参数 说明 文件提权检测 启用：是否开启文件提权检测。 忽略的文件路径：填写需要忽略的文件路径。文件路径以“/”开头，不能以“/”结尾，多个路径通过回车换行分隔且名称中不能包含空格。 关键文件完整性检测 启用：是否开启关键文件完整性检测。 监控文件：配置监控文件。 关键文件目录变更检测 启用：是否开启关键文件目录变更检测。 开启Audit：是否开启Audit检测功能，开启后，请注意系统的inotify使用限制，超过限制，部分文件目录变更将检测不到。 会话IP白名单：如果操作文件的进程属于以上IP的会话，则不予审计。 忽略监控文件类型后缀：忽略监控的文件类型的后缀。 忽略监控的文件路径：配置忽略监控文件的路径。 监控登录密钥：是否开启监控登录密钥。

如果不再需要某个数据空间，可以参照本节进行删除。 约束与限制 系统创建默认数据空间不支持删除操作。 如果待删除数据空间中，存在数据管道，则该数据空间不能直接删除。您需要先删除数据管道，再删除数据空间。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在需要删除的数据空间所在行的“操作”列，单击“删除”。 6. 在弹出的对话框中单击“确认”，完成删除数据空间的操作。 注意 如果待删除数据空间中，存在数据管道，则该数据空间不能直接删除。您需要先删除数据管道，再删除数据空间。

本小节介绍审计功能相关的常见问题。 SSL VPN是否支持启用策略冲突检测，检测到有冲突时能够在Web界面给出告警？ SSL VPN不支持该功能，同时VPN几乎不存在出现策略冲突的情况。 设备的用户日志能记录哪些维度？ 用户名、接入类型、描述、发送流速、接收流速、发送流量、接收流量、接入时间、并发会话数、接入IP、虚拟IP、认证方式、所属组。 SSL VPN产品的关键数据类型以何种形式保存及保存位置建议？ 关键数据以数据库、配置文件、文本文件和内存数据库方式保存。 数据库：主要包括用户信息，用户组信息，资源配置，角色授权，策略组信息等。保存在设备硬盘。 配置文件：设备配置信息，如网络配置，控制台账号等。保存在设备硬盘。 文本文件：运行时产生的日志。保存在设备硬盘。 内存数据库：在线用户信息，保存在内存。 用户信息可以保存在第三方应用上，如保存在ldap和radius。 管理员日志、用户日志和系统日志可保存在外置Syslog和外置数据中心。

介绍分布式消息服务Kafka删除用户功能操作内容。 场景描述 Kafka删除用户的场景描述如下： 用户离职或不再需要访问权限：当用户离开组织或不再需要访问Kafka集群时，可以删除其用户账户。这可以确保已离职的用户无法再访问和操作Kafka，提高安全性和合规性。 角色调整或合并：在某些情况下，可能需要对用户角色进行调整或合并。如果某个角色不再需要或与其他角色重复，可以删除相关的用户账户和角色，以简化管理和维护。 用户账户过期或失效：如果用户账户的有效期已过或由于某种原因失效，可以删除该用户账户。这有助于清理无效的用户账户，减少安全风险和资源浪费。 安全审计和合规要求：根据安全审计和合规要求，可能需要删除某些用户账户。例如，当用户账户存在安全风险或违反合规规定时，需要及时删除相关账户以保护系统安全和数据隐私。 数据隔离和资源管理：在多租户环境中，当某个租户不再需要使用Kafka集群时，可以删除其相关的用户账户。这有助于释放资源，提高资源利用率和性能。 操作步骤 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“用户管理”后进入应用用户管理页面，点击指定用户其右侧的“删除”按钮。 注意事项 Kafka删除用户时需要注意以下事项： 确认用户身份：在删除用户之前，确保要删除的用户的身份是正确的。验证用户的身份可以防止误删除或删除错误的用户账户。 备份和迁移数据：如果用户账户中存在重要的数据或信息，建议在删除用户之前进行数据备份和迁移。这可以确保数据的安全性和完整性，并防止数据的丢失或泄露。 通知相关人员：在删除用户之前，及时通知相关的管理人员或团队成员。这有助于协调和沟通，确保删除用户的操作得到充分的授权和确认。 关注系统性能：删除用户时，要注意对Kafka集群的性能影响。大规模的用户删除操作可能会对系统造成一定的负载和延迟，因此在合适的时间窗口进行删除操作，以减少对业务的影响。

本章节介绍数据库安全续费。 数据库安全续费 续费说明 包年/包月数据库安全服务到期后会影响数据库安全服务正常运行。如果您想继续使用，需要在指定的时间内为数据库安全审计实例续费，否则实例会自动释放，数据丢失且不可恢复。 续费操作仅适用于包年/包月数据库安全服务。 数据库安全服务在到期前续费成功，所有资源得以保留，且实例的运行不受影响。 续费方式 续费分为手动续费和自动续费两种方式， 1. 一是手动续费，包年/包月数据库安全服务从购买到被自动删除之前，您可以随时在DBSS控制台为数据库安全服务续费，以延长数据库安全服务的使用时间。 2. 二是自动续费，开通自动续费后，数据库安全服务会在每次到期前自动续费，避免因忘记手动续费而导致资源被自动删除。

本页介绍如何查数据传输服务DTS的操作日志。 数据传输服务DTS记录用户在使用服务过程中的关键操作行为，便于帮助用户进行安全审计、故障排除、回顾操作流程、追踪错误等。 操作步骤 1. 在数据传输服务DTS控制台页面，点击左侧菜单栏“操作日志”按钮进入【操作日志】页面。 2. 【操作日志】页面分页展示用户的所有详细操作日志，包括：操作时间、操作来源（IP地址）、接口URL、请求参数、操作行为、接口返回、错误信息、操作者等信息。 3. 在页面顶部的查询条件中，输入URL、或者在操作行为下拉列表中选择某种操作行为作为查询条件，点击“查询”按钮，可根据需要查看操作日志。 说明 关键操作行为包括：创建任务、编辑任务、启动任务、暂停任务、启动节点、暂停节点、新增节点、预检查。

管理自有表权限 当用户需要对已申请的表/字段权限进行管理，包含查看、编辑和交还权限，请参见本节进行操作。 1. 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据目录”模块，进入数据目录页面。 详见下图：选择数据目录 2. 选择“数据权限 > 数据表权限”，在“我的权限”页签中，支持如下操作： 操作 > 查看，查看用户已申请的权限详情。 操作 > 编辑，可修改用户已申请的数据表权限。 操作 > 交还，可交还用户已申请的数据表权限。 详见下图：管理表权限 审计用户权限 管理员可在“用户权限”页面查看同一工作空间内，分别有哪些帐号拥有表和字段的权限，并可回收不必要的表和字段的权限，也可对用户进行批量授权。 说明 仅空间管理员可审计用户权限，包含查看用户列表、回收用户权限、对用户进行授权。 查看拥有表权限的帐号和对应的资产列表 选择“数据表权限 > 用户权限”，查看同一工作空间内，已申请表权限的帐号。 详见下图：查看拥有表权限的帐号 回收用户的资产权限 −选择“数据表权限 > 用户权限”，单击帐号后操作列的“回收”，可回收该帐号所有的资产权限。 −选择“数据表权限 > 用户权限”，勾选用户名前的复选框，单击左上角“回收”，支持批量回收用户资产权限。 详见下图：回收用户的资产权限 对用户授权 详见下图：授权 在资产上管理用户的权限 选择“数据表权限 > 用户权限”，单击帐号前的下拉列表，展开该用户所拥有的资产。单击对应特定资产操作列的“查看”、“编辑”和“回收”，完成在资产上管理用户的权限。 详见下图：基于资产管理用户权限

本文介绍如何配置RBI云端浏览器 适用场景 RBI云端浏览器通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯，主要针对互联网威胁（防钓鱼、防恶意勒索等）、企业内部数据安全管理提供轻量化、一站式的解决方案。 注意事项 注意 配置该能力前需先购买【RBI云端浏览器】服务，并保障零信任服务已接入，详情见 配置说明 如您需要配置使用RBI云端浏览器，请提交工单给天翼云客服，并提供以下信息，由其帮您配置。 配置需求 填写内容 备注 需求场景 提供具体需求场景 互联网安全访问 是否开启该能力 默认是否，若是是则开启互联网安全访问，则会提供一个互联网安全访问地址，通过该地址访问互联网资源（如www.ctyun.cn），则会经过云端浏览器进行处理。 否则不开启。 互联网安全访问 使用人员范围 互联网安全访问若开启，则需提供使用人员范围，默认全部。 互联网安全访问 访问管控：是否限制复制，粘贴，下载 互联网安全访问若开启，则需管控限制，默认全部不限制。 内网安全访问 配置应用资源 提供具体应用名称(即应用配置时的应用名称，仅针对web应用的入口地址有效)。 内网安全访问 使用人员范围 默认全部。 内网安全访问 访问管控：是否限制复制，粘贴，下载 默认全部不限制。

本文主要介绍产品优势。 分布式消息服务Kafka完全兼容开源社区版本，旨在为用户提供便捷高效的消息队列。业务无需改动即可快速迁移上云，为您节省维护和使用成本。 一键式部署，免去集群搭建烦恼 您只需要在实例管理界面选好规格配置，提交订单。后台将自动创建部署完成一整套Kafka实例。 兼容开源，业务零改动迁移上云 兼容社区版Kafka的API，具备原生Kafka的所有消息处理特性。 业务系统基于开源的Kafka进行开发，只需加入少量认证安全配置，即可使用分布式消息服务Kafka，做到无缝迁移。 说明 Kafka实例兼容开源社区Kafka 1.1.0、2.3.0和2.7版本。在客户端使用上，推荐使用和服务端版本一致的版本。 安全保证 独有的安全加固体系，提供业务操作云端审计，消息存储加密等有效安全措施。 在网络通信方面，除了提供SASL（Simple Authentication and Security Layer）认证，还借助虚拟私有云（VPC）和安全组等加强网络访问控制。 数据高可靠 Kafka实例支持消息持久化，多副本存储机制。副本间消息同步、异步复制，数据同步或异步落盘多种方式供您自由选择。 集群架构与跨AZ部署，服务高可用 Kafka后台为多集群部署，支持故障自动迁移和容错，保证业务的可靠运行。 Kafka实例支持跨AZ部署，代理部署在不同的AZ，进一步保障服务高可用。不同AZ之间基于Kafka ISR（insync replica）进行数据同步，Topic需要选择数据多副本并且将不同副本分布到不同的ISR上，在ISR正常同步状态下，故障RPO（Recovery Point Objective）趋近于0。 无忧运维 云服务平台提供一整套完整的监控告警等运维服务，故障自动发现和告警，避免724小时人工值守。Kafka实例自动上报相关监控指标，如分区数、主题数、堆积消息数等，并支持配置监控数据发送规则，您可以在第一时间通过短信、邮件等获得业务消息队列的运行使用和负载状态。 海量消息堆积与弹性扩容 内建的分布式集群技术，使得服务具有高度扩展性。分区数可配置多达100个，存储空间弹性扩展，保证在高并发、高性能和大规模场景下的访问能力，轻松实现百亿级消息的堆积和访问能力。 多规格灵活选择 Kafka实例的带宽与存储资源可灵活配置，并且自定义Topic的分区数、副本数。

天翼云性能测试服务协议，详情请参见这里。

序号 区域 说明 ① 功能菜单 查看数据管理服务的一级功能菜单，单击任意展开二级功能菜单。 ② 标签页 展示已打开的标签页，可以单击标签右侧关闭icon关闭指定标签。 ③ 用户概要信息 展示当前用户概要信息，包括用户名、用户角色、用户创建时长等。 ④ 功能简介、产品动态 展示实例管理、查询窗口、团队管理、运维与审计、智能服务等重点功能的简介和快速访问入口，可以单击对应按钮跳转至功能的页面操作。单击使用引导按钮可查看基础版、企业版的操作指引，产品动态可查看产品最新动态。 ⑤ 最近访问的库/模式、最近打开的脚本 默认展示最近访问的数据库或模式，可以单击 切换Tab卡片查看最近打开的脚本。 ⑥ 功能按钮 使用实例列表、智能助手等快捷功能

本章节为您简单介绍API风险监测的基本内容。 API 与应用系统安全审计系统采用旁路部署在网络靠近应用服务器的交换机上，将流量复制转发到产品中进行解析还原，分析业务系统中可被利用的脆弱性漏洞，实时监测用户异常访问数据行为，支持在泄漏发生时进行溯源分析，全方面守护企业应用数据安全。 总览页 API风险总览页面总计六个模块。 数据总览：可查看应用系统、API、账号及文件数量。 生命周期分布：查看指定时间段内的风险趋势、风险分布、生命周期分布、API敏感数据特征分布。 现存风险分布：查看目前系统内当前所有风险的统计情况。 新增风险趋势：查看近一个月内风险的新增情况。 API敏感特征分布：查看所有API中敏感信息的分布情况。 访问流量梳理：查看系统最近的访问情况。

此小节介绍数据库安全版本性能规格说明 版本和性能规格说明 数据库安全审计功能提供了基础版、专业版和高级版三种服务版本。您可以根据业务需求选择相应的服务版本。 版本 支持的数据库实例 系统资源要求 性能参数 基础版 最多支持3个数据库实例 CPU：4U 内存：8GB 硬盘：500GB 吞吐量峰值：3,000条/秒 入库速率：360万条/小时 4亿条在线SQL语句存储 50亿条归档SQL语句存储 专业版 最多支持6个数据库实例 CPU：8Ul内存：16GB 硬盘：1TB 吞吐量峰值：6,000条/秒 入库速率：720万条/小时 6亿条在线SQL语句存储 100亿条归档SQL语句存储 高级版 最多支持30个数据库实例 CPU：16U 内存：32GB 硬盘：2TB 吞吐量峰值：30,000条/秒 入库速率：1080万条/小时 15亿条在线SQL语句存储 600亿条归档SQL语句存储

本节介绍开通翼甲卫士的操作说明。 操作步骤： 1.登录AI云电脑（政企版）控制台，点击“协同套件”菜单栏，找到翼甲卫士点击开通。 2.根据用户实际需求，选择开通翼甲卫士所需的资源进行开通。 防护的VPC/带宽：每台翼甲只能绑定一个VPC，支持对同一VPC下的多个带宽进行防护。 上网行为管理：支持对用户访问网站的行为进行管控审计。 费用扣减：目前翼甲卫士仅支持资源包方式订购。 扣费结构为：翼甲卫士费用主机费用（必须）+防火墙日志存储费用（可选）+短信告警服务费用（可选）。其它部分自费信息参照下表： 性能项目 性能指标 价格 备注 标准版 包含1台8C16G防火墙主机 支持网络访问规则控制 支持IPsecVPN 支持入侵防御、病毒防护 支持防护200Mbps带宽 750元/套/月 此项为计算资源和存储资源收费，若配置了防火墙高可用，资源2 增强版 包含1台16C32G防火墙主机 支持网络访问规则控制 支持IPsecVPN 支持入侵防御、病毒防护 支持上网行为管理 支持防护400Mbps带宽 1400元/套/月 此项为计算资源和存储资源收费，若配置了防火墙高可用，资源2 防火墙日志存储 高IO 8元/100GB/月 短信告警服务 / 0.2元/条

类别 告警 事件 定义 告警是运维中的一种异常信号的通知，通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如，当服务器的CPU使用率超过90%时，系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性，能够明确指出异常发生的位置、类型和影响。同时，告警可以按照严重程度来进行分类，如紧急、重要、一般等，以便运维人员根据告警的严重程度来决定哪些需要优先处理。 告警的目的是及时通知相关人员，以便能够迅速响应并采取措施解决问题。 事件是一个更广泛的概念，可以包括告警，但不限于此。事件可以是系统正常操作的一部分，也可以是异常或错误。在运维和安全领域，事件通常指的是已经发生并需要被关注、调查和处理的问题或故障。事件可能由一条或多条告警触发，也可能由其他因素（如用户操作、系统日志等）引发。 事件的目的更广泛，可以是为了记录、分析、报告或审计，通常用于记录和报告系统的历史行为，以便于分析和审计。 处理流程 告警的处理流程通常包括接收、确认、分析、响应和关闭等步骤。当监控系统发出告警时，运维人员首先需要确认告警的真实性，然后分析告警的原因和影响范围，最后采取相应的措施来解决问题，并关闭告警。 事件的处理流程则更加复杂和全面。除了包含告警处理流程中的各个环节外，事件处理还需要进行事件调查、影响评估、风险分析、制定应急计划、执行应急响应、事后总结等步骤。事件处理的目标是彻底解决问题，防止类似事件再次发生，并减少事件对业务的影响。 重要性与紧急程度 告警一般需要立即评估和响应。 每条告警的紧急程度和重要性各不相同，取决于告警的类型、级别和影响的范围。一些告警可能只是简单的提醒或预警，而另一些告警则可能表示系统已经遭受严重攻击或面临重大故障风险。 事件可能需要记录、分析或在某些情况下采取行动，但不一定需要立即响应。 事件通常比告警具有更高的重要性和紧急程度。因为事件已经发生并产生了实际的影响，需要立即采取措施来应对和解决问题。如果事件得不到及时处理，可能会给组织带来重大的经济损失或声誉损害。

第三方证书部署服务 已上传的第三方证书支持一键部署到天翼云上产品，提升业务便捷性。 服务类型 计费方式 标准资费（元/次） 第三方证书部署服务 按次计费 30 域名监控服务 域名监控可帮助监测多个站点的HTTPS业务状态，并及时发现站点上的SSL证书安全问题，方便统一维护多站点HTTPS。 服务类型 计费方式 标准资费（元/次） 域名监控服务 按次计费 30

天翼云性能测试服务等级协议，详情请参见这里。

基线检查风险项修复及验证 当基线检查功能检测到并提示您服务器上存在的风险项时，请参考如下风险项修复建议为您的服务器进行安全加固。 约束限制 未开启防护不支持基线相关操作。 弱口令修复 为保障您的主机安全，请您及时修改登录主机系统时使用弱口令的帐号，如SSH帐号。 为保障您主机内部数据信息的安全，请您及时修改使用弱口令的软件帐号，如MySQL帐号和FTP帐号等。 验证：完成弱口令修复后，建议您立即执行手动检测，查看弱口令修复结果。如果您未进行手动验证，HSS会在次日凌晨执行自动验证。 单服务器风险修复及验证 系统中的关键应用如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。例如：SSH采用了不安全的加密算法；Tomcat服务采用root权限启动。 HSS可以检测系统中关键软件的配置风险并给出详细的加固方法。 1、在HSS控制台选择“资产管理 > 主机管理 > 云服务器”，进入服务器页面。 2、搜索目标服务器，单击目标服务器名称进入服务器详情页面。 定位目标服务器 3、选择“基线检查 > 配置检查”页签，单击风险项前的展开按钮，查看所有检查项。 4、处理风险项。 忽略风险 在目标检查项“操作”列单击“忽略”，忽略单条风险检查项。 勾选多个目标检查项前的选框，单击上方出现的“忽略”按钮，进行批量忽略处理。 修复风险 单击目标风险项“操作”列的“检查详情”，查看检查项详情。 查看“审计描述”、“修改建议”等信息，根据“修改建议”修复主机中的异常信息。 说明 目前部分EulerOS基线和CentOS 8已支持一键修复，单击目标EulerOS或CentOS的“检查项”“操作”列的“修复”，可直接修复检查项，部分检查项修复时需填写参数值，保持默认值即可。 建议您及时优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。 单服务器查看修复建议 全量服务器风险修复及验证 系统中的关键应用如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。例如：SSH采用了不安全的加密算法；Tomcat服务采用root权限启动。 HSS可以检测系统中关键软件的配置风险并给出详细的加固方法。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“配置检查”页签，查看所有服务器的配置检查风险项，参数说明如表511所示。 配置检查参数说明 参数名称 参数说明 风险等级 按照基线标准匹配检测结果划分的等级。 高危 、低危、 中危 、无风险 基线名称 检测执行的基线的名称。 标准类型 检测执行的基线所属策略的标准类型。云安全实践、等保合规 检查项 累计检查的配置项总数。 风险项 检查项中存在风险的配置项总数。 影响服务器数 目标风险基线所影响的服务器总数。 最新检测时间 最近一次检测的时间。 描述 目标风险基线的描述说明。 6、单击列表中目标基线名称，查看基线描述、受影响服务器以及所有检查项详情。 7、处理风险项。 忽略风险 在目标检查项“操作”列单击“忽略”，忽略单条风险检查项。 勾选多个目标检查项前的选框，单击上方出现的“忽略”按钮，进行批量忽略处理。 修复风险 单击目标风险项“操作”列的“检查详情”，查看检查项详情。 查看“审计描述”、“修改建议”等信息，根据“修改建议”或“检测用例信息”的“期望结果”修复主机中的异常信息。 说明 目前部分EulerOS基线和CentOS 8已支持一键修复，单击目标EulerOS或CentOS的“检查项”“操作”列的“修复”，可直接修复检查项，部分检查项修复时需填写参数值，保持默认值即可。 建议您及时优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。 查看修复建议

本文为您介绍天翼云云搜索服务SQL能力及使用方法。 功能简介 天翼云云搜索服务中的OpenSearch和Elasticsearch都支持 SQL 查询，这是其数据查询与分析能力的一个重要扩展。通过将 SQL 语言引入搜索引擎，用户可以使用熟悉的关系数据库查询语法对非结构化和半结构化的数据进行查询与分析。这种支持极大地降低了学习成本，使得传统数据库用户能够轻松过渡到使用搜索引擎进行复杂数据操作。 核心原理 SQL 是一种广泛使用的结构化查询语言，传统上用于关系数据库中数据的查询和管理。搜索引擎引入 SQL 支持后，用户可以直接在搜索引擎中运行标准的 SQL 查询语句。这些查询语句被翻译为搜索引擎的原生查询 DSL（DomainSpecific Language），并在后台执行。用户不仅能够通过 SELECT、WHERE、GROUP BY、ORDER BY 等常见的 SQL 语法来检索数据，还可以进行复杂的聚合操作和数据过滤。 应用场景与优势 降低学习成本 对于熟悉 SQL 的用户，搜索引擎提供了一个熟悉的查询接口，无需学习新的查询语言即可开始使用。这对于企业级用户，尤其是那些已有大量 SQL 查询场景的团队，降低了迁移成本。 复杂查询与分析 SQL 允许用户轻松编写复杂的查询，包括多层次的聚合、连接、子查询等操作。这使得搜索引擎成为强大的数据分析工具，能够处理结构化和半结构化数据的多维度分析。

关系数据库MySQL版提供任务中心功能，开启后您可以查看用户的运维操作日志。 使用场景 实例管理动作追踪。 实例操作安全审计。 查看历史任务 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击 管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 任务列表，进入任务列表页面。然后在顶部菜单栏，选择区域和项目。 3. 查看所有实例的任务信息。 支持根据实例ID、任务状态、任务名称和任务时间进行筛选。 任务类型 任务中心记录的任务类型如下表： 任务类型 迁移可用区 升级内核小版本 升级数据库版本 存储空间自动扩容 性能自动扩容 修改安全组 删除安全组 重启实例 应用参数组 创建实例 修改密码 主备切换 扩容预处理 扩容恢复 修改端口 绑定弹性IP 解绑弹性IP 修改高可用模式 企业项目迁移 修改数据复制方式

漏洞扫描及验证 通过网站安全监测系统平台，在无需用户采购任何Web应用扫描产品前提下，即可获得网站的漏洞态势，以及每个漏洞的详情介绍和修补建议；统计分析看板直观获取不同等级漏洞类型、易受攻击目标等数据，漏洞趋势分析摸底网站漏洞发展情况，同时兼具实时大屏态势感知功能方便跟踪漏洞发生大盘状态，方便及时作出处置。 服务支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险。 如采购漏洞专家验证服务，还会提供针对中高危漏洞提供专家验证，确保漏洞真实存在，并协助客户完成漏洞复验，更好的完成漏洞生命周期管理。 安全事件监测 使用静态分析和动态解析相结合的主动挂马监测技术，通过解析引擎模拟环境监控记录URL页面运行行为，生成日志；通过后端引擎根据预定义规则高效、准确识别网站页面中的恶意代码，以及黄赌毒私服等词汇的恶意链接，使网站管理员能够及时清除网页木马及黑链，避免给访问者带来安全威胁，影响网站信誉。 使用前后页面对比的方式，辅以恶意文本核查分析，实时监测目标网站页面的篡改情况，支持监测静态文本内容的变化以及DOM树结构的变化；发现页面被篡改情况，第一时间通知用户，避免篡改事件影响扩散，给自身带来声誉和法律风险。 实时监测目标站点的页面内容，如出现个人敏感信息（包含手机号、银行卡号、身份证号码）泄露问题，第一时间告警通知客户。 内容安全监测 网站文本、图片内容的合规性监测，监测类别包含涉黄、涉毒、涉政、赌博、暴恐、邪教；支持监测的图像格式包括但不限于JPEG、GIF、PNG、BMP、TIFF、JPEG2000；支持监测的文本格式包括但不限于Big5、UTF8、GBK、GB2312，内容类型至少支持txt、html、wmlc、wml、xhtml、mht。 基于大量数据训练的深度学习模型，对待监测页面进行文本、图片元素的敏感内容监测，输出相关敏感信息和类别。 发现页面出现敏感信息后，第一时间通知用户。用户可参考天翼云提供的安全建议及时删除敏感内容，避免事件影响扩散，给自身带来声誉和法律风险。用户也可以自定义所关心的敏感关键词。 可用性监测 多线路远程实时监测目标站点在多种网络协议下的响应速度、可访问性等反映网站性能状况的内容，一旦发现网站无法访问，或访问出现延迟。根据事先定义好的网站通断级别，第一时间通知用户。风险日志详细展示存在的访问性问题，问题时长以及各监测点的诊断信息。用户也可以视情况选择合适的网站响应时间告警阈值。 DNS监测 从各省运营商网络线路远程实时监测各地主流ISP的DNS缓存服务器和用户DNS授权服务器的解析过程及结果。一旦发现用户域名无法解析或解析不正确，第一时间通知用户。避免出现由于DNS解析失败产生的网站无法访问，以及域名劫持等安全风险。 业务管理能力 提供态势感知大屏服务，满足客户大屏监控场景需求，以一站式全局视角，实时跟踪目标系统的风险情况，及时定位问题。 提供在线统计分析看板服务，态势感知帮助用户进行业务指标跟踪，能够多维度展示监测数据情况，数据统计分析能力赋能用户分析聚焦漏洞问题。 提供网站安全评估报告和漏洞扫描报告生成和下载服务，聚合任务监测的风险结果，让您整体掌握网站的风险状况及安全趋势。

此章节为您介绍数据库审计会话日志的相关功能。 会话日志概述 会话（Session）是客户端与数据库服务器之间的不中断的SQL请求和响应序列。一个会话中可能包含一个或多个SQL请求和响应。 可以根据会话的状态将其分成在线会话和历史会话。 在线会话指的是会话还没有结束，仍然有后续的请求或响应。 历史会话指的是已经结束的会话，会话双方已经断开了本次会话的连接。 会话的基本四元素是指客户端IP、客户端端口、服务端IP和服务端端口。 会话的四元素可以定位在同时刻的唯一会话信息。系统支持查看历史会话和在线会话，并支持通过会话信息查看一次会话过程中产生的所有请求或响应日志。 查询历史会话 1.在菜单栏选择“查询分析 > 会话日志”进入“会话日志”页面，选择“历史会话”页签，设置查询条件（如时间范围、资产等），单击“搜索”即可查询相关历史会话。 2.单击“操作”列的“详情”可查看会话详情。

配置项 说明 名称 设置规则名称，必须为中文字符、字母、数字、“”、“.”或“”，长度不超过64 字符。 描述 规则描述，长度不超过1000 字符。 等级 可选高风险、中风险、低风险，默认选择高风险。 适用场景 默认选择缺省场景，可根据场景进行选择。 动作 可选允许访问、命令阻断、会话阻断。 若为旁路部署模式，可选允许访问、会话阻断、IP阻断。 规则类型 可选普通规则和统计规则： 普通规则：单条审计记录匹配到普通规则，会触发生成一条普通告警（例如一条Select语句，可能会触发一条告警）。 统计规则：指定时间内多次匹配到统计规则，触发至阈值后，会触发生成一条统计规则告警（例如5 分钟内10 次Select 失败，可能会触发一条统计告警），并会为客户端生成一条普通阻断规则。 统计方式 可选频次统计和累加统计。（统计规则配置项） 频次统计：指定时间内匹配统计规则达到累计次数。 累加统计：指定时间内匹配统计规则达到累计行数。

字段名称 说明 软件授权类型 按设备：适用于按设备消耗授权的软件（一个软件授权仅允许登录一台设备使用）。比如 Alfed Powerpack 等软件。 按用户：适用于按用户消耗授权的软件（一个软件授权允许登录多台设备使用）。比如 Office 等软件。 管理方式 预分配使用者：选定一批具体的设备（或用户）作为合法使用软件者，范围外的使用者即为超额使用者。 预设安装上限：设置数字上限（没有具体对象，只设置数字）作为合法使用数量，按软件首次发现时间顺序，超出的部分即为超额量。 超额管控 仅上报：仅审计员工的软件安装情况，不自动管控。 提醒卸载：给员工设备发送提醒卸载弹窗，调用卸载程序让员工自行卸载。每日读取一次超额使用者列表，对列表内设备（或用户）每日执行一次任务。 静默卸载：给员工设备发送静默卸载任务，后台直接卸载软件。每日读取一次超额使用者列表，对列表内设备（或用户）每日执行一次任务。

此章节为您介绍数据库审计的辅助功能 IP别名 为方便对网络进行识别，可对网段或IP地址设置别名。 操作步骤如下： 1.在左侧菜单栏选择“系统管理 > 辅助功能”进入“辅助功能”页面，选择“IP别名”页签，单击“新增”。 2.弹出“新增IP别名”对话框，编辑相关信息，单击“保存”。 配置项 说明 名称 必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符。 IP/网络 格式1：输入多个IP地址，用英文逗号分隔。 格式2：IP范围，仅支持IPv4格式，例如：10.1.1.1010.1.1.20。 数据脱敏 数据脱敏可以将银行卡号、手机号码、身份证号码等敏感数据进行脱敏处理。 操作步骤如下： 1.在左侧菜单栏选择“系统管理 > 辅助功能”进入“辅助功能”页面，选择“数据脱敏”页签，单击“新增”。 2.弹出“数据脱敏”对话框，编辑相关信息，单击“保存”。 参数 说明 名称 必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符。 状态 启用或禁用该规则。 正则表达式 正则表达式用于检索、替换符合特定模式（规则）的文本，例如：([^d] 开始位置 开始替换的字符位置。 截取长度 数据串中被替换的字符长度。

在数据库端或应用端的节点安装Agent后，当不需要停止审计数据库时，您可以在安装Agent的节点卸载Agent。 前提条件 已在安装节点安装了Agent程序。 在Linux操作系统上卸载Agent 1. 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录已安装Agent的节点。 2. 执行以下命令，进入Agent安装包“xxx.tar.gz”解压后所在目录。cd Agent安装包解压后所在目录 3. 执行以下命令，查看是否有卸载脚本“uninstall.sh”的执行权限。如果有卸载脚本的执行权限，请执行步骤4。如果没有卸载脚本的执行权限，请执行以下操作： 执行以下命令，添加卸载脚本执行权限。chmod +x uninstall.sh 确认有安装脚本执行权限后，请执行步骤4。 4. 执行以下命令，卸载Agent。sh uninstall.sh。如果界面回显以下信息，说明卸载成功。 uninstall audit agent... exist osrelease file stopping audit agent audit agent stopped stop auditagent success service auditagent does not support chkconfig uninstall audit agent completed! 在Windows操作系统上卸载Agent 1. 进入Agent安装文件的目录。 2. 双击“uninstall.bat”执行文件，卸载Agent。 3. 验证Agent已卸载成功。

该任务指导用户通过管理控制台查看管道的信息，包括名称、所属数据空间和创建时间等。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开已创建的管道。 6. 单击待查看管道名称后的，右侧将显示管道的详细信息。 参数名称 参数说明 工作空间名称 当前管道所属工作空间的名称。 工作空间ID 当前管道所属工作空间的ID。 数据空间名称 当前管道所属数据空间的名称。 数据空间ID 当前管道所属数据空间的ID。 管道名称 当前管道的名称。 管道ID 当前管道的ID。 Shard数 管道的Shard数。 生命周期 管道内数据保存周期。 创建时间 管道的创建时间。 描述 管道的描述信息。

本文帮助您快速熟悉如何配置HTTPS双向认证。 操作场景 HTTPS协议监听器可配置CA证书，对客户端证书的签名进行验证，实现安全审计、数据分析、安全测试和访问控制等功能。 操作步骤 1. 登录弹性负载均衡弹性负载均衡控制台。 2. 在顶部右侧选择弹性负载均衡所属区域，本文选择华东华东1。 3. 打开监听器配置向导，在协议&监听器页面，选择HTTPS协议并输入端口。 4. 在HTTPS监听器添加步骤中，选择开启“双向认证”，下方出现CA证书选择下拉列表框。 5. 点击刷新图标，可刷新证书列表，选择所需证书。 6. 如未创建证书，可点击“查看证书”跳转到证书管理页面创建证书。 7. 配置好相关参数后，点击“下一步”配置负载方式和健康检查，完成相关操作。 8. 如需替换证书，可在修改监听器页面选择要替换的证书，并点击“确定”，完成操作。

本章节为您介绍API风险监测资源模块内容。 资源是指系统审计到的应用、API、文件、账号等信息。 资源是通过识别镜像流量的信息，确认为有效信息后添加到资源列表中。 应用 应用展示从流量中发现的全量应用资源信息，提供多维度的应用资源的描述。 登录API风险监测应用，在左侧导航栏选择“资源 > 应用”即可进入应用管理页面。 说明 应用资源入库，定时任务每小时的30分执行一次。例如：12:30分执行一次入库操作。 修改应用信息 勾选需要修改修改应用的信息，单击“修改”按钮，在弹出的对话框中修改应用信息。 合并应用 勾选两个及以上应用，单击“应用合并”按钮，弹出“应用合并”弹窗，可以选择或输入应用名称以及应用域名，单击“保存”按钮，进行应用合并。 说明 应用合并期间建议不要进行生命周期配置、流量过滤配置、API合并操作。

删除角色 在要删除角色所在行，单击“删除”。如果需要批量删除多个角色，勾选需要删除的角色后单击列表上方“删除”即可。角色被用户绑定时不可删除；如需删除，请先通过修改用户解除角色和用户之间的关联，再删除该角色。 任务示例（创建Manager角色） 1. 选择“系统 > 权限 > 角色”。 2. 单击“添加角色”，在“角色名称”和“描述”输入角色名字与描述。 3. 在“配置资源权限”区域选择“Manager”，按照以下说明设置角色“权限”。 Manager权限： Cluster： − 查看权限：“集群”页面查看权限、“运维 > 告警”页面下“告警”、“事件”的查看权限。 − 管理权限：“集群”、“运维”页面的管理权限。 User： − 查看权限：“系统”页面下“权限”区域中内容的查看权限。 − 管理权限：“系统”页面下“权限”区域中内容的管理权限。 Audit ： 管理权限：“审计”页面信息的管理权限。 Tenant： 管理权限：“租户”页面管理权限；“运维 > 告警”页面下“告警”、“事件”的查看权限。 System： 管理权限：“系统”页面除“权限”区域外，其他区域的管理权限；“运维 > 告警”页面下“告警”、“事件”的查看权限。 4. 单击“确定”完成。

此小节介绍云堡垒机的数据库控制策略。 数据库控制策略是用于拦截数据库会话敏感操作，实现数据库运维操作的细粒度控制。 新建数据库控制策略 授权用户登录策略关联的数据库资源，当数据库运维会话触发规则，将会拦截数据库会话操作。 数据库控制策略支持以下功能项： 1 支持按策略列表页策略排序区分优先级，排序越靠前优先级越高。 2 支持控制允许执行、拒绝执行、断开连接、动态授权四种命令动作。 允许执行：默认允许执行所有操作。当触发策略规则后，放行规则集中操作。 拒绝执行：触发该策略规则后，拒绝执行该操作，界面提示“操作“xxx”已被拦截”。 断开连接：触发该策略规则后，拒绝执行该操作，断开会话连接，界面提示“本次连接已被管理员强制断开！” 动态授权：触发该策略规则后，拒绝执行该操作，界面提示“操作“xxx”已被拦截，请提交数据库授权工单申请动态授权”，同时生成数据库授权工单。用户需提交工单，并审核通过后，才能继续执行该命令。 约束限制 仅专业版云堡垒机支持数据库运维操作审计。 仅针对MySQL和Oracle类型数据库，支持通过数据库控制策略设置操作细粒度控制。 前提条件 已获取“数据库控制策略”模块操作权限。 操作步骤 1 登录云堡垒机系统。 2 选择“策略 > 数据库控制策略 >策略列表”，进入策略列表页面。 数据库控制策略页面 3 单击“新建”，弹出策略基本信息配置窗口。 选择一个策略，单击“更多 > 插入”，亦可新建数据库控制策略。配置完成后，在已创建的策略前新建一个策略。 4 配置策略基本信息。 策略基本信息参数说明 参数 说明 策略名称 自定义的数据库控制策略名称，系统内“策略名称”不能重复。 执行动作 策略控制用户在数据库的执行动作。 包括“断开连接”、“拒绝执行”、“动态授权”、“允许执行”。 断开连接：当数据库运维会话执行策略生效的命令时，直接断开会话。 拒绝执行：当数据库运维会话执行策略生效的命令时，直接拒绝命令的执行。 动态授权：当数据库运维会话执行策略生效的命令时，直接拒绝命令的执行，需要向管理员提交审批，管理员通过之后才能执行。 允许执行：当数据库运维会话执行策略生效的命令时，允许执行。 有效期 策略生效时间和策略的失效时间。 时间限制 限制策略的生效时间段。 5 单击“下一步”，关联规则集。 选择规则集。详细规则集说明请参见下文管理规则集。 选择规则集 6 单击“下一步”，关联用户或用户组，选择用户或用户组。 当用户组关联策略后，新用户加入到用户组中会自动继承用户组的策略权限。 选择用户 7 单击“下一步”，关联资源账户或帐户组，选择数据库资源账户或帐户组。 当帐户组关联策略后，新帐户加入到帐户组中会自动继承帐户组的策略权限。 选择资源账户 8 单击“确定”，返回策略列表页面，查看新建的数据库控制策略。 用户在运维过程中，触发策略规则，即会被限制相关操作。 “关联用户”和“关联用户组”中用户需提交数据库授权工单权限，即已配置拥有数据库授权工单权限的“角色”。否则用户登录系统后无法查看数据库授权工单模块，不能提交工单获取权限。

本小节介绍服务器安全卫士的功能使用。 Agent安装完成后，您可使用服务器安全卫士相关功能。 1.您可以在资产清点页面，查看对应操作系统服务器资产清点信息，包括：账号、进程、端口、web服务、数据库等信息。 2.您可以在风险发现总览界面，查看您 服务器风险概览情况 ，包括风险项统计、风险分布、风险趋势等。 3.您可以在风险发现下， 使用安全补丁、漏洞检测、弱密码检查、应用风险、系统风险、账号风险功能 。支持从风险维度和主机维度两种视图下，查看风险信息。 安全补丁：对安全补丁进行周期性自动检测，提供详细补丁说明和修复方案。 漏洞检测：精准本地分析漏洞，包含精准POC探测和版本漏洞探测；支持CVSS等漏洞信息详细描述，支持漏洞修复影响检查；提供命令级漏洞修复建议。 弱密码检查：弱口令自动检测，自动匹配账号名相关易猜解密码，支持弱口令字典自定义。 应用风险：检测Linux关键攻击路径上常用应用的配置型风险。 系统风险：检测linux上由于系统配置的产生的安全风险 账号风险：检测linux系统中的由于账号的配置产生的安全风险。 4.您可以在入侵检测下， 使用暴力破解、异常登录、反弹shell、本地提权、后门检测、Web后门、可疑操作、Web命令执行功能 。 暴力破解：实时监控主机上发生的爆破行为，并提供封停爆破来源IP的能力，支持自动封停和手动封停，可设置白名单。 异常登录：实时异常登录监控，发现异常IP、区域、时间等的异常登录，在使用前，必须先设置正常登录规则，否则异常登录功能不起作用，无法进行监控。支持封停和解封。 反弹shell：实时监控主机上反向连接的行为，并提供详细的攻击记录，支持设置白名单规则，支持对反弹shell行为进行阻断。 本地提权：支持实时进程提权监测，支持进程提权过程详细记录。 后门检测：精准发现系统内后门程序，提供详细后门程序分析报告与修复建议。 Web后门：多维度Web后门识别，支持规则匹配、相似度匹配、沙箱检测、模式分析引擎检测等多种机制检测，具备实时监测能力。 可疑操作：实时对Bash命令进行审计，发现可疑的黑客操作，支持自定义审计规则 Web命令执行：能够发现Web RCE和进程异常的执行事件 5.您可以在病毒查杀下， 设置查杀引擎和处置方式 ，支持对单台或多台服务器产生的病毒进行自动处置和手动处置。 6.您可以在合规基线下，根据等保、CIS的基线要求 设置基线检查任务 ，支持定时检查，可导出检查结果。