本节介绍如何开启告警通知。 通过对攻击日志进行通知设置，WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式（例如邮件或短信）发送给用户。 前提条件 已开通消息通知服务。 约束条件 在设置时间间隔内，当攻击次数大于或等于您设置的阈值时才会发送告警通知。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“系统管理 > 告警通知”，进入“告警通知”页面。 5. 单击“添加通知”，配置告警通知参数。 参数 参数说明 通知类型 选择告警通知的类型： 防护事件：WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式（例如邮件或短信）发送给用户。 通知名称 自定义该条告警的名称。 通知描述 可选参数，备注该条告警的用途。 企业项目 在下拉框中选择企业项目，该通知在选择的企业项目下生效。 通知群组 单击下拉列表选择已创建的主题或者单击“查看主题”创建新的主题，用于配置接收告警通知的终端。 告警频率 在设置时间间隔内，当攻击次数大于或等于您设置的阈值时才会发送告警通知。 事件类型 设置告警的事件类型，系统默认选择“全部”，用户也可以单击“自定义”，勾选需要告警的事件类型。 6. 配置完成后，单击“确认”，告警通知设置成功。 如果需要关闭该告警通知，在目标告警所在行的的“操作”列，单击“关闭”。 如果需要删除该告警通知，在目标告警所在行的的“操作”列，单击“删除”。 如果需要修改该告警通知，在目标告警所在行的的“操作”列，单击“修改”。

本节主要介绍跟踪列表。 进入“操作跟踪”>“跟踪列表”页面，可以查看目前账户下的所有跟踪信息，包括： 跟踪名称、日志所在存储桶、日志文件前缀、状态、操作 。 创建跟踪 可以按照下列步骤进行创建跟踪： 1. 在“管理事件记录”页面点击“创建跟踪”，或在“跟踪列表”页面点击“创建”，进入“创建跟踪”页面。 2. 根据提示创建跟踪： 设置基本信息： 填写跟踪名称 ，跟踪名称的规则如下： 3~128位字符串。 可以包含ASCII字母（az，AZ），数字（09），句点（.），下划线（）或短划线（）。 必须以字母或数字开头，以字母或数字结尾。 不能是IP地址格式（例如：192.168.5.4）。 不能包含相邻句点（.）、下划线（）、短划线（）任意组合。如不能包含类似点点（..）,点下划线（. ）的组合。 设置管理事件 ：可以将管理事件设置为下面三种类型中的一种： 所有操作：包括读操作和写操作。 读操作。 写操作。 设置存储位置 ：设置跟踪日志存储的存储位置、日志前缀和跟踪状态 。 项目 描述 :: 存储位置 操作跟踪事件存储的位置。 可以存储到现有存储桶（用户需要有对应的存储桶权限），也可以在账户中新建存储桶（用户需要有新建存储桶的权限），并将跟踪日志存储至新建的存储桶。 日志前缀 操作跟踪存储日志的前缀，0200个字符串。 指定日志前缀的存储路径为：BucketName / /OOSLogs/ /CloudTrail/ / / / 。 未指定日志前缀的存储路径为：BucketName /OOSLogs/ /CloudTrail/ / / / 。 跟踪状态 创建的跟踪状态： ON：表示跟踪日志开启。 OFF：表示跟踪日志未开启。

导出病毒告警文件 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 病毒查杀”，进入“病毒查杀”界面。 4、在病毒文件告警事件列表上方，单击“导出”，导出所有病毒文件告警事件到本地。 5、在病毒查杀界面上方查看导出状态，待导出成功后，在主机本地默认下载文件地址，获取导出的病毒文件信息。 注意 导出过程中，请勿关闭浏览器页面，否则会导致导出任务中断。 管理文件隔离 被成功隔离的病毒文件会添加到“文件隔离箱”中，无法再对主机造成威胁。您也可以根据自身需要参考本章节恢复或删除已隔离文件。 恢复已隔离的文件 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 病毒查杀”，进入“病毒查杀”界面。 4、单击界面右上角“文件隔离箱”，弹出“文件隔离箱”弹窗。 5、单击文件隔离箱列表中“操作”列的“恢复”，弹出“恢复已隔离文件”对话框。 6、单击“确认”，恢复的文件将重新回到病毒事件列表中。 说明 执行恢复操作会将恢复隔离文件，请谨慎操作。

约束条件 对于主备实例，复制延迟大于300秒无法升级小版本。 实例中存在异常节点，无法升级小版本。 目前MySQL实例最大可支持10万张表，大于10万张表时，可能会导致小版本升级失败。 云数据库MySQL暂不支持已开启事件定时器功能的实例升级内核小版本，若您想使用该功能，请先关闭事件定时器。具体操作请参考开启或关闭事件定时器。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台左上角的，选择区域和项目。 步骤3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤4 在“实例管理”页面，选择指定的主备实例，单击主实例名称。 步骤5 在“基本信息”页面，“数据库信息”模块的“数据库引擎”处，单击“升级”。 步骤6 在弹出框中，选择升级方式，单击“确定”。 立即升级：系统会立即升级您的数据库内核版本到当前最新版本。 可维护时间段内升级：系统会在您设置的可维护时间段内，升级您的数据库内核版本到当前最新版本。

本节主要介绍日志采集。 在“事件和日志”页面，点击“日志采集”，可以查看日志采集信息或者新建日志采集任务。 注意 日志信息以服务器的系统事件为准进行记录。时间被调整，或集群中服务器事件不统一，都可能导致日志信息不准确。但用户的业务数据不会受到影响。 日志采集的进程不能超过10个。 图1 日志采集（单机版） 图2 日志采集（集群版） 项目 描述 日志文件名 日志文件名称。 日志文件名命名规则：collectedlogs/hblocklogsidyyyyMMddHHmmssyyyyMMddHHmmss.zip命名。 其中： id：本次日志请求的唯一标识符。 yyyyMMddHHmmss：日志采集的起始时间和结束时间，UTC+0时间。 节点数 日志采集的服务器个数。 日志类型 日志的类型： 配置。 系统。 数据（仅集群版支持）。 协调（仅集群版支持）。 状态 日志采集的状态： 进行中。 成功。 部分成功。 失败。 操作 可以对采集的日志进行操作： 下载：下载日志文件。 删除：删除日志文件。 查看：查看日志文件的详细信息。 采集新日志 点击“采集新日志”，可以建立采集日志任务： 图3 选择日志采集 项目 描述 时间选择 选择日志采集起始和结束时间。默认采集过去2小时的日志。 日志类型 日志的类型： 所有日志类型。 部分日志类型（可以选择一个或多个日志类型）： 配置。 系统。 数据（仅集群版支持）。 协调（仅集群版支持）。 服务器范围 日志采集服务器的范围： 所有服务器。 部分服务器：可以选择一个或多个服务器。

本文介绍如何查询操作日志。 使用场景 操作日志记录了用户在控制台的新增、删除、更新操作，便于用户对操作记录进行审计。 前提条件 已开通DDoS高防（边缘云版）。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【操作日志】页面，您可以指定查询时间或操作人（支持多选）。默认将展示最近7天，所有人的操作日志。 操作日志列表包含：时间、事件名称、事件内容、操作状态、操作人。

本节主要介绍启动/停止堆栈 堆栈处于停止状态时，才能执行启动堆栈操作。处于运行状态时，才能执行停止堆栈操作。 操作步骤 步骤1：登录AOS控制台。 步骤2：在左侧导航栏中，单击“我的堆栈”。 步骤3：在堆栈列表中，单击待启动堆栈的名称。 步骤4：在堆栈详情页面，单击“启动”。 在“事件”页签，可查看启动堆栈的具体操作事件。 启动操作完成后，该堆栈即可运行。 堆栈启动成功后，若需要停止堆栈，可单击“停止”来停止运行中的堆栈。

本文主要介绍虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户企业云中资源的安全性，简化用户的网络部署。 通过云审计服务，您可以记录与虚拟私有云相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的VPC操作列表 操作名称 资源类型 事件名称 修改Bandwidth bandwidth modifyBandwidth 创建EIP eip createEip 释放EIP eip deleteEip 绑定EIP eip bindEip 解绑定EIP eip unbindEip 创建PrivateIp privateIps createPrivateIp 删除PrivateIp privateIps deletePrivateIp 创建Security Group securitygroup createSecurityGroup 创建Subnet subnet createSubnet 删除Subnet subnet deleteSubnet 修改Subnet subnet modifySubnet 创建VPC vpc createVpc 删除VPC vpc deleteVpc 修改VPC vpc modifyVpc 创建VPN vpn createVpn 删除VPN vpn deleteVpn 修改VPN vpn modifyVpn 上表中VPC的操作，为底层（OpenStack）服务触发；部分事件名称与表68中重复，是因为这些事件采用了异步调用的模式：操作下发会产生上表中描述的事件，而操作结果响应会产生表69中描述的事件。 表 云审计服务支持的VPC操作列表（由底层服务触发） 操作名称 资源类型 事件名称 创建虚拟网络 network createNetwork 更新虚拟网络 networks updateNetwork 删除虚拟网络 networks deleteNetwork 创建虚拟子网 subnets createSubnet 更新虚拟子网 subnets updateSubnet 删除虚拟子网 subnets deleteSubnet 创建虚拟端口 ports createPort 更新虚拟端口 ports updatePort 删除虚拟端口 ports deletePort 创建浮动IP floatingips createFloatingip 更新浮动IP floatingips updateFloatingip 删除浮动IP floatingips deleteFloatingip 创建虚拟路由 routes createRouter 更新虚拟路由 routes updateRouter 删除虚拟路由 routes deleteRouter 添加虚拟路由的接口 routes addRouterInterface 删除虚拟路由的接口 routes removeRouterInterface 为当前vpcrouter添加扩展路由 routes addExtraRoute 为当前vpcrouter删除指定的扩展路由 routes removeExtraRoute 创建安全组 securitygroups createSecuritygroup 删除安全组 securitygroups deleteSecuritygroup 更新安全组 securitygroups updateSecuritygroup 创建安全组规则 securitygrouprules createSecuritygrouprule 删除安全组规则 securitygrouprules deleteSecuritygrouprule 创建一个vpnservice vpn createVpnService 更新vpnservice vpn updateVpnService 删除vpnservice vpn deleteVpnService 创建密钥交换策略 vpn createVpnIkepolicy 更新密钥交换策略信息 vpn updateVpnIkepolicy 删除租户指定ikepolicy vpn deleteVpnIkepolicy 创建一个ipsecpolicy vpn createVpnIpsecpolicy 更新指定ipsecpolicy vpn updateVpnIpsecpolicy 删除指定的ipsecpolicy vpn deleteVpnIpsecpolicy 创建一个ipsec连接 vpn createVpnIpsecsiteconnection 更新ipsec连接 vpn updateVpnIpsecsiteconnection 删除指定ipsec连接 vpn deleteVpnIpsecsiteconnection Create VPN endpoint group vpn createVpnEndpointgroup Update VPN endpoint group vpn updateVpnEndpointgroup Remove VPN endpoint group vpn deleteVpnEndpointgroup 更新代理 agent updateAgent 删除代理 agent deleteAgent 指定网络使用的DHCP Agent agent createAgentDhcpnetwork 移除网络使用的DHCP Agent agent deleteAgentDhcpnetwork 更新指定租户的配额值 quota updateQuota 重置指定租户的配额值 quota deleteQuota 创建firewall group FWaaS v2 createFirewallGroup 更新firewall group FWaaS v2 updateFirewallGroup 删除firewall group FWaaS v2 deleteFirewallGroup 创建firewall policy FWaaS v2 createFirewallPolicy 更新firewall policy FWaaS v2 updateFirewallPolicy 删除firewall policy FWaaS v2 deleteFirewallPolicy firewall policy中插入firewall rule FWaaS v2 insertFirewallPolicyRule firewall policy中移除firewall rule FWaaS v2 removeFirewallPolicyRule 创建firewall rule FWaaS v2 createFirewallRule 更新firewall rule FWaaS v2 updateFirewallRule 删除firewall rule FWaaS v2 deleteFirewallRule 创建loadbalancer loadbalancer createLBaaSLoadbalancer 更新指定的loadbalancer loadbalancer updateLBaaSLoadbalancer 删除指定的loadbalancer loadbalancer deleteLBaaSLoadbalancer 创建listener listener createLBaaSListener 更新指定的listener listener updateLBaaSListener 删除指定的listener listener deleteLBaaSlistener 创建pool pool createLBaaSPool 更新指定的pool pool updateLBaaSPool 删除指定的Pool pool deleteLbaasPool 创建Member member createLBaaSPoolMember 更新指定的Member member updateLBaaSPoolMember 删除指定的member member deleteLBaaSPoolMember 创建healthmonitor healthmonitor createLBaaSHealthMonitor 更新指定的healthmonitor healthmonitor updateLBaaSHealthMonitor 删除指定的healthmonitor healthmonitor deleteLBaaSHealthMonitor

全流量分析服务 全流量分析服务通过对已接入托管检测与响应服务的云主机流量进行全面分析，人工验证病毒木马、APT攻击等安全事件，分析研判事件真实性，发现隐藏威胁，综合资产属性，制定有效的加固策略，提高托管服务价值。

本节介绍了GeminiDB Redis的关键操作说明。 通过云审计服务，您可以记录与GeminiDB Redis相关的操作事件，便于日后的查询、审计和回溯。 云审计服务支持GeminiDB Redis的关键操作请参见下表。 GeminiDB Redis的关键操作列表 操作名称 资源类型 事件名称 创建实例 instance NoSQLCreateInstance 删除实例 instance NoSQLDeleteInstance 扩容节点 instance NoSQLEnlargeInstance 缩容节点 instance NoSQLReduceInstance 重启实例 instance NoSQLRestartInstance 恢复到新实例 instance NoSQLRestoreNewInstance 磁盘扩容 instance NoSQLExtendInstanceVolume 修改实例名称 instance NoSQLRenameInstance 实例冻结 instance NoSQLFreezeInstance 实例解冻 instance NoSQLUnfreezeInstance 创建备份 backup NoSQLCreateBackup 删除备份 backup NoSQLDeleteBackup 设置备份策略 backup NoSQLSetBackupPolicy 添加实例标签 tag NoSQLAddTags 修改实例标签 tag NoSQLModifyInstanceTag 删除实例标签 tag NoSQLDeleteInstanceTag

参数 说明 规则名称 用户自定义发送订阅消息的规则名称，只能包含数字、英文字符、中划线和下划线。 提醒通知 选择开启时，将按照该订阅规则为订阅者发送对应订阅消息。 选择关闭时，该规则不会生效，即不会向订阅者发送订阅消息。 主题名称 选择已创建的主题，也可以单击“创建主题”重新创建。 消息类型 选择需要订阅的消息类型。 告警 事件 订阅规则 选择需要订阅的消息规则，可根据需要勾选全部或部分规则。 、 MRS 3.x及之后版本订阅规则： 告警：紧急，重要，次要 事件：重要，次要，提示 MRS 3.x之前版本订阅规则： 致命 严重 一般 提示

接口功能介绍 展示未操作（操作包括加入白名单、标记为已处理、忽略）的异常登录、暴力破解、漏洞风险、基线检测、弱口令、网页防篡改（若未订购网页防篡改则不显示）的实时事件，分服务器和分风险类型进行展示，包括服务器、事件行为、发现时间、操作，每页最多展示5条，每个事件最多展示5条。 接口约束 此功能为收费功能。确认已经购买服务器配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI GET /v1/index/dynamics 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 limit 是 Integer 每页数量，如5 pageNo 是 Integer 页码，如1 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 total Integer 总数 100 list Array of Objects 结果集 list pageNum Integer 当前页 1 pageSize Integer 每页的数量 10 表 list 参数 参数类型 说明 示例 下级对象 custName String 主机名称 test1 agentGuid String 主机guid 1111 publicIp String 公网ip 192.168.1.1 agentIp String 私有ip 192.168. eventAction String 事件编码 BASESCACOLLECTION基线风险 VULNERABILITY漏洞风险 WEAKPWMONGODBCOLLECTION弱口令风险 MONGOWEBPAGECHECK网页防篡改 VIRUSMONGODBCOLLECTION病毒文件 PROCESSABNORMALBEHAVIOR进程异常行为 MALICIOUSSOFTWARE恶意软件 USERABNORMALBEHAVIOR用户异常行为 MALICIOUSNETWORKCONNECTION恶意网络连接 FILEABNORMALMODIFY文件异常篡改 INSUOTHER入侵检测其他行为 BASESCACOLLECTION eventActionValue String 事件名称 基线风险 createTime String 创建时间 20200101 00:00:00 displayName String 实例名称 test1

服务功能 功能模块 功能概述 基础版 专业版 安全概览 安全评分 集中呈现资产安全风险评分和风险等级分布，同时展示当前风险防御能力。 √ √ 安全概览 安全监控 实时呈现展示待处理威胁告警、待修复漏洞、基线异常问题的安全监控统计数据 √ √ 安全概览 安全趋势 展示近7天内您的整体资产安全健康得分的趋势。 √ √ 资源管理 资源安全状况 同步资源信息，集中呈现资源整体安全状况。 × √ 威胁告警 告警列表 集中呈现威胁告警事件统计信息，导出告警事件。 √ √ 威胁告警 告警列表 通过将告警忽略、标记为线下处理，标识告警事件。 × √ 威胁告警 威胁分析 根据“攻击源”的IP查询被攻击的资产信息，亦可根据“被攻击的资产”的IP查询威胁攻击来源信息。 × √ 基线检查 云服务基线 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。 × √ 基线检查 云服务基线 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。支持查看检测结果详情，并提供相应修复建议。 × √ 检测结果 全部结果 集中呈现安全产品的检测结果，可导出结果、标识结果等。 √ √ 日志管理 日志管理 通过授权OBS存储SA日志，满足日志审计和容灾需求。 × √ 产品集成 安全产品集成 通过集成安全产品，接入安全产品检测结果，管理检测结果的数据来源。 √ √

操作步骤 1. 在顶部菜单栏选择“数据方案”>“数据追踪与回滚”打开数据追踪与回滚任务列表页面。 说明 您可根据时间范围或数据库名称等条件筛选查询。 您可勾选目标任务并进行删除操作，将同步删除变更记录DAS存储 在任务列表“任务ID”栏下单击目标任务ID，即可查看该任务详情。 在任务列表操作栏下单击“进入任务”，即可查看任务信息、搜索日志及回滚任务列表等日志追踪与回滚详情。 创建的任务将在15天后过期，系统会自动回收并删除在DAS存储中的变更记录。 2. 在任务列表页面，单击页面左上角“新建追踪任务”，在新建任务弹窗中，设置数据追踪任务基本信息，如任务名、时间范围、数据库名等。 说明 首次进行数据回滚的用户需查看并勾选同意协议，才能创建数据追踪任务。 任务追踪与回滚的时间范围默认为3小时。 3. 在弹窗下部单击“预检查”，在预检查页面你可获取具体时间点的操作详情。 说明 预检查会根据时间范围筛选Binlog列表，开启备份的RDS实例会定时备份Binlog文件到OBS桶中，备份会有不大于5分钟的延迟。 当您发起对当前时间数据追踪时，存在无最新5分钟变更记录的可能，遇到该情况稍后重新创建任务即可。 4. 在弹窗下部单击“读取日志”，获取日志详情信息。 读取日志会发起Binlog解析，根据任务信息将存储涉及变更记录信息，以便支持后续数据筛选及展示。 说明 所有日志读取成功才能进行搜索日志等相关操作。 当前一次任务读取不完全时，再次启动追踪任务，可能出现读取日志开始时间比日志结束时间晚的情况，属于正常情况。 5. 在弹窗下部单击“搜索日志”，进入搜索日志页面，获取变更事件列表信息。 6. 当有多个事件需要合并回滚时，在搜索日志页面单击“新建回滚任务”，在“新建回滚任务”弹窗中指定回滚事件ID范围，将合并后的回滚SQL生成到OBS桶中，并按需设置高级选项信息，设置完成后单击“确定”。 说明 开始事件ID及结束事件ID为任务列表中ID号，且应按正序填写。 变更合并 对同一记录（主键）连续3次变更（1→2→3→4）等价于1次变更（1→4）。 语句类型选项 生成基于事件的回滚SQL：针对数据发生变更时的前后镜像生成反向变更SQL。 获取数据变更前的原始数据：将数据变更前镜像生成回滚表及insert语句。 7. 在回滚任务列表页面，您可查看当前回滚任务信息或新建回滚任务。 在任务列表操作栏下单击“查看详情”，可查看本次回滚任务的详情信息。 在任务列表操作栏下单击“下载”，可在本地获取本次任务数据压缩包。 说明 同一记录合并变更存在变更抵消情况（insert>delete，delete>insert，update>update），因此生成文件会存在无回滚SQL或无原始数据情况。

参数 是否必填 参数类型 说明 示例 下级对象 docId 是 String 告警事件id 1

本文将介绍如何在控制台如何查看Serverless集群的容器组。 操作步骤 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群” 。 3. 在集群管理页面的左侧导航栏中，选择“工作负载”。 4. 点击“容器组” ，在容器组页面下可以查看所有创建的容器。 5. 点击想要查看的实例名称 ，即可进入查看该容器组的详细信息。包括查看容器组的事件、日志以及监控等。

事件源 调用方式 定时器TIMER 异步调用

训练任务管理 训练任务创建完成后进入“资源准备中”“排队中”“环境准备中”‘“开始运行”“运行完成”，在这个过程中如果发生任务配置错误、耗时过长或者资源冲突时，可以点击“停止”和“删除”。 复制任务：如果已经创建了一个训练任务可以在列表中点击“复制”，复用该任务的配置和输入参数创建一个新的训练任务。 任务详情：支持查看当前训练任务的配置参数（基础信息、数据集、挂载模型、节点信息）、事件、日志（节点维度）、监控（GPU使用率、CPU使用率内存、网络IO等）、查看Tensorboard和算力检查。任务每次启动都会生成一个新的实例，这里叫做一次运行记录。一次运行记录显示了实例ID、实例最终状态、启动时间。 设置告警 配置告警发送事件：通过告警设置可以监控训练任务状态任务异常、任务断点续训和任务运行完成。默认这三类事件都不开启告警。 配置告警发送方式：消息会自动发送到您天翼云账号对应的手机号和邮箱内，可前往账号中心进行设置或修改。

本节介绍云等保专区产品的日志审计。 日志审计具备信息资产的综合性管理能力，通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件。为管理人员提供全局的视角，确保客户业务的不间断运营安全。通过采集网络资产设备上报的日志，实时监视网络各类操作行为及攻击信息。根据设置的规则，智能判断出各种风险行为，对风险行为进行报警。 功能 描述 全面日志采集 全面支持Syslog、SNMP、OPSec、XML、FTP及本地文件等协议，可以覆盖主流硬件设备、主机及应用，保障日志信息的全面收集。 实现信息资产（网络设备、安全设备、主机、应用及数据库）的日志获取，并通过预置的解析规则实现日志的解析、过滤及聚合。 同时可将收集的日志通过转发功能转发到其它网管平台。 大规模安全存储 内置TB级别存储设备，可以选配各种RAID级别进行数据冗余和安全保障。系统拥有多项自主知识产权的存储加密机制和查询机制，十分适合等保、密保等行业的应用要求。 智能关联分析 实现全维度、跨设备、细粒度关联分析，内置众多的关联规则，支持网络安全攻防检测、合规性检测，可轻松实现各资产间的关联分析。 脆弱性管理 能够收集和管理来自各种Web漏洞扫描工具、主机漏洞扫描工具、网络漏洞扫描工具产生的扫描结果，并实时和用户资产收到的攻击危险进行风险三维关联分析。 数据挖掘和数据预测 支持对历史日志数据进行数据挖掘分析，发现日志和事件间的潜在关联关系，并对挖掘结果进行可视化展示。系统自带多种数据统计预测算法，可以根据历史数据的规律对未来的数据发生情况进行有效预测。 可视化展示 实现对信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理。 通过各种事件的归化处理，实现高性能的海量事件存储和检索优化功能，提供高速的事件检索能力。 事后的合规性统计分析处理，可对数据进行二次挖掘分析。 分布式部署和管理 平台支持分布式部署，可以在中心平台管理规则、配置策略自动分发、远程自动升级等，极大地降低了分布式部署的难度，提高了可管理性。 灵活的可扩展性 提供多种定制接口，实现强大的二次开发能力以及与第三方平台对接和扩展的能力。 了解更多日志审计相关操作内容，请下载阅读《云等保专区日志审计 v1.0 用户指南》。

事件通知类其他问题。 超过重试次数后，消息会被丢弃吗？这样如何保证消息不丢失？ 如果您的接收服务异常，如崩溃、重启、网络不可达等，超过重试次数消息都会被丢弃。如果遇到长时间未收到回调，用户可先自行排查接受回调的服务状态是否正常，或主机网络是否异常。也可以通过调用重试接口 【点播模式】【任务重试】重新发起任务接收回调信息。 HTTP回调支持302跳转吗？ HTTP回调只支持200响应，出于安全考虑，不支持302、301等。 收到多次重复回调是什么原因？ HTTP回调只有收到200响应码时才认为是成功，否则均认为失败，并重试回调。 云点播是否支持基于消息队列的事件通知机制？ 云点播暂时不支持使用消息队列作为通知方式。

本文主要介绍云监控服务 云监控（Cloud Eye Service）是一个开放性的监控平台，即可提供资源的近似实时监控、告警、通知等服务。 通过云审计服务，您可以记录与云监控相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的云监控操作列表 操作名称 资源类型 事件名称 创建告警规则 alarmrule createAlarmRule 删除告警规则 alarmrule deleteAlarmRule 停用告警规则 alarmrule disableAlarmRule 启用告警规则 alarmrule enableAlarmRule 修改告警规则 alarmrule updateAlarmRule 告警规则状态变为alarm alarmrule alarmStatusChangeToAlarm 告警规则状态变为ok alarmrule alarmStatusChangeToOk 告警规则状态变为insufficientData alarmrule alarmStatusChangeToInsufficientData

本小节介绍日志审计(原生版)术语解释。 日志采集 实现第三方安全设备、网络设备、windows/linux主机日志、web服务器日志、虚拟化平台日志以及自定义等日志采集。 日志存储 实现原始日志、范式化日志的存储，可定义存储周期。 日志检索 实现全文、keyvalue、括弧、正则、模糊等检索方式；支持保存检索、从已保存的检索导入见多条件。 可视化统计 实现趋势图、折线图、柱状图、饼图、表格等统计项展示。 事件告警 自定义事件规则，可按照日志、字段布尔逻辑关系等方式自定义规则，实现时间的查询、查询结果统计以及统计结果的展示。

功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 支持的操作系统 检测周期 告警白名单 处理告警事件时，将告警事件加入到告警白名单。 × √ √ √ √ √ Linux、Windows 实时检测 登录白名单 将目标登录端IP和登录端用户名加入登录白名单，HSS将对白名单内的IP和用户的访问行为进行忽略，不再告警。 × √ √ √ √ √ Linux、Windows 实时检测 系统用户白名单 对于主机中新添加的root用户组权限用户（非root用户）可添加到系统用户白名单，避免HSS进行风险账号告警。 × √ √ √ √ √ Linux、Windows 实时检测

数据指标 说明 攻击事件数 展示所选域名的攻击事件数 攻击峰值时间 展示所选域名产生CC攻击峰值的时间 CC攻击峰值 展示所选域名的CC攻击峰值 CC攻击网站数 展示所选域名中被CC攻击的域名个数 攻击区域分布 展示所选域名攻击来源分布 攻击趋势 展示所选域名CC攻击请求数的分布 TOP攻击域名 展示所选域名中被CC攻击的请求数域名排名 TOP URL 展示所选域名中被CC攻击的请求数URL排名 TOP攻击IP 展示所选域名收到攻击最多的10个IP

本章节介绍推空保护功能的使用 概述 推空保护功能用于处理客户端在请求注册中心订阅服务端地址列表时，在服务端注册异常的场景下，注册中心返回了空列表，此时客户端忽略该空返回的变更，从缓存中获取上一次正常的服务端地址进行服务访问。能够在注册中心在进行变更（变配、升降级）或遇到突发情况（例如，可用区断网断电）或其他不可预知情况下的列表订阅异常收到空的地址列表推送时，可以有效保护业务调用，增加业务可靠性。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Edgware及以上版本 客户端：Feign、RestTemplate； 负载均衡：Ribbon、LoadBalancer。 Dubbo 2.5.3+ 支持Alibaba Dubbo、Apache Dubbo。 注册中心 Nacos、Eureka、Zookeeper 无。 jdk版本 1.8+ 无。 开启推空保护 1.登录微服务治理中心控制台。 2.在左侧导航栏选择 微服务治理中心 >应用治理。 3.在应用治理页面单击目标应用卡片。 4.在左侧导航栏选择流量治理 推空保护，即可开启推空保护。 查看推空保护事件 若发生推空保护，在推空保护页面即可查看推空保护事件。

仪表板是将日志审计(原生版)获取到的数据源数据按事件分类,通过不同的维度和统计方式展示分析结果。 操作步骤 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“审计报表 > 仪表板”，进入“仪表板”页面。 3. 选择事件。 4. 在右上角选择时间范围。 说明 时间选择器中的“自定义”仅能选择最近30天内。 5. 单击时间选择器右侧的刷新按钮。 系统将根据筛选条件获取数据并更新视图。 说明 仪表板视图内置，不能修改。 相关操作 刷新：触发数据更新，系统会重新获取数据并更新视图，同时保持当前时间范围设置不变。 重置：时间选择器恢复至默认的"最近1周"状态，并自动刷新数据视图。

本文带您了解如何使用告警规则。 操作场景 您可以根据需要灵活创建告警规则，既可以使用我们提供的默认告警模板为云服务创建告警规则，也可以对具体监控指标进行自定义告警规则的设置。 当资源的监控指标达到告警条件，云监控将向您发送告警消息，报告异常监控数据，帮助您及时掌握异常状态并处理，保证业务顺畅进行。 注意 系统事件不支持告警规则配置，仅支持事件通知，入口：云监控服务>系统事件>事件订阅。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击!，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则详情页面。 5. 在“告警规则”界面，单击“创建告警规则”按钮。 6. 在“创建告警规则”页面，根据界面提示配置参数，配置参数如下： 模块 参数 参数说明 配置示例 备注 选择监控对象 规则类型 选择规则的类型，指标监控（包括站点监控）。 指标监控 自定义监控、自定义事件目前仅支持部分资源池 选择监控对象 服务 配置告警规则监控的云服务资源类型。 云主机 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 云主机 选择监控对象 监控对象类型 具体实例/资源分组 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 定义告警策略 选择类型 自定义创建/从模板导入。 自定义创建 定义告警策略 策略 满足全部/任一策略，策略信息包括：指标、数据类型（原始值、最大值、最小值、平均值）、判断条件（>、≥、 0%,连续发生一次 同一告警规则下，告警条件最多支持添加20条 配置告警通知 发送通知 配置是否发送邮件通知用户，可以选择“是” （推荐选择）或者“否”。 是 配置告警通知 告警联系组 配置发生告警通知的用户组。 配置告警通知 触发场景 触发告警邮件的场景，可在告警及恢复时发送提醒信息。 出现告警 配置告警通知 通知方式 配置告警通知的通知方式，支持邮箱及短信。 邮箱 配置告警通知 重复告警 指告警发生后如果未恢复正常，将重复发送告警通知次数。 不重复 配置告警通知 通知周期 配置告警通知的周期时间。 星期天、星期一、星期二、星期三、星期四、星期五、星期六 配置告警通知 通知时段 配置告警通知的时间段。 00:00:0023:59:59 配置告警通知 告警回调 配置告警通知webhook地址。 规则信息 名称 该告警规则的自定义名称。 规则信息 企业项目 选择告警规则适用的企业项目。 规则信息 描述 添加对该告警规则描述（此参数非必填项）。 说明 创建/启用/修改/删除告警规则等操作，参见告警规则。 7. 配置的告警规则状态变化及操作逻辑说明如下： 逻辑/状态变化 告警规则（已启用） 告警规则（已停用） 正在告警（告警中） 正在告警（无数据） 历史告警（已恢复） 历史告警（已过期） 历史告警（已失效） （指标类）判断监控无数据 × × 正在告警（无数据） × × × × 停用告警规则 告警规则（已停用） / 历史告警（已失效） 历史告警（已失效） × × × 启用告警规则 / 告警规则（已启用） / × × × × 修改已启用告警规则 × × 历史告警（已失效） × × × × 修改已停用告警规则 × × × × × × × 删除已启用告警规则 / / 历史告警（已失效） 历史告警（已失效） × × × 删除已停用告警规则 / / / / × × × （指标类）监控无数据再次上报且触发告警 × × × 正在告警（告警中） × × × （指标类）监控无数据再次上报且未触发告警（恢复） × × × 历史告警（已恢复） × × × （事件类）超过7天无新数据 × × 历史告警（已过期） / / × / 说明 /为不存在该场景，x为状态无变化。 未标记指标类/事件类，则为通用场景。

本章节主要介绍云搜索服务支持云审计的关键操作。 公有云平台提供了云审计服务。通过云审计服务，您可以记录与云搜索服务相关的操作事件，便于日后的查询、审计和回溯。 前提条件 已开通云审计服务。 支持审计的关键操作列表 支持审计的关键操作列表 操作名称 资源类型 事件名称 创建集群 cluster createCluster 删除集群 cluster deleteCluster 扩容集群 cluster growCluster 重启集群 cluster rebootCluster 配置自定义词库 cluster loadLexicon 删除自定义词库 cluster deleteLexicon 设置集群快照的基础配置 cluster updateSnapshotPolicy 设置自动创建快照策略 cluster updateAutoSnapshotPolicy 手动创建快照 snapshot createSnapshot 恢复快照 snapshot restoreSnapshot 删除快照 snapshot deleteSnapshot

本节主要介绍删除堆栈 堆栈删除后不能恢复，请谨慎操作。 操作步骤 步骤1：登录AOS控制台。 步骤2：在左侧导航栏中，单击“我的堆栈”。 步骤3：在堆栈列表中，选中待删除的堆栈，单击“删除堆栈”。 步骤4：在出现的对话框中，单击“确定”。 请仔细核对堆栈的名称，执行删除后不能恢复。 在堆栈详情页面的“事件”页签，可查看删除堆栈的具体操作事件 后续处理 若堆栈状态一直显示为“删除中”，最后提示超时，且堆栈状态显示为“异常”时，可尝试通过“强制删除”来删除堆栈。

统一身份认证服务 统一身份认证（IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。IAM服务申请开通后免费使用，您只需要为您账号中的云服务和资源进行付费。 云审计服务 云审计服务（CTS），为用户提供云服务资源操作记录的收集、存储和查询功能，用于支撑安全分析、合规审计、资源跟踪和问题定位，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。云审计服务申请开通后免费使用，事件文件转储功能会使用对象存储服务，会产生对象存储服务费用。

前提条件 已创建白名单策略并完成策略学习结果确认，具体操作请参见创建白名单策略和确认学习结果。 操作步骤 1、登录管理控制台。 2、在左侧导航栏，选择“主动防御 > 应用进程控制”，进入“应用进程控制”界面。 3、选择“白名单策略”页签。 4、在目标策略所在行的操作列，单击“开启防护”。 您也可以批量选中所有目标策略，在策略列表左上方，单击“开启防护”，批量为多个策略开启防护。 5、在开启防护弹窗中，单击“确认”。 6、在策略列表中，查看目标策略的策略状态为“学习完成，防护中”，表示开启应用进程防护成功。 查看并处理可疑进程 在服务器防护过程中，如果企业主机安全发现服务器中存在可疑进程运行事件，会将其展示在可疑进程运行事件列表中，但不会告警；对于可疑进程运行事件，由于企业主机安全根据学习到的应用进程特征无法判断其是否可信，因此需要您根据实际情况判断并将可疑进程手动加入进程白名单或隔离查杀，避免可信进程运行被持续告警或恶意进程持续运行危害服务器。 操作步骤 1、登录管理控制台。 2、在左侧导航栏，选择“主动防御 > 应用进程控制”，进入“应用进程控制”界面。 3、选择“可疑进程”页签，查看存在的可疑进程。 4、根据可疑进程HASH和文件路径等信息，判断可疑进程是否为恶意进程。 5、在可疑进程所在行的操作列，单击“处理”。 您也可以批量勾选可疑进程，在列表左上方单击“批量处理”，批量处理可疑进程。 6、在处理弹窗中，选择“处理方式”。 可选择“加入进程白名单”或“隔离查杀”。 7、单击“确认”，完成处理。 扩展进程白名单 对于策略关联的服务器，如果您认为HSS学习到的应用进程比HSS扫描到的进程指纹少且可疑进程告警事件较多，您可以配置HSS扩展进程白名单，通过比对HSS已学习的应用进程和资产指纹功能扫描到的对应服务器的资产指纹，进一步扩展HSS应用进程情报库，补充可信进程白名单。

背景信息 当您实现并配置函数实例生命周期回调后，函数计算将在相关实例生命周期事件发生时调用对应的回调程序。函数实例生命周期涉及Initializer和PreStop回调。 函数实例生命周期回调程序与正常调用请求计费规则一致，但其执行日志只能在函数日志 、实时日志 或高级日志中查询。 回调方法实现 函数计算会在相关实例生命周期事件发生时调用对应的回调程序。函数实例生命周期涉及Initializer和PreStop回调。 Path 输入请求 期望的响应 （可选）POST /initialize 请求体：无。 响应体：函数 Initializer的返回值。StatusCode2xx：成功状态。非2xx：失败状态。 （可选）GET /prestop 请求体：无。 响应体：函数PreStop的返回值。StatusCode2xx：成功状态。非2xx：失败状态。