本文介绍数据库管理服务为云数据库提供数据库审计功能，帮助您追溯历史所有数据库操作记录，满足您的安全审计需求。 前提条件 用户已录入MySQL、DDS、PostgreSQL与SQL Server类型的云数据库实例。 MySQL、PostgreSQL、SQL Server数据库资源池支持：西南1、华东1、上海36、华北2、长沙42、华南2、青岛20、南昌5、西安7、杭州7。 DDS数据库资源池支持：华东1、上海36、西南1、华北2、华南2。 用户已经开启了数据库审计，详见：开启数据库审计。 操作步骤 1. 登录数据库管理服务。 2. 在左侧菜单栏依次点击SQL治理 > SQL审计，进入SQL审计明细界面。 注意事项 SQL审计明细的日志记录默认只保存1天，可设置范围为1~3天。若需要更改最长保存时间（最长支持180天）请联系客户经理评估调整。 仅超级管理员、系统管理员和审计管理员可以进入SQL审计日志界面。 MySQL审计日志中影响行数、返回行数、扫描行数、执行耗时、锁等待时间若无法查看则为历史版本，有需要请联系数据库内核升级版本即可。 若DDS不支持数据库审计，需先升级数据库内核版本。 功能介绍 SQL审计的日志记录了历史所有数据库操作记录，您需要先选择查看的时间范围和实例，点击查询按钮即可查看。 SQL审计明细日志搜索 SQL审计日志支持多个维度的联合搜索，不同数据库类型搜索项存在差异，常见搜索项说明如下 搜索项 说明 时间范围 选择查询的时间范围 数据库类型 选择DMS支持的数据库类型，必填 实例 实例名称，必填 节点IP 数据库实例节点IP，必填 数据库名 实例中数据库名称，可使用通配符%，指代任意长度字符 SQL执行类型 选择SQL语句的类型 SQL文本 SQL语句文本，大小写不敏感，可使用通配符%，指代任意长度字符 按时间排序 是否将查询结果按照时间排序，开启后将严重影响查询性能，建议关闭 数据库账号 大小写不敏感，可使用通配符%，指代任意长度字符 客户端IP 客户端IP地址，可使用通配符%，指代任意长度字符 SQL执行结果 SQL执行是否成功 注意 由于MySQL审计日志数据量较大，搜索的时间范围跨度仅限1天。

本文为您介绍数据库审计的权限管理能力,支持通过IAM实现对数据库审计的访问控制、权限分配。 天翼云提供统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。通过IAM服务定义企业项目、创建子用户，轻松实现IAM子用户对数据库审计资源的访问控制、权限分配等。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 数据库审计支持企业项目管理，若您需要对数据库审计资源进行分组和管理，形成逻辑隔离，您可以创建企业项目，并将资源划分至不同的企业项目中，不同的企业项目可以绑定不同的用户组，并给用户组授予数据库审计产品的权限策略（包括系统策略和自定义策略），从而实现对特定资源的授权。 说明 仅“一类节点”区域的实例支持企业项目管理。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 数据库审计IAM策略说明 天翼云为数据库审计提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 数据库审计admin策略 数据库审计admin策略，拥有产品所有操作权限。 系统策略 全局级 数据库审计系统管理员策略 数据库审计系统管理员策略。 系统策略 全局级 数据库审计审计员策略 数据库审计审计员策略，只具备查看权限。 系统策略 全局级 数据库审计安全员策略 数据库审计安全员策略。 系统策略 全局级 数据库审计业务管理员策略 数据库审计业务员管理员策略，仅支持使用数据库审计实例，不支持订购相关操作。 系统策略 全局级

本文详细介绍IP应用加速接入模块的功能。 功能介绍 在IP应用加速接入模块，您可以进行新增接入、域名/实例状态查询、查看/编辑/停用/启用/删除等操作。 新增接入 详情请查看：添加域名/实例。 IP应用加速接入列表 查看接入列表，可以查看已添加的域名/实例信息，包括域名、实例名称、接入方式、CNAME、加速区域、状态、IPv6解析、操作等。 IPv6解析可以开启IPv6解析或者关闭IPv6解析。 操作列包含加速配置、安全防护、停用、删除、启用、区域变更。 【加速配置】可以查看当前加速域名的加速配置信息，也可以编辑当前加速域名的配置信息。 【安全防护】可以查看当前加速域名的安全防护配置，也可以修改当前加速域名的安全防护配置。 【停用】停止当前域名解析，停止域名加速服务。 【启用】恢复当前域名解析，启用域名加速服务。 【删除】可以删除已停用状态的域名。 当域名状态为【已启用】且无在途工单时，可以对域名配置进行【查看】、【编辑】、【停用】操作。 当域名状态为【配置中】时，仅可以对域名配置进行【查看】操作。 当域名状态为【已停用】且无在途工单时，可以对域名配置进行【查看】、【启用】、【删除】操作。 当域名有在途工单时，无论域名是什么状态，都只能对域名配置进行【查看】操作。 【区域变更】可修改当前加速域名的加速区域。

本文将向您介绍如何通过边缘安全加速平台安全与加速服务提供的访问控制功能。 功能介绍 通过访问控制功能，您可以设置根据请求中不同字段内容进行匹配，对满足匹配条件的请求进行拦截、重定向等动作。 如您可以拦截来自指定IP、指定IP段与指定地域的IP地址请求。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通免费版及以上版本，支持使用访问控制功能，不同版本限制规则数不同，具体请见安全与加速服务版本差异对比。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【访问控制】详细设置。 配置说明 配置项 说明 优先级 配置访问控制策略的优先级，数字越小，优先级越高。 开关 访问控制策略的开关，支持开启或关闭。 处理动作 告警：对命中该规则的请求仅告警不阻断，记录攻击日志。 加白：对命中该规则的请求放行，不记录攻击日志。当防护粒度选择响应头、状态码时，不适用于"加白"动作。 攻击标记：命中该规则的请求将继续匹配后续防护策略。若命中，则产生对应类型的攻击日志，但不会阻断请求。当防护粒度选择响应头、状态码时，对响应报文进行攻击检测。 拦截：对命中该规则的请求进行拦截，并返回响应页面。当防护粒度选择响应头、状态码时，不适用于"拦截"动作。选择拦截动作，可设置自定义拦截页面。 丢弃：对命中该规则的请求拦截但不会响应页面，减少带宽。当防护粒度选择响应头、状态码时，不适用于"丢弃"动作。 重定向：对命中该规则的请求302重定向到指定的页面。仅适用于静态类请求。当防护粒度选择响应头、状态码时，不适用于"重定向"动作。 JavaScript挑战：对命中该规则的请求进行JavaScript挑战验证。仅适用于GET请求的HTML静态页面。当防护粒度选择响应头、状态码时，不适用于"JavaScript挑战"动作。 图片验证码：对命中该规则的请求响应图片验证码进行人机校验。仅适用于GET请求的HTML静态页面。当防护粒度选择响应头、状态码时，不适用于"图片验证码"动作。 规则名称 访问控制策略的规则名称。 规则描述 访问控制策略的规则描述。 防护范围 支持配置多个防护粒度，多个防护粒度为且关系，满足所有条件时，才触发处理动作。 防护粒度：支持选择IP、IPS、地理位置、URI、PATH等十几种粒度。具体粒度介绍见下方【防护粒度说明】。 关系：等于/不等于。 匹配内容：不同的粒度支持输入不同的匹配内容。一般支持输入多条，多条内容用英文符号;分隔。 防护周期 若您希望访问控制策略只在某个周期生效，可以配置防护周期，并支持且条件。防护周期支持配置每日、每周、每月。 配置示例： 1. 每周一至周二：周期包含12。 2. 每周日至周一的7点至9点：周期包含每周 71 且 周期包含每天07:0009:00。 3. 每月19号的23点到次日1点：周期包含每月 1919 且 周期包含每天23:0001:00。 4. 每周二或每周四的7点至9点：周期包含每周 22;44 且 周期包含每天07:0009:00。

本文介绍弹性文件服务容量调整的具体操作。 操作场景 当用户认为文件系统的容量不足时，可以通过执行扩容操作来增加文件系统的容量。 注意 目前文件系统仅支持扩容操作，暂不支持缩容，可购置小容量新文件系统后进行文件迁移。 单用户单地域的弹性文件服务初始容量配额50TB，该账号下开通的所有文件系统共享该配额，因此扩容规则为：扩容后的文件系统的总容量 弹性文件服务SFS Turbo”，进入SFS Turbo文件系统列表页面。 3. 在待扩容的文件系统操作栏，点击“更多>扩容”。 4. 在弹出的“扩容”对话框中，按实际需要进行容量规格选择。 5. 完成容量设置后，包年/包月模式下点击“确认”进行支付；按量付费模式下在弹出界面点击“确定”完成扩容。 6. 等待扩容完成，可在文件系统详情页看到扩容后的容量。

此小节介绍用户登录提示“您的账户已经被锁定,请自助解锁或联系管理员”问题如何处理。 账号密码被锁定主要有以下几种情况： 忘记密码，连续输错N次密码后账号自动锁定。 账号、密码超过有效期，自动锁定。 账号空闲超过阈值未登录系统。 管理员主动锁定。 忘记密码 在云堡垒机实例登录页面点击忘记密码，通过注册邮箱重置密码，解锁账号。 注意 忘记密码自助解锁功能，需要用户在注册时有绑定邮箱地址，若未绑定邮箱地址，只能联系管理员解锁。 操作步骤 1. 进入云堡垒机登录页，点击忘记密码。 2. 输入用户名、邮箱等信息，验证用户身份。 3. 输入新登录密码，点击确定后，密码重置成功。 密码过期锁定 在云堡垒机实例登录页面点击自助解锁，通过注册邮箱解锁账号。 注意 密码过期自助解锁功能，需要用户在注册时有绑定邮箱地址，若未绑定邮箱地址，只能联系管理员解锁。 操作步骤 1. 进入云堡垒机登录页，点击自助解锁链接。 2. 进入自助解锁功能后，输入用户名、邮箱和动态验证码，验证用户身份。 3. 输入更新后的密码，注意输入密码需要符合密码安全策略，点击确认。 4. 解锁成功。 其他原因账号被锁定 联系管理员解锁。管理员登入云堡垒机管理后台，在账号管理中可解锁用户账号、更改密码。

本节主要介绍包年/包月。 包年/包月是一种先付费再使用的计费模式，适用于对资源需求稳定且希望降低成本的用户。通过选择包年/包月的计费模式，您可以预先购买云数据库GaussDB并获得一定程度的价格优惠。本文将介绍包年/包月云数据库GaussDB的计费规则。 适用场景 包年/包月计费模式需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业官网、在线商城、博客等，包年/包月计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包年/包月资源以应对高峰期的需求，避免资源紧张。 数据安全要求高：对于对数据安全性要求较高的业务，包年/包月计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。 适用计费项 包年/包月包含以下计费项。 表 适用计费项 计费项 说明 数据库实例 GaussDB实例对CN、DN节点进行收费，管理节点CMS、GTM不收费。 数据库存储 对数据库存储空间进行计费，包年/包月计费方式的存储空间如果超过当前容量，超出的部分将按需计费。 备份存储（可选） GaussDB提供了部分免费存储空间，用于存放您的备份数据，其总容量约为您购买存储容量的100%。备份存储用量超过数据库存储空间的100%，超出部分将按照备份计费标准收费，计费方式为按需计费（每小时扣费一次），不足一小时按照实际使用时长收费。 公网带宽 GaussDB实例支持公网访问，公网访问会产生带宽流量费；GaussDB数据库实例在云内部网络产生的流量不计费。 假设您计划购买规格为8 vCPUs 64GB、1分片、3副本、1个协调节点，存储空间为160GB的分布式版云数据库GaussDB，购买周期为一个月。在购买数据库实例页面底部，您将看到所需费用，如下图所示。 图 配置费用示例 说明 备份空间费用，使用后按照统一标准计费，购买时不包含在配置费用中。

本页介绍天翼云TeleDB数据库如何创建编辑告警策略。 操作步骤 1. 以用户名和密码登录TeleDBDCP数据库管理平台，在左侧导航树单击告警中心 > 告警设置 ，进入告警设置页面。 2. 新建告警策略 1. 在告警设置页面，选择告警策略 页签，单击 新建策略 ，进入新建告警策略对话框。 2. 在新建告警策略对话框，根据以下内容填写基本信息，单击确定完成告警策略设置。 告警对象 选择实例TELEDBX ,并选择对应实例。 沉默周期：指告警发生后如果未恢复正常，间隔多久重复发送一次告警通知。 告警级别：紧急、告警、普通。 告警模板可选择已有模板和手动创建两种方式进行构造。 3. 编辑告警策略 1. 当关闭 已有告警策略的告警启停时 您可单击编辑 ，修改告警策略。 您可单击删除 ，删除该告警策略。 您可勾选多条告警策略，批量删除该告警策略。 您可单击查看详情 ，查看告警策略具体信息。 2. 当打开 已有告警策略的告警启停时，只支持单击查看详情，查看告警策略具体信息。

本节主要介绍如何查看已有布局模板。 操作场景 布局中已有 告警管理 、 事件管理 、 漏洞管理 、 分析报告 、 情报管理 、安全大屏页面布局的管理页和详情页面模板。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 布局管理”，进入布局管理页面后，选择“模板”页签，进入布局模板页面。 5. 在布局模板页面，查看模板信息。 可以通过“布局类型”、“页面类型”，并输入关键字来搜索指定布局模板。 可以查看当前已有模板的名称、页面类型、创建时间等信息。 可以对已有模板的名称、模板内的布局进行编辑。 可以删除已有模板。

本文内容主要介绍绑定弹性公网IP 操作场景 副本集实例创建成功后，支持用户绑定弹性公网IP，通过公共网络访问数据库实例，绑定后也可根据需要解绑。 注意事项 在访问数据库前，您需要在虚拟私有云申请一个弹性公网IP，并将访问数据库的IP地址，或者IP段加安全组入方向的访问规则。 副本集实例仅支持Primary和Secondary节点绑定弹性公网IP。对于已绑定弹性公网IP的节点，需解绑后，才可重新绑定其他弹性公网IP。 绑定弹性IP 步骤 1 在“实例管理”页面，选择指定的副本集实例，单击实例名称。 步骤 2 在左侧导航树，单击“连接管理”。 步骤 3 在“基本信息”区域的目标节点上，单击“绑定弹性IP”。 步骤 4 在弹出框的弹性IP列表中，显示“未绑定”状态的弹性IP，选择所需绑定的弹性IP，单击“确定”，提交绑定任务。如果没有可用的弹性IP，单击“查看弹性IP”，创建新的弹性IP。 步骤 5 在目标节点的“弹性IP”列，查看绑定成功的弹性IP。 解绑弹性IP 步骤 1 对于已绑定弹性公网IP的节点，在“实例管理”页面，选择指定的副本集实例，单击实例名称。 步骤 2 在左侧导航树，单击“连接管理”。 步骤 3 在“基本信息”区域的目标节点上，单击“解绑弹性IP”。 步骤 4 在弹出框中，单击“确定”，解绑弹性公网IP。

参数 参数说明 类型 选择kerberos。 认证信息名称 所创建的跨源认证信息名称。 名称只能包含数字、英文字母和下划线，但不能是纯数字，且不能以下划线开头。 输入长度不能超过128个字符。 建议名称中包含MRS安全集群的名称，便于区分不同集群的安全认证信息。 用户名 安全集群的登录用户名。 krb5conf路径 上传“krb5.conf”文件的OBS路径。 说明 “krb5.conf”中需移除[libdefaults]下的“renewlifetime”配置项，否则可能会遇到“Message stream modified (41)”问题。 keytab路径 上传“user.keytab”文件的OBS路径。

态势感知的工作原理。 态势感知（专业版）（Situation Awareness，SA）是可视化威胁检测和分析的平台。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 工作原理 态势感知通过采集全网流量数据和安全防护设备日志信息，并利用大数据安全分析平台进行处理和分析，态势感知检测出威胁告警，实时为用户呈现完整的全网攻击态势，进而为安全事件的处置决策提供依据。

接口描述 该接口下了一个新购单，需要登录到天翼云我的订单页面支付订单之后才能完成实例创建。 接口约束 无 URI POST /v1/eop/purchaseorder 请求参数 参数 是否必填 参数类型 说明 示例 下级对象 : orders 是 Array 订单项 List OrderItem 参数 是否必填 参数类型 说明 示例 下级对象 : cycleType 是 String 订购周期类型；3 表示按月订购；5 表示按一年订购；6 表示按两年订购；7表示按三年订购 3 instanceCnt 是 Integer 订购数量；大于0且小于50 1 cycleCnt 是 Integer 订购周期，大于0，订购时长最长不能超过384个月。cycleCnt为1，cycleType为3时，表示订购1个月 1 items 是 Array 包含虚机、存储、备份三部分，由resourceType标识 List RdsFlavor虚机部分 参数 是否必填 参数类型 说明 示例 下级对象 : resourceType 是 String 资源类型，虚机为PGSQLVM PGSQLVM itemConfig 是 Object RdsFlavorVM RdsFlavorVM 参数 是否必填 参数类型 说明 示例 下级对象 : dbversion 否 String 数据库版本，默认为12.0; 需根据资源池支持的版本来填写，建议填12.0。 12.0 vpcId 是 String VPC ID，可通过接口【查询VPC列表】获取 b3572a695af8458bbf146fdbf31f7063 subnetId 是 String 子网ID，可通过接口【查询子网列表】获取 7d3fe61db2794c2ab190afd9754125b4 secgroups 是 String 安全组ID，可通过接口【查询安全组列表】获取 aa8ddfb7f0424c57bb257df09d5c732a cpuNum 是 Integer CPU核数和内存大小，需按照资源池所支持的实例规格填写。常用的规格有：2C4G，2C8G，4C8G，4C16G，8C16G，8C32G，16C32G，16C64G 2 memSize 是 Integer 4 edition 是 String 可选值：standby（主备）、single（单机） standby dbName 是 String 数据库名称 admin dbPassword 是 String 数据库密码，832位，且必须含有数字，小写字母，大写字母，特殊字符 RdsFlavor存储部分 参数 是否必填 参数类型 说明 示例 下级对象 resourceType 是 String 资源类型，存储为PGSQLEBSC PGSQLEBSC itemValue 否 Integer 磁盘容量,默认为100，最低为100 100 itemConfig 是 Object 磁盘配置 RdsFlavorEBSC RdsFlavorEBSC 参数 是否必填 参数类型 说明 示例 下级对象 : volumeType 是 String 磁盘类型,默认为SATA;可选值：SATA、SSD、SAS;需要根据资源池是否支持该类型来填写。 SATA RdsFlavor备份部分 参数 是否必填 参数类型 说明 示例 下级对象 : resourceType 是 String 资源类型，为PGSQLBACKUP PGSQLBACKUP itemValue 否 Integer 磁盘容量，默认为100,最低为100。需大于等于存储部分的磁盘容量 100 itemConfig 是 Object 磁盘配置 RdsFlavorBACKUP RdsFlavorBACKUP 参数 是否必填 参数类型 说明 示例 下级对象 volumeType 是 String 磁盘类型，目前只能为SATA SATA

源端类型 说明 参数配置 OBS 支持以CSV、JSON或二进制格式抽取数据，其中二进制方式不解析文件内容，性能快，适合文件迁移。 参见 MRS HDFs FusionInsight HDFS Apache HDFS 支持以CSV、Parquet或二进制格式抽取HDFS数据，支持多种压缩格式。 参见 MRS HBase FusionInsight HBase Apache HBase CloudTable 支持从MRS、FusionInsight HD、开源Apache Hadoop的HBase，或CloudTable服务导出数据，用户需要知道HBase表的所有列族和字段名。 参见 MRS Hive FusionInsight Hive Apache Hive 支持从Hive导出数据，使用JDBC接口抽取数据。 Hive作为数据源，CDM自动使用Hive数据分片文件进行数据分区。 参见 DLI 支持从DLI导出数据。 参见 FTP SFTP 支持以CSV、JSON或二进制格式抽取FTP/SFTP的数据。 参见 HTTP 用于读取一个公网HTTP/HTTPS URL的文件，包括第三方对象存储的公共读取场景和网盘场景。 当前只支持从HTTP URL导出数据，不支持导入。 参见 数据仓库DWS 云数据库MySQL 云数据库SQL Server 云数据库PostgreSQL 支持从云端的数据库服务导出数据。 从这些数据源导出数据时，CDM使用JDBC接口抽取数据，源端作业参数相同，详细请 参见 FusionInsight LibrA 支持从FusionInsight LibrA导出数据。 从这些数据源导出数据时，CDM使用JDBC接口抽取数据，源端作业参数相同，详细请 参见 MySQL PostgreSQL Oracle Microsoft SQL Server SAP HANA MYCAT 分库 这些非云服务的数据库，既可以是用户在本地数据中心自建的数据库，也可以是用户在ECS上部署的，还可以是第三方云上的数据库服务。 从这些数据源导出数据时，CDM使用JDBC接口抽取数据，源端作业参数相同，详细请 参见 MongoDB 文档数据库服务（DDS） 支持从MongoDB或DDS导出数据。 参见 Redis 支持从开源Redis导出数据。 参见 Apache Kafka DMS Kafka MRS Kafka 仅支持导出数据到云搜索服务。 参见 。 云搜索服务 Elasticsearch 支持从云搜索服务或Elasticsearch导出数据。 参见

主机安全v2.0常见问题请参见服务器安全卫士（原生版）常见问题。

本节介绍OpenSSL漏洞修复最佳实践。 OpenSSL简介 OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上，因此需要注重OpenSSL安全漏洞的修复。 OpenSSL用途 加密和解密数据：OPENSSL支持对称和非对称加密算法，可以用于安全的数据加密和解密操作。 数字签名：OPENSSL可以对数据进行数字签名，提高数据的可信度和合法性。还可以验证数字签名和证书的有效性。 SSL/TLS协议实现：OPENSSL支持SSL、TLS等协议，可以用于建立安全的网络连接，对数据进行加密传输，提高网络的安全性。 生成和管理数字证书：OPENSSL可以生成和管理各种类型的数字证书，包括服务器证书、客户端证书等。数字证书是实现安全通信的重要工具之一。 伪随机数生成器：OPENSSL可以生成高质量的伪随机数，用于各种密码算法中的随机数种子。 其他的密码学工作：除了上述主要用途外，OPENSSL还包括了各种密码学工具和库，可以实现密码算法的实现和分析。 依赖OpenSSL的软件或协议 MongoDB 4.4 Nginx KeepAlived Https OpenSSH SSH VPN 电子邮件 OpenSSL漏洞扫描 您可以参考漏洞扫描最佳实践进行漏洞扫描。 OpenSSL常见漏洞 CVE20160705 OpenSSL DSA代码双重释放漏洞 漏洞危害 OpenSSL 1.0.2及更早版本、1.0.1及更早版本解析畸形DSA密钥中存在双重释放漏洞，可导致受影响应用拒绝服务或内存破坏。 影响版本 OpenSSL 1.0.2及更早版本 OpenSSL 1.0.1及更早版本 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：< CVE20160799 OpenSSL‘BIOprintf’函数安全漏洞 漏洞危害 OpenSSL 1.0.2及更早版本、1.0.1及更早版本在BIOprintf函数的实现上存在内存破坏漏洞，可导致内存泄露等。 影响版本 OpenSSL 1.0.2及更早版本 OpenSSL 1.0.1及更早版本 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：< CVE20162842 OpenSSL doaproutch函数拒绝服务漏洞 漏洞危害 OpenSSL 1.0.1 < 1.0.1s、1.0.2 < 1.0.2g版本，crypto/bio/bprint.c/doaproutch函数未验证某些内存分配结果，这可使远程攻击者造成拒绝服务。 影响版本 OpenSSL 1.0.1 < 1.0.1s OpenSSL 1.0.2 < 1.0.2g 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：< CVE20162108 OpenSSL ASN.1编码器内存破坏漏洞 漏洞危害 OpenSSL中的ASN.1解析器在对数据解析时没有正确处理特定标签，当遇到VASN1NEGINTEGER和VASN1NEGENUMERATED标签时，ASN.1解析器也会将其视作ASN1ANY类型，从而解析其中的数据。当数据再次编码序列化时，可能造成数据越界写入，引起内存损坏。 影响版本 OpenSSL Project OpenSSL 1.0.2 OpenSSL Project OpenSSL 1.0.1 不受影响版本 OpenSSL Project OpenSSL 1.0.2c OpenSSL Project OpenSSL 1.0.1o 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：<

本章节主要介绍数据架构相关问题。 码表和数据标准有什么关系？ 码表的组成：码表由多条表字段的名称+编码+数据类型组成。 码表与数据标准的关系：码表的表字段可以关联到数据标准上，数据标准会应用到某张模型表的字段上。 关系建模和维度建模的区别？ 关系建模为事务性模型，对应三范式建模。 维度建模为分析性模型，主要包括事实表、维度表的设计，多用于实现多角度、多层次的数据查询和分析。 DataArts Studio是基于数据湖的数据运营平台，维度建模使用的场景比较多。 数据架构支持哪些数据建模方法？ DataArts Studio数据架构支持的建模方法有以下两种： 关系建模 关系建模是用实体关系（Entity Relationship，ER）模型描述企业业务，它在范式理论上符合3NF，出发点是整合数据，将各个系统中的数据以整个企业角度按主题进行相似性组合和合并，并进行一致性处理，为数据分析决策服务，但是并不能直接用于分析决策。 用户在关系建模过程中，可以从以下三个层次去设计关系模型，这三个层次是逐层递进的，先设计概念模型，再进一步细化设计出逻辑模型，最后设计物理模型。 a.概念模型：是从用户的视角，主要从业务流程、活动中涉及的主要业务数据出发，抽象出关键的业务实体，并描述这些实体间的关系。 b.逻辑模型：是概念模型的进一步细化，通过实体、属性和关系勾勒出企业的业务信息蓝图，是IT和业务人员沟通的桥梁。逻辑数据模型是一组规范化的逻辑表结构，逻辑数据模型是根据业务规则确定的，关于业务对象、业务对象的数据项及业务对象之间关系的基本蓝图。 c.物理模型：是在逻辑数据模型的基础上，考虑各种具体的技术实现因素，进行数据库体系结构设计，真正实现数据在数据库中的存放，例如：所选的数据仓库是DWS。 维度建模 维度建模是从分析决策的需求出发构建模型，它主要是为分析需求服务，因此它重点关注用户如何更快速地完成需求分析，同时具有较好的大规模复杂查询的响应性能。 多维模型是由数字型度量值组成的一张事实表连接到一组包含描述属性的多张维度表，事实表与维度表通过主/外键实现关联。 典型的维度模型有星形模型，以及在一些特殊场景下使用的雪花模型。 在DataArts Studio数据架构中，维度建模是以维度建模理论为基础，构建总线矩阵、抽象出事实和维度，构建维度模型和事实模型，同时对报表需求进行抽象整理出相关指标体系，构建出汇总模型。

托管检测与响应服务（原生版）具备100%处置闭环率、持续保障、快速响应、标准化服务等核心优势。 100%处置闭环率 自动处置能力联动全网威胁情报，实时处置高级威胁，结合云端专家处置升级策略，保证重大事件处置闭环率100%。 持续安全保障 提供N × 24小时的安全保障，持续对云上资产进行告警分析、安全事件监测、漏洞情报捕获。 快速响应及时止损 第一时间介入安全事件发生的环境，对安全事件进行处置，避免类似情况再次发生，防止数据遭受泄露造成经济损失。 标准化服务内容 依托顶尖服务团队及行业标准，提供标准化服务流程和交付内容，保证服务质量。

1. 登录智算安全专区控制台。 2. 在“大模型安全卫士”实例页面，找到要管理的实例，单击“管理”，单点登录至大模型安全卫士实例。

本节介绍如何开启防护事件告警通知。 通过对攻击日志设置告警通知，WAF可将仅记录和拦截的攻击日志按用户设置的接收通知渠道（邮件或短信）发送给用户。 使用限制 独享版防护对象暂不支持告警通知功能。 开启告警通知 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 告警通知”，进入告警通知页面。 5. 单击“新增通知策略”，弹出新建通知策略窗口。 6. 配置告警通知参数。 参数 说明 策略名称 用户可以自定义策略的名称。 通知状态 配置告警通知的状态，默认为关闭。根据需要进行开启。 通知群组 在下拉列表选择需要接收告警通知的群组。 若已有群组无法满足需求，单击“创建群组”创建新的群组，需要为群组中的联系人配置姓名、手机、邮箱等信息。 通知渠道 支持邮件、短信。 事件类型 设置告警的事件类型，系统默认选择“全部”，用户也可以选择“自定义”，勾选需要告警的事件类型。 告警频率阈值 在设置的时间间隔内，当攻击次数大于或等于您设置的阈值时，才会发送告警通知。 7. 配置完成后，单击“确认”，告警通知策略设置成功。

扫描能力 通过公网IP直接扫描公网主机 通过跳板机扫描内网主机 操作系统安全补丁扫描 支持 支持 远程服务/协议漏洞扫描 支持 不支持 说明 远程服务/协议类漏洞的扫描依赖于扫描器与被测目标的相关端口直接交互，因此不能通过跳板机完成测试验证。 操作系统安全配置扫描 支持 支持 Web中间件安全配置扫描 支持 支持 等保合规扫描 支持 支持

参数 参数类型 说明 示例 下级对象 vulRiskNum Integer 漏洞风险数 1 vulHostNum Integer 漏洞风险主机数 1 scaRiskNum Integer 安全基线主机数 1 scaHostNum Integer 安全几线主机数 1 wpRiskNum Integer 网页防篡改风险数 1 wpHostNum Integer 网页防篡改主机数 1 virusRiskNum Integer 病毒文件数 1 virusHostNum Integer 病毒文件数主机数 1 instrustonEventRiskNum Integer 入侵检测风险数量 1 instrustonEventRiskHostNum Integer 入侵检测风险主机数量 1

监控指标 说明 证书到期预警 按证书到期时间统计域名证书： 已到期证书 到期时间<30天 到期时间>30天 证书未知：统计未绑定证书的域名、域名信息配置错误的域名数量。 SSL漏洞扫描 支持统计如下类型的漏洞： 高风险漏洞 中风险漏洞 低风险漏洞 合规检测 统计ATS和PCI DSS合规情况： ATS（应用程序安全传输，App Transport Security）为Apple ATS规范，是苹果在iOS 9中首次推出的隐私安全保护功能。从2017年1月1日起，所有提交到App Store的App必须强制开启ATS。启用ATS后，它会屏蔽明文HTTP资源加载，强制App通过HTTPS连接网络服务，对传输数据进行加密，保障用户数据安全。 PCI DSS（支付卡协会数据安全标准，Payment Card Industry Data Security Standard）为支付卡行业安全标准，是目前广受国际认可的数据安全标准。PCI DSS要求在开放的公共网络上传输持卡人数据，需使用高强度加密算法对数据进行保护。 域名安全等级分布 共支持如下9个等级，A+为最高级。

分布式缓存服务（Distributed Cache Service，简称DCS）是一款内存数据库服务，兼容Redis内存数据库引擎，为您提供即开即用、安全可靠、弹性扩容、便捷管理的在线分布式缓存能力，满足用户高并发及数据快速访问的业务诉求。 即开即用 DCS提供单机、主备和集群三种类型的缓存实例，拥有从128MB到1024GB的丰富内存规格。您可以通过控制台直接创建，无需单独准备服务器资源。 其中Redis4.0/5.0/6.0版本采用容器化部署，秒级完成创建。 安全可靠 借助统一身份认证、虚拟私有云、云监控与云审计等安全管理服务，全方位保护实例数据的存储与访问。 灵活的容灾策略，主备/集群实例从单AZ（可用区）内部署，到支持跨AZ部署。 弹性伸缩 DCS提供对实例内存规格的在线扩容与缩容服务，帮助您实现基于实际业务量的成本控制，达到按需使用的目标。 便捷管理 可视化Web管理界面，在线完成实例重启、参数修改、数据备份恢复等操作。DCS还提供基于RESTful的管理API，方便您进一步实现实例自动化管理。 在线迁移 提供可视化Web界面迁移功能，支持备份文件导入和在线迁移两种方式，您可以通过控制台直接创建迁移任务，提高迁移效率。 DCS Redis Redis是一种支持KeyValue等多种数据结构的存储系统。可用于缓存、事件发布或订阅、高速队列等典型应用场景。Redis使用ANSI C语言编写，提供字符串（String）、哈希（Hash）、列表（List）、集合结构（Set、Sorted Set）、流（Stream）等数据类型的直接存取。数据读写基于内存，同时可持久化到磁盘。 DCS Redis拥有灵活的实例配置供您选择： DCS Redis灵活的实例配置 实例类型 提供单机、主备、Proxy集群、Cluster集群、读写分离类型，分别适配不同的业务场景。 单机：适用于应用对可靠性要求不高、仅需要缓存临时数据的业务场景。单机实例支持读写高并发，但不做持久化，实例重启后原有缓存数据不会加载。 主备：包含一个主节点，一个备节点，主备节点的数据通过实时复制保持一致，当主节点故障后，备节点自动升级为主节点。 Proxy集群：在Cluster集群的基础上，增加挂载Proxy节点和ELB节点，通过ELB节点实现负载均衡，将不同请求分发到Proxy节点，实现客户端高并发请求。每个Cluster集群分片是一个双副本的主备实例，当主节点故障后，同一分片中的备节点会升级为主节点来继续提供服务。 Cluster集群：通过分片化分区来增加缓存的容量和并发连接数，每个分片是一个主节点和0到多个备节点，分片本身对外不可见。分片中主节点故障后，同一分片中备节点会升级为主节点来继续提供服务。用户可通过读写分离技术，在主节点上写，从备节点读，从而提升缓存的整体读写能力。 读写分离：在主备实例的基础上，增加挂载Proxy节点和ELB节点，通过ELB节点实现负载均衡，将不同请求分发到Proxy节点，Proxy节点识别用户读写请求，将请求发送到主节点或备节点，从而实现读写分离。 :: 规格 Redis提供128MB~1024GB的多种规格。 兼容开源Redis版本 DCS提供不同的实例版本，分别兼容开源Redis的3.0、4.0、5.0、6.0。 底层架构 基于虚拟机的标准版 ，单节点QPS达10万/秒。 高可用与容灾 主备与集群实例提供Region内的跨可用区部署，实现实例内部节点间的电力、网络层面物理隔离。 有关开源Redis技术细节，您可以访问Redis官方网站

本文将向您介绍如何通过边缘安全加速平台安全与加速服务提供的频率控制功能。 功能介绍 频率控制：通过配置IP,URL,ARGS,HEADER,COOKIE,UA等粒度，进行访问次数限制，防止客户资源被过度消耗。 通过配置频率控制能够实现客户端IP访问域名首页次数限制。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通免费版及以上版本，支持使用频率控制功能，不同版本限制规则数不同，具体请见安全与加速服务版本差异对比。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【频率限制】详细设置。 配置说明 配置项 说明 开关 频率控制策略的开关，支持开启或关闭 处理动作 告警：达到阈值后只记录攻击日志。 跳转：达到阈值后，对请求进行Cookie挑战验证。GET请求响应302，POST请求响应307，其他METHOD请求不适用。 拦截：达到阈值后拦截请求，响应拦截页面。当防护粒度中选择响应头或状态码时，达到阈值后，会拦截匹配响应头、状态码之外其他字段的请求。 丢弃：达到阈值后拦截请求但不会响应页面，以减少带宽。当防护粒度选择响应头、状态码时，不适用于"丢弃"动作。 重定向：达到阈值后，将请求302重定向到指定页面。仅适用于静态类请求。当防护粒度选择响应头、状态码时，不适用于"重定向"动作。 JavaScript挑战：达到阈值后进行JavaScript挑战验证。仅适用于GET请求的HTML静态页面。当防护粒度选择响应头、状态码时，不适用于"JavaScript挑战"动作。 图片验证码：达到阈值后，响应图片验证码进行人机校验。仅适用于GET请求的HTML静态页面。当防护粒度选择响应头、状态码时，不适用于"图片验证码"动作。 源IP封禁：达到阈值后，将源IP封禁（封禁范围为针对该域名的请求，包括匹配静态文件过滤的请求）。仅适用于统计粒度为IP的场景。 规则名称 频率控制策略的规则名称 规则描述 策略的文字描述 统计粒度 支持选择URL、ARGS、HEADER、COOKIE、UA、IP。支持选择单粒度或两个粒度进行组合。 粒度缺失统计 当统计粒度选择两个粒度时，需要配置是否开启粒度缺失统计。选择是，粒度①且粒度②、粒度①、粒度②三种均可统计且均独立统计。选择否，则只支持粒度①且粒度②进行统计。 触发条件 配置一段时间周期，在这个周期内，您可以选择两种触发处理动作的方式。 方式1：统计粒度的请求达到N次时才执行处理动作 方式2：统计粒度的流量达到N （KB、MB、GB）时才执行处理动作 方式1和方式2同时选择，要两种条件同时满足，才会执行处理动作。 处理动作持续时间 处理动作的持续时长 防护范围 支持配置多个防护粒度，多个防护粒度为且关系，满足所有条件时，才触发处理动作 粒度选择：支持选择IP、IPS、地理位置、URI、PATH等十几种粒度 关系：等于/不等于 匹配内容：不同的粒度支持输入不同的匹配内容。一般支持输入多条，多条内容用英文符号;分隔 静态文件过滤 即无需检测的静态文件，需要填写文件后缀，配置后将不针对此类型的文件进行检测

3.1 升级系统 升级系统，确保软件包更新到最新，减少安全风险。下面的命令升级除内核相关之外的包，其中包含bug修复相关的包。 plaintext dnf y x 'kernel' update bugfix 3.2 配置ssh服务器 下面是对ssh服务器的一些配置。 plaintext sed e "s/^ ?PubkeyAuthentication./PubkeyAuthentication yes/g" e "s/^ ?PasswordAuthentication./PasswordAuthentication yes/g" e "s/^ ?PermitRootLogin./PermitRootLogin yes/g" e "s/^ ?UseDNS./UseDNS no/g" e "s/^ ?GSSAPIAuthentication./GSSAPIAuthentication no/g" i.bak /etc/ssh/sshdconfig 说明： PubkeyAuthentication yes：允许公钥认证访问。使用公钥认证访问通常更为安全。 PasswordAuthentication yes：允许使用密码认证访问。密码认证访问不如公钥认证访问安全。但默认镜像中没有公钥（在镜像中捆绑固定的公钥可能有安全隐患），需要使用密码认证访问。您可以在装机登录后配置好ssh公钥，然后禁用密码认证访问。 PermitRootLogin yes：允许root用户登录。允许root用户登录可能不够安全。但默认镜像中不创建其他普通用户。在镜像中创建普通用户并为其捆绑固定的密码可能有安全隐患。物理机装机时只会为root用户设置密码。您可以在装机登录后创建其他用户，然后禁用root用户登录。 UseDNS no：禁用反向DNS解析。未连通公网的机器上DNS不可用，会导致ssh连接缓慢或失败。 GSSAPIAuthentication no：禁用GSSAPI认证访问。GSSAPI认证需要自行配置才能使用。开启可能会导致ssh连接缓慢或失败。 注意 请不要在镜像中留ssh公钥或新建非root用户，可能有安全隐患。若相应的ssh私钥或用户密码泄露，继续使用该镜像会扩大受影响范围。

状态“可用”的微服务引擎专享版，绑定公网IP后可提供公网访问微服务引擎专享版的能力。 须知： 未开启安全认证的微服务引擎无认证鉴权能力，开放到公网面临安全风险，增加系统的脆弱性。如：配置、服务信息等数据资产可能会被窃取。 请不要在生产环境和安全要求较高的网络环境中使用该功能。 开启公网访问 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击待开启公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 步骤 3 开启“公网访问”开关，在弹出的对话框勾选“我已知晓安全风险”，单击“确定”。 步骤 4 单击“弹性IP地址”后的下拉框。在下拉框中选择可用弹性IP，单击下拉框后侧的“√”。 若下拉框中无可用弹性IP，请单击“创建弹性IP”，根据界面提示创建。 关闭公网访问 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击待关闭公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 步骤 3 关闭“公网访问”开关。 步骤 4 在弹出对话框单击“确定”。

概念名称 描述 资源 指可被声明、创建、更新和管理的云上实体，如计算、网络、存储等基础组件，是模板编排和部署的最小管理单元。 模板 模板是一个HCL语法文本描述文件，支持tf、tf.json文件格式，用于描述您的云资源。资源编排根据模板完成各种云资源的创建。 资源栈 资源栈是云服务资源的集合。资源栈将模板描述的所有云服务资源作为一个整体来进行创建、删除、更新、查询等。 地域 地域（Region）是指物理的数据中心的地理区域。地域从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。资源栈隶属于一个地域，完成地域级别的资源创建、删除、更新、查询。 执行计划 执行计划提供对资源栈变化的预览。这个执行计划展示了当前模板与线上资源的对比变化，清晰地展示了资源编排对资源与属性将要执行的操作（如新增、修改、删除等）。用户可以预览这个计划，在确认符合预期后，再执行这个计划。资源编排就会完成模板定义资源的创建、变更等。 资源栈输出 指在模板部署完成后，由资源栈对外暴露的关键结果信息，如资源 ID、访问地址、配置信息等，便于其他系统或后续流程引用和集成。 资源栈事件 执行计划的执行，执行计划/资源栈的部署，销毁等执行过程中产生的关键过程记录，用于展示每一步的状态变化、操作动作及结果，方便排查问题和追踪执行流程。

导入流程 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“流程”页签，进入流程管理页面。 5. 在流程管理列表右上角单击“导入”，弹出导入流程窗口。 6. 单击“添加文件”，并选择待导入文件。 7. 单击“上传”。 导出流程 说明 支持导出“流程状态”为“已启用”的流程。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“流程”页签，进入流程管理页面。 5. 在流程管理页面中，勾选需导出的流程，并单击列表右上角的，弹出导出流程确认框。 6. 在弹出的确认框中，单击“确认”，系统将导出流程信息到本地。

本小节介绍开启节点防护。 开启节点防护的同时，系统会自动为该节点安装容器安全插件。 1、 登录管理控制台。 2、 在左侧导航树中，选择“资产管理 > 容器管理”，进入容器管理界面。 3、在节点列表的“操作”列，单击“开启防护”，为需要开启防护的节点开启防护。 4、 单击“确定”，开启节点防护，节点的“防护状态”为“已开启”，说明该节点已开启防护。 说明 一个企业主机安全配额防护一个集群节点。

本章节介绍ECS应用实例的全生命周期管理 概述 本章节介绍ECS应用实例的发布、回滚、启动、停止、重启、重置、删除应用等全生命周期管理。 发布应用 在ECS应用实例创建或ECS应用实例需要重新发布后，您可以点击应用总览页面上的发布应用实例进行部署发布。 如果您发布的应用实例需要升级，您可以点击版本信息页签的操作列发布来升级应用版本。 回滚应用 如果应用实例在升级之后发现有异常，需将应用回滚之前的部署版本时，需在应用总览页面右上角单击回滚应用来回滚应用版本。 启停应用 当应用处于运行状态时，可以根据业务需求停止应用，应用停止后将暂停应用实例的计费和计量 。应用内必须至少包含 1 个应用实例时，才能进行应用启停操作。 启停应用会使所有应用实例都随之一起启停。当应用实例大于1个时，启停应用实例只会影响本应用实例的运行状态；当应用实例只有1个时，启停应用实例会使应用随之启停。 注意 应用停止时，如果应用已绑定私网/公网负载均衡或接入微服务治理和应用监控，所依赖的产品或者服务依然处于计费状态。 启停应用 在应用总览页面右上角单击启动/停止来启停应用。 启停应用实例 您可以在应用总览页面的实例部署信息页签内，单击单个应用实例的启动/停止来启停应用实例。 您可以在应用总览页面的实例部署信息页签内，先勾选多个应用实例，然后单击批量启动/批量停止来批量启停应用实例。

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype list< string > 否 产品类型 传“006”代表全站加速，不传代表全部产品。 busitype list< int > 否 业务类型 0(base)，1(upload)，2(websocket)，不传默认所有业务类型 domain list< string > 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list< int > 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项，点击查看 isp list< string > 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项，点击查看 networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6、other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有应用层协议，支持作为统计筛选项，可以为http，https，rtmp，quic，other。 abroad int 否 区域 0(国内)，1(国外)，不传或为空默认返回全部区域 groupby list< string > 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，busitype，domain，province，isp，networklayerprotocol，applicationlayerprotocol，abroad 。