此小节介绍云堡垒机操作日志检索。 操作日志里admin可查看所有用户在页面上的操作的详细记录，其他有授权用户可查看到授权的账号数据角色的操作记录。 操作步骤 1.管理员登录并切换至审计角色，在左侧导航栏选择“系统日志 > 操作日志审计” 2.单击“操作”列的“详情”可查看该条记录的详细信息。

本章节主要介绍数据治理中心DataArts Studio与其他服务的关系。 统一身份认证服务 DataArts Studio使用统一身份认证服务（Identity and Access Management，简称IAM）实现认证和鉴权功能。 云审计服务 DataArts Studio使用云审计服务（Cloud Trace Service，简称CTS）审计用户在管理控制台页面的操作，可用于检视是否存在非法或越权操作，完善服务安全管理。 弹性云主机服务 DataArts Studio使用弹性云主机（Elastic Cloud Server，简称ECS）进行CDM集群和数据服务集群的创建，另外DataArts Studio可以通过主机连接在ECS上执行Shell或Python脚本。 虚拟私有云服务 DataArts Studio使用虚拟私有云服务（Virtual Private Cloud，简称VPC）的创建隔离的网络环境。 弹性公网IP服务 DataArts Studio使用弹性公网IP服务（Elastic IP，简称EIP）打通与公网间的网络通信。 对象存储服务 DataArts Studio使用对象存储服务（Object Storage Service，简称OBS）的桶存储日志信息。 消息通知服务 DataArts Studio使用消息通知服务（Simple Message Notification，简称SMN）依据用户的订阅需求主动推送通知消息，使用户可以在触发告警（如质量监控）时能立即接收到通知。 云专线服务 DataArts Studio使用云专线服务（Direct Connect，简称DC）打通与第三方数据中心的网络通信。 API网关服务 DataArts Studio通过API网关服务（API Gateway，简称APIG）对外开放各组件的API接口。 数据湖探索服务 DataArts Studio支持将数据湖探索服务（Data Lake Insight，简称DLI）作为数据湖底座，进行数据集成、开发、治理与开放。

类别 云防火墙 Web应用防火墙 定义 云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP，云上或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。

云下一代防火墙安全产品如何创建管理员用户？ 要创建管理员用户，请登录云下一代防火墙的web管理页面，导航到系统设备管理选项，然后选择管理员管理。在此处，您可以新建管理员用户，分配唯一用户名和强密码，以及为其分配适当的角色和权限。 注意 创建管理员用户涉及系统权限，因此确保定期审计管理员用户，启用多因素身份验证，并使用最小权限原则来降低管理上的风险。 云下一代防火墙安全产品是否满足三权分离？ 三权分离用于确保权力不会集中在一个单一的实体或个人手中，以防止滥用权力、促进监督和平衡，从而维护公共机构的透明性和效力。在信息安全领域，三权分离原则通常应用于管理系统和数据的访问和操作，以保护网络安全和防止内部滥用权力。 云下一代防火墙安全产品提供内置的管理员、操作员和审计员权限，允许实现三权分离。您可以登录云下一代防火墙的web管理页面，导航到系统设备管理选项，然后选择管理员管理并分配相应权限，以确保合适的角色和职责，但需要定期审计和管理用户权限，以最大程度地减少潜在的管理上风险。

本章节介绍如何配置追踪器。 操作场景 云审计服务管理控制台支持对已创建的数据类追踪器增加OBS转储、LTS转储等相关配置。 用户可以选择是否将已记录的事件发送到OBS桶永久保存。 配置追踪器完成后，系统立即以新的规则开始记录操作。 本节介绍如何配置数据类事件追踪器。 前提条件 已开通云审计服务，且已创建一个数据类事件追踪器。 配置数据类事件追踪器 1. 登录管理控制台。 2. 在管理控制台右上角单击图标，选择区域和项目。 3. 单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务详情页面。 4. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 5. 在数据类追踪器信息右侧，单击操作下的“配置”。 6. 在选择追踪对象页面，设置相关参数，参数详情见表 选择转储事件参数表，单击“下一步”。 7. 在配置转储页面可以修改该追踪器的转储信息。用户通过云审计控制台只能查询最近7天的操作记录，如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或配置转储到云日志服务（LTS）。具体参数说明参见表 配置转储到OBS参数列表和表 配置转储到LTS参数列表。 8. 单击“下一步 > 配置”，完成配置数据类事件追踪器。 追踪器配置成功后，您可以在追踪器信息页面查看配置的追踪器的详细信息。 说明 因为CTS所存储的事件是周期性转储到OBS桶的，因此当您配置了追踪器所对应的OBS桶后，当前转储周期内（通常为数分钟）已收到事件会转储到配置后的OBS桶中。例如当前转储周期为12:00~12:05，用户在12:02分修改了当前追踪器对应的OBS桶，那么12:00~12:02分之间收到的事件会在12:05分时转储到新配置的OBS桶中。 9. （可选）在追踪器页面，单击标签列下的，可以为该追踪器添加标签。 标签以键值对的形式表示，用于标识追踪器，便于对追踪器进行分类和搜索。此处的标签仅用于追踪器的过滤和管理。一个追踪器最多添加20个标签。 如果您的组织已经设定云审计服务的相关标签策略，则需按照标签策略规则为追踪器添加标签。详情参考表 标签说明。 表 选择转储事件参数表 参数名称 参数说明 数据事件来源 数据事件的存储容器，默认为OBS桶。 OBS桶名称 默认为您创建数据类追踪器时设置的OBS桶名称，不可以修改。 事件操作类型 数据操作类型分为“读操作”和“写操作”，读操作指的是从OBS桶中获取或下载对象数据，写操作指的是向OBS桶中上传或写入对象数据。 勾选“读操作”后，CTS只会记录读操作类型的数据事件。 勾选“写操作”后，CTS只会记录写操作类型的数据事件。 您可以在OBS服务的页面的“表2 云审计服务支持的OBS数据事件操作列表”中，查看当前支持云审计的全部OBS操作数据事件，以及查看具体有哪些读操作类型事件和写操作类型事件。 表 配置转储到OBS参数列表 参数名称 参数说明 转储到OBS 当“转储到OBS”开关打开时，您可以选择已存在的OBS桶，并配置事件文件前缀。 如果“转储到OBS”开关关闭时，则无需配置相应参数。 选择OBS 选择已有OBS桶：选择当前区域已创建的OBS桶。 OBS桶名称 当“选择OBS”选择“新建OBS桶”时，直接新建OBS桶名称。OBS桶名称不能为空，仅支持小写字母、数字、“”和“.”，且长度范围为363个字符。禁止两个“.”相邻（如“my..bucket”），禁止“.”和“”相邻（如“my.bucket”和“my.bucket”），禁止使用ip为桶名称。 当“选择OBS”选择“选择已有OBS桶”时，可以选择已存在的OBS桶。 保存周期 转储至OBS桶中日志的保存周期。该配置会修改被选择桶的桶策略，影响范围为桶内的所有文件。不同类型、不同级别的合规认证标准对审计日志的保存时间有不同的要求，建议设置保存周期不低于180天。 数据类事件追踪器：保存周期支持设置为30天、60天、90天、180天、三年和沿用OBS配置。 事件文件名前缀 用于标识被转储的事件文件，该字段支持用户自定义，会自动添加在转储事件文件的文件名前端，方便用户快速进行筛选。事件文件名前缀只能由英文字母、数字、下划线（）、中划线（）和小数点（.）组成，且长度范围为064个字符。 表 配置转储到LTS参数列表 参数名称 参数说明 转储到LTS 当“转储到LTS”开关打开时，表示操作事件将转储到日志流中。 日志组名称 当“转储到LTS”开关打开时，日志组名称默认为“CTS”。如果“转储到LTS”开关关闭时，则无需配置该参数。 表 标签说明 参数 说明 举例 标签键 输入标签的键，同一个追踪器标签的键不能重复。键可以自定义，也可以选择预先在标签服务（TMS）创建好的标签的键。 键命名规则如下： 长度范围为1到128个字符。 可以包含任意语种字母、数字、空格和.:+@，但首尾不能含有空格，不能以sys开头。 Key0001 标签值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 长度范围为0到255个字符。 可以包含任意语种字母、数字、空格和.:/+@。 Value0001

用户使用手册 天翼云安全专区终端安全EDR用户使用指南.pdf 天翼云安全专区云防火墙用户使用指南.pdf 天翼云安全专区云堡垒机用户手册使用指南.pdf 天翼云安全专区云数据库审计用户使用指南.pdf 天翼云安全专区云日志审计用户使用指南.pdf 天翼云安全专区安全管理中心用户使用指南.pdf

访问权限控制 云堡垒机系统用户个人数据通过加密存储，系统管理员及上级管理员需通过安全码才能查看用户的手机、邮箱。但用户密码对所有人（包括本人）都不明文可见。 二次认证 云堡垒机系统用户账号配置用户登录限制“多因子认证” 后，用户在登录系统时开启登录验证功能，需要二次认证（二次认证方式支持 “手机短信” 、 “手机令牌” 、 “USBKey” 、 “动态令牌”），有效保护用户敏感信息。 日志记录 云堡垒机系统用户个人数据的所有操作，包括增加、修改、查询和删除，云堡垒机系统都会记录审计日志，并可备份到远程服务器或本地电脑。拥有审计权限用户可以查看并管理下级管理部门用户账号的日志，系统管理员admin拥有系统最高权限，可查看并管理登录系统全部用户账号操作记录。

本页主要介绍关系数据库MySQL版产品部分接口下线的原因、影响和建议。 原因 由于旧版本的相关架构不能适应组件发展，且在功能使用方面有一定的局限性。天翼云决定于2025年1月7日起更新II类型资源池的审计日志和标签类相关接口。以v2接口替换具体的接口调用可参考"建议”。 影响 下线接口范围： 标签类：II类型资源池中查询标签列表、为指定的RDS实例解绑标签等v1接口； 日志：II类型资源池中日志中审计日志相关v1接口。 建议 建议使用标签和审计日志类v2相关接口。具体可参见API使用说明中相关内容。

版本升级有哪些注意事项？ 当云堡垒机系统有新版本时，为使用优化或新增的系统功能，可选择对系统进行。 版本升级是对云堡垒机软件版本功能的提升，不收取费用。在云堡垒机版本升级前后，需注意以下几个方面： 升级前：为防止因升级失败而影响使用，建议升级前备份数据。 升级中：版本升级过程约需要30min，版本升级期间云堡垒机系统不可用，但不影响主机资源运行。但在升级期间，建议用户不要登录云堡垒机系统进行操作，以免重要数据丢失。 升级后 版本升级完成后会自动“重启”云堡垒机，重启完成后，即可使用云堡垒机。 版本升级后用户可正常继续使用原有配置和存储数据，升级不影响系统原有配置和存储数据。 堡垒机升级完成后，如您需要进行扩容操作请等待5分钟后再进行。 版本升级前，如何备份云堡垒机系统中数据？ 当云堡垒机系统有新版本时，用户为使用优化或新增的系统功能。 需备份数据 版本升级前，为实现新云堡垒机系统中复用数据信息，用户需在系统升级前手动备份系统数据，系统升级完成后再导入备份数据。 针对不同的数据信息，用户需分别进行导出/导入操作，才能完成所有数据的备份。 版本升级需备份数据： 数据信息 导出 导入 说明 用户 √ √ 无法导出“用户密码”。升级完成后，可选择重置用户密码。 资源账户 √ √ 为防止资源账户信息丢失，建议单独备份和还原资源账户文件。 审计数据 √ × 审计数据无法重新导入到系统，需全量备份审计数据，主要包括历史会话、会话视频、系统登录日志、系统操作日志、运维报表和系统报表。 “运维报表”和“系统报表”支持文本格式导出。 “历史会话”支持导出MP4格式会话视频。 系统配置 √ √ “系统配置”信息包含全量系统配置数据。

类别 云防火墙 Web应用防火墙 定义 云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP，云上或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。

创建数据集 1. 创建普通存储数据集：登录智算服务控制台，单击左侧菜单栏的“智算资产”>“我的数据集”菜单项进入我的数据集模块，点击“基础数据集“菜单，选择“普通/智算存储”，点击【+创建普通/智算存储数据集】，进入创建页面 2. 填写相关配置并提交。基础数据集创建目前仅支持使用自有存储，创建完成后，自动为您创建拼接此数据后缀的容器内挂载路径。 类型 字段 说明 存储基本信息 数据集名称 数据集名称，不超过25个字符 存储基本信息 描述 数据集描述信息 权限配置 可见范围 读写权限范围，支持设置仅文件所有者可见、指定工作空间内的算法开发角色可见两种权限策略 存储位置 自有ZOS存储 您租户账号下的自有ZOS存储，若您还未创建，您可点击【去创建】跳转到存储控制台进行创建。 存储桶：选择您自有的ZOS存储桶名称； 数据源路径：您对应存储的具体的目录路径，您可根据提示示例进行填写，平台会对您填写路径的存在性进行校验，若校验不通过会进行提示，并禁止提交。对于管理员用户，此项选填；对于普通子用户，此项必填。 存储位置 自有HPFS存储 您租户账号下的自有HPFS存储，若您还未创建，您可点击【去创建】跳转到存储控制台进行创建。 HPFS名称：选择您自有的HPFS名称； 数据源路径：您对应存储的具体的目录路径，您可根据提示示例进行填写，平台会对您填写路径的存在性进行校验，若校验不通过会进行提示，并禁止提交。对于管理员用户，此项选填；对于普通子用户，此项必填。 存储位置 自有其他存储 您租户账号下的自有其他存储。 数据源路径：您对应存储的具体的目录路径，您可根据提示示例进行填写，此项必填。 特殊配置 设为保密数据集 仅存储委托的自有ZOS与自有HPFS类型支持该功能。 对于某些行业客户，在大模型训练时会涉及到保密数据的处理问题，比如需要避免用户下载到本地造成数据泄漏，针对这类问题，平台推出了特色的数据保密功能，以应对用户下载或拷贝保密数据的行为。相关配置仅对管理员用户开放，且此功能会增加操作复杂度和资源占用，建议您只在需要的时候使用。 开启此按钮后，可将本数据集设置为保密数据集。开启保密后，此数据集将：1）仅支持读操作，禁止写操作，运行后的输出将单独写入到保密输出路径；2）数据挂载到容器时禁止访问外网。 特殊配置 设为保密数据集的输出路径 若您已设置保密数据集，您还需再创建一个保密输出数据集，专门用于存储保密数据集的输出，并谨慎设置相关权限：1）若您使用了自有存储，建议您只给自己或管理者读写权限（需前往对应存储控制台设置），即您需要确保这是由您完全可控的存储；2）此数据集的可见范围（在本页面的权限配置设置），建议您只对需要的用户设置。 特殊配置 云审计 您设置好保密输出路径后，会自动弹出云审计设置，此设置对使用了对应保密输出数据集的任务生效。开启云审计后，使用此保密输出数据集的任务在容器内的命令操作将会被记录并发送到云审计，并标识拷贝等高危操作。 特殊配置 审计频率 您开启云审计后，会弹出审计频率设置。审计频率是指审计上报的时间间隔，支持输入11440的整数。如果您设置的时间间隔太短，频繁扫描将会增加损耗，如时间太长，上报的事件信息较密集，建议您根据业务实际情况填写合适的时间。

本章节为您介绍堡垒机首页相关内容 管理角色首页 使用管理角色登录云堡垒机时可查看目前堡垒机下纳管的用户数、主机数及待审批的工单数量。 审计角色首页 使用审计角色登录云堡垒机时可查看目前堡垒机下纳管的用户数、主机数以及历史会话数。 会话统计：图表显示目前堡垒机正在连接的会话数。 剩余会话：目前堡垒机剩余可连接的会话总数。 活跃人数：目前登录堡垒机的总用户数。 活动主机：目前正在连接的主机总数。

本文汇总了云等保专区各原子能力的常见应用场景，并提供详细的方案描述和操作指导。 原子能力名称 版本 最佳实践文档 主机安全 v1.0 主机勒索病毒有效防护 主机安全 v2.0 主机安全防护最佳实践 云上勒索病毒防护实践 弱口令安全最佳实践 漏洞扫描最佳实践 等级保护测评合规最佳实践 二类节点资产纳管最佳实践 Web应用防火墙 v1.0 Web应用防火墙高可用部署方案 Web应用防火墙 v2.0 WAF接入配置最佳实践 防护配置最佳实践 Web基础防护规则引擎配置最佳实践 CC攻击防护最佳实践 下一代防火墙 v1.0 下一代防火墙高可用部署方案 下一代防火墙 v2.0 IPv6切换方案 双向访问控制 SSL VPN远程拨入 堡垒机 v2.0 数据库运维实名审计 收敛资产运维暴露面 资产运维细粒度权限管控 数据库审计 v2.0 审计云上自建数据库 审计云数据库 日志审计 v2.0 程序定位日志采集异常 程序日志定位告警异常

本章节为您介绍堡垒机首页相关内容 管理角色首页 使用管理角色登录云堡垒机时可查看目前堡垒机下纳管的用户数、主机数、应用数及待审批的工单数量。 审计角色首页 使用审计角色登录云堡垒机时可查看目前堡垒机下纳管的用户数、主机数以及历史会话数。 会话统计：图表显示目前堡垒机正在连接的会话数。 剩余会话：目前堡垒机剩余可连接的会话总数。 活跃人数：目前登录堡垒机的总用户数。 活动主机：目前正在连接的主机总数。

实践 描述 变更规格 当使用的云堡垒机规格不能满足实际需求时，您可以选择对云堡垒机的规格进行变更规格。 系统策略 云堡垒机支持通过执行命令运维数据库，包括数据删除、修改、查看等运维操作。为确保数据库敏感信息的安全，避免关键信息的丢失和泄露，本文针对运维用户访问和运维数据库关键信息，详细介绍了如何设置数据库高危操作的复核审批，以及如何实现关键信息的重点监控。 等保合规 为客户提供一站式的安全解决方案，帮助客户快速、低成本完成安全整改，轻松满足等保合规要求。 系统运维 针对您的服务器资源分布在跨VPC、线下IDC机房、非华为云等跨网络域的场景，华为云堡垒机提供了通过网络代理服务器进行运维的方案，便于您在没有搭建网络专线的情况下，纳管各网络域的各类服务器资源，从而通过华为云堡垒机统一管理、运维您的各类工作负载。 运维审计 云堡垒机可以管控所有的操作，并对所有的操作都进行详细记录。针对会话的审计日志，支持在线查看、在线播放和下载后离线播放。目前支持字符协议（SSH、TELNET）、图形协议（RDP、VNC）、文件传输协议（FTP、SFTP、SCP）、数据库协议（DB2、MySQL、Oracle、SQL Server）和应用发布的操作审计。其中，字符协议和数据库协议能够进行操作指令解析，还原操作指令；文件传输能够记录传输的文件名称和目标路径。

本章介绍天翼云关系型数据库在备份和恢复时的常见问题及解决办法。 RDS能够保存多长时间的备份 关系型数据库实例的自动备份有效期根据用户设置的备份天数而定。 手动备份没有时间限制，用户可根据需要进行删除。 备份存储在对象存储服务上，不占用您创建的数据库空间。 如何清理云数据库RDS的备份空间 RDS的备份空间中存放的是自动备份、手动备份文件，以及SQL审计日志。 清理自动备份（全量备份+增量备份） 自动备份文件不支持手动删除，可通过修改备份策略调整备份保留天数，超出备份保留天数的已有备份文件会被自动删除。 清理手动备份（全量备份） 手动备份文件支持手动删除，具体请参见删除手动备份。 清理SQL审计日志 修改SQL审计的保留天数，超出保留天数的SQL审计日志会被自动删除。具体请参见修改SQL审计。 关闭SQL审计时，可以选择同步删除所有SQL审计日志文件。 数据库在备份时间段中是否可用 备份窗口是用户定义的时间段，在该时间段内关系型数据库实例将进行备份。关系型数据库服务借助这些定期数据备份，让您能够将关系型数据库实例还原到保留期内的备份点。 在备份时段期间，业务不受影响，但不能在关系型数据库服务的管理控制台做重启操作。 全量备份时，会连接备份所属的实例，校验该实例的状态。如果校验存在以下两种情况，则校验不通过，会自动进行校验重试。如果重试结束后，仍然无法满足，则备份失败。

本章节介绍数据库备份和恢复时的常见问题有哪些及解决办法。 RDS能够保存多长时间的备份 关系型数据库实例的自动备份有效期根据用户设置的备份天数而定。 手动备份没有时间限制，用户可根据需要进行删除。 备份存储在对象存储服务上，不占用您创建的数据库空间。 如何清理云数据库RDS的备份空间 RDS的备份空间中存放的是自动备份、手动备份文件，以及SQL审计日志。 清理自动备份（全量备份+增量备份） 自动备份文件不支持手动删除，可通过修改备份策略调整备份保留天数，超出备份保留天数的已有备份文件会被自动删除。 清理手动备份（全量备份） 手动备份文件支持手动删除，具体请参见删除手动备份。 清理SQL审计日志 修改SQL审计的保留天数，超出保留天数的SQL审计日志会被自动删除。具体请参见修改SQL审计。 关闭SQL审计时，可以选择同步删除所有SQL审计日志文件。 数据库在备份时间段中是否可用 备份窗口是用户定义的时间段，在该时间段内关系型数据库实例将进行备份。关系型数据库服务借助这些定期数据备份，让您能够将关系型数据库实例还原到保留期内的备份点。 在备份时段期间，业务不受影响，但不能在关系型数据库服务的管理控制台做重启操作。 全量备份时，会连接备份所属的实例，校验该实例的状态。如果校验存在以下两种情况，则校验不通过，会自动进行校验重试。如果重试结束后，仍然无法满足，则备份失败。

本章节主要介绍查看翼MR集群日志。 翼MR控制台提供集群操作日志查询能力，同时，自2.17版本起，用户可通过云日志服务与云审计产品查看组件服务日志与操作审计日志。 日志入口 从翼MR控制台进入集群信息页面，单击“集群日志”页签即可查看集群操作日志。 日志查询 翼MR服务操作日志，提供了筛选框帮助用户快速定位问题原因。用户在选择筛选条件后，单击“查询”按钮进行查询日志，“重置”按钮清空筛选条件。 字段说明 参数 参数说明 操作名称 记录执行的操作名称，包括：新建集群、配置升级等。 资源名称 记录操作的资源名称，包括：集群、core、master等。 状态 记录操作的状态，包括：执行成功、执行失败、执行中等。 开始时间/结束时间 记录操作开始执行时间和执行结束时间。 备注 对操作失败的备注说明。

功能名称 功能描述 SFS容量型 SFS Turbo NFS协议 NFS（Network File System），即网络文件系统。一种使用于分散式文件系统的协议，通过网络让不同的机器、不同的操作系统能够彼此分享数据。多台ECS安装NFS客户端后，挂载文件系统，即可实现ECS间的文件共享。Linux客户端建议使用NFS协议。 √ √ CIFS协议 CIFS（Common Internet File System），通用Internet文件系统，是一种网络文件系统访问协议。通过CIFS协议，可实现Windows系统主机之间的网络文件共享。Windows客户端建议使用CIFS协议。 √ × 配置多VPC访问 可以为文件系统配置多个VPC，以使归属于不同VPC的云服务器，只要所属的VPC被添加到文件系统的VPC列表下，或云服务器被添加到了VPC的授权地址中，则实际上归属于不同VPC的云服务器也能共享访问同一个文件系统。 √ √ 可通过VPC对等连接的方式实现 备份文件系统 备份是文件系统在某一时间点的完整备份，记录了这一时刻文件系统的所有配置数据和业务数据。当您的文件系统出现故障或文件系统中的数据发生逻辑错误等时，可快速使用备份恢复数据。 × √ 加密文件系统 当您由于业务需求从而需要对存储在文件系统的数据进行加密时，弹性文件服务为您提供加密功能，可以对新创建的文件系统进行加密。 √ √ 监控文件系统 云监控服务为用户提供一个针对资源的立体化监控平台。通过云监控，您可以全面了解文件系统的使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。 √ √ 审计文件系统 弹性文件服务支持通过云审计服务对资源的操作进行记录，以便用户可以查询、审计和回溯。 × √

本章节会介绍关系型数据库使用备份恢复时遇到的常见问题。 RDS能够保存多长时间的备份 关系型数据库实例的自动备份有效期根据用户设置的备份天数而定。 手动备份没有时间限制，用户可根据需要进行删除。 备份存储在对象存储服务上，不占用您创建的数据库空间。 如何清理云数据库RDS的备份空间 RDS的备份空间中存放的是自动备份、手动备份文件，以及SQL审计日志。 清理自动备份（全量备份+增量备份） 自动备份文件不支持手动删除，可通过修改备份策略调整备份保留天数，超出备份保留天数的已有备份文件会被自动删除。 清理手动备份（全量备份） 手动备份文件支持手动删除，具体请参见删除手动备份。 清理SQL审计日志 修改SQL审计的保留天数，超出保留天数的SQL审计日志会被自动删除。具体请参见修改SQL审计。 关闭SQL审计时，可以选择同步删除所有SQL审计日志文件。 数据库在备份时间段中是否可用 备份窗口是用户定义的时间段，在该时间段内关系型数据库实例将进行备份。关系型数据库服务借助这些定期数据备份，让您能够将关系型数据库实例还原到保留期内的备份点。 在备份时段期间，业务不受影响，但不能在关系型数据库服务的管理控制台做重启操作。 全量备份时，会连接备份所属的实例，校验该实例的状态。如果校验存在以下两种情况，则校验不通过，会自动进行校验重试。如果重试结束后，仍然无法满足，则备份失败。

本章节为您介绍数据安全专区的产品优势。 数据安全合规适配 全面满足《数据安全法》《个人信息保护法》及等保、密评、行业专项监管要求。 内置政务、医疗、教育、运营商、金融等多行业分类分级模板，快速合规落地。 提供完整审计、溯源、报表能力，轻松应对监管检查与整改。 云原生更安全、更便捷 与天翼云同 VPC 部署，数据不出租户环境，安全无额外暴露面。 性能高、时延低，支持弹性扩容，无需硬件改造。 一键纳管云资源，免 Agent 适配 RDS，易用性远超传统方案。 智能化数据治理 AI 自动识别 + 资产全自动梳理，覆盖 40 + 数据源与非结构化数据。 分类分级结果可视化，可联动加密、脱敏、审计实现精准防护。 大幅降低人工梳理成本，快速摸清数据家底与风险分布。 一体化数据防护 覆盖数据采集、存储、共享、运维、接口全生命周期风险。 加密、脱敏、访问控制、攻击防御、水印溯源能力一体化。 从数据库、API 到运维终端，构建全方位数据防泄露体系。 可视化安全运营 数据安全运营中心统一管控，全局风险可视、可预警、可闭环。 全流程操作留痕与审计，异常行为实时告警，事件可追溯。 支持工单流转、态势感知、形成合规报告，降低运营成本。

本小节介绍云堡垒机功能特性。 产品仅提供高级版一种版本版本堡垒机，下面表格为高级版支持的功能及差异。 产品功能 描述 高级版 资产管理 主机管理 支持Windows、Linux操作系统的服务器资产管理 √ 资产管理 数据库管理 支持Mysql、PostgreSQL、Oracle等类型数据库资产管理及运维 √ 资产管理 应用管理 支持纳管应用服务器，并且可以直接纳管Chrome、IE、Firefox、SecBrowser等应用 √ 资产管理 资产组管理 支持资产分组管理，按组管理资产，统一授权 √ 资产管理 资产账密管理 支持资产特权账号、密码集中加密存储和托管，运维整个过程不暴露资产账密 √ 资产管理 账户改密 支持预设策略，对一个或多个主机资源账户的密码进行手动、定时或周期性的修改 √ 用户管理 双因子认证 支持账密+手机令牌认证方式登录堡垒机 √ 用户管理 用户管理 统一管理运维访问用户、管理员、审计员，支持定义用户账号安全策略 √ 用户管理 用户组管理 支持用户分组管理，统一为分组内用户授权 √ 用户管理 账号安全策略 支持设置全局账号安全策略、密码策略 √ 授权管理 资产访问授权 支持设置用户、资产、资产账号的访问授权及管控 √ 授权管理 字符命令授权 支持对用户、用户组敏感命令的授权及管控 √ 授权管理 文件操作授权 支持对用户操作文件命令授权及管控 √ 授权管理 数据库授权 支持设置用户访问数据库授权及管控 √ 资产运维 字符运维（SSH、Telnet） 支持Xshell、SecureCRT、Putty等客户端工具登录堡垒机运维资产 √ 资产运维 图形运维（RDP、VNC） 支持MSTSC、VNC等客户端工具登录堡垒机运维主机资产 √ 资产运维 文件运维（SFTP、FTP） 支持使用本地WinSCP、Xftp、SecureFX等SFTP客户端工具登录堡垒机进行文件运维 √ 资产运维 Web直接运维服务器 支持通过浏览器直接运维服务器、数据库资产 √ 资产运维 资产访问运维免账密登录 支持通过堡垒机账密单点登录到主机资产，运维人员无需掌握服务器资产的账密 √ 运维管控 资产访问控制 支持对用户访问资产、协议、资产账号的访问管控，用户仅可运维自己已授权资产 √ 运维管控 运维命令管控 支持根据字符命令授权对用户允许和拒绝的操作命令进行管控，支持自定义常用命令组 √ 运维管控 文件操作控制 支持根据文件授权对用户文件操作进行管控，超出授权范围无法操作文件 √ 运维管控 自动运维 支持依照既定步骤自行执行命令和运维脚本，对多个目标进行自动化运维管理 √ 工单管理 运维访问审批 运维用户运维高敏感资产可配置金库审批模式，一人操作一人监督审核 √ 工单管理 运维命令审批 运维用户运维资产的高危命令可配置金库模式，一人操作一人监督审核 √ 审计 日志审计 支持对用户登录日志、系统管理操作日志进行审计 √ 审计 会话审计 支持对字符操作、图形运维、文件操作及传输、数据库运维产生的会话日志统一审计 √ 审计 文件传输审计 支持文件传输会话（ftp、sftp）、账号数据角色产生的文件管理操作、个人目录文件操作，支持文件操作记录查看 √ 审计 数据库审计 支持查看sql指令，会话详情 √ 审计 审计录像及回放 支持对字符、图形运维操作全程审计录像及回放 √

本节为您介绍物理机对其他产品的支持情况。 实例 支持自动化发放物理机，远程Console登录。 支持客户自主管理物理机生命周期：查询、启动、关机、重启、删除。 导出物理机列表：将客户名下的所有物理机信息，以CSV文件的形式导出至本地。 支持重置密码。 支持重装操作系统：物理机操作系统无法正常启动、中毒等场景，可以重装操作系统。 支持通过API管理物理机。 支持主机监控，可实时获取物理机的CPU、内存、磁盘I/O等监控指标数据。 支持云审计，记录与物理机相关的操作事件，便于日后的查询、审计和回溯。 磁盘 弹性裸金属可支持挂/卸载云硬盘。 支持非共享卷和共享卷。 支持云硬盘扩容。 镜像 可以使用公共镜像、私有镜像、共享镜像发放物理机。 支持通过物理机创建私有镜像。 私有镜像支持不同账号之间共享镜像。 网络 支持虚拟私有云。 创建安全组并定义安全组规则，为物理机提供安全防护。 支持绑定弹性IP，满足客户互联网访问需求。 支持绑定多张网卡。

本节主要介绍自定义策略使用样例 配合较高权限系统策略使用 如果您给IAM用户授予较高权限的系统策略，例如“FullAccess” ，但不希望IAM用户拥有某个服务的权限，例如云审计服务。您可以创建一个自定义策略，并将自定义策略的Effect设置为Deny，然后将较高权限的系统策略和自定义策略同时授予用户，根据Deny优先原则，则授权的IAM用户除了云审计服务，可以对其他所有服务执行所有操作。 以下策略样例表示：拒绝IAM用户使用云审计服务。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cts::" ] } ] } 说明 Action为授权项，格式为：服务名:资源类型:操作。 "cts::"：表示对云审计的所有操作。其中cts为服务名；“”为通配符，表示对所有的资源类型可以执行所有操作。 Effect为作用，Deny表示拒绝，Allow表示允许。 配合单个服务系统策略使用 如果您给IAM用户授予单个服务系统策略，例如“BMS FullAccess”，但不希望用户拥有BMS FullAccess中的创建物理机权限（bms:servers:create），可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为Deny，然后将系统策略BMS FullAccess和自定义策略同时授予用户，根据Deny优先原则，则用户可以对BMS执行除了创建物理机外的所有操作。 以下策略样例表示：拒绝IAM用户创建物理机。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "bms:servers:create" ] } ] } 如果您给IAM用户授予“OBS ReadOnlyAccess”权限，但不希望部分用户查看指定OBS资源（例如，不希望用户名以“TestUser”开头的用户查看以“TestBucket”命名开头的桶），可以再创建一条自定义策略来指定特定的资源，并将自定义策略的Effect设置为Deny，然后将OBS ReadOnlyAccess和自定义策略同时授予用户。根据Deny优先原则，则用户可以对以“TestBucket”命名开头之外的桶进行查看操作。 以下策略样例表示：拒绝以TestUser命名开头的用户查看以TestBucket命名开头的桶。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "obs:bucket:ListAllMybuckets", "obs:bucket:HeadBucket", "obs:bucket:ListBucket", "obs:bucket:GetBucketLocation" ], "Resource": [ "obs:::bucket:TestBucket" ], "Condition": { "StringStartWith": { "g:UserName": [ "TestUser" ] } } } ] } 说明 当前仅部分服务支持资源级授权，例如OBS 对象存储服务；对于不支持资源级别授权的服务，若自定义策略中含有资源类型，则无法创建成功。

本章节主要介绍数据湖探索（DLI）其他服务的关系。 与对象存储服务（OBS）的关系 对象存储服务（Object Storage Service）作为数据湖探索的数据来源及数据存储，与数据湖探索配合一起使用，关系有如下四种。 • 数据来源：数据湖探索服务提供API，支持将OBS对应路径的数据导入到数据湖探索。 • 存储数据：数据湖探索中支持创建OBS表，该类型表在数据湖探索服务中只有元数据，实际数据在该表对应的OBS路径中。 • 备份数据：数据湖探索提供导出API，支持将数据湖探索的数据导出到OBS中备份。 • 存储查询结果：数据湖探索提供API供用户将日常作业的查询结果数据保存到OBS。 与统一身份认证服务（IAM）的关系 统一身份认证服务（Identity and Access Management）为数据湖探索提供了天翼云统一入口鉴权功能。 与云审计服务（CTS）的关系 云审计服务（Cloud Trace Service）为数据湖探索提供对应用户的操作审计。 与云监控服务的关系 云监控（Cloud Eye）为数据湖探索提供监控数据，监控作业中的多项指标，从而集中高效地呈现状态信息。 与消息通知服务（SMN）的关系 消息通知服务（Simple Message Notification）可以在数据湖探索发生作业运行异常时给用户发送通知。 与云数据迁移服务（CDM）的关系 云数据迁移服务（Cloud Data Migration）可以将OBS的数据迁移到数据湖探索中。 与数据接入服务（DIS）的关系 数据接入服务（Data Ingestion Service）通过通道将数据导入到数据湖探索。

参数名称 说明 取值样例 添加方式 您可以选择Agent的添加方式。 选择已有Agent 当某个应用端连接了多个数据库时，如果该应用端的一个数据库已经在应用端添加了Agent。其他数据库在添加Agent时，只需要选择“选择已有Agent”添加方式。 创建Agent 如果待添加Agent的数据库需要创建Agent，请创建新的Agent。 创建Agent 安装节点类型 当“添加方式”选择“创建Agent”时，需配置该参数。 审计RDS关系型数据库，需要选择“应用端”。 应用端 安装节点IP “安装节点类型”选择“应用端”时，需配置该参数。安装节点IP只能填写一个，每个Agent安装节点IP不同。 IP地址为应用端内网IP地址。 IP必须为内网IP地址，支持IPv4和IPv6格式。 须知 当审计RDS关系型数据库且应用端在云下时，代理端将作为应用端，此时，“安装节点IP”需要配置为代理端的IP地址。 192.168.1.1 审计网卡名称 可选参数。“安装节点类型”选择“应用端”时，可以配置该参数。 指待审计的应用端节点的网卡名称。 CPU阈值(%) 可选参数。“安装节点类型”选择“应用端”时，可以配置该参数。 指待审计的应用端节点的CPU阈值，缺省值为“80”。 须知 当服务器的CPU超过设置的阈值，为了保证您业务的正常运行，Agent将自动关闭，停止运行。 80 内存阈值(%) 可选参数。“安装节点类型”选择“应用端”时，可以配置该参数。 指待审计的应用端节点的内存阈值，缺省值为“80”。 须知 当服务器上的内存超过设置的阈值，为了保证您业务的正常运行，Agent将自动关闭，停止运行。 80 操作系统 可选参数。“安装节点类型”选择“应用端”时，可以配置该参数。 指待审计的应用端节点的操作系统，可以选择“LINUX64”或“WINDOWS64”。 LINUX64

操作步骤 1 登录云堡垒机系统。 2 选择“系统 > 系统维护 > 授权许可”，查看系统当前授权信息。 系统授权参数说明 参数 说明 客户信息 当时系统使用区域和可用区。 授权类型 系统默认内置“正式版”。 状态 “已激活”状态为授权许可正常使用状态。 l 单击“更新许可证”，根据系统提示，下载许可申请文件，并联系供应商申请授权许可。导入供应商已授权的许可文件，更新许可证。 l 单击“备份许可证”，下载当前系统许可证到本地保存。 说明 当资产数、用户数、并发数需求扩大，可更新授权许可证升级系统规格，对应需调整云堡垒机CPU、内存、带宽配置。 产品ID 当前系统产品ID。 授权模块 系统支持功能模块，分标准版和 专业版 。 l标准版仅包含“基础模块”。 l专业版包含“基础模块”、“自动化运维”、“数据库审计”。 − 自动化运维包括“帐户同步策略”模块、“配置备份策略”模块、“脚本管理”模块、“快速运维”模块、“运维任务”模块。 − 数据库审计支持添加数据库，通过调用本地数据库工具的方式连接到数据库，审计数据库日志记录和操作命令。 授权资源数 系统最多可添加资源数（包含主机资源和应用发布资源总数）。 授权资源并发连接数 系统不同用户可同时登录资源的协议连接数（包含主机资源和应用发布资源），即连接协议用户数与登录资源数的乘积。 过期时间 系统授权许可到期时间。

dmscli是端云协同客户端的命令行工具,为用户提供高效、便捷的数据库管理能力。通过dmscli,您可以在终端环境中完成实例管理、SQL 执行、工单处理、团队协作及操作审计等全生命周期数据管理操作。dmscli已内置于端云协同客户端中,无需单独下载安装,启动客户端后即可直接使用dmscli功能。 前提条件 已安装 DMS 端云协同客户端 适用平台：Windows、macOS 支持数据库类型：MySQL、PostgreSQL 操作步骤 1. 启动端云协同客户端 2. 打开终端/命令行工具 3. 直接输入dmscli即可使用 shell 查看帮助信息 dmscli help 查看具体命令帮助 dmscli help instance dmscli help instance verbose 核心功能 功能模块 常用命令 实例管理 dmscli instance list / create / login SQL 执行 dmscli sql execute sql "SELECT ..." 团队管理 dmscli team list / addmember 工单管理 dmscli workorder export / detail 操作审计 dmscli audit sql 使用示例 1. 查看实例列表 shell dmscli instance list 2. 登录实例获取 Token shell dmscli instance login id 1 dbaccountid 10 3. 查看数据库列表 shell dmscli database list instanceid 1 instancetoken "$TOKEN" 4. 执行 SQL 查询 shell dmscli sql execute instanceid 1 dbid 2 instancetoken "$TOKEN" sql "SELECT COUNT() as total FROM orders"

验证组件联动性 部署后通过“小流量测试” 验证组件是否正常联动，避免防护失效： 互联网入访测试：从公网访问公网ELB 的 EIP，检查云防火墙日志是否捕获该流量（上图中红色 / 蓝色路径）； 内网出访测试：从vpc1 业务子网的 ECS 访问互联网（如ping），检查 NAT 网关日志与云防火墙日志是否均有记录（上图中紫色路径）； VPC 互访测试：从 vpc1 的 ECS 访问 vpc2 的 ECS，检查云防火墙日志是否捕获该流量（上图中黄色路径）； 云专线互访测试：从线下数据中心访问vpc2 的业务 ECS，检查云防火墙日志是否捕获该流量（上图中绿色路径）。 流量管控：全路径防护与优化 基于典型部署方案的4类核心流量路径，通过云防火墙策略实现 “精准管控、日志可追溯”。 互联网入访流量 红色/蓝色路径：IPv4网关→GWLBE→云防火墙→公共子网（ELB/ECS/HAVIP/裸金属)。 策略配置原则：“最小权限”，仅开放业务必要端口； 允许策略：仅开放80（HTTP）、443（HTTPS）等业务端口，源地址限制为业务覆盖的用户网段（如仅允许华东地区 IP 访问）； 拒绝策略：默认拒绝所有其他端口（如22、3389等管理端口，禁止公网直接访问）。 日志审计：开启云防火墙入访日志记录，定期审计异常流量（如来自境外IP的高频访问尝试）。

Web应用防火墙的带宽扩展包是否有购买上限？ 当前Web应用防火墙最大支持购买扩展20个扩展包。 产品是否可以试用，试用周期为多长时间？ 云等保专区支持试用，如需申请试用，请联系客户经理下单。 主机安全如何确定购买个数？ 主机安全的购买个数依据需要防护的ECS数量确定，需要防护多少个ECS就购买多少个主机安全。 云等保专区产品是否支持跨资源池防护使用？ 不支持，云等保专区会在每个资源池进行加载，为保证用户业务数据安全，暂时不支持用户跨资源池使用，用户可在就近资源池进行云等保专区产品的购买。 云等保专区产品是否支持跨VPC防护？ 支持，但是需要通过对等连通打通两个VPC之间的网络连接。 Web应用防火墙购买数量是否具有限制？ 不限制购买数量，但是一个订单只能购买一个Web应用防火墙（扩展包最多20个），要购买多个，需下多个订单。 云等保专区是否对接云监控服务？ 已对接云监控服务。 说明 目前该能力为灰度上线，仅针对白名单用户开放。 若需使用该能力，请通过提工单的方式，申请加白并开通云监控服务。 支持的区域为：华东1、西南1、上海33、华南2。 支持云监控服务的原子能力为：Web应用防火墙v1.0，日志审计v1.0，堡垒机v1.0，数据库审计v1.0。

本文介绍了如何查看云防火墙的防护结果。 攻击事件日志 在左侧导航树中，选择“日志审计 > 日志查询”。进入“攻击事件日志”页面，可查看近一周的攻击事件详情。 攻击事件日志参数请参见日志查询。 访问控制日志 在左侧导航树中，选择“日志审计 > 日志查询”。选择“访问控制日志”页签，可查看近一周的访问控制流量详情。 访问控制日志参数详情请参见日志查询。

本章节将为您详细介绍创建告警规则的步骤。 云监控支持灵活的创建告警规则。您既可以根据实际需要对某个监控指标设置自定义告警规则，同时也能够使用告警模板为多个资源或者云服务批量创建告警规则。 说明 目前仅支持监控“一类节点”区域的实例。 日志审计（原生版）支持的区域请参见支持的区域。 操作步骤 1. 登录天翼云控制中心。 2. 在产品服务列表中“管理与部署 > 云监控服务”，进入云监控服务主页面。 3. 在左侧导航栏，选择“云服务监控”，单击“日志审计（原生版）”产品。 4. 在日志审计（原生版）监控列表中选择目标的实例，单击操作列的“创建告警规则”。 5. 在“创建告警规则”页面，根据界面提示配置参数。 配置参数及相关含义说明如下： 模块 参数 参数说明 配置示例 选择监控对象 规则类型 选择规则的类型，主要包括指标监控、事件监控、站点监控、自定义监控、自定义事件五种。 指标监控 选择监控对象 服务 配置告警规则监控的云服务资源类型。 日志审计（原生版） 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 日志审计实例 选择监控对象 监控对象类型 具体实例/资源分组/全部资源 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 实例名称 定义告警策略 选择类型 支持自定义创建 、从模板导入。 自定义创建 定义告警策略 策略 支持选择满足全部 或任意策略。 策略信息包括： 监控指标，支持的监控指标请参见[实例支持的监控指标](