本页介绍天翼云TeleDB数据库实例服务器初始化及实例开通。 前提条件 每台实际主机均已进行环境初始化。 操作步骤 1. 登录管理控制台 (1) 以admin用户名和密码登录控制台。登录地址： 。 (2) 进入TeleDBDCP控制台管理页面，单击立即使用 。 2. 创建实例 ①　在左侧导航树选择 系统管理 > 授权管理 ，进入授权管理页面。 ②　单击导入授权 ，出现 新增/更新授权对话框 。 ③　在新增/更新授权 对话框，单击 立即上传 ，在弹出的窗口选择license文件，单击下一步 ，进入导入分类模式 。 ④　在产品名称 下拉框选择对应的产品，单击下一步 ，进入license详情页面。 ⑤　在license详情 页面，确认信息无误后，单击确定 ，完成导入license。 3. 创建开通实例租户用户 ①　在左侧导航树中选择安全中心 > 用户管理 ，进入用户管理页面。 ②　单击创建用户 ，出现创建用户弹框。 填写用户账号 、 用户名称 、选择用户角色 为 租户管理员 、填写 用户密码 、 确认密码 和邮箱 ，单击确定新创建的用户将出现在用户列表中。 ③　单击新建用户所在行的编辑，可修改用户信息。 4. 添加主机管理 说明 每台待添加的主机需安装JDK环境。 每台待添加的主机需创建好用户，如teledb。 每台待添加的主机需对环境进行初始化。可参考准备工作章节对环境进行初始化。 ①　在左侧导航树中选择资源管理 > 主机管理 ，进入主机管理页面。 ②　单击添加主机 ，出现添加主机弹框。 ③　填写 IP地址 、 SSH端口 、 SSH用户名 、 SSH用户密码 、 监控插件端口 、 监控插件部署目录 ，CPU类型 和操作系统等必填信息。 IP地址：部署规划的实例主机ip。 SSH端口：填写SSH端口。 SSH用户名：根据您创建的用户名填写。填写机器的用户名 不要用root账号，需使用有sudo权限的账号。 SSH密码：根据您设置的密码填写。 监控插件端口：端口不能被占用，如占用需更换端口。 监控插件部署目录：系统默认自动填写，无需修改。 CPU类型：请选择您的实际使用的类型。 操作系统类型：请选择您实际使用的类型。 ④　单击 测试联通及硬件检测 ，出现绿色标识，单击 确定 ，完成主机的添加。 5. 添加VIP ①　在左侧导航树选择 资源管理> VIP管理 ，进入VIP管理页面。 ②　单击 添加VIP ，弹出添加VIP弹框。 ③　填写 IP类型 、 IP地址 ，单击 确定 ，完成VIP的添加。 6. 导入sql语句至dcp库中prodtemplate配置表。 ①　查找sql语句。 打开dcp安装包中Readme.md文件，查找teleDBX标题的sql语句。具体内容如下： INSERT INTO prodtemplate(prodtype, prodid, prodcode, prodenginename, prodspecdesc, prodspecname, prodversion, prodperformancespeces,prodhostconfig, prodshow, iscontainerization, prodspecenname,prodspecendesc) VALUES (1, 10012001, 'TELEDBX', 'TELEDBX', '全局事务管理器、协 调节点一主一备，主备自动切换，企业业务生产首选 ', '企业版 ', '6.15', '["2C4G","4C8G","4C16G", "8C16G","8C32G","16C32G","16C64G","32C64G"]', '{"hostInsts":[{"hostTypeName":"gtm","hostType":"gtm","hostDefaultNum":2,"hostNumCanEdit":fals e,"installPath":"/data/teledbx","gtmPort":3001},{"hostTypeName":"cn","hostType":"cn","hostDefaultNum":2,"hostNumCanEdit":false," installPath":"/data/teledbx","cnPort":3002,"cnPoolerPort":3003},{"hostTypeName":"dn","hostType":"dn","hostDefaultNum":4,"hostNumCanEdit":false," installPath":"/data/teledbx","dnPort":3004,"dnPoolerPort":3005}]}', 0, 0, NULL, NULL);INSERT INTO prodtemplate(prodtype, prodid, prodcode, prodenginename, prodspecdesc, prodspecname, prodversion, prodperformancespeces,prodhostconfig, prodshow, iscontainerization, prodspecenname,prodspecendesc) VALUES (1, 10012002, 'TELEDBX', 'TELEDBX', '全局事务管理器、协 调节点一主两备，支持两地三中心部署模式，达到金融级高可用 ', '灾备版 ', '6.15', '["2C4G","4C8G","4C16G", "8C16G","8C32G","16C32G","16C64G","32C64G"]', '{"hostInsts":[{"hostTypeName":"gtm","hostType":"gtm","hostDefaultNum":3,"hostNumCanEdit":fals e,"installPath":"/data/teledbx","gtmPort":3001},{"hostTypeName":"cn","hostType":"cn","hostDefaultNum":3,"hostNumCanEdit":false," installPath":"/data/teledbx","cnPort":3002,"cnPoolerPort":3003},{"hostTypeName":"dn","hostType":"dn","hostDefaultNum":4,"hostNumCanEdit":false," installPath":"/data/teledbx","dnPort":3004,"dnPoolerPort":3005}]}', 0, 0, NULL, NULL); ②　在配置库导入表数据。 执行如下命令查找prodtemplate 配置表所在目录。 ps ef grep mysqld 执行如下命令，进入sql语句所在目录。 cd /app/monitor/teledb/mysqlinstall/bin/ 执行如下命令，导入sql语句中内容。 ./mysql u root S /tmp/mysql6301.sock p 导入后，输入exit退出。 说明 这里dcp的sql导入的teledbx版本是6.14，如果你后面上传的teledbx的内核版本是6.15的 话，请把6.14改为6.15，请按照您实际版本修改。 7. 导入软件包 ①　以admin用户名和密码登录控制台。单击立即使用进入实例管理页面。 ②　单击图标，切换至TeleDB控制台。 ③　选择 资源管理 > 软件包管理 ，进入软件包管理页面。 ④　在软件包管理页面，单击 添加软件包 ，弹出添加软件包弹框。 ⑤　填写基本信息。 包类型：根据实际情况选择。 软件类型：根据系统默认选择。 软件包：单击 点击上传 ，上传软件包。 软件包MD5：根据实际情况填写。 您可执行md5sum 软件包名命令查找MD5。 ⑥　单击 确定 ，完成软件包的添加。 8. 实例开通 ①　单击图标，切换至DCP控制台。 ②　在左侧导航树中选择 实例管理> 创建实例 ，进入实例开通页面。 ③　选择 TeleDB 、 企业版 ，填写基本信息。 输入密码 和 默认密码 ，其它信息根据系统默认填写。 ④　单击 下一步 ，进入实例开通下一个页面。 ⑤　根据实际情况，填写基本信息。 ⑥　单击 提交工单 ，完成实例开通。 ⑦　您可通过 实例管理> 工单管理 ，查看工单详情。 ⑧　您可通过 实例管理> 实例列表 ，查看实例详情信息。

本节介绍了文档数据库服务的权限管理说明。 如果您需要对云上购买的DDS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云资源的访问。 通过IAM，您可以在云账号中给员工创建IAM用户，并授权控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DDS的使用权限，但是不希望他们拥有删除DDS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DDS，但是不允许删除DDS的权限策略，控制他们对DDS资源的使用范围。 如果云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DDS服务的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 DDS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DDS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DDS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DDS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如表所示，包括了DDS的所有系统权限。 DDS系统权限 策略名称/系统角色 描述 类别 依赖关系 DDS FullAccess 文档数据库服务所有权限。 系统策略 无 DDS ReadOnlyAccess 文档数据库服务资源只读权限，拥有该权限的用户仅能查看文档数据库服务数据。 系统策略 无 DDS ManageAccess 文档数据库服务除删除操作外的DBA权限。 系统策略 无 DDS Administrator 文档数据库服务（DDS）管理员，拥有该服务下的所有权限。 系统角色 依赖Tenant Guest和Tenant Administrator角色，在同项目中勾选依赖的角色。 下表列出了DDS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统权限的关系 操作 DDS FullAccess DDS ReadOnlyAccess DDS ManageAccess DDS Administrator 创建实例 √ x √ √ 查询实例列表 √ √ √ √ 删除实例 √ x x √ 重启实例 √ x √ √ 主备倒换 √ x √ √ 修改端口 √ x √ √ 重置密码 √ x √ √ 修改SSL √ x √ √ 修改安全组 √ x √ √ 绑定/解绑公网IP √ x √ √ 磁盘扩容 √ x √ √ 规格变更 √ x √ √ 节点扩容 √ x √ √ 删除扩容失败节点 √ x × √ 修改备份策略 √ x √ √ 重命名实例 √ x √ √ 修改内网IP地址 √ x √ √ 变更实例下节点绑定的参数模板 √ x √ √ 切换慢日志明文显示开关 √ x √ √ 切换审计日志开关 √ x √ √ 下载审计日志 √ x √ √ 删除审计日志 √ x × √ 下载备份文件 √ x √ √ 创建手动备份 √ x √ √ 查询备份列表 √ √ √ √ 恢复到新实例 √ x √ √ 恢复到已有实例 √ x √ √ 删除备份 √ x × √ 创建参数模板 √ x √ √ 查询参数模板列表 √ √ √ √ 修改参数模板 √ x √ √ 删除参数模板 √ x × √ 任务中心列表 √ x √ √ 下表列出了DDS常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表 常用操作与对应的授权项 操作 授权项 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 创建页需要查询对应的VPC、子网、安全组。 创建实例 dds:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 界面使用默认VPC、子网、安全组需对应配置vpc::create权限， 创建加密实例需要在项目上配置KMS Administrator权限。 查询实例列表 dds:instance:list 查询实例详情 dds:instance:list 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 导出实例列表 dds:instance:list 如果需要导出VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 删除实例 dds:instance:deleteInstance 删除实例需要同时删除数据侧IP地址。 重启实例 dds:instance:reboot 主备倒换 dds:instance:switchover 修改端口 dds:instance:modifyPort 重置密码 dds:instance:resetPasswd 修改SSL dds:instance:modifySSL 修改安全组 dds:instance:modifySecurityGroup 绑定公网IP dds:instance:bindPublicIp 绑定公网IP时，需要查询已经创建好的公网IP。 不支持企业项目 不支持细粒度 解绑公网IP dds:instance:unbindPublicIp 不支持企业项目 不支持细粒度 磁盘扩容 dds:instance:extendVolume 规格变更 dds:instance:modifySpec 节点扩容 dds:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 删除扩容失败节点 dds:instance:extendNode 如果IP地址已经创建完成，但后续流程失败，需要同时删除数据侧IP地址。 修改备份策略 dds:instance:modifyBackupPolicy 重命名实例 dds:instance:modify 修改内网IP地址 dds:instance:modifyVIP vpc:subnets:get vpc:ports:get 修改内网IP地址，需要预先查询出可用的IP地址，再进行修改。 变更实例下节点绑定的参数模板 dds:instance:modifyParameter 切换慢日志明文显示开关 dds:instance:modifySlowLogPlaintextSwitch 切换审计日志开关 dds:instances:modifyAuditLogSwitch 下载审计日志 dds:instances:downloadAuditLog 删除审计日志 dds:instance:deleteAuditLog 下载备份文件 dds:backup:download 创建手动备份 dds:instance:createManualBackup 查询备份列表 dds:backup:list 恢复到新实例 dds:backup:createInstanceFromBackup vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 加密实例需要在项目上配置KMS Administrator权限。 恢复到已有实例 dds:backup:refreshInstanceFromBackup 删除备份 dds:backup:delete 创建参数模板 dds:param:create 查询参数模板列表 dds:param:list 修改参数模板 dds:param:modify 删除参数模板 dds:param:delete 任务中心列表 dds:task:list

创建/邀请子账号方式 绑定方式 进入“企业中心组织管理”，进入界面点击“创建/邀请”子账号，并勾选管理员账号所需权限范围。邀请子账号加入组织，需要子账号在企业中心入口，查阅授权范围并勾选“同意邀请”后才能建立绑定关系。 勾选权限 在关联关系绑定时，主账号需要选择对子账号的管理权限。邀请模式下，关联关系的绑定，需要子账号确认授权并接受邀请。 允许主账号查看子账号的财务信息（余额/消费/成本/订单/账单等） 为子账号发票开具 允许子账号集成主账号的商务折扣 允许主账号管理子账号的云资源

本文介绍科研助手的应用类常见问题。 科研助手适用哪些场景？ HPC：适用于视频渲染、视频转码（视频格式转换、视频分辨率变化、添加水印/logo的）、科研教育等领域。 科学计算：适用于仿真模拟、化学分子计算、流体计算等。 生物分析：适用于基因测序、药物检测等领域。 科研助手的核心功能有哪些？ 多资源池管理： 底层资源池ECK专有资源、Serverless共享容器资源池、ECX虚拟机资源池满足不同价格区间的业务需求。 队列管理： 提供对作业队列管理，支持CPU/GPU作业和队列管理。 开发环境： 以云原生的资源使用和开发工具链的集成，为不同类型开发、探索、教学用户，提供更好云化开发体验。

Pytorch安全风险通告,请用户务必关注! 近日，监测到PyTorch存在远程代码执行漏洞（CVE202532434）,当使用 torch.load 加载模型且weightsonlyTrue时，攻击者可以利用此漏洞在目标机器上执行任意命令，可能导致数据泄露、系统入侵，甚至在云托管的AI环境中进行横向移动。 在科研助手中使用Pytorch版本小于2.6.0的客户，请勿下载并使用Pytorch加载非官方发布的模型文件，确保模型来源安全。如下载了带恶意代码的模型，开发机会被攻击者控制、勒索、窃取文件等，为了您的数据安全请使用最新版的Pytorch（公共框架中已提供）或不加载从互联网下载的模型文件。

用户可通过本接口向云点播获取指定ID的拼接模板详情。 接口功能介绍 用户可通过本接口向云点播获取指定ID的拼接模板详情。 接口约束 本接口的单用户QPS限制为20次/秒。超过限制，API调用会被限流，这可能会影响您的业务，请合理调用。 URI POST /stitching/template/get 请求体 body 参数 参数 是否必填 参数类型 说明 示例 下级对象 templateId 是 Long 拼接模板ID 100000023685 响应参数 参数 是否必填 参数类型 说明 示例 下级对象 code 是 String 本次请求的结果码。 "0" message 是 String 错误文本信息，执行成功时，为空字符串。 "" data 是 Object 返回数据。 data 表 data 参数 是否必填 参数类型 说明 示例 下级对象 id 是 Long 模板ID 100000023685 name 是 String 模板名称 测试拼接模板1 head 是 Array of Objects 片头 head tail 是 Array of Objects 片尾 tail video 是 String 视频编码 video audio 是 String 音频编码 audio remark 是 String 备注 这是一个测试用的视频拼接模板 表 head 参数 是否必填 参数类型 说明 示例 下级对象 ID 是 String 视频ID af1c37d7c06740d98fb9dd6f76992435 bucket 是 String 存储桶名称 vodoriginxxxx name 是 String 视频名称 head.mp4 regionCode 是 String 视频存储的区域编码 09871 regionName 是 String 视频存储的区域名称 广东资源池1区 source 是 String 视频存储类型 VOD 表 tail 参数 是否必填 参数类型 说明 示例 下级对象 ID 是 String 视频ID af1c37d7c06740d98fb9dd6f76992435 bucket 是 String 存储桶名称 vodoriginxxxx name 是 String 视频名称 head.mp4 regionCode 是 String 视频存储的区域编码 09871 regionName 是 String 视频存储的区域名称 广东资源池1区 source 是 String 视频存储类型 VOD 表 video 参数 是否必填 参数类型 说明 示例 下级对象 follow 是 Boolean 是否跟随主视频 true bitRate 是 String 主视频视频部分预设码率 512kb height 是 Integer 主视频预设分辨率高度 1024 width 是 Integer 主视频预设分辨率宽度 768 表 audio 参数 是否必填 参数类型 说明 示例 下级对象 remove 是 Boolean 是否去除音轨。false保留音轨并按需填充空音频流，true去除音频。 false bitRate 是 String 主视频音频部分预设码率，建议从以下值选择输入 128K/192K/256K/320K，>128k,<10000k。 128kb

此小节介绍云堡垒机文件操作授权管理。 文件操作授权用于控制用户访问资源时对资源内的文件操作的权限。 文件操作权限的可选范围是： 上传：允许/拒绝运维用户上传文件。 下载：允许/拒绝运维用户下载文件。 删除：允许/拒绝运维用户删除文件。 创建目录：允许/拒绝运维用户新建目录。 删除目录：允许/拒绝运维用户删除目录。 移动/重命名：允许/拒绝运维用户移动/重命名文件。 新增文件操作授权 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“授权管理 > 文件操作授权”，进入“文件操作授权”页面。 3.单击“新增”，配置文件操作授权相关内容。 参数 参数说明 取值样例 授权规则名称 自定义资产访问授权的规则名称。 Test 动作 选择此授权规则的动作，可选“允许”或“拒绝”。 允许 启用状态 选择该授权规则的启用状态，默认启用。 用户 （可选）选择需要配置访问授权的用户。 用户组 （可选）选择需要配置访问授权的用户组。 若您选择的用户和用户组存在重合，默认取最大的合集。 资产 （可选）选择需要配置访问授权的资产。 资产组 （可选）选择需要配置访问授权的资产组。 若您选择的资产和资产组存在重合，默认取最大的合集。 资产账号 选择命令授权规则生效的资产账号，添加资产账号请参见：资产账号章节。 文件 选择需要做限制的文件操作动作。可填写具体的文件或文件目录，使用正则表示填写，若填写多个使用回车分行。 若不填写文件范围，默认为全选所有文件。 说明 例如您只想限制tmp文件夹下的同层目录使用，正则表达式可填写：/tmp 例如您想限制tmp目录下所有文件及子目录的使用，正则表达式可填写：/tmp/. 授权时间 选择该规则生效的时间段。 源IP 填写用户登录的源IP地址。 0.0.0.0 风险等级 选择此授权规则的风险等级，共有5个等级可选择。 普通 说明 策略匹配顺序为：允许 > 阻断； 配置时至少需要关联至少一个授权对象，否则该条授权策略不会生效，其余未关联的表示对所有生效； 以基础设施访问授权时，账号必须拥有该基础设施访问授权的访问权限策略才会生效。

本文介绍NAT网关—SNAT规则类相关问题。 为什么使用SNAT？ 在网络通信中，当内部网络的主机向外部网络发送数据包时，数据包的源IP地址会经过SNAT被转换为一个公共IP地址，这样外部网络就无法直接访问内部网络的真实IP地址。SNAT的主要作用是隐藏内部网络的真实IP地址，从而增强网络的安全性。 同时SNAT可以使多个内网主机通过同一个外网IP接入Internet，从而达到节省成本的目的。 什么是 SNAT连接数 ？ 由源IP地址、源端口、目的IP地址、目的端口、传输层协议这五个元素组成的集合视为一条连接。连接能够区分不同会话，并且对应的会话是唯一的。其中源IP地址和源端口指SNAT转换之后的EIP和它的端口。 当多个内部主机通过同一个外部IP地址访问外部网络时，网络设备会使用SNAT来转换源IP地址和端口号，以便外部网络可以正确识别和回复数据包。 SNAT连接数表示当前正在进行的通过SNAT技术建立的连接数量。这些连接可能是在同一时间内与外部网络建立的活动连接，也可以是已建立但尚未关闭的连接。通过跟踪SNAT连接数，可以对网络流量和负载进行监控和管理，并确保网络资源的适当分配和性能优化。 NAT网关规格为并发连接数，并发连接数为每分钟内并发连接的数量。并发连接数＝SNAT连接数＋DNAT连接数。 主机通过NAT网关访问外网，请问NAT网关的带宽是多少？在哪里设置？ 主机通过NAT网关访问外网，NAT网关的带宽即SNAT规则绑定的弹性IP带宽，可以在弹性IP页面调整带宽大小，具体操作参见弹性IP修改带宽。

安装Agent（Windows操作系统） 安装Agent后，您才能开启数据库安全审计。通过本节介绍，您将了解如何在Windows操作系统的节点上安装Agent。Linux操作系统的Agent安装请参见安装Agent（Linux操作系统）。 安装Agent 1. 在Windows主机安装“Npcap”软件。 如果该Windows主机已安装“Npcap”，请执行步骤2。 如果该Windows主机未安装“Npcap”，请执行以下步骤： a. 请前往 下载npcap b.将下载好的npcap xxxx .exe软件安装包上传至需要安装agent的虚拟机。 c.双击npcap软件安装包。 d.在弹出的对话框中，单击“I Agree”，如图所示。 同意安装“Npcap” e.在弹出的对话框中，单击“Install”，不勾选安装选项，如图所示。 安装“Npcap” f.在弹出的对话框中，单击“Next”。 g.单击“Finish”，完成安装。 2. 以“Administrator”用户登录到Windows主机。 3. 将下载的Agent安装包“xxx.zip”复制到该主机任意一个目录下。 4. 进入Agent安装包所在目录，并解压缩安装包。 5. 进入解压后的文件夹，双击“install.bat”执行文件。 6. 安装成功，界面如图所示，按任意键结束安装。 7. 安装完成后，在Windows任务管理器中查看“dbssauditagent”进程。如果进程不存在，说明Agent安装失败，请尝试重新安装Agent。

事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

IPv6带宽可查看详细的流量数据,本文帮助您查看IPv6带宽监控详情。 您可以查看IPv6带宽的监控信息，观测该IPv6带宽的带宽速率及流量大小，帮助您及时调整业务。 前提条件 只有正常可用状态的IPv6带宽才可查看监控详情，到期状态的IPv6带宽请先进行续订后操作。 操作须知 IPv6带宽若未绑定任何云资源，则暂无流量数据，无法展示监控信息。 操作步骤 1. 进入网络控制台，登录控制台IPv6带宽页面； 2. 选择目标IPv6带宽操作列，点击【更多】，单击【查看更多监控】，可跳转至该IPv6带宽的监控详情页。

本文介绍ECI实例如何自定义临时存储。 临时存储空间可以为ECI实例提供默认大小的根目录空间，提供给用户充足的临时存储空间。如果该存储空间大小无法满足您的需求，您可以自定义增加临时存储空间大小。 其中ECI实例默认提供40GiB的免费的临时存储空间。 配置说明 1.在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2.点击“创建弹性容器组”，进入弹性容器实例订购页。 3.在容器组配置中打开“高级设置”，为ECI实例自定义临时存储大小。

本章介绍处理HSS暴力破解告警的方法。 说明 收到告警事件通知说明您的云服务器被攻击过，不代表已经被破解入侵。 您可在收到告警后，及时对告警进行分析、排查，采取相应的防护措施即可。 可能原因：由于您服务器的远程连接端口没做访问控制，导致网络上的病毒频繁攻击您服务器端口。 解决方案：您可通过以下方式来改善被频繁暴破攻击的情况，降低风险： 1、配置白名单 2、修改端口 3、设置安全组规则 4、开启双因子认证 5、设置高强度口令 操作详情请参见如何预防账户暴力破解攻击？

本节将介绍如何将集成的日志数据投递至LTS。 操作场景 态势感知（专业版）支持集成WAF、HSS、CFW等其他云产品日志，具体集成操作及支持集成的云服务请参见云服务接入。 集成后的日志还支持投递至云日志服务（Log Tank Service，简称LTS），方便用户快速高效地进行实时决策分析、设备运维管理、用户业务趋势分析等。 前提条件 已完成需投递日志的数据集成至态势感知（专业版）操作，详细操作请参见云服务接入。 投递到LTS中，需要已有可用的日志组和日志流。 步骤一：创建数据投递任务 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道后，单击目标管道名称后的“更多 > 投递”，右侧弹出现在数据投递设置页面。 6. （可选）在弹出的授权提示中，确认无误后，单击“确认”，完成授权。 首次投递到目的投递类型需要进行授权，如果已经授权，请跳过该步骤。 7. 在新增投递配置页面中，配置数据投递相关参数。 投递名称：自定义数据投递名称。 账号类型：此处请选择“本账号”。投递到LTS服务仅支持投递本账号内的日志数据。 投递类型：此处请选择“LTS”。 日志组：选择LTS日志组。 日志流：选择目的LTS日志流。 其他配置参数，系统默认生成，无需配置。 8. 单击“确定”。

本节介绍如何在日志审计v1.0中进行Syslog日志外发配置。 前提条件 已购买日志审计v1.0资源，且资源状态为“运行中”。 操作步骤 1. 登录云等保专区控制台，在左侧导航栏，选择“日志审计 > 日志审计v1.0”，在目标资源右侧操作列单击“配置”，进入日志审计系统。 2. 在日志审计系统导航栏，选择“系统设置 > 数据管理 > Syslog转发”。 3. 单击“添加配置”，弹出新建转发配置窗口。 4. 在弹窗中填写“目标IP地址”，“目标端口”，“日志类型”根据需求选择需要外送的日志，建议全部勾选。 5. 填写完成后，单击“确定”，即可完成Syslog外送配置。

约束与限制 导入/导出网络ACL规则时，建议您每次处理少于40条的规则，否则可能会影响性能或导致导入/导出网络ACL规则失败。40条是入方向和入方向规则的总和。 导入规则是基于已有规则的增量导入，不会删除已有规则。 相同规则不允许重复导入。 默认规则不支持导出，您可以导出自定义规则。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏中，选择“访问控制 > 网络ACL”，进入网络ACL列表页面。 4. 在网络ACL列表中，单击网络ACL名称，进入网络ACL详情页。 5. 导出/导入网络ACL规则。单击 “导出规则”，将当前网络ACL规则导出为Excel文件；单击 “导入规则”，将Excel文件中的网络ACL规则导入到当前网络ACL。

本节介绍了GeminiDB Redis的查看慢日志的操作步骤及说明。 GeminiDB Redis的日志管理功能支持查看数据库级别的慢日志，执行时间的单位为ms。通过该日志，可查找出执行效率低的语句，以便优化。 查看日志明细 1、登录云数据库 GaussDB NoSQL控制台。 2、在左侧导航树，单击“慢日志”。 3、在“慢日志”页面，设置查询条件，查看日志信息。 节点类型默认“All nodes”，可查看实例下所有节点的慢日志信息，您也可以选择查看某个节点的慢日志信息。 可选择查看全部语句类型或查看以下指定类型的慢查询语句： SET GET DEL INCR INCRBY INCRBYFLOAT DECR DECRBY GETSET APPEND MGET ······ 注意 常用的Redis语句类型均支持慢日志查询。 可查看对应节点在不同时间段的慢日志。

实例基础信息页介绍 在实例的基础信息页面，可以获取实例的内网地址，版本节点信息等等。 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要设置的实例点击名称进入详情页。 2. 在实例的详情页可查看实例的购买信息、健康情况、内网地址、和节点的服务健康情况。 1. 健康：对应OpenSearch实例健康状态为绿色（Green）时的状态，实例健康。 2. 可用：对应OpenSearch实例健康状态为黄色（Yellow）时的状态，主分片可用，部分副本缺失。 3. 异常：对应OpenSearch实例健康状态为红色（Red）时的状态，部分主分片不可用，可能已经丢失数据。 3. 右侧实例架构图中展示的为当前实例所在区域、节点数量和节点服务状态。

实例基础信息页介绍 在实例的基础信息页面，可以获取实例的内网地址，版本节点信息等等。 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要设置的实例点击名称进入详情页。 2. 在实例的详情页可查看实例的购买信息、健康情况、内网地址、和节点的服务健康情况。 1. 健康：对应Elasticsearch实例健康状态为绿色（Green）时的状态，实例健康。 2. 可用：对应Elasticsearch实例健康状态为黄色（Yellow）时的状态，主分片可用，部分副本缺失。 3. 异常：对应Elasticsearch实例健康状态为红色（Red）时的状态，部分主分片不可用，可能已经丢失数据。 3. 右侧实例架构图中展示的为当前实例所在区域、节点数量和节点服务状态。

操作步骤 1.登录云搜索服务管理控制台。 2.在左侧菜单栏，选择对应的集群类型，进入集群管理页面。 3.选择目标集群，单击操作列的“更多>形态变更”进入更改集群规格页面。 4.在更改集群规格页面，设置扩容参数。 −“变更类型”：“扩容”。 −“变更的资源”：资源的变化量。 −“变更的角色”：此处修改的是默认数据节点类型的节点数量和节点存储容量。 “节点数量”支持修改的取值范围请参考上方表格“不同节点类型的节点数量说明”。 集群扩容 5.单击“下一步”。 6.确认变更信息后，单击“提交申请”。 7.单击“返回集群列表”跳转到集群管理页面。集群的“任务状态”列显示为“扩容”，表示集群正在扩容。当集群状态变为“可用”，则表示扩容成功。

参数名称 参数说明 取值样例 区域 必选参数。 不同区域的云服务产品之间内网互不相通，请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 可用区 必选参数。 可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。一个区域内有多个可用区，一个可用区发生故障后不会影响同一区域内下的其它可用区。 此处建议您同时选择两个可用区，表示企业路由器将同时部署在这两个可用区内，属于双活模式，为业务容灾提供可靠保障。 两个可用区均部署企业路由器时，可用区内流量遵循本地优先原则，即优先访问同一个可用区内的企业路由器，减少时延，提升访问速率。 可用区1 可用区2 名称 必选参数。 输入企业路由器的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 ertest01 ASN 必选参数。 自治系统（AS）是一个实体管辖下拥有相同选路策略的IP网络。在边界网关协议（BGP）网络中，每个AS都被分配一个唯一的自治系统编号 (ASN)，用于区分不同的AS。 您可以使用默认ASN，也可以在6451265534或42000000004294967294范围内指定专用ASN。 对于同一个区域内的组网，您可以将其视为一个自治系统，企业路由器的ASN使用默认或者在指定范围内选择任意一个即可。 64512 默认路由表关联 可选参数。 默认开启。 为了简化您后续的网络配置，此处建议您开启“默认路由表关联”功能，开启之后： 创建企业路由器时，系统会自动创建名称为“defaultRouteTable”的路由表，将其作为默认关联路由表。 默认关联路由表支持修改，企业路由器创建完成后，您可以创建新的路由表，并将新的路由表设置为默认关联路由表。 设置完默认关联路由表后，在企业路由器中新创建连接时（比如连接A），会自动为连接A在默认关联路由表中创建关联。 开启 默认路由表传播 可选参数。 默认开启。 为了简化您后续的网络配置流程，此处建议您开启“默认路由表传播”功能，开启之后： 创建企业路由器时，系统会自动创建名称为“defaultRouteTable”的路由表，将其作为默认传播路由表。 同时开启“默认路由表关联”和“默认路由表传播”功能，则默认关联路由表和默认传播路由表为同一个路由表，均为系统创建的名称为“defaultRouteTable”的路由表。 默认传播路由表支持修改，企业路由器创建完成后，您可以创建新的路由表，并将新的路由表设置为默认传播路由表。 设置完默认传播路由表后，在企业路由器中新创建连接时（比如连接A），会自动为连接A在默认传播路由表中创建传播。 开启 自动接受共享连接 可选参数。 作为企业路由器的所有者，您可以将企业路由器共享给其他帐号的接受者，接受者可以在共享企业路由器中创建连接。 关闭该选项，接受者创建的连接需要所有者审批，所有者接受后才会创建。 开启该选项，接受者创建的连接会被自动接受，无需所有者审批。 关闭 企业项目 必选参数。 创建企业路由器时，需要将企业路由器加入已有的企业项目内。 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default。 default 标签 可选参数。 您可以在创建企业路由器的时候为企业路由器绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 “标签键”：test “标签值”：01 描述 可选参数。 您可以根据需要在文本框中输入对该企业路由器的描述信息。

本节主要介绍如何在智能视图服务控制台使用地图的摄像头操作。 摄像头添加 新建地图或者选择对应的地图后，若摄像头处于地图界面中（摄像头经纬度在地图显示范围内），摄像头则自动会在地图中显示；若摄像头无经纬度，但可以获取到摄像头经纬度，则可以在【设备管理】增加摄像头经纬度；若摄像头经纬度无法确认，则可手动在地图上增加摄像头。 手动在地图增加摄像头，需要如下操作流程： 1. 选择对应的摄像头，点击+，进入编辑模式。 2. 将摄像头添加到地图中心当前经纬度。 3. 摄像头在地图上显示。 4. 鼠标左键选择摄像头在地图上拖动至与真实地图一致的位置。 5. 完成编辑确定摄像头经纬度。 摄像头删除 点击地图界面中【开启编辑】后摄像头旁边的图标从【实时预览】和【录像回放】按钮更改为【删除】按钮，如下图，点击【删除】图标即可删除摄像头。 摄像头实时预览/录像回放 将鼠标左键移动到摄像头上即可查看摄像头实时预览画面和录像，如下图红框，点击左侧按钮进行画面实时预览，点击右侧按钮查看摄像头录像。

主要介绍如何在智能视图服务控制台添加国标IPC设备并播放实时视频。 添加国标设备 在设备管理页面，点击【添加设备】，包含接入配置和设备配置两步。 接入配置 在接入配置页面，填入设备名称，下拉设备分类选择【IPC】，接入网络和播放网络选择【互联网】，接入协议选择【GB28181】并开启自动拉流。 新建GB28181凭证 在接入配置页面，首先点击【新建GB28181凭证】，输入注册用户名、密码和确认密码完成凭证创建。 注意 凭证密码长度为832位的字符串，至少包含大写字母、小写字母、数字和特殊字符其中三种。 下拉选择刚刚创建的GB28181凭证，勾选配置资源包并点击【下一步】，进入设备配置页面。 设备配置 在设备配置页面，选择厂商、设备地址和所属行业等信息。 完成创建后，可以看到在平台上成功创建的国标IPC设备，此时设备为未注册状态。 SIP信息获取 在平台侧完成设备创建后，点击设备进入详情页查看接入信息和SIP信息。 接入信息：可以获取国标ID。 SIP信息：可获取SIP服务器ID、SIP服务器域、SIP服务器地址，SIP服务器TCP端口和UDP端口。

实例画像支持查看实例多维度评分详情、节点监控与告警信息，并提供告警触发源分析，引导用户快速排查实例存在的问题。 前提条件 仅限来源为天翼云RDS的MySQL数据库。 已录入DMS中，且实例状态正常的数据库实例。 操作步骤 1. 登录数据管理服务。 2. 在左侧导航栏中，单击 智能运维 > 实例画像，进入实例画像界面。 3. 在左上方区域，选择目标实例，查看实例画像。 功能介绍 实例画像主要从数据库可用性、数据库可靠性、数据库性能、数据库可维护性、数据库安全性5个维度评估实例的健康评级，并结合告警信息给出触发源分析与建议。 实例画像 实例画像从五个维度进行评分，实例总得分取五个维度中的最低评分，健康评级依据实例总得分计算得出，具体详见评分规则，支持选择时间段进行查询。 数据库可用性：数据库服务的连续性，主要检查数据库是否发生过服务中断（如重启、无法响应等）。 数据库性能：数据库的关键性能指标平稳，主要检查相关指标均值是否存在波峰，以及资源使用率是否正常。 数据库可维护性：数据库的表设计、应用程序逻辑设计的合理性表现，主要检查是否存在非分区大对象、死锁、元数据锁、空间不足等问题。 数据库可靠性：数据的可恢复能力达到RPO为0，主要检查数据库的备份策略、主从复制的健康度等。 数据库安全性：数据库的安全管理关键指标，主要检查密码复杂度配置、访问白名单配置、连接安全协议、密码加密算法等。

AI 应用发现列表 1. 列表中逐行展示应用名称、版本号、厂商、AI 类型、关联 AI 插件数、关联 MCP 服务数、关联 AI 模型数、服务 URL、安装目录、运行状态、终端设备、所属用户、最近发现时间等信息，全面了解每个 AI 应用的部署与使用情况。 2. 查询：通过输入“应用名称或版本号”，选择“账户名”、“终端设备”、“设备 IP”、“用户组”、“组织”、“运行状态”等筛选条件，点击【查询】按钮，可按设定条件过滤显示符合要求的 AI 应用记录。 3. 重置：点击【重置】按钮，可清空所有已设置的筛选条件，使列表恢复为默认显示状态，展示所有 AI 应用记录。 4.当前支持发现的AI服务和AI软件如下表所示： 组件名称 GoLand Intellij IDEA WebStorm Canva Chatbox Cursor 豆包 Kimi 智能助手 Microsoft 365 Copilot 纳米 AI 夸克 腾讯元宝 Visual Studio Code 问小白 讯飞星火 AiPPT 讯飞听见 Poe Cici 逗逗游戏伙伴 影刀 RPA 智谱清言 anythingllm langchain Chuanhugpt clickhouse comfymtb ComfyUIPromptPreview ComfyUICustomScripts comfyui dify fastchatwebui fastchat feast gradio jupyterlab jupyternotebook jupyterserver kubeflow kubepi llamafactory llmstudio ollama openwebui pyloadng qanything ragflow ray tensorboard vllm xinference tritoninferenceserver langflow

本文介绍如何使用边缘安全加速平台实现终端管理。 产品介绍 边缘安全加速平台提供终端安全管理能力，通过整合防病毒、漏洞修复、软件与外设管控、AI安全检测等能力，依托智能中台实现统一策略管理，精准解决资产不可视、风险难追溯、处置效率低等核心痛点，打破安全与业务效率的对立僵局，成为企业数字化转型的一站式终端安全防护与提效平台。 快速入门 注意 场景一：订购零信任企业版服务后，参考 场景二：仅订购终端管理套餐时，按照下文的描述即可接入。如需使用终端管理能力，在终端管理控制台进行配置。 进入终端管理控制台 登录边缘安全加速平台，在首页全部产品栏目，选择【终端管理】，进入产品配置页。 第一步：管理员设置企业认证标识 首次订购终端管理，需要设置企业认证标识。企业认证标识是客户端登录的重要凭据，为了方便使用，可把企业名称设置为企业认证标识。企业认证标识暂不支持在控制台修改，若有需要可提交工单进行配置。

本节介绍了管理历史事务的功能介绍、约束限制、操作步骤等相关内容。 功能介绍 历史事务用来分析和发现数据库的大事务、长时间未提交的事务等历史信息。 历史事务的数据来自show engine innodb status的命令执行结果，展示了历史事务信息的运行快照，采集频率为5分钟一次。 约束限制 历史事务信息的运行快照列出了正在执行的事务，不包含采集间隔内开始并提交的事务。 收集历史事务需要开启收集慢SQL或收集全量SQL。 最多展示7天内的数据，最大显示10000条数据。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏选择“智能DBA助手 > 历史诊断”。 步骤 6 选择“历史事务”页签。 步骤 7 在页面上方单击“日志管理”，开启收集慢SQL或收集全量SQL开关，设置慢SQL和全量SQL的存储时间，单击“确定”。 步骤 8 开启“收集历史事务”开关，查看历史事务。 结束

本文介绍了科研助手提供的计费模式概览和主要区别。 计费概述 提供三种类型的云服务器购买方式：按需计费、包年包月和套餐包，分别适用于不同场景下的用户需求。 下表列出了三种计费模式的区别： 计费类型 按需付费 包周期 套餐包 付款方式 每小时结算 预付费 预付费 计费单位 元/秒 元/月 元/月 最小时长 按秒计费，按小时结算 至少一个月 至少一个月 适用场景 按需计费适用于短期或不可预测的应用或任务。 适用于规格固定的长期稳定的成熟业务。 适用于规格多变，访问波动大的成熟业务。

本文介绍象存储如何计费。 对象存储标准型总计三个计费项：存储费用、公网流出流量费用、CDN回源流出流量、请求费用，说明如下： 存储费用：即存储容量费用，按用户数据占用的存储空间量收取费用。 公网流出流量费用：按存储数据被调用或下载产生的公网流量收取费用。 CDN回源流出流量：数据从媒体存储传输到天翼云CDN所产生的回源流量。 请求费用：请求费用按照发送到对象存储的请求指令次数进行计算，实际上每调用一次API都计算一次请求次数。 更详细的计费项说明可参考 计费项 。

安装Agent后，您才能开启数据库安全审计功能，对待审计的数据库进行审计。本节介绍如何在Windows操作系统上安装Agent。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 数据库已成功添加Agent。 已获取Windows操作系统Agent安装包。 安装Agent节点的运行系统满足Windows系统版本要求。 安装Agent 1. 在Windows主机安装“Npcap”软件。如果该Windows主机已安装“Npcap”，请执行步骤2。如果该Windows主机未安装“Npcap”，请执行以下步骤： 请前往 将下载好的npcap xxxx .exe软件安装包上传至需要安装agent的虚拟机。 双击npcap软件安装包。 在弹出的对话框中，单击“I Agree”，如图所示。同意安装“Npcap” 在弹出的对话框中，单击“Install”，不勾选安装选项，如图所示。安装“Npcap” 在弹出的对话框中，单击“Next”。 单击“Finish”，完成安装。 2. 以“Administrator”用户登录到Windows主机。 3. 将下载的Agent安装包“xxx.zip”复制到该主机任意一个目录下。 4. 进入Agent安装包所在目录，并解压缩安装包。 5. 进入解压后的文件夹，双击“install.bat”执行文件。 6. 安装成功，界面如图417所示，按任意键结束安装。 7. 安装完成后，在Windows任务管理器中查看“dbssauditagent”进程。如果进程不存在，说明Agent安装失败，请尝试重新安装Agent。

使用须知 pikaport伪装成源端Pika的从节点，只读取全量和增量数据，无数据受损风险。 源端增加了和pikaport的主从同步流程，可能会影响源端性能。 全量和增量结合迁移可以不停服，业务切入GeminiDB Redis时短暂停服。 前提条件 部署迁移工具pikaport，确保源端Pika实例和目标端GeminiDB Redis实例网络互通。 操作步骤 如需进行Redis到GeminiDB Redis的迁移，您可以在管理控制台右上角，选择“工单 > 新建工单”，联系技术支持进行处理。 迁移性能参考 环境：Pika（单节点）和pikaport同时部署在8U32GB的弹性云服务器上，目标端为8U16GB，3节点GeminiDB Redis实例。 预置数据：使用memtierbenchmark工具预置200GB数据。 迁移性能：约50000qps。

极速文件存储（SFS Turbo）具有按需申请，快速供给，弹性扩展，方便灵活等特点，适用于多种使用场景，主要面向DevOps、容器微服务、企业办公等场景。 图CCE挂载极速文件存储卷 极速文件存储说明 符合标准文件协议：用户可以将文件系统挂载给服务器，像使用本地文件目录一样。 数据共享：多台服务器可挂载相同的文件系统，数据可以共享操作和访问。 私有网络：数据访问必须在数据中心内部网络中。 直接使用云上现有IAAS服务构建独享的云文件存储，为租户提供数据隔离保护和IOPS性能保障，主要面向DevOps、容器微服务、企业办公等场景。 适用于多读多写（ReadWriteMany）场景下的各种工作负载（Deployment/StatefulSet）和普通任务（Job）使用。