本节介绍如何配置事件分类规则。 事件分类规则是对采集到的日志进行一个分组分类。可对事件分类规则进行新增、查看、修改、删除操作。 新增事件分类规则 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“风险分析 > 事件策略 > 事件分类规则”。 3. 单击“新增”，弹出新增规则窗口。 4. 配置事件分类规则。带“”的为必选参数。 参数 是否必选 参数说明 分类名称 必选 自定义事件分类规则的名称。 日志分组 必选 在下拉框中选择该事件分类中，日志划分的类型。 例如：分组根节点 / 策略违规 / 策略违规/应用策略违规 / 策略违规/应用策略违规/密码策略 日志等级 必选 在下拉框中选择该日志的影响等级。支持轻微、低级、中级、高级、严重。 判断类别 必选 选择日志的判断类型，可选“关键字”或“正则表达式”。 若选择“关键字”，还需填写关键字，多个关键字用英文字符的逗号隔开。 若选择“正则表达式”，还需填写正则表达式。 注意 关键字和正则表达式任意填写一个，采集到的日志将符合填写的关键字内容或者正则表达式，归纳到该分类分组中。 规则所属设备 必选 在下拉框中选择此事件分类规则所属的设备。 例如：根结点 / 主机 / 服务器/Windows系列 / 服务器/Windows系列/Windows 8 规则描述 可选 填写此事件分类规则的描述。 建议措施 可选 填写此事件分类规则的建议处理措施。 5. 配置完成后，单击“提交”，完成事件分类配置。

参数 说明 配置测试事件 可创建新的测试事件也可编辑已有的测试事件。选择“创建新的测试事件”。 事件模板 选择“ctseventtemplate”模板，使用系统内置CTS事件模板。 事件名称 您自定义的事件名称，例如：ctstest。 测试事件 自动加载系统内置CTS事件模板，您可以根据实际情况修改。

本文介绍如何查询CC攻击事件。 使用场景 业务接入DDoS高防（边缘云版）后，您可以在控制台查询已产生的CC攻击事件。 前提条件 已开通DDoS高防（边缘云版）。 开启CC防护配置，并触发产生CC攻击事件。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【攻击事件】【CC攻击事件】页面。 查询功能 您可以在CC攻击事件表头部指定您要查询的域名（支持多选）及时间范围。默认将展示最近7天，用户名下所有域名的统计数据。 攻击详情 攻击事件列表将展示被攻击域名、攻击开始时间、攻击结束时间、攻击峰值/QPS、攻击总次数。 点击单条攻击事件的攻击详情【查看】按钮，即可查询CC攻击事件的攻击趋势、TOP攻击IP、TOP URL排名。

本文为您介绍如何查看审计事件。 当您已开通云审计服务，系统开始记录云服务资源的操作，并支持查看近7天的操作事件。 本文为您介绍如何在云审计控制台查看操作审计事件。 前提条件 已开通云审计服务。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在控制台列表页，选择“云审计”。 4. 进入云审计控制台后，点击侧边栏“事件列表”。 5. 进入事件列表页面，事件列表上方支持通过筛选条件查询。 云审计支持五个维度的组合查询，说明如下： 时间筛选：支持快速点选近30分钟、近1小时、近1天、近7天的时间范围，也支持自定义时间范围。 读写类型：支持根据事件的读写类型进行筛选。 事件级别：支持根据事件等级进行筛选，当前事件等级包括normal（代表本次操作成功）、warning（代表本次操作失败）。 操作用户：支持根据同一租户下的不同主子账号进行筛选。 事件来源、资源类型、资源筛选：支持以资源维度进行多层级的筛选，最细粒度支持具体某个资源实例的筛选。 6. 筛选条件选择完成，点击“查询”，符合条件的事件将以列表显示出来。

本节介绍如何在云审计服务管理控制台查看最近7天的操作记录。 在您开通了云审计服务后，系统开始记录云服务资源的操作。云审计服务管理控制台保存最近7天的操作记录。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 单击“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务信息页面。 步骤 4 在左侧导航树，单击“事件列表”，进入事件列表信息页面。 步骤 5 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件来源、资源类型和筛选类型。 在下拉框中选择查询条件。 其中，筛选类型选择“按事件名称”时，还需选择某个具体的事件名称。 选择“按资源ID”时，还需选择或者手动输入某个具体的资源ID。 选择“按资源名称”时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 起始时间、结束时间：可通过选择时间段查询操作事件。 步骤 6 在需要查看的记录左侧，单击展开该记录的详细信息。 步骤 7 在需要查看的记录右侧，单击“查看事件”，在弹出框中显示该操作事件结构的详细信息。

该章节指导您通过Web应用防火墙服务下载仅记录和拦截的攻击事件数据，可下载5天内的全量防护事件数据，当天的防护事件数据，在次日凌晨生成到防护事件数据csv文件。 前提条件 已添加防护网站。 已生成了防护事件数据文件。 规格限制 单个文件的事件总数量最大值为5000，超过5000就会生成另一个文件。 在WAF控制台只能下载5天内的全量防护事件数据。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 步骤5 选择“下载”页签，下载防护数据文件，参数说明如表。 参数名称 参数说明 :: 文件名称 样式为文件名称.csv。 事件数量 被拦截和仅记录的事件总数量。 说明 单个文件的事件总数量最大值为5000，超过5000就会生成另一个文件。 步骤6 在目标时间段所在行的“操作”列，单击“下载数据”，下载到本地。 防护数据文件字段参数说明 字段 字段说明 示例 ::: action 防护事件的防护动作。 block attack 攻击的类型。 SQL Injection body 攻击者的请求实体内容。 cookie 攻击者的Cookie。 headers 攻击者的消息头。 host 防护的网站域名或IP。 www.example.com id 标识防护事件的ID。 02111620201121060347feb42002 payload 攻击者对防护网站造成伤害的组成部分。 pythonrequests/2.20.1 payloadlocation 攻击者对防护网站造成伤害的位置或访问URL的次数。 useragent policyid 标识防护策略ID。 d5580c8f6cd4403ebbf85892d4bbb8e4 requestline 攻击者的请求行。 GET / rule 防护事件对应的规则编号。 81066 sip Web访问者的公网IP地址（攻击者IP地址）。 time 防护事件发生的时间。 2020/11/21 0:20:44 url 防护域名的URL。 /

本节主要介绍操作跟踪、管理事件、读事件、写事件的概念。 操作跟踪用于记录OOS账户的管理事件，并将产生的跟踪日志保存到指定的OOS Bucket中。记录的信息包括用户的身份，API调用的开始时间，源IP地址，请求参数以及服务返回的响应元素等。 操作跟踪功能主要包括： 管理事件记录：用户通过操作跟踪功能可以查看近6个月内的管理事件，包括：登录，退出，查看、创建、修改和删除资源。 跟踪日志：当账户中发生一个管理事件时，OOS会根据配置的跟踪参数与事件进行匹配，当与跟踪参数相匹配时，事件会以日志的形式存储到用户配置的Bucket中，即跟踪日志。 管理事件 在账户中执行的Bucket操作、统计操作、IAM操作、跟踪操作均属于管理事件。 读事件 读事件为可以查看和获取资源但不进行更改的操作。 写事件 写事件为可以修改资源的操作，包括新建、修改和删除操作。

参数 说明 配置测试事件 可创建新的测试事件也可编辑已有的测试事件。选择默认值：“创建新的测试事件”。 事件模板 选择“rabbitmqeventtemplate模板”，使用系统内置RabbitMQ事件模板。 事件名称 事件名称必须以大写或小写字母开头，支持字母（大写或小写），数字和下划线“”（或中划线“”），并以字母或数字结尾，长度为125个字符，例如kafka123test。 测试事件 自动加载系统内置RabbitMQ事件模板，本例不做修改。

Elasticsearch实例已接入云监控服务事件管理,主动触发上报,可订阅告警。 云搜索服务定义了部分系统事件，当实例达到对应事件的触发条件时，实例会主动将其推送至云监控服务中，您可以前往云监控服务>事件监控中查看。 已纳入云监控的事件 事件类型 推送事件 对象 集群健康类 实例健康状态异常 实例 集群健康类 节点磁盘使用率过高（90%） 节点 集群健康类 实例变为只读 实例 集群健康类 实例索引是否只读 实例 系统故障类 实例存在节点离线 实例 系统故障类 节点磁盘故障 节点 您可利用云监控中的告警能力对指定事件设置告警通知。操作步骤参考：创建告警规则

本小节介绍日志审计(原生版)配置事件规则。 在新增资产设备后，您需要对事件规则进行配置才可以通过日志审计（原生版）服务获取业务所需的日志信息。 支持配置如下规则： 事件规则 功能介绍 配置解析接入规则 解析接入规则是对采集日志的分析，符合解析接入规则的日志才能被采集到日志审计平台。 配置事件分类规则 事件分类规则是对采集到的日志进行分组分类。 配置字段映射规则 字段映射规则是对采集到的日志字段内容映射，如等级字段，接收到的可能是数值1、2、3，可以通过字段映射成：低、中、高。 配置事件归并规则 事件归并规则是对过滤后的事件，基于归并条件进行归并。 配置事件过滤规则 事件过滤规则是对采集到的日志进行过滤，将不需要审计的日志条件填入规则，不再审计过滤的日志。

本节介绍如何在云监控服务开启弹性公网IP事件告警通知。 通过云监控服务，对防护的弹性公网IP启用事件监控，当出现清洗、封堵、解封等事件时进行告警，方便您及时了解防护情况。 开启事件告警通知后，出现相关事件时，即可在云监控服务的事件监控页面查看事件详情。 操作步骤 1. 登录管理控制台。 2. 选择区域。 3. 选择“管理与部署> 云监控服务”。 4. 根据实际选择方式。 方法一：在左侧导航树，单击“事件监控”，进入“事件监控”页面。 方法二：在左侧导航树，选择“告警> 告警规则”，进入“告警规则”页面。 5. 在页面右上方，单击“创建告警规则”，进入“创建告警规则”页面。 6. 配置告警参数。 参数 说明 名称 系统会随机产生一个名称，您也可以进行修改。 描述 告警规则描述。 告警类型 选择“事件”。 事件类型 选择“系统事件”。 事件来源 选择“弹性公网IP”。 监控范围 告警规则适用的资源范围，根据需要选择。 触发规则 选择“自定义创建”。 告警策略 推荐选择“EIP封堵”、“EIP解封”、“EIP开始DDoS清洗”、“EIP结束DDoS清洗”。 7. 根据实际需要，选择是否发送通知。 说明 告警消息由消息通知服务SMN发送，可能产生少量费用。 参数 说明 发送通知 根据实际需要设置。 通知对象 在下拉框选择已有主题，或单击“新建主题”创建新的通知主题。 生效时间 发送通知的生效时间。 触发条件 默认勾选“出现告警”，表示出现告警时，给设置的通知对象发送告警通知。 8. 参数配置完成后，单击“立即创建”。

本页介绍了关系数据库MySQL版如何查看历史事件。 注意 仅 操作场景 在历史事件可查看多节点实例的主备切换情况，以方便更好的查看实例运行情况，从而进行排查。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击 管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 事件管理，进入事件列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在事件列表中，查看历史事件信息。 您可以查看实例名称、事件类型、事件操作、执行开始时间、执行结束时间等信息。

事件监控 事件监控：数据统计 接口功能介绍 根据指定时间段统计指定事件发生情况。 接口约束 regionID、eventName、startTime、endTime、period、dimension、service存在。 URI POST /v4/monitor/events/countdata 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池 ID 81f7728662dd11ec810800155d307d5b eventName 是 String 本参数表示事件指标，事件指标见查询事件接口返回。 migrationeventstart service 是 String 服务，见事件监控：查询服务维度接口返回。 ecs dimension 是 String 维度，见事件监控：查询服务维度接口返回。 ecs startTime 是 Integer 查询起始时间戳 1647424660 endTime 是 Integer 查询截止时间戳 1647424660 period 是 Integer 统计周期 300 resGroupID 否 String 资源分组ID，在资源分组事件时传入 9cb2b3301dd85ec49c6db07fe65a9aca 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回状态码（800为成功，900为失败），默认值：800 800 errorCode String 失败时的错误代码，参见公共错误码说明 message String 失败时的错误描述，一般为英文描述 Success msgDesc String 失败时的错误描述，一般为中文描述 成功 error String 错误码，请求成功时，不返回该字段 Openapi.Parameter.Error returnObj Object 返回对象 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 data Array of Objects 事件统计信息 dataObj 表 dataObj 参数 参数类型 说明 示例 下级对象 value Integer 事件统计数量 5 samplingTime Integer 事件统计采样时间,秒级 1667815639

本文将介绍如何导出CC攻击事件。 使用场景 业务接入DDoS高防（边缘云版）后，您可以在控制台查询已产生的CC攻击事件并将事件导出为.xls文件。 前提条件 已开通DDoS高防（边缘云版）。 开启CC防护配置，并触发产生CC攻击事件。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【攻击事件】【CC攻击事件】页面。 3.指定要导出的CC攻击事件的域名及时间范围，点击【查询】按钮。 4.点击【导出】按钮，会将查询结果导出为.xls文件。

本章节介绍ECS应用实例事件中心功能 概述 ECS应用实例事件中心主要是包含微服务治理无损下线、离群实例摘除、离群实例恢复三种事件。 前提条件 1. 开通微服务治理中心企业版 2. 开启接入微服务治理和限流降级 ECS应用 实例事件中心 在ECS应用实例详情页，点击微服务治理事件，您可以查看该应用实例相关事件。

标记告警事件 当SA检测出告警事件后，您可手动标记已处理的告警事件。 1. 在“告警列表”页面，标记告警事件的处理状态。 忽略：如果确认该告警事件不会造成危害，可标记为“已忽略”状态。 标记为线下处理：如果该告警事件已在线下处理，在“标记为线下处理”窗口记录“处理人”、“处理时间”和“处理结果”，可标记为“已线下处理”状态。 2. 批量标记告警事件。 选择一个或多个“未处理”状态的告警，单击“忽略”或“标记为线下处理”，对不同告警事件批量执行相应的处理操作。 3. 单个标记告警事件。 在告警列表对应“操作”列，单击“忽略”或“标记为线下处理”，对单个告警事件执行相应处理操作。 4. 取消告警事件标记。 告警处理状态标记后，可在告警事件对应“操作”列，单击“取消忽略”或“取消标记”，恢复告警“未处理”状态，再修改告警状态。 导出告警事件 在“告警列表”页面，单击“导出全部告警”，一键导出列表中全部告警事件，并以excel文件形式保存在本地。导出完成后，即可离线查看告警事件列表。 导出的excel文件中包含“事件标识”、“受影响资源”、“严重等级”和“发现时间”等信息。 说明 目前仅支持导出近180天的全部告警事件。

参数 参数类型 说明 示例 下级对象 regionID String 资源池ID 81f7728662dd11ec810800155d307d5b customEventID String 自定义事件ID EVENTacd8b6b4610b97d202306301808 name String 事件名称 主机异常事件 info String 事件详情信息 主机A因断电异常关闭 clock Integer 事件发生时间戳，精确到毫秒 1688119722000

参数 说明 配置测试事件 可创建新的测试事件也可编辑已有的测试事件。选择默认值：“创建新的测试事件”。 事件模板 选择"kafkaeventtemplate"模板，使用系统内置Kafka事件模板。 事件名称 事件名称必须以大写或小写字母开头，支持字母（大写或小写），数字和下划线“”（或中划线“”），并以字母或数字结尾，长度为125个字符，例如kafka123test。 测试事件 自动加载系统内置kafka事件模板，本例不做修改。

参数 说明 配置测试事件 可创建新的测试事件也可编辑已有的测试事件。选择默认值：“创建新的测试事件”。 事件模板 选择"kafkaeventtemplate"模板，使用系统内置Kafka事件模板。 事件名称 事件名称必须以大写或小写字母开头，支持字母（大写或小写），数字和下划线“”（或中划线“”），并以字母或数字结尾，长度为125个字符，例如kafka123test。 测试事件 自动加载系统内置kafka事件模板，本例不做修改。

参数 说明 配置测试事件 可创建新的测试事件也可编辑已有的测试事件。选择默认值：“创建新的测试事件”。 事件模板 选择"ltseventtemplate"模板，使用系统内置LTS事件模板。 事件名称 事件名称必须以大写或小写字母开头，支持字母（大写或小写），数字和下划线“”（或中划线“”），并以字母或数字结尾，长度为125个字符，例如lts123test。 测试事件 自动加载系统内置lts事件模板，本例不做修改。

查看云审计事件 1. 开通云审计服务。 参见开通云审计服务云审计。 2. 查看云审计事件。 参见查看审计事件云审计。 3. 在事件列表中，选择事件来源为“安全”，资源类型选择“ctyunwaf”，上方时间选择需要筛选的时间段。点击“查询”即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

本小节介绍查看入侵告警事件。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的服务器、待处理告警事件、已处理告警事件、已拦截IP和已隔离文件。 事件管理列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束与限制 若不需要检测高危命令执行、提权操作、反弹Shell、异常Shell或者Webshell，您可以通过“策略管理”页面手动关闭指定策略的检测。关闭检测后，HSS不对策略组关联的服务器进行检测。 其他检测项不允许手动关闭检测。 未开启防护不支持告警事件相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航栏中，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。 安全告警统计说明 参数名称 告警事件状态说明 时间范围 支持选择固定周期，支持自定义查询告警的时间范围，自定义只能选择30天范围内的查询。 固定周期可选择如下： 最近24小时 最近3天 最近7天 最近30天 主机安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 已拦截IP 展示已拦截的IP。单击“已拦截IP”，可查看已拦截的IP地址列表。 已拦截IP列表展示“服务器名称”、“攻击源IP”、“登录类型”、“拦截状态”、“拦截次数”、“开始拦截时间”、“最近拦截时间”。 如果您发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手工解除拦截。如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。 说明 解除被拦截的IP后，主机将不会再拦截该IP地址对主机执行的操作。 每种软件最多拦截10000个ip。 如果您的linux主机不支持ipset，mysql和vsftp最多拦截50个ip。 如果您的linux主机既不支持ipset不支持hosts.deny，ssh最多拦截50个ip 已隔离文件 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。 被成功隔离的文件一直保留在文件隔离箱中，您可以根据自己的需要进行一键恢复处理，关于文件隔离箱的详细信息，请参见管理文件隔离箱。 容器安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 威胁等级 将被告警按照不同等级进行统计：致命 、 高危 、 中危、 低危。 TOP5事件类型 展示数量最多的前五种告警类型及数量。 4、单击事件类型中的告警事件，可查看告警事件对应的受影响的服务器、发生时间等信息。 全部：展示发生的总的告警数。 告警事件：展示各告警事件发生的告警数。 5、单击事件类型的告警名称，可查看告警的详细信息

本文介绍如何查询虚拟节点事件。 1. 在弹性容器实例控制台左侧导航栏中选择“虚拟节点”，进入虚拟节点列表页。 2. 选择需要查询的虚拟节点，点击跳转至事件消息页。 3. 事件详细页展示的当前虚拟节点的基本事件信息。

开启了云审计服务后，系统开始记录HSS资源的操作。云审计服务管理控制台保存最近7天的操作记录。 查看HSS的云审计日志 1、登录管理控制台。 2、 单击页面上方的选择“管理与监控 > 云审计服务”，进入云审计服务信息页面。 3、 单击左侧导航树的“事件列表”，进入事件列表信息页面。 4、事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： “事件类型”、“事件来源”、“资源类型”和“筛选类型”。在下拉框中选择查询条件。 "事件类型”选择“管理事件”。 “事件来源”选择“HSS”。 “筛选类型”选择“按事件名称”时，还需选择某个具体的事件名称；选择“按资源ID”时，还需选择或者手动输入某个具体的资源ID；选择“按资源名称”时，还需选择或手动输入某个具体的资源名称。 “操作用户”：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 “事件级别”：可选项为“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 “时间范围”：可在页面右上角选择查询最近1小时、最近1天、最近1周及自定义时间段的操作事件。 5、 单击“查询”，查看对应的操作事件。 6、在需要查看的记录左侧，单击展开该记录的详细信息。 7、在需要查看的记录右侧，单击“查看事件”，弹出一个窗口，显示了该操作事件结构的详细信息。

说明：本章节会介绍如何开启或关闭事件定时器 操作场景 事件定时器Event Scheduler是事件（event）调度任务的总开关。由于原生事件定时器不能保证主、备库的event状态一致，一旦进行主备切换会导致event调度失败。关系型数据库MySQL提供了event状态同步功能，确保相关的event正常调度。该功能依赖在console上开启、关闭事件定时器来实现。 创建实例时，事件定时器默认不开启。 主、备实例切换后，事件状态同步是否开启保持不变，依然保持主库“eventscheduler”为“on”，备库为“off”。 恢复到新实例时，事件状态与原实例保持一致。 单机实例转为主备实例，事件状态与主实例保持一致。 约束条件 仅支持MySQL内核5.6.43.2、5.7.25.2和8.0.17.4及其以上版本。若您的数据库版本不在该范围内但想使用该功能。 不支持只读实例开启此功能。 开启事件定时器功能 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4. 在“实例管理”页面，选择指定的主备实例，单击主实例名称。 5. 在“基本信息”，在“数据库信息”模块的“事件定时器”处，单击。 开启事件定时器后，请登录到该实例，确保要开启的event状态设置为enable。 关闭事件定时器功能 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4. 在“实例管理”页面，选择指定的主备实例，单击主实例名称。 5. 在“基本信息”，在“数据库信息”模块的“事件定时器”处，单击。

本章节介绍如何创建数据类追踪器。 云审计服务提供的追踪器分两类，包括管理类追踪器和数据类追踪器。 管理类追踪器用于记录管理事件，即针对所有云资源的操作日志，例如创建、登录、删除等。 数据类追踪器用于记录数据事件，即针对租户对OBS桶中的数据的操作日志，例如上传、下载等。 操作场景 云审计服务支持创建数据类事件追踪器，用于记录数据操作日志。数据类追踪器用于记录数据事件，即针对租户对OBS桶中的数据的操作日志，例如上传、下载等。 在开通云审计服务时，系统已为您自动创建了一个管理事件追踪器，管理事件追踪器只能有一个，故后续您自行创建的追踪器均为数据类事件追踪器。 使用限制 CTS仅记录最近7天内的操作事件，您需要配置追踪器来保存更长时间的事件，否则将无法追溯7天前的操作事件。追踪器会将事件持续保存到您指定的LTS日志流或者OBS桶中。 前提条件 已开通云审计服务。 创建数据类事件追踪器 1. 登录管理控制台。 2. 在服务列表选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 3. 在左侧导航栏选择“追踪器”，单击页面右上角的“创建追踪器”。 4. 基本信息。新建“追踪器名称”便于识别。单击“下一步”，基本信息填写成功。 数据类事件追踪器命名规则：名称只能包含大小写字母、数字、和，且必须由大小写字母或数字开头。名称不能为空，且输入长度不能超过32个字符。名称不能为“system”或“systemtrace”。 5. 在选择追踪对象页面，填写相关参数，详细参数说明见表 选择追踪对象参数表 ，单击“下一步”。 6. 在配置转储页面，填写相关参数，单击“下一步”。用户通过云审计控制台只能查询最近7天的操作记录，如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或配置转储到云日志服务（LTS）。具体参数说明参见表 配置转储到OBS参数列表和表 配置转储到LTS参数列表。 7. 预览追踪器信息无误后，单击“创建”完成追踪器的创建。 表 选择追踪对象参数表 参数名称 参数说明 数据事件来源 数据事件的存储容器，默认为OBS桶。 OBS桶名称 在下拉列表中选择对应OBS桶。 创建完成后，OBS桶名称不可修改。 事件操作类型 数据操作类型分为“读操作”和“写操作”，读操作指的是从OBS桶中获取或下载对象数据，写操作指的是向OBS桶中上传或写入对象数据。 勾选“读操作”后，CTS只会记录读操作类型的数据事件。 勾选“写操作”后，CTS只会记录写操作类型的数据事件。 您可以在OBS服务的页面的“表2 云审计服务支持的OBS数据事件操作列表”中，查看当前支持云审计的全部OBS操作数据事件，以及查看具体有哪些读操作类型事件和写操作类型事件。 表 配置转储到OBS参数列表 参数名称 参数说明 转储到OBS 当“转储到OBS”开关打开时，您可以选择已存在的OBS桶，并配置事件文件前缀。 如果“转储到OBS”开关关闭时，则无需配置相应参数。 选择OBS 选择已有OBS桶：选择当前区域已创建的OBS桶。 OBS桶名称 当“选择OBS”选择“新建OBS桶”时，直接新建OBS桶名称。OBS桶名称不能为空，仅支持小写字母、数字、“”和“.”，且长度范围为363个字符。禁止两个“.”相邻（如“my..bucket”），禁止“.”和“”相邻（如“my.bucket”和“my.bucket”），禁止使用ip为桶名称。 当“选择OBS”选择“选择已有OBS桶”时，可以选择已存在的OBS桶。 保存周期 转储至OBS桶中日志的保存周期。该配置会修改被选择桶的桶策略，影响范围为桶内的所有文件。不同类型、不同级别的合规认证标准对审计日志的保存时间有不同的要求，建议设置保存周期不低于180天。 数据类事件追踪器：保存周期支持设置为30天、60天、90天、180天、三年和沿用OBS配置。 事件文件名前缀 用于标识被转储的事件文件，该字段支持用户自定义，会自动添加在转储事件文件的文件名前端，方便用户快速进行筛选。事件文件名前缀只能由英文字母、数字、下划线（）、中划线（）和小数点（.）组成，且长度范围为064个字符。 表 配置转储到LTS参数列表 参数名称 参数说明 转储到LTS 当“转储到LTS”开关打开时，表示操作事件将转储到日志流中。 日志组名称 当“转储到LTS”开关打开时，日志组名称默认为“CTS”。如果“转储到LTS”开关关闭时，则无需配置该参数。

支持审计的关键操作列表 通过云审计服务，您可以记录与DWS服务相关的操作事件，便于日后的查询、审计和回溯。 说明 自动快照的创建，删除走系统内部调度，非用户操作，不记录审计日志。 详见下表：云审计服务支持审计的DWS 操作列表 操作名称 资源类型 事件名称 创建集群/恢复集群 cluster createCluster 删除集群 cluster deleteCluster 扩容集群 cluster resizeCluster 重启集群 cluster restartCluster 创建快照 backup createBackup 删除快照 backup deleteBackup 设置安全参数 configurations updateConfigurations 创建MRS数据源 dataSource createExtDataSource 删除MRS数据源 dataSource deleteExtDataSource 更新MRS数据源 dataSource updateExtDataSource 查看审计日志 1. 登录管理控制台，选择“服务列表 > 管理与监管> 云审计服务”，进入云审计服务信息页面。 2. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 3. 单击事件列表右上方的“筛选”，设置对应的操作事件条件。 当前事件列表支持四个维度的组合查询，详细信息如下： “事件来源”、“资源类型”和“筛选类型”。 −“事件来源”：选择“DWS ”。 −“资源类型”：选择“所有资源类型”，或者指定具体的资源类型。 −“筛选类型”：选择“所有筛选类型”，或者选择以下任一选项。 “按事件名称”：选择该选项时，还需选择某个具体的事件名称。 “按资源ID”：选择该选项时，还需选择或者手动输入某个具体的资源ID。 “按资源名称”：选择该选项时，还需选择或手动输入某个具体的资源名称。 “操作用户”：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 “事件级别”：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 “起始时间”、“结束时间”：可通过选择时间段查询操作事件。 4. 单击“查询”，查看对应的操作事件。 5. 在需要查看的事件左侧，单击展开该记录的详细信息。 6. 在需要查看的事件右侧，单击“查看事件”，弹出一个窗口，显示了该操作事件结构的详细信息。 详见下图： 查看事件 关于云审计服务事件结构的关键字段详解，请参见《云审计服务用户指南》中的“云审计服务事件参考 > 事件结构”和“云审计服务事件参考 > 事件样例”章节。

Web应用防火墙将拦截或者仅记录攻击事件记录在“防护事件”页面。您可以查看WAF的防护日志，包括事件发生的时间、源站IP、源站IP所在地理位置、恶意负载、命中规则等信息。 前提条件 防护网站已接入WAF。 约束条件 下载防护事件文件时，如果您本地安装的安全软件拦截了下载文件，请关闭该软件后重新下载防护事件文件。 在WAF控制台只能查看所有防护域名最近30天的防护事件数据。 如果您将防护网站的“工作模式”切换为“暂停防护”模式，WAF将对该防护网站所有的流量请求只转发不检测，同时，日志也不会记录。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 5. 选择“查询”页签，在网站或实例下拉列表中选择待查看的防护网站，可查看“昨天”、“今天”、“3天”、“7天”、“30天”或者自定义时间范围内的防护日志。 “防护事件趋势图”：展示所选网站在选择的时间段内WAF的防护情况。 “TOP10统计”：针对当前所选时间段的攻击事件、受攻击站点、攻击源IP、受攻击URL的TOP 10网站进行统计，单击可复制统计图表的数据。 6. 在“防护事件列表”中，查看防护详情。 根据筛选条件字段匹配值进行筛选，可设置多项匹配条件，单击“确定”后，匹配条件会展示在事件列表的上方，条件字段参数说明如下表所示。 支持筛选搜索的条件字段： 参数名称 参数说明 事件ID 标识该防护事件的ID。 事件类型 发生攻击的类型。 默认选择“全部”，查看所有攻击类型的日志信息，也可以根据需要，选择攻击类型查看攻击日志信息。 规则ID 内置Web基础防护规则ID。 防护动作 防护配置中设置的防护动作，包含：拦截、仅记录、人机验证等。 人机验证：CC防护规则中，“防护动作”支持配置“人机验证”。即当访问的请求频率超过设定的“限速频率”后将弹出验证码提示，输入正确的验证码，请求将不受访问限制。 源IP Web访问者的公网IP地址（攻击者IP地址）。 默认选择“全部”，查看所有的日志信息，也可以根据需要，选择或者自定义攻击者IP地址查看攻击日志信息。 URL 攻击的防护域名的URL。 单击，可选择防护事件列表展示的字段。 防护事件列表可展示字段参数说明： 参数 说明 示例 ::: 时间 本次攻击发生的时间。 2021/02/04 13:20:04 源IP Web访问者的公网IP地址（攻击者IP地址）。 防护域名 被攻击的防护域名。 www.example.com 命中规则 内置Web基础防护规则ID。 URL 攻击的防护域名的URL。 /admin 事件类型 发生攻击的类型。 SQL注入攻击 防护动作 防护配置中设置的防护动作，包含：拦截、仅记录、人机验证等。 说明 配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后，如果访问请求命中防护规则，则防护动作显示为“不匹配”。 拦截 在目标事件的“操作”列单击“详情”，可查看目标域名攻击事件详情。

参数 参数类型 描述 id String 事件或者告警id，系统自动生成。 startsat Long 事件或者告警产生的时间，CST毫秒级时间戳。 endsat Long 事件或者告警清除的时间，CST毫秒级时间戳，为0时表示未删除。 arrivesat Long 事件或者告警到达AOM的时间，CST毫秒级时间戳。 timeout Long 告警自动清除时间。毫秒数，例如一分钟则填写为60000。默认清除时间为3天。 resourcegroupid String 资源组预留字段，当前默认和projectid的值一样。 metadata Object 事件或者告警的详细信息，为键值对形式。必须字段为： eventname：事件或者告警名称,类型为String； eventseverity：事件级别枚举值。类型为String，四种类型 "Critical", "Major", "Minor", "Info"； eventtype：事件类别枚举值。类型为String，event为普通告警，alarm为告警事件； resourceprovider：事件对应云服务名称。类型为String； resourcetype：事件对应资源类型。类型为String； resourceid：事件对应资源信息。类型为String。 annotations Object 事件或者告警附加字段，可以为空。 attachrule Object 事件或者告警预留字段，为空。

事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 IP地址冲突 IPConflict 重要 L2互联场景：一般是由于线上（本端子网）与线下（远端网段）存在相关IP地址的主机导致。 通过查看ARP、交换机信息等措施，排查出具体IP冲突的主机， 根据业务场景调整IP避免冲突。 可能导致冲突IP相关网络通信异常。

介绍配置事件通知具体步骤。 功能说明 媒体存储支持事件通知能力，当对象存储资源发生变动（如新对象上传、删除对象）时，可通过事件通知配置及时收到通知消息。 适用区域 本功能目前仅部分资源池支持，具体可参考：资源池与区域节点。 如需使用，可联系客户经理或提交工单申请。 前提条件 已完成新建Bucket操作，具体可参考 新建Bucket 。 使用说明 事件类型：支持多选，匹配一个事件类型触发一条通知。 资源描述 前缀、后缀：前后缀各支持配置一个。 资源描述 元数据：支持配置10个元数据，对象必须包含所配置的元数据才视为匹配。 当资源描述包含多个条件时，对象必须匹配所有条件才视为匹配。 目前事件通知回调暂不支持鉴权，用户需提供无需鉴权的回调地址。 当事件回调失败时，服务会重试回调，直至回调成功。 事件类型 事件通知目前支持以下事件类型： 事件类型 说明 ObjectCreated: 所有上传对象的操作 ObjectCreated:Put 通过putOject接口上传对象的操作 ObjectCreated:Post 通过postObject接口上传对象的操作 ObjectCreated:Copy 通过copy接口上传对象的操作 ObjectCreated:CompleteMultipartUpload 通过分片上传接口上传对象的操作 ObjectRemoved: 所有删除对象的操作 ObjectRemoved:Delete 通过deleteObject接口删除对象的操作 ObjectRemoved:DeleteMarkerCreated 开启多版本的存储桶，在不指定versionId删除对象时会插入一个deletemarker的操作

文档数据库DDS支持的事件列表 事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 创建实例业务失败 DDSCreateInstanceFailed 重要 创建文档数据库实例失败产生的事件，一般是由于磁盘个数、配额不足，底层资源耗尽导致。 检查磁盘个数、配额大小是否满足需求，并考虑释放资源后重新创建实例。 无法创建数据库实例。 复制状态异常 DDSAbnormalReplicationStatus 重要 出现”复制状态异常“事件通常有两种情况： 1、主机与备机或只读实例之间复制时延太大（一般在写入大量数据或执行大事务的时候出现），在业务高峰期容易出现阻塞。 2、主机与备机或只读实例之间的网络中断，导致主机与备机或只读实例复制异常。 提交工单。 不会导致原来实例的读写中断，客户的应用是无感知的。 复制状态异常已恢复 DDSReplicationStatusRecovered 重要 复制时延已回到正常范围内，或者主备之间的网络通信恢复。 不需要处理。 无 实例运行状态异常 DDSFaultyDBInstance 重要 由于灾难或者物理机故障导致实例故障时，会上报该事件，属于关键告警事件。 提交工单。 可能导致数据库服务不可用。 实例运行状态异常已恢复 DDSDBInstanceRecovered 重要 针对灾难性的故障，NoSQL有高可用工具会自动进行恢复或者手动恢复，执行完成后会上报该事件。 不需要处理。 无 节点运行状态异常 DDSFaultyDBNode 重要 由于灾难或者物理机故障导致数据库节点故障时，会上报该事件，属于关键告警事件。 检查数据库服务是否可以正常使用，并提交工单。 可能导致数据库服务不可用。 节点运行状态异常已恢复 DDSDBNodeRecovered 重要 针对灾难性的故障，NoSQL有高可用工具会自动进行恢复或者手动恢复，执行完成后会上报该事件。 不需要处理。 无 实例主备切换 DDSPrimaryStandbySwitched 重要 在手动触发的主备倒换或节点故障自动触发的故障倒换场景下，会上报该事件。 不需要处理。 无 数据盘空间不足 DDSRiskyDataDiskUsage 重要 数据盘空间不足，产生此告警。 请参见对应服务用户指南中“扩容磁盘”的内容，进行磁盘扩容。 实例被设为只读模式，数据无法写入。 数据盘空间已扩容并恢复可写 DDSDataDiskUsageRecovered 重要 数据盘空间已扩容并恢复可写，产生此事件。 无需处理。 无影响。 用户计划删除KMS密钥 DDSplanDeleteKmsKey 重要 一般是由于用户计划删除kms的key导致。 计划删除kms的key后，及时恢复kms的key或者及时解密数据。 kms的key被删除后用户无法进行磁盘加密。