YAML示例（ICAgent） 您可以通过在YAML定义的方式设置容器日志存储路径。 如下所示，使用EmptyDir挂载到容器的“/var/log/nginx”路径下，这样ICAgent就会采集容器“/var/log/nginx”路径下的日志。其中policy字段是CCE自定义的字段，能够让ICAgent识别并采集日志。 apiVersion: apps/v1 kind: Deployment metadata: name: testlog namespace: default spec: selector: matchLabels: app: testlog template: replicas: 1 metadata: labels: app: testlog spec: containers: image: 'nginx:alpine' name: container0 resources: requests: cpu: 250m memory: 512Mi limits: cpu: 250m memory: 512Mi volumeMounts: name: vollog mountPath: /var/log/nginx policy: logs: rotate: '' volumes: emptyDir: {} name: vollog imagePullSecrets: name: defaultsecret 使用HostPath方法如下所示，相比EmptyDir就是volume的类型变成hostPath，且需要配置hostPath在主机上的路径。下面示例中将主机上“/tmp/log”挂载到容器的“/var/log/nginx”路径下，这样ICAgent就会采集容器“/var/log/nginx”路径下的日志，且日志还会在主机的“/tmp/log”路径下存储。 piVersion: apps/v1 kind: Deployment metadata: name: testlog namespace: default spec: replicas: 1 selector: matchLabels: app: testlog template: metadata: labels: app: testlog spec: containers: image: 'nginx:alpine' name: container0 resources: requests: cpu: 250m memory: 512Mi limits: cpu: 250m memory: 512Mi volumeMounts: name: vollog mountPath: /var/log/nginx readOnly: false extendPathMode: PodUID policy: logs: rotate: Hourly annotations: pathPattern: '' format: '' volumes: hostPath: path: /tmp/log name: vollog imagePullSecrets: name: defaultsecret 表 关键参数解释 参数 参数说明 :: 存储类型 主机路径：HostPath模式，将主机路径挂载到指定的容器路径（挂载路径）。用户可以在节点的主机路径中查看到容器输出在挂载路径中的日志信息。 容器路径：EmptyDir模式，将节点的临时路径挂载到指定的路径（挂载路径）。临时路径中存在的但暂未被采集器上报到AOM的日志数据在Pod实例删除后会消失。 主机路径 请输入主机的路径，如：/var/paas/sys/log/nginx 挂载路径 请输入数据存储要挂载到容器上的路径，如：/tmp 说明 请不要挂载到系统目录下，如“/”、“/var/run”等，否则会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 AOM只采集最近修改过的前20个日志文件，且默认采集两级子目录。 AOM只采集挂载路径下的“.log”、“.trace”、“.out”文本日志文件。 容器中挂载点的权限设置方法，请参见为Pod或容器配置安全性上下文。 主机扩展路径 仅“主机路径”类型需要填写 通过实例的ID或者容器的名称扩展主机路径，实现同一个主机路径下区分来自不同容器的挂载。 会在原先的“卷目录/子目录”中增加一个三级目录。使用户更方便获取单个Pod输出的文件。 None：不配置拓展路径。 PodUID：Pod的ID。 PodName：Pod的名称。 PodUID/ContainerName：Pod的ID/容器名称。 PodName/ContainerName：Pod名称/容器名称。 采集路径 设置采集路径可以更精确的指定采集内容，当前支持以下设置方式： 不设置则默认采集当前路径下.log .trace .out文件 设置表示递归采集5层目录下的.log .trace .out文件 设置表示模糊匹配 例子： 采集路径为/tmp//test.log表示采集/tmp目录及其15层子目录下的全部以test开头的.log文件。 说明 使用采集路径功能请确认您的采集器ICAgent版本为5.12.22或以上版本。 日志转储 此处日志转储是指日志的本地绕接。 设置：AOM每分钟扫描一次日志文件，当某个日志文件超过50MB时，会立即对其转储（转储时会在该日志文件所在的目录下生成一个新的zip文件。对于一个日志文件，AOM只保留最近生成的20个zip文件，当zip文件超过20个时，时间较早的zip文件会被删除），转储完成后AOM会将该日志文件清空。 不设置：若您在下拉列表框中选择“不设置”，则AOM不会对日志文件进行转储。 说明 AOM的日志绕接能力是使用copytruncate方式实现的，如果选择了设置，请务必保证您写日志文件的方式是append（追加模式），否则可能出现文件空洞问题。 当前主流的日志组件例如Log4j、Logback等均已经具备日志文件的绕接能力，如果您的日志文件已经实现了绕接能力，则无需设置。否则可能出现冲突 建议您的业务自己实现绕接，可以更灵活的控制绕接文件的大小和个数。 日志采集路径配置和工作负载创建完成后，若已配置的路径下存在日志文件，则ICAgent会从已配置的路径中采集日志文件，采集大概需要1分钟，请您耐心等待。 待采集完成后，进入工作负载详情页，单击右上角的“日志”按钮查看日志详情。 您还可以在AOM控制台查看日志。 另外您还可以使用kubectl logs命令查看容器的标准输出，具体如下所示。

接口功能介绍 查询已购买的证书总数和使用情况 接口约束 无 URI POST /v1/certificate/statistics 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码 200 message String 提示信息 Success returnObj Object 返回数据结构体 result error String 错误码，仅错误时返回 CCMS100000063 表 result 参数 参数类型 说明 示例 下级对象 totalNum Integer 所有状态的证书数量 1 preApplyNum Integer 待申请状态的证书数量 1 issuedNum Integer 已签发状态的证书数量 0 auditFailedNum Integer 审核失败状态的证书数量 0 expiringNum Integer 即将过期状态的证书数量 0 expiredNum Integer 已过期状态的证书数量 0 枚举参数 无 请求示例 请求url 无 请求头header 无 请求体body 无 响应示例 { "statusCode": 200, "message": "Success", "returnObj": { "totalNum": 65, "preApplyNum": 11, "issuedNum": 15, "auditFailedNum": 5, "expiringNum": 0, "expiredNum": 6 } } 状态码 请参考 状态码

参数名称 说明 会话ID SQL语句的ID，由系统自动生成。 数据库实例 SQL语句所在的数据库实例。 数据库类型 执行SQL语句所在的数据库的类型。 数据库用户 执行SQL语句的数据库用户。 客户端MAC地址 执行SQL语句所在客户端MAC地址。 数据库MAC地址 执行SQL语句所在数据库MAC地址。 客户端IP 执行SQL语句所在客户端的IP地址。 数据库IP 执行SQL语句所在的数据库的IP地址。 客户端端口 执行SQL语句所在的客户端的端口。 数据库端口 执行SQL语句所在的数据库的端口。 客户端名称 执行SQL语句所在客户端名称。 操作类型 SQL语句的操作类型。 操作对象类型 SQL语句的操作对象的类型。 响应结果 执行SQL语句的响应结果。 影响行数 执行SQL语句的影响行数。 开始时间 SQL语句开始执行的时间。 应结束时间 SQL语句结束的时间。 SQL请求语句 SQL语句的名称。 请求结果 SQL语句请求执行的结果。

本节介绍了扩容“可用“状态的云硬盘容量的操作场景、约束与限制、操作步骤。 操作场景 本章节指导用户通过管理控制台扩容状态为“可用”的云硬盘，该状态表示当前需要扩容的云硬盘未挂载至任何云主机。 约束与限制 ● 当前EVS扩容功能支持扩大云硬盘容量，不支持缩小云硬盘容量。 ● 系统盘支持的最大容量为1 TB，数据盘支持的最大容量为32 TB，最小扩容步长均为 1GB。 ● 状态为“正在使用”的共享云硬盘不支持扩容，扩容前需要先将共享云硬盘从所挂载的云主机卸载，待状态变为“可用”后执行扩容操作。 操作步骤 步骤 1 登录管理控制台。 步骤 2 选择“存储 > 云硬盘”。 进入“云硬盘”页面。 步骤 3 在云硬盘列表中，选择指定云硬盘所在行“操作”列下的“扩容”。 进入扩容界面。 步骤 4 根据界面提示，设置“新增容量”参数，设置完成后，单击“立即申请”。 步骤 5 在“详情”页面，您可以再次核对云硬盘信息。 ● 确认无误后，单击“提交”，开始扩容云硬盘。 ● 如果还需要修改，单击“上一步”，修改参数。 提交完成后，根据界面提示返回“云硬盘”页面。 步骤 6 在“云硬盘”主页面，查看云硬盘扩容结果。 当云硬盘状态由“正在扩容”变为“可用”，并且容量增加时，表示已成功扩大云硬盘存储容量。 步骤 7 将扩容成功后的云硬盘挂载至云主机，具体请参见挂载云硬盘。 步骤 8 通过云服务管理控制台扩容成功后，仅扩大了云硬盘的存储容量，还需要登录云主机自行扩展分区和文件系统。 不同操作系统的云主机处理方式不同。 ● Windows系统，请参见扩展磁盘分区和文件系统（Windows 2008）。 ● Linux系统，请参见分区和文件系统扩展前准备（Linux）。

JWT是一种基于令牌的便捷请求认证鉴权解决方案。用户状态信息存储在token中，由客户端提供，服务端无需保存，适合Serverless环境。通过用户绑定在自定义域名上的Public JWKS，函数计算可以实现对到达该域名的请求进行JWT认证。根据域名配置，将claims作为参数传递给函数，函数无需实现鉴权逻辑，请求会在网关里校验，成功才转发到后端函数。 简介 JSON Web Token (JWT)是一种开放标准（RFC 7519），定义了一种紧凑且自包含的方式，用于安全地在各方之间传输信息，以JSON对象的形式。这些信息可以被验证和信任，因为它们是数字签名的。JWT可以使用密钥（使用HMAC算法）或使用RSA或ECDSA的公钥/私钥对进行签名。 使用限制： 函数计算通过JWT认证配置的JWKS来校验请求中的JWT。 支持配置多个JWK。 支持从Header，query参数，cookies中读取Token。 支持将claims作为header转发给函数。 目前函数计算的JWT支持如下算法。 签名算法 alg取值 RSASSAPKCS1V15 RS256 配置JWT认证 前提条件 创建自定义域名，且认证方式选择“JWT认证”。 操作步骤 1. 登录控制台，在左上角选择目标地域。 2. 在最左的菜单栏中选择高级功能 > 域名管理。 3. 在创建域名 页面，展开认证设置。 1. 认证方式选择JWT认证 2. 配置jwks jwt鉴权需要用户提供有效的JWKS（JSON Web Set）。您可以使用在线生成工具生成，例如mkjwk.org。下文以使用mkjwk.org工具生成JWKS为例说明。 按图所示选择Key Use，Algorihm，Show X.509，点击Generate生成需要的公私钥和jwks。 3. 把public key填入jwks的keys字段里。 4. 使用 生成请求用的jwt，如图所示。 算法选择RS256 playload根据需要配置，但必须有iss字段，值为用户填的自定义域名（全小写） 公私钥内容根据b步骤里生成的填写即可 左侧生成的“xxx.xxx.xxx”即为合法签名后的jwt内容 5. 配置JWT Token（必填） 在JWT Token 配置 配置项中，选择 token所在位置和 token的名称。 token位置支持Header、Cookie、Query参数（GET)。如果 token位置选择为Header，则还需为其指定前缀，函数计算在获取Token时，会删除此前缀。 6. 配置JWT Claim转换（可选） 在JWT Claim 转换配置项中，选择透传给函数的参数所在位置、参数原始名称和参数透传给函数之后的名称。注意，这里的claim的名称指的是jwt的payload里的key。 映射参数位置只支持Header，以下配置的意思是：从jwt的payload中查找MyHeader字段，并把MyHeader的具体值用新的header，这里是HewHeader，透传给目标函数。目标函数收到的请求的header中就回包含一个新的，key为NewHeader的header。 4. 测试验证 bash curl v location request POST ' header 'Accept: /' header 'Host: mytest.domain.com' header 'Connection: keepalive' header "JwtHeader: MyJwt eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCIsIk15SGVhZGVyIjoiaC12YWx1ZSJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwiTXlIZWFkZXIiOiJKb2huIERvZSIsImFkbWluIjp0cnVlLCJpc3MiOiJtb3p5Lm16eWNoYWNvLmVtYWlsIn0.RwbPlMzgIPixrMN5o9Xw8q4QYA7R8V6UPMC6iBW3NCzadYmXk469g50QNItVXxoDuk7a1VR7M6IHnhrUJX5x5IZsDg7QzKSwVkyn3Gj0pXJnj41Bthcqw82iQbUhfzlZpcLcMN4C0vPLqh9sHAPOHoe1BkysadNSaGe6b08I34S6IEbBVHunDswJcVqWk8SjxSDyeVUBumZ8Qf6Z4qqNjjfFvzI4v6J4fLTNA2LCv16c0VDSufnFekkQUrvZEjxIetJ1KgEtBYheylGtuCGeBWEVlhARAUqCT1AqM2KC28O74mSXpxSljiFLBLuouAFWIvWl29w" 如果不传jwt，函数会返回 Jwt is missing。 如果jwt有误，函数会返回 Jwt verification fails。 一切正常，函数会正常返回。

本节主要介绍SQL操作 DAS服务可通过SQL语句对数据库中的对象列表进行管理，方便用户使用。 SQL查询 操作步骤 1. 在顶部菜单栏选择“SQL操作”>“SQL查询”，打开一个SQL窗口。 2. SQL操作主要针对数据库中的表与视图，您可在SQL窗口左侧导航栏，选择数据库表或者视图。 执行SQL：用于执行SQL语句。 执行计划：用于反馈SQL的执行情况，便于排查问题，优化与提升SQL处理性能。 我的SQL：DAS支持用户添加常用的SQL，以及查看和管理SQL语句。 格式化：用于提高SQL语句易读性，只是转换SQL语句的显示形式，不会修改SQL的执行逻辑和语义。 格式化功能是对整个SQL 窗口内所有SQL语句进行格式化，暂不支持选中多条语句中的某一条进行格式化。 SQL提示：用户在SQL窗口输入语句时帮助用户快速输入用户的库名、表名、字段名称。 覆盖/追加模式： 追加模式：每次执行SQL时，之前结果集将会保留，创建新标签页显示新结果集。 覆盖模式：每次执行SQL时，会清空之前结果集，并显示SQL新结果集。 全屏显示：当输入的SQL语句较多时，可以打开全屏开关，方便用户查看。 3. SQL执行后，您可在页面下方的“SQL执行记录”、“消息”、“结果集”栏，查看该SQL运行情况。 执行SQL 操作步骤 1. 在顶部菜单栏选择“SQL操作”>“SQL查询”，打开一个SQL窗口，在左侧结构树选择数据库。 2. 在SQL窗口输入需要执行的SQL语句，单击“执行SQL”进行SQL查询或者更新。 建议打开SQL提示开关，用户在SQL窗口输入语句时可以帮助用户快速输入用户的库名、表名、字段名称等信息。 在选择字符集编码时，用户可以指定查询结果集字符集编码，避免默认采用UTF8导致显示乱码情况。 数据管理服务支持同时执行多条SQL语句，SQL语句需要用英文分号（;）隔开。此时建议打开全屏模式开关，帮助用户清晰查看SQL语句的逻辑层次。 如果只执行部分SQL语句，则选中要执行的SQL语句。 如果全部执行，则不选中或者选中所有的SQL语句。 3. 执行SQL后，在窗口下方可查看历史SQL执行记录及当前执行信息。单击“消息”页签，可获取SQL语句的执行情况和执行影响范围，数据的进度及耗时信息。 4. 在“结果集”页签下，您可以查看SQL语句的执行结果详情。并对结果集进行以下编辑操作。 复制行、复制列：复制某一行或列进行重复使用。 列设置：当查询的结果中列字段较多时可以自定义显示，方便使用。 16进制显示Binary类型：将结果集中的二进制数据转换为十六进制显示。 刷新：刷新已变更的数据信息。 单行详情：显示选中行的列字段名称、类型和单行数据。 新增：在结果集中新增一个空行供用户使用。 提交编辑：查看将要变更的SQL语句，单击确定后，结果集刷新为最新结果。 删除行：删除选中行包括数据信息。 导出：支持SQL格式和CSV格式导出，最多支持1万行数据。 导出更多：若用户需要导出超出1万行的数据，单击此处会跳转到数据导出模块，方便用户使用导出功能。 说明 结果集涉及到视图时，不可进行编辑操作。 结果集类型为元数据时，不可进行编辑或分页操作 结果集涉及多张表时，不可进行编辑操作 结果集仅涉及1张表，但该表主键列未全部包含在查询结果中时或无主键时，不可进行编辑操作。 虚表不能进行编辑操作（例如存储过程执行中生成的表）。

本节介绍数据安全中心如何收费。 数据安全中心DSC提供两个服务版本：标准版和专业版，两种扩展包：数据库扩展包和OBS扩展包。 说明 不同版本的扩展包的费用不同，且购买扩展包需要对应版本购买，如标准版的扩展包只能支持标准版的基础套餐，专业版的扩展包只能支持专业版的基础套餐。 您可以根据业务需求选择相应的服务版本和搭配扩展包，服务将根据您选择的计费项目进行收费。详细计费信息见计费说明。 计费项 计费模式 计费项 选择方式 计费说明 包周期（包年/包月） 基础套餐 必选 按购买的版本规格（标准版/专业版）计费。 包周期（包年/包月） 数据库扩展包 可选 按购买个数计费。 包周期（包年/包月） OBS扩展包 可选 按购买个数计费。

本节介绍如何解除数据集加速。 当不再需要使用加速数据时，可以通过解除加速来释放存储资源。 解除加速后，将同步删除数据源配置资源（Dataset）、加速引擎资源（Runtime）、预热资源（DataLoad），本地缓存数据将自动清理。 前提条件 已完成AI套件安装，弹性数据集组件运行正常 确保存储插件cstorcsi运行正常 数据集已开启数据加速 确认已没有业务资源在使用加速数据集 约束与限制 解除加速将清理缓存数据，业务无法再使用加速功能，请谨慎操作 解除加速前请确认已没有业务资源在使用加速数据集，否则无法执行解除 操作步骤 1、解除加速 登录云容器引擎管理控制台； 在集群列表页点击进入指定集群； 进入主菜单 智算套件 > AI应用管理 > 数据集 > 私有数据集，选择数据集； 进入数据集详情页 > 版本： 数据集版本列表中，对于已加速数据集，开放“解除加速”入口。点击“解除加速”，将开启清理操作。 解除加速完成，数据集加速状态将置为“未加速”。 2、解除加速失败 Cannot decelerate, pods [XXX] are using PVC fluiddsXXX 该错误由于检查当前仍有应用在使用加速数据集导致。可根据提示pod确认是否要解除加速，如仍需解除，需首先释放占用资源，再重试解除即可。

本文介绍文件系统挂载至云主机的方法。 当创建文件系统后，您需要使用云主机来挂载文件系统，以实现多个云主机共享使用文件系统的目的。本文介绍几种基本的挂载操作。 注意 云主机需要与文件系统归属同一VPC。 NFS仅支持挂载至Linux云主机；CIFS仅支持挂载至Windows云主机。 挂载前需确定云主机操作系统类型，不同操作系统挂载文件系统的方法不同。 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 挂载NFS文件系统到弹性云主机 (Linux) 详细操作步骤参见挂载NFS文件系统到弹性云主机 (Linux)。 挂载CIFS文件系统到弹性云主机 (Windows) 详细操作步骤参见挂载CIFS文件系统到弹性云主机 (Windows)。

事件类型 告警名称 告警说明 企业版 旗舰版 网页防篡改版 加入告警白名单 隔离查杀 恶意软件 恶意程序 恶意程序可能是黑客入侵成功之后植入的木马、后门等，用于窃取数据或攫取不当利益。 例如：黑客入侵之后植入木马，将受害主机作为挖矿、DDoS肉鸡使用，这类程序会大量占用主机的CPU资源或者网络资源，破坏用户业务的稳定性。 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 √ √ √ √ √ 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × √ √ √ ×（部分支持） 恶意软件 Webshell 检测云服务器上web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 您可以在“策略管理”的“Webshell检测”中配置Webshell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 恶意软件 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”中配置反弹Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 漏洞利用 一般漏洞利用 实时检测利用漏洞入侵主机的行为，对发现的入侵行为进行告警上报。 √ √ √ √ × 系统异常行为 文件提权 当黑客成功入侵主机后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统帐号的权限或者篡改文件的目的。 HSS检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 √ √ √ √ × 系统异常行为 进程提权 检测以下进程提权操作并进行告警： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 √ √ √ √ × 系统异常行为 关键文件变更 篡改系统关键文件，通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。 对系统关键文件（例如：ls、ps、login、top等）及目录进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。监控的关键文件的路径请参见关键文件变更监控路径。 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 文件/目录变更信息包括“文件别名”、“被更改的关键文件路径”以及配置文件所在的“服务器名称”。 添加关键文件指纹库，收集关键文件信息，便于清点合法文件信息，检测异常文件。 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 √ √ √ √ × 系统异常行为 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 √ √ √ √ × 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 √ √ √ √（部分支持） × 系统异常行为 高危命令执行 您可以在“策略管理”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 √ √ √ √ × 系统异常行为 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 您可以在“策略管理”的“恶意文件检测”中配置异常Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 √ √ √ √ × 系统异常行为 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × √ √ × 用户异常行为 暴力破解 黑客通过帐户暴力破解成功登录主机后，便可获得主机的控制权限，进而窃取用户数据、植入挖矿程序，DDoS木马攻击等恶意操作，严重危害主机的安全。 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 √ √ √ √ × 用户异常行为 异常登录 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录，则说明您的主机可能被黑客入侵成功。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括被拦截的“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若帐户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ × 用户异常行为 非法系统帐号 黑客可能通过风险帐号入侵主机，以达到控制主机的目的，需要您及时排查系统中的帐户。 HSS检查系统中存在的可疑隐藏帐号、克隆帐号；若存在可疑帐号、克隆帐号等，则触发告警。 √ √ √ √ ×

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 区域ID 81f7728662dd11ec810800155d307d5b listenerID 是 String 监听器ID listener2exqi1zcs8 responseTimeout 是 Integer 响应超时，单位秒，取值范围：1 300 1

本节主要介绍系统监控信息。 在“监控”页面点击“系统”，可以查看以下指标指定时间段的监控曲线：数据目录使用率、容量配额使用率、数据目录使用量、数据目录总容量、配额使用量、配额、读带宽、写带宽、总带宽、读IOPS、写IOPS、总IOPS、读时延、写时延、总时延、上云上传带宽、上云下载带宽、上云总带宽。 图1 系统监控信息（集群版） 项目 描述 时间范围 可以选择相对时间： 近2小时 近6小时 近1天 近7天 近1年 自定义时间段，选择开始日期和结束日期，精确到天。 注意 起始时间必须早于结束时间，且起始时间不能早于服务器当前时间一年。 数据目录使用率 所有数据目录所在磁盘使用率的平均值。 容量配额收益率 HBlock所有数据目录容量配额使用率的平均值。 HBlock HBlock服务端。 数据目录使用量 所有数据目录所在磁盘使用量的总和。 数据目录总容量 所有数据目录所在磁盘的容量总和。 配额使用量 HBlock配额使用量。 配额 集群中各个数据目录的HBlock配额总量。 客户端 HBlock 客户端与HBlock之间的数据传输情况。 读带宽 客户端从HBlock读取数据的带宽。 写带宽 客户端向HBlock写入数据的带宽。 总带宽 客户端与HBlock之间的总带宽。 读IOPS 客户端从HBlock读取数据的IOPS。 写IOPS 客户端向HBlock写入数据的IOPS。 总IOPS 客户端与HBlock之间的总IOPS。 读时延 客户端从HBlock读取数据的时延。采集周期内，系统中所有卷读时延的平均值。 写时延 客户端向HBlock写入数据的时延。采集周期内，系统中所有卷写时延的平均值。 总时延 客户端与HBlock之间的总时延。采集周期内，系统中所有卷读写时延的平均值。 HBlock Cloud HBlock与云之间的数据传输情况。 上云上传带宽 HBlock向云上传数据的带宽。 上云下载带宽 HBlock向云下载数据的带宽。 上云总带宽 HBlock与云之间的总带宽。

本节介绍连接Redis的网络要求。 任何兼容Redis协议的客户端都可以访问DCS的Redis实例，您可以根据自身应用特点选用任何Redis客户端，Redis支持的客户端列表请参见Redis客户端。 客户端连接Redis在不同的连接场景下，需要满足不同的连接约束： 使用同一VPC内客户端访问Redis实例。 安装了客户端的弹性云主机必须与Redis实例属于同一个VPC。Redis 4.0及以上版本的基础版实例，如果实例配置了IP白名单，需将弹性云主机的IP地址加入实例IP白名单，以确保弹性云主机与Redis实例的网络是连通的。 安全组配置，请参考如何选择和配置安全组。白名单配置，请参考配置Redis访问白名单。 客户端与Redis实例所在VPC为相同Region下的不同VPC。 如果客户端与Redis实例不在相同VPC中，可以通过建立VPC对等连接方式连通网络，具体请参考：缓存实例是否支持跨VPC访问。 客户端与Redis实例所在VPC不在相同Region。 如果客户端服务器和Redis实例不在同一Region，支持通过VPN等方式打通网络，请参考VPN。 在跨Region访问Redis实例时，实例域名无法跨Region解析，无法通过域名访问。可以通过在hosts中手动配置域名与IP绑定关系或使用IP进行访问。 公网访问 客户端公网访问Redis 4.0及以上版本实例时，请参考开启Redis公网访问并获取公网访问地址开启实例公网访问。 客户端公网访问Redis 3.0实例时，Redis缓存实例需要配置正确的安全组规则。当SSL加密功能关闭时，Redis实例的安全组入方向规则，必须允许外部地址访问6379端口；当SSL加密功能开启时，则必须允许外部地址访问36379端口。具体配置请参考常见问题：[如何选择和配置安全组](

在购买DRDS实例之前，您需要先做一系列的准备操作，包括评估实例规格，确定虚拟私有云（VPC）及可用区等。 评估实例规格 在购买DRDS前，您需要根据应用的实际情况，评估所需要的计算和存储能力，同时结合业务类型及规模，选择合适的实例规格，更好地满足应用需求。实例规格主要包括：实例的性能类型、CPU和内存等，更多实例规格信息，请参见规格。 确定VPC VPC为DRDS实例提供了网络隔离和访问控制，在创建VPC时，利用子网、安全组等网络特性，可以更便捷、安全地进行内部网络的配置和管理。 注意 DRDS实例必须与MySQL实例在同一个VPC内，且两者的安全组需要确保DRDS与MySQL间网络互通。 建议 DRDS实例与应用程序处于在同一个VPC内，可以提高安全性和性能。 DRDS实例、MySQL实例与应用程序三者尽量选择同一个安全组，可以保证网络访问不受限制，并且便于统一管理。 确定可用区 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。

本章节介绍云主机磁盘填充故障演练。 背景介绍 由失控的日志文件、未经清理的临时数据或异常进程持续写入，都可能导致云主机磁盘空间被耗尽（例如使用率超过95%）。这种情况会直接导致应用无法写入新数据、服务功能异常甚至进程崩溃。本演练模拟磁盘空间被占满的场景，帮助您检验系统的磁盘空间监控告警、日志轮转机制以及应用在无可用存储空间时的处理逻辑。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过dd命令将数据写入文件。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘填充动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 目录：填充文件的写入目标，默认为系统根目录 /。强烈建议指定一个非系统盘的数据目录。 文件大小(MB)：填充的文件大小，取值是整数，例如1024。 磁盘使用率：填充至指定的空间占用率（取值 1100），例如50代表50%的使用率。 保留大小(MB)：保留的磁盘大小，如果文件大小、磁盘使用率、保留大小参数都存在，优先级是磁盘使用率>保留大小>文件大小。

本文帮助您了解云间高速(标准版)实例的创建操作流程。 操作场景 使用云间高速（标准版）服务，用户需要先创建一个云间高速（标准版）实例。这可以通过访问云间高速（标准版）控制台并选择创建实例来完成。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在侧菜单列表中选择“云间高速（标准版）”。 3. 在控制台首页，单击“创建云间高速（标准版）”。 4. 进入创建云间高速（标准版）弹窗页面，根据页面提示填写对应参数。 参数 说明 取值样例 名称 云间高速实例名称1 EC1 企业项目 选择对应的企业项目 default 描述 实例描述内容 5. 单击“确定”，完成实例创建。

支持。事件总线支持以对象数组封装的方式进行批量事件发送，其中数组中每个元素都需要遵循CloudEvents V1.0标准格式要求。 更多详情请参见SDK概述。

本页介绍如何删除用户指定的数据密钥。 plaintext DROP COLUMN ENCRYPTION KEY clientcolumnkeyname; 参数描述： clientcolumnkeyname：想要删除的数据密钥的对象名称

参数 参数类型 说明 示例 下级对象 status String 创建进度: inprogress / done inprogress message String 进度说明 请使用相同请求，进行重试 loadBalanceID String 负载均衡ID，可能为 null edbe1a3ebac348a59357d9239d7d1577

本节主要介绍删除QoS策略。 在“QoS策略管理”页面，选择目标QoS策略，点击“操作”>“删除”，可以删除QoS策略。 注意 QoS策略没有关联任何对象的时候，才可以删除。 图1 删除QoS策略

用户可通过本接口将一个截图设置为视频条目封面。 接口功能介绍 用户可通过本接口将一个截图设置为视频条目封面。 接口约束 本接口的单用户QPS限制为20次/秒。超过限制，API调用会被限流，这可能会影响您的业务，请合理调用。 URI POST /xstorevod/snapshot/picture 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 originVideoUuid 是 String 源视频videoID。 494df3af1bd04fc28e2f0c5b73a45b6d coverUrl 是 String 必填参数，截图地址。 响应参数 参数 是否必填 参数类型 说明 示例 下级对象 code 是 Integer 本次请求的结果码。 0设置成功；非0设置失败 0 message 是 String 错误文本信息，成功时，为空字符串。设置失败时为具体错误信息。 "" data 是 String 返回的结果。默认无返回数据集。

本文介绍如何使用PHP请求处理程序响应接收到的事件并执行相应的业务逻辑。 请求处理程序 请求处理程序是您提供的一个方法。当您的函数被调用时，函数计算会运行该方法处理请求。 您可以通过函数计算控制台页面配置请求处理程序 ，对于PHP语言的函数，请求处理程序需配置为 [文件名].[方法名]。例如，您的文件名为index.php，方法名为handler，则请求处理程序可配置为 index.handler。 如下是一个事件请求处理程序的方法签名示例： php getBody()>getContents(); $logger $GLOBALS['fcLogger']; $logger>info('request body:' . $body); return new Response( 200, array( 'helloheader1' > 'aaa', 'helloheader2' > ['bbb', 'ccc'], 'ContentType2' > 'application/json' ), 'hello world' ); }

本章介绍Windows内核特权提升漏洞。 Windows内核处理内存中对象的方式中存在特权提升漏洞，成功利用此漏洞的攻击者可能会利用提升的特权执行代码。 为了利用此漏洞，在本地经过身份验证的攻击者可能会运行经特殊设计应用程序。 漏洞编号 CVE20201027 漏洞名称 Windows内核特权提升漏洞 漏洞描述 Windows内核处理内存中对象的方式中存在特权提升漏洞，成功利用此漏洞的攻击者可能会利用提升的特权执行代码。 影响范围 所有Windows系统 官方解决方案 官方建议受影响的用户尽快安装最新的漏洞补丁。 详情请参见< 检测与修复建议 天翼云企业主机安全服务支持对该漏洞的便捷检测与修复。 1. 检测并查看漏洞详情，详细的操作步骤请参见漏洞管理。 手动检测漏洞 2. 漏洞修复与验证，详细的操作步骤请参见漏洞管理。

在事件列表页面，可以筛选并查看所有告警事件。 功能入口 1. 登录【应用性能监控控制台】。 2. 在左侧导航栏选择告警管理>告警事件历史。 事件列表 事件列表页面显示了未恢复告警和已恢复告警的事件名称、通知策略、创建时间、事件数量、事件状态、事件对象。 在事件列表页面，您可以执行以下操作： 设置筛选字段，然后单击搜索，可以查看对应的告警事件。 字段 说明应用性能监控 事件名称 创建的告警规则的名称。 事件状态 告警事件的状态，共有以下3种状态： 告警中：告警事件持续被触发。 静默：在设置的自动恢复告警事件的时间内，和第一条告警事件名称和等级相同的告警事件的状态为静默。 已恢复：在设置的时间内，告警事件不再触发。 事件对象 监控任务名称或集群名称。 集成类型 告警事件对应的集成类型。 单击事件名称，查看目标事件的详细信息。更多信息，请参见下方【事件详情】。 事件详情 事件详情面板显示了事件的基本信息、监控数据和扩展字段。

接口功能介绍 修改elb流日志 接口约束 无 URI POST /v4/elb/modifyaccesslog 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 clientToken 否 String 客户端存根，用于保证订单幂等性, 长度 1 64 79fa97e3c48bxxxx9f466a13d8163678 regionID 是 String 区域ID 81f7728662dd11ec810800155d307d5b accesslogID 是 String 访问日志ID xxxx logCollection 是 Integer 0:关闭日志收集 1:启用日志收集 0 projectCode 是 String 日志项目code xxx unitCode 是 String 日志单元code xxxx 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回状态码（800为成功，900为失败） 800 message String statusCode为900时的错误信息; statusCode为800时为success, 英文 success description String statusCode为900时的错误信息; statusCode为800时为成功, 中文 成功 errorCode String statusCode为900时为业务细分错误码，三段式：product.module.code; statusCode为800时为SUCCESS SUCCESS 枚举参数 无 请求示例 请求url POST /openapi/v4/elb/modifyaccesslog 请求头header 无 请求体body { "regionID": "81f7728662dd11ec810800155d307d5b", "accesslogID":"xxx", "logCollectioin":1 }

接口功能介绍 更新密钥轮转周期 接口约束 请保证账户余额大于0 URI POST /v1/versionControl/updateRotationPolicy 路径参数 无 Query参数 无 请求参数 请求头header参数 请参见请求消息头 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 cmkUuid 是 String 密钥唯一标识id 474e569e8814474a948bdbcf6d853eff enableAutomaticRotation 是 String 是否开启轮转，取值范围： true:开启 false:不开启 true rotationInterval 是 String 密钥轮转周期：时间范围为7天730天，只需要传数字+d即可（例如7d） 7d 响应参数 参数 参数类型 说明 示例 下级对象 code String 返回码，取值范围： 200：成功 400：参数缺失或错误 401：用户验证错误 404：操作目标不可用 500：系统内部错误 200 errorCode String 错误码 KMS.0514 msg String 调用结果信息 更新密钥轮转周期成功 data Object 接口返回结果 null 请求示例 请求头header plaintext { "ContentType": "application/json", "requestDate": "20221101T154654Z", "ctyuneoprequestid": "89bf1559a96e4bc998fc394d169a42e4", "EopAuthorization":"91ef73a6329545c294be1d5c763bdf7e Headersctyuneoprequestid;eopdate Signature2mc3zggaqLEGTSVy2H8lWsFEm+BNJf0CrcomDSOxPfc", "regionId":"60a39fca876e11ea91cf0242ac110002" } 请求体body plaintext { "cmkUuid":"474e569e8814474a948bdbcf6d853eff", "enableAutomaticRotation":"true", "rotationInterval":"7d" }

状态 说明 创建中 正在创建数据库复制服务需要用到的同步实例。 创建任务失败 创建实时同步实例失败。 配置 同步实例创建成功，但还没有启动任务，可以继续配置任务。 冻结 账户余额小于或等于0元，系统对该用户下的实例进行冻结。 等待启动 已经下发了定时启动同步任务到同步实例上，等待同步实例启动任务。 启动中 正在启动实时同步任务。 启动失败 实时同步任务启动失败。 全量同步 正在进行源数据库到目标数据库的全量同步任务。 全量同步失败 实时同步任务全量同步失败。 增量同步 持续进行从源数据库到目标数据库的增量实时同步。 增量同步失败 实时同步任务增量同步失败。 任务变更中 编辑同步对象后，正在进行同步任务变更。 任务变更失败 编辑同步对象后，同步任务变更失败。 故障恢复 同步实例发生故障，系统自动恢复同步任务。 结束任务 释放执行同步任务所使用的同步实例和资源。 结束任务失败 释放同步任务所使用的同步实例和资源失败。 已结束 释放同步任务所占同步实例成功。

参数 是否必填 参数类型 说明 示例 下级对象 code 是 Integer 接口业务响应码：0删除成功；非0删除失败。 0 message 是 String 删除失败时为具体失败信息；成功时为""。 ""

云堡垒机的“主机网盘”是什么？ 云堡垒机“主机网盘”是系统用户的个人网盘，可作为用户传输文件的“中转站”，暂存用户上传/下载的文件。 系统用户私有个人网盘空间。网盘中内容仅用户自己可见，对系统其他用户不可见。 与系统用户直接关联。用户被删除后，个人网盘中数据将被清空，个人网盘内存将被释放。 可用内存大小为系统配置的“个人网盘空间”大小。 系统所有用户的已使用个人网盘空间，不能超过系统配置的“网盘总空间”大小。 注意 不支持用户自定义个人网盘空间大小，仅能由系统管理员设置“个人网盘空间”，为系统用户分配相同大小的个人网盘空间； 不支持查询个人网盘已使用内存大小； 不支持设置定期清理，用户仅能通过手动删除文件来清理空间。 如何清理个人网盘空间？ 云堡垒机“主机网盘”是系统用户的个人网盘，暂不支持设置定期清理。 管理员可通过手动删除过期或废弃的文件，来清理个人网盘空间。 删除某个用户所有的网盘空间 1 登录云堡垒机系统。 2 选择“系统 > 数据维护 > 存储配置”，进入系统存储配置管理页面。 3 展开网盘空间，即可查看设置的“个人网盘空间”和“网盘总空间”。 4 单击“详情”，进入网盘详情页面。 5 在目标网盘所在行的“操作”列，单击“删除网盘数据”，可以清理个人网盘空间。 勾选多个需要删除的网盘数据，单击“删除网盘数据”，可批量清理个人网盘数据。

本节主要介绍相关术语解释 工作负载 工作负载即Kubernetes对一组Pod的抽象模型，用于描述业务的运行载体，包括Deployment、Statefulset、Job、Deamonset等。 无状态工作负载（即kubernetes中的“Deployments”）：Pod之间完全独立、功能相同，具有弹性伸缩、滚动升级等特性。如：nginx、wordpress。 有状态工作负载（即kubernetes中的“StatefulSets”）：Pod之间不完全独立，具有稳定的持久化存储和网络标示，以及有序的部署、收缩和删除等特性。如：mysqlHA、etcd。 实例（Pod） Pod是 Kubernetes 部署应用或服务的最小的基本单位。一个Pod 封装多个应用容器（也可以只有一个容器）、存储资源、一个独立的网络 IP 以及管理控制容器运行方式的策略选项。 金丝雀发布 又称灰度发布，是迭代的软件产品在生产环境安全上线的一种重要手段。在生产环境上引一部分实际流量对一个新版本进行测试，测试新版本的性能和表现，在保证系统整体稳定运行的前提下，尽早发现新版本在实际环境上的问题。 蓝绿发布 蓝绿发布提供了一种零宕机的部署方式。不停老版本，部署新版本进行测试，确认运行正常后，将流量切到新版本，然后老版本同时也升级到新版本。始终有两个版本同时在线，有问题可以快速切换。 流量治理 应用流量治理提供可视化云原生应用的网络状态监控，并实现在线的网络连接和安全策略的管理和配置，当前支持HTTP、TCP流量下的路由规则、负载均衡、会话保持、连接池管理、RBAC等能力。

数据库审计的审计数据可以保存多久？ 数据库审计支持将在线和归档的审计数据至少保存180天的功能。根据实际的磁盘大小，会优先删除存储日期较早的审计数据。 若您需要更多的磁盘空间，可选择买更高级的数据库审计实例规格或者购买磁盘存储容量。 数据库审计发生异常，多长时间用户可以收到告警通知？ 在数据库审计正常运行的情况下，从系统发生异常到收到告警通知最大时延不超过5分钟。 在业务侧使用中间件会影响数据库审计功能吗？ 不会影响使用数据库安全审计。 中间件是介于应用系统和操作系统之间的一类软件，通常在操作系统、网络和数据库之上，应用软件的下层，是为处于上层的应用软件提供运行与开发的环境，帮助用户灵活、高效地开发和集成复杂的应用软件。 数据库安全审计采用旁路模式部署，通过Agent（数据库节点或应用节点安装Agent）获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，从而实现数据库安全审计功能。 因此，您在业务侧使用中间件不影响数据库安全审计功能，不会导致Agent监听SQL失败或者审计没有数据。 数据库审计能否对第三方工具执行的SQL语句进行捕捉？ 可以。数据库审计审计的数据是Agent接入的全量日志和流量数据，与工具无关。 数据库审计是否支持云下部署？ 不支持。数据库审计需要部署在您所使用的云上的服务器中，您需要将相关的业务迁移至目标云上。

本文为您介绍如何使用ECI实例访问云硬盘数据。 背景信息 天翼云硬盘（CTEVS，Elastic Volume Service）是一种可弹性扩展的块存储设备，可以为ECI提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景。 前期准备 已开通天翼云弹性容器实例服务。 已创建至少一块云硬盘，且要求与待创建ECI实例归属同一可用区。 云硬盘需要满足按量计费模式，VBD模式，非共享，状态未挂载等要求。 操作步骤 天翼云弹性容器实例ECI支持用户通过控制台和OpenAPI等多种方式创建挂载云硬盘作为数据卷的ECI实例。下面将介绍在ECI实例中如何访问云硬盘中数据： 1. 打开ECI控制台页面。 2. 点击实例ID进入实例详情页面。 3. 点击“远程连接”，建立一个访问容器的通道。 4. 可以通过df h命令查看已挂载的文件系统及挂载目录。如下图所示，我们为ECI实例挂载了一块30G大小的云硬盘，挂载目录为/disktest。 5. 让我们尝试向云硬盘中写入文件，执行 echo 'ctyun yyds' > /disktest/evs.txt 命令。这段命令的含义是向云硬盘下的evs.txt文件中写入'ctyun yyds'。 6. 让我们参数从云硬盘中读文件，执行cat /disktest/evs.txt命令。这段命令的含义是读取云硬盘下的evs.txt文件。