此小节介绍企业主机安全资产管理。 HSS提供资产管理功能，主动检测主机中的开放端口、系统运行中的进程、主机中的Web目录和自启动项，并对账号信息和软件信息的变动情况进行记录。 通过资产管理，您能集中清点主机中的各项资产信息，及时发现主机中含有风险的各项资产。 资产管理仅提供风险检测功能，若发现有可疑资产信息，请手动处理。 检测周期 账号信息管理、开放端口检测：实时检测。开放端口检测结果每6小时刷新一次统计数据。 进程信息管理、Web目录管理、软件信息管理、自启动：每日凌晨自动进行一次检测。 查看主机中的资产信息 1、登录管理控制台。 2、在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。 3、进入“资产管理”页面，选择不同页签，查看HSS检测到的您服务器上的所有资产。 进入资产管理页面 账号信息管理 历史变动状态说明： 变动状态：新建（新建了账号）、删除（删除了账号）、修改（修改了账号名、管理员权限或用户组等信息）。 发生变动时间：由于为周期收集，变动记录的时间是获取到改动的时间，非真实发生的时间。 根据实时账号数据和历史变动记录，您可以统一管理所有主机中的账号信息。若发现系统中有不必要的多余账号，或者发现有超级权限的账号（拥有root权限），需要排查这些账号是否是正常业务使用，如果不是则建议删除多余账号或者修改账号的权限，避免账号被黑客利用。

附：windows日志事件ID列表 事件ID 对应事件 35 更改时间源 36 时间同步失败 37 时间同步正常 41 表示系统在未先正常关机的情况下重新启动。当出现意外断电关机、系统崩溃时出现此事件ID。 134 当出现时间同步源DNS解析失败时会出现此事件ID。 512 Windows启动事件 513 Windows关机事件 515 受信任的登录过程已经在本地安全机构注册 516 审核失败事件 517 清除安全事件日志事件 518 安全帐户管理器已加载通知数据包 519 进程正在使用无效的本地过程调用(LPC)端口试图伪装客户端并向客户端地址空间答复读取或写入 520 更改系统时间事件 521 无法记录事件 528 登录成功事件 529 登录失败事件用户名未知或密码错误 530 登录失败事件时间限制 531 登录失败事件帐户当前已禁用 532 登录失败事件指定用户帐户已过期 533 登录失败事件不允许用户由此计算机登录 534 登录失败事件不允许该登录类型 535 登录失败事件指定帐户的密码已过期 536 登录失败事件NetLogon组件未激活 537 登录失败由于其他原因登录尝试失败 538 用户注销事件 539 登录失败试图登录时该帐户已锁定 540 登录成功事件 553 检测到重放攻击事件 560 准许对现有对象的访问 560 拒绝对现有对象的访问事件 562 指向对象的句柄已关闭 563 试图打开一个对象并打算将其删除 564 受保护对象已删除 565 访问权限已授予现有的对象类型 566 发生了一般对象操作 567 与使用的句柄关联的权限 568 尝试创建已审核文件的硬链接事件 574 对象权限被修改 576 对新登录指派特殊特权 592 创建新进程事件 592 创建新流程事件 600 对进程指派了主令牌事件 601 用户尝试安装服务事件 602 创建计划的作业事件 608 指派了用户帐户特权 609 移除了用户帐户特权 610 创建删除或修改了与另一域的信任关系 611 创建删除或修改了与另一域的信任关系 612 更改审核策略事件 613 更改IPsec策略事件 614 更改IPsec策略事件 615 更改IPsec策略事件 620 创建删除或修改了与另一域的信任关系 621 对帐户授予了系统访问权 622 从系统移除了系统访问权 623 更改审核策略事件 624 创建用户帐户事件 625 按用户刷新审核策略 626 启用了用户帐户 627 更改密码尝试事件 628 用户帐户密码设置或重置事件 630 删除用户帐户事件 631 启用了安全性的全局组更改事件 632 启用了安全性的全局组更改事件 633 启用了安全性的全局组更改事件 634 启用了安全性的全局组更改事件 635 启用了安全性的全局组更改事件 636 启用了安全性的全局组更改事件 637 启用了安全性的全局组更改事件 638 启用了安全性的全局组更改事件 639 启用了安全性的组更改事件 641 启用了安全性的组更改事件 642 更改用户帐户事件 643 更改域安全策略事件 644 帐户锁定尝试事件 644 用户帐户自动锁定事件 645 帐号及安全组策略更改事件 659 启用了安全性的通用组更改事件 660 启用了安全性的通用组更改事件 661 启用了安全性的通用组更改事件 662 启用了安全性的通用组更改事件 666 帐号及安全组策略更改事件 668 启用了安全性的组更改事件 672 已成功颁发和验证身份验证服务(AS)票证 675 预验证失败事件 680 帐户登录事件 681 登录失败尝试进行域帐户登录事件 682 用户已重新连接至已断开的终端服务器会话 683 用户未注销就断开终端服务器会话 685 更改用户帐户名称事件 698 更改目录服务还原模式密码事件 1074 查看计算机的开机、关机、重启的时间以及原因和注释。 1100 事件记录服务已关闭 1101 审计事件已被运输中断。 1102 审核日志已清除 1102 日志清除 1104 安全日志现已满 1105 事件日志自动备份 1108 事件日志记录服务遇到错误 4199 当发生TCP/IP地址冲突的时候出现此事件ID，用来排查用户IP网络的问题。 4608 Windows正在启动 4608 Windows启动事件 4609 Windows正在关闭 4609 Windows关机事件 4610 本地安全机构已加载身份验证包 4611 已向本地安全机构注册了受信任的登录进程 4611 受信任的登录过程已经在本地安全机构注册 4612 为审计消息排队分配的内部资源已经用尽，导致一些审计丢失。 4612 审核失败事件 4613 清除安全事件日志事件 4614 安全帐户管理器已加载通知包。 4614 安全帐户管理器已加载通知数据包 4615 LPC端口使用无效 4615 进程正在使用无效的本地过程调用(LPC)端口试图伪装客户端并向客户端地址空间答复读取或写入 4616 系统时间已更改。 4616 更改系统时间事件 4617 无法记录事件 4618 已发生受监视的安全事件模式 4621 管理员从CrashOnAuditFail恢复了系统 4622 本地安全机构已加载安全包。 4624 帐户已成功登录 4624 登录成功事件 4625 帐户无法登录 4625 登录失败事件用户名未知或密码错误 4626 用户/设备声明信息 4626 登录失败事件时间限制 4627 集团会员信息。 4628 登录失败事件指定用户帐户已过期 4629 登录失败事件不允许用户由此计算机登录 4630 登录失败事件不允许该登录类型 4631 登录失败事件指定帐户的密码已过期 4632 登录失败事件NetLogon组件未激活 4633 登录失败由于其他原因登录尝试失败 4634 帐户已注销 4634 用户注销事件 4635 登录失败试图登录时该帐户已锁定 4636 登录成功事件 4646 IKE DoS防护模式已启动 4647 用户启动了注销 4648 使用显式凭据尝试登录 4649 检测到重播 4649 检测到重放攻击事件 4650 建立了IPsec主模式安全关联 4651 建立了IPsec主模式安全关联 4652 IPsec主模式协商失败 4653 IPsec主模式协商失败 4654 IPsec快速模式协商失败 4655 IPsec主模式安全关联已结束 4656 请求了对象的句柄 4656 准许对现有对象的访问 4656 拒绝对现有对象的访问事件 4657 注册表值已修改 4658 对象的句柄已关闭 4658 指向对象的句柄已关闭 4659 请求删除对象的句柄 4659 试图打开一个对象并打算将其删除 4660 对象已删除 4660 受保护对象已删除 4661 请求了对象的句柄 4661 访问权限已授予现有的对象类型 4662 对对象执行了操作 4662 发生了一般对象操作 4663 尝试访问对象 4663 与使用的句柄关联的权限 4664 试图创建一个硬链接 4664 尝试创建已审核文件的硬链接事件 4665 尝试创建应用程序客户端上下文。 4666 应用程序尝试了一个操作 4667 应用程序客户端上下文已删除 4668 应用程序已初始化 4670 对象的权限已更改 4670 对象权限被修改 4671 应用程序试图通过TBS访问被阻止的序号 4672 分配给新登录的特权 4672 对新登录指派特殊特权 4673 特权服务被召唤 4674 尝试对特权对象执行操作 4675 SID被过滤掉了 4688 已经创建了一个新流程 4688 创建新进程事件 4688 创建新流程事件 4689 一个过程已经退出 4690 尝试复制对象的句柄 4691 请求间接访问对象 4692 尝试备份数据保护主密钥 4693 尝试恢复数据保护主密钥 4694 试图保护可审计的受保护数据 4695 尝试不受保护的可审计受保护数据 4696 主要令牌已分配给进程 4696 对进程指派了主令牌事件 4697 系统中安装了一项服务 4697 用户尝试安装服务事件 4698 已创建计划任务 4698 创建计划的作业事件 4699 计划任务已删除 4700 已启用计划任务 4701 计划任务已禁用 4702 计划任务已更新 4703 令牌权已经调整 4704 已分配用户权限 4704 指派了用户帐户特权 4705 用户权限已被删除 4705 移除了用户帐户特权 4706 为域创建了新的信任 4706 创建删除或修改了与另一域的信任关系 4707 已删除对域的信任 4707 创建删除或修改了与另一域的信任关系 4708 更改审核策略事件 4709 IPsec服务已启动 4709 更改IPsec策略事件 4710 IPsec服务已禁用 4710 更改IPsec策略事件 4711 PAStore引擎（1％） 4711 更改IPsec策略事件 4712 IPsec服务遇到了潜在的严重故障 4713 Kerberos策略已更改 4714 加密数据恢复策略已更改 4715 对象的审核策略（SACL）已更改 4716 可信域信息已被修改 4716 创建删除或修改了与另一域的信任关系 4717 系统安全访问权限已授予帐户 4717 对帐户授予了系统访问权 4718 系统安全访问已从帐户中删除 4718 从系统移除了系统访问权 4719 系统审核策略已更改 4719 更改审核策略事件 4720 已创建用户帐户 4720 创建用户帐户事件 4721 按用户刷新审核策略 4722 用户帐户已启用 4722 启用了用户帐户 4723 尝试更改帐户的密码 4723 更改密码尝试事件 4724 尝试重置帐户密码 4724 用户帐户密码设置或重置事件 4725 用户帐户已被禁用 4725 帐户当前已禁用 4726 用户帐户已删除 4726 删除用户帐户事件 4727 已创建启用安全性的全局组 4727 启用了安全性的全局组更改事件 4728 已将成员添加到启用安全性的全局组中 4728 启用了安全性的全局组更改事件 4729 成员已从启用安全性的全局组中删除 4729 启用了安全性的全局组更改事件 4730 已删除启用安全性的全局组 4730 启用了安全性的全局组更改事件 4731 已创建启用安全性的本地组 4731 启用了安全性的全局组更改事件 4732 已将成员添加到启用安全性的本地组 4732 启用了安全性的全局组更改事件 4733 成员已从启用安全性的本地组中删除 4733 启用了安全性的全局组更改事件 4734 已删除已启用安全性的本地组 4734 启用了安全性的全局组更改事件 4735 已启用安全性的本地组已更改 4735 启用了安全性的组更改事件 4737 启用安全性的全局组已更改 4737 启用了安全性的组更改事件 4738 用户帐户已更改 4738 更改用户帐户事件 4739 域策略已更改 4739 更改域安全策略事件 4740 用户帐户已被锁定 4740 帐户锁定尝试事件 4740 用户帐户自动锁定事件 4741 已创建计算机帐户 4741 帐号及安全组策略更改事件 4742 计算机帐户已更改 4743 计算机帐户已删除 4744 已创建禁用安全性的本地组 4745 已禁用安全性的本地组已更改 4746 已将成员添加到已禁用安全性的本地组 4747 已从安全性已禁用的本地组中删除成员 4748 已删除安全性已禁用的本地组 4749 已创建一个禁用安全性的全局组 4750 已禁用安全性的全局组已更改 4751 已将成员添加到已禁用安全性的全局组中 4752 成员已从禁用安全性的全局组中删除 4753 已删除安全性已禁用的全局组 4754 已创建启用安全性的通用组 4755 启用安全性的通用组已更改 4755 启用了安全性的通用组更改事件 4756 已将成员添加到启用安全性的通用组中 4756 启用了安全性的通用组更改事件 4757 成员已从启用安全性的通用组中删除 4757 启用了安全性的通用组更改事件 4758 已删除启用安全性的通用组 4758 启用了安全性的通用组更改事件 4759 创建了一个安全禁用的通用组 4760 安全性已禁用的通用组已更改 4761 已将成员添加到已禁用安全性的通用组中 4762 成员已从禁用安全性的通用组中删除 4762 帐号及安全组策略更改事件 4763 已删除安全性已禁用的通用组 4764 组类型已更改 4764 启用了安全性的组更改事件 4765 SID历史记录已添加到帐户中 4766 尝试将SID历史记录添加到帐户失败 4767 用户帐户已解锁 4768 请求了Kerberos身份验证票证（TGT） 4768 已成功颁发和验证身份验证服务(AS)票证 4769 请求了Kerberos服务票证 4770 更新了Kerberos服务票证 4771 Kerberos预身份验证失败 4771 预验证失败事件 4772 Kerberos身份验证票证请求失败 4773 Kerberos服务票证请求失败 4774 已映射帐户以进行登录 4775 无法映射帐户以进行登录 4776 域控制器尝试验证帐户的凭据 4776 帐户登录事件 4777 域控制器无法验证帐户的凭据 4777 登录失败尝试进行域帐户登录事件 4778 会话重新连接到Window Station 4778 用户已重新连接至已断开的终端服务器会话 4779 会话已与Window Station断开连接 4779 用户未注销就断开终端服务器会话 4780 ACL是在作为管理员组成员的帐户上设置的 4781 帐户名称已更改 4781 更改用户帐户名称事件 4782 密码哈希帐户被访问 4783 创建了一个基本应用程序组 4784 基本应用程序组已更改 4785 成员已添加到基本应用程序组 4786 成员已从基本应用程序组中删除 4787 非成员已添加到基本应用程序组 4788 从基本应用程序组中删除了非成员。 4789 基本应用程序组已删除 4790 已创建LDAP查询组 4791 基本应用程序组已更改 4792 LDAP查询组已删除 4793 密码策略检查API已被调用 4794 尝试设置目录服务还原模式管理员密码 4794 更改目录服务还原模式密码事件 4797 试图查询帐户是否存在空白密码 4798 枚举了用户的本地组成员身份。 4799 已枚举启用安全性的本地组成员身份 4800 工作站已锁定 4801 工作站已解锁 4802 屏幕保护程序被调用 4803 屏幕保护程序被解雇了 4816 RPC在解密传入消息时检测到完整性违规 4817 对象的审核设置已更改。 4818 建议的中央访问策略不授予与当前中央访问策略相同的访问权限 4819 计算机上的中央访问策略已更改 4820 Kerberos票证授予票证（TGT）被拒绝，因为该设备不符合访问控制限制 4821 Kerberos服务票证被拒绝，因为用户，设备或两者都不符合访问控制限制 4822 NTLM身份验证失败，因为该帐户是受保护用户组的成员 4823 NTLM身份验证失败，因为需要访问控制限制 4824 使用DES或RC4进行Kerberos预身份验证失败，因为该帐户是受保护用户组的成员 4825 用户被拒绝访问远程桌面。默认情况下，仅当用户是Remote Desktop Users组或Administrators组的成员时才允许用户进行连接 4826 加载引导配置数据 4830 SID历史记录已从帐户中删除 4864 检测到名称空间冲突 4865 添加了受信任的林信息条目 4866 已删除受信任的林信息条目 4867 已修改受信任的林信息条目 4868 证书管理器拒绝了挂起的证书请求 4869 证书服务收到重新提交的证书请求 4870 证书服务撤销了证书 4871 证书服务收到发布证书吊销列表（CRL）的请求 4872 证书服务发布证书吊销列表（CRL） 4873 证书申请延期已更改 4874 一个或多个证书请求属性已更改。 4875 证书服务收到关闭请求 4876 证书服务备份已启动 4877 证书服务备份已完成 4878 证书服务还原已开始 4879 证书服务恢复已完成 4880 证书服务已启动 4881 证书服务已停止 4882 证书服务的安全权限已更改 4883 证书服务检索到存档密钥 4884 证书服务将证书导入其数据库 4885 证书服务的审核筛选器已更改 4886 证书服务收到证书请求 4887 证书服务批准了证书请求并颁发了证书 4888 证书服务拒绝了证书请求 4889 证书服务将证书请求的状态设置为挂起 4890 证书服务的证书管理器设置已更改。 4891 证书服务中的配置条目已更改 4892 证书服务的属性已更改 4893 证书服务存档密钥 4894 证书服务导入并存档了一个密钥 4895 证书服务将CA证书发布到Active Directory域服务 4896 已从证书数据库中删除一行或多行 4897 启用角色分离 4898 证书服务加载了一个模板 4899 证书服务模板已更新 4900 证书服务模板安全性已更新 4902 已创建每用户审核策略表 4904 尝试注册安全事件源 4905 尝试取消注册安全事件源 4906 CrashOnAuditFail值已更改 4907 对象的审核设置已更改 4908 特殊组登录表已修改 4909 TBS的本地策略设置已更改 4910 TBS的组策略设置已更改 4911 对象的资源属性已更改 4912 每用户审核策略已更改 4913 对象的中央访问策略已更改 4928 建立了Active Directory副本源命名上下文 4929 已删除Active Directory副本源命名上下文 4930 已修改Active Directory副本源命名上下文 4931 已修改Active Directory副本目标命名上下文 4932 已开始同步Active Directory命名上下文的副本 4933 Active Directory命名上下文的副本的同步已结束 4934 已复制Active Directory对象的属性 4935 复制失败开始 4936 复制失败结束 4937 从副本中删除了一个延迟对象 4944 Windows防火墙启动时，以下策略处于活动状态 4945 Windows防火墙启动时列出了规则 4946 已对Windows防火墙例外列表进行了更改。增加了一条规则 4947 已对Windows防火墙例外列表进行了更改。规则被修改了 4948 已对Windows防火墙例外列表进行了更改。规则已删除 4949 Windows防火墙设置已恢复为默认值 4950 Windows防火墙设置已更改 4951 规则已被忽略，因为Windows防火墙无法识别其主要版本号 4952 已忽略规则的某些部分，因为Windows防火墙无法识别其次要版本号 4953 Windows防火墙已忽略规则，因为它无法解析规则 4954 Windows防火墙组策略设置已更改。已应用新设置 4956 Windows防火墙已更改活动配置文件 4957 Windows防火墙未应用以下规则 4958 Windows防火墙未应用以下规则，因为该规则引用了此计算机上未配置的项目 4960 IPsec丢弃了未通过完整性检查的入站数据包 4961 IPsec丢弃了重放检查失败的入站数据包 4962 IPsec丢弃了重放检查失败的入站数据包 4963 IPsec丢弃了应该受到保护的入站明文数据包 4964 特殊组已分配给新登录 4965 IPsec从远程计算机收到一个包含不正确的安全参数索引（SPI）的数据包。 4976 在主模式协商期间，IPsec收到无效的协商数据包。 4977 在快速模式协商期间，IPsec收到无效的协商数据包。 4978 在扩展模式协商期间，IPsec收到无效的协商数据包。 4979 建立了IPsec主模式和扩展模式安全关联。 4980 建立了IPsec主模式和扩展模式安全关联 4981 建立了IPsec主模式和扩展模式安全关联 4982 建立了IPsec主模式和扩展模式安全关联 4983 IPsec扩展模式协商失败 4984 IPsec扩展模式协商失败 4985 交易状态已发生变化 5024 Windows防火墙服务已成功启动 5025 Windows防火墙服务已停止 5027 Windows防火墙服务无法从本地存储中检索安全策略 5028 Windows防火墙服务无法解析新的安全策略。 5029 Windows防火墙服务无法初始化驱动程序 5030 Windows防火墙服务无法启动 5031 Windows防火墙服务阻止应用程序接受网络上的传入连接。 5032 Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 5033 Windows防火墙驱动程序已成功启动 5034 Windows防火墙驱动程序已停止 5035 Windows防火墙驱动程序无法启动 5037 Windows防火墙驱动程序检测到严重的运行时错 终止 5038 代码完整性确定文件的图像哈希无效 5039 注册表项已虚拟化。 5040 已对IPsec设置进行了更改。添加了身份验证集。 5041 已对IPsec设置进行了更改。身份验证集已修改 5042 已对IPsec设置进行了更改。身份验证集已删除 5043 已对IPsec设置进行了更改。添加了连接安全规则 5044 已对IPsec设置进行了更改。连接安全规则已修改 5045 已对IPsec设置进行了更改。连接安全规则已删除 5046 已对IPsec设置进行了更改。添加了加密集 5047 已对IPsec设置进行了更改。加密集已被修改 5048 已对IPsec设置进行了更改。加密集已删除 5049 IPsec安全关联已删除 5050 尝试使用对INetFwProfile.FirewallEnabled的调用以编程方式禁用Windows防火墙（FALSE 5051 文件已虚拟化 5056 进行了密码自检 5057 加密原语操作失败 5058 密钥文件操作 5059 密钥迁移操作 5060 验证操作失败 5061 加密操作 5062 进行了内核模式加密自检 5063 尝试了加密提供程序操作 5064 尝试了加密上下文操作 5065 尝试了加密上下文修改 5066 尝试了加密功能操作 5067 尝试了加密功能修改 5068 尝试了加密函数提供程序操作 5069 尝试了加密函数属性操作 5070 尝试了加密函数属性操作 5071 Microsoft密钥分发服务拒绝密钥访问 5120 OCSP响应程序服务已启动 5121 OCSP响应程序服务已停止 5122 OCSP响应程序服务中的配置条目已更改 5123 OCSP响应程序服务中的配置条目已更改 5124 在OCSP Responder Service上更新了安全设置 5125 请求已提交给OCSP Responder Service 5126 签名证书由OCSP Responder Service自动更新 5127 OCSP吊销提供商成功更新了吊销信息 5136 目录服务对象已修改 5137 已创建目录服务对象 5138 目录服务对象已取消删除 5139 已移动目录服务对象 5140 访问了网络共享对象 5141 目录服务对象已删除 5142 添加了网络共享对象。 5143 网络共享对象已被修改

本小节介绍数据库安全产品咨询类常见问题。 什么是数据库安全审计？ 数据库安全审计提供旁路模式数据库安全审计功能，通过实时记录用户访问数据库行为，形成细粒度的审计报告，对风险行为和攻击行为进行实时告警。同时，数据库安全审计可以生成满足数据安全标准（例如SarbanesOxley）的合规报告，对数据库的内部违规和不正当操作进行定位追责，保障数据资产安全。 数据库安全审计和RDS SQL审计有什么区别？ DBSS审计和RDS SQL审计存在功能和范围上的差异，如表所示。 审计 功能 范围 RDS SQL审计 只记录SQL访问操作。 应用于使用RDS数据库场景。 DBSS审计 审计所有的数据库风险操作。在记录SQL访问的基础上进行安全检测、统计分析、风险识别、生成报表等功能，保障云上数据库的安全。 应用于所有数据库场景，包括用户自建数据库。 数据库安全服务支持哪些性能规格？ 数据库安全审计支持基础版、专业版和高级版三种服务版本。您可以根据业务需求选择相应的服务版本。 数据库安全审计各版本的性能规格说明如表所示。 版本 支持的数据库实例 系统资源要求 性能参数 基础版 最多支持3个数据库实例 CPU：4U 内存：16GB 硬盘：500GB 吞吐量峰值：3,000条/秒 入库速率：360万条/小时 4亿条在线SQ语句存储 50亿条归档SQ语句存储 专业版 最多支持6个数据库实例 CPU：8U 内存：32GB 硬盘：1T 吞吐量峰值：6,000条/秒 入库速率：720万条/小时 6亿条在线SQ语句存储 100亿条归档SQ语句存储 高级版 最多支持30个数据库实例 CPU：16U 内存：64GB 硬盘：2T 吞吐量峰值：30,000条/秒 入库速率：1080万条/小时 15亿条在线SQ语句存储 600亿条归档SQ语句存储

本章节主要介绍如何使用Linux gsql客户端连接集群。 用户在创建好数据仓库集群，开始使用集群数据库之前，需要使用数据库SQL客户端连接到数据库。DWS提供了与集群版本配套的Linux gsql命令行客户端工具，您可以使用Linux gsql客户端通过集群的公网地址或者内网地址访问集群。 它的运行环境是Linux操作系统，在使用Linux gsql客户端远程连接DWS集群之前，需要准备一个Linux主机用于安装和运行Linux gsql客户端。如果通过公网地址访问集群，也可以将Linux gsql客户端安装在用户自己的Linux主机上，但是该Linux主机必须具有公网地址。若DWS集群没有配置公网IP，为方便起见，推荐您创建一台Linux弹性云主机（简称ECS）。 （可选）准备ECS作为gsql客户端主机 创建弹性云主机的操作步骤，请参见《弹性云主机用户指南》中的“快速入门 > 创建弹性云主机”章节。 创建的弹性云主机需要满足如下要求： 弹性云主机需要与DWS 集群具有相同的区域、可用区。 如果使用DWS 提供的gsql命令行客户端连接DWS 集群，弹性云主机的镜像必须满足如下要求： 镜像的操作系统必须是gsql客户端所支持的下列Linux操作系统： −“Redhat x8664”客户端工具支持在以下系统中使用： RHEL 6.4~7.6 CentOS 6.4~7.4 EulerOS 2.3 −“SUSE x8664”客户端工具支持在以下系统中使用： SLES 11.1~11.4 SLES 12.0~12.3 如果客户端通过内网地址访问集群，请确保创建的弹性云主机与DWS 集群在同一虚拟私有云里。 虚拟私有云相关操作请参见《虚拟私有云用户指南》中“虚拟私有云和子网”。 如果客户端通过公网地址访问集群，请确保创建的弹性云主机和DWS 集群都要有弹性IP。 创建弹性云主机时，参数“弹性IP”需设置为“自动分配”或“使用已有”。 弹性云主机对应的安全组规则需要确保能与DWS 集群提供服务的端口网络互通。 安全组相关操作请参见《虚拟私有云用户指南》中“安全组”章节。 请确认弹性云主机的安全组中存在符合如下要求的规则，如果不存在，请在弹性云主机的安全组中添加相应的规则： −方向：出方向 −协议：必须包含TCP，例如TCP、全部。 −端口：需要包含DWS 集群提供服务的数据库端口，例如，设置为“165535”或者具体的DWS 数据库端口。 −目的地址：设置的IP地址需要包含所要连接的DWS集群的地址，例如，设置为“0.0.0.0/0”或者具体的DWS 集群的连接地址。 DWS 集群的安全组规则需要确保DWS 能接受来自客户端的网络访问。 请确认DWS 集群的安全组中存在符合如下要求的规则，如果不存在，请在DWS 集群的安全组中添加相应的规则。 −方向：入方向 −协议：必须包含TCP，例如TCP、全部。 −端口：设置为DWS 集群提供服务的数据库端口，例如“8000”。 −源地址：设置的IP地址需要包含DWS 客户端主机的IP地址，例如“192.168.0.10/32”。

本章节主要介绍安全认证原理和认证机制。 功能 开启了 Kerberos认证的安全模式集群，进行应用开发时需要进行安全认证。 Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”，后来沿用作为安全认证的概念，使用Kerberos的系统在设计上采用“客户端/服务器”结构与AES等加密技术，并且能够进行相互认证（即客户端和服务器端均可对对方进行身份认证）。可以用于防止窃听、防止replay攻击、保护数据完整性等场合，是一种应用对称密钥体制进行密钥管理的系统。 原理 Kerberos的原理架构和各模块的说明如下图所示： 原理架构 模块说明 App Client：应用客户端，通常是需要提交任务（或者作业）的应用程序。 App Server：应用服务端，通常是应用客户端需要访问的应用程序。 Key Distribution Center（KDC）：提供安全认证的服务。 Database：存储Principal数据。 Authentication Server（AS）：认证服务器，认证客户端身份，发放客户访问TGS的票据授权票据（TGT）。 Ticket Granting Server（TGS）：票据授予服务器，发放应用客户端访问应用服务端所需的服务票据（ST）。 步骤原理说明 应用客户端（App Client）可以是集群内某个服务，也可以是客户二次开发的一个应用程序，应用程序可以向应用服务提交任务或者作业。 1. ASREQ：App Client在提交任务或者作业前，需要向AS申请TGT，用于建立和TGS的安全会话。 2. ASREP：AS在收到TGT请求后，会解析其中的参数来生成对应的TGT，使用App Client指定的用户名的密钥进行加密响应消息。 3. TGSREQ：App Client收到TGT响应消息后，解析获取TGT，此时，再由App Client（通常是RPC底层）向TGS获取应用服务端的ST。 4. TGSREP：TGS在收到ST请求后，校验其中的TGT合法后，生成对应的App Server的ST，再使用App Server密钥将响应消息进行加密处理。 5. APREQ：App Client收到ST响应消息后，将ST打包到发给App Server的消息里面传输给对应的App Server。 6. APREP：App Server端收到请求后，使用App Server对应的密钥解析其中的ST，并校验成功后，本次请求合法通过。 说明 1. Kerberos认证时需要配置Kerberos认证所需要的文件参数，主要包含keytab路径，Kerberos认证的principal，Kerberos认证所需要的客户端配置krb5.conf文件。 2. 方法login()为调用的UserGroupInformation的方法执行Kerberos认证，生成TGT票据。 3. 方法doSth()调用hadoop的接口访问文件系统，此时底层RPC会自动携带TGT去Kerberos认证，生成ST票据。

本文向您介绍标签设计原则和命名示例。 标签设计的原则 企业上云后，云上创建的资源不断增加，有些大型企业资源数量达到十万级别，一个账号内存在大量资源，企业需要进行分类管理。单纯通过人工进行资源的分类，效率低下，操作困难，此时需要借助云上的自动化平台化能力来解决。 推荐您使用标签对资源进行标记，进而实现资源的分组分类。通过标签对资源的业务归属、财务归属等资源属性进行标记，例如：按所属部门、地域或项目等。 命名标准化 命名标准化原则是指标签采用标准化命名原则，并基于标签的自动化能力，帮助云平台进行高效的资源管理。 例如： 标签命名使用英文时，建议使用统一大小写的英文字母，避免大小写混杂。 标签命名使用中文时，建议尽量简洁，且键/值长度均不超过6个字符（中文字符在数据库中占位较长，避免超过上限）。 语义一致简洁 同一类资源的分类建议使用同一个标签来标识。例如：如已使用标签键purpose来标识资源的用途分类，则避免再使用use、用途等相同语义的标签。 标签键值含义明确清晰，避免使用一个标签键值代表两类含义。 事先制定标签规范 规划创建资源时，需要同步规划标签，并优先规划标签键。规划标签时，需先将对应的标签键/标签值预先定义完成。分类所有资源对象时都必须绑定已规划的标签键及其对应的标签值。

本节介绍了RabbitMQ 接入方式。 安全接入点 RabbitMQ 安全接入点支持 "PLAIN"、"AMQPLAIN" 授权机制。 1、访问控制 RabbitMQ "PLAIN"、"AMQPLAIN"授权机制需要创建用户，从而获得对应虚拟主机的访问权限。 2、接入步骤 （1）新建用户（集群管理>用户>新建用户） （2）运行demo 客户端关键参数设置 "PLAIN"、"AMQPLAIN" 授权机制的客户端关键参数配置 String host "192.168.0.0"; //安全接入点ip Integer port 5672; //安全接入点port String username "xxx"; //集群管理用户列表的用户名 String password "xxx"; String vhost "/"; ConnectionFactory connectionFactory new ConnectionFactory(); connectionFactory.setHost(host); connectionFactory.setPort(port); connectionFactory.setUsername(username); connectionFactory.setPassword(password); connectionFactory.setVirtualHost(vhost); SSL接入点 RabbitMQ 安全接入点支持 "EXTERNAL" 授权机制 1、访问控制 无 2、接入步骤 （1）下载SSL证书（实例概览>导出服务>下载SSL文件） （2）运行demo 客户端关键参数设置 "EXTERNAL" 授权机制的客户端关键参数配置 java String host "192.168.0.0"; //SSL接入点ip int port 5671; //SSL接入点port //以下2个ssl文件可通过控制台获取安装包, 具体的获取方式可以查看2.2.1接入步骤的第二小节 String ksFile "D:tmpsslclientrabbitmqkey.p12"; String tksFile "D:tmpssltruststore"; String vhost "/"; char[] keyPassphrase "W3zT98Zz9Io".toCharArray(); KeyStore ks KeyStore.getInstance("PKCS12"); ks.load(new FileInputStream(ksFile), keyPassphrase); KeyManagerFactory kmf KeyManagerFactory.getInstance("SunX509"); kmf.init(ks, keyPassphrase); char[] trustPassphrase null; trustPassphrase "W3zT98Zz9Io".toCharArray(); KeyStore tks KeyStore.getInstance("JKS"); tks.load(new FileInputStream(tksFile), trustPassphrase); TrustManagerFactory tmf TrustManagerFactory.getInstance("SunX509"); tmf.init(tks); SSLContext c SSLContext.getInstance("tlsv1.2"); c.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null); ConnectionFactory connectionFactory new ConnectionFactory(); connectionFactory.setHost(host); connectionFactory.setPort(port); connectionFactory.setVirtualHost(vhost); connectionFactory.setSaslConfig(DefaultSaslConfig.EXTERNAL); connectionFactory.useSslProtocol(c);

接入WAF对现有业务和服务器运行有影响吗？ 接入WAF不需要中断现有业务，不会影响源站服务器的运行状态，即不需要对源站服务站进行任何操作（例如关机或重启）。 仅放行通过WAF的访问请求，如何配置？ 您可以在源站服务器上配置只放行WAF回源IP的访问控制策略，即仅允许通过WAF的请求访问到源站，防止黑客获取源站IP后绕过WAF直接攻击源站，以确保源站安全、稳定、可用。 为什么Cookie中有HWWAFSESID或HWWAFSESTIME字段？ 防护域名/IP接入WAF后，WAF会在客户请求Cookie中插入HWWAFSESID，HWWAFSESTIME等字段，这些字段服务于WAF统计和安全特性，不影响用户业务。 网站部署了反向代理服务器，如何配置WAF？ 如果网站部署了反向代理服务器，网站接入WAF后不会影响反向代理服务器。接入WAF后，WAF作为一个反向代理部署在客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。 使用WAF是否影响内网向外发送数据？ 使用WAF不会影响内网机器向外发送数据。网站成功接入WAF后，WAF对网站的HTTP(S)请求进行检测，网站所有访问请求将先流转到WAF，WAF检测过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 源站IP地址服务器更换安全组后，在WAF中需要做更改吗？ 添加到WAF的域名/IP的源站IP地址服务器更换安全组后，在WAF中不需要做任何操作，但是需要在源站放行WAF的回源IP或者实例IP。

弹性云主机(ECS)是一种可随时获取、弹性可扩展的计算服务。云主机由 CPU、内存、镜像、云硬盘组成,同时结合VPC、安全组、数据多副本保存等能力,打造一个既高效又可靠安全的计算环境,确保服务持久稳定运行。

本页介绍天翼云TeleDB数据库网络监控相关操作。 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树上，选择监控中心 > 网络监控 ，进入监控列表页面。 > 您可以在任务列表中，查看任务名称、任务启停等信息。 > 支持选择时间区间，以展示对应网络监控信息。 3. 新建网络监控 在任务列表上方，单击新建网络监控 。在对话框中，设置监控任务名称、源主机IP、目的主机IP等信息。 4. 查看网络监控详情 在任务监控列表中，找到目标任务，单击操作 列的详情 。您可以查看该任务的详细信息。 5. 查看网络监控指标 在任务监控列表中，找到目标任务，单击操作 列的监控指标 。您可以查看目标任务的监控图表集合，支持通过选择时间查询时间段内的监控图表。

本页介绍天翼云TeleDB数据库如何设置告警策略。 操作步骤 1. 以用户名和密码登录TeleDBDCP数据库管理平台，在左侧导航树单击告警中心 > 告警设置 ，进入告警设置页面。 2. 新建告警策略 1. 在告警设置页面，选择告警策略 页签，单击新建策略，进入新建告警策略对话框。 2. 在新建告警策略对话框，根据以下内容填写基本信息，单击确定完成告警策略设置。 告警对象选择实例TELEDBX，并选择对应实例。 沉默周期：指告警发生后如果未恢复正常，间隔多久重复发送一次告警通知。 告警级别：紧急、告警、普通。 告警模板可选择已有模板和手动创建两种方式进行构造。 3. 编辑告警策略 1. 当关闭 已有告警策略的告警启停时。 您可单击编辑，修改告警策略。 您可单击删除，删除该告警策略。 您可勾选多条告警策略，批量删除该告警策略。 您可单击查看详情，查看告警策略具体信息。 2. 当打开 已有告警策略的告警启停时，只支持单击查看详情，查看告警策略具体信息。

本节描述了GeminiDB Redis的电商行业、游戏行业、视频直播、在线教育的应用场景。 GeminiDB Redis作为兼容Redis接口的keyvalue数据库，扩展了社区版原生Redis的应用场景，使其不再仅仅运用于缓存，而是可以更好的满足持久化，混合存储等多样化的业务需求。 电商行业 电商应用的商品数据具有较为明显的冷热特征，使用GeminiDB Redis后，热门商品信息作为热数据驻留在内存中，冷门商品信息会置换到共享存储池中，这样既满足了热门商品的快速访问需求，又解决了海量商品数据纯内存存储成本高的问题。 电商应用的海量历史订单数据，可使用GeminiDB Redis进行持久化存储。通过Redis接口完成数据存取，可支持TB级海量数据存储。 电商大促活动会导致短时间出现大量并发访问，可选择GeminiDB Redis作为前端缓存（需要配置大内存），帮助后端数据库抗过业务高峰。GeminiDB Redis可针对计算节点一键式秒级无损扩容的特点，也可以帮助客户更加从容的应对此类计划性的流量突发行为。 游戏行业 游戏业务数据Schema较为简单，可选择GeminiDB Redis作为持久化数据库，通过使用简洁的Redis接口快速完成业务开发上线。例如，可使用Redis的有序集合结构完成游戏排行榜的实时展现。 对于时延非常敏感的游戏场景，也可以使用GeminiDB Redis作为前端缓存（需要配置大内存），加速应用访问。

背景信息 本文介绍如何在智算容器引擎加载DeepSeekR1 蒸馏模型。 前提条件 已开通包含GPU节点的Kubernetes集群。 已安装智算套件。 添加GPU节点 点击左侧【节点】>【节点池】，点击【创建节点池】。若集群已有GPU资源，请忽略。 在规格中可选择【x86计算】或【弹性裸金属服务器】中的【GPU计算加速型】或【GPU型】，节点池创建成功后，进入节点池列表，扩容节点至期望的节点数量。 操作步骤 进入云容器引擎控制台。 点击左侧【集群】进入集群列表。 点击使用的集群名称，进入集群。 点击左侧【工作负载】>【自定义资源】，选择资源浏览器，找到apps/v1/Deployment，选择命名空间，点击新增。 在创建yaml中，填入以下GPU模板信息后点击【创建】。 注意 1. 修改对应的镜像仓库地址前缀为对应资源池，可在容器镜像控制台查看，如武汉41，则修改{imagerepo}为registryvpccrswuhan41.cnspinternal.ctyun.cn。 2. namespace: 要和界面选择的一致。 3. 已经支持的资源池有华北2，武汉41，杭州7。 GPU模板 xml apiVersion: apps/v1 kind: Deployment metadata: name: deepseek spec: replicas: 1 selector: matchLabels: app: deepseek template: metadata: labels: app: deepseek spec: containers: name: deepseek image: {imagerepo}/opensource/openwebuideepseekr1:7b

计费说明 订购流量包之前需要先订购按需流量计费方式，流量包的优先级高于按需流量，即优先抵扣流量包用量，超出流量包抵扣额度的用量，会自动转按需流量计费，即会产生后付费账单。若希望一直采用流量包的计费模式，需及时根据所需服务、业务量，购买适合业务额度的流量包。 购买流量包前，如已订购相关产品的按需套餐，需确保按需套餐的计费方式为【流量】。如果计费方式为【带宽】，已购的流量包会被冻结，域名如果有在使用加速服务，则实际是按带宽峰值计费的方式扣款，并没有使用到流量包的用量。直至按需计费方式切回至【流量】并生效后，流量包方可继续使用。 如有采购大额流量包的诉求，可通过提交工单或拨打4008109889热线电话联系客服进行咨询，申请优惠券。优惠券仅适用于流量包套餐，每一个订购单仅可使用一张优惠券，按需计费套餐不可使用。 视频直播默认只计费下行播放费用。但当上行推流费用和下行播放费用的比例大于1:50时，则同时会收取上行推流费用，单价与下行播放费用一致。

天翼云物理机服务器如何保证数据安全？ 天翼云物理机服务器具备物理机级的性能和隔离性，用户独占计算资源，并且无任何虚拟化开销。存储在高性能高可靠的服务器上的数据，自然也会很安全。 带有本地磁盘的物理机服务器，支持本地磁盘组RAID，磁盘数据冗余存储，提升容错能力，确保数据安全。 无本地磁盘的天翼云物理机服务器，支持从云硬盘启动（即系统盘为云硬盘，且称之为快速发放物理机服务器）。云服务器备份可以对物理机服务器提供备份保护，支持基于多块云硬盘一致性快照技术的备份服务，并支持利用备份数据恢复服务器数据，最大限度保障用户数据的安全性和正确性，确保业务安全。

错误编码 错误原因 错误类型 解决方案 0x0001 应用资源格式异常 服务端异常 请重新启动零信任客户端并登录。 0x0002 应用资源返回异常 服务端异常 请重新启动零信任客户端并登录。 0x0003 控制中心的隧道资源格式异常 服务端异常 请重新启动零信任客户端并登录。 0x0004 控制中心的隧道资源返回异常 服务端异常 请重新启动零信任客户端并登录。 0x0005 认证中心返回异常 服务端异常 请重新启动零信任客户端并登录。 0x0006 登录中心返回异常 服务端异常 请重新启动零信任客户端并登录。 0x0007 MAC的本地DNS端口冲突，比如5953是否被占用等 软件冲突 运行的软件可能与零信任客户端冲突，请关闭软件后再次启动零信任客户端。 0x0008 MAC的本地dns为空 网络或DNS异常 尝试切换网络后重新登录，若仍未恢复，请检查设备的DNS配置。 0x0009 Windows调用底层流量劫持失败 客户端异常 请重新启动零信任客户端并登录。 0x0010 Windows启动隧道异常 客户端异常 请重新启动零信任客户端并登录。 0x0011 Windows获取边缘节点地址异常 网络或DNS异常 请检查或尝试切换网络。若仍未恢复，请检查设备的DNS配置。 0x0012 windows创建网络适配器异常 客户端异常 请重新启动零信任客户端并登录。 0x0013 windows开启网卡驱动日志异常 客户端异常 请重新启动零信任客户端并登录。 0x0014 启动配置解析认证中心域名异常 客户端异常 如果使用了配置文件，请检查配置项格式是否正确，如果未使用，请重新安装零信任客户端并重新登录。 0x0016 秘钥创建异常 客户端异常 请重新安装零信任客户端，并重新登录。 0x0017 私钥创建异常 客户端异常 请重新安装零信任客户端，并重新登录。 0x0018 公钥创建异常 客户端异常 请重新安装零信任客户端，并重新登录。 0x0019 MAC进程异常重启 客户端异常 请尝试重新登录。 0x0020 认证中心返回的隧道节点为空 服务端异常 请重新启动零信任客户端并登录。 0x0021 Windows网卡配置加载失败 客户端异常 请重新启动零信任客户端并登录。 0x0022 Windows网卡启动失败，未找到vpn网卡 客户端异常 请重新启动零信任客户端并登录。 0x0026 sdk认证返回异常 客户端异常 请重新启动零信任客户端并登录。 0x0027 认证请求不合法 客户端异常 请重新启动零信任客户端并登录。 0x0031 没有可用节点 服务端异常 请重新启动零信任客户端并登录。 0x0043 隧道watchdog 配置网卡超时 客户端异常 请重新启动零信任客户端并登录。 0x0033 错误的节点索引 客户端异常 请重新启动零信任客户端并登录。 0x0036 未配置连接器，隧道创建失败 服务端异常 请先上控制台配置对应连接器。 0x0037 认证中心通告，未匹配上报的节点 服务端异常 网络异常，请检查DNS设置，关闭其他VPN代理软件再重新登录。若未解决，可用诊断工具检测。

本实践介绍通过IAM增强用户安全性的常见方法。 应用场景 通过配置子用户相关设置，实现访问控制管理，提升账号和数据安全。 前提条件 已开通对象存储（经典版）Ⅰ型服务。 具体方法 创建独立的IAM子用户 一个账户可以建立多个子用户，您可以通过IAM为不同的操作人员创建独立的IAM子用户。根据操作人员的职能范围，授予相应的管理权限。同时建议您也为根用户创建子用户，并授予该子用户管理权限，使用该用户进行日常管理工作，保护账户安全。 控制台登录用户与编程用户分离 建议通过控制台登录用户与编程用户分离，以便更好的分配权限： 控制台登录用户：通过控制台登录的用户，只需设置控制台登录密码。 编程用户：通过API访问的用户，只需创建访问密钥。 分组进行授权 账户有多个用户时，通过用户组将用户进行分类，同类权限的用户分到一组。通过为用户组授权，使组内用户获取用户组具有的权限。 授予最小权限 建议您为IAM用户授予最小权限，您可以使用IAM用户制定策略，给IAM用户仅授予完成工作所需的权限，通过授予最小权限，可以帮您安全的控制IAM用户对OOS的管理。 为IAM用户配置强密码策略 通过IAM可以为控制台登录的用户设置强密码策略。例如密码最小长度、密码中必须包含元素、密码不与历史密码相同、强制定期更换密码等，确保用户使用复杂度高的强密码。 开启MFA认证 为IAM用户开启多因子认证（Multifactor authentication，MFA），提高账号的安全性，在用户名和密码之外再增加一层安全保护。

选择入侵防御页签，可对终端设置暴力破解行为、扫描行为检测。 防暴力破解是指对系统登录行为进行一定的限制，防止账号被爆破。 配置防暴力破解 功能 ：通过AI哨兵引擎提供的多种异常检测算法，根据真实的业务数据对暴力破解行为进行AI大模型上下文分析、跨终端关联分析。支持SSHFTPRDPSMBMSSQLWINRM多种类型。 使用场景：适用于需要自定义修改配置策略模板防暴力破解场景。 1. 选择防暴力破解页签。 2. 点击防暴力破解图标，置于开启状态（开启AI哨兵模式、开启普通模式），即可开启防暴力破解。 配置效果验证 1. 在防暴力破解策略中自定义配置并下发策略至客户端。 2. 对终端的系统账户进行登录操作，并且多次使用错误的口令尝试。 3. 在管理平台日志查看日志。 1. 当登录失败次达到设置阀值后锁定该IP地址。 2. 用户可以查看并解除已临时锁定的IP清单。 3. 生成防爆力破解日志。

介绍分布式消息服务Kafka用户列表功能操作内容。 场景描述 Kafka用户管理的场景描述如下： 访问控制：Kafka用户管理可以用于实现访问控制，限制对Kafka集群和主题的访问权限。通过创建不同的用户和角色，并为其分配合适的权限，可以确保只有经过授权的用户能够访问和操作Kafka集群。 安全认证：Kafka用户管理可以用于实现安全认证，确保只有合法用户能够登录和使用Kafka集群。通过设置用户名和密码，以及使用TLS/SSL证书等安全机制，可以保护Kafka集群免受未经授权的访问和攻击。 操作步骤 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“用户管理”后即可查看所有的用户信息。 （5）右上角输入用户名称，可查询对应用户。

本节介绍基线检查列表的参数信息。 1. 登录容器安全卫士产品控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在安全合规页面单击“基线名称”，进入基线详情页面。 4. 筛选检查项：支持按照“集群”、“检查项名称”、“类型”、“启用状态”进行筛选查询。 “集群”筛选通过左上角“集群”下拉列表选择，支持选择全部集群或单个集群，集群改变时，检查通过率、检查未通过、检查通过数量和详情会随之更新。 5. 基线合规信息参数说明。 参数 说明 检查项名称 基线检查项的名称。 基线检查项类别 基线检查项类别随着基线类型的不同而不同。 检查对象类型 类型指的是基线检查项检测对象的类型，分为容器、镜像和节点。 来源 基线检查项的来源。 检测通过率 该基线检测项在相应对象类型（容器或镜像或节点）中的检查通过率，通过用绿色线条表示，不通过用红色线条表示。 检查未通过 未通过该基线检测项的容器（或镜像、或节点）数量。 检查通过 通过该基线检测项的容器（或镜像、或节点）数量。 启用状态 是否启用该基线检查项。

本节为您介绍迁移管理相关问题。 迁移管理工具列表有哪些？ 服务器迁移服务（CMSSMS）、 数据库迁移服务（CMSDMS）、数据迁移工具（CMSZMS）。 迁移管理工具是否区分同构与异构迁移工具？ 区分。 云迁移服务提供工具中心管理功能，您可以在工具管理中心选择对应工具通过相应概述作为工具结构区分，也可以直接帮助中心查看对应相关引导。 迁移管理工具兼容性如何？ 云迁移管理工具，具备高效、稳定、易用等特点；支持阿里云、腾讯云、华为云多家云厂商，拥有迁移一体化平台、生命周期可视化界面表达。 云迁移各工具是否具备使用说明书？ 具备。 云迁移服务平台提供工具管理中心功能，你可以根据迁移工具概述选择，您也可以在云迁移服务工具中心中选择对应工具的帮助中心查阅信息。 调度管理中心调度任务能否支持显示调度状态？ 支持。 进入迁移中心调度管理页面详情中，调度任务列表可以显示调度状态信息。 创建调度任务需要几步操作？ 基本信息填写包括（调度名称、调度时间、重复规则、调度规则、问题错误处理）； 调度规则选项（继续任务、暂停任务、带宽限制、CPU限制、停止增量、开始核查、引导修复、取消何查） 错误处理（继续并发资源调度、中止并发资源调度） 资源选取，在列表中选择对应资源信息； 资源确认； 调度任务如何查看是否成功？ 查看调度任务具体步骤： 1. 左菜单栏进入调度管理； 2. 进入调度页，选择创建调度计划任务； 3. 查看计划任务调度状态； 4. 查看错误处理报告； 5. 点击操作栏中“日志”可以进入查看；

本文为您介绍短信服务的限制说明。 短信发送频率限制 在实际业务场景中，例如App或网站登录时，可能会有用户频繁进行获取短信验证码或者通过短信通知找回密码的操作，为了限制平台短信被恶意调用、在短时间内大量发起短信发送请求，天翼云默认对短信发送行为进行以下流控限制。 限制项 限制说明 备注 ::: 短信 使用同一个签名，默认情况下对同一个手机号码发送短信，2条/分钟，5条/小时，10条/天。 您可以在控制台消息配置 > 发送频率限制中修改发送频率。一个手机号码通过天翼云短信服务平台最多收到50条/天。 若在发送验证码时提示业务限流，建议认证为企业用户，根据以上业务调整接口调用时间。 注意： 所有发送的短信都需要提交审核，审核通过后方可进行短信发送，单击短信签名规范和短信模板规范查看具体审核标准。 天的计算方式为自然天。 短信封禁规则 短信服务会针对用户发送的短信模版和短信签名进行审核，同时配合系统监控，防范在短信内容中出现违反国家法律法规要求的相关内容。 发现违反规则的短信内容，会对相关用户进行账号冻结，并视情况扣罚用户保证金或追究其责任。 账号冻结后，该用户无法继续使用短信服务，如该账号中包含短信服务的资源包、优惠券等，也无法继续使用。且账号冻结后，后续不可申请开通使用。

本文为您介绍密钥管理服务的产品优势。 密钥管理服务（KMS）与传统的密钥管理设施相比具有安全合规、弹性高效、广泛集成以及稳定可用等优势。 安全合规 通过国家密码管理局安全性审查，符合国家密码行业标准（GM/T）相关技术规范要求，获得由国家密码管理局商用密码检测中心颁发的《商用密码产品认证证书》。 采用由国家密码管理局批准的硬件密码设备，通过更高安全的保护机制确保密钥的保密性、完整性和可用性。 集中托管 支持自动化开通，按需扩容，弹性灵活。 提供密码基础设施的完全托管，可轻松创建密钥等资源，并通过极简API/SDK实现应用的快速集成。 广泛集成 与云硬盘、对象存储、弹性文件、数据库等天翼云产品无缝集成，实现云上资源原生数据的加密保护。 云产品服务端加密功能可一键开启，加密过程透明无感知，用户体验极好。 稳定可靠 采用分布式部署，在每个资源池构建了冗余的密码计算能力，有效保证服务可靠性。 支持VPC内应用通过私密的连接通道访问KMS服务，保证数据安全性的同时，大幅度提高了访问效率，减少延时。

本章节内容主要介绍弹性IP连接DDS实例 最佳实践概述 场景描述 文档数据库实例创建成功后，支持用户绑定弹性公网IP，通过公共网络访问数据库实例，绑定后也可根据需要解绑。 本文档以DDS副本集实例和Windows操作系统为例，说明如何在控制台绑定弹性IP，设置安全组，以及通过Robo 3T工具在本地环境连接DDS实例。具体操作步骤如下： 注意事项 在进行本文操作之前，您需要完成以下准备工作： 在访问数据库前，您需要在虚拟私有云申请一个弹性公网IP，并将访问数据库的IP地址，或者IP段加安全组入方向的访问规则，操作请参见：步骤2设置安全组。 集群实例仅支持mongos节点绑定弹性公网IP。对于已绑定弹性公网IP的节点，需解绑后，才可重新绑定其他弹性公网IP。 方案正文 本文档以DDS副本集实例和Windows操作系统为例，说明如何在控制台绑定弹性IP，设置安全组，以及通过Robo 3T工具在本地环境连接DDS实例。具体操作步骤如下： 步骤1：绑定弹性IP 1.登录管理控制台。 2.在文档数据库服务“实例管理”页面，选择目标实例，单击实例名称，进入实例“基本信息”页面。 图1 实例管理 3.在实例“基本信息”页面的“节点信息”模块，选择角色为Primary的节点，单击“绑定弹性IP”。 图2 节点信息 4.在弹出框中，选择一个已购买的弹性IP，单击“确定”。 图3 绑定弹性IP 界面右上方提示命令已下发成功。 图4 命令下发成功 5.绑定成功后，可在“节点信息”模块查看绑定结果。 图5 绑定成功 步骤2 设置安全组 1.在“网络信息”模块，查看实例的数据库端口。 图6 网络信息 2.在“网络信息”模块，单击安全组名称，进入安全组页面。 3.在安全组页面，单击安全组名称。 4.选择“入方向规则”页签，单击“添加规则”，在弹出窗口中，添加端口为数据库端口的入方向规则。 图7 添加入方向规则 步骤3 连接DDS实例 1.打开Robo 3T下载地址： Robo 3T”。 图8 下载页面 2.在弹出框中，下载“robo3t1.4.4windowsx8664e6ac9ec5.exe”。 图9 下载工具 3.双击“robo3t1.4.4windowsx8664e6ac9ec5.exe”文件，开始执行安装。 4.安装完成后，打开工具，在连接信息页面，单击“Create”。 图10 连接信息 5.在弹出的“Connection Settings”窗口，设置新建连接的参数。 a.在“Connection”页签，“Name”填写新建连接的名称，“Address”填写DDS实例绑定的弹性IP和实例的数据库端口。 图11 Connection b.在“Authentication”页签，“Database”填写admin，“User Name”填写rwuser，“Password”填写您创建DDS实例时设置的管理员密码。 图12 Authentication c.设置完成后，单击“Save”。 6. 单击“Connect”，开始连接DDS实例。 图13 连接信息 6.成功连接DDS实例，工具界面显示如下： 图14 连接成功

响应处置 对实时审计产生的告警，系统还支持通过配置规则来指定场景告警进行响应通知。这意味着用户可以根据自身需求，将不同类型的告警划分为不同的场景，并设置相应的规则和通知方式。在邮件通知方面，系统提供了丰富的内容配置选项。用户可以根据需要填充事件相关信息，以便在通知邮件中提供更详细的上下文信息。此外，还可以配置邮件通知的时段，以确保及时通知用户。系统能够自动实时地发送告警通知给用户，使用户能够及时了解安全报警和日志异常情况。用户可以通过查看告警通知的内容，迅速判断是否存在潜在的安全问题，并采取相应的措施进行处理。 通过以上功能的支持，系统能够帮助用户实现对实时审计中的告警进行快速、准确、有效的响应和处理。用户的响应时间得到缩短，安全问题能够得到及时解决，从而提升了系统的安全性和可靠性。

查看日志详情 1. 在日志列表操作列点击“查看”。 2. 在弹出的详情模态框中查看完整信息。 数据字段说明： 分类 字段 说明 基本信息 日志ID 每条日志的唯一标识符。 基本信息 时间 日志记录的具体时间。 内容信息 输入内容 用户向大模型发送的原始内容。 内容信息 输出内容 大模型返回的响应内容。 检测结果 输入结果 系统对输入内容的安全检测结果。 检测结果 输出结果 系统对输出内容的安全检测结果。 检测结果 敏感类别 检测到的敏感内容类别。 处理信息 处理方式 系统对请求的处理方式。 处理信息 原因 显示检测结果的具体原因说明，如果没有原因则显示“”，（排查时查看的主要字段） 处理信息 策略名称 使用的策略名称。 异步检测 异步检测 异步安全检测的处理状态。 异步检测 异步引擎 检测使用的引擎。 系统信息 终端名称 发起请求的终端设备名称。 系统信息 代理模型 使用的代理模型名称。 系统信息 来源地址 请求的来源IP地址。 系统信息 用户 发起请求的用户信息。

本页介绍了如何开启和关闭SSL。 SSL连接是指在MongoDB客户端和服务器之间使用SSL/TLS（安全套接层/传输层安全）协议进行加密和安全通信的一种连接方式。SSL是一种用于加密数据传输的协议，它可以确保在数据传输过程中，数据被安全地加密，防止第三方截获和窃听数据。 通过启用SSL连接，您可以在MongoDB服务器和客户端之间建立加密通道，确保以下安全性： 数据加密：在客户端和服务器之间传输的数据会经过加密处理，防止数据在传输过程中被截获或篡改。 身份验证：SSL连接允许客户端和服务器之间相互认证，确保连接的双方都是合法的，有效的MongoDB实例。 数据完整性：SSL连接还可以确保数据在传输过程中没有被篡改，保证数据的完整性。 开启SSL 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”菜单，进入实例列表页。 3. 选择需要开启SSL连接的实例，点击该实例的实例ID，进入实例详情。 4. 点击“数据安全”，点击“SSL设置”。 5. 选择开启SSL，即可开启SSL。 注意 开启SSL后实例会进入重启状态，请谨慎操作。 开启SSl后可以下载SSL证书，在连接实例时可以使用SSL证书连接实例，保证数据安全性。 关闭SSL 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”菜单，进入实例列表页。 3. 选择需要关闭SSL连接的实例，点击该实例的实例ID，进入实例详情。 4. 点击“数据安全”，点击“SSL设置”。 5. 选择关闭SSL，即可关闭SSL。 注意 关闭SSL后实例会进入重启状态，请谨慎操作。

本章节介绍公网连接天翼云关系型数据库的流程。 本章介绍如何在管理控制台创建MicrosoftSQLServer实例，并使用弹性公网IP通过公网连接Microsoft SQL Server实例。 步骤一：创建实例。根据业务需求，确认Microsoft SQL Server实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二：设置安全组规则。从安全组外访问安全组内的关系型数据库实例时，需要为RDS所在安全组配置相应的入方向规则。 步骤三：绑定弹性公网IP。弹性公网IP提供独立的公网IP资源，包括公网IP地址和公网出口带宽服务。可以在虚拟私有云管理控制台申请弹性公网IP并将该弹性公网IP绑定至RDS实例。 步骤四：通过公网连接Microsoft SQL Server实例。

本章节会介绍公网连接天翼云关系型数据库的流程。 本章介绍如何在管理控制台创建PostgreSQL实例，并通过绑定弹性公网IP从公网连接访问PostgreSQL实例。 步骤一：创建实例。根据业务需求，确认MySQL实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二：设置安全组规则。从安全组外访问安全组内的关系型数据库实例时，需要为RDS所在安全组配置相应的入方向规则。 步骤三：绑定弹性公网IP。弹性公网IP提供独立的公网IP资源，包括公网IP地址和公网出口带宽服务。可以在虚拟私有云管理控制台申请弹性公网IP并将该弹性公网IP绑定至RDS实例。 步骤四：通过psql连接实例。

本文主要介绍云防火墙（Cloud Firewall，CFW）的产品定义。 云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 智能防御 CFW通过安全能力积累和全网威胁情报，提供AI入侵防御引擎对恶意流量实时检测和拦截，与安全服务全局联动，防御木马蠕虫、注入攻击、漏洞扫描、网络钓鱼、暴力破解等攻击。 灵活扩展 CFW可对全流量进行精细化管控，支持互联网边界防护，防止外部入侵、内部渗透攻击和从内到外的非法访问；同时，防护IP与防护带宽等关键性能规格可无限扩展，集群部署高可靠，满足大规模流量的安全防护。 极简应用 云防火墙作为云防火墙，支持一键开启，多引擎安全策略一键导入，资产自动秒级盘点，操作页面可视化呈现，大幅提高管理和防护效率。

本页为您介绍WPS云文档天翼云版的应用场景 多部门 50 人以上，使用场景复杂，数据交互性强，有强存储、强管理需求，人员流动性也会影响客户对于“企业数据安全”的重视。举例：多部门的文件分级管理需求；文档管理权限与组织架构打通；离职员工文档 交接。 单一部门 50 人以下，使用场景鲜明、单一，根据部门/团队属性挖掘使用场景，重点输出产品的企业级价值。举例：财务部门数据处理高频且大量。对效率、安全十分重视。 部门文件共享 对部门团队及部门文档编辑、上传、共享，可实现共享查看、文件夹策略授权。 多地协作、多部门协作 针对多地办公、多部门协作，可通过文档在线协同编辑，满足高响应、保持同步的需求。 上下游单位文件往来 针对上下游单位大量文件往来，可通过团队共享、权限控制，既能保障文档快速共享，又能实现文档安全可控。 高频类文档快速处理 对部门的日报、周报类、记录、汇报、会议纪要、工作汇报等高频处理文档，通过文档的协同编辑、在线汇总、云端保存、外链分享的方式，进行快速处理，及时方便领导查看及处理。 备份所有文档 针对勒索病毒、实现个人及部门文档批量上传备份同步，并通过文档增量备份,实现冗余文档梳理，有效文档存储空间 10:1 压缩。 文档安全管控 针对安全文件设置的繁琐密码难以记住的问题，通过文档账号加密和文档权限管控有效解决，不用记繁多的密码。

本章节向您主要介绍VPN连接服务的相关术语概念。 IPsec VPN IPsec VPN是一种加密的隧道技术，通过使用加密的安全服务在不同的网络之间建立保密而安全的通讯隧道。 假设您在云上已经申请了VPC，并申请了2个子网（192.168.1.0/24，192.168.2.0/24），同时您在自己的数据中心也有2个子网（192.168.3.0/24，192.168.4.0/24），那么您可以通过VPN使VPC内的子网与数据中心的子网互相通信。 支持站点到站点VPN（SitetoSite VPN），可实现VPC子网和数据中心局域网互访。 VPN网关 VPN网关是虚拟专用网络在天翼云上的虚拟网关，与用户本地网络、数据中心的对端网关建立安全私有连接。 VPN网关需要与用户数据中心的对端网关配合使用。 VPN连接 VPN连接是VPN网关和对端网关之间的安全通道，使用IKE和IPsec协议对传输数据进行加密。 VPN连接使用IPsec协议对传输数据进行加密，保证数据安全可靠。 VPN网关带宽 VPN网关带宽指的是出云方向的带宽，即从VPC发往用户侧数据中心的带宽。 按需按流量计费场景下，VPN网关的带宽大小不影响价格。建议您根据实际需求来设置带宽大小，以免因为程序错误或恶意访问导致产生大量计费流量。