本小节介绍日志审计(原生版)告警结果用户指南。 告警结果页面是展示日志审计服务对接的所有资产产生告警的统计页面。 前提条件 资产已经成功纳管并完成采集配置。 查看告警结果 1. 登录日志审计系统。 2. 在左侧导航栏选择“风险分析 > 告警结果”，进入“告警结果”页面。 3. 查看告警结果。 说明 “告警结果”页默认展示最近24小时的告警内容，若您想查看另外时间段的告警信息，可在页面右上角的时间框中选择需要查看的时间段。 编辑告警结果 1. 登录日志审计系统。 2. 在左侧导航栏选择“风险分析 > 告警结果”，进入“告警结果”页面。 3. 在页面下面找到需要编辑的告警，单击“操作”列的“编辑”按钮，进入“告警详情”页面。 4. 可以修改“处置状态”、“威胁状态”和“紧急性”。 告警结果处置 1. 登录日志审计系统。 2. 在左侧导航栏选择“风险分析 > 告警结果”，进入“告警结果”页面。 3. 在页面下面找到需要处置的告警，单击“操作”列的“处置”按钮，进入“处置”页面。 4. 填写告警的处理方式。 参数 参数说明 处理结果 根据实际情况选择“已处理”、“已删除”、“已忽略（误报）”。 整改建议 （选填）填写告警的整改建议。 处理说明 填写告警的处理说明。 注意 已清除的告警再次触发后，不再变更处理状态，其处理状态变更为待处理，需要重新处置。

本节介绍了:CSI的常见问题。 存储FAQCSI 本文主要介绍天翼云存储插件cstorcsi，其安装及使用过程中常见的问题及分析流程。 安装失败 失败原因查看 在“插件”——“插件市场”——选择“cstorcsi”插件安装，完成相关参数配置后点击“安装”；安装详情可以在“插件”——“插件实例”中看到cstorcsi实例，在状态栏查看实例运行状态，如果实例安装失败，可以通过查看状态栏的日志获取部署失败详情。 常见问题 查阅日志报 “no matches for kind “PodSecurityPolicy” in version“policy/v1beta1” 该报错见于在kubernetes v1.25集群上安装cstorcsi v3.1.0版本报错，报错原因是cstorcsi插件安装会部署PodSecurityPolicy资源，但该资源在k8s v1.25中被移除。该问题解决方案为： 1、将cstorcsi升级至3.2.0，按原参数安装即可； 2、如不希望进行组件升级，可以将cstorcsi v3.1.0 value.yaml中，将参数podSecurityPolicy.enabled配置为false，卸载后重新安装即可。 使用cstorcsi创建存储卷错误 通用分析流程 1、在“插件”——“插件实例”查看cstorcsi实例，运行是否异常； 2、进入“工作负载”——“无状态”，切换命名空间为“cstor”，查看名称为“cstorcsiprovisioner”的pod日志，切换容器名称为“csiprovisioner”和“cstorcsiplugin”，查看是否有错误日志输出。 常见问题 1、Can not get AK 该报错是由于cstorcsi安装过程中，未进行AK、SK配置。解决方案为：在”账号中心”——”安全设置”——”用户AccessKey”中查看AK、SK。 卸载cstorcsi后，选择重新安装该插件，在安装配置窗口中根据获得的 AK、SK值，分别填入AuthConfig.AK和AuthConfig.SK字段中，点击安装即可完成插件部署。 2、用户不允许订购按需类订单。 该报错是由于cstorcsi插件开通的云硬盘为按需付费方式，需要账户余额在100元以上才可正常开通。 解决方案：请检查天翼云“账户余额”是否在100元以上。 2、can not support RWX in filesystem mode for disk 当使用cstorcsi安装生成的storageclass，创建持久卷声明（PVC）。正常情况下，创建持久卷声明后，在“存储”——”持久卷”，列表栏会看到相应持久卷（PV）创建，并且状态为“已绑定”。 如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为 can not support RWX in filesystem mode for disk，表示当前创建的持久卷声明，不支持访问模式为多机读写。 目前，cstorcsi插件安装，默认创建的云硬盘类型的storageclass，其访问模式与是否是共享盘有关，只有在使用共享盘的情况下，支持多机读写，其他情况仅支持单机读写。 解决方案：修改持久卷声明访问模式为“单机读写”。 3、failed to create disk volume, message: disk size should be in range [10G ,32T] 目前，当使用cstorcsi插件安装的storageclass，云硬盘类型要求容量为 [10G ,32T]，文件存储要求容量500G以上。如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为： failed to create disk volume, message: disk size should be in range [10G ,32T]，表示当前创建的存储卷声明，其容量需要调整为合理范围大小。

本章节为媒体存储日志存储概述。 使用场景 媒体存储日志存储功能支持自动把桶的各类访问请求记录日志，并存储到某一存储桶中，适合对请求有分析或审计等需求的用户使用。 日志文件存放位置需要在开启桶日志存储功能时指定，仅支持在源存储桶所属区域中选择存储桶，也包括开启日志功能的桶本身。 日志记录设置成功后，大约5~10分钟后可在日志存储桶中查看到桶的操作日志。 为了更有效的管理日志，建议您将日志存放到不同的桶中。 日志文件记录的是通过API或SDK方式进行的S3协议操作。 生成的日志文件会保存在指定的存储桶，占用存储空间，因此会产生存储费用。如需定时清理，可通过生命周期相关配置实现，具体可参考：生命周期。 日志文件生成规则： 日志文件存储路径：日志存储位置 /日志文件前缀（如无设置则省略）/YYYY MM DD HHmmssUniqueStiring 。 生成周期：启用规则后开始生成，并且以5分钟为单位保存至日志存储位置中。 适用区域 本功能目前仅部分资源池支持，具体可参考：资源池与区域节点。 如需使用，可联系客户经理或提交工单申请。 日志文件参数 以下所示为生成的桶访问日志文件记录： gdoss.xstore.ctyun.cn [$serveraddr] [$remoteaddr] [$timelocal] "$requestmethod" "$host" "$requesturi" $status $bodybytessent $contentlength "$httpreferer" $requesttime "$httpuseragent" "$httpxforwardedfor" "$scheme" "$opname" "$httptransferencoding" "$httpctyunnetworktype" "$varUser" "$upstreamresponsetime" 访问日志主要包含如下信息： 参数 说明 gdoss.xstore.ctyun.cn 资源池域名，用来标记资源池。 $serveraddr 当前服务器地址，一般是内网IP。 $remoteaddr 连接的对端服务器地址。 $timelocal 日志时间。 $requestmethod HTTP Method，如PUT、GET、DELETE、POST、HEAD等。 $host HTTP请求里面的header字段：host。 $requesturi HTTP请求里面的URI。 $status HTTP状态码。如200、204、206、403、404等。 $bodybytessent 服务端发送给客户端的消息body长度。 $contentlength 服务端收到的消息的请求的长度。 $httpreferer HTTP请求里面的referer字段。 $requesttime 请求持续时间。包含从服务端建立连接完成到完成响应这段时间。 $httpuseragent HTTP请求里面的useragent字段。 $httpxforwardedfor HTTP请求里面的xforwardedfor字段。 $scheme 区分HTTP还是HTTPS请求。 $opname API接口名称。如GetObject、ListBuckets等等。 $httptransferencoding HTTP请求里面的transferencoding。 $httpctyunnetworktype 表示请求来源的网络类型:public（公网）、private(内网）。 $varUser 用户标记，表示这个请求对应的用户。 $upstreamresponsetime 请求在资源池内部的处理时间。 日志文件内容根据开通的区域不同，格式会有一定出入，请以实际为准。

本章节主要介绍ALM16009 Map数超过阈值的告警。 告警解释 系统每30秒周期性检测执行的HQL的Map数是否超过阈值，超过阈值发出告警。系统默认的平滑次数为3次，默认阈值为5000。 告警属性 告警ID 告警级别 是否自动清除 16009 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 Hive执行的HQL的Map数过高，一方面会导致HQL执行较慢，另一方面会大量占用资源。 可能原因 执行的HQL语句存在可以优化的可能。 处理步骤 检查HQL的Map个数 1.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Hive > 资源”，查看“HQL的Map数”图表，找出Map数过大的HQL语句（Map数>5000）。 2.找到对应的HQL语句，优化在监控上显示map数过大的HQL语句，再尝试执行。 3.查看本告警是否恢复。 是，操作结束。 否，执行步骤4。 收集故障信息 4.在FusionInsight Manager首页，选择“运维 > 日志 > 下载”。 5.在“服务”中勾选待操作集群的“Hive”。 6.单击右上角的设置日志收集的“开始时间”和“结束时间”，分别为告警产生时间的前后10分钟，单击“下载”。 7.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本章节主要介绍 ALM12077 omm用户过期。 告警解释 系统每天零点开始，每8小时检测当前系统中omm用户是否过期，如果用户过期，则发送告警。 当系统中omm用户过期的期限重置，当前状态为正常，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12077 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 omm用户过期，Manager各节点互信不可用，无法对服务提供管理功能。 可能原因 omm用户过期。 处理步骤 检查系统中omm用户是否过期 1.以root用户登录集群故障节点。 执行chage l omm命令来查看当前omm用户密码设置信息。 2.查找“Account expires”对应值，查看用户设置是否过期。 说明 如果参数值为“never”，则代表永不过期。 是，执行步骤3。 否，执行步骤4。 3.执行 chage E 'yyyyMMdd' omm命令设置omm 用户过期的期限，等待8小时，观察告警是否自动清除。 是，操作结束。 否，执行步骤4。 收集故障信息 4.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 5.在“服务”中勾选“NodeAgent”，单击“确定”。 6.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分，单击“下载”。 7.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本节主要介绍如何使用API迁移服务器上的基础服务。 此操作用来迁移HBlock服务器上的基础服务，包括：mdm（元数据管理服务）、ls（日志服务）、cs（协调服务）。 应用场景：基础服务所在的服务器出现损坏、宕机等时，为了不影响HBlock服务，可以迁移服务器上的基础服务。 说明 可以通过查询指定服务器查询基础服务的状态。一次只能迁移一个基础服务，如果有正在迁移的基础服务进程，必须等待迁移完成，才可以执行其他服务迁移操作。 注意 迁移ls服务的时候，要确保两个mdm服务和其他两个ls服务都是up状态，除了源服务器之外的所有的其他节点的ms服务（管理服务）正常，服务状态可以通过查询服务器获取。 迁移mdm服务的时候，要确保另一个mdm服务是up，除了源服务器之外的所有的其他节点的ps服务（协议解析服务）和ms服务（管理服务）正常，服务状态可以通过查询服务器获取。 迁移cs服务的时候，要确保其他两个cs服务都up，除了源服务器之外的所有的其他节点的ps服务（协议解析服务）和ms服务（管理服务）正常，服务状态可以通过查询服务器获取。 请求语法 plaintext PUT /rest/v1/system/server/serverId/migrate HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization: authorization { "destServerId": serverId, "service": service, "metaDir": path } 请求参数 参数 类型 说明 是否必须 serverId String 源HBlock服务器的ID。 是 destServerId String 目的服务器ID。 是 service String 需要迁移的基础服务。 取值： mdm：元数据管理服务。 ls：日志服务。 cs：协调服务。 是 metaDir String 迁移服务的数据目录，用于存储基础服务的相关数据信息。 说明 为了提升读写性能，建议各基础服务的数据目录、安装目录、存储数据的数据目录相互独立。 取值：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。默认目录为安装目录。 否

本文主要介绍如何如何查看与升级插件版本。 1. 登录云容器引擎控制台，在左侧导航栏中选择“集群”并选择一个可用的集群。 2. 在左侧二级导航栏中选择“插件”“插件实例”。 3. 在插件实例列表中，“ctglogoperator”即为日志采集插件，可查看该插件的采集器版本 4. 若采集器版本过低，则点击“重新安装”按钮即可进行升级。

功能配置相关 花卷慧办客户端如何快速查看或导出日志？ 客户端异常时将获取错误情况进行上报，主动并实时关注客户端情况，同时终端用户使用花卷慧办客户端的导出功能：右键点击客户端图标，弹出托盘，通过“日志>导出日志”菜单即可导出客户端日志。 GUI日志：主要是页面交互相关若出现问题可查看。 Client日志：主要针对客户端引擎相关问题可查看。 客户端打开后要求输入的企业标识如何获取？ 企业认证标识是登录客户端的重要凭证，建议采用自身公司身份相关的进行定义。 可登录花卷慧办控制台企业服务进行获取。 问题故障分析 客户端短信验证码收不到如何解决？ 若您选择将手机号直接设置为登录账号，发送账号新增通知时，短信会携带手机号则短信存在被运营商拦截的风险，可能导致您无法正常接收。这是因为运营商为防范诈骗风险，会对含 "手机号”的短信进行严格校验，易触发拦截规则。 其他情况下若未收到短信，您可按以下方式排查： 检查平台手机号填写准确性，若填写错误可修正后尝试； 检查手机系统的「骚扰拦截箱」或「垃圾短信箱」（如华为手机在【安全中心 骚扰拦截】中查看，小米手机在【手机管家 骚扰拦截】中查询）； 查看第三方安全软件（如手机管家）的拦截记录，确认是否存在误拦截情况； 联系手机号所属运营商（移动 10086 / 联通 10010 / 电信 10000）查询短信发送状态。

本章节主要介绍翼MapReduce服务在不同场景下的应用。 大数据在人们的生活中无处不在，在金融、交通、互联网、医疗、能源和政府部门等行业均可以使用翼MR服务进行大数据处理。 批量数据处理场景 HDFS服务负责存储海量日志数据。 YARN服务负责调度离线平台上运行的所有任务。 Hive、Spark、Trino等主流计算框架从数据加工、数据挖掘到数据分析，快速获取数据洞察力。 分析后的数据回写进HDFS服务，为上层数据可视化等产品提供数据支撑。 离线数据分析场景 将海量数据通过导入或者外表等形式引入到OLAP分析引擎里，例如，Trino提供高效、实时和灵活的数据分析能力。 满足用户画像、人群圈选、位置服务、BI报表和业务分析等一系列的业务场景。 流式数据处理场景 基于Flink流式计算框架，对各类业务日志或者消息等实时数据进行分析处理。 相应分析结果同步进HDFS存储服务中。 在线查询场景 基于Web和移动应用程序等生成的PB级别的结构化、半结构化或非结构化数据进行在线分析。 方便客户的Web应用或者数据可视化产品获取分析结果进行实时展示。

配置项 说明 防护状态 可以选择开启或者关闭策略 规则名称 支持设置规则名称 URI 填写需要防篡改防护的完整URL地址，例如 处理动作 支持拦截/告警/返回WAF缓存页面 拦截：对命中防篡改策略的请求进行拦截 告警：对命中防篡改策略的请求生成攻击日志，并返回被篡改后的页面 返回WAF缓存页面：命中防篡改策略后会返回边缘云WAF缓存的页面，即用户侧展示为被篡改前的页面，并且攻击日志将记录此次命中信息 域名是否有CDN加速 您的域名如果有CDN加速，则需要填写请求协议、源站IP、回源端口、回源HOST

本小节介绍日志审计(原生版)术语解释。 日志采集 实现第三方安全设备、网络设备、windows/linux主机日志、web服务器日志、虚拟化平台日志以及自定义等日志采集。 日志存储 实现原始日志、范式化日志的存储，可定义存储周期。 日志检索 实现全文、keyvalue、括弧、正则、模糊等检索方式；支持保存检索、从已保存的检索导入见多条件。 可视化统计 实现趋势图、折线图、柱状图、饼图、表格等统计项展示。 事件告警 自定义事件规则，可按照日志、字段布尔逻辑关系等方式自定义规则，实现时间的查询、查询结果统计以及统计结果的展示。

本节介绍了产品架构和功能原理的相关内容。 DRS的产品架构以及功能原理如下图所示： 图 DRS产品架构 架构说明 最小权限设计 a. 采用JDBC连接，无需在用户的源数据库、目标数据库节点部署程序。 b. 任务独立虚拟机运行独享资源，租户之间数据隔离。 c. 采用最小IP资源，在源数据库、目标数据库仅开放DRS数据迁移实例节点IP访问权限，无需增加网段。 可靠性设计 a. 连接异常自动重试：当网络闪断、数据库倒换等场景造成DRS和数据库连接异常，会自动重试直到任务恢复。 b. 具备断点续传能力：源数据库或目标数据库连接出现异常时，自动记录当前回放位点，等故障修复后，自动从上一次位点接续回放，保证同步数据的一致性。 c. DRS迁移实例所在虚拟机故障，业务自动切换到新虚拟机并保证IP不变，保证迁移任务正常。 实时迁移基本原理 图 实时迁移原理 以“全量+增量”迁移为例，完整的迁移分为四个阶段。 a. 第一阶段：结构迁移。DRS服务会从源数据库查询到用户选择迁移的库、表、主键等对象，然后在目标数据库创建这些对象。 b. 第二阶段：全量数据迁移。DRS服务会通过并行技术，以最高效的资源利用，从源数据库查询到当前所有数据，并在目标数据库进行插入。在全量数据迁移启动前，会提前进行增量数据抽取保存，以便在第三阶段增量数据迁移时，能够和全量数据接续，保证数据的完整性和一致性。 c. 第三阶段：增量数据迁移。全量任务结束后，增量迁移任务启动，此时会从全量开始的增量数据持续的解析转换和回放，直到追平当前的增量数据。 d. 第四阶段：为了防止触发器、事件在迁移阶段对于数据的操作，在结束任务阶段再迁移触发器、事件。 全量数据迁移的底层模块主要原理： 分片模块：通过优化的分片算法，计算每个表的分片逻辑 抽取模块：根据计算的分片信息并行多任务从源数据库查询数据 回放模块：将抽取模块查询的数据并行多任务插入目标数据库 增量数据迁移的底层实现模块主要原理： 日志读取模块：日志读取模块从源数据库读取原始增量日志数据（例如MySQL为binlog），经过解析转换为标准的日志格式存储在本地。 日志回放模块：日志回放模块根据日志读取模块转换的标准格式增量日志，根据用户的选择策略进行加工过滤，将增量数据同步到目标数据库。

如何在Linux虚机中创建文件系统子目录并完成挂载? 前提条件： 您已成功挂载弹性文件系统到ECS Linux虚机上，挂载路径例如：/mnt/dir，您可以在/mnt/dir目录下创建弹性文件子目录 操作步骤： 1. 在Linux弹性云主机中创建文件系统的子目录： mkdir /mnt/dir/subdir 2. 创建用于挂载文件系统的本地目录： mkdir /tmp/mnt 3. 重新挂载文件系统： mount t nfs o vers3,prototcp,async,nolock,noatime,nodiratime,noresvport,wsize1048576,rsize1048576,timeo600 挂载地址 本地挂载路径 挂载点被误删导致Linux服务器异常，如何处理? 问题描述： 在Linux操作系统中，假设通过挂载点挂载了一个弹性文件系统。然后在弹性文件控制台上删除了该挂载点，导致Linux系统出现了执行命令卡顿、无响应等异常情况。 解决方案： 1. 在Linux虚机服务器中，按下Ctrl+C，中断当前正在执行的命令。 2. 执行挂载命令，查看挂载信息。通过挂载信息，获取当前挂载路径，例如/mnt/test。 3. 执行 umount f /mnt/data命令，强制卸载文件系统。 4. 卸载完成后，您可以重新创建挂载点，并尝试重新挂载文件系统。 通过以上解决方案，您可以解决由于删除了挂载点导致的Linux系统异常情况。请确保在重新挂载文件系统之前，先进行卸载操作。 多进程或多客户端并发写同一文件可能导致数据异常，此种情况如何避免? 问题描述： 弹性文件服务提供了多客户端共享读写文件的能力，但在多进程或多客户端并发写入同一个文件的场景中（例如并发写入同一个日志文件），由于NFS协议本身不支持原子追加操作，可能会导致写覆盖、交叉、串行等异常现象。 解决方案： 在不同进程或不同客户端中将写入的数据分别保存到不同的文件中，然后在后续的分析处理阶段再进行归并操作。这种方案可以很好地解决并发写入导致的问题，同时无需使用文件锁，对性能影响较小。 对于并发追加写入同一个文件（如日志）的场景，可以使用flock+seek机制来保证写入的原子性和一致性。但是flock+seek是一个相对耗时的操作，可能会对性能产生显著影响。

更换磁盘 18. 在FusionInsight Manager界面，选择“运维 > 告警 > 告警”。 19. 查看该告警的详细信息，查看定位信息中对应的“主机名”字段和“磁盘名”字段的值，获取该告警上报的故障磁盘信息。 20. 更换硬盘。 21. 检查告警是否清除。 是，操作结束。 否，执行步骤22。 收集故障信息 22. 在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 23. 在“服务”中勾选“OMS”，单击“确定”。 24. 单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 25. 请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本小节介绍微隔离防火墙 工作负载及标签管理。 工作负载 1.点击工作负载即可进入工作负载列表。工作负载列表可以对所有的工作负载进行查看，并可以借助排序、搜索等方式对工作负载进行过滤。同时此页面还支持对工作负载进行批量的修改及删除。 2.点击工作负载的主机名称，可进入该工作负载的详细信息页面，包括其基本信息、服务信息、策略信息、阻断日志及相似计算。 服务信息：可查看此工作负载所有有网络监听的服务，以及对应的端口、进程； 策略：可查看此工作负载目前所生效的安全策略； 阻断信息：如果开启阻断日志、且工作负载处于测试或防护状态，即可查看阻断日志的； 相似计算：根据工作负载的基本信息、所开放的服务端口以及连接等信息，计算其他工作负载与此工作负载的相似程度。便于对业务进行分析。 标签管理 标签用于描述工作组的相关属性以及工作负载的具体角色。 组标签分为三类：位置，应用，环境； 可以根据需要创建、删除或修改不同类型的标签； 标签分为名称及显示名称，名称必须为英文及数字的组合，且唯一。显示名称可以为中文，不唯一。 注意 当要删除角色标签时，此角色标签需未被赋予任何工作负载。工作组标签删除时同理。

本章节主要介绍数据集成 相关问题。 通用类 CDM有哪些优势？ 优势项 用户自行开发 CDM 易使用 自行准备服务器资源，安装配置必要的软件并进行配置，等待时间长。 程序在读写两端会根据数据源类型，使用不同的访问接口，一般是数据源提供的对外接口，例如JDBC、原生API等，因此在开发脚本时需要依赖大量的库、SDK等，开发管理成本较高。 CDM提供了Web化的管理控制台，通过Web页实时开通服务。 用户只需要通过可视化界面对数据源和迁移任务进行配置，服务会对数据源和任务进行全面的管理和维护，用户只需关注数据迁移的具体逻辑，而不用关心环境等问题，极大降低了开发维护成本。 CDM还提供了REST API，支持第三方系统调用和集成。 实时监控 需要自行选型开发。 您可以使用云监控服务监控您的CDM集群，执行自动实时监控、告警和通知操作，帮助您更好地了解CDM集群的各项性能指标。 免运维 需要自行开发完善运维功能，自行保证系统可用性，尤其是告警及通知功能，否则只能人工值守。 使用CDM服务，用户不需要维护服务器、虚拟机等资源。CDM的日志，监控和告警功能，有异常可以及时通知相关人员，避免724小时人工值守。 高效率 在迁移过程中，数据读写过程都是由一个单一任务完成的，受限于资源，整体性能较低，对于海量数据场景往往不能满足要求。 CDM任务基于分布式计算框架，自动将任务切分为独立的子任务并行执行，能够极大提高数据迁移的效率。针对Hive、HBase、MySQL、DWS（数据仓库服务）数据源，使用高效的数据导入接口导入数据。 多种数据源支持 数据源类型繁杂，针对不同数据源开发不同的任务，脚本数量成千上万。 支持数据库、Hadoop、NoSQL、数据仓库、文件等多种类型的数据源。 多种网络环境支持 随着云计算技术的发展，用户数据可能存在于各种环境中，例如公有云、自建/托管IDC、混合场景等。在异构环境中进行数据迁移需要考虑网络连通性等因素，给开发和维护都带来较大难度。 无论数据是在用户本地自建的IDC中（Internet Data Center，互联网数据中心）、云服务中、第三方云中，或者使用ECS自建的数据库或文件系统中，CDM均可帮助用户轻松应对各种数据迁移场景，包括数据上云，云上数据交换，以及云上数据回流本地业务系统。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到停止服务动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录注册配置中心控制台，观测实例状态。 2、业务应用验证： 查看依赖RCC的分布式应用日志，确认是否存在服务注册失败、配置获取超时等相关错误，判断错误出现及消失时间是否与RCC服务停止、恢复时间匹配。 验证应用的容错机制是否生效，如本地配置缓存是否正常启用，避免应用因无法获取配置而崩溃。

功能 商业版 免费版 软件许可证 导入软件许可证、查看软件许可证 支持 支持 卷 创建卷、扩容卷、修改卷、设置卷主备优先级或自动切换、触发卷对应target的主备切换、删除卷、设置卷的扩展属性、删除卷的指定扩展属性、删除卷所有的扩展属性、查询卷的扩展属性、查询卷、查询卷关联的QoS策略 支持 支持 卷 克隆卷、断开克隆与快照的关系链、还原卷、挂起卷、恢复还原中断或挂起的卷、清空卷 支持 不支持 快照 创建快照、修改快照、回滚快照、删除快照、查询快照 支持 不支持 一致性快照 创建一致性快照、修改一致性快照、回滚一致性快照、删除一致性快照、查询一致性快照 支持 不支持 备份 导出备份、导入备份 支持 不支持 iSCSI target 创建iSCSI target、删除iSCSI target、设置iSCSI target的CHAP认证、删除CHAP、迁移iSCSI target、修改iSCSI target下每个IQN允许建立的最大会话数、修改iSCSI target的回收策略、设置iSCSI target的允许访问列表、删除iSCSI target的允许访问列表、查询iSCSI target、查询iSCSI target连接、删除iSCSI target连接 支持 支持 存储池 创建存储池、添加节点到存储池、修改存储池、移除存储池内的节点、删除非基础存储池、查询存储池、查询存储池关联的QoS策略 支持 支持 QoS策略 创建QoS策略、修改QoS策略、设置卷关联的QoS策略、解除卷关联的QoS策略、设置存储池关联的QoS策略、解除存储池关联的QoS策略、设置存储池内卷的默认QoS策略、解除存储池内卷的默认QoS策略、删除QoS策略、查询QoS策略、查询QoS策略关联/可关联的对象信息 支持 不支持 集群拓扑 创建拓扑节点、修改拓扑节点信息、删除拓扑节点、查询拓扑信息 支持 支持 服务器 添加服务器、修改服务器属性（包括：修改服务器端口范围、设置服务器目标门户IP、设置服务器中HBlock可使用的内存、设置服务器默认数据目录）、删除服务器属性（服务器的targetPorttalIP配置）、移除服务器、查询服务器、添加数据目录、修改数据目录的容量配额、移除数据目录 支持 支持 服务器 迁移服务器上的基础服务 支持 不支持 监控 查询实时性能数据、导出性能数据（命令行）、查看历史性能数据（WEB/API） 支持 支持 告警 查看告警信息、导出告警、手动解除告警、静默告警、解除告警静默 支持 支持 事件 查看HBlock事件、导出HBlock事件 支持 支持 日志 发起HBlock日志采集、查看HBlock采集的日志、下载采集的HBlock日志文件、删除HBlock采集的日志 支持 支持 管理员密码 修改管理员密码 支持 支持 邮件设置 设置邮件通知功能、发送测试邮件、删除邮件配置、查询邮件配置 支持 支持 远程协助 设置远程协助、删除远程协助配置、查询远程协助配置 支持 支持 Pushgateway监控配置 添加Pushgateway监控配置、修改Pushgateway监控配置、删除Pushgateway监控配置、查询Pushgateway监控配置 支持 不支持 智维推送告警配置 添加向智维推送告警的配置、修改向智维推送告警的配置、删除向智维推送告警的配置、查询向智维推送告警的配置 支持 不支持 鉴权方式 设置鉴权方式、查询鉴权方式 支持 支持 高级试用功能 开启高级试用功能 不支持 支持 调整HBlock性能参数 调整HBlock性能参数、查看性能调优配置 支持 支持 服务管理 停止服务器上的HBlock服务、启动服务器上的HBlock服务、重启服务器上的HBlock服务 支持 支持 卸载HBlock 卸载HBlock 支持 支持 系统查询 查看HBlock信息、查看HBlock服务状态、查看HBlock版本 支持 支持 升级HBlock 查看升级状态 支持 支持 升级HBlock 升级HBlock 支持 2年内支持

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到内存高负载动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录弹性云主机 控制台，进入目标实例的监控指标页，观测内存使用率指标。 2、业务应用验证： 观察业务应用响应是否变慢，这可能是由于系统开始使用交换空间（Swap）所致。 检查系统日志，确认是否有OOM Killer相关的日志输出，以及哪个进程被“杀死”。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到内存高负载动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录弹性云主机 控制台，进入目标实例的监控指标页，观测内存使用率指标。 2、业务应用验证： 观察业务应用响应是否变慢，这可能是由于系统开始使用交换空间（Swap）所致。 检查系统日志，确认是否有OOM Killer相关的日志输出，以及哪个进程被“杀死”。

本节为您介绍数据安全中心如何保护您的个人数据。 数据安全中心DSC通过控制个人数据访问权限，以及记录操作日志等方法防止个人数据泄露，可以使您的个人数据（如用户名、密码、手机号码等）不被未经过认证、授权的实体或者个人获取，保证您的个人数据安全。 个人信息收集范围 数据安全中心DSC收集及产生的个人数据如下： 类型 收集方式 是否可以修改 是否必须 用户ID 在控制台进行任何操作时Token中的用户ID 在调用API接口时Token中的用户ID 否 是，用户ID是用户的身份标识信息。 数据库密码 用户在控制台自行填入 是 是，对数据库数据进行扫描、脱敏和注入水印时，DSC需使用数据库密码联通数据库，获取数据。 数据存储方式 租户ID不属于敏感数据，明文存储。 数据库密码：加密存储。 数据访问权限 用户只能查看自己业务的相关日志。 审计日志记录 用户个人数据的所有操作，包括修改、查询和删除等，数据安全中心DSC都会记录审计日志并上传至云审计服务（CTS），用户可以并且仅可以查看自己的审计日志。

尊敬的天翼云用户： 您好！ 天翼云证书管理服务标准版证书将于12月正式启动专用根证书升级。 此次升级旨在打造更安全可信的数字环境，为您带来以下核心价值： 安全加固：支持DCV多网络视角验证，抵御BGP攻击。 数据合规：审核资料境内处理，满足数据合规要求。 国密国际：一次审核，支持RSA/ECC/SM2三种证书算法切换。 自动化友好：支持ACME协议，提供域名、组织预审核。 滥用预警：基于日志，提供证书资产发现、滥用预警。 我们将于2025年12月4日，对标准版证书进行升级，其中涉及根证书的变更详情如下： 原根证书 新根证书 DigiCert Global RootG2 TrustAsia TLS ECC RootCA DigiCert Global RootG3 TrustAsia TLS RSA RootCA DigiCertGlobalRootCA(交叉老根证书) CertumTrustedNetworkCA(交叉老根证书) Certum EC384 CA TrustAsia TLS ECC RootCA Certum Trusted RootCA TrustAsia TLS RSA RootCA CertumTrustedNetworkCA(交叉老根证书) CertumTrustedNetworkCA(交叉老根证书) 2025年12月4日之后，您需要关注： 针对您所有标准版证书新订单，我们将自动升级。 针对您订阅的标准版证书多年期服务，在此执行日期之后提交申请的证书将自动升级。 本次升级不涉及域名验证方式的变更。 如果您无法判断收到信息的真实性，烦请您记录对方联系方式和信息详细内容，及时提交工单反馈给天翼云。 天翼云服务团队

本节介绍如何查看基线检查结果。 操作场景 检查计划设置完成后，如果需尽快查看检查结果，可以在基线检查页面，执行立即检查。执行完成后，约10分钟后将可以在检查结果页面进行查看，立即检查相关操作请参见立即执行基线检查。 如果未执行立即检查，系统将按照已设置的检查计划，在指定时间内执行检查，例如，默认每隔3天检查一次，每次在00:00~06:00执行。检查完成后，将可以在检查结果页面中进行查看。 前提条件 已进行云服务基线扫描。 仅态势感知（专业版）专业版支持“操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包，需要提前在态势感知（专业版）接入企业主机安全HSS的“主机安全基线”日志且打开“主机安全基线”日志对应的“自动转告警”按钮。接入日志数据详细操作请参见接入日志数据。 操作步骤 查看某工作空间中所有检查项的检查结果。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. （可选）在左侧导航栏选择“日志审计> 云服务接入”，进入云服务日志接入成页面后，在态势感知（专业版）所在行的“审计相关日志”列，开启合规基线日志设置。 每个Region的首个工作空间可自动加载当前Region所有数据，无需手动处理。后续新增的用于自定义运营的工作空间，不会自动加载数据，需要用户自定义接入。 本步骤介绍手动接入操作指导。 设置完成后，如果需尽快查看检查结果，可以在基线检查页面，执行立即检查。执行完成后，约10分钟后将可以在检查结果页面进行查看，立即检查相关操作请参见立即执行基线检查。 如果未执行立即检查，系统将按照已设置的检查计划，在指定时间内执行检查，例如，默认每隔3天检查一次，每次在00:00~06:00执行。检查完成后，将可以在检查结果页面中进行查看。 5. 在左侧导航栏选择“风险预防> 基线检查”，默认进入检查结果页面。 6. 在检查结果页面中，查看检查项的检查结果，参数说明如下所示： 参数名称 参数说明 风险资源及风险等级 最近一次支持基线检查的检查结果中，风险资源总数、不同风险等级的不合格检查项目数据和对应的风险资源的数量。 风险等级分为：致命、高危、中危、低危、提示几个级别。 策略扫描情况 对各个云服务的资产扫描后，合格、不合格以及检查失败数据信息。 安全包遵从状态 最近一次执行基线检查后，各个安全遵从包中合格、不合格以及检查失败数据和不合格检查项目所占比例。 检查结果合格率 最近一次执行基线检查的基线合格率。 检查结果合格率 基线检查合格项 / (合格项 + 不合格项 + 检查失败项) 100%，不涉及的检查项将不会计算在内。 安全遵从包及检查结果列表 展示所有遵从包以及检查结果列表。 如果需要查看某个遵从包的检查结果，可以在左侧选择需要查看的检查规范，右侧列表中将会展示该遵从包中的检查项的检查结果详情。 单击检查结果列表右上角的设置按钮，可以对列表展示（例如，是否换行、是否固定操作列等）进行设置。 如需查看某个基线检查项详情，可以单击待查看检查项名称，进入检查项目详情页面。 在检查项目详情页面，查看检查项目的详细描述、检查过程、检查结果和对应的检查资源等详细信息。

本文介绍浏览器访问提示:该网页无法正常运作,解决方式。 问题现象 域名接入安全与加速服务后，浏览器访问提示：该网页无法正常运作（ERREMPTYRESPONSE）。可能是因为请求触发了访问控制或者频率控制策略，并且处理动作为丢弃。 排查步骤 1.用客户端IP查看对应的攻击日志（日志与数据分析>实时日志>Web应用攻击日志），判断对应客户端IP是否触发攻击类型为访问控制或者频率控制的策略。 2.如果触发了访问控制或者频率控制策略，并且处理动作为丢弃，建议您如下操作： 如果处理动作为丢弃的防护规则是误配置的，可以将对应规则关闭或者删除。 如果处理动作为丢弃的防护规则是对所有请求进行防护的，但是要允许你使用的ip或者请求的url不受该规则约束，可以将对应ip或url加白，详情请参考防护白名单。 如果以上均无法解决，建议您联系我们协助解决。

本节介绍云安全中心使用流程。 为全面帮助您进行安全运营，您需要购买云安全中心实例并接入安全产品日志。云安全中心获取到各类日志后，能通过日志的内容进行威胁建模，完成各类安全告警的生成，辅助您进行安全处置，实现安全运营。 云安全中心使用流程如下：

介绍分布式消息服务Kafka业务迁移内容。 应用场景 Kafka的业务迁移可以应用在多个领域和场景中，包括但不限于以下几个方面： 数据集成和数据仓库：Kafka可以用作数据集成的中间件，将分散的数据源集中到一个统一的平台上。通过使用Kafka的生产者和消费者，可以实现数据的可靠传输和消费，支持实时的数据集成和数据仓库的建设。 实时数据处理和流处理：Kafka提供了流处理功能，可以对实时数据流进行处理和分析。通过使用Kafka Streams、Apache Flink等流处理框架，可以对数据流进行实时的计算、转换、聚合等操作，实现实时数据处理和实时决策。 异步通信和消息队列：Kafka作为消息队列，可以用于异步通信和解耦系统之间的依赖关系。通过将同步的请求和响应转换为异步的消息，可以提高系统的可伸缩性和响应性能，实现松耦合的系统架构。 日志收集和分析：Kafka可以用作日志收集和分析的中间件，用于接收和传递系统和应用程序的日志数据。通过将日志数据发送到Kafka中，可以实现日志的集中存储和分发。同时，可以使用Kafka的消费者来实时消费和分析日志数据，帮助进行故障排查、性能监控和安全审计等工作。 数据同步和复制：在多个数据中心或分布式系统之间进行数据同步和复制时，可以使用Kafka作为数据的中间传输通道。通过使用Kafka的生产者和消费者，可以实现数据的可靠传输和复制，保证数据的一致性和可用性。 这些只是Kafka业务迁移的一部分应用场景，实际应用中还有很多其他的需求和场景。Kafka的高性能、可靠性和可扩展性使其成为业务迁移的理想选择。

规格限制 VPC边界防护和NAT流量防护，需满足专业版防火墙且“开启VPC边界流量防护防护”。 配置阻断策略时注意事项 配置阻断IP的防护规则或黑名单时需注意以下几点： 1. 建议优先配置精准的IP（如192.168.10.5），减少网段配置，避免误拦截。 2. 对于反向代理IP（如Web应用防火墙（WAF）的回源IP），请谨慎配置阻断策略，建议配置放行的防护规则或白名单。 3. 对于正向代理IP（如公司出口IP），影响范围较大，请谨慎配置阻断策略。 4. 配置“地域”防护时，需考虑公网IP可能更换地址的情况。 通配符规则 参数名称 输入示例 说明 源/目的 0.0.0.0/0 所有IP。 域名 www.example.com 对www.example.com域名生效。 域名 .example.com 所有以example.com为后缀的域名，例如：test.example.com。 服务源端口/目的端口 165535 所有端口生效。 服务源端口/目的端口 80443 对80到443之间的所有端口生效。 服务源端口/目的端口 80 443 对80和443端口生效。 相关文档 添加单个规则实现流量防护，请参见“通过添加防护规则拦截/放行流量”，添加单个黑/白名单实现流量防护请参见“通过添加黑白名单拦截/放行流量”。 批量添加防护策略，请参见“导入/导出防护策略”。 添加策略之后的后续操作： 策略的命中情况，整体防护概况请参见“通过策略助手查看防护信息”，详细日志请参见“访问控制日志”。 流量趋势和统计结果，整体防护概况请参见“查看流量数据”，详细流量记录请参见“流量日志”。 如果您的业务可能被防护策略误拦截，排查方式请参见“配置CFW防护策略后，业务无法访问怎么办？”。

本章节为您介绍脱敏日志的相关内容。 系统会记录所有触发数据脱敏的操作日志，详细记录脱敏前后的数据访问情况。 通过对脱敏日志的查看和分析，您可以验证脱敏操作的效果 ，确保敏感数据在访问过程中得到有效保护。 检索脱敏日志 1.在左侧菜单栏选择“查询分析 > 脱敏日志”进入脱敏日志页面。 2.设置查询条件（如时间范围、资产、操 作类型等） ，单击“搜索”即可查询相关脱敏日志。 3.可单击查询条件下方的“更多条件”，在更多条件对话框中勾选需要的查询条件 ，单击“确认”即可添 加相应的查询条件 ，单击“恢复默认”可以恢复至默认查询条件。 查看脱敏日志详情 1.在左侧菜单栏选择“查询分析 > 脱敏日志”进入脱敏日志页面。 2.在脱敏日志列表中，单击日志条目右侧的“详情”可以查看该脱敏记录的详细信息，包括脱敏记录的基本信息、客户端信息、服务端信息、 请求详情、返回详情。 3.单击脱敏日志详情窗口右下角的“上一条”或“下一条”可切换查看临近的脱敏日志。 4.在日志详细中 ，单击“取证”即可弹出下载框 ，等待文件生成成功后 ，单击“下载”即可下载.png 图片格式的脱敏日志详情文件。

本节主要介绍分布式消息服务Kafka常用的应用场景 分布式消息服务Kafka主要适用于以下几种场景： 日志收集 构建应用系统和分析系统的桥梁，并将它们之间的关联解耦。 支持实时在线分析系统和类似于 Hadoop 的离线分析系统。 Kafka本身的性能是非常高效的，同时Kafka的特性决定它非常适合作为"日志收集中心"，这是因为Kafka在采集日志的时候业务是无感知的，其能够兼容自己的上游，能够直接地通过配置加密消息。当日志数据发送到Kafka集群里面，其实对于业务而言是完全无侵入的。同时其在下游又能够直接地对接Hadoop/ODPS等离线仓库存储和Strom/Spark等实现实时在线分析。在这样的情况之下，使用Kafka，只需要用户去关注整个流程里面的业务逻辑，而无需做更多的开发就能够实现统计、分析以及报表。 流计算处理 构建应用系统和分析系统的桥梁，并将它们之间的关联解耦。 通过支持流计算引擎，可对接开源 Storm/Samza/Spark 流计算引擎。 Kafka能够做到流计算处理，比如股市走向分析、气象数据测控、网站用户行为分析等领域，由于在这些领域中数据产生快、实时性强、数据量大，所以很难统一采集并入库存储后再做处理，这便导致传统的数据处理架构不能满足需求。而Kafka Stream以及Storm/Samza/Spark等流计算引擎的出现，可以根据业务需求对数据进行计算分析，最终把结果保存或者分发给需要的组件。

本文主要介绍操作日志的相关操作。 适用场景 媒体存储提供操作日志查询功能，通过此功能，用户可自助查询指定时间内在产品控制台操作的相关日志。 前提条件 已注册天翼云账号。 已开通媒体存储的对象存储能力。 登录媒体存储控制台。 操作步骤 1. 登录媒体存储控制台后，进入【日志查询操作日志】菜单页面，默认查询当天的控制台操作日志。 2. 用户可根据需求，自助按照时间或日志关键字查询相关记录。 日志记录说明 通过操作日志，您可查看以下操作的日志记录： 菜单 操作途径 具体操作 密钥管理 控制台 添加密钥 启用密钥 禁用密钥 删除密钥 刷新密钥 块空间 控制台 新建块 删除块 修改iqn/修改CHAP认证/调整容量 文件空间 控制台 新建文件系统 删除文件系统 扩容 修改CIFS协议密码 对象存储（关于存储桶的操作） 控制台 创建桶 删除桶 添加跨域访问CORS设置 编辑跨域访问CORS设置 删除跨域访问CORS设置 设置Bucket公共权限 设置Bucket用户权限 删除Bucket用户权限 设置防盗链 关闭防盗链 设置存储桶Policy 删除存储桶Policy 设置生命周期规则 修改生命周期规则 删除生命周期规则 添加事件通知 修改事件通知 删除事件通知 添加版本控制配置 修改版本控制配置 添加合规保留配置 修改合规保留配置 添加日志转存规则 修改日志转存规则 删除日志转存规则 添加桶标签 修改桶标签 删除桶标签 添加服务端加密配置 修改服务端加密配置 对象存储（关于对象的操作） 控制台 上传文件 创建文件夹 清空文件 删除对象 删除指定碎片 清空碎片 设置对象的公共权限 设置对象的用户权限 删除对象的用户权限

本节主要介绍暂停灾备任务 灾备时不可避免业务高峰期的情况下，如果流速模式仍不能满足需要，DRS提供对灾备中的任务进行暂停功能。 前提条件 已登录数据复制服务控制台。 灾备任务正常运行中。 暂停任务 步骤 1 在“实时灾备管理”页面的灾备列表中，选择要暂停的灾备任务，单击“操作”列的“暂停”。 步骤 2 在弹出的“暂停任务”对话框中，选择“暂停日志抓取”后，单击“是”。 暂停成功后，状态栏显示为“已暂停”。 勾选“暂停日志抓取”后，该功能会停止一切DRS和源库、目标库的连接，请注意暂停过长可能会因为源端所需日志过期而导致任务无法恢复续传。建议暂停时间不超过24小时。 需要继续灾备时，可以使用续传功能。

应急响应服务接入流程，含购买、准备、应急响应、验收等阶段。 服务阶段 实施任务 实施内容 交付物 购买阶段 购买应急响应服务 按照购买指引，选择自身需要的服务内容及配置，并完成购买支付 购买阶段 发起应急响应服务需求 发起应急响应服务需求，详细操作请参见获取应急响应服务序列号 准备阶段 确定评估范围、小组成员、准备《保密协议、授权书》、漏扫等工具 确定安全评估范围，项目小组成员，准备《保密协议、授权书》、漏扫等工具 《保密协议、授权书》 《服务确认及风险告知书》 应急响应阶段 信息收集 对网络现状进行资产评估，核查现有的资产信息情况 《应急响应报告》 应急响应阶段 攻击路径还原 根据用户提供的信息对服务器日志、攻击者痕迹、安全设备日志及流量的分析，还原攻击者的攻击路径，理清安全事件的真实原因 《应急响应报告》 应急响应阶段 问题文件清理 对用户服务器中可能隐藏的蠕虫病毒、后门程序、Rootkit 等恶意软件提供清理方案，通过上机排查，使用工具和手工对服务器后门进行清除 《应急响应报告》 应急响应阶段 安全漏洞复检 基于网络安全事件应急响应资产问题，服务团队提供相应的安全加固建议，在用户对资产完成加固后提供漏洞复检工作，以确认资产漏洞完全修复，避免再次出现相同的安全事件 《应急响应报告》 应急响应阶段 编制报告 编制应急响应报告 《应急响应报告》 验收阶段 工作总结会议 组织双方人员进行总结汇报 《验收材料汇编》 验收阶段 验收 提交相关技术文档 《验收材料汇编》