管理改密日志 改密策略执行后产生的改密日志。改密日志中可查看改密详情。 前提条件 已获取“改密策略”模块操作权限。 查看日志详情 1 登录云堡垒机系统。 2 选择“策略 > 改密策略 > 改密日志”，查看和管理改密日志记录。 改密日志列表 3 查询改密日志。 快速查询：在搜索框中输入关键字，根据策略名称快速查询改密日志。 4 选择目标执行日志，单击“详情”，进入日志详情页面。 可查看日志内容包括基本信息、改密结果等信息。 查看改密日志详情 下载改密日志 1 登录云堡垒机系统。 2 选择“策略 > 改密策略 > 改密日志”，查看和管理改密日志记录。 3 单击“下载”，进入下载改密日志文件窗口。 4 下载确认。 （可选）设置加密密码：可选择设置。不设置，下载的改密日志为未加密的CSV格式文件；设置密码，下载的改密日志为加密的ZIP格式文件。 （必选）用户密码：输入当前用户的帐号登录密码，验证通过才允许下载改密日志，确保资源账户密码安全。 单击“确定”，即可下载CSV格式文件或加密的ZIP格式文件保存到本地。

本节介绍设置安全的口令。 请按如下建议设置口令： 使用复杂度高的密码 建议密码复杂度至少满足如下要求： 密码长度至少8个字符。 包含如下至少三种组合： 大写字母（AZ） 小写字母（az） 数字（0~9） 特殊字符 密码不为用户名或用户名的倒序。 不使用有一定特征和规律容易被破解的常用弱口令 生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份 数字或字母连排或混排，常用彩虹表中的密码、滚键盘密码 短语密码 公司名称、admin、root等常用词汇 说明 不使用空密码或系统的缺省密码。 不要重复使用最近5次（含5次）内已使用的密码。 不同网站/账号使用不同的密码。 根据不同应用设置不同的账号密码，不建议多个应用使用同一套账户/密码。 定期修改密码，建议至少每90天更改一次密码。 账号管理人员初次发放或者初始化密码给用户时，如果知道密码内容，建议强制用户首次使用修改密码，若不能强制用户修改密码，则为密码设置过期的期限（用户必须及时修改密码，否则密码应被强制失效）。 建议为所有账户配置设置连续认证失败次数超过5次（不含5次），锁定账号策略和30分钟自动解除锁定策略。 建议对所有账户设置不活动时间超过10分钟自动退出或锁定策略。 新建系统中的账号缺省密码在首次使用前，建议强制用户更改。 建议开启账户登录记录日志功能，登录日志最少保存180天，登录日志中不能保存用户的密码。

您可以登录微服务引擎控制台，根据实际的业务需求对Nacos引擎的角色进行创建、编辑、删除和查看的操作。支持按命名空间或更细粒度的权限控制。 创建角色 步骤 1 登录微服务引擎控制台。 步骤 2 在左侧导航栏选择“注册配置中心”。 步骤 3 单击待操作的Nacos引擎。 步骤 4 在左侧导航栏选择“权限控制”。 步骤 5 在“角色管理”页签，单击“创建角色”。 步骤 6 输入新角色名称。 说明 角色创建后，角色名称不可修改。 步骤 7 设置关联用户，在下拉框中选择新增帐号中创建的用户。 步骤 8 添加权限配置。 单击“添加权限配置”，在“命名空间”下拉框选择命名空间，在“权限动作”下拉框选择动作权限，包括只读、只写和读写。可同时添加多条权限配置，也可单击权限配置“操作”列的“删除”，删除某一条权限配置。 说明 权限之间是与的关系，即该角色同时拥有此处配置的权限。 步骤 9 单击“创建”，创建角色。 编辑角色 步骤 1 登录微服务引擎控制台。 步骤 2 在左侧导航栏选择“注册配置中心”。 步骤 3 单击待操作的开启了安全认证的Nacos引擎。 步骤 4 在左侧导航栏选择“权限控制”。 步骤 5 在“角色管理”页签，单击待编辑角色“操作”列的“编辑”。 步骤 6 根据实际业务需求，修改“命令空间”和“权限动作”。 步骤 7 单击“编辑”，完成角色编辑。

本文主要介绍 连接和查看Kafka Manager。 Kafka Manager是开源的Kafka集群管理工具，需要通过浏览器才能访问Kafka Manager的地址。在Kafka Manager页面，您可以查看Kafka集群的监控、代理等信息。 前提条件 已配置如下表所示安全组。 表安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 9999 0.0.0.0/0 访问Kafka Manager。 登录Kafka Manager 步骤 1 （可选）创建一台与Kafka实例相同VPC和相同安全组的Windows服务器，详细步骤请参考《弹性云主机用户指南》的“创建弹性主机”章节。 如果是已经开启了公网访问，该步骤为可选，在本地浏览器中即可访问，不需要单独的Windows弹性云主机。 步骤 2 在实例详情信息页面，获取Kafka Manager地址。 未开启公网访问时，Kafka Manager地址为“Manager内网访问地址”。 图 Kafka Manager内网访问地址 已开启公网访问时，Kafka Manager地址为“Manager公网访问地址”。 图 Kafka Manager公网访问地址 步骤 3 在浏览器中输入Kafka Manager的地址，进入Kafka Manager登录页面。 如果是开启了公网访问，在本地浏览器输入Kafka Manager地址访问；如果没有开启公网访问，需要登录步骤1的弹性云主机，然后在浏览器输入Kafka Manager地址访问。 步骤 4 输入创建实例时设置的Kafka Manager用户名和密码，即可管理Kafka集群。

本章节主要介绍翼MapReduce服务Host健康检查指标项说明。 Swap使用率 指标项名称 ：Swap使用率 指标项含义 ：系统Swap使用率，计算方法：已用Swap大小/总共Swap大小。当前阈值设置为75.0%，如果使用率超过阈值，则认为不健康。 恢复指导 ： 1.确认节点Swap使用率。 登录检查结果不健康的节点，执行free m查看swap总量和已使用量，如果swap使用率已超过阈值，则执行2。 2.如果Swap使用率超过阈值，建议对系统进行扩容，如：增加节点。 主机文件句柄使用率 指标项名称 ：主机文件句柄使用率 指标项含义 ：系统中文件句柄的使用率，主机文件句柄使用率已用句柄数/总共句柄数。如果使用率超过阈值，则认为不健康。 恢复指导 ： 1.确认主机文件句柄使用率。 登录检查结果不健康的节点，执行 cat /proc/sys/fs/filenr ，输出结果的第一列和第三列分别表示系统已使用的句柄数和总句柄数，如果使用率超过阈值，则执行2。 2.如果主机文件句柄使用率超过阈值，建议对系统进行排查，具体分析文件句柄的使用情况。 NTP偏移量 指标项名称 ：NTP偏移量 指标项含义 ：NTP时间偏差。如果时间偏差超过阈值，则认为不健康。 恢复指导： 1.确认NTP时间偏差。 登录检查结果不健康的节点，执行/usr/sbin/ntpq np查看信息，其中offset列表示时间偏差。如果时间偏差大于阈值，则执行2。 2.如果该指标项异常，则需要检查时钟源配置是否正确，请联系运维人员处理。

操作步骤 1. 管理员登录IAM控制台。 2. 在左侧导航窗格中，选择“概览”。点击右侧“账号信息”下方，账号别名的“新增”按钮。 3. 输入账号别名。 4. 点击“完成”，创建账号别名成功。 5. 在左侧导航窗格中，选择“用户”。点击“创建用户”，输入前缀名等相关信息。 6. 完成登录名创建。

本节介绍如何进入Web应用防火墙v2.0版本控制台，及如何使用Web应用防火墙v2.0。 Web应用防火墙v2.0 版本由Web应用防火墙（原生版）提供服务。 进入控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“Web应用防火墙 > Web应用防火墙v2.0”，跳转到Web应用防火墙（原生版）控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”，进入Web应用防火墙（原生版）控制台。 使用Web应用防火墙v2.0 请参见Web应用防火墙（原生版）。

步骤四：关闭云主机密码保护共享 1.登录云主机。 2.打开左下角的“开始”菜单，选择“控制面板 > 所有控制面板项 > 网络和共享中心 > 更改高级共享配置。 3.在“密码保护的共享”页签下选择“关闭密码保护共享”。 图 关闭密码保护共享 4.单击“保存修改”。

API侧开启消费者认证 说明 在REST API上开启消费者认证后，则将对该API下的所有接口都生效。 API和接口上只能开启同一种认证方式。因此，如API上开启消费者认证，则其下所有接口都会开启相同认证；如存在接口开启了消费者认证，则无法在该API上开启认证，需要关闭API下所有接口的认证后才能开启。 API需要发布后才能生效。 操作步骤 1. 登录 云原生API网关控制台。 2. 在左侧导航栏，选择 "API"，并在顶部菜单栏选择地域。 3. 进入REST API详情页>消费者认证页签。 4. 点击编辑配置信息，填写配置信息后，点击"确认"。 接口侧开启消费者认证 说明 接口上如未开启消费者认证，则默认和所在API上的消费者认证状态一致。 接口可以额外进行消费者授权。例如接口所在API授权了消费者1，接口本身授权了消费者2，则携带消费者1或消费者2的认证信息都能访问该接口。 接口需为发布状态才能生效。 操作步骤 1. 登录 云原生API网关控制台。 2. 在左侧导航栏，选择 "API"，并在顶部菜单栏选择地域。 3. 进入REST API详情页，单击接口>消费者认证页签。 4. 点击编辑配置信息，填写配置信息后，点击"确认"。 路由侧开启消费者认证 说明 路由需为发布状态才能生效。 操作步骤 1. 登录 云原生API网关控制台。 2. 在左侧导航栏，选择 "API"，并在顶部菜单栏选择地域。 3. 进入HTTP/WebSocket API详情页，单击路由>消费者认证页签。 4. 点击编辑配置信息，填写配置信息后，点击"确认"。 资源端关闭消费者认证

操作步骤 单个实例绑定一个或多个标签 1. 登录“控制中心”，管理控制台顶部菜单左侧 ，选择地域。 2. 选择 “存储>海量文件服务OceanFS”，进入OceanFS文件系统列表页面。 3. 在文件系统列表中，点击待添加标签的文件系统所在行的“操作>更多>编辑标签”。 4. 弹出“编辑标签”窗口，键入标签“标签键”，和“标签值”。支持同时添加多个标签，单击“确定”，完成标签的添加。 5. 此时，在此文件系统列表页的“标签”列处，点击标签图标可看到已添加的标签信息。 多个实例绑定一个或多个标签 1. 登录“控制中心”，管理控制台顶部菜单左侧 ，选择地域。 2. 选择 “存储>海量文件服务OceanFS”，进入OceanFS文件系统列表页面。 3. 在文件系统列表中，勾选需要批量绑定标签的文件系统实例，点击列表上方按钮“批量绑定标签”。 4. 在“批量绑定标签”弹窗中，展示了所选文件系统实例，您可以按照使用限制与配置参数说明要求填写/选择标签键值，新增标签键值对。新增完成后，所有被勾选的文件系统实例都将绑定该新增标签。 5. 您还可以在“批量绑定标签”弹窗中，修改标签键值对，执行编辑标签操作。 解绑标签 前提条件 实例资源已绑定标签。 操作步骤 解绑单个实例的标签 1. 登录“控制中心”，管理控制台顶部菜单左侧 ，选择地域。 2. 选择 “存储>海量文件服务OceanFS”，进入OceanFS文件系统列表页面。 3. 在文件系统列表中，点击待添加标签的文件系统所在行的“操作>更多>编辑标签”。 4. 弹出“编辑标签”窗口，点击标签键值后面的“删除”，可同时删除多个标签。 5. 单击弹窗下方“确定”，完成标签的解绑操作。

照通过kubectl命令行使用云盘快照 1、创建快照类（VolumeSnapshotClass） 使用kubectl连接集群，创建示例yaml文件vscexample.yaml： plaintext apiVersion: snapshot.storage.k8s.io/v1 kind: VolumeSnapshotClass metadata: name: {名称} annotations: snapshot.storage.kubernetes.io/isdefaultclass: "false" 是否默认存储类 driver: disk.csi.cstor.com parameters: snapshotType: "STANDARD" 快照类型有STANDARD和FAST两种 快照存储库名字，当snapshotType为STANDARD时必填，当为FAST时无需填写 snapshotRepository: {仓库名} deletionPolicy: {删除策略} 执行以下命令，创建VolumeSnapshotClass： plaintext kubectl apply f vscexample.yaml 查看创建的VolumeSnapshotClass： 登录“云容器引擎”管理控制台，在集群列表页点击进入指定集群，进入主菜单“存储”——“快照与备份”，在快照类列表查看。 2、创建快照（VolumeSnapshot） 使用kubectl连接集群，创建示例yaml文件vsexample.yaml： plaintext apiVersion: snapshot.storage.k8s.io/v1 kind: VolumeSnapshot metadata: name: {名称} namespace: {命名空间} spec: volumeSnapshotClassName: {快照类} source: persistentVolumeClaimName: {PVCname} 执行以下命令，创建VolumeSnapshot： plaintext kubectl apply f vsexample.yaml 查看创建的快照： 登录“云容器引擎”管理控制台，在集群列表页点击进入指定集群，进入主菜单“存储”——“快照与备份”，在快照列表查看。 3、基于快照创建PVC 使用kubectl连接集群，创建示例yaml文件pvcvsexample.yaml： plaintext apiVersion: v1 kind: PersistentVolumeClaim metadata: name: {名称} namespace: {命名空间} spec: storageClassName: {存储类名称} dataSource: name: {VolumeSnapshot名称} kind: VolumeSnapshot apiGroup: snapshot.storage.k8s.io accessModes: {访问模式} resources: requests: storage: {容量} volumeMode: {卷模式} 执行以下命令，创建PVC： plaintext kubectl apply f pvcvsexample.yaml 查看创建的PVC： 登录“云容器引擎”管理控制台，在集群列表页点击进入指定集群，进入主菜单“存储”——“持久卷声明”，在列表查看。

应用在系统中运行需要配置特定的环境变量，本文介绍如何在 CAE 控制台上为应用设置环境变量，包括自定义环境变量和从命名空间配置项、保密字典中引入的环境变量。 功能入口 场景不同，操作入口也有所不同。 创建应用 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表 ，然后单击创建应用 2. 在应用基本信息 向导页面进行配置后，单击下一步：高级设置 对正在运行的应用进行变更 注意 重新部署应用后，该应用将会被重启。为避免业务中断等不可预知的错误，请在业务低峰期执行部署操作。 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表，然后单击目标应用名称 2. 在目标应用的基础信息 页面，单击部署应用 对已停止的应用进行变更 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表，然后单击目标应用名称 2. 在目标应用的基础信息 页面，单击修改应用配置 环境变量配置指引 添加自定义环境变量 从类型 下拉列表，选择自定义 ，并输入变量名称 和变量值。 引用配置项作为环境变量 从类型 下拉列表，选择引用配置项 ，输入变量名称 ，并在配置项名称 、键下拉框中选择已创建的配置项名称和该配置项中的键。支持配置单个键或者全部键。 说明 1. 如果您挂载了全部键，每个键的变量名称默认和所选配置项的键名称保持一致，不可自定义。 2. 环境变量名称的长度建议不超过256个字符。云应用引擎将环境变量作为属性存储在应用部署属性中，允许配置多个环境变量。

使用磁盘清理工具清理磁盘空间 以下操作步骤中云主机的操作系统为“Windows 2016 数据中心版”，回显仅供参考。 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 参考登录Windows弹性云主机，远程登录待清理空间的Windows弹性云主机实例。 5. 进入弹性云主机之后，单击桌面左下方开始图标。在弹出菜单栏的左侧，选择“Windows管理工具>磁盘清理”，具体操作如下图： 6. 在进入磁盘清理窗口之前，系统会弹出一个“扫描计算磁盘空间”的窗口来自动计算可在C盘上释放的空间，如下图所示： 7. 扫描计算完成之后（此过程需要35分钟），弹出的窗口为磁盘清理窗口，如下图所示： 注意 由于此台云主机实例中仅有一个系统盘，因此驱动器无需选择默认为C盘，若有其他数据盘，在此步骤之前会有驱动器选择的过程，用户可以选择清理C盘或其他磁盘分区。 8. 在此页面中，“要删除的文件”弹窗中都是可以删除的文件，您可以勾选需要删除的文件，单击“确定”，此时会弹出“确认删除”对话框，点击“删除文件”，则文件被永久删除，磁盘空间被清理，点击“取消”，则会取消此删除操作，具体操作如下图：

本文介绍库列表页各项功能,包括查看库信息、新建数据库、进入对象列表、查询、删除等操作。 前提条件 登录用户对该实例具有查看及更高权限。 操作步骤 1. 登录数据管理服务。 2. 从左侧菜单 数据资产 >实例管理 进入到实例列表页面。 3. 点击目标实例操作菜单栏的 库列表 按钮，进入到数据库管理页面。 4. 点击“同步元数据”按钮，获取数据库实时的元数据信息。 数据库管理功能介绍 功能项 说明 新建数据库 新建数据库，以及同步当前实例的数据库元数据。 库搜索 当前实例下的库搜索，支持按库名称进行模糊搜索。 库切换 当前实例的基本信息，在通过下拉框的形式切换实例，展示不同实例的库列表。 库列表 数据库的基本信息，包括库名、字符集、排序规则等信息，不同的数据库的列表信息会有差异。 数据库操作 跳转至下级对象的列表页面、跳转至查询窗口页面以及删除数据库。 数据库打标 在库列表找到目标库，点击标签图标，可对库进行标签设置操作。 MySQL数据库管理 数据库类型为MySQL系列的数据库。 新建数据库 1. 登录数据管理服务。 2. 在实例列表页面中，单击 库列表 按钮进入到数据库管理页面。 3. 点击 新建数据库 按钮，按需输入可选参数。 4. 点击 确定 按钮即可完成数据库的创建。 创建数据库参数说明 参数 是否必填 说明 数据库名称 是 创建后数据库的名称。 授权账号 否 将当前数据库的权限赋予指定用户。 字符集 否 数据库的字符集，默认为utf8mb4。 排序规则 否 数据库的排序规则，默认为utf8mb40900aici。

怎么保证检测的漏洞的准确性？ 漏洞的检测方式为版本比对和POC验证两种方式。 版本比对：通过获取应用的安装包版本和进程版本，将其与应用的漏洞版本进行比对。 POC验证：对漏洞逐个进行分析，根据漏洞原理编写对应的漏洞验证脚本，逐个漏洞进行检测。 是否可以对内网主机进行监测防护？ 安装服务器安全卫士Agent需要能通过公网连通服务器安全卫士服务端，如果是内网环境的话，可以选择一台CentOS 7的主机做代理机进行安装，代理机需要能同时连通服务端和内网主机。 Agent与Server之间的通信使用哪些端口？ 需放开80/8001/8002/8443/6677/7788端口。 Agent如何增强自身安全性？ Agent自身安全性，采用加壳技术反调试、抗逆向，共享库防篡改，采用签名进行升级保护。 Agent多锚点入侵检测，及时发现和处理黑客攻击，一般不会被黑客获取到kill掉Agent的权限。 服务端对于Agent离线、卸载、频繁掉线有监控和告警。 Agent与服务端通信加密、数据加密，黑客即使拿下Agent也不会获取主机数据。 服务端是否有登录失败处理功能？ 服务端具有登录失败处理功能，默认登录失败5次，则会封停15分钟。 服务器端产生的日志存储机制？ 服务端java应用产生日志默认会保留180天 日志路径：/data/titanlogs/java/ 日志限制： 每个服务每类日志（request.log/info.log/warn.log/error.log/lib.log）每个日志文件最大为100MB，超过100MB会滚动下一个日志文件记录。 单类日志总的日志大小限制为10GB，超过限制的会删除最早产生的日志。 服务端每类日志理论上占用10GB，一个服务理论最大占用50GB，总共大约占用为200G。

主机Agent的覆盖 HW和重保期间需要保证所有主机均接入服务器安全卫士服务，以提高服务器安全风险防御能力。 您可以登录服务器安全卫士控制台查看“Agent管理”页面，确认主机防护状态，显示所有 Agent 的状态，并可随时调整 Agent 运行模式，导出 Agent 运行日志与报表，随时分析解决问题。 发现未安装服务器安全卫士主机，消除防护盲点 主机发现这个功能就是在用户网络环境内通过已经安装了Agent 的主机发现未安装 agent 的主机，帮用户更全面的了解其网络环境内的主机资源。 在用户的IT 运维环境中会在一部分主机上部署Agent，用户就需要能够知道还有哪些主机没有部署 Agent（一方面是用户很多时候都不知道在自己的网络环境中有多少主机，另一方面用户也会有一些主机新上线）。 执行系统管理主机发现扫描任务新建扫描，新建扫描功能可以让用户根据其需求配置一个扫描任务。所有发现的网络环境中，未安装 Agent 的主机资产。可以根据首次发现时间和最后发现时间等字段进行过滤，筛选出想要的未安装 Agent 主机列表。 完善安全防护配置并实时处理告警 全面开启入侵检测功能。 服务器安全卫士的入侵检测通用功能，包括暴力破解、异常登录、反弹shell等。 以旗舰版为例，入侵检测模块主要包含暴力破解、异常登录、反弹shell、本地提权、后门检测、Web后门、可疑操作、Web命令执行八大功能。

nerdctl常用操作 1. 登录容器镜像服务实例。 plaintext nerdctl login usernametester testregistryhuadong1.crs.ctyun.cn 2. 拉取镜像。 plaintext nerdctl pull testregistryhuadong1.crs.ctyun.cn/nstest/repotest: 3. 推送镜像。 plaintext nerdctl tag testregistryhuadong1.crs.ctyun.cn/nstest/repotest: nerdctl push testregistryhuadong1.crs.ctyun.cn/nstest/repotest: 4. 示例： 使用nerdctl images命令查看本地镜像。 plaintext nerdctl images REPOSITORY TAG IMAGE ID CREATED PLATFORM SIZE BLOB SIZE busybox latest xxxxx 11 hours ago linux/amd64 4.2 MiB 2.1 MiB 使用nerdctl tag命令重命名镜像。 plaintext nerdctl tag 3fbc63216742 testregistryhuadong1.crs.ctyun.cn/nstest/repotest:v1 使用nerdctl push命令推送镜像。 plaintext nerdctl push testregistryhuadong1.crs.ctyun.cn/nstest/repotest:v1 Helm常用操作 1. 需要使用Helm 3.7及以上客户端版本推送和拉取Chart。对于Helm 3.7版本，需要在环境变量中设置HELMEXPERIMENTALOCI以启用OCI试验性支持: plaintext export HELMEXPERIMENTALOCI1 对于Helm 3.8及以上版本无需进行此设置。 2. 登录容器镜像服务实例。 plaintext helm registry login u tester testregistryhuadong1.crs.ctyun.cn 登录的用户名和密码为开通实例时设置的用户名和密码，如果忘记密码，可以在访问凭证页面重置密码。 3. 创建Chart并制作压缩包。 plaintext helm create test tar zcvf test.tgz test 4. 推送 Chart。 plaintext helm push test.tgz oci://testregistryhuadong1.crs.ctyun.cn/testChart 5. 拉取Chart。 plaintext helm pull oci://testregistryhuadong1.crs.ctyun.cn/testChart/test version 6. 解压压缩包。 plaintext tar xzvf test .tgz

查看SWR企业版镜像敏感信息报告 1、登录管理控制台。 2、在左侧导航栏选择“资产管理 > 容器管理”，进入容器管理界面。 3、选择“容器镜像 > 企业版镜像（SWR）”。 4、在目标镜像所在行的“操作”列，单击“安全报告”，进入安全扫描报告界面。 5、选择“敏感信息”，查看敏感信息报告。 您可以查看目标镜像中含有敏感信息的文件的路径、敏感信息内容、危险程度。 忽略敏感信息提示：在目标敏感信息文件所在行的“操作”列，单击“忽略”，忽略您认为安全的敏感信息提示。 配置敏感文件过滤路径 a.单击“敏感文件过滤路径管理”，右面弹出敏感信息过滤路径管理弹窗。 b.在弹窗中设置不需要检测的文件路径（Linux路径），并单击“确定”。最多可自定义20个路径，多路径配置时不同路径之间用回车符号进行分隔。 查看SWR企业版镜像软件合规报告 1、登录管理控制台。 2、在左侧导航栏选择“资产管理 > 容器管理”，进入容器管理界面。 3、选择“容器镜像 > 企业版镜像（SWR）”。 4、在目标镜像所在行的“操作”列，单击“安全报告”，进入安全扫描报告界面。 5、选择“软件合规”，查看软件合规报告。 您可以查看不合规软件的名称、路径、镜像层信息。 查看SWR企业版镜像基础镜像信息报告 1、登录管理控制台。 2、在左侧导航栏选择“资产管理 > 容器管理”，进入容器管理界面。 3、选择“容器镜像 > 企业版镜像（SWR）”。 4、在目标镜像所在行的“操作”列，单击“安全报告”，进入安全扫描报告界面。 5、选择“基础镜像信息”，查看基础镜像信息报告。 您可以查看未使用基础镜像构建的业务镜像的名称、版本、镜像层路径信息。

删除访问密钥 步骤 1 登录管理控制台。 步骤 2 单击左侧，选择“应用性能管理 APM”，进入APM服务页面。 步骤 3 在左侧导航栏选择“系统管理 > 访问密钥”，进入访问密钥页面。 步骤 4 在访问密钥页面，单击待删除的访问密钥所在行的“删除”。 步骤 5 单击“确认”，删除该访问密钥。 启用、停用访问密钥 新创建的访问密钥默认为启用状态，如需停用该访问密钥，步骤如下： 步骤 1 登录管理控制台。 步骤 2 单击左侧，选择“应用性能管理 APM”，进入APM服务页面。 步骤 3 在左侧导航栏选择“系统管理 > 访问密钥”，进入访问密钥页面。 步骤 4 在访问密钥页面，单击待停用的访问密钥所在行的“停用”。 步骤 5 单击“确认”，停用该访问密钥。 若想重新启用，则单击该访问密钥所在行的“启用”，单击“是”，启用该访问密钥。 通用配置 通用配置可以设置数据采集的最大行数，慢请求阈值，以及停止Agent字节码方式拦截。 步骤 1 登录管理控制台。 步骤 2 单击左侧，选择“应用性能管理 APM”，进入APM服务页面。 步骤 3 在左侧导航栏选择“系统管理 > 通用配置”，进入通用配置页面。 如下图，在这里可以设置数据采集的最大行数、慢请求阈值以及是否停止agent字节码方式拦截。 图 编辑通用配置 说明 停止Agent字节码方式拦截，将停止除JVM指标、GC指标、tomcat线程监控以外的所有监控指标采集。

批量启动测试计划 启动同一测试工程下的多个测试计划。 1、登录性能测试控制台，在左侧导航栏中选择“JMeter测试工程”，单击待操作工程后的。 2、在“测试计划”页签中，选中多个需要启动的测试计划，单击“批量启动”。 3、选择对应的资源组，单击“启动”。 测试计划高级配置 1、登录性能测试控制台，在左侧导航栏中选择“JMeter测试工程”，单击待操作工程后的。 2、在“测试计划”页签中，单击待配置测试计划操作栏中的。 3、 设置高级配置。 1. 执行器：执行器数量的设置仅在使用私有资源组时生效，如果不配置，使用默认策略：默认单执行器支持并发：HTTP/HTTPS(5000)，WebSocket(5000)，JMeter(1000)，HLS(1000)。执行器数量 > 线程组中所有阶段的并发用户之和/1000。 2. 失败日志采集比例：默认按10‰的抽样比例采集失败的请求日志，可自行调整，最大抽样比例为1000‰。 4、配置完成后，单击“确定”。 编辑测试计划 1、登录性能测试控制台，在左侧导航栏中选择“JMeter测试工程”，单击待操作工程后的。 2、在“测试计划”页签中，单击待修改测试计划操作栏中的“更多” ，选择“更新jmx”。 3、在弹出的“编辑测试计划”对话框中，重新导入格式为.jmx的文件，单击“关闭”。 编辑测试计划 4、在“测试计划”页签中，单击待修改测试计划操作栏中的“更多” ，选择“变量文件”，可重新导入测试计划需要引用的文件。

配置识别任务结果 当用户需要编辑某个识别任务的识别结果时，可以通过点击识别任务的配置，进入识别结果页面。 1. 登录数据管理服务。 2. 在左侧菜单栏中，选择数据资产> 敏感数据保护，进入敏感数据保护页面。 3. 在顶部菜单栏中，选择识别任务页签，进入识别任务页面。 4. 在识别任务列表中，点击目标识别任务操作列的配置进入识别结果页面，配置识别结果。 5. 在识别结果页面中，用户可以查看识别任务的配置信息，查看与编辑识别结果信息，支持按照库/模式、敏感等级过滤，支持按照字段名、表名关键字模糊搜索，支持编辑识别结果的脱敏算法。 6. 在识别结果页面中，用户点击取消 返回至识别任务页面，点击生效 将识别结果保存至敏感列。 查看识别任务结果 当用户需要查看识别结果时，可以通过点击识别任务的详情，进入识别结果页面。 1. 登录数据管理服务。 2. 在左侧菜单栏中，选择数据资产 > 敏感数据保护，进入敏感数据保护页面。 3. 在顶部菜单栏中，选择识别任务页签，进入识别任务页面。 4. 在识别任务列表中，点击目标识别任务操作列的详情进入识别结果页面，查看识别结果。 删除识别任务 当用户需要删除识别任务时，可以通过点击识别任务的删除按钮，删除该识别任务及其识别结果。 1. 登录数据管理服务。 2. 在左侧菜单栏中，选择数据资产> 敏感数据保护，进入敏感数据保护页面。 3. 在顶部菜单栏中，选择识别任务页签，进入识别任务页面。 4. 在识别任务列表中，点击目标识别任务操作列的删除，删除识别任务及其识别结果。

本节指导您快速上手漏洞扫描服务。 漏洞扫描服务（Vulnerability Scan Service，简称VSS）是针对网站和主机进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测和漏洞生命周期管理服务。 用户新建任务后，即可人工触发扫描任务，检测出网站的漏洞并给出漏洞修复建议。 购买漏洞扫描服务 注意 购买漏洞扫描服务时，系统将自动调用数据加密服务的接口，为漏洞扫描服务创建一个默认密钥。若账户余额不足100元，系统将无法创建默认密钥，从而导致漏洞扫描服务开通失败。 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务页面。 3. 单击“升级规格”，进入购买页面，选择计费模式、服务版本、购买时长和扫描包数量。 后面操作以“企业版”为例进行介绍。 说明 漏洞扫描服务提供基础版、专业版、高级版和企业版扫描服务，基础版可免费使用，但是功能和规格受限，专业版、高级版和企业版需付费。 新增域名 1. 在左侧导航树中，选择“资产列表”，在域名列表的左上角，单击“新增域名”。 2. 域名信息配置，填写域名名称和“域名/IP地址”。 3. 单击“确认”，进入域名认证页面。 4. 选择“免认证”，单击“完成认证”。 5. （可选）根据实际情况完成网站设置。 如果网站中某些网页需要登录才能访问，请您进行登录设置，以便VSS能够为您发现更多安全问题。

事件流可以对源端产生的事件实时抽取、转换和分析并加载至目标端，帮助您轻松处理流式数据。本文介绍如何在事件总线EventBridge管理控制台完成创建、查看和删除事件流等操作。 前提条件 已开通事件总线EventBridge并委托授权。 创建事件流 1. 登录事件总线EventBridge管理控制台。 2. 在左侧导航栏，单击事件流。 3. 在事件流页面，单击创建事件流。 4. 在创建事件流页面，完成以下操作。 1. 在Source（源）配置向导，选择数据提供方及其资源信息，然后单击下一步。更多事件源信息参考事件流事件源。 2. 在Filtering（过滤）配置向导，在事件模式内容代码框输入事件模式，然后单击下一步。 3. 在Transform（转换）配置向导，设置事件转换规则，然后单击下一步。更多信息，请参见使用函数计算实现消息数据清洗。 4. 在Sink（目标）配置向导，设置事件目标。更多事件目标信息参考事件流事件目标。 5.创建事件流后，会有30秒~60秒的延迟时间，您可以在事件流页面的状态栏查看启动进度。 查看事件流详情 1. 1.登录事件总线EventBridge管理控制台。 2. 在左侧导航栏，单击对应事件流的详情按钮。 3. 在事件流详情页面，查看事件流信息，包括Source（源）、Filtering（过滤）、Transform（转换）以及Sink（目标）信息。 删除事件流 1. 登录事件总线EventBridge管理控制台。 2. 在左侧导航栏，单击事件流。 3. 在事件流页面，找到目标事件流，在其右侧操作列单击删除。 4. 在提示对话框，阅读提示信息，然后单击确定。 注意 事件流一旦被删除，发送及接收的消息数据将不可恢复。

当用户认为存储库的总容量不足时，可以通过执行扩容操作来增加存储库的容量。 自动扩容 如果希望存储库在容量达到上限时，自动进行扩容，可以开启自动扩容功能。 开启自动扩容后，当存储库的已存储容量超过上限时，存储库将自动扩容至原存储库容量的1.25倍。 如果存储库超出容量后开启自动扩容，自动扩容不生效。 计费模式为“包年包月”的存储库不支持开启自动扩容。 1. 登录云服务备份管理控制台。 2. 在任一备份页面，找到目标存储库，单击目标存储库名称。 3. 在存储库详情页面，找到“自动扩容”，编辑自动扩容状态，修改为开启。“自动扩容”一栏已变更为“是”时，表示自动扩容开启成功。 4. （可选）如不再需要自动扩容功能，编辑自动扩容状态，修改为关闭即可。“自动扩容”一栏已变更为“否”时，表示已关闭自动扩容。 扩容存储库 1. 登录云服务备份管理控制台。 a. 登录管理控制台。 b. 单击管理控制台左上角的，选择区域。 c. 单击“”，选择“存储 > 云服务备份”。选择对应的备份目录。 2. 在任一备份页面，找到目标存储库，单击存储库所在列的“更多 > 扩容”。如下图所示。 图 扩容存储库 3. 输入需要新增的容量。最小值为1GB。 4. 单击“立即申请”。确认信息无误后，单击“提交”。系统会自动为存储库扩容。 5. 返回存储库列表，可以看到存储库已成功扩容。

挂载的操作步骤 1. 发现存储卷对应Target所在的服务器IP和Port。如果是集群版的卷，需要输入主备两个Target所在服务器的地址。 iscsiadm m discovery t st p SERVERIP 若您的 iSCSI Target没有开启CHAP认证，请直接执行“登录Target”。集群版的卷需要登录两个Target。 2. 开启CHAP认证 iscsiadm m node T iSCSITARGETIQN o update name node.session.auth.authmethod valueCHAP 3. 输入CHAP用户名 iscsiadm m node T iSCSITARGETIQN o update name node.session.auth.username valueUSER 4. 输入CHAP密码 iscsiadm m node T iSCSITARGETIQN o update name node.session.auth.password valuePASSWORD 5. 登录 Target iscsiadm m node T iSCSITARGETIQN p SERVERIP l 6. 显示相关信息 单机版 iscsiadm m session 显示会话情况，查看当前iSCSI连接 lsblk 查看iSCSI磁盘 集群版 lsscsi 查看SCSI设备 multipath ll 查看MPIO设备 7. 格式化 iSCSI 磁盘 注意 如果卷容量小于等于2TB时，可以使用MBR和GPT中的任意一种进行分区；如果卷容量大于2TB，只能使用GPT分区。 mkfs t ext4 /dev/mapper/mpatha1 格式化成ext4 mkdir DIRECTORYNAMEORPATH 创建目录 mount /dev/mapper/mpatha1 DIRECTORYNAMEORPATH 将mpatha1挂载到目录 8. 如果用户重启客户端，或者需要断开连接、删除磁盘等，需要先执行以下命令，请严格按照规范操作，以防引起文件损坏。 umount DIRECTORYNAMEORPATH iscsiadm m node T iSCSITARGETIQN p SERVERIP u

本小节介绍漏洞扫描功能特性。 产品主要定位主机系统漏洞发现，弱口令检测、配置脆弱性检测，扫描覆盖多种系统环境，如：Windows、UNIX、Linux、Solaris等，帮助客户发现主机中存在的漏洞风险，根据不同漏洞提供解决建议。 漏洞扫描 多种评估类型：评估主机系统、网络和应用程序的弱点，检测系统内的恶意软件，发现Web服务器和服务的弱点。 丰富的评估能力：网络设备，包括下一代防火墙、操作系统、数据库、Web应用、虚拟和云环境等，扫描IPv4、IPv6和混合网络，可根据需求设置扫描任务运行时间和频率。 两种扫描模式：漏洞扫描器在选择扫描方式时可使用非登录扫描和登录扫描方式，登录扫描能够更深入全面的发现主机漏洞。 持续管理：扫描器可以配置为自动更新，扫描器不断更新高级威胁及零日漏洞插件。 多种报告：自定义报告以按漏洞或主机排序，创建执行摘要或比较扫描结果以突出显示更改，可提供XML、PDF、CSV和HTML类型的报告。 开放端口 SYN扫描：端口扫描是计算机入侵者常用的一种漏洞发现方式，攻击者可以通过它了解到主机攻击弱点，一个开放端口就是一个潜在的通信通道，也就是一个入侵通道。如主机开启FTP服务，默认会开放两个端口，一般为20和21端口，入侵者使用端口扫描发现这两个开放状态的端口后将针对展开入侵行为，成功入侵将对企业造成不可估量损失。而网络运营者主动通过端口扫描发现开放端口，分析开放端口潜在风险，做好开放端口访问限制，识别不必要的开放端口并及时关闭，可避免端口被入侵者利用，提高主机防护能力。

配置Nginx 1.Nginx安装后，需要配置请求转发规则，告诉Nginx哪个端口收到的请求，应该转发到后端哪个Redis实例。 修改配置文件。 cd /etc/nginx vi nginx.conf 配置示例如下，如果有多个redis实例需要公网连接，可以配置多个server，在proxypass中配置Redis实例连接地址。 stream { server { listen 8080; proxypass 192.168.0.5:6379; } server { listen 8081; proxypass 192.168.0.6:6379; } } 说明 proxypass参数配置值为同一vpc下的Redis实例的IP地址，具体可从缓存实例详情页面的“连接信息”区域获取。 图 Nginx配置 2.重启Nginx服务。 service nginx restart 3.验证启动是否成功。 netstat angrep 808 图 启动Nginx及验证 通过Nginx访问Redis 1. 登录虚拟私有云控制台，确认跳板机的安全组规则是否放开，如果没有，则需要为安全组放开8080和8081两个端口。 2. 在公网环境中打开Redis命令行界面，输入如下命令，登录与查询都正常，大功告成。 说明 公网环境已参考Rediscli连接中相关步骤，安装Rediscli客户端。 ./rediscli h {myeip} p {port} 其中，命令中的{myeip}为主机连接地址，需要填写ECS的弹性IP，端口需要填写ECS上Nginx的监听端口。 如果Redis实例设置了密码访问，则执行本步骤输入密码，校验通过后才可进行缓存数据读写。 auth 其中“ ”为创建Redis实例时自定义的密码，请按实际情况修改后执行。 密码访问回显示例，及登录查询如下：

新增访问密钥时忘记下载，如何重新下载找到密钥文件？ 删除密钥重新生成即可。并且为了安全，最好每3个月重置密钥。 accesskey能否删除？ 支持删除。 是否可以设置密码有效期？ 支持。登录官网后，在账号中心安全设置密码策略密码有效期策略中设置。IAM用户与主账号保持一致。 天翼云官网账号如何修改绑定手机号？ 登录官网以后点击头像下方的“个人中心”进入“安全设置”页面更换手机号，验证原手机号的验证码以后即可更换新的手机号。详情可参考：更换手机号 无法收到短信验证码怎么办？ 1. 网络通讯异常可能会造成短信丢失，请重新获取或稍后再试。 2. 请核实手机是否已停机，或者屏蔽了系统短信。 售前、售后问题可以通过哪些方式解决？ 用户遇到售前、售后问题时，可以通过以下几种方式解决： 咨询热线 用户可拨打客服热线咨询售前、售后问题。咨询热线：4008109889 帮助文档 用户在官网首页点击顶部导航“文档“进入帮助中心页面，然后点击上方的产品导航快速查找产品，点击相应产品即可进入产品文档，自助解决问题。 智能客服 用户可点击官网首页右侧“服务与建议“，选择“ 智能客服” 进入在线客服界面，选择人工服务 提交工单 1、登录天翼云官网，点击顶部导航“管理中心“进入总览页面。 2、在总览页面点击右上侧“更多工单新建工单”进入工单页面，选择“提交工单”。 3、创建工单。根据遇到的问题，选择问题所属产品、选择问题分类，创建工单。 4、填写工单 。根据实际情况和工单页面提示，填写工单内容，如果有报错截图，可以将图片上传。 5、确认信息后点击“确定提交”即可。提交工单后，天翼云工程师会即时进行处理。

本章节为您介绍数据加密网关密钥管理的相关内容 密钥列表页面展示系统中当前所有的密钥及其属性，属性包括密钥来源、生成方式、密钥算法等。 新建密钥 1. 使用运维账号登录数据加密网关。 2. 在左侧导航栏选择“密钥管理 > 密钥列表” ，进入“密钥列表”页面。 3. 单击“新增”，即可开始新增密钥，填写参数可参考下表。 参数 参数说明 密钥名称 自定义密钥名称。 密钥来源 选择密钥来源： 密码设备 KMS 密钥算法 选择密钥算法： SM4 AES HMACSM3 生成方式 选择密钥生成方式。 密钥因子 生成方式选择“派生”时生效。 查询密钥 1. 使用运维账号登录数据加密网关。 2. 在左侧导航栏选择“密钥管理 > 密钥列表” ，进入“密钥列表”页面。 3. 设置查询条件（密钥名称、密钥来源、生成方式），单击“查询”即可查询相关密钥。

操作步骤1：在插件市场卸载 1. 登录云原生API网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，选择 "AI网关插件"。 3. 在插件市场页面的快捷导航栏处，选择插件类型或者搜索插件名称，单击要卸载的插件卡片。 4. 单击配置栏，在要卸载此插件的网关实例操作栏中，单击"卸载"。 5. 在弹出框中，点击"确认"按钮，页面提示卸载插件成功。 操作步骤2：在网关实例中卸载 1. 登录云原生API网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，选择 "AI网关实例"，进入目标实例详情。 3. 在左侧导航栏，选择"插件"。 4. 在插件列表中，单击所要卸载插件操作列中的"卸载"。 5. 在弹出框中单击"确认"按钮，页面提示卸载插件成功。

卸载探针 1. 登录应用高可用服务控制台。 2. 在左侧导航栏中，定位到故障演练 菜单，选择要操作的目标应用 ，单击其下的探针管理选项。 3. 在探针管理 页面，选择云容器引擎页签。 4. 在列表中找到目标主机，单击操作列的卸载按钮。 5. 在弹出的对话框中单击确定 ，系统将发起探针卸载流程。 6. 单击操作列的执行记录，可查看探针的操作历史记录。 7. 卸载结束后，列表中的探针安装状态 更新为未安装。 注意 探针列表中的连接状态表示目标资源探针与故障演练服务控制面的连通状态，此状态有一定延迟。 云容器引擎探针通过插件形式安装在容器集群中，可登录云容器引擎控制台查看相关插件实例（ctgchaosinjectoragent 、ctgchaosbladeoperator）。

根据云下一代防火墙部署逻辑说明，本安全产品上线前有如下安全风险需关注： 业务中断风险 云下一代防火墙上线需要割接弹性IP绑定位置，操作弹性IP解绑和重新绑定业务会中断。 处理建议 请先内部申请业务空窗期，保障将业务影响降到最低。 端口暴露风险 说明 不建议暴露安全产品管理端口到公网，存在一定安全风险，请使用安全组进行防护。 处理建议/案例 安全组防护云下一代防火墙管理端口10443。 登录控制台的云主机实例详情页面，选择【安全组】功能。这里您可以创建和管理安全组规则。 其次，点击【配置规则】下的【入方向规则】。在规则配置中选择【添加入方向规则】，限制源地址为您日常登录使用的IP或IP段，例如限制为您公司办公网络。