此小节介绍数据库安全审计的使用限制 使用限制 在使用数据库安全审计前，您需要了解数据库安全审计的使用限制。 支持的数据库类型 数据库安全审计可以为管理控制台上的以下数据库提供旁路模式的数据库审计功能： 关系型数据库（Relational Database Service，RDS） 弹性云主机（Elastic Cloud Server ，ECS）的自建数据库 裸金属服务器（Bare Metal Server，BMS）的自建数据库 云主机（Elastic Cloud Server ，ECS）的自建数据库 物理机（Bare Metal Server，BMS）的自建数据库 数据库安全审计支持数据库类型及版本如所示。 数据库安全审计支持的数据库类型和版本 数据库类型 版本 MySQL 5.0、5.1、5.5、5.6、5.7 8.0（8.0.11及以前的子版本） 8.0.23 8.0.25 Oracel (因Orace为闭源协议，适配版本复杂，如您需审计Orace数据库，请先联系客服人员) 11g 11.1.0.6.0、11.2.0.1.0、11.2.0.2.0、11.2.0.3.0、11.2.0.4.0 12c 12.1.0.2.0、12.2.0.1.0 19c PostgreSQL 7.4 8.0 8.0、8.1、8.2、8.3、8.4 9.0 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0 10.0、10.1、10.2、10.3、10.4、10.5 11.0 12.0 13.0 SQL Server 2008、2008R2 2012 2014 2016 2017 DWS 1.5 8.1 SHENTONG V7.0 GBase 8a V8.5 GBase 8s V8.8 Gbase XDM Cluster V8.0 Greenplum V6.0 HighGo V6.0 TAURUS MySQ 8.0 GaussDB 1.4企业版 DAMENG DM8 KINGBASE V8 MongoDB V5.0

本文主要介绍应用性能管理 应用性能管理服务（Application Performance Management，简称APM）是实时监控并管理云应用性能和故障的云服务，提供专业的分布式应用性能分析能力，可以帮助运维人员快速解决应用在分布式架构下的问题定位和性能瓶颈等难题，为用户体验保驾护航。 通过云审计服务，您可以记录与APM服务相关的操作事件，便于日后的查询、审计和回溯。 表云审计服务支持的APM操作列表 操作名称 资源类型 事件名称 删除应用 APM clearApps 设置事务别名 APM setAlias 更新虚机服务分组 APM updateVirtualService 更新事务配置 APM updateTxTypeSettings 更新拓扑Apdex阈值 APM updateThresholds 设置事务分组 APM txtypeGroupOperation 删除应用配置 apm deleteAppGroup 更新采集开关配置 apm setAppPpswitcherConfig 更新智能采样配置 apm setAppCallChainConfig 更新内存检测机制配置 apm setAppMwsConfig 更新日志增加TraceID配置 apm setAppLogTransacConfig 更新SQL分析开关配置 apm setAppSqlConfig 更新忽略HTTP响应代码或忽略错误和异常配置 apm setAppIgnoreConfig

功能 相关服务 云服务器和文件系统归属于同一项目下，用于挂载共享路径实现数据共享。 弹性云主机（Elastic Cloud Server，ECS） VPC为弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云中资源的安全性，简化用户的网络部署。 云服务器无法访问不在同一VPC下的文件系统，使用弹性文件服务时需将文件系统和云服务器归属于同一VPC下。 虚拟私有云（Virtual Private Cloud，VPC） IAM是支撑企业级自助的云端资源管理系统，具有用户身份管理和访问控制的功能。当企业存在多用户访问弹性文件服务时，可以使用IAM新建用户，以及控制这些用户帐号对企业名下资源具有的操作权限。 统一身份认证服务（Identity and Access Management, IAM） 文件系统的加密功能依赖于密钥管理服务。您可以使用密钥管理服务提供的密钥来加密文件系统，从而提升文件系统中数据的安全性。 数据加密服务（Data Encryption Workshop, DEW）的密钥管理KMS功能 当用户开通了弹性文件服务后，无需额外安装其他插件，即可在云监控查看对应服务的性能指标，包括读带宽、写带宽和读写带宽等。 云监控服务（Cloud Eye Service） 为用户提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。通过云审计服务，您可以记录与弹性文件服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务（Cloud Trace Service，CTS）

服务名称 物理机与其他服务的关系 镜像服务（CTIMS，Image Management Service） 通过镜像服务，您可以在物理机实例上实现应用场景的快速部署。您也可以将物理机转换为私有镜像，供个人使用，或者共享给他人。 虚拟私有云(CTVPC ，Virtual Private Cloud) 为物理机提供一个逻辑上完全隔离的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等，加强物理机的安全保护。 云硬盘（CTEVS，Elastic Volume Service） 可以将云硬盘挂载至弹性裸金属，并可以随时扩容云硬盘容量。 云监控 云监控提供了完备的监控项目，在您购买物理机后，即可在云监控的控制中心查看您的产品运行状态、各个指标的使用情况，并为监控项设置告警规则。 云审计 通过云审计服务，您可以记录与物理机相关的操作事件，便于日后的查询、审计和回溯。

本节为您介绍如何安装Agent及管理Agent。 审计代理插件（Agent）是安装在数据库系统或者业务系统上的插件，其功能是捕获访问数据库系统的数据包，并将数据包发送至天翼云数据库审计。当数据库系统部署在公有云、私有云或者实际场景下无法进行端口镜像时，可以通过流量代理的方式抓取数据库流量。 支持的操作系统 Agent支持的操作系统版本请参考使用限制。 Agent工作原理 Agent在数据库服务器的接口上抓取属于资产下发的IP+Port 的数据库操作的流量。 Agent 包含两个进程：dbagent.exe 和 dbMonitor.exe。 DBAgent与天翼云数据库审计的13002端口建立连接负责流量转发。 DBMonitor与天翼云数据库审计的13001端口建立连接负责控制部分，包含接收天翼云数据库审计下发的资产和其他配置。 通过SSH远程安装Agent 您可以通过SSH协议将Agent自动安装到需要审计的服务器上，目前仅支持Linux系统。 在界面上输入需要审计的服务器IP、SSH端口、root用户名、密码，天翼云数据库审计通过scp协议将agent安装包传输到宿主机上并自动安装。 1. 在菜单栏选择“系统管理 > Agent管理”进入“Agent管理”页面，选择“Agent安装”页签。 2. 单击“开始安装”进入通过SSH远程安装Agent页面，编辑审计服务器IP，并添加安装Agent的服务器，单击“安装”。 填写参数说明请参见下表： 参数 参数说明 审计服务器IP 默认为当前的审计服务器IP，用户可以根据需要修改。 安装Agent的服务器 输入需要安装Agent的服务器IP及该服务器root账户的密码，默认端口为22，用户可以根据实际情况修改。 支持表单格式和文本格式输入。 支持IPv4和IPv6。 最多填写20个。 说明 单击“安装状态”可进入“安装状态”查看页面，可进行以下操作： 单击“卸载”可远程卸载已经成功安装了的Agent。 单击“重新安装”可对未成功安装Agent的服务器重新安装。 将光标悬停至“安装失败”后的图标，查看安装失败原因。 若您的业务部署在一类节点的资源池上，审计服务器IP需改为数据库审计所在的VPC组的公网IP。（一类节点可参考[支持的区域](/document/10446453/10489850

2. 创建保密数据集 管理员用户登录智算平台，进入“我的数据集”>“基础数据集”，选择需要创建的类型，点击【创建普通/智算存储数据集】，填写保密数据集的路径，并在特殊配置中开启【设为保密数据集】按钮。可见范围对需要的用户设置，用户才可使用，保密相关的数据集读写权限系统固定。 保密数据集仅支持读操作，禁止写操作，运行后的输出将单独写入到保密输出路径；数据挂载到容器禁止访问外网。 3. 创建保密输出路径 若您已设置保密数据集，您还需再创建一个数据集（建议保密数据集和输出路径设为两个数据集），专门用于存储保密数据集的输出，并谨慎设置相关权限： 若您使用了自有存储，建议您只给自己或管理者读写权限（第一步操作）； 此数据集的可见范围，建议您只对需要的用户设置。 点击【创建普通/智算存储数据集】，填写保密数据集的输出路径，可见范围建议与保密数据集设置一致，并在特殊配置中开启【设为保密数据集的输出路径】按钮，同时可以选择是否上报云审计及上报频率。 云审计：开启云审计后，使用此保密输出数据集的任务在容器内的命令操作将会被记录并发送到云审计，并标识拷贝等高危操作。 审计频率：审计频率是指审计上报的时间间隔，支持输入11440的整数。如果您设置的时间间隔太短，频繁扫描将会增加损耗，如时间太长，上报的事件信息较密集，建议您根据业务实际情况填写合适的时间。 本平台将自动为您创建此数据集在容器内的挂载路径，并写入PROTECTOUTPUTDIRPREFIX环境变量，您可在代码中直接引用此环境变量。

备份资源账户 因不同CBH系统认证密钥的不同，变更规格后可能导致配置文件导入的资源账户不能正常登录。建议备份资源账户信息，以防变更规格失败造成资源账户信息丢失。 资源账户文件包含资源账户的全部数据信息，包括资源账户名称、账户密码、登录方式、特权账户、关联资源名称、资源地址等信息。 步骤 1 登录云堡垒机系统。 步骤 2 选择“资源 > 资源账户”，单击“导出”。 步骤 3 设置资源账户文件的加密密码，加密导出的资源账户文件。 步骤 4 单击“确定”，即可一键下载全部资源账户信息，保存文件于本地。 备份审计日志 因云堡垒机暂不支持迁移历史审计日志记录，建议在变更规格前备份系统审计日志。 审计日志包括历史会话记录、会话视频、系统登录日志、系统操作日志、改密日志、账户同步日志等。 步骤 1 登录云堡垒机系统。 步骤 2 导出历史会话日志。 1. 选择“审计 > 历史会话”，进入历史会话页面。 2. 选中所有的历史会话，单击“导出”，导出历史会话的全部文本记录，并将其保存于本地。 步骤 3 下载会话视频。 1. 会话视频文件不支持批量生成和下载，需要逐个操作。 2. 选择历史会话对应“操作”列“更多 > 生成视频”。 3. 视频生成后，单击“下载”，将会话视频保存于本地。 步骤 4 导出系统登录日志。 1. 选择 “审计 > 系统日志 > 系统登录日志”，进入系统日志列表页面。 2. 选中所有的登录日志，单击“导出”，导出系统登录日志的全部文本记录，并将其保存于本地。 步骤 5 导出系统操作日志。 1. 选择“审计 > 系统日志 > 系统操作日志”，进入系统操作日志列表页面。 2. 选中所有的操作日志，单击“导出”，导出系统操作日志的全部文本记录，并将其保存于本地。

本文主要介绍分布式消息服务RabbitMQ与其他云服务的关系。 弹性云主机（Elastic Cloud Server） 弹性云主机是由CPU、内存、操作系统、云硬盘组成的基础的计算组件。RabbitMQ实例运行在弹性云主机上，一个代理对应一台弹性云主机。 云硬盘（Elastic Volume Service） 云硬盘为弹性云主机提供块存储服务，RabbitMQ的所有数据（如消息和日志等）都保存在云硬盘中。 云审计（Cloud Trace Service） 云审计为您提供弹性云主机资源的操作记录，记录内容包括您从云服务平台管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果，供您查询、审计和回溯使用。 虚拟私有云 RabbitMQ实例运行于虚拟私有云，需要使用虚拟私有云创建的IP和带宽。通过虚拟私有云安全组的功能可以增强访问RabbitMQ实例的安全性。 云监控（Cloud Eye） 云监控是一个开放性的监控平台，提供资源的实时监控、告警、通知等服务。 说明 RabbitMQ实例向Cloud Eye上报监控数据的更新周期为1分钟。 弹性IP（Elastic IP） 弹性IP提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。RabbitMQ实例绑定弹性公网IP后，可以通过公网访问RabbitMQ实例。

策略名称 策略描述 类别 授权范围 云等保商用管理员 拥有云等保专区控制台所有权限，可操作云等保控制台所有的菜单。 系统策略 全局级 云等保业务管理员 拥有云等保专区控制台所有操作权限，但无法进行新购，续订，升配，退订相关订单操作。 系统策略 全局级 云等保云安全中心 仅可查看、操作 云等保专区云安全中心 菜单；其他原子能力菜单不可见。 系统策略 全局级 云等保主机安全 仅可查看、操作 云等保专区主机安全 菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保Web应用防火墙 仅可查看、操作 云等保专区Web应用防火墙 菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保下一代防火墙 仅可查看、操作 云等保专区下一代防火墙 菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保堡垒机 仅可查看、操作 云等保专区堡垒机 菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保漏洞扫描 仅可查看、操作 云等保专区漏洞扫描 菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保数据库审计 仅可查看、操作 云等保专区数据库审计 菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保日志审计 仅可查看、操作 云等保专区日志审计 菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保安全体检 仅可查看、操作 云等保专区安全体检 菜单，其他原子能力菜单不可见。 系统策略 全局级

本章节主要介绍翼MapReduce集群使用规则。 翼MR集群内节点上的/var/log目录中，存放了操作系统的相关操作、安全等关键性日志数据以及翼MR集群各个部署组件实例的应用和审计日志，以方便客户对云主机的系统问题以及翼MR组件集群进行定位和安全审计。 针对上述的系统日志文件，不建议客户进行清理，该操作属于高危操作，易引发弹性云主机的故障不可用问题。 针对上述的翼MR集群应用和审计日志，建议客户基于必要性考虑，确认是否需要清理。如果需要清理，优先考虑将相关历史久远的日志执行删除操作。

本节介绍云等保专区产品的上线配置概览。 云等保专区整合了多个原子能力，部分原子能力需要进行安装配置后，才能正常使用。 原子能力 安装内容及步骤 参考文档 主机安全v1.0 Agent下载安装 请参考主机安全 主机安全v1.0 资产管理配置 请参考主机安全 主机安全v1.0 安全策略编辑 请参考主机安全 主机安全v1.0 日志查看 请参考主机安全 Web应用防火墙v1.0 绑定弹性IP 请参考Web应用防火墙 Web应用防火墙v1.0 全局配置 请参考Web应用防火墙 Web应用防火墙v1.0 添加站点 请参考Web应用防火墙 Web应用防火墙v1.0 配置策略 请参考Web应用防火墙 Web应用防火墙v1.0 验证URL 请参考Web应用防火墙 下一代防火墙v1.0 绑定弹性IP 请参考下一代防火墙 下一代防火墙v1.0 配置子网路由 请参考下一代防火墙 下一代防火墙v1.0 设置安全策略 请参考下一代防火墙 下一代防火墙v1.0 安全日志查看 请参考下一代防火墙 堡垒机v1.0 绑定弹性IP 请参考堡垒机 堡垒机v1.0 创建部门 请参考堡垒机 堡垒机v1.0 创建用户 请参考堡垒机 堡垒机v1.0 创建主机 请参考堡垒机 堡垒机v1.0 创建运维规则 请参考堡垒机 堡垒机v1.0 审计规则设置 请参考堡垒机 堡垒机v1.0 数据归档设置 请参考堡垒机 漏洞扫描v1.0 资产管理 请参考漏洞扫描 漏洞扫描v1.0 扫描策略设置 请参考漏洞扫描 漏洞扫描v1.0 创建扫描任务 请参考漏洞扫描 漏洞扫描v1.0 扫描报告查看 请参考漏洞扫描 日志审计v1.0 设置日志上传 请参考日志审计 日志审计v1.0 添加资产 请参考日志审计 日志审计v1.0 查询自查信息 请参考日志审计 日志审计v1.0 创建解决方案包 请参考日志审计 日志审计v1.0 订阅告警 请参考日志审计 日志审计v1.0 查看审计结果 请参考日志审计 数据库审计v1.0 安装Agent 请参考数据库审计 数据库审计v1.0 添加资产 请参考数据库审计 数据库审计v1.0 配置规则 请参考数据库审计 数据库审计v1.0 订阅报表和告警 请参考数据库审计

产品 日志类型 云堡垒机（原生版）企业版 云堡垒机（原生版）资产登录 云堡垒机（原生版）企业版 云堡垒机（原生版）资产登出 云堡垒机（原生版）企业版 云堡垒机（原生版）剪切板操作 云堡垒机（原生版）企业版 云堡垒机（原生版）字符命令 云堡垒机（原生版）企业版 云堡垒机（原生版）文件操作 云堡垒机（原生版）企业版 云堡垒机（原生版）键盘操作 云堡垒机（原生版）企业版 云堡垒机（原生版）平台登录 云堡垒机（原生版）企业版 云堡垒机（原生版）平台登出 云堡垒机（原生版）企业版 云堡垒机（原生版）平台操作 云堡垒机（原生版）企业版 云堡垒机（原生版）数据库操作 服务器安全卫士（原生版） 服务器安全卫士（原生版）漏洞信息 服务器安全卫士（原生版） 服务器安全卫士（原生版）弱口令 服务器安全卫士（原生版） 服务器安全卫士（原生版）告警日志 数据库审计 数据库审计告警日志 云等保专区v1.0 云等保专区数据库审计 云等保专区v1.0 云等保专区主机安全 云等保专区v1.0 云等保专区下一代防火墙 云等保专区v1.0 云等保专区堡垒机 云等保专区v1.0 云等保专区Web应用防火墙 Web应用防火墙（原生版） Web应用防火墙（原生版）告警日志 云防火墙（原生版） 云防火墙（原生版）威胁日志

本章节主要介绍 转储数据库审计日志 。 转储数据库审计日志 DWS 记录您的数据库中的连接和用户活动相关信息。这些审计日志信息有助于您监控数据库以确保安全或进行故障排除或定位历史操作记录。当前这些审计日志默认存储于数据库中，您还可以将审计日志转储到OBS中使负责监控数据库中活动的用户更方便的查看这些日志信息。 您可以在DWS 管理控制台进行如下操作： 开启审计日志转储 修改审计日志转储 查看审计日志转储记录 关闭审计日志转储 开启审计日志转储 DWS 集群创建成功后，您可以为集群开启审计日志转储，将审计日志转储到OBS中，方便查看。 开启审计日志转储前需满足如下条件： 开启审计日志转储具体操作如下： 1. 登录DWS 管理控制台。 2. 在左侧导航栏中，单击“集群管理”。 3. 在集群列表中，单击您想要开启审计日志转储的集群的名称，然后在左侧导航栏单击“安全设置”。 4. 在“审计配置”区域中，开启审计日志转储。 表示开启状态。表示关闭状态。 每个区域的每个项目首次开启审计日志转储功能时，系统将提示您需创建名称为“DWSAccessOBS”的委托，委托创建成功后，DWS 可以将审计日志转储至OBS中。默认情况下，只有云帐号或拥有Security Administrator权限的用户才具备查询委托和创建委托的权限。帐号中的IAM用户，默认没有查询委托和创建委托的权限，此时需联系有权限的用户在当前页面完成对DWS 的委托授权。 OBS桶：存储审计数据的OBS桶名称。如果没有可选择的OBS桶，可以单击“查看OBS桶”进入OBS管理控制台创建新的OBS桶，具体操作请参见《对象存储服务用户指南》中的“控制台指南 > 管理桶 > 创建桶”章节。 OBS路径：在OBS中存储审计文件的自定义目录。多级目录可用“/”进行分隔，不能以“/”开头。路径取值范围：1~50个字符。如果填写的OBS路径不存在时，系统会先创建该OBS路径再进行转储。 转储周期（分）：根据用户配置的时间，周期性的将数据转储到OBS中。取值范围：5～43200。单位为分钟。 5. 单击“应用”。 “配置状态”显示为“应用中”，表示系统正在保存配置。 等待一段时间后再次刷新“配置状态”，当显示为“已同步”，表示已保存配置并生效。

此小节介绍云堡垒机登录日志。 登录日志里admin可查看所有用户在登录堡垒机的详细记录，其他有授权用户可查看到授权的账号数据角色的操作记录。 操作步骤 1.管理员登录并切换至审计角色，在左侧导航栏选择“系统日志 > 登录日志审计”，审计范围包括登录成功与登录失败（密码错误、账号不存在等）的情况。 2.单击详情，可查看用户登录系统后访问资产的信息。 3.单击某条资产访问的详情，从更多维度展示该次访问会话的信息。

云服务 日志描述 日志 日志生命周期范围 Web应用防火墙（Web Application Firewall，WAF） 攻击日志 wafattack 7~30 天 Web应用防火墙（Web Application Firewall，WAF） 访问日志 wafaccess 7~30 天 态势感知（专业版） 合规基线日志 secmasterbaseline 7~10 天 对象存储服务（Object Storage Service，OBS） 访问日志 obsaccess 7~15 天 入侵防御系统（Intrusion Prevention System，IPS） 攻击日志 nipattack 7~180 天 统一身份认证（Identity and Access Management，IAM） 审计日志 iamaudit 7~180 天 企业主机安全（Host Security Service，HSS） 主机安全告警 hssalarm 7~180 天 企业主机安全（Host Security Service，HSS） 主机漏洞扫描结果 hssvul 7 天 企业主机安全（Host Security Service，HSS） 主机安全日志 hsslog 7~15 天 数据安全中心（Data Security Center，DSC） 告警日志 dscalarm 7~180 天 AntiDDoS流量清洗（AntiDDoS） 攻击日志 ddosattack 7~180 天 数据库安全服务（Database Security Service，DBSS） 告警日志 dbssalarm 7~180 天 云审计服务（Cloud Trace Service，CTS） 云审计服务日志 ctsaudit 7~180 天 云防火墙（Cloud Firewall，CFW） 访问控制日志 cfwblock 7~30 天 云防火墙（Cloud Firewall，CFW） 流量日志 cfwflow 7~15 天 云防火墙（Cloud Firewall，CFW） 攻击事件日志 cfwrisk 7~180 天 API网关（API Gateway） 访问日志 apigaccess 7~180 天

查看网络流量 开启弹性公网IP防护后，可以查看网络流量。 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航树中，选择“流量分析”，进入“流量分析”页面，可查看不同时间段互联网出入口流量、攻击趋势和TOP访问IP。 4.选择“主动外联访问”页签，查看不同时间段主动外联的出入口流量，以及攻击趋势。 查看日志审计 开启弹性公网IP防护和入侵检测基础防御后，可以查看日志审计。 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航树中，选择“日志审计”，进入“攻击事件日志”页面，可查看近一周的攻击事件详情。 4.选择“访问控制日志”页签，可查看近一周的访问控制情况。若需要修改指定IP的访问控制的响应动作，可配置访问控制策略或添加黑白名单。 5.选择“流量日志”页签，可查看近一周的流量字节数和报文数。

本章节介绍数据库复制与其他服务的关系。 关系型数据库 数据库复制服务可将已有数据库迁移到本云关系型数据库（Relational Database Service，简称RDS）。 目前数据库复制服务支持将如下场景的关系型数据库迁移到本云关系型数据库： VPC网络 VPN网络 专线网络 公网网络 文档数据库服务 数据库复制服务可将已有数据库迁移到本云文档数据库服务（Document Database Service）。 目前数据库复制服务支持将如下场景的MongoDB数据库迁移到本云文档数据库服务： VPC网络 VPN网络 专线网络 公网网络 分布式关系型数据库 数据库复制服务可将已有数据库迁移到本云分布式数据库中间件（Distributed Database Middleware，简称DDM）。 目前数据库复制服务支持将如下场景的数据库迁移到本云分布式数据库中间件服务： VPC网络 VPN网络 专线网络 公网网络 云监控 当用户开通了数据库复制后，无需额外安装其他插件，即可在云监控查看对应服务的实例状态。 云审计服务 云审计服务（Cloud Trace Service，简称CTS）记录数据库复制服务相关的操作事件，方便您日后的查询、审计和回溯。 对象存储服务 对象存储服务为数据库复制服务提供海量、安全、高可靠、低成本的数据存储能力。

此小节介绍云堡垒机登录日志。 登录日志里admin可查看所有用户在登录堡垒机的详细记录，其他有授权用户可查看到授权的账号数据角色的操作记录。 1.管理员登录并切换至审计角色，打开 “系统日志 > 登录日志审计”，审计范围包括登录成功与登录失败（密码错误、账号不存在等）的情况。 2.单击详情，可查看用户登录系统后访问资产的信息。 3.单击某条资产访问的详情，从更多维度展示该次访问会话的信息。

此小节介绍云堡垒机相关术语。 云堡垒机 云堡垒机是用于提供云计算安全管控的系统和组件，可以实现对运维资源的4A全面安全管控。云堡垒机包含用户管理、资源管理、策略、审计和工单等功能模块，支持对Windows或Linux等操作系统的主机提供安全管控保护。云堡垒机是集统一资产管理与单点登录、多种终端访问协议、文件传输功能于一体的运维安全管理与审计产品。 资产数 资产数表示云堡垒机管理的虚拟机等设备上运行的资源数，资源数是同一个虚拟机对应的需要运维的协议和应用总数。 并发数 并发数是指云堡垒机上同一时刻连接的运维协议连接数。 实例 实例是 Kubernetes 部署应用或服务的最小的基本单位。 云堡垒机实例 一个云堡垒机实例代表了一个独立运行的云堡垒机系统。 云堡垒机系统 云堡垒机系统是云堡垒机实际运维功能核心，后台采用EulerOS操作系统，包含用户管理、资源管理、策略、审计和工单等功能模块，支持对Windows或Linux等操作系统的主机提供安全管控保护。 区域 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。

参数 说明 部门管理员 部门的运维管理员，主要负责云堡垒机系统的管理。除用户管理和角色管理模块之外，部门管理员拥有其他全部模块的配置权限。 策略管理员 用户权限策略管理员，负责主机运维的权限策略管理。主要负责策略权限的配置，拥有用户组管理、资源组管理和访问策略管理等模块的配置权限。 审计管理员 运维结果审计管理员，查询管理系统审计数据。主要负责查阅和管理系统的审计数据，拥有实时会话、历史会话和系统日志等模块的配置权限。 运维员 访问系统的普通用户和操作人员。主要负责资源的运维，拥有主机运维、应用运维和工单授权管理的权限。

云审计CTS与LTS进行系统对接后，系统自动在云日志服务控制台创建的日志组和日志流，如果需要将CTS的日志转储至OBS中，您需要进行以下操作： 1. 在云审计服务管理控制台，单击左侧导航栏中的“追踪器”。 2. 单击追踪器“system”操作列的“配置”。 3. 进入基本信息页面，单击下一步。 4. 在“配置转储”页面，选择转储到OBS的相关信息和开启转储到LTS，单击下一步。 5. 确认信息正确后，单击配置即可完成。 6. 在云日志服务管理控制台，选择左侧导航栏中的“日志转储”，单击“配置转储”，完成将CTS日志转储至OBS的配置。 其中日志组名称选择“CTS”，日志流名称“systemtrace”。 7. 转储成功后在OBS控制台所选OBS桶中可以看到已转储的CTS日志。

此小节介绍数据库安全服务的产品定义。 产品介绍 数据库安全服务，即DBSS（Database Security Service），提供旁路模式数据库安全审计服务功能，通过实时记录用户访问数据库行为，形成细粒度的审计报告，对风险行为和攻击行为进行实时告警。同时，数据库安全审计可以生成满足数据安全标准（例如SarbanesOxley）的合规报告，对数据库的内部违规和不正当操作进行定位追责，保障数据资产安全。 数据库类型 数据库安全审计可以为管理控制台上的以下数据库提供旁路模式的数据库审计功能： 关系型数据库（Relational Database Service，RDS） 弹性云主机（Elastic Cloud Server ，ECS）的自建数据库 裸金属服务器（Bare Metal Server，BMS）的自建数据库 云主机（Elastic Cloud Server ，ECS）的自建数据库 物理机（Bare Metal Server，BMS）的自建数据库 数据库安全审计支持的数据库类型和版本 数据库类型 版本 MySQL 5.0、5.1、5.5、5.6、5.7 8.0（8.0.11及以前的子版本） 8.0.23 Oracel (因Orace为闭源协议，适配版本复杂，如您需审计Orace数据库，请先联系客服人员) 11g 11.1.0.6.0、11.2.0.1.0、11.2.0.2.0、11.2.0.3.0、11.2.0.4.0 12c 12.1.0.2.0、12.2.0.1.0 19c PostgreSQL 7.4 8.0 8.0、8.1、8.2、8.3、8.4 9.0 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0 10.0、10.1、10.2、10.3、10.4、10.5 11.0 12.0 13.0 SQL Server 2008、2008R2 2012 2014 2016 2017 DWS 1.5 SHENTONG V7.0 GBase 8a V8.5 GBase 8s V8.8 Gbase XDM Custer V8.0 Greenplum V6.0 HighGo V6.0 TAURUS MySQ 8.0 DAMENG DM8 KINGBASE V8 MongoDB V5.0

此小节介绍云堡垒机操作日志检索。 操作日志里admin可查看所有用户在页面上的操作的详细记录，其他有授权用户可查看到授权的账号数据角色的操作记录。 操作步骤 1.管理员登录并切换至审计角色，在左侧导航栏选择“系统日志 > 操作日志审计” 2.单击“操作”列的“详情”可查看该条记录的详细信息。

Agent安装节点 使用场景 审计功能说明 注意事项 数据库端 ECS/BMS自建数据库 可以审计所有访问该数据库的应用端的所有访问记录。 添加Agent时，“安装节点类型”选择“数据库端”。 应用端 无法登录到数据库节点的部署环境（例如，RDS关系型数据库） 可以审计该应用端与其连接的所有数据库的访问记录。 l 添加Agent时，“安装节点类型”选择“应用端”，如图410所示。 l 当某个应用端连接了多个数据库时，如果该应用端的某个数据库已在应用端添加了Agent。其他数据库在添加Agent时，只需要选择“选择已有Agent”添加方式。 代理端 无法登录到数据库节点，且不能在应用端安装Agent的部署环境（例如，RDS关系型数据库且应用端在云下） 只能审计代理与后端数据库之间的访问记录，无法审计应用端与后端数据库的访问记录。 添加Agent时，需要将该代理端作为应用端，即“安装节点类型”选择“应用端”，且“安装节点IP”需要配置为该代理的IP地址。

此小节介绍云堡垒机操作日志检索。 操作日志里admin可查看所有用户在页面上的操作的详细记录，其他有授权用户可查看到授权的账号数据角色的操作记录。 1.管理员登录并切换至“审计角色”，打开 “系统日志 > 操作日志审计” 2.单击“操作”列的“详情”可查看该条记录的详细信息。

创建数据集 1. 创建普通存储数据集：登录智算服务控制台，单击左侧菜单栏的“智算资产”>“我的数据集”菜单项进入我的数据集模块，点击“基础数据集“菜单，选择“普通/智算存储”，点击【+创建普通/智算存储数据集】，进入创建页面 2. 填写相关配置并提交。基础数据集创建目前仅支持使用自有存储，创建完成后，自动为您创建拼接此数据后缀的容器内挂载路径。 类型 字段 说明 存储基本信息 数据集名称 压缩任务名称，不超过20个字符 存储基本信息 描述 数据集描述信息 权限配置 可见范围 读写权限范围，支持设置仅文件所有者可见、指定工作空间内的算法开发角色可见两种权限策略 存储位置 存储桶/HPFS名称 您租户账号下的存储桶或HPFS名称；若您还未创建，您可点击【去创建】跳转到存储控制台进行创建 存储位置 ZOS/HPFS路径 您对应存储的具体的目录路径，您可根据提示示例进行填写，平台会对您填写路径的存在性进行校验，若校验不通过会进行提示，并禁止提交。 对于管理员用户，此项选填；对于普通子用户，此项必填。 特殊配置 设为保密数据集 对于某些行业客户，在大模型训练时会涉及到保密数据的处理问题，比如需要避免用户下载到本地造成数据泄漏，针对这类问题，平台推出了特色的数据保密功能，以应对用户下载或拷贝保密数据的行为。相关配置仅对管理员用户开放，且此功能会增加操作复杂度和资源占用，建议您只在需要的时候使用。 开启此按钮后，可将本数据集设置为保密数据集。开启保密后，此数据集将：1）仅支持读操作，禁止写操作，运行后的输出将单独写入到保密输出路径；2）数据挂载到容器时禁止访问外网。 特殊配置 设为保密数据集的输出路径 若您已设置保密数据集，您还需再创建一个保密输出数据集，专门用于存储保密数据集的输出，并谨慎设置相关权限：1）若您使用了自有存储，建议您只给自己或管理者读写权限（需前往对应存储控制台设置），即您需要确保这是由您完全可控的存储；2）此数据集的可见范围（在本页面的权限配置设置），建议您只对需要的用户设置。 特殊配置 云审计 您设置好保密输出路径后，会自动弹出云审计设置，此设置对使用了对应保密输出数据集的任务生效。开启云审计后，使用此保密输出数据集的任务在容器内的命令操作将会被记录并发送到云审计，并标识拷贝等高危操作。 特殊配置 审计频率 您开启云审计后，会弹出审计频率设置。审计频率是指审计上报的时间间隔，支持输入11440的整数。如果您设置的时间间隔太短，频繁扫描将会增加损耗，如时间太长，上报的事件信息较密集，建议您根据业务实际情况填写合适的时间。

本页为您介绍与数据传输服务DTS有关的其他服务。 与天翼云传输服务相关的服务 与天翼云数据传输服务相关的服务，如下表： 服务名称 功能相关 参考文档链接 关系数据库MySQL版 DTS可支持关系数据库MySQL版进行迁移、同步操作，包括：MySQL到MySQL、PostgreSQL及ClickHouse的迁移，MySQL到MySQL的单向、双向同步。 关系数据库MySQL版 关系数据库PostgreSQL版 DTS可支持关系数据库PostgreSQL版进行迁移、同步操作，包括：PostgreSQL到PostgreSQL、MySQL的迁移，PostgreSQL到PostgreSQL的单向、双向同步。 关系数据库PostgreSQL版 关系数据库SQL Server版 DTS可支持关系数据库SQL Server版进行迁移、同步操作，包括：SQL Server到SQL Server、PostgreSQL的迁移，SQL Server到SQL Server的同步。 关系数据库SQL Server版 文档数据库（DDS） DTS可支持文档数据库（DDS）进行迁移、同步操作，包括：MongoDB/DDS 到MongoDB/DDS的迁移和同步。 文档数据库 云数据库ClickHouse DTS可支持将MySQL数据库迁移到ClickHouse。 云数据库ClickHouse 虚拟私有云 虚拟私有云，为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。 虚拟私有云 弹性IP 弹性IP是可以独立申请的公网IP地址，将弹性IP和DTS实例绑定，可使用DTS进行公网数据库迁移、同步。 弹性IP 数据管理服务 使用数据管理服务，通过专业优质的可视化操作界面，提高数据管理工作的效率和安全。 数据管理服务 云审计 对接云审计服务，对DTS关键操作记录提供收集、存储和查询功能，可用于支撑合规审计、安全分析、资源跟踪和问题定位等常见应用场景。 云审计 标签管理 对接标签管理，对DTS实例绑定标签，便于对实例进行查找与筛选，实现更快捷的管理。 标签管理

本节介绍了云数据库TaurusDB与其他服务的依赖关系。 TaurusDB与其他服务之间的关系，具体下表所示。 表 与其他服务的关系 相关服务 交互功能 相关内容 弹性云主机（CTECS） TaurusDB配合弹性云主机（Elastic Cloud Server，简称ECS）一起使用，通过内网连接TaurusDB可以有效的降低应用响应时间、节省公网流量费用。 详细内容参见弹性云主机文档 虚拟私有云（CTVPC） 对您的TaurusDB数据库实例进行网络隔离和访问控制。 详细内容参见虚拟私有云文档 对象存储（OBS） 存储您的TaurusDB数据库实例的自动和手动备份数据。 详细内容参见对象存储文档 云监控服务 云监控服务是一个开放性的监控平台，帮助用户实时监测TaurusDB资源的动态。云监控服务提供多种告警方式以保证及时预警，为您的服务正常运行保驾护航。 详细内容参见云监控文档 云审计服务 云审计服务（Cloud Trace Service，简称CTS），为用户提供云服务资源的操作记录。 详细内容参见云审计文档 数据库复制（CTDRS） 使用数据复制服务，实现数据库平滑迁移上云。 详细内容参见数据库复制文档 分布式关系型数据库（DRDS） 对于云数据库TaurusDB，使用分布式关系型数据库服务（Distributed Relational Database Service，简称 DRDS），后端对接多个数据库实例，实现分布式数据库的透明访问。 详细内容参见分布式数据库中间件文档

前提条件 已获取“实时会话”模块管理权限。 有正在进行中运维会话。 操作步骤 1 登录云堡垒机系统。 2 选择“审计 > 实时会话”，进入实时会话列表页面。 3 单击目标实时会话“操作”列的“监控”，跳转到运维人员运维会话窗口。 4 可查看运维人员实时运维操作，并可分别在会话窗口栏查看历史运维记录、文件传输记录和协同会话参与用户记录。 中断实时会话 运维人员通过云堡垒机登录资源后，审计管理员将会实时收到会话记录。当监控到有违规或高危运维操作时，可通过实时会话阻断会话，阻止运维人员的进一步操作。 本小节主要介绍如何中断实时会话。 前提条件 已获取“实时会话”模块管理权限。 有正在进行中运维会话。 操作步骤 1 登录云堡垒机系统。 2 选择“审计 > 实时会话”，进入实时会话列表页面。 实时会话列表 3 单击目标实时会话“操作”列的“中断”，强制断开会话连接。 中断会话后，运维人员会话页面将被立即断开，并收到会话断开连接提示。 运维会话断开连接

支持安全设备型号 设备子类 设备型号 防火墙 迪普防火墙、东软NetEye防火墙、H3C防火墙、Fortigatet防火墙、hillstone防火墙、Checkpoint防火墙等 IDS&IPS&IDP 启明星辰天阗IDS、安氏领信IDS、绿盟冰之眼IDS、SnortIDS、juniperIDP、启明IDS、华为IDS、网神IDS等 异常流量分析 Arbor异常流量分析系统、NTGGenie流量分析系统或攻击溯源、绿盟异常流量分析系统NTA等 数据库审计 imperva数据库审计系统、网御数据库审计系统、中安新云数据库审计、天融信数据加密系统、安华金和数据库审计系统等 企业网关 NeTrust企业网关、启明星辰天清汉马UTM、联想网御UTM等 异常流量清洗 迪普DDOS、绿盟黑洞DDOS网关等 VPN NeTrustSSLVPN、Array VPN系统、Juniper SSL VPN、F5 SSL VPN、天融信VPN等 网页防篡改系统 中创InforGuard、安恒网页防篡改 网络安全操作审计系统 UMAP堡垒机、福富4A、启明星辰网络安全审计系统等 安全扫描系统 安恒应用系统漏洞扫描、安恒应用系统数据库漏洞扫描、安恒操作系统漏洞扫描等 一次性口令审计 联创亚信一次性口令、上海众人一次性口令 其他安全设备 logdbftp、logdbdb 上网行为管理 深信服有线上网行为管理设备、黑盾无线上网行为管理设备、云讯通综合网管平台、5GSA核心网系统 深度威胁发现设备 亚信深度威胁设备TDA、360天眼、启明APT威胁检测、启明CS检测探针等 虚拟化安全设备 亚信虚拟化安全设备、朗维dlp、优炫dlp等 防病毒 网神防毒墙、瑞星、卡巴斯基反病毒、亚信防病毒、赛门铁克防病毒、趋势防病毒等 网闸 国保金泰网闸、网御星云网闸、天行网安网闸、南瑞网闸、天融信网闸等 终端安全 360、瑞星、金山、北信源、冠群金辰、Symantec等 AntiDDoS 绿盟DDoS、金盾DDoS、启明星辰DDoS、天融信DDoS、华为DDoS、H3CDDoS、网神DDoS等 网络运维审计系统 启明星辰、齐治、谐润、福富4A等 WAF 绿盟WAF、安信华WAF、知道创宇WAF、黑盾web应用防火墙等 蜜罐 魅影蜜罐、君立华域蜜罐、谛听蜜罐等 僵木蠕 恒安嘉兴僵木蠕

本页主要介绍关系数据库MySQL版产品部分接口下线的原因、影响和建议。 原因 由于旧版本的相关架构不能适应组件发展，且在功能使用方面有一定的局限性。天翼云决定于2025年1月7日起更新II类型资源池的审计日志和标签类相关接口。以v2接口替换具体的接口调用可参考"建议”。 影响 下线接口范围： 标签类：II类型资源池中查询标签列表、为指定的RDS实例解绑标签等v1接口； 日志：II类型资源池中日志中审计日志相关v1接口。 建议 建议使用标签和审计日志类v2相关接口。具体可参见API使用说明中相关内容。

用户使用手册 天翼云安全专区终端安全EDR用户使用指南.pdf 天翼云安全专区云防火墙用户使用指南.pdf 天翼云安全专区云堡垒机用户手册使用指南.pdf 天翼云安全专区云数据库审计用户使用指南.pdf 天翼云安全专区云日志审计用户使用指南.pdf 天翼云安全专区安全管理中心用户使用指南.pdf