail 可记录每个管理类操作的信息，包括请求的发出方、请求的时间、使用的服务、执行的操作等，这些信息能够帮助您实时跟踪 OOS 资源的变更情况，帮助您确认操作性问题。具体记录内容，详见管理事件记录。 CloudTrail支持查询多久的操作事件？ 通过CloudTrail可以查看近6个月内的管理事件记录，同时您可以对账户内的敏感操作设置跟踪日志，CloudTrail会将账户活动以日志的方式发送到您指定的OOS存储桶进行持久化存储。详见管理事件记录。 单个账户最多支持创建几个跟踪？ 单个账户最多支持创建10个跟踪，创建操作跟踪可以参考跟踪列表或CreateTrail。

此小节介绍如何查看监控报表和拦截报告。 查看监控报表 用户可以查看单个公网IP的监控详情，包括当前防护状态、当前防护配置参数、24小时的流量情况、24小时的异常事件等。 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS服务管理界面。 4. 选择“公网IP”页签，在需要查看监控报表的公网IP所在行的“操作”列，单击“查看监控报表”。 5. 在“监控报表”界面，可以查看公网IP报表的详细指标。 可查看包括当前防护状态、当前防护配置参数、24小时流量情况、24小时异常事件等信息。 24小时防护流量数据图，以五分钟一个数据点描绘的流量图，主要包括以下方面： 流量图展示所选云服务器的流量情况，包括服务器的正常入流量以及攻击流量。 报文速率图展示所选云服务器的报文速率情况，包括正常入报文速率以及攻击报文速率。 近1天内攻击事件记录表：近1天内云服务器的DDoS事件记录，包括清洗事件和黑洞事件。 说明 支持将监控报表下载到本地，查看公网IP报表的详细指标信息。 在流量监控报表页面，单击图例，报表中将只显示“攻击流量”或“正常入流量”信息。 在报文速率监控报表页面，单击图例，报表中将只显示“攻击报文速率”或“正常入报文速率”信息。

本章节介绍一种应用启动异常的排查思路 概述 MSAP发布应用到容器后，变更记录显示变更失败，容器组（Pod）运行状态一直处于启动中状态，这是一种异常状态。这种异常的发生存在多种原因，此处给出一种排查应用启动异常的排查思路。 应用启动异常排查思路 查看事件 在应用实例详情页面，容器组（Pod）列表，点击容器对应的事件按钮，查看容器相关事件。此步骤主要排除部署配置和容器平台异常。 查看日志 容器相关事件正常时，下一步去查看容器相关日志信息。在应用实例详情页面，容器组（Pod）列表，点击容器对应的日志按钮，此步骤主要确定容器启动失败原因。 从日志可以判断该应用配置的Java启动参数有问题，导致应用启动失败。

告警的处置方式说明 告警常见的处置方式有一键阻断或解封、关闭告警、删除告警、告警转事件或关联事件、新增告警、编辑告警、导入导出告警。 处置方式 使用场景说明 一键阻断或解封 一键阻断：通过一键阻断配置阻断策略，拦截恶意IP或非法IAM用户的访问。 一键解封：解除对一键阻断策略中配置的IP或IAM用户的访问拦截，仅针对下发过“一键阻断”操作且执行成功的告警才可以执行“一键解封”操作。 关闭告警 确认告警已处理完成，问题已解决，可选择关闭告警。 删除告警 当满足如下场景，用户可选择删除告警。仅用户自定义新增的告警或导入的告警支持删除操作，且告警删除后将无法恢复。 当用户确认该条告警是无效或无关告警； 确认是重复冗余告警； 确认是过期或历史告警，且无需保留告警数据，无需后续处理动作的告警。 告警转事件或关联事件 当收到告警信息且经过分析后，如果发现有攻击成功或有其他较为严重影响的，则需要进行单独处理，可以将它转为事件或关联事件。 新增告警 态势感知（专业版）支持管理云上资产和云外资产，资产管理更多信息请参见资产管理概述。其中，云上资产的告警可以通过接入日志数据自动同步到态势感知（专业版），云外资产的告警数据需要用户在态势感知（专业版）通过[新增告警](

参数 参数类型 说明 示例 下级对象 service String 产品服务 ecs dimension String 产品维度 ecs serviceDesc String 产品服务描述 云主机 dimensionDesc String 产品维度描述 云主机 event String 事件 policytaskfailed eventDesc String 事件描述 策略任务失败告警 count Integer 告警次数 2

名称 描述 EventSelectors.ReadWriteType 管理事件的读写类型： ReadOnly：只读。 WriteOnly：只写。 All：所有管理事件。 TrailARN 跟踪的ARN。

本章介绍如何停用/启用追踪器。 操作场景 云审计服务管理控制台支持停用/启用已创建的追踪器。追踪器停用成功后，系统将不再记录新的操作，但是您依旧可以查看已有的操作记录。 本节介绍如何停用/启用追踪器。 使用限制 停用数据类追踪器后，操作事件无法上报到云审计服务。您可以在事件列表查看已有的7天内的操作记录，但是您无法查看新的操作记录、转储事件至OBS/LTS。 前提条件 已在云审计服务中成功创建数据类追踪器。 停用/启用数据类事件追踪器 1. 登录管理控制台。 2. 在管理控制台右上角单击图标，选择区域和项目。 3. 单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务详情页面。 4. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 5. 在数据类追踪器信息右侧，单击操作下的“停用”。 6. 单击“确定”，停用追踪器。追踪器停用成功后，操作下的“停用”切换为“启用”。 7. 如果您需要重新启用追踪器，单击“启用 > 确定”，则系统重新开始记录新的操作。

此小节介绍云堡垒机等保最佳实践。 为助力企业通过等保合规测评，本文为您介绍云堡垒机各项功能与等保相关条款的对应关系，以便您有针对性地提供佐证材料。 等保三级相关条款 该最佳实践将主要聚焦于满足以下等保条例的考察内容： 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。 应对登录的用户分配账户和权限。 应重命名或删除默认账户，修改默认账户的默认口令。 应及时删除或停用多余的、过期的账户，避免共享账户的存在。 应授予管理用户所需的最小权限，实现管理用户的权限分离。 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则。 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

告警管理中的静默规则能够有效聚合告警信息，避免出现告警风暴现象。您可通过配置静默规则，自定义与告警事件相匹配的筛选条件，当满足相应条件时，符合要求的告警事件将被静默处理，不再进入后续的通知流程。 新建静默策略 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理>静默策略。 2. 在静默策略页面单击新建静默策略。 3. 在新建静默策略页面设置静默策略名称。 4. 在静默事件匹配规则区域设置静默事件的匹配规则： 注意 静默策略优先于通知策略，即已被静默策略匹配到的告警事件将会被静默，无法再进行通知策略的事件匹配。创建通知策略的操作，请参见【通知策略】。 1. 选择数据来源。 指定来源：静默策略会针对指定来源（集成）的告警事件进行匹配规则过滤。 无预设来源：静默策略会针对所有告警事件进行匹配规则过滤。 2. 设置匹配规则表达式，您可以自定义标签或选择已有的标签。 已有的标签包括： 告警规则表达式指标中携带的标签。 系统自带的默认标签，默认标签说明如下。 分类 标签 说明 常用字段 alertname 告警规则名称 常用字段 carmsobjid 告警对象ID 常用字段 carmsobjtype 告警对象类型 常用字段 carmsobjname 告警对象名称 常用字段 alertGroup 告警规则的group属性 系统预置字段 ctyunarmsregioncode 资源池编码 系统预置字段 ctyunarmsregionname 资源池名称 系统预置字段 ctyunarmstenantcode 租户编码 系统预置字段 ctyunarmstenantname 租户名称 系统预置字段 ctyunarmsalertlevel 告警等级： 1一般 2次要 3重要 4紧急 系统预置字段 ctyunarmsalertruleid 告警规则ID 系统预置字段 ctyunarmsnotifystrategyid 告警通知策略ID 系统预置字段 ctyunarmsintegrationname 集成名称，ARMS默认上报的告警集成名称为ARMSDEFAULT。 系统预置字段 ctyunarmsalertrulefrequency 告警通知频率 说明 如果需同时满足多个匹配规则才告警，则单击添加条件编辑第二条匹配规则条件。 如果需满足任意一个匹配告警事件规则就告警，则单击添加规则编辑第二条匹配规则。 3. 设置静默规则生效时间。 持续生效 循环生效：选择每天或每周循环，然后单击添加，设置静默规则生效时间段。 自定义时间段：单击添加，自定义设置静默规则生效时间段。 4. 设置完成后，单击确认。

告警管理中的静默规则能够有效聚合告警信息，避免出现告警风暴现象。您可通过配置静默规则，自定义与告警事件相匹配的筛选条件，当满足相应条件时，符合要求的告警事件将被静默处理，不再进入后续的通知流程。 新建静默策略 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理>静默策略。 2. 在静默策略页面单击新建静默策略。 3. 在新建静默策略页面设置静默策略名称。 4. 在静默事件匹配规则区域设置静默事件的匹配规则： 注意 静默策略优先于通知策略，即已被静默策略匹配到的告警事件将会被静默，无法再进行通知策略的事件匹配。创建通知策略的操作，请参见【通知策略】。 1. 选择数据来源。 指定来源：静默策略会针对指定来源（集成）的告警事件进行匹配规则过滤。 无预设来源：静默策略会针对所有告警事件进行匹配规则过滤。 2. 设置匹配规则表达式，您可以自定义标签或选择已有的标签。 已有的标签包括： 告警规则表达式指标中携带的标签。 系统自带的默认标签，默认标签说明如下。 分类 标签 说明 常用字段 alertname 告警规则名称 常用字段 carmsobjid 告警对象ID 常用字段 carmsobjtype 告警对象类型 常用字段 carmsobjname 告警对象名称 常用字段 alertGroup 告警规则的group属性 系统预置字段 ctyunarmsregioncode 资源池编码 系统预置字段 ctyunarmsregionname 资源池名称 系统预置字段 ctyunarmstenantcode 租户编码 系统预置字段 ctyunarmstenantname 租户名称 系统预置字段 ctyunarmsalertlevel 告警等级： 1一般 2次要 3重要 4紧急 系统预置字段 ctyunarmsalertruleid 告警规则ID 系统预置字段 ctyunarmsnotifystrategyid 告警通知策略ID 系统预置字段 ctyunarmsintegrationname 集成名称，ARMS默认上报的告警集成名称为ARMSDEFAULT。 系统预置字段 ctyunarmsalertrulefrequency 告警通知频率 说明 如果需同时满足多个匹配规则才告警，则单击添加条件编辑第二条匹配规则条件。 如果需满足任意一个匹配告警事件规则就告警，则单击添加规则编辑第二条匹配规则。 3. 设置静默规则生效时间。 持续生效 循环生效：选择每天或每周循环，然后单击添加，设置静默规则生效时间段。 自定义时间段：单击添加，自定义设置静默规则生效时间段。 4. 设置完成后，单击确认。

启动/停止 对于暂时不用的告警策略，您可以操作停止。 告警事件历史 点击跳转告警事件历史菜单，显示该告警规则触发的实际告警记录。

启动/停止 对于暂时不用的告警策略，您可以操作停止。 告警事件历史 点击跳转告警事件历史菜单，显示该告警规则触发的实际告警记录。

本小节介绍安全专区总览风险事件展示等。 安全态势 威胁信息统计展现待处理告警、待处理漏洞及待处理基线，实时展示威胁统计状态。 风险事件 实时反馈补丁漏洞相关风险，对资产在使用过程中暴露的问题进行实时告警，自动检测产生安全风险评估、分析并给出处理导向。 查看方法： 1.点击【去处理】，进入相关的组件进行具体事件的分析处置。 2.安全专区总览查询后，可打开左侧边栏主菜单。

如何区分告警和事件？ 告警和事件的相同点 在AOM中告警和事件都是指AOM自身，或ServiceStage、CCE等外部服务在某种状态发生变化后上报给AOM的信息。 告警和事件的区别 告警是AOM自身，或ServiceStage、CCE等外部服务在异常情况或在可能导致异常情况下上报的信息，并且您需采取相应措施清除故障，否则会由于AOM自身或外部服务的功能异常而引起业务的异常。 事件是告诉您AOM自身，或ServiceStage、CCE等外部服务发生了某种变化，但不一定会引起业务异常，事件一般用来表达一些重要信息。您不用对事件进行处理。 时间范围和统计周期的关系？ AOM约束单个指标单次查询最大返回1440个数据点，因此统计周期与时间范围的关系如下所示： 最大可查询时间范围统计周期×1440 当您选中的查询时间范围小于等于最大可查询时间范围时，所有满足以上条件的统计周期可以被选择。例如，查询1小时的指标时，可选的统计周期为1分钟和5分钟。 时间范围与统计周期的关系如下表所示，监控关系如下表所示。 时间范围和统计周期关系表 时间范围 统计周期 :: 近1小时 1分钟、5分钟 近6小时 1分钟、5分钟、1小时 近1天 1分钟、5分钟、1小时 近1周 1小时、1天 说明 1天只针对日志统计规则生成的指标。 近15天 1小时、1天 说明 1天只针对日志统计规则生成的指标。 近30天 1小时、1天 说明 1天只针对日志统计规则生成的指标。 近3月 1小时、1天 说明 1天只针对日志统计规则生成的指标。 近6月 1小时、1天 说明 1天只针对日志统计规则生成的指标。 近9月 1小时、1天 说明 1天只针对日志统计规则生成的指标。 近12月 1小时、1天 说明 1天只针对日志统计规则生成的指标。

步骤2：检查磁盘挂载状态 变更规格时，可能会发生磁盘挂载失败的情况，因此，变更规格后，需检查磁盘挂载状态是否正常。如果正常，则变更成功。 Windows弹性云主机 详细操作请参考Windows弹性云主机变更规格后数据盘脱机怎么办？ Linux弹性云主机 详细操作请参考Linux弹性云主机变更规格后磁盘脱机怎么办？ 后续处理 如果变更规格失败，请到云审计页面查看失败原因。具体操作如下： 1. 登录管理控制台。 2. 选择“管理与部署 > 云审计服务”。 3. 在左侧导航栏，选择“云审计 > 事件列表”。 4. 在“事件名称”栏，根据“资源ID”查找到名称为“resizeServer”的规格变更失败事件。其中，“资源ID”为规格变更失败的弹性云主机ID。 5. 单击“操作”列下的“查看事件”，查看失败原因。如果无法根据日志解决问题，可联系客服。

VPN连接支持对用户操作进行审计,本文介绍相关操作说明。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 事件名称 资源类型 创建SSL服务端 SSL VPN 删除SSL服务端 SSL VPN 创建SSL客户端 SSL VPN 删除SSL客户端 SSL VPN 创建IPsec连接 IPsec VPN 删除IPsec连接 IPsec VPN 说明 仅集群模式资源池支持

防护效果 假如已添加域名“www.example.com”，且配置了“阻断”防护动作的CC防护规则。可参照以下步骤验证防护效果： 步骤1 清理浏览器缓存，在浏览器中输入防护域名，测试网站域名是否能正常访问。 不能正常访问，参照章节网站接入WAF重新完成域名接入。 能正常访问，执行步骤2。 步骤2 清理浏览器缓存，在浏览器中访问满足Cookie条件的“ 如果您设置了“人机验证”防护动作，当用户访问超过限制后需要输入验证码才能继续访问。 步骤3 返回Web应用防火墙控制界面，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，查看防护域名拦截日志，您也可以：下载防护事件数据。 配置示例人机验证 假如防护域名“www.example.com”已接入WAF，您可以参照以下操作步骤验证人机验证防护效果。 步骤1 添加防护动作为“人机验证”CC防护规则。 步骤2 开启CC攻击防护。 步骤3 清理浏览器缓存，在浏览器中访问“ 当您在60秒内访问页面10次，在第11次访问该页面时，页面弹出验证码。此时，您需要输入验证码才能继续访问。 步骤4 返回Web应用防火墙管理控制台，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，您可以查看该防护事件。

层 层是对函数运行时、函数公共依赖库、函数扩展等的分层拆分。通过层的拆分，可以实现层的共享和复用，减小代码包体积、提升函数部署速度。更多信息，请参考层管理。 触发器 在事件驱动模型中，事件源是事件的生产者，函数是事件的处理者（消费者），而触发器是连接两者的桥梁。触发器集中管理不同事件源的事件，当满足触发器定义的规则时，事件触发函数调用。更多信息，请参考触发器简介。 自定义域名 用户可以为配置了HTTP触发器的函数或应用绑定用户自己定义的域名。使用自定义域名，用户可以通过固定的、有特定标识的域名访问函数计算服务。也可以为自定义域名提供CDN加速，提供更好的用户体验。更多信息，请参考配置自定义域名。 弹性实例 函数计算的最主要实例类型。此类实例会根据实时业务流量弹性伸缩，适用于流量突发、计算密集等场景。更多信息，请参考实例类型及使用模式。 按量模式 顾名思义，根据业务量大小，按需由系统自动计算、分配和释放函数实例。更多信息，请参考实例类型及使用模式。 预留模式 将函数计算的实例分配和释放交给用户管理。当请求到达时，系统会优先将请求转发给预留的实例。当请求量超出预留实例处理能力时，再将剩余部分请求转发给按量模式的实例。 预留模式是常驻型的，可以消除冷启动高延迟对业务的影响。另一方面，预留模式也可能造成一些浪费，为了平衡响应速度和成本，可以设置定时伸缩策略。更多信息，请参考实例类型及使用模式。

应急响应 在接到用户应急响应请求后，由应急专家小组根据事件类别进行研判，通过远程或现场的方式协助用户对遇到的突发性安全事件进行紧急分析和处理。主要工作内容包括但不限于：突发事件信息收集、事件分析、分析报告提交、问题解决建议等在发生安全事件时协助业务恢复到正常服务状态，调查安全事件发生的原因，避免同类安全事件再次发生。 威胁分析溯源 安全运营专家团队利用安全编排、自动化及响应与大数据分析技术，在海量安全告警中对各类疑似安全事件的告警进行分析研判，进一步发现真实的安全事件，通过具备多年丰富经验的运营专家团队对安全事件进行深度分析、溯源，为用户判断整体威胁趋势，提供解决方案并协助用户及时进行处置。 攻击路径还原 在接到用户应急请求后，应急响应服务团队根据用户提供的信息对服务器日志、攻击者痕迹、安全设备日志及流量的分析，还原攻击者的攻击路径，理清安全事件的真实原因。 蠕虫及后门清理 基于对事件场景的探测和发现，应急响应服务团队将对用户服务器中可能隐藏的蠕虫病毒、后门程序、Rootkit等恶意软件提供清理方案，通过上机排查，使用工具和手工对服务器后门进行清除，涉及工具由服务人员自备，用户对工具进行评价后接入用户环境。

参数 参数类型 说明 示例 下级对象 eventName String 事件指标 migrationeventstart description String 事件中文描述 云主机迁移发生 value String 出现次数，告警阈值，整数格式字符串 1 period String 本参数表示算法统计周期。 5m level Integer 告警等级。取值范围： 1：紧急。 2：警示。 3：普通。 根据以上范围取值。 3