关键要素 基础策略：允许指定对象名前缀来限制应用生命周期规则的对象，您还可以将生命周期管理规则应用于整个桶，影响桶内的所有对象。 过期删除：可以指定对象在最后一次更新后的指定天数或指定过期日期执行策略，受规则影响的对象将按设定策略过期并被删除。 过期转换：可以指定对象在最后一次更新后的指定天数或指定具体日期执行策略，受规则影响的对象将按策略转换为低频存储或归档存储。 过期时间：设置对象的存储类型转换时间或删除时间，可选过期天数或过期日期，即可指定对象在最后一次更新后的指定天数或指定具体的过期日期执行策略。 说明 若用户创建的多条生命周期规则在同一时刻同时生效，则所有生效规则都会执行，顺序如下：按照前缀字母顺序依次执行，针对同一前缀，优先执行删除规则。举例： 针对同一前缀的对象，删除和转换规则在同一时刻同时生效：优先执行删除规则，再执行转换规则，由于在转换存储类型时对象已经被删除了，转换策略执行时会自动跳过。 针对同一前缀的对象，多条转换规则在同一时刻同时生效：转换规则随机执行，若对象先转为了归档存储，则后续在执行转标准或低频时会自动跳过。

站点监控的原理和使用的技术是什么？ 站点监控用于模拟真实用户对远端服务器的访问，从而探测远端服务器的可用性、连通性等问题。探测链路起点为公有云设定的分布式探测点，而链路终点即为用户所填写的站点地址。其中原理为：利用节点监测网络，针对不同区域，主动对应用进行体验测试，获得应用运行的各项性能指标。云监控站点监控支持的探测类型有四种，包括：ping、http、tcp、udp。 什么是数据聚合？ 数据聚合是指云监控服务在一定周期内对原始采样指标数据进行最大、最小、平均或方差值的计算，并把结果汇总的过程。这个计算周期又叫聚合周期。 聚合是一个平滑的计算过程，聚合周期越长、平滑处理越多，用户对趋势的预测越准确；聚合周期越短，聚合后的数据对告警越准确。 云监控服务的聚合周期目前最小是5分钟，同时还有20分钟、1小时、4小时，共4种聚合周期。 云监控通知发送有什么限制？ 短信每日限量 500 条（同一手机号） 邮件每日限量 50 条（同一邮箱地址） 语音每日限量 500 通（同一手机号） 语音30秒限制1通，600秒限制3通（同一手机号） 免费短信每月限量 1000 条。 付费短信每月无限制。 付费短信、语音，支持手动配置每月上限。

漏洞描述 Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。 Linux kernel中的mm/mempolicy.c文件的‘dogetmempolicy’函数存在安全漏洞。本地攻击者可借助特制的系统调用利用该漏洞造成拒绝服务（内存错误引用）。 基本信息 · CVE编号：CVE201810675 · 漏洞类型：拒绝服务攻击 · 危险等级：高危 · 受影响应用版本：(不同操作系统影响的应用版本不同，具体以检测结果为准) · 检测方式：版本对比 · 是否加入全局：是 · 公布时间： 20180502 · 风险特征：内核风险 · CVSS评分： 7 · CVSS详情： AV:L/AC:L/Au:N/C:C/I:C/A:C 修复建议 1.将漏洞检测结果中的软件包升级到对应漏洞修复版本及以上，内核补丁修复可能存在风险，修复需谨慎，建议测试验证无误后进行升级操作。 2.参照安全补丁功能中该漏洞的修复命令进行升级，或者参照以下修复命令进行升级： CentOS/RHEL/Oracle Linux : sudo yum update y 需要升级的软件包名(参考检测结果) SUSE : sudo zypper update y 需要升级的软件包名(参考检测结果) Ubuntu/Debian : sudo aptget update && sudo aptget install onlyupgrade y 需要升级的软件包名(参考检测结果) 例：若漏洞的检测结果中主机系统为CentOS 7，软件包名称为 kerneltools，则漏洞修复命令为 sudo yum update y kerneltools

本节主要介绍如何在智能视图服务控制台查看全量AI告警。 在AI告警模块，用户可以切换查看AI告警列表和AI告警统计。 AI告警列表 在AI告警列表页面，左侧为用户的设备树，右侧为AI告警列表，支持用户切换查看设备侧告警和云端告警。设备树默认选中根目录，即查看全量的AI告警，用户也可在设备树选中单个设备，即查看对应设备的AI告警。 设备侧告警 设备侧告警是为设备绑定设备AI订阅后产生的告警，包含设备名称、告警类型及告警时间等信息。 云端告警 云端告警是为设备绑定云端AI应用并启用后产生的告警，包含应用名称、算法类型、设备名称、告警时间、置信度及告警截图等信息。 AI告警统计 在AI告警统计页面，会展示用户的今日AI告警和AI告警统计详情，统计对象为云端AI告警。 今日AI告警 展示今日生成的云端AI告警次数，以算法类型进行区分统计。 AI告警统计详情 展示用户近7天或近30天的云端AI告警统计趋势，可下拉选择需要展示在趋势图内的AI算法类型。

本文主要介绍弹性负载均衡负载均衡器的常见问题。 负载均衡器是否可以单独使用？ 不可以。弹性负载均衡是将访问流量根据分配策略分发到后端多台云主机的流量分发控制服务，通过流量分发扩展应用系统对外的服务能力，同时通过消除单点故障提升应用系统的可用性。因此弹性负载均衡要基于后端实例（如：弹性云主机）来使用，不可以单独使用。 负载均衡器是否支持TCP长连接？ 支持。客户端到ELB之间支持TCP长连接。TCP长连接是指客户端和ELB之间建立TCP连接之后，可以持续发送业务请求（HTTP请求），可提高TCP连接复用率，降低TCP频繁建连的开销。 负载均衡器是否支持后端FTP服务？ 负载均衡器不支持后端FTP服务。但是可以支持SFTP场景。 负载均衡器是否自带防DDoS攻击和Web代码层次安全的功能？ 负载均衡服务不提供DDoS等安全防护功能，防护功能一般配合高防系统来使用。 DDoS防护是天翼云默认开启的防护，所有公网的入口流量都会被DDos防护。 负载均衡器分配的EIP是否为独占？ 在您创建使用弹性负载均衡服务的整个生命周期内：弹性公网IP支持解绑，解绑后的负载均衡变成私网型负载均衡，解绑后的弹性公网IP可被其他资源绑定。

扫描项 说明 漏洞 检测镜像中存在系统漏洞、应用漏洞。 恶意文件 检测镜像中存在的恶意文件。 软件信息 统计镜像中的软件信息。 文件信息 统计镜像中的文件信息。 基线检查 配置检查：检测CentOS 7、Debian 10、EulerOS和Ubuntu16镜像的系统配置项、检测SSH应用配置项。 弱口令检查：检测镜像中存在的弱口令。 口令复杂度检查：检测镜像中不安全的口令复杂度策略。 敏感信息 检测镜像中含有敏感信息的文件。 默认不检测的路径如下： /usr/ /lib/ /lib32/ /bin/ /sbin/ /var/lib/ /var/log/ 任意路径/nodemodules/ 任意路径/任意名称.md 任意路径/nodemodules/ 任意路径/test/任意路径 /service/iam/examplestest.go 任意路径/grafana/public/build/任意名称.js 说明 任意路径：指当前路径为自定义值，可以是系统中任意名称的路径。 任意名称：指当前路径的文件名称为自定义值，可以是系统中以.md或.js后缀结束的任意名称。 可在安全报告 > 敏感信息页面，单击“敏感文件过滤路径管理”，设置不需要检测的Linux路径，最多可添加20个路径。 不检测的场景如下： 文件大于20MB。 文件类型为二进制、常用进程和自动生成类型。 软件合规 检测不允许使用的软件和工具。 基础镜像信息 检测未使用基础镜像构建的业务镜像。

云服务 日志描述 日志 日志生命周期范围 Web应用防火墙（Web Application Firewall，WAF） 攻击日志 wafattack 7~30 天 Web应用防火墙（Web Application Firewall，WAF） 访问日志 wafaccess 7~30 天 态势感知（专业版） 合规基线日志 secmasterbaseline 7~10 天 对象存储服务（Object Storage Service，OBS） 访问日志 obsaccess 7~15 天 入侵防御系统（Intrusion Prevention System，IPS） 攻击日志 nipattack 7~180 天 统一身份认证（Identity and Access Management，IAM） 审计日志 iamaudit 7~180 天 企业主机安全（Host Security Service，HSS） 主机安全告警 hssalarm 7~180 天 企业主机安全（Host Security Service，HSS） 主机漏洞扫描结果 hssvul 7 天 企业主机安全（Host Security Service，HSS） 主机安全日志 hsslog 7~15 天 数据安全中心（Data Security Center，DSC） 告警日志 dscalarm 7~180 天 AntiDDoS流量清洗（AntiDDoS） 攻击日志 ddosattack 7~180 天 数据库安全服务（Database Security Service，DBSS） 告警日志 dbssalarm 7~180 天 云审计服务（Cloud Trace Service，CTS） 云审计服务日志 ctsaudit 7~180 天 云防火墙（Cloud Firewall，CFW） 访问控制日志 cfwblock 7~30 天 云防火墙（Cloud Firewall，CFW） 流量日志 cfwflow 7~15 天 云防火墙（Cloud Firewall，CFW） 攻击事件日志 cfwrisk 7~180 天 API网关（API Gateway） 访问日志 apigaccess 7~180 天

本章节主要向您介绍天翼云中区域与可用区的概念。 区域和可用区用来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 区域和可用区用来描述数据中心的位置，您可以在特定的区域、可用区创建资源。下图向您阐明了区域和可用区之间的关系。 如何选择区域？ 建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 如果选择可用区？ 是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。

配置超额采集 当日志超过每月免费赠送的额度（500M）时，超过的部分将按需收费。如果每月免费赠送的额度已经可以满足您的使用需求，超过后希望暂停日志收集，可以在配置中心进行设置。 1. 在云日志服务管理控制台，单击“配置中心”。 2. 选择关闭“超额继续采集日志”。 关闭后表示当日志超过每月免费赠送的额度(500M)时，将暂停采集日志。 说明 1. 该开关默认为开启状态，开启后表示当日志超过免费赠送的额度(500M)时，继续采集日志，超过的部分按需收费。 2. 云日志服务的计费依据为日志使用量，包括日志读写、日志索引和日志存储。超过免费额度后，如果关闭日志采集开关，将无法再进行日志读写和索引，同时也不再产生日志读写和索引费用。关闭日志采集开关后，超额部分的日志继续存储在LTS，LTS收取日志存储费用，系统将根据配置的日志存储时间老化日志，日志老化后将不再产生任何费用。 3. 云日志服务与应用运维管理的日志采集开关为同步状态，即如果您在应用运维管理服务关闭了“超额继续采集日志”开关，则云日志服务的开关也同样关闭。

使用前须知。 微服务引擎（Cloud Service Engine，CSE），是用于微服务应用的云中间件，支持云贡献到Apache社区的注册配置中心Servicecomb引擎、开源增强的注册配置中心Nacos引擎。用户可结合其他云服务，快速构建云原生微服务体系，实现微服务应用的快速开发和高可用运维。 使用条件 已注册账号并登录。 当前登录账号拥有创建微服务引擎的权限。 登录微服务引擎控制台 1. 登录天翼云控制台。 2. 单击，选择区域。 3. 单击左上角，在服务列表选择“微服务引擎CSE”，进入微服务引擎控制台。 说明 当您使用从ServiceStage发放的微服务引擎实例时，如想在CSE中发放新实例，需要对CSE云服务进行授权。 当您没有授予任何权限时，由于CSE使用依赖VPC、DNS云服务，因此需要先创建云服务委托，将操作权限委托给CSE。 授权后，CSE将在统一身份认证服务为您创建名为cseadmintrust的委托，授权成功后，可以进入服务委托列表查看。该操作需要有Security Administrator角色权限，请到“统一身份认证”服务中确认。 如不授权，将影响微服务引擎部分功能的正常使用，包括：创建引擎、升级引擎、开启/关闭安全认证。

对于 Web 应用，在“访问速度”页面中有一些性能指标及区间段耗时；对于小程序应用，在“页面性能”页面中也有一些性能指标，本文将逐一介绍。 Web 性能模型基于 W3C 标准中的 PerformanceNavigationTiming： 关键性能指标 上报字段 描述 计算方式 备注 fmp (First Meaningful Paint) 首屏时间 取 DOM 节点数变化最多的时间点与 fetchStart 间的时长 无 fpt (First Paint Time) 首次渲染时间 responseEnd fetchStart 从请求开始到浏览器开始解析第一批HTML文档字节的时间差。 tti (Time to Interact) 首次可交互时间 domInteractive fetchStart 浏览器完成所有HTML解析并且完成DOM构建，此时浏览器开始加载资源。 ready HTML加载完成时间， 即DOM Ready时间。 domContentLoadEventEnd fetchStart 如果页面有同步执行的JS，则同步JS执行时间ReadyTTI。 load 页面完全加载时间 loadEventStart fetchStart Load首次渲染时间+DOM解析耗时+同步JS执行+资源加载耗时。 firstbyte 首包时间 responseStart domainLookupStart 第一个数据包接受的时间。 区间段耗时指标 上报字段 描述 计算方式 备注 dns DNS查询耗时 domainLookupEnd domainLookupStart 无 tcp TCP连接耗时 connectEnd connectStart 无 ttfb (Time to First Byte) 请求响应耗时 responseStart requestStart 无 trans 内容传输耗时 responseEnd responseStart 无 dom DOM解析耗时 responseEnd responseStart 无 res 资源加载耗时 loadEventStart domContentLoadedEventEnd 表示页面中的同步加载资源。 ssl SSL安全连接耗时 connectEnd secureConnectionStart 只在HTTPS下有效。 小程序关键性能指标 相关指标由 getPerformance 方法返回，取其中的 duration 字段。 上报字段 描述 备注 load 程序启动 appLaunch，包含 程序启动耗时 + JS注入时间 res JS 注入时间 evaluateScript fpt 页面首次渲染 firstRender ready 路由切换 route dom setData 耗时 字段复用，与 Web 指标中的 dom 无关

本节介绍Web应用防火墙（独享版）证书管理类常见问题。 配置泛域名时，如何选择证书？ 域名和证书需要一一对应，泛域名只能使用泛域名证书。如果您没有泛域名证书，只有单域名对应的证书，则只能在WAF中按照单域名的方式逐条添加域名进行防护。 ELB已上传的证书，在Web应用防火墙上需要重新导入上传吗？ 在选择证书时，您可以选择已创建证书或选择导入的新证书。在ELB上已上传的证书，还需要在WAF上导入上传。 如何将非PEM格式的证书转换为PEM格式？ WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请参考表在本地将证书转换为PEM格式，再上传。 证书转换命令 格式类型 转换方式 CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。 PFX 提取私钥命令，以“cert.pfx”转换为“key.pem”为例。 openssl pkcs12 in cert.pfx nocerts out key.pem nodes 提取证书命令，以“cert.pfx”转换为“cert.pem”为例。 openssl pkcs12 in cert.pfx nokeys out cert.pem P7B 1. 证书转换，以“cert.p7b”转换为“cert.cer”为例。 openssl pkcs7 printcerts in cert.p7b out cert.cer 2. 将“cert.cer”证书文件直接重命名为“cert.pem”。 DER 提取私钥命令，以“privatekey.der”转换为“privatekey.pem”为例。 openssl rsa inform DER outform PEM in privatekey.der out privatekey.pem 提取证书命令，以“cert.cer”转换为“cert.pem”为例。 openssl x509 inform der in cert.cer out cert.pem 说明 执行openssl命令前，请确保本地已安装 如果本地为Windows操作系统，请进入“命令提示符”对话框后，再执行证书转换命令。

本文介绍了云防火墙（原生版）产品的应用场景。 外部访问控制 通过云防火墙（原生版）产品，对已开放公网访问的服务资产进行安全盘点，能够自动识别威胁暴露面，可对开放的公网IP一键开启入侵检测与防御，保护公网资产安全。 主动外联管控 对主动外联行为进行分析，评估主机失陷风险状态，并对恶意连接行为进行实时阻断，保护资产安全。 等保合规 云防火墙（原生版）产品能够满足等保2.0二级和三级中针对边界防护、访问控制、入侵防御、安全审计等特定的等保合规检查要求。

本节介绍如何退订WAF云SaaS型实例。 购买云SaaS型实例后，在实例到期被删除前，您可以随时在WAF控制台退订实例。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“云SAAS型”页签。 5. 单击“退订”，进入退订页面。 6. 确认退订信息后，单击“立即退订”。 7. 系统提示退订申请提交成功，可前往订单详情查看退订进度。

本文向您介绍弹性云主机使用时有什么限制 使用弹性云主机有以下限制： 弹性云主机不支持安装虚拟化软件和二次虚拟化。 不支持声卡应用。 不支持直接加载外接硬件设备（如硬件加密狗、U盘、外接硬盘、银行UKey等）。 请勿卸载云主机硬件的驱动程序。 请勿修改网卡的MAC地址。

智能视图服务是天翼云面向视图设备上云场景提供视图接入、视图存储、视图分发及视图分析的一体化产品。依托天翼云遍布全国的资源节点,可实现设备上云全链路的就近接入、就近存储、就近分发及就近分析,通过开放OpenAPI易于被智慧城市、智慧能源、智慧连锁、智慧社区、智慧工地等行业场景应用集成。

智能视图服务是天翼云面向视图设备上云场景提供视图接入、视图存储、视图分发及视图分析的一体化产品。依托天翼云遍布全国的资源节点,可实现设备上云全链路的就近接入、就近存储、就近分发及就近分析,通过开放OpenAPI易于被智慧城市、智慧能源、智慧连锁、智慧社区、智慧工地等行业场景应用集成。

此章节为您介绍数据库审计的安全规则相关功能。 安全规则概述 安全规则库用来保存已发现的不安全SQL语句的特征信息。系统通过将审计到的SQL语句和安全规则进行匹配从而判断SQL语句中是否包含可疑行为。 根据不安全SQL的特征，安全规则分成SQL注入攻击规则、漏洞攻击规则、账号安全规则、数据泄露规则和违规操作规则。 SQL注入攻击是一种将SQL代码插入或添加到应用（用户）的输入参数中的攻击，之后再将这些参数传递给后台的数据库服务器加以解析并执行，SQL注入规则可以有效的发现此类攻击行为并产生告警。 漏洞攻击规则是根据已知的SQL漏洞信息而制定的，漏洞安全规则按照不同的漏洞类型可以分成缓冲区溢出和存储过程滥用。 账号安全规则是针对对数据库服务器进行暴力破解和登录失败场景下的安全规则。 数据泄露规则根据泄露场景分成拖库攻击、数据库外联、大流量返回、非授权访问，系统可以有效地发现这几种泄露场景并及时通知告警。 违规操作规则是针对于应用账号违规操作、运维人员的违规操作、数据库探测和异常语句场景。 系统内置900多条安全规则，覆盖了主流的应用场景，并且在不断地丰富。此外，用户可以自定义安全规则。 规则管理 内置规则不可更改，默认为推荐规则，您可以通过单击界面右上角的“推荐”按钮切换到全部规则。 说明 内置规则包含特征规则及其他非特征规则，特征规则不可进行克隆和删除操作，非特征规则可进行克隆操作。 您可以管理自定义的规则，新增自定义安全规则的操作方法如下： 1.在菜单栏选择“规则配置 > 安全规则”进入“安全规则”页面，选择“规则管理”页签，单击“新增”。 2.在弹出的对话框中填写相关参数，填写完成后单击“保存”即可完成安全规则新增任务。 项目 参数 参数说明 基本信息 名称 设置规则名称，必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符。 基本信息 描述 规则描述。 基本信息 等级 必选项，系统默认等级为中风险。等级可选高风险、中风险和低风险。 基本信息 所属规则组 必选项，可选择自定义的规则组，也可以选择系统默认规则组。可通过以下步骤对自定义规则组进行管理： 单击所属规则组右边的“规则组管理”，可新增、修改和删除自定义规则组。 基本信息 规则类型 当前支持普通规则和统计规则两类。 普通规则：单条审计记录匹配配置的普通规则，会触发普通告警（例如一条select语句，可能会触发一条普通告警）。 统计规则：指定时间内多次匹配配置的统计规则，会触发一条统计告警（例如5分钟内10次select失败，可能会触发一条统计告警）。 基本信息 行为 当前支持告警和告警并阻断。 告警：操作命中规则后，仍正常执行，无特殊控制。 告警并阻断：操作命中规则后，该操作对应的数据库连接断开。 客户端 客户端来源 访问业务类型的客户端IP或IP组。可填写多个，以逗号“,”分隔。 客户端 客户端工具 可配多个客户端工具，使用逗号“,”分隔，例如：db2bp.exe,java.exe。 客户端 客户端端口 可配置多个值或区间，多个值间以逗号“,”分隔，例如：1015,20,25,3040。 客户端 客户端MAC地址 可填多个值，多个值间以逗号“,”分隔。 客户端 操作系统用户 可以选择字符串或者正则表达式，字符串可填多值，多个值间以逗号“,”分隔。 客户端 主机名 可以选择字符串或者正则表达式，字符串可填多值，多个值间以逗号“,”分隔。 客户端 应用IP 指定规则所匹配的应用IP或IP组，对应审计日志中的关联IP，可填多值，多个值间以逗号“,”分隔。 客户端 应用用户名 指定规则所匹配的应用用户或用户组，对应审计日志中的关联账号，可填多值，多个值间以逗号“,”分隔。 服务端 服务端IP 可填多个值，多个值间以逗号“,”分隔。 服务端 服务端端口 可配置多个值或区间，多个值间以逗号“,”分隔，例如：1015,20,25,3040。 服务端 数据库账号 指定规则所匹配的数据库登录用户账号或账号组或者使用正则表达式，可填多值，多个值之间以“,”分隔。 服务端 服务端MAC地址 可填多个值，多个值间以逗号“,”分隔。 服务端 数据库名(SID) 可以选择字符串或者正则表达式，Oracle数据库请输入SID，其他数据库输入数据库名，字符串可填多值，多个值间以逗号“,”分隔。 行为 对象 指定规则匹配的对象组。 行为 操作类型 指定SQL语句的操作类型，例如：select、update、delete等。 行为 SQL模板ID 可填项，可填多值，多个值间以逗号“,”分隔。 行为 SQL关键字 SQL关键字：支持以正则表达式匹配报文。 单击“正则验证”输入报文内容，单击“校验”，验证输入内容与执行结果关键字中的正则表达式是否匹配；单击“增加条件”可添加多个条件。 条件运算逻辑表达式：SQL关键字填写后，此项为必填项。条件间的关系，支持与、或、非、括号运算(&：与；：或；~：非)，条件使用序号表示，即“1”表示条件1，例如：1&2，则代表有2个SQL关键字条件且两个关键字都要满足才能告警。 行为 SQL长度 指定SQL语句的长度，取值范围：1B~64KB。 行为 关联表数 SQL操作涉及表的个数大于等于此值时触发本规则，允许输入最大值为255。 行为 WHERE字句 是否包含WHERE，支持三个选项： 不判断 有WHERE子句 没有WHERE子句 默认为不判断。WHERE子句用于提取满足指定条件的SQL记录，语法如下： SELECT columnname,columnname FROM tablename WHERE columnname operator value; 结果 执行时长 （选填）单位：秒、毫秒、微秒，取值范围：0到半个小时，SQL执行时长属于此范围，则触发规则。 结果 影响行数 取值范围：0~999,999,999。SQL操作返回的记录数或受影响的行数属于此范围，则触发规则。 结果 返回结果集 支持以正则表达式匹配结果集。 单击“正则验证”输入报文内容，单击“校验”，验证输入内容与执行结果关键字中的正则表达式是否匹配；单击“增加条件”可添加多个条件。 条件运算逻辑表达式：SQL关键字填写后，此项为必填项。条件间的关系，支持与、或、非、括号运算(&：与；：或；~：非)，条件使用序号表示，即“1”表示条件1，例如：1&2，则代表有2个SQL关键字条件且两个关键字都要满足才能告警。 结果 执行状态 可选三类执行状态： 全部 成功 失败 默认为全部。 结果 执行结果描述 支持以正则表达式方式匹配。 其他 生效时间 可自定义或者选择时间组。 其他 每日最大告警数 取值范围：0~99,999，输入0表示没有限制。 其他 结果集存储策略 设置触发该规则的告警日志的返回结果集存储策略，包含使用资产设置、保存和不保存。

类型 说明 HTTP/HTTPS请求 通过在ELB监听器开启XForwardedFor，业务应用可以通过XForwardedFor头部提取到源地址，从而获得客户端真实IP。 TCP请求 通过在后端主机配置TOA插件获取客户端的真实源IP地址。TOA是操作系统的内核模块，需要在ELB后端主机中安装TOA插件，以实现后端主机可获取客户端真实源IP地址的目的。

此小节介绍数据库安全部署架构。 审计分析场景 数据库安全审计采用数据库旁路部署方式，支持对管理控制台上的RDS、ECS/BMS自建的数据库进行审计。 数据库安全审计部署架构如图所示： 数据库安全审计的Agent部署说明如下： ECS/BMS自建数据库：在数据库端部署Agent。 RDS关系型数据库：在应用端或代理端部署Agent。

原因分析 应用端大并发触发select count(0)慢操作，导致系统CPU资源耗尽。 解决方案 步骤 1 申请kill权限，间歇性批量执行kill select count(0)慢操作，定位select count(0)触发来源，停止来源，并拆分优化sql。 批量kill动作： 步骤 2 CPU idle恢复:

本文为您介绍密钥管理服务的开通流程。 密钥管理服务（KMS）包周期版提供基础版、企业版两个规格，本章为您介绍如何购买KMS服务。 前提条件 已经注册天翼云账号并完成实名认证。 规格限制 基础版提供软件保护等级服务，支持客户构建专属的密钥库，具备高度可扩展性；同时提供极简的密码运算接口能力，满足应用的安全快速集成。 企业版提供硬件保护等级服务，底层对接使用经国家密码管理局认证的密码机硬件，提供更高安全与合规等级保证的资源管理及密码运算服务，满足监管机构的检测认证要求。 基础版、企业版单基础实例计算性能（应用接入点）默认为2000QPS。 基础版、企业版单基础实例最多可创建2000个密钥、1000个证书。 操作步骤 1. 进入天翼云门户并登录，在产品导航栏，定位到“安全与管理”分类，找到密钥管理，点击进入。 2. 进入密钥管理产品详情页，单击“立即开通”。 3. 进入到密钥管理服务订购页面，选择云服务区、服务版本、实例数量、扩展资源数量，设置订购时长，确认参数配置后，阅读《天翼云密钥管理服务协议》，并勾选“我已阅读并同意《天翼云密钥管理服务协议》”，点击“立即购买”。 4. 进入订单详情 页面，确认支付金额，点击 立即支付 。 5. 完成订单支付，可在订单详情页查看订单状态，状态更新为“已完成”后代表服务已开通。 6. 服务开通后，您可进入密钥管理服务控制台创建资源。

本章节介绍ZooKeeper常用的技术应用场景以及优势 ZooKeeper 常用的技术应用场景如下所述。 场景一：分布式协调 分布式锁 ：在分布式环境中，程序都在独立的节点上，分布式锁是控制分布式系统之间同步访问共享资源的一种方式，分布式锁主要有如下2种类型： 独占锁：主要实现原理是利用ZooKeeper在一个具体路径下每个进程创建一个有序的临时节点，每个进程会判断自己的节点是否序号最小的节点，如果是则获得锁，如果不是则创建一个监听等待前一个序号小的临时节点释放锁。 共享锁：共享锁可以支持多个进程同时获取这把锁进行读操作，但是如果某个进程要获取写操作的权限，那么在写操作之前是没有读操作的数据，并且该进程是第一个获取到写操作类型锁的。 分布式队列 ：队列功能可以利用ZooKeeper的有序节点，实现先进先出（First Input First Output，简称FIFO）的分布式队列，即先进入队列的先被消费，后加入队列的后被消费。在创建znode时开启sequence 和 ephemeral模式，则被创建的节点结尾是一个递增的值，且不会重复。 场景二：配置中心 运用ZooKeeper的存储模式，实现配置信息的集中管理和数据的动态更新，保证了配置数据的一致性和实时性。

优缺点 Cubecni容器网络优点如下： 同个VPC内，集群外部网络资源可与容器IP互通； 没有解封包和节点路由消耗，容器网络性能优于隧道网络； SLB可直通容器后端，无需经节点NodePort转发，性能更优； 容器访问VPC网络资源，其源IP是容器IP，无需经过节点SNAT，减少节点netfilter连接跟踪表消耗，性能更优且便于审计。 Cubecni容器网络缺点如下： Pod直接使用VPC的IP地址，数量受限于VPC子网的可用IP数，需提前规划。 应用场景 Cubecni容器网络适用如下场景： 适用于需pod能与VPC集群外网络资源互通的场景，如部分业务部署在云主机部分部署在容器的复杂系统，可能需要打通云主机网络和容器网络； 适用于对网络带宽和时延要求高的业务场景，例如游戏、直播类应用； 高性能计算场景，IPVLAN等使用的CPU资源少于隧道网络，为业务本身留出更多计算资源。 容器IP地址段分配 订购使用Cubecni容器网络插件的集群，需为Cubecni选择一个VPC子网。该子网用于为容器提供IP地址，其空闲IP数直接决定可创建pod数上限。建议选择一个大子网给集群使用，如下所示，创建一个掩码为18位的子网，其可用IP为16382个，可为16382个pod分配IP地址： 订购时选择大子网作为pod子网：

云资源审计 弹性云主机已接入天翼云云审计供您免费使用，为您提供统一的云资源配置历史追踪、配置合规审计，帮助您支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 云审计可检测当前天翼云账号和所有 IAM 用户的操作记录，可记录通过天翼云控制台、OpenAPI访问和使用云上产品和服务的日志数据。具体支持的云服务审计事件，请参见++支持审计的云产品及关键操作列表++。 云审计默认为您记录最近7天的事件。如需保存更长时间的日志，则需要创建跟踪，将产生的时间记录到日志审计（原生版）或对象存储ZOS。详细操作，请参见云审计++配置事件追踪器++ 当您将事件投递到日志审计（原生版）或对象存储ZOS后，可以通过日志审计（原生版）或对象存储ZOS查询或分析事件。 流日志和流量镜像作用 流量镜像（Traffic Mirror）功能可以将网络流量从某一云服务器的网卡镜像到其他指定的云服务器的网卡上，以便于应用到内容检查、监控分析、问题排查等场景。流量镜像主要是镜像并筛选出符合条件的流量，因此它可以在不影响网络性能的情况下，捕获和记录网络流量，帮助管理员诊断网络故障、检测网络攻击等。更多信息，请参见++流量镜像概述++ 。

优缺点 Cubecni容器网络优点如下： 同个VPC内，集群外部网络资源可与容器IP互通； 没有解封包和节点路由消耗，容器网络性能优于隧道网络； SLB可直通容器后端，无需经节点NodePort转发，性能更优； 容器访问VPC网络资源，其源IP是容器IP，无需经过节点SNAT，减少节点netfilter连接跟踪表消耗，性能更优且便于审计。 Cubecni容器网络缺点如下： Pod直接使用VPC的IP地址，数量受限于VPC子网的可用IP数，需提前规划。 应用场景 Cubecni容器网络适用如下场景： 适用于需pod能与VPC集群外网络资源互通的场景，如部分业务部署在云主机部分部署在容器的复杂系统，可能需要打通云主机网络和容器网络； 适用于对网络带宽和时延要求高的业务场景，例如游戏、直播类应用； 高性能计算场景，IPVLAN等使用的CPU资源少于隧道网络，为业务本身留出更多计算资源。 容器IP地址段分配 订购使用Cubecni容器网络插件的集群，需为Cubecni选择一个VPC子网。该子网用于为容器提供IP地址，其空闲IP数直接决定可创建pod数上限。建议选择一个大子网给集群使用，如下所示，创建一个掩码为18位的子网，其可用IP为16382个，可为16382个pod分配IP地址： 订购时选择大子网作为pod子网：

本节介绍了什么是区域、可用区、如何选择区域、如何选择可用区、区域和终端节点等内容。 什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。 图 区域与可用区 如何选择区域？ 建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 如何选择可用区？ 是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。 区域和终端节点 当您通过API使用资源时，您必须指定其区域终端节点。请向企业管理员获取区域和终端节点信息。

修改Windows弹性云主机的分辨率 操作场景 远程登录Windows弹性云主机后，修改分辨率设置。 处理方法1：VNC方式登录 不同版本的Windows操作系统，操作略有差异，本节以Windows Server 2016 标准版 64bit为例，介绍如何修改Windows弹性云主机的分辨率。 1. 通过VNC方式登录弹性云主机。 2. 右键单击桌面，选择“显示设置”。 图 显示设置 3. 在“设置”界面，选择“显示”页签，单击“高级显示设置”。 说明 如果远程桌面不显示全屏，可调整“更改文本应用项目的大小”，将缩放比例改为100%，则远程桌面显示正常。 图 设置 4. 在“分辨率”栏的下拉列表中，修改弹性云主机的分辨率。 图 设置分辨率 5. 单击“应用”。 处理方法2：MSTSC方式登录 如果您通过MSTSC方式登录弹性云主机，那么，需在远程桌面连接前，设置Windows弹性云主机的分辨率大小。 1. 在您的用户本地计算机（即客户机）上，单击“开始”菜单。 2. 在“搜索程序和文件”中，输入“mstsc”。 3. 在“远程桌面连接”窗口，单击左下角的“选项”。 图 远程桌面连接 4. 选择“显示”页签，在“显示配置”中设置分辨率大小。 图 显示 5. 分辨率设置完成后，使用MSTSC方式连接弹性云主机。

本节主要介绍网络ACL的组成、功能特性、应用场景和使用限制。 网络ACL作为对子网可选的安全防护功能，基于网络ACL的规则对子网的出入方向数据流进行控制，实现子网粒度流量的精细化访问控制管理。网络ACL按需创建，其具有VPC属性，网络ACL只可关联其所属VPC下的子网，且每个子网只可关联一个网络ACL。通常可以将具有相同访问控制的多个子网关联到一个网络ACL。 网络ACL可以结合安全组一起使用实现对子网下的虚拟机的双重防护。 网络ACL的访问控制通过ACL规则实现，可以在网络ACL中按需添加ACL规则实现访问控制。 功能特性 网络ACL未配置策略规则时，出入方向均默认为允许，若需拒绝则需要添加对应的拒绝策略规则。 网络ACL是无状态的，即设置入方向规则的允许请求后，需要同时设置相应的出方向规则，否则可能会导致请求无法响应。 子网可以按需关联到网络ACL，一个子网只能关联一个网络ACL，具有相同访问控制属性的多个子网可以关联到一个网络ACL。 默认放通同一子网内的流量。 网络ACL策略规则的优先级高于安全组的策略规则。 注意 网络ACL已从原来的有状态变更为无状态，对新关联的子网生效。建议出入方向配置相同的策略，同时允许或拒绝。 应用场景 对子网的出入流量做访问控制，可以通过网络ACL实现。

本节介绍内容审核产品快速入门的操作步骤。 步骤一：鉴权及调用API 以图片鉴黄为例，更多详情请查看认证鉴权。 1. 选择合适自己的开发工具，在这里用Python为例，点击Python3调用示例，选择复制全部代码； 2. 粘贴刚复制的代码块，接下来替换URL、AccessKey和SecurityKey、AppKey、入参类型； 3. 当状态码为200，则表示调用成功，下方显示成功数量、失败数量、审核结果等信息。 步骤二：查看调用次数 打开控制台，总览页面可以查看到到已开通能力、能力调用排行榜以及平均响应时间等内容，更多操作台详情请查看用户控制台。 已开通能力：已经加入到应用并已开通成功的能力，包含商用购买、公测产品。 能力调用排行榜：规定时间内，已调用的原子能力按照调用次数进行排序。 能力异常分布情况：规定时间内，原子能力异常分布的圆形统计图。 平均响应时间：选取应用分组原子能力后在规定时间内，查看其平均响应时间。 能力调用省份分布：规定时间内，按照省份分布，鼠标悬浮可显示次数。

托管检测与响应服务（原生版）服务类FAQ，涵盖常见服务问题答疑。 什么是应急响应？ 应急响应（Incident Response/Emergency Response）通常是指一个组织为了应对各种意外事件的发生所做的准备工作以及在突发事件发生时或者发生后所采取的措施。计算机网络应急响应的对象是指计算机或网络所存储、传输、处理的信息的安全事件，事件的主体可能来自自然界、系统自身故障（这里的系统包括主机范畴内的问题，也包括网络范畴内的问题）、组织内部或外部的人、计算机病毒或蠕虫等。 应急处置的定义是什么？ 启动应急响应计划后，应立即采取相关措施抑制信息安全事件影响，避免造成更大损失。在确定有效控制了信息安全事件影响后，开始实施恢复操作。恢复阶段的行动集中于建立临时业务处理能力、修复原系统的损害、在原系统或新设施中恢复运行业务能力等应急措施（信息安全应急响应计划规范GB/T 243632009）。 什么是渗透测试？ 渗透测试是一种对抗性和定制化要求都非常高的一类安全测试，安全工程师在书面授权后尽可能完整地模拟黑客可能使用的漏洞发现技术与攻击技术（与黑客攻击相比其结果是可预知性的），对目标网络、主机、数据库与应用系统的安全性做深入的探测，发现系统薄弱环节的过程。能够直观的让管理人员知道当前网络、主机、数据库与应用系统存在的安全弱点以及可能造成的影响，以便采取必要的防范措施。

标准库 概念 标准库存放内部管理数据，对应用是透明无感的，应用无需知道标准库的存在。 作用 存放库表结构，分库上的表结构以标准库的为准。 管理命令与库表结构相关的都发送到标准库执行。 对于可以随机发送到任意分片执行的SQL语句，统一发送到标准库执行，如：获取服务器时间 select now()。 在标准库中创建全局序列最大值备份表，用于备份全局序列当前的最大值。 全局序列 序列 序列，即SEQUENCE，是序列号生成器，可以为表中的行自动生成序列号，产生一组等间隔的数值(类型为数字)。其主要的用途是生成表的主键值，可以在插入语句中引用，也可以通过查询检查当前值，或使序列增至下一个值。 全局序列 全局序列用来生成全局唯一ID（类型数字），可用于代替单机的AUTOINCREMENT、主键、唯一键。在分布式数据库场景下，一个逻辑库对应了多个物理数据库分片，逻辑库表的主键要求在所有物理库分片上都唯一，这样用数据库本身的机制生成序列号就无法满足业务的需求了，为此分布式数据库实现了全局唯一的序列号生成器，简称全局序列。 全局序列的使用与oralce的sequence使用类似，先创建好sequence，再通过select xxx.nextval 获取序列值。 注意 为保证序列获取的效率，节点会缓存一段序列，这样在一个集群中存在多个节点的情况下不能保证序列是严格递增的。