本文介绍了云防火墙（原生版）产品的操作日志功能。 约束条件 最多支持查看最近7天的日志。 查看日志列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 操作日志”，进入操作日志页面。 3. 在页面上方切换防火墙实例。 4. 查询日志：该列表可根据命中时间、危险等级、操作行为、日志内容进行筛选。 5. 操作日志列表包括发生时间、危险等级、操作行为、日志内容。 导出日志 说明 最多支持导出10000条数据。 单击“导出”，可以将查询列表中的日志记录导出为csv格式。

总览 态势感知（专业版）“总览”页面实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全，包括资产的安全评估结果、安全监控和安全趋势等信息，可以全面了解资产的安全情况。总览页面实时呈现态势感知（专业版）所有工作空间的整体安全评估结果，查看方法请参见查看总览。 态势总览 “态势总览”页面实时呈现当前工作空间中资源的整体安全评估状况，包括资产的安全评估结果、安全监控和安全趋势等信息，可以全面了解资产的安全情况。目标工作空间的“态势感知> 态势总览”页面呈现当前单个工作空间的安全评估结果，查看方法请参见查看态势总览。 安全风险 安全风险是对资产安全状况的综合评估，反映了一段时间内资产遭受的安全风险。安全风险通常体现为一个量化的数值，便于用户理解目前资产的安全状况，数值大小并不代表资产的安全或危险，仅作为资产遭受攻击严重程度的参考。安全大屏中的可以还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力，实现一屏全面感知。 安全评分 态势感知（专业版）实时呈现您云上资产的整体安全评估状况，并根据态势感知（专业版）的威胁检测能力，评估整体资产安全健康得分。 安全评分每天凌晨2:00自动更新，也支持通过在页面中单击“重新检测”来进行实时更新。 如下将介绍在安全评分中，不同分值的含义以及扣分项的详细情况。 安全分值 SecMaster根据威胁检测能力，评估整体资产安全健康得分。 风险等级包括“无风险”、“提示”、“低危”、“中危”、“高危”和“致命”。 分值范围为0～100，分值越大表示风险越小，资产更安全。 分值从0开始，每隔20取值范围对应不同的风险等级，例如分值范围40~60对应风险等级为“中危”。 分值环形图不同色块表示不同威胁等级，例如黄色对应“中危”。 资产风险修复，并手动刷新告警事件状态后，安全评分可以通过手动单击“重新检测”进行更新。 说明 资产安全风险修复后，为降低安全评分的风险等级，需手动忽略或处理告警事件，刷新告警列表中告警事件状态。 风险等级 安全分值 分值说明 无风险 100分 恭喜您，您的资产当前安全状况良好。 提示 80≤分值<100 您的资产存在少量的安全隐患，建议您及时加固安全防护体系。 低危 60≤分值<80 您的资产存在较多的安全隐患，建议您及时加固安全防护体系。 中危 40≤分值<60 您的资产防御黑客入侵的能力较弱，建议您立即加固安全防护体系。 高危 20≤分值<40 您的资产存在较高的黑客入侵和病毒感染的风险，建议您立即处理。 致命 0≤分值<20 您的资产很可能遭受到黑客入侵和病毒感染的威胁，建议您立即处理。 安全评分扣分项 安全评分扣分项及其分值情况如下所示： 分类 扣分项 单项扣分值 处理建议 最高扣分上限 安全服务启用 未开启安全相关服务 不扣分 开启安全相关服务 30 合规检查 存在未处理的致命不合规项 10 按照合规修复建议指导进行合规问题修复，修复后重新触发扫描任务，自动刷新评分。 20 合规检查 存在未处理的高危不合规项 5 按照合规修复建议指导进行合规问题修复，修复后重新触发扫描任务，自动刷新评分。 20 合规检查 存在未处理的中危不合规项 2 按照合规修复建议指导进行合规问题修复，修复后重新触发扫描任务，自动刷新评分。 20 合规检查 存在未处理的低危不合规项 0.1 按照合规修复建议指导进行合规问题修复，修复后重新触发扫描任务，自动刷新评分。 20 漏洞 存在未处理的致命漏洞 10 按照漏洞修复建议指导进行漏洞修复，修复后重新触发漏洞扫描任务，自动刷新评分。 20 漏洞 存在未处理的高危漏洞 5 按照漏洞修复建议指导进行漏洞修复，修复后重新触发漏洞扫描任务，自动刷新评分。 20 漏洞 存在未处理的中危漏洞 2 按照漏洞修复建议指导进行漏洞修复，修复后重新触发漏洞扫描任务，自动刷新评分。 20 漏洞 存在未处理的低危漏洞 0.1 按照漏洞修复建议指导进行漏洞修复，修复后重新触发漏洞扫描任务，自动刷新评分。 20 威胁告警 存在未处理的致命告警事件 10 按照威胁事件处置指导建议进行修复，修复后自动刷新评分。 30 威胁告警 存在未处理的高危告警事件 5 按照威胁事件处置指导建议进行修复，修复后自动刷新评分。 30 威胁告警 存在未处理的中危告警事件 2 按照威胁事件处置指导建议进行修复，修复后自动刷新评分。 30 威胁告警 存在未处理的低危告警事件 0.1 按照威胁事件处置指导建议进行修复，修复后自动刷新评分。 30

通过安全设置,可对主账号安全信息进行管理。 操作步骤 具体操作详见安全信息管理。

配置第三方CA 配置第三方CA系统是为了确保系统在终端用户能够快速签发用户证书。 说明 CA中心已经有相关证书，例如CAID为1855893654128865282。 1. 使用管理员账号登录协同签名服务 2. 在左侧导航栏选择“系统管理 > 第三方CA配置”，进入“连接配置”页面。 3. 单击左上角的“添加CA”按钮，在弹出的对话框中填写相关参数。 参数 参数说明 填写示例 CA名称 填写CA证书的名称。 测试CA CA地址 填写CA证书的地址。 CA地址为“http(s)://+域名/IP:端口”格式的网址。 用户名 填写CA接口调用的用户名。 密码 填写CA接口调用的用户密码。 类名称 CA证书的类名称，不建议修改使用默认值。 CertDownload 签发证书的CA ID 填写CA ID。 1855893654128865282 4. 填写完成后，单击“确认”，返回“连接配置”页面。 5. 在页面左上方选择“根证书配置”，进入“根证书配置”页面。 6. 单击“添加根证书”，在跳转的窗口填写相关参数。 参数 参数说明 填写示例 CA名称 填写CA证书的名称。 测试CA CA描述 填写CA证书的描述 证书类型 选择待添加的证书类型，可选“证书链”或“一级根证书”。 一级根证书 根证书导入方式 可选择“上传证书文件”或“输入证书内容”。 上传证书文件：上传证书的文件。 输入证书内容：输入Base64编码根证书内容。 CA ID 填写CA ID。 1855893654128865282 7. 填写完成后，单击“确定”完成第三方CA配置。

本文介绍如何设置在云主机系统启动时自动挂载磁盘。 如果您需要在云主机系统启动时自动挂载磁盘，不能采用在/etc/fstab直接指定 /dev/vdb1的方法，因为云中设备的顺序编码在关闭或者开启云主机过程中可能发生改变，例如/dev/vdb1可能会变成/dev/vdb2。推荐使用UUID来配置自动挂载数据盘。磁盘的UUID（Universally Unique Identifier）是Linux系统为磁盘分区提供的唯一的标识字符串。 1. 执行命令 blkid /dev/vdb1，查询磁盘分区的UUID。回显如下： 2. 执行命令 vi /etc/fstab，使用VI编辑器打开fstab文件。输入“i”，进入编辑模式，将光标移至文件末尾，按“Enter”键，添加如下内容，其中UUID处的内容请输入您在上一步中查询到的UUID，操作如图所示： 3. 按“ESC”后，输入“:wq”，按“Enter”键。保存设置并退出编辑器。 4. 验证自动挂载功能，首先卸载已挂载的分区，执行命令 umount /dev/vdb1，操作如图所示： 5. 执行命令 mount a来重新加载/etc/fstab文件的所有内容，操作如图所示： 6. 执行命令 mount grep /mnt/sdc来查询文件系统挂载，操作及回显如图所示： 如果出现图中回显信息，说明自动挂载设置成功。

本文介绍设置Nginx缓存策略的方法。 免责声明： 本文档包含第三方产品信息，该信息仅供参考。 背景说明 本文主要介绍Nginx服务器的缓存策略配置方法。如源站服务器使用的是Nginx，可将本文作为参考。 详细信息 Nginx服务器的缓存策略设置方法有两种：addheader或者expires。 1. addheader 1）语法：addheader name value。 2）默认值：none。 3）使用范围：http、server、location。 配置示例如下： addheader cachecontrol "maxage86400"；设置缓存时间为1天。 addheader cachecontrol "nocache"； 设置为不缓存。 addheader cachecontrol "maxage60"； 设置缓存时间为1分钟。 2. expires 1）语法：expires [timeepochmaxoff] 2）默认值：expires off 3）使用范围：http、server、location 4）这个指令控制是否在应答中标记一个过期时间，标记说明如下： off：将禁止修改头部中的Expires和CacheControl字段。 time：控制CacheControl的值，负数标识永远过期，并且响应cachecontrol: nocache。 epoch：将Expires头设置为1 January, 1970 00:00:01 GMT。 max：将Expires头设置为31 December 2037 23:59:59 GMT，将CacheControl最大化到10年。 配置示例如下： expires 1； expires响应头内容为当前服务器时间过去1秒的时间，同时响应cachecontrol: nocache。 expires 1d； expires响应头内容为当前服务器时间未来1天的时间，同时响应cachecontrol: 86400。 expires 1h； expires响应头内容为当前服务器时间未来1小时的时间，同时响应cachecontrol: 3600。

本节介绍用户创建、使用自定义策略。如果系统预置的DEW权限，不满足您的授权要求，可以创建自定义策略。 目前支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择策略内容，可自动生成策略。创建KMS自定义策略时： “云服务”：数据加密服务（KMS）。 “操作”：根据您的需求进行选择。 “选择资源（可选）”：“资源”选择“特定资源”，“KeyId”选择“通过资源路径指定”时，“路径”为创建密钥时生成的ID。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 DEW自定义策略样例 示例：授权用户创建密钥 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "kms:cmk:create", "kms:cmk:getMaterial", "kms:cmkTag:create", "kms:cmkTag:batch", "kms:cmk:importMaterial" ] } ] } 示例：授权用户使用密钥 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "kms:dek:crypto", "kms:cmk:get", "kms:cmk:crypto", "kms:cmk:generate", "kms:cmk:list" ] } ] } 示例：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "rds:task:list" ] }, { "Effect": "Allow", "Action": [ "kms:dek:crypto", "kms:cmk:get", "kms:cmk:crypto", "kms:cmk:generate", "kms:cmk:list" ] } ] }

介绍天翼云边缘安全加速平台—安全与加速服务对QUIC协议的支持情况以及配置说明。 适用场景 目前，天翼云边缘安全加速平台—安全与加速服务开放使用的是七层协议的QUIC，主要应用在客户端与全站加速平台边缘节点的交互，主要适用于弱网环境下的传输优化。如果您希望在弱网环境下拥有更高的性能，如更快的首屏、首包，更快的传输效率，可以使用QUIC接入边缘安全加速平台—安全与加速服务。 支持的QUIC类型 目前，天翼云边缘安全加速平台—安全与加速服务同时支持IETF QUIC和GOOGLE QUIC，以方便不同的客户接入。 GOOGLE QUIC支持的版本号为Q043、Q046、Q050。 IETF QUIC支持的版本号为h329和h3v1，IETF QUIC是互联网标准版本，强烈建议您使用IETF QUIC。 注意事项 如果您使用浏览器接入，请使用支持QUIC协议的浏览器，如Chrome、Microsoft Edge等。 如果您使用自研App接入，则App需要自行实现QUIC协议栈或者集成支持QUIC协议的网络库，例如：quicgo、ngtcp2、quiche、quant、kwik、aioquic、picoquic等。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通高级版以及以上版本。

本章介绍如何卸载Agent。 提供一键卸载和手动本地卸载两种方式。 操作场景 Agent包选择错误，需要卸载Agent后重新安装。 安装命令复制错误（如在32位的主机中安装64位的Agent），需要卸载Agent后重新安装。 主机安全升级Agent失败，需要排查执行Agent卸载。 前提条件 云服务器的“Agent状态”为“在线”。 控制台一键卸载Agent 用户可以通过主机安全控制台直接卸载Agent，方便用户操作。 说明 卸载Agent后主机安全服务将无法为该服务器提供任何防护。 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航中，选择“安装与配置”，进入“安装与配置”界面。 5、选择“Agent管理 > Agent在线”，在需要卸载Agent的云服务器所在行的“操作”列，单击“卸载Agent”。 6、在弹出的卸载Agent对话框中，单击“确认”。 云服务列表“Agent状态”显示为“离线”，卸载Agent成功。 卸载Agent成功 主机本地卸载 用户在不需要使用主机安全服务或需要重新安装Agent时，可从本地卸载版本Agent。 说明 卸载Agent后主机安全服务将无法为该服务器提供任何防护。

本文主要介绍安全容器与普通容器。 安全容器和普通容器相比，它最主要的区别是每个容器（准确地说是pod）都运行在一个单独的微型虚拟机中，拥有独立的操作系统内核，以及虚拟化层的安全隔离。因为云容器引擎CCE的容器安全隔离比独立拥有私有Kubernetes集群有更严格的要求。通过安全容器，不同容器之间的内核、计算资源、网络都是隔离开的，保护了Pod的资源和数据不被其他Pod抢占和窃取。 CCE Turbo集群下单节点支持普通容器和安全容器，您可以根据业务需求选择使用，两者的区别如下： 分类 安全容器 Docker普通容器 Containerd普通容器 容器所在节点类型 物理机 虚拟机 虚拟机 容器引擎 Containerd Docker Containerd 容器运行时 Kata runC runC 容器内核 独占内核 与宿主机共享内核 与宿主机共享内核 容器隔离方式 轻量虚拟机 Cgroups和Namespace Cgroups和Namespace 容器引擎存储驱动 Device Mapper OverlayFS2 OverlayFS Pod Overhead 内存：100MiBCPU：0.1CorePod Overhead为安全容器本身资源占用。比如Pod申请的limits.cpu 0.5Core和limits.memory 256MiB，那么该Pod最终会申请0.6Core的CPU和356MiB的内存。 无 无 最小规格 内存：256MiBCPU：0.25Core安全容器的CPU核数（单位为Core）与内存（单位为GiB）配比建议在1:1至1:8之间。例如CPU为0.5Core，则内存范围建议在512MiB4GiB间。 无 无 容器引擎命令行 crictl docker crictl Pod的计算资源 CPU和内存的request和limit必须一致 CPU和内存的request和limit可以不一致 CPU和内存的request和limit可以不一致 hostnetwork 不支持 支持 支持

本文主要介绍通过Mongo Shell连接集群实例（内网连接） Mongo Shell是MongoDB自带的Shell客户端，您可以使用Mongo Shell连接数据库实例、对数据库进行数据查询和更新、执行管理等操作。 Mongo Shell是MongoDB客户端的一部分，您需要先下载和安装MongoDB客户端，再使用Mongo Shell连接数据库实例。 DDS实例默认提供内网IP地址，当应用部署在弹性云主机上，且该弹性云服务器与文档数据库实例处于同一区域，同一VPC时，可以使用内网连接文档数据库实例，该方式可以获得更快的传输速率和更高的安全性。 本章节以部署在弹性云主机上的应用场景为例，介绍如何使用Mongo Shell通过内网的方式连接集群实例。 连接集群实例的方式有SSL连接和非SSL连接两种方法，其中SSL连接通过了加密功能，具有更高的安全性。为了提升数据在网络传输过程中的安全性，建议采用SSL方式。 前提条件 创建并登录弹性云主机，请参见《弹性云主机用户指南》中“创建弹性云服务器”的内容。 在弹性云主机上，安装MongoDB客户端。为了保障鉴权成功，请安装与目标实例版本一致的MongoDB客户端版本。 已确保弹性云主机和DDS实例实现网络互通，详情请参见设置安全组规则。 非SSL方式 步骤 1 连接弹性云主机。 步骤 2 在客户端工具mongo所在的目录下，连接数据库实例。 方式一：内网高可用连接（推荐） 命令格式： ./mongo 相关参数说明如下： 内网高可用连接地址： 您可以在实例管理页面，单击目标实例名称，进入基本信息页面。单击“连接管理 > 内网连接”，在“内网高可用连接地址”处即可获取到当前实例的连接地址，该连接地址格式为固定格式，不可修改。 获取到的内网高可用地址格式如下： mongodb://rwuser: @192.168.xx.xx:8635,192.168.xx.xx:8635 /test?authSourceadmin 您需要关注内网高可用地址中的如下参数信息： 表 参数信息 参数名称 说明 :: rwuser 表示数据库帐号名。 password 表示数据库帐号对应的密码，需要替换为真实密码。 如果密码中包含特殊字符“@”、“!”和“%”需要分别替换为对应的十六进制的URL编码（ASSCII码）“%40”、“%21”和“%25”。 示例：密码为@%!，对应的URL编码为 %40%25%21。 192.168.xx.xx:8635,192.168.xx.xx:8635 待连接集群实例的mongos节点IP地址及端口号。 test 表示测试库名。 authSourceadmin 表示高可用链接地址中的认证数据库必须为“admin”，即“authSourceadmin”为固定格式不可改变。 连接命令示例： ./mongo mongodb://rwuser: @192.168.xx.xx:8635,192.168.xx.xx:8635 /test?authSourceadmin 方式二：内网IP地址连接 命令格式： ./mongo host port u p authenticationDatabase admin 相关参数说明如下： DBHOST：待连接集群实例的mongos节点IP地址。 您可以单击实例名称，进入基本信息页面，选择“连接管理 > 内网连接”，在“节点信息 > mongos”页签下获取mongos节点的内网IP地址即可。 DBPORT：待连接实例的端口，默认端口为8635。 您可以单击实例名称，进入基本信息页面，选择“连接管理 > 内网连接”页签，在“基本信息 > 数据库端口”处获取当前端口信息。 DBUSER：帐号名，即数据库帐号，默认为rwuser。 出现如下提示时，输入数据库帐号对应的密码： Enter password: 连接命令示例： ./mongo host 192.168.1.6 port 8635 u rwuser p authenticationDatabase admin 步骤 3 检查连接结果。出现如下信息，说明连接成功。 mongos>

通过在服务器端安装轻量级的Agent进行安全监测和防护,监测数据由天翼云专业安全团队以报告的形式定期发送给客户,并对入侵等高危情况进行实时邮件通知,从而客户可以及时全面的了解服务器的安全状态,将安全从传统的安全事件防护变成一项持续安全响应和处理过程。功能涵盖弱口令检测、软件漏洞检测、防暴力破解、web后门、shell检测等多个维度,实现服务器安全的持续纵深保护。

本文介绍高性能网络增值服务的开通流程。 基本说明 天翼云边缘安全加速平台—安全与加速服务的增值服务支持高性能网络，使用高性能网络增值服务需完成如下两个步骤： 开通高性能网络服务，详情请见下文开通步骤。您可以通过高性能网络计费和高性能网络了解服务计费规则和功能适用场景。 参考高性能网络中的配置说明，进行域名配置开启。 开通步骤 存量客户 操作步骤： 1. 进入AOne安全与加速控制台后，单击【计费详情】，进入界面后在【我的套餐】页面单击【新增扩展服务】。 2. 进入安全与加速界面后，打开【高性能网络】，确认无误后点击【提交订单】按钮，支付成功后即可开通高性能网络服务。 新客户 操作步骤： 1. 请先参照服务开通，同时只要有开通全球（不含中国内地）服务就能开通高性能网络。 2. 参照如上步骤开通高性能网络的操作步骤进行开通。 注意事项 高性能网络增值服务不可单独开通，需与边缘安全加速平台—安全与加速服务组合开通。如边缘安全加速平台停用，则高性能网络同步停用。 当开通边缘安全加速平台加速全球或者全球(不含中国内地)服务时，都支持高性能网络增值服务。

戴上眼镜后感觉3D效果不明显，是怎么回事？ 3D效果不明显可能有以下几个原因： 1. 佩戴位置不对：请调整眼镜的位置，确保镜片对准双眼，眼镜与眼睛保持合适距离。 2. 3D模式未开启：检查云电脑工具栏上的“3D模式”按钮是否为蓝色开启状态。 3. 个人视觉差异：由于AI算法和每个人视觉感知不同，对3D效果的感受会有差异，建议尝试不同类型的内容（如动画、游戏、电影），找到最适合的。 4.内容原因：部分2D内容转换为3D后效果本身较弱，建议选择场景变化丰富的视频。 用VR眼镜盒子看的时候，画面有重影怎么办？ 画面重影通常是焦距或瞳距不匹配导致的，可以： 1. 调节屈光度：VR眼镜盒子上通常有调节焦距的滚轮，根据您的视力情况调节到清晰。 2. 调节瞳距：调节左右眼镜片的间距，使其与您的双眼间距匹配。 3. 适应一下：闭眼2～3秒后再睁开，让眼睛重新适应3D画面。 4. 检查手机位置：确保手机屏幕居中放置在VR盒子中，没有偏移。 VR眼镜盒子里看到的画面不完整，边缘被切掉了？ 这是因为画面边距设置不合适，可以： 1. 在3D模式设置中找到“边距调节”选项。 2. 拖动滑动条调整边距大小，直到画面完整显示。 3. 不同手机屏幕尺寸可能需要不同的边距设置，建议多试几次找到最佳值。

日志触发器能够为您提供增量日志的触发事件，您可以及时感知到指定的日志单元产生了新的日志，结合日志服务提供的SDK，您可以消费到最新的增量日志，完成定制化的任务。 使用场景 监控关键日志并告警。通过配置日志触发器，您可以及时消费到增量日志，通过编写函数代码，可以监听捕捉日志内容，并发出告警。 实现日志数据的ETL。通过配置日志触发器，您可以持续消费指定日志单元的日志（Extract），通过编写函数代码，可以对日志数据进行清洗、脱敏等一系列处理，并投递到新的日志单元（Transform，Load）。 触发机制 事件的基本传递机制请参考概述。 增量日志事件的上报：日志单元会持续监听日志数据写入，如果没有新增日志，不会上报事件；如果有新增日志，且最近60秒内日志量少于25MB，那每60秒会上报一次；如果日志量大于25MB，则在日志量达到25MB时上报一次。 Event事件的data部分格式如下。 json { "beginCursor":7256969395249872970, // 日志数据起始游标，标识增量日志的开始位置 "endCursor":7256969395249872981, // 日志数据结束游标，标识当次上报日志结束为止 "unitCode":"0fc54abd09aa8c" // 日志单元ID } 日志触发器只会推送日志事件的元数据信息，不包括日志内容，如果需要消费日志内容，请使用云日志提供的SDK并结合Event事件data字段进行日志消费，具体用法可参考文档。

名词 说明 短信服务 短信服务（Short Message Service）是天翼云为用户提供的一种通信服务。支持国内快速发送验证码、短信通知。国内短信支持三网合一专属通道，与工信部携号转网平台实时互联。电信级运维保障，实时监控自动切换，到达率高达99%。 国内短信 是天翼云为个人和企业用户提供的纯文本短信发送服务，通过API、群发助手方式调用短信发送功能，将指定信息发送至手机号码，用于个人和企业向用户发送验证码、短信通知等短信。 验证码 是天翼云为个人和企业用户提供的验证码发送服务，国内短信验证码支持三网合一专属通道，秒级可达。适用于App或网站注册、安全登录、支付认证、身份认证、密码找回、账号绑定等应用场景。 短信通知 是天翼云为个人和企业用户提供的短信通知发送服务，支持通知短信，快速触达用户，适用于订单通知、支付通知、物流通知、会议通知、政府通知、生活服务类通知、跨境订单通知、跨境物流通知等应用场景。 短信模板 即具体发送的短信内容模板。短信模版支持验证码、短信通知；验证码和短信通知支持通过变量替换实现个性短信定制。 短信签名 是一种快捷、方便的个性化签名方式。当发送短信时，短信平台会根据设置，在短信内容里附加个性化签名，再发送给被叫手机号码。申请签名的企业用户需要上传相关企业资质证明，个人用户需要上传个人身份证明。

本章节为您介绍API安全网关的查询分析模块功能。 查询分析包含两个模块：审计日志和告警日志。审计日志保存访问API安全网关系统的流量记录，告警日志保存API网关规则预警的告警信息。 审计日志 1.登录API安全网关。 2.在左侧导航栏选择“查询分析 > 审计日志”，进入审计日志页面，即可查看审计日志。 单击右上角的“展开”可以设置查询条件（开始时间、响应码、客户端IP、上游、请求URL）。 大模型审计日志 1.登录API安全网关。 2.在左侧导航栏选择“查询分析 > 大模型审计”，进入大模型审计页面，即可查看大模型审计日志。 告警日志 告警日志记录安全规则和访问控制模块的策略配置检测到的告警。 1.登录API安全网关。 2.在左侧导航栏选择“查询分析 > 告警日志”，进入告警日志页面，即可查看告警日志。 流控日志 说明 日志来源为被API熔断、并发限制、请求数限制、请求速率限制四种插件阻断的流量。 1.登录API安全网关。 2.在左侧导航栏选择“查询分析 > 流控日志”，进入流控日志页面，即可查看流控日志。

本小节介绍计费概述。 通过阅读本文，您可以快速了解主机安全服务（Host Security Service，HSS）的计费模式、计费项、续费、欠费等主要计费信息。 计费模式 主机安全服务提供包年/包月、按需计费两种计费模式，以满足不同场景下的用户需求。包年/包月是一种预付费模式，即先付费再使用，按照订单的购买周期进行结算，因此在购买之前，您必须确保帐户余额充足。按需计费是一种后付费模式，即先使用再付费，按照主机安全服务实际使用时长计费。 计费项 主机安全服务的计费项为配额版本费用。 续费 包年/包月主机安全服务在到期后会影响主机防护效果。如果您想继续使用主机安全服务，需要在规定的时间内为主机安全服务进行续费，否则主机防护配置等数据可能会丢失。续费包括手动续费和自动续费两种方式，您可以根据需求选择。了解更多关于续费的信息，请参见续费。 欠费 欠费后，可以查看欠费详情。为防止相关资源不被停止或者释放，请及时进行充值，帐号将进入欠费状态，需要在约定时间内支付欠款。

分类 功能模块 描述 零信任免费版 零信任VPN版 零信任基础版 零信任企业版 终端管理基础版 远程办公接入 零信任VPN 提供虚拟专有网络，通过加密协议对数据进行加密传输，建立安全可靠的VPN网络。 √ √ √ √ 不涉及 远程办公接入 内网应用接入 可实现域名、IP等精细化内网应用接入。 √ √ √ √ 不涉及 远程办公接入 精细化权限管控 支持应用按身份，角色，用户组，组织架构等进行授权和管控。 √ √ √ √ 不涉及 远程办公接入 信创连接器 连接器版本支持常用国产化系统，包括麒麟、统信、天翼云CTyunOS。 × √ √ √ 不涉及 远程办公接入 连接器管理 提供灵活连接器部署安装方式，用于打通企业内网。 √（仅支持部分安装命令，可支持至多5个连接器集群或实例） √（可支持至多10个连接器集群或实例） √（可支持至多10个连接器集群或实例） √（可支持至多20个连接器集群或实例） 不涉及 远程办公接入 域名解析 域名解析管理功能针对无公网解析的域名，实现无需绑定HOST即可进行内网访问。 √ √ √ √ 不涉及 远程办公接入 源地址网络地址转换 实现一对一内网访问溯源，针对用户+设备粒度、用户粒度进行分配唯一IP回源访问。 × √ √ √ 不涉及 远程办公接入 内网限速 可以基于总带宽、单客户端进行内网限速。 √ √ √ √ 不涉及 远程办公接入 网络健康探测 提供网络接入情况连通性探测，实时监控发现异常网络接入情况，确保内网访问高可用、稳定性。 × √ √ √ 不涉及 身份安全认证 身份源同步 支持第三方身份源集成（自建/企微/AD等)。 √（限时免费） √ √ √ 不涉及 身份安全认证 认证源集成 支持账密、短信、邮箱进行认证，以及第三方认证源集成（如企微/AD等）。 √（限时免费） √ √ √ 不涉及 身份安全认证 单点登录SSO 支持标准协议单点登录SSO对接 × × √ √ 不涉及 身份安全认证 双因素认证 支持短信、邮箱进行双因素认证。 √ √ √ √ 不涉及 设备管理 桌面终端 提供PC端的客户端程序，支持Windows，MacOS系统。 √ √ √ √ √ 设备管理 移动终端 提供移动端的APP程序，支持IOS、安卓系统手机。 × × √ √ 暂未发布 设备管理 移动端SDK 提供移动端SDK的标准接入能力，支持对接IOS、安卓系统手机。 × √ √ √ 暂未发布 设备管理 Linux终端 提供Linux相关操作系统类型的客户端程序。 × × √（支持ubuntu18.04、ubuntu20.04桌面版） √（支持ubuntu18.04、ubuntu20.04桌面版） 暂未发布 设备管理 信创终端 提供信创系统的客户端程序，信创系统（麒麟、统信）。 × × √ √ 暂未发布 设备管理 终端资产 终端资产进行盘点、展示，用于分析。 √ √ √ √ √ 设备管理 设备策略 支持设备共享、用户激活认证、授信等策略处理。 × √ √ √ √ 安全策略 访问控制 提供接入VPN访问控制，粒度包括按用户、IP、终端设备、接入时间、地区等。 √（仅支持部分规则粒度） √（仅支持部分规则粒度） √ √ 不涉及 安全策略 应用隐身 支持连接器部署和反向连接到天翼云边缘节点，实现企业内网应用隐身，并且基于SDP架构，对数据面和控制面进行分离，无需暴露企业应用于公网之中。 √ √ √ √ 不涉及 安全策略 准入管控 支持对接入零信任客户端的终端设备的多维度准入策略配置，实现对异常行为、设备、身份等不允许接入企业VPN网络。 × × √ √ 不涉及 安全策略 横向渗透防护 支持进行钓鱼防护，能够对企业内网发生恶意扫描行为，例如触发异常访问频率和维度的行为实时阻断等。有效抑制住钓鱼等C2攻击。 × × × √ 不涉及 安全策略 动态授权 支持对访问主体在远程访问的过程中的行为、身份、设备、终端环境等信息进行多维度策略评估，并实时对异常进行阻断等。 × × √ √ 不涉及 安全策略 RBI云端浏览器隔离 通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地。 额外付费购买 额外付费购买 额外付费购买 额外付费购买 不涉及 安全策略 内外网隔离 支持对终端访问的流量进行黑白名单管控，能够实现企业内网访问和互联网访问的安全隔离。 × × × √ 不涉及 终端安全管理 上网行为管控 员工互联网访问行为可视可审可追溯，一键拦截违规违法网站，轻松实现合规合法、网络稳定的上网环境，提高企业办公效率。 × × × √ √ 终端安全管理 软件管理 从软件的来源、安装、运行情况进行全方位展示，协助企业梳理员工安装、运行软件情况；通过配置软件管控策略，阻止软件运行。 × × √ √ √ 终端安全管理 病毒查杀 支持定期对终端进行病毒扫描，提供最新的病毒引擎版本，扫描完成后自动隔离和上报。 × × × √ √ 终端安全管理 实时防护 包含文件实时防护、U盘防护，对即将进入设备的病毒进行实时监控。 × × × √ √ 终端安全管理 局域网共享防护 局域网共享路径是病毒常见的横向扩散手段，对局域网共享路径进行操作时需要实时监控。比如文件上传、执行等。 × × × ×（限时免费） ×（限时免费） 终端安全管理 防钓鱼 面向办公网钓鱼防护场景，支持检测IM工具和邮件附件下载的文件是否带毒、是否为伪装文件。 × × × ×（限时免费） ×（限时免费） 终端安全管理 漏洞修复 对设备进行漏洞扫描和补丁修复，有效发现和修复设备存在的紧急漏洞，加固操作系统的安全性。 × × × √ √ 终端安全管理 外设管控 企业管理员对员工的U盘、SD卡、外接硬盘进行禁用、只读、审计管控，有效阻止风险入侵，有效防止文件外泄。 × × × √ √ 终端安全管理 办公净化 对于已安装软件，支持自动拦截广告、骚扰、恶意弹窗。为用户提供⽆⼲扰的纯净操作环境，赋能绿色上网诉求。 × × × √（限时免费） √（限时免费） 终端安全管理 AI安全检测 支持盘点设备上运行的大模型组件，高效构建AI应用资产全景；支持超过 30+种 AI 应用组件漏洞检测，实现漏洞高效管理。 × × × ×（限时免费） ×（限时免费） 终端安全管理 合规检测 支持设置终端基线标准，能够对接入零信任的终端进行基线采集并检测是否符合企业安全规范基准。 × × √ √ √ 终端安全管理 自保护 当员工退出账号、退出客户端、退出企业、卸载客户端时，需要进行防护码校验，实现客户端自保护。 × × √ √ √ 产品服务 态势大屏 提供零信任办公态势大屏，能够展示企业办公内网访问情况、终端安全分析、设备分布、用户分布等态势感知能力。 × × × √ × 产品服务 告警自助 提供零信任远程办公告警自助能力，企业可配置连接器异常告警、业务异常告警等，实现精准感知异常，减少业务影响。 × √ （SaaS版本支持 √ （SaaS版本支持） √ （SaaS版本支持） × 产品服务 客户端定制化 支持客户端定制化LOGO，强化企业感知力。 × × √ √ × 产品服务 日志投递 将零信任日志投递到客户指定目标服务器，实现AOne日志的全生命周期管理。可对接企业统一态势平台，赋能企业安全运维监控场景。 × × √ （SaaS版本支持） √ （SaaS版本支持） 不涉及 产品服务 日志审计 提供日志审计功能，针对行为进行审计。 × √ √ √ √

加白扫描机器IP 1. 如果您的域名有安全防护设备，需要提前将扫描机器IP在您安全防护设备中的访问控制加白，获取扫描机器IP方法如下。 2. 登录边缘安全加速平台控制台。 3. 在左侧导航栏中选择【安全能力】，进入【网站风险监测】菜单，并在左侧域名列表选择您要配置的域名。 4. 单击右上角【扫描机器IP】按钮，您可以导出机器IP列表，如果扫描机器变更，您需要第一时间获取通知，可以单击【扫描机器变更通知】按钮，配置您需要接收通知的邮箱或者手机号。 查询扫描任务执行情况 如果您需要查询任务执行情况，查询方式如下: 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【网站风险监测】菜单，并在左侧域名列表选择您要查看的域名。 3. 在任务列表中，在【操作】栏中单击【任务执行情况】按钮，您可以在查看到监测开始时间、监测结束时间、任务执行状态，和跳转查看风险日志。 关闭所有扫描任务 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【网站风险监测】菜单，并在左侧域名列表选择您要扫描的域名。 3. 单击【网站风险监测】开关，会停止所有扫描任务。

本文主要介绍云日志服务如何创建告警规则。 告警规则为监控告警的管理单元，一条完整的告警规则包含监控日志单元对象、触发条件、检查频率、通知策略与告警内容等信息。本文将介绍如何创建告警规则。 前提条件 已创建日志项目、日志单元并完成日志数据接入。 已创建通知策略，详情请查看通知策略管理。 操作步骤 1. 登录云日志服务控制台。 2. 左侧导航栏点击告警规则模块，进入告警规则页面。 3. 点击创建告警规则。 4. 创建告警配置，请按如下说明配置参数。并点击新建，完成告警规则设置。 参数 说明 告警名称 设置告警名称 检查频率 告警规则的执行周期，支持固定频率与固定时间； 固定频率：按固定的时间间隔执行一次监控任务时间间隔，支持设置分钟、小时、天的频率； 固定时间：按固定的时间点，每天执行一次监控任务。 日志查询 查询对象：选择需要进行监控的日志项目与日志单元； 查询时间范围：针对目标日志单元进行检索时的时间范围； 查询执行：针对目标日志单元的查询分析条件，填入日志查询分析语句，点击【预览】按钮可预览检索结果，当检索结果满足触发条件时，则触发告警。关于如何填写查询分析语句，请参考日志查询语法与SQL统计语法。 触发条件 当目标日志单元的检索结果满足触发条件时，则触发告警通知。可同时设置多条触发条件，目前支持两类触发条件： 检索结果有数据：当检索结果有日志数据时即触发告警； 检索结果有特定条数据：当检索结果中的日志数据满足一定条件时即触发告警，可设置条件表达式。 有数据匹配：输入具体的条件表达式，当条件表达式返回为true的时候，产生告警，否则不产生告警。 有特定条数据匹配：输入具体的条件表达式，当条件表达式返回为true且满足特定条数据条件时，产生告警，否则不产生告警。 通知策略 选择已创建好的通知策略。 告警内容 告警内容将作为告警信息中的一个字段，告警内容支持插入各类变量。

本节主要介绍为服务添加灰度版本 本步骤将为Bookinfo应用的“reviews”服务添加新的灰度版本，并配置相应的灰度策略，将原有生产环境的默认版本的流量引流一部分到新版本中。 下面将以为“reviews”服务添加一个v3新版本，且v3新版本接收Bookinfo应用的30%流量为例进行配置。 部署灰度版本 步骤 1 在左侧导航中选择“灰度发布”，在金丝雀发布下，单击“立即发布”。 步骤 2 配置灰度发布基本信息。 灰度任务名称：用户自定义，此处设置为reviewsv3。 命名空间：选择服务所在命名空间。 灰度发布服务：在下拉框中选择reviews。 工作负载：选择服务所属的工作负载。 步骤 3 配置灰度版本信息。 部署集群：选择服务所属的集群。 版本号：配置为v3。 实例数量：使用默认。 实例配置：镜像版本选择1.5.2，其他参数保持默认。 步骤 4 单击“发布”，待启动进度为100%，表明灰度版本部署成功。 图 查看启动进度 配置流量策略 为灰度版本设置流量策略，灰度版本会根据配置的流量配比引流老版本中的部分或全部流量。 步骤 5 灰度版本部署成功后，单击“配置流量策略”。 步骤 6 设置流量策略。 策略类型分为“基于流量比例”和“基于请求内容”，通过页签选择确定。 基于流量比例：根据流量比例配置规则，将从原版本中切分指定比例的流量到灰度版本。例如80%的流量走原版本，20%的流量走灰度版本。 基于请求内容：根据请求内容配置规则，只有请求内容中满足特定条件的流量会切分到灰度版本上。例如只有在Windows操作系统上的用户可以访问灰度版本。 以“基于流量比例”为例，且v3版本流量配比为20%。 图 流量策略 单击“策略下发”，灰度策略的生效需要几秒的时间。 步骤 7 在“服务列表”页面，单击productpage服务中的“访问地址”。不断刷新页面，页面在v1和v3版本之间来回切换。 图 v1版本页面 图 v3版本页面

本文主要介绍节点DNS检查. 检查项内容 当前检查项包括以下内容： 检查当前节点DNS配置是否能正常解析OBS地址 检查当前节点是否能访问存储升级组件包的OBS地址 解决方案 节点升级过程中，需要从OBS拉取升级组件包。此项检查失败，请联系技术人员支持。

本节介绍云等保专区产品的定义及架构。 云等保专区是满足等保合规2.0云原生安全合规平台。云等保专区提供安全统一管理、传输安全、计算环境安全等安全合规能力，实现统一管理、统一运营，整体上降低等保建设难度和日常管理运营复杂度。 本产品为满足等保合规，提供一揽子安全原子能力，包括云安全中心、主机安全、Web应用防火墙、下一代防火墙、堡垒机、漏洞扫描、日志审计、数据库审计、数据分类分级、数据脱敏与水印，实现安全原子能力统一管理、统一运营，为用户侧等保合规需求提供便捷下单、自动化部署的能力。 产品架构 如下图所示，云等保专区产品基于天翼云基础设施资源，利用云原生安全技术，融合了堡垒机、Web应用防火墙（WAF）、日志审计、数据库审计、漏洞扫描、防火墙、主机安全、云安全中心，为用户提供一站式等保防护能力。 对于云上租户来说，每个用户的安全能力都是部署在独立的用户VPC中，这样将原子能力最小化的架构能够最大限度地保障用户的数据安全，同时也能满足不同用户的安全防护诉求，用户可基于自己的安全诉求，进行不同安全策略的设置。

本节介绍了设置密码过期策略的相关内容。 操作场景 长期使用同一个密码会增加被暴力破解和恶意猜测的风险，密码的安全策略即为限制用户使用同一个密码的时间，从而降低了暴力破解的风险。 RDS for MySQL的密码过期策略支持通过以下两种方式设置： 通过数据库参数设置密码过期策略：MySQL 5.7和8.0版本支持通过设置全局变量“defaultpasswordlifetime”来控制用户密码的默认过期时间。 通过DAS设置密码过期策略：可以针对不同的用户配置不同密码过期策略。 注意事项 密码过期后用户无法正常登录。 开启密码过期策略后，需要用户自行关注密码是否即将过期，并进行处理，避免影响业务。 通过数据库参数设置密码过期策略 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击实例名称，进入实例的“基本信息”页面。 步骤 5 在左侧导航栏中选择“参数修改”。 步骤 6 在“参数”页签修改“defaultpasswordlifetime”参数。 参数值为N，表示密码N天后过期，单位为天。默认值为0，表示创建的用户密码永不过期。 步骤 7 单击“保存”，在弹出框中单击“是”，保存修改。 结束

排查项四：安全组是否被修改 登录VPC控制台，在左侧栏目树中单击“访问控制 > 安全组”，找到集群控制节点的安全组。 控制节点安全组名称为：集群名称cce control 编号。您可以通过集群名称查找安全组，再进一步在名称中区分“ccecontrol”字样，即为本集群安全组。 排查安全组中规则是否被修改，安全的详细说明请参见集群安全组规则配置 排查项五：检查安全组规则中是否包含Master和Node互通的安全组策略 请检查安全组规则中是否包含Master和Node互通的安全组策略。 已有集群添加节点时，如果子网对应的VPC新增了扩展网段且子网是扩展网段，要在控制节点安全组（即集群名称ccecontrol随机数）中添加如下三条安全组规则，以保证集群添加的节点功能可用（新建集群时如果VPC已经新增了扩展网段则不涉及此场景）。 安全的详细说明请参见集群安全组规则配置 排查项六：检查磁盘是否异常 新建节点会给节点绑定一个100G的docker专用数据盘。若数据盘卸载或损坏，会导致docker服务异常，最终导致节点不可用。 集群新建节点时的数据盘 请检查节点挂载的数据盘是否已被卸载。若已卸载请重新挂载数据盘，再重启节点，节点可恢复。 磁盘检查

本节介绍创建windows云电脑的操作说明。 天翼AI云电脑（政企版）可以通过资源包或单实例方式开通Windows系统的普通AI云电脑和GPUAI云电脑。 如需通过资源包方式开通AI云电脑，请先订购资源包，详见订购资源包。 操作步骤 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“AI云电脑管理”菜单栏，选择“桌面管理”，点击“创建桌面”，进入“创建桌面”页面； 3.创建方式来源选择“资源包”或“单实例”； 资源包方式开通：管理员可通过已订购资源包，通过资源包的资源分配方式开通AI云电脑，无需单独付费。 单实例方式开通：管理员可以选择AI云电脑配置，直接通过付费完成AI云电脑的开通。 4.选择“Windows”系统类型； 5.选择规格类型“普通AI云电脑”或“GPUAI云电脑”，再根据需求选择AI云电脑规格； 普通AI云电脑：性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求。 GPUAI云电脑：满足学校教学， 普通图像办公，高清视频播放等需求。搭配高性能显卡及固态硬盘，具备更全面的图像加速能力，满足企业图形设计、图形渲染、3D制作等需求。 注：仅部分资源池支持开通GPUAI云电脑，实际规格类型以页面显示内容为准。 6.选择AI云电脑的“镜像类型”； 7.选择AI云电脑的“磁盘选择”； 系统盘：普通AI云电脑默认已包含80GB高IO系统盘，GPUAI云电脑默认已包含120GB超高IO系统盘。 数据盘：根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB。 注意 资源包开通的桌面系统盘最高可扩容至200GB，单实例开通的桌面系统盘最高可扩容至500GB。 8.选择AI云电脑的“vpc”和“业务子网”； 注：AI云电脑所选的业务子网需要绑定带宽，桌面才能连接网络。 通过将上网带宽与业务子网建立绑定关系，来控制业务子网下AI云电脑的最终可用带宽。详情可参考管理上网带宽 9.选择账号类型，并填写分配电脑的账号信息； 管理员激活：管理员直接创建的账号，无需激活即可使用。 邮件通知激活：需要发送激活邮件，用户激活后，账号即可使用。 选择已有用户：选择已经存在的用户进行电脑分配。 10.其它电脑实例配置信息，根据需要自行配置； 11.确认相关的配置信息，点击“创建桌面”，即完成电脑开通。

本章节为您介绍信任规则的相关内容 数据库安全网关对捕获到的数据包进行深度协议解析，精确提取其中的各项字段信息，并与预先设定的信任规则在多个维度上进行细致比对，从而判断语句是否值得信任。 若符合规则条件则放行请求，确保其顺畅无阻地通过，同时避免触发任何不必要的阻断或告警。 新增信任规则 1.在左侧菜单栏选择“规则配置 > 信任规则”进入信任规则页面。 2.单击信任规则列表上方的“新增规则”按钮，即可开始新增信任规则。 3.在弹出的新增规则窗口内，根据您业务的实际需求填写配置项后，单击“保存”。 基本信息配置表 配置项 说明 名称 设置规则名称，必须为中文字符、字母、数字、“”、“.”或“”，长度不超过64 字符。 描述 规则描述，长度不超过1000 字符。 等级 可选高风险、中风险、低风险，默认选择高风险。 适用场景 默认选择缺省场景，可根据场景进行选择。 动作 可选允许访问、命令阻断、会话阻断。 若为旁路部署模式，可选允许访问、会话阻断、IP阻断。 规则类型 可选普通规则和统计规则： 普通规则：单条审计记录匹配到普通规则，会触发生成一条普通告警（例如一条Select语句，可能会触发一条告警）。 统计规则：指定时间内多次匹配到统计规则，触发至阈值后，会触发生成一条统计规则告警（例如5 分钟内10 次Select 失败，可能会触发一条统计告警），并会为客户端生成一条普通阻断规则。 统计方式 可选频次统计和累加统计。（统计规则配置项） 频次统计：指定时间内匹配统计规则达到累计次数。 累加统计：指定时间内匹配统计规则达到累计行数。 客户端信息配置表 配置项 说明 客户端来源 访问业务类型的客户端IP或IP组。可填写多个，以逗号“,”分隔。 客户端端口 可配置多个值或区间，多个值间以逗号“,”分隔，例如：1015,20,25,3040。 客户端工具名 支持字符串匹配、正则表达式匹配、分组选择方式匹配。选择字符串，可配多个客户端工具名，使用逗号“,”分隔。 例：db2bp.exe,javaw.exe,plsqldev.exe。 操作系统用户 支持字符串匹配、正则表达式匹配、分组选择方式匹配。 选择字符串，可填多值，多个值间以逗号“,”分隔。 客户端主机名 支持字符串匹配、正则表达式匹配、分组选择方式匹配。 选择字符串，可填多值，多个值间以逗号“,”分隔。 服务端信息配置表 配置项 说明 数据库账号 支持字符串匹配、正则表达式匹配、分组选择方式匹配。 选择字符串，可填多值，多个值间以逗号“,”分隔。 数据库名（SID） 支持字符串匹配、正则表达式匹配。Oracle数据库输入SID，其他数据库输入数据库名。 选择字符串，可填多值，多个值间以逗号“,”分隔。 行为信息配置表 配置项 说明 对象组 指定规则所匹配的对象组。支持“包含任一对象则满足”或“包含所有对象才满足”。 说明 对象组、数据级别、敏感数据类型间是“或”的关系，与其他规则配置是“与”的关系。 数据级别 多选项，可选一级、二级、三级、四级、五级。 敏感数据类型 多选项，可选内置类型或后续新增的类型。 支持“包含任一类型则满足”或“包含所有类型才满足”。 操作类型 指定SQL语句的操作类型，如Select、Update、Delete等。可根据DDLDMLDCL来选择。 SQL模板ID 可填多值，多个值间以逗号“,”分隔。在审计日志详情中可查看。 SQL关键字 SQL关键字：支持以正则表达式方式匹配报文。单击 输入表达式和校验内容，单击 ，验证输入内容与SQL关键字中的正则表达式是否匹配。可单击“添加条件”可添加多个关键字。 条件运算逻辑表达式：SQL关键字填写后，此项为必填项。条件间的关系，支持与、或、非、括号运算(&：与；：或；~：非)。条件使用序号表示，即“1”表示条件1，例如：1&2，则代表有2 个SQL关键字条件，且两个关键字都要满足才能告警。 SQL长度 取值范围1B~64KB。 WHERE子句 是否包含WHERE，支持三个选项：不判断、有WHERE子句、没有WHERE子句。WHERE子句用于提取满足指定条件的SQL记录，语法如下： SELECT columnname,columnname; FROM tablename; WHERE columnname operator value; 结果信息配置表 配置项 说明 执行时长 允许配置从0 到半个小时之间的任意范围。 SQL执行时长属于此范围，则触发规则。 影响行数 允许配置从0 到999999999之间的任意范围，单位为行。 SQL操作返回的影响的行数属于此范围，则触发规则。 当且仅当该规则关联的资产配置了默认数据源时影响行数生效。 返回结果集 返回结果集：支持以正则表达式方式匹配结果集。单击“正则验证”输入结果集内容，单击“提交”，验证输入内容与返回结果关键字的正则表达式是否匹配。可通过“添加条件”添加多个条件。 条件运算逻辑表达式：条件间的关系，支持“与、或、非、括号”运算(&：与；：或；~：非)，条件使用序号表示，即“1”表示条件1，例如：1&2，则代表有2 个结果集条件，且结果集中需要 同时满足这以上两个条件才能告警。 执行状态 可选全部、成功、失败，默认为全部。 执行结果描述 支持以正则表达式方式匹配。 其他信息配置表 配置项 说明 生效周期 可自定义或者选择时间组。自定义时间可选择任意时间、每天、每周或每月。 生效时间 设定具体的日期和时间范围，以确定其生效时间。规则的最终生效时间是生效周期和设定时间范围的交集。

等保合规检查 帮助客户实现主机系统安全基线的建立，形成针对不同系统的详细漏洞要求和Checklist要求，为标准化的技术安全操作提供了框架和标准，主要的应用场景有新业务系统上线安全检查，合规性安全检查（上级检查）、日常安全检查等。通过对目标主机系统展开合规安全检查，找出不符合的项并选择和实施安全措施来控制安全风险。 统一安全管理 主机安全服务提供统一的主机安全管理能力，帮助用户更方便地管理云服务器的安全配置和安全事件，降低安全风险和管理成本。

本章节介绍通过内网连接Microsoft SQL Server实例的流程。 本章介绍如何在管理控制台创建Microsoft SQL Server实例，并通过内网使用弹性云服务器上连接Microsoft SQLServer实例。 步骤一：创建实例。根据业务需求，确认Microsoft SQL Server实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二：设置安全组规则。 ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接Microsoft SQL Server实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 步骤三：通过内网连接Microsoft SQL Server实例。

本文介绍如何根据不同的HTTP路由,响应对应内容。 根据不同的HTTP路由，响应对应内容。 示例代码 javascript addEventListener("fetch", (event) > { event.respondWith( handleRequest(event.request).catch( (err) > new Response(err.stack, { status: 500 }) ) ); }); async function handleRequest(request) { const { pathname } new URL(request.url); if (pathname.startsWith("/api")) { return new Response(JSON.stringify({ pathname }), { headers: { "ContentType": "application/json" }, }); } if (pathname.startsWith("/status")) { const httpStatusCode Number(pathname.split("/")[2]); return Number.isInteger(httpStatusCode) ? fetch(" + httpStatusCode) : new Response("That's not a valid HTTP status code."); } return new Response("This is a http router example!"); } 示例预览 在浏览器地址栏中输入匹配到HTTP路由的URL，即可预览示例效果。 相关参考 运行时API：addEventListener 运行时API：FetchEvent 运行时API：Web Standards 运行时API：Response

Linux主机“复制/粘贴” 登录Linux主机资源，进入运维会话窗口。选中文本内容，“Ctrl+C”复制文本，“Ctrl+V”粘贴文本。 Windows主机“复制/粘贴” 登录Windows主机资源，进入运维会话窗口。选中文本内容，需操作两次“Ctrl+C”复制文本，“Ctrl+V”粘贴文本。 Windows主机内文件“复制/粘贴”快捷键：“Ctrl+B”复制，“Ctrl+G”粘贴 云堡垒机运维，操作快捷键有哪些？ Web运维快捷键操作与Windows系统快捷键通用，常用“Ctrl+C”复制文本，“Ctrl+V”粘贴文本，“Ctrl+X”剪切文本等。 当Web运维快捷键与浏览器快捷键有冲突时，优先执行浏览器快捷键。建议用户修改浏览器快捷键，以免冲突。 “应用运维”与“主机运维”适用相同的Web运维会话操作界面，快捷键操作方式相同。 数据库运维，因通过SSOTool调用本地数据库客户端，Windows快捷键仍适用。 SSH客户端运维和FTP/SFTP客户端运维，因直接通过客户端工具登录CBH系统连接主机，快捷键与客户端工具快捷键通用。