背景说明 支持在管理平台一键提取客户端侧已发现的病毒文件、威胁实体文件及外发的可疑文件，可直接为管理员开展威胁溯源、事件取证提供文件级证据支撑，有效缩短溯源周期、提升取证准确性，助力快速定位攻击根源。 注意 客户端版本：支持Windows客户端，需为2.25.10及以上客户端。 套餐版本：已订购终端管理企业版套餐。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏展开远程运维及响应并点击【远程文件提取】，查看远程文件提取任务相关内容。 文件提取入口 1. 支持在防病毒日志详情、EDR 威胁事件详情、文件外发审计日志详情等位置提取文件。 2. 点击获取文件后将在【远程文件提取】生成文件提取任务。 文件提取任务 1. 页面整体呈现远程文件提取任务记录，支持对任务记录通过“操作员姓名” 或 “文件存储路径” 关键词进行搜索，或通过选择 “账户名”“文件类型”“提取状态”“时间范围”对任务进行筛选。

本文主要介绍云日志服务的欠费说明。 欠费原因 在按需计费的模式下帐号的余额不足。 欠费影响 欠费后，已有的采集配置将停用，日志无法上报，且您将无法创建日志项目和日志单元等资源。 您所占用的日志存储资源仍会按照日志存储量的计费项继续扣费，因此欠费余额会累计。 当欠费超过15天，将视为您主动放弃该服务，您保存在天翼云云日志服务中的全部数据（包括已上传的日志数据）将会被销毁，销毁后数据不可恢复。因此请您及时关注账户余额并及时续费以保证您的服务不受到影响。 充值 欠费后，如果您在15天内充值补足欠款，日志数据将自动恢复上报，您可继续使用云日志服务各项功能。 为防止相关资源不被停止或者释放，请及时进行充值，为避免帐号将进入欠费状态，需要在约定时间内支付欠款，详细操作请参考费用中心资金管理余额充值。 说明 若您确认不再使用云日志服务，请务必及时删除相关日志项目、日志单元。

本文主要介绍文档数据库服务日志说明。 文档数据库服务DDS日志配置管理可以将DDS错误日志和慢日志的采集配置纳入管理，将其采集到云日志服务中，满足用户日志处理需求。云日志服务提供一站式日志采集、秒级搜索、海量存储、结构化处理、转储等功能，满足应用运维、网络日志分析、等保合规和运营分析等应用场景。 日志配置管理操作 授权操作 授权访问日志服务操作 1. 登录TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”菜单，到实例列表。 3. 点击列表页上方按钮“日志配置管理”。 4. 单击需要配置日志管理的实例记录对应的 配置访问日志 。 5. 单击 授权访问日志服务 ，完成授权操作。 配置慢日志或错误日志 1. 点击"日志配置管理"进入日志配置管理列表界面。 2. 点击需要配置日志管理的实例记录对应的“配置访问日志”按钮。 3. 选择日志类型“慢日志”或“错误日志”。 4. 下拉选择“日志项目”，然后选择“日志单元”。 5. 点击“确认”，等待配置下发完成（约1~2分钟）。 6. 当日志配置管理列表对应实例的”LTS慢日志配置“或”LTS错误日志配置“状态为“运行中”，表示日志配置成功。 注意：如果没有“日志项目”或“日志单元”，先点击"查看日志项目"进入“云日志服务”，创建“日志项目”和“日志单元”。 解除慢日志或错误日志配置 1. 点击"日志配置管理"进入日志配置管理列表界面。 2. 点击需要配置日志管理的实例记录对应的“解除配置”按钮。 3. 选择日志类型“慢日志”或“错误日志”，最后点击“确认”。 4. 当日志配置管理列表对应实例的”LTS慢日志配置“或”LTS错误日志配置“状态为“未配置”，表示解除配置成功。

会。云日志服务与应用运维服务的日志采集开关为同步状态，即如果您在应用运维管理服务关闭了“超额继续采集日志”开关，则云日志服务的开关也同样关闭，关闭后将停止采集日志。

本小节介绍云解析的定义及优势。 产品定义 云解析是天翼云与CNNIC联合推出的一款权威云解析产品。产品使用系列自主研发的DNS专用设备，具备完善的网络架构，支持IPv6和下一代互联网技术。 产品优势 专业的解析设备 使用CNNIC自主研发的DNS专用产品构建解析服务平台，有效避免开源软件漏洞。 完善的网络架构 全球分布式部署解析节点，采用BGP+ANYCAST技术组网，实现用户多维度的区域划分，确保每一次查询的全局路由最优化，最大程度上使用户解析就近响应。 灵活扩展性 平台采用良好的网络架构，可灵活的进行功能扩展、解析容量扩展、解析软件扩展等。 多节点，多线路 在全球部署多个节点，支持移动、联通、电信等线路细分。 CNNIC拥有多年的国家顶级域名的运行经验，在域名系统的建设、运行、安全防护等方面积累了大量的实际运营经验和维护经验。 具备完善的应急响应机制，拥有多次完成国内重要活动的网络安全保障经验。

本节主要介绍自定义策略使用样例 配合较高权限系统策略使用 如果您给IAM用户授予较高权限的系统策略，例如“FullAccess” ，但不希望IAM用户拥有某个服务的权限，例如云审计服务。您可以创建一个自定义策略，并将自定义策略的Effect设置为Deny，然后将较高权限的系统策略和自定义策略同时授予用户，根据Deny优先原则，则授权的IAM用户除了云审计服务，可以对其他所有服务执行所有操作。 以下策略样例表示：拒绝IAM用户使用云审计服务。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cts::" ] } ] } 说明 Action为授权项，格式为：服务名:资源类型:操作。 "cts::"：表示对云审计的所有操作。其中cts为服务名；“”为通配符，表示对所有的资源类型可以执行所有操作。 Effect为作用，Deny表示拒绝，Allow表示允许。 配合单个服务系统策略使用 如果您给IAM用户授予单个服务系统策略，例如“BMS FullAccess”，但不希望用户拥有BMS FullAccess中的创建物理机权限（bms:servers:create），可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为Deny，然后将系统策略BMS FullAccess和自定义策略同时授予用户，根据Deny优先原则，则用户可以对BMS执行除了创建物理机外的所有操作。 以下策略样例表示：拒绝IAM用户创建物理机。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "bms:servers:create" ] } ] } 如果您给IAM用户授予“OBS ReadOnlyAccess”权限，但不希望部分用户查看指定OBS资源（例如，不希望用户名以“TestUser”开头的用户查看以“TestBucket”命名开头的桶），可以再创建一条自定义策略来指定特定的资源，并将自定义策略的Effect设置为Deny，然后将OBS ReadOnlyAccess和自定义策略同时授予用户。根据Deny优先原则，则用户可以对以“TestBucket”命名开头之外的桶进行查看操作。 以下策略样例表示：拒绝以TestUser命名开头的用户查看以TestBucket命名开头的桶。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "obs:bucket:ListAllMybuckets", "obs:bucket:HeadBucket", "obs:bucket:ListBucket", "obs:bucket:GetBucketLocation" ], "Resource": [ "obs:::bucket:TestBucket" ], "Condition": { "StringStartWith": { "g:UserName": [ "TestUser" ] } } } ] } 说明 当前仅部分服务支持资源级授权，例如OBS 对象存储服务；对于不支持资源级别授权的服务，若自定义策略中含有资源类型，则无法创建成功。

如果不再需要某个数据空间，可以参照本节进行删除。 约束与限制 系统创建默认数据空间不支持删除操作。 如果待删除数据空间中，存在数据管道，则该数据空间不能直接删除。您需要先删除数据管道，再删除数据空间。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在需要删除的数据空间所在行的“操作”列，单击“删除”。 6. 在弹出的对话框中单击“确认”，完成删除数据空间的操作。 注意 如果待删除数据空间中，存在数据管道，则该数据空间不能直接删除。您需要先删除数据管道，再删除数据空间。

前提条件 1.已创建公网NAT网关。 2.已开通云日志服务。 3.NAT 网关实例需要与创建的云日志服务在同一地域。 操作步骤 1.登录天翼云控制中心，选择目标区域节点。选择“网络>NAT网关>公网NAT网关”，进入NAT网关页面。 2.点击需要开启会话日志的公网NAT网关名称，进入公网NAT网关详情页，下拉至会话日志标签页。 3.若未进行角色授权，请点击“去授权”，完成授权操作。 4.完成授权后，根据页面提示开启会话日志，开启后，日志数据将会收集至云日志服务指定的日志单元中。 5.登录云日志服务控制台，在指定的会话日志单元下，即可进行日志查询、分析与告警配置操作。

通过添加审计范围，设置需要审计的数据库范围 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对成功连接数据库安全审计的所有数据库进行安全审计。您也可以通过添加审计范围，设置需要审计的数据库范围。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 操作步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“审计规则”，进入审计规则界面。 5. 在“选择实例”下拉列表框中，选择需要添加审计范围的实例。 6. 在审计范围列表框左上方，单击“添加审计范围”。 说明 数据库安全审计默认提供一条“全审计规则”的审计范围，可以审计所有连接数据库安全审计实例的数据库。该审计规则默认开启，您只能禁用或启用该审计规则。 7. 在弹出的对话框中，设置审计范围，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 名称 您可以自定义审计范围的名称。 audit00 数据库名称 选择待添加审计范围的数据库。 dbss 数据库账户 可选参数。输入数据库的用户名。 源IP 可选参数。输入访问待审计数据库的IP地址或IP地址段。IP地址支持IPv4（例如，192.168.1.1）和IPv6（例如，1050:0:0:0:5:600:300c:326b）格式。 源端口 可选参数。输入访问待审计数据库的端口。 8. 单击“确定”。 添加成功，审计范围列表新增一条状态为“已启用”的审计范围。

本文介绍如何自定义配置ECI日志采集。 ECI支持采集租户容器日志（标准输出+文件）并上传到租户的云日志服务。 接入方式 在容器环境变量里带上日志参数，每个容器分别设置，ECI会根据环境变量自动创建或校验日志资源并拉起日志采集器上传日志到租户的云日志服务：如果不存在则会调用云日志OpenAPI创建对应资源，如果资源存在不进行任何修改直接使用。 环境变量命令统一格式为：Ctyunlogseci{key}，key为云日志采集规则名称，只能包含小写字母、数字和短划线()，每组采集规则支持的环境变量如下： 环境变量 说明 是否必须 示例 Ctyunlogseci{key} key为采集规则名称，若不存在会创建。值为日志采集路径： 1.采集标准输出时：值必须为stdout 2.采集文件日志时：值为文件路径 是 Ctyunlogsecimyrule:stdout Ctyunlogseciotherrule:/tmp/1.l Ctyunlogseci{key}project 日志项目名称，若不存在会创建 注：取值服从云日志OpenAPI要求 否 默认日志项目：ecialsdefaultlogproject Ctyunlogsecimyruleproject: myproject Ctyunlogseci{key}unit 日志单元名称，若不存在会创建 注：取值服从云日志OpenAPI要求 否 默认日志单元：ecialsdefaultlogunit Ctyunlogsecimyruleunit: myunit Ctyunlogseci{key}ttl 日志单元TTL。默认值： 生产：365 开发：7 否 10 Ctyunlogseci{key}hostgroup 主机组。若主机组不存在，ECI会创建类型为自定义标签的主机组，包含的标签名同主机组名称。若主机组存在，ECI直接将该主机组名称传给采集器，不进行其他校验，请确保主机组名称和内容标签一致 否 默认主机组：ecialsdefaultloghostgroup Ctyunlogsecimyrulehostgroup: myhostgroup

本文向您介绍如何查看Windows云主机的登录日志。 操作场景 本文介绍查看Windows云主机的登录日志方法。 操作步骤 本文操作以Windows2019DC操作系统云主机为例。 1. 登录云主机。 2. 选择“开始 > Windows>管理工具 > 事件查看器”。 图1 事件查看器 3. 打开“Windows日志 > 安全 > 筛选当前日志”。 图2 筛选当前日志 4. 筛选事件ID为4776的事件即为远程登录日志。 图3 筛选远程登陆日志 5. 单击右键查看“事件属性”，即可看到该事件的登录账户。 图4 查看“事件属性”

本节介绍了完成日志采集规则配置后，在云日志控制台实时查看上报的日志。 前提条件 已创建日志组和日志流。 已完成ICAgent安装。 已接入日志。 查看实时日志 1. 在云日志服务管理控制台，单击“日志管理”。 2. 在日志组列表中，单击已创建的日志组名称。 3. 在日志流列表中，单击已创建的日志流名称。 4. 在日志流详情页面，单击“实时日志”，查看实时日志。 日志每隔大约5秒钟上报一次，在日志消息区域，您最多需要等待5秒钟左右，即可查看实时上报的日志。 同时，您还可以通过页面右上方的“清屏”、“暂停”对日志消息区域进行操作。 1. 清屏：清除日志消息区域已经显示出来的日志。 2. 暂停：暂停日志消息的实时显示，页面定格在当前已显示的日志。 暂停后，“暂停”会变成“继续”，再次单击“继续”，日志消息继续实时显示。 说明 如果您正在使用实时查看功能，请停留在实时查看页面，请勿切换页面。如果您离开实时查看页面，实时查看功能将会被关闭。

云工作流支持的功能如下(公测版)： 功能集 功能 功能说明 参考文档 基本功能 流程（Flow） 云工作流基于CNCF ServerlessWorkflow Specification 0.8版本进行适配优化作为天翼云云工作流执行流程定义。执行流程时，云工作流执行引擎会根据流程定义解析并驱动执行相关状态流转。 一个流程通常包含若干状态（State），这些状态可以是简单的执行类状态，例如操作（Operation）、暂停（Sleep）、传递（Noop）和失败（Fail）等；也可以是复杂的流程控制类状态，例如条件分支（Switch）、并行（Parallel）和迭代（Foreach）。 流程定义介绍 创建流程 执行流程 基本功能 调度（Schedule） 云工作流调度（即触发器）是触发工作流执行的方式。在事件驱动的计算模型中，事件源是事件的生产者，工作流是事件的处理者。云工作流目前支持比较常见的触发器场景： 定时触发器、HTTP触发器、消息队列类型（Kafka、 RokectMQ）触发器， 云原生网关触发器 工作流调度简介 特性功能 标准（Standard）模式 云工作流支持创建标准（Standard）和快速（Express）两种模式的工作流。 标准（Standard）模式适用于传统意义上的离线业务流程编排执行场景，具备执行步骤状态的持久化存储，支持运行长时间的工作流执行状态流转。 快速工作流和标准工作流 特性功能 快速（Express）模式 云工作流支持创建标准（Standard）和快速（Express）两种模式的工作流。 快速（Express）模式适用于常见的在线业务流程编排和准实时业务流程编排场景，例如微服务API编排、流式数据处理等低延迟和大负载业务场景。 快速工作流和标准工作流 运维及可观测建设 工作流执行监控 工作流执行监控可对工作流的执行启动、执行成功、执行失败、执行超时以及执行过程中的状态转换和执行耗时等指标进行监控和展示。 监控指标 运维及可观测建设 审计事件 云工作流已接入审计服务，可以在云审计中查询用户操作云工作流产生的管控事件， 例如创建工作流、删除工作流以及执行工作流等。 审计事件 流程开发 工作流设计器 云工作流提供一个低代码、可视化的工作流设计器，包含cloudflow studio、 yaml以及工作流设置等功能区。可以基于cloudflow studio进行工作流可视化编排以及相关属性设置， 降低用户对流程定义语言的学习成本。 工作流设计器 集成建设 云服务优化集成 云工作流支持与天翼云多个云服务集成，允许在流程中调用这些云服务的API进行相关资源的操作，完成业务流程构建。 云工作流与云服务的集成类型包括普通集成和优化集成。普通集成是指允许云工作流直接调用云产品的OpenAPI服务接口，不对这些服务接口做任何包装处理和实现优化，基本包括了在天翼云OpenAPI门户注册的云服务OpenAPI服务接口。 优化集成是指对部分高频使用的云产品服务接口进行包装和优化处理，简化接口使用难度，方便用户集成。 集成模式 服务集成模式 函数计算集成 云工作流计集成 集成建设 云服务普通集成 普通集成是指云工作流直接通过在天翼云产品在天翼云OpenAPI门户注册的OpenAPI对外提供的服务接口进行集成调用，不对服务接口做任何特殊处理和优化。 允许云工作流通过调用弹性计算、存储服务、数据库、容器、大数据处理、中间件服务在内的多个天翼云服务的接口实现业务流程编排。 普通集成

NAT网关提供会话日志功能，SNAT、DNAT均会建立会话，有流量经过NAT网关时，SNAT会话、DNAT会话将以日志的形式进行记录，便于您进行溯源和监控。天翼云日志服务支持采集SNAT会话、DNAT会话日志，采集后您可以在云日志服务控制台对会话日志进行查询、分析与告警配置等操作。 注意 1. NAT网关会话日志功能正在内部邀测中，如有需求请提交工单反馈。 2. 当前仅支持公网NAT网关会话日志。 前提条件 1. 已创建公网NAT网关。 2. 已开通云日志服务。 操作步骤 1. 登录NAT网关控制台，打开公网NAT网关列表。 2. 选择并点击目标网关名称，进入网关详情页面。 3. 在网关详情页面中，点击“会话日志”页签。 4. 若未进行角色授权，请点击“去授权”，完成授权操作。 5. 完成授权后，根据页面提示开启会话日志，开启后，日志数据将会收集至云日志服务指定的日志单元中。 6. 登录云日志服务控制台，在指定的会话日志单元下，即可进行日志查询、分析与告警配置操作。

问题描述 随着产品的不断发展，CCE标准输出日志默认采集到应用运维管理（AOM）已不推荐使用，但为了兼容老用户使用习惯，该默认配置未修改。如果该默认配置不符合您的使用要求，须在云日志服务（LTS）控制台进行关闭。推荐您将CCE标准输出日志直接采集到云日志服务（LTS），由LTS对日志进行统一管理。 说明 关闭CCE标准输出到AOM后，您在云日志服务（LTS）中配置的CCE标准输出采集到LTS才会生效。 解决办法 步骤 1 在云日志服务（LTS）控制台，单击左侧导航栏“主机管理”。 步骤 2 选择“主机”页签，单击“CCE集群”。 步骤 3 在CCE集群中，选择您需要关闭标准输出到AOM的CCE集群，关闭采集容器标准输出到AOM按钮。 步骤 4 单击“确定”，待ICAgent重启完成后，已关闭CCE标准输出到AOM。

本章介绍函数工作流如何管理函数日志。 云日志服务（LTS）管理函数日志 FunctionGraph支持开通云日志服务(LTS)，使用更丰富的函数日志管理功能。开通云日志服务后，FunctionGraph会自动创建1个日志组，在这个日志组下会创建20个日志流，函数的日志会随机出现在某个日志流中，比如函数A第一次执行将日志存放在了日志流A中，那么以后都会固定在日志流A中，但是1个日志流中可能包含多个函数的日志。 说明 默认创建的20个日志流，您无法自定义。您可以在函数的“日志”页签下，单击“F12”，找到query接口里的日志流ID，再到lts里找到对应的日志流ID。 若在LTS控制台误删函数日志组，之前的日志数据不可找回，FunctionGraph服务不感知该操作。此时您可以通过修改函数常规设置中的描述信息，保存后触发重建函数日志组。 设置查询条件。 请求列表：支持设置请求ID、调用结果（执行成功、执行失败）、原因分析（初始化失败、加载失败、系统错误、调用超时、内存超限、磁盘超限、代码异常） 请求日志：支持关键字、请求ID、实例ID 调用结果 调用结果 说明 执行成功 函数执行成功打印的日志。 执行失败 函数执行失败打印的日志，包函调用超时、内存超限、磁盘超限、代码异常四种情况。 若想查看调用超时的日志信息，请将“日志类型”切换为调用超时，另外3种执行失败下的日志类型查看方法相同。

本文主要介绍云日志服务的数据加工概述。 云日志服务提供可扩展、高可用的数据加工服务。数据加工服务可用于日志的规整、富化、流转、脱敏和过滤等。 加工流程 日志加工服务通过如下三个步骤完成加工处理。 1. 通过消费组对源日志单元的已分词日志进行读取。 2. 通过加工规则对读取到的每一条分词日志进行加工处理。 3. 将加工后的日志写入目标日志单元。加工完成后，您可以在目标日志单元中查看加工后的日志。 功能特性 数据规整：由于日志数据通常来自于不同的系统组件、应用程序或设备，其格式和结构可能各异，导致在对日志数据进行分析、搜索和可视化时出现困难。数据规整可针对混乱格式的日志进行字段提取、格式转换，统计为一致性格式以便后续的处理与分析。 数据脱敏：对日志数据中的敏感信息（如密码、手机号、地址等）进行脱敏。 数据过滤：针对关键业务或服务的日志进行过滤，用于后续重点分析等场景。 加工语法 加工DSL是云日志服务数据加工使用的与Python兼容的脚本（Domain Specific Language），提供了200多个内置函数，包括流程控制函数、事件操作函数、字段操作函数等。

本文主要介绍云日志服务的API接入概述。 云日志服务支持通过REST风格的API上报日志数据，详情请查看上报日志。 前提条件 您需要在源端云主机所在的VPC创建云日志服务的VPC终端节点，以打通与日志服务的网络连接。更多关于VPC终端节点请查看VPC终端节点产品介绍。 操作步骤： 1. 访问终端节点创建页面。 2. 服务列表中，选择名称为.lts结尾的服务。如在华东1资源池，则服务名称为‘cn.ctyun.cnhuadong1.lts’。 3. 虚拟私有云中，选择源端所在的VPC。 4. 展开高级配置，打开私网域名开关。 5. 点击下一步，提交订单，完成VPC终端节点创建。 6. 将源端云主机内的 DNS 改成内网 DNS 服务地址（100.95.0.1）。详细步骤请查看内网DNS操作指南。 访问地址（Endpoint） 云日志服务访问地址。详情请查看访问地址（Endpoint）。

本文主要介绍云日志服务的API接入概述。 云日志服务支持通过REST风格的API上报日志数据，详情请查看上报日志。 前提条件 您需要在源端云主机所在的VPC创建云日志服务的VPC终端节点，以打通与日志服务的网络连接。更多关于VPC终端节点请查看VPC终端节点产品介绍。 操作步骤： 1. 访问终端节点创建页面。 2. 服务列表中，选择名称为.lts结尾的服务。如在华东1资源池，则服务名称为‘cn.ctyun.cnhuadong1.lts’。 3. 虚拟私有云中，选择源端所在的VPC。 4. 展开高级配置，打开私网域名开关。 5. 点击下一步，提交订单，完成VPC终端节点创建。 6. 将源端云主机内的 DNS 改成内网 DNS 服务地址（100.95.0.1）。详细步骤请查看内网DNS操作指南。 访问地址（Endpoint） 云日志服务访问地址。详情请查看访问地址（Endpoint）。

本节主要介绍控制台的功能概述。 目前，OBS管理控制台提供的功能如下表所示： 功能 说明 桶基本操作 指定region（不同服务区域）创建不同存储类别的桶、删除桶、修改桶的存储类别、复制桶的配置信息等。 对象基本操作 管理对象，包括上传（含多段上传功能）、下载、删除、修改对象的存储类别、恢复归档存储对象等。 服务端加密 用户可根据需要对对象进行服务端加密，使对象更安全的存储在OBS中。 对象元数据 根据用户需要为对象设置属性。 碎片管理 碎片管理功能可以清除由于对象上传失败而产生的碎片。 多版本控制 管理桶的多版本状态，允许桶内同一个对象存在多个版本。 日志记录 支持对桶的访问请求创建并保存访问日志记录，可用于进行请求分析或日志审计。 权限控制 支持通过IAM策略、桶策略&对象策略和桶/对象ACL对OBS进行访问控制。 生命周期管理 支持设置桶的生命周期管理策略，实现定时删除桶中的对象或者定时转换对象的存储类别。 跨区域复制 跨区域复制是指通过创建跨区域复制规则，在同一个帐号下，将一个桶（源桶）中的数据自动、异步地复制到不同区域的另外一个桶（目标桶）中。跨区域复制能够为用户提供跨区域数据容灾的能力，满足用户数据复制到异地进行备份的需求。 标签 用于对OBS中的桶进行标识和分类。 静态网站托管 支持设置桶的网站属性，实现静态网站托管；也可设置网页重定向，访问桶资源可以重定向至指定的主机。 防盗链 提供防盗链功能，防止OBS中的对象链接被其他网站盗用。 跨域资源共享 跨域资源共享（CORS）是由W3C标准化组织提出的一种网络浏览器的规范机制，定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。而在通常的网页请求中，由于同源安全策略（Same Origin Policy，SOP）的存在，不同域之间的网站脚本和内容是无法进行交互的。 归档数据直读 您可以为桶开启归档数据直读，开启后存储类别为归档存储的对象可以直接下载，无需提前恢复。归档数据直读会收取相应的费用。 桶清单 桶清单功能可以定期生成桶内对象的相关信息，保存在CSV格式的文件中，并上传到您指定的桶中。 天翼云各区域支持的能力不一致，具体清单参见功能特性。

本文主要介绍主机组管理 主机组是一种虚拟分组机制，主要用于对主机进行分类管理和批量配置日志采集。用户可以将多台云主机归入同一主机组，并统一关联到指定的日志采集配置，在配置日志接入时，将会以主机组为单位下发采集配置，方便您对多台云主机日志进行采集。 该机制具有以下优势： 1. 批量操作能力：通过主机组可一次性完成组内所有主机的日志采集配置，避免逐台主机重复设置。 2. 动态扩展性：当新增主机时，只需将其加入现有主机组即可自动继承组内配置。 3. 统一管理 ：修改主机组配置即可实时生效到组内所有主机，确保配置一致性 目前云日志服务支持创建IP类型与自定义标识类型主机组： IP类型：创建主机组时，直接勾选所需采集日志的云主机即可加入该主机组，操作简单。 自定义标识类型：创建主机组时，需要在主机组和主机上分别创建标识，若标识存在交集，则该云主机将会自动加入主机组内。意味着多台云主机可通过同一个自定义标识实现主机组的动态配置。您只需为新增的云主机配置相同的自定义标识，系统将自动识别并将其添加至主机组中。 创建主机组（IP类型） 1. 登录云日志服务控制台。 2. 点击左侧菜单栏主机管理主机组。进入主机组管理页面。 3. 右上角点击【新建主机组】。 4. 在弹出的新建主机组页面中，输入主机组名称，主机组类型选择“IP”，主机类型选择“Linux”或“Windows”。 5. 在云主机列表中勾选需要加入该主机组的云主机，单击“确定”，即可完成主机组的创建。 说明 若云主机列表中没有您所需的云主机，请点击“安装lmtAgent”，在弹出的页面安装指引完成日志采集器安装，具体操作可参考安装lmtagent采集器。

本章节主要介绍Logstash类型集群的日志管理。 为了方便用户使用日志定位问题，云搜索服务提供了日志备份和日志查询功能。用户可以将集群的日志备份在OBS桶中，然后通过OBS可以直接下载需要的日志文件，进行问题分析定位。 开启日志管理 1.登录云搜索服务管理控制台。 2.在“集群管理”页面，选择Logstash类型集群，单击需要配置日志备份的集群名称，进入集群基本信息页面。 3.选择“日志管理”，在“日志管理开关”右侧单击开关，打开集群的日志管理功能。 4.（可选）打开日志管理功能后，云搜索服务会自动为客户创建OBS桶、备份路径和IAM委托，用于日志备份。自动创建的OBS桶、备份路径和IAM委托将直接展示在界面中。如果您不希望使用自动创建的OBS桶、备份路径和IAM委托，您可以在“日志备份配置”右侧单击进行配置。 在修改基础配置弹出框中，您可以在下拉框中选择您帐号下已有的OBS桶和IAM委托，或者通过“创建桶”和“创建委托”链接重新创建。 参数说明 参数 说明 注意事项 “OBS桶” 日志存储的OBS桶的名称。 创建或者已存在的OBS桶需满足“区域”必须跟创建集群的区域保持一致。 “备份路径” 日志在OBS桶中的存放路径。 备份路径配置规则： l 备份路径不能包括下列符号：:?"<>。 l 备份路径不能以“/”开头。 l 备份路径不能以“.”开头或结尾。 l 备份路径的总长度不能超过1023个字符。 “IAM委托” 指当前帐号授权云搜索服务访问或维护存储在OBS中数据。 创建或者已存在的IAM需满足如下条件： l “委托类型”选择“云服务”。 l “云服务”选择“Elasticsearch”。 l 设置当前委托具备“全局服务”中“对象存储服务”项目的“OBS Administrator”权限。 5.日志备份。 a.自动备份日志。 在“自动备份开关”右侧，单击开关，开启自动备份日志功能。 表示打开自动备份日志功能，表示关闭自动备份日志功能。 开启“自动备份开关”后，在“修改日志备份策略”页面修改“备份开始时间”。设置成功后，系统会按照设置的时间进行自动备份。 b.手动备份日志。 单击“日志备份”下面的“开始备份”，在弹出的确认提示框中，单击“确定”，开始备份日志。 日志备份列表中的“任务状态”为“SUCCESS”时，表示日志备份成功。 说明 云搜索服务会把集群中当前的所有日志全部复制到指定的OBS路径中，用户可以在自己的OBS桶对应的路径中直接查看或者下载日志文件。 6.日志查询。 用户可以根据集群的节点查询日志信息。查询日志时，查询结果最多显示最近时刻的1000条。 在“日志查询”页面，选择需要查询的节点，单击，显示查询结果。

本章节将为您详细介绍创建告警规则的步骤。 云监控支持灵活的创建告警规则。您既可以根据实际需要对某个监控指标设置自定义告警规则，同时也能够使用告警模板为多个资源或者云服务批量创建告警规则。 说明 目前仅支持监控“一类节点”区域的实例。 数据库审计支持的区域请参见支持的区域。 操作步骤 1. 登录天翼云控制中心。 2. 在产品服务列表中“管理与部署 > 云监控服务”，进入云监控服务主页面。 3. 在左侧导航栏，选择“云服务监控”，单击“数据库审计”产品。 4. 在数据库审计监控列表中选择目标实例，单击操作列的“创建告警规则”。 5. 在“创建告警规则”页面，根据界面提示配置参数。 配置参数及相关含义说明如下： 模块 参数 参数说明 配置示例 选择监控对象 规则类型 选择规则的类型，主要包括指标监控、事件监控、站点监控、自定义监控、自定义事件五种。 指标监控 选择监控对象 服务 配置告警规则监控的云服务资源类型。 数据库审计 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 数据库审计实例 选择监控对象 监控对象类型 具体实例/资源分组/全部资源 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 实例名称 定义告警策略 选择类型 支持自定义创建 、从模板导入。 自定义创建 定义告警策略 策略 支持选择满足全部 或任意策略。 策略信息包括： 监控指标，支持的监控指标请参见[实例支持的监控指标](

本文主要介绍云日志服务的对象存储转储。 云日志服务采集到数据后，支持将数据转储至对象存储ZOS进行持久化存储，并在对象存储ZOS控制台下载日志文件。 前提条件 已创建日志项目和日志单元 已开通对象存储服务并创建桶 已采集到日志 创建日志转储任务 1. 登录云日志服务控制台。 2. 左侧点击【日志转储】菜单，进入日志转储页面。 3. 点击【创建转储任务】 4. 在创建转储任务功能面板，配置如下参数，然后单击确定，完成转储任务创建。 参数 说明 日志项目名称 选择源日志所在的日志项目。 日志单元名称 选择源日志所在的日志单元。 转储任务名称 转储任务的名称。 对象存储bucket 选择已创建的对象存储桶。若未创建桶，请进入对象存储控制台进行创建。 文件转储目录 从云日志服务转储到对象存储的数据将存放到Bucket的该目录下，不能以正斜线（/）开头。若未设置，则默认在根目录下。 分区格式 将按照转储的时间，动态生成对象存储ZOS Bucket的目录，不能以正斜线（/）开头，默认值为%Y/%m/%d/%H/%M。 存储格式 目前仅支持JSON存储格式。 是否压缩 支持按照snappy方式进行压缩。 转储大小 每个任务的转储大小，取值范围为5256MB。 转储时间 转储周期时间，取值范围为300600秒，默认为300秒. 转储时间范围 1、某时间开始：指定转储任务的开始时间，从该时间点开始进行数据转储，直到您手动停止转储任务。(开始时间不得早于当前时间，早于当前时间则以当前时间为准) 2、特定时间范围：指定转储任务的起止时间，转储任务将执行到您指定的结束时间后自动停止。(开始时间不得早于当前时间，早于当前时间则以当前时间为准)

对比点 云间高速（标准版） 天翼云SDWAN 网络连接 云间高速（标准版）是基于电信骨干网络，实现区域内和区域间的流量转发，重点用于云上云下，多网络之间的高质量互联互通。 SDWAN是主要基于互联网线路，支持多线路，能够快速实现用户侧多个接入点之间的互联互通。 路由管理 云间高速（标准版）提供全自助模式的路由配置能力，用户可以自定义网络配置，可以通过多路由表创建多层子网络。 SDWAN是基于CPE设备上路由能力，用户可以自定义设置网络，实现对于本侧网络的管控。 带宽配置 云间高速（标准版）的互联带宽是基于线路方式配置。 SDWAN的互联带宽是基于点的方式。 开通条件 无需设备，直接开通，但是需要客户完成相关的网络实例的接入。 需要CPE设备，依赖用户侧互联网线路。

本文主要介绍虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户企业云中资源的安全性，简化用户的网络部署。 通过云审计服务，您可以记录与虚拟私有云相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的VPC操作列表 操作名称 资源类型 事件名称 修改Bandwidth bandwidth modifyBandwidth 创建EIP eip createEip 释放EIP eip deleteEip 绑定EIP eip bindEip 解绑定EIP eip unbindEip 创建PrivateIp privateIps createPrivateIp 删除PrivateIp privateIps deletePrivateIp 创建Security Group securitygroup createSecurityGroup 创建Subnet subnet createSubnet 删除Subnet subnet deleteSubnet 修改Subnet subnet modifySubnet 创建VPC vpc createVpc 删除VPC vpc deleteVpc 修改VPC vpc modifyVpc 创建VPN vpn createVpn 删除VPN vpn deleteVpn 修改VPN vpn modifyVpn 上表中VPC的操作，为底层（OpenStack）服务触发；部分事件名称与表68中重复，是因为这些事件采用了异步调用的模式：操作下发会产生上表中描述的事件，而操作结果响应会产生表69中描述的事件。 表 云审计服务支持的VPC操作列表（由底层服务触发） 操作名称 资源类型 事件名称 创建虚拟网络 network createNetwork 更新虚拟网络 networks updateNetwork 删除虚拟网络 networks deleteNetwork 创建虚拟子网 subnets createSubnet 更新虚拟子网 subnets updateSubnet 删除虚拟子网 subnets deleteSubnet 创建虚拟端口 ports createPort 更新虚拟端口 ports updatePort 删除虚拟端口 ports deletePort 创建浮动IP floatingips createFloatingip 更新浮动IP floatingips updateFloatingip 删除浮动IP floatingips deleteFloatingip 创建虚拟路由 routes createRouter 更新虚拟路由 routes updateRouter 删除虚拟路由 routes deleteRouter 添加虚拟路由的接口 routes addRouterInterface 删除虚拟路由的接口 routes removeRouterInterface 为当前vpcrouter添加扩展路由 routes addExtraRoute 为当前vpcrouter删除指定的扩展路由 routes removeExtraRoute 创建安全组 securitygroups createSecuritygroup 删除安全组 securitygroups deleteSecuritygroup 更新安全组 securitygroups updateSecuritygroup 创建安全组规则 securitygrouprules createSecuritygrouprule 删除安全组规则 securitygrouprules deleteSecuritygrouprule 创建一个vpnservice vpn createVpnService 更新vpnservice vpn updateVpnService 删除vpnservice vpn deleteVpnService 创建密钥交换策略 vpn createVpnIkepolicy 更新密钥交换策略信息 vpn updateVpnIkepolicy 删除租户指定ikepolicy vpn deleteVpnIkepolicy 创建一个ipsecpolicy vpn createVpnIpsecpolicy 更新指定ipsecpolicy vpn updateVpnIpsecpolicy 删除指定的ipsecpolicy vpn deleteVpnIpsecpolicy 创建一个ipsec连接 vpn createVpnIpsecsiteconnection 更新ipsec连接 vpn updateVpnIpsecsiteconnection 删除指定ipsec连接 vpn deleteVpnIpsecsiteconnection Create VPN endpoint group vpn createVpnEndpointgroup Update VPN endpoint group vpn updateVpnEndpointgroup Remove VPN endpoint group vpn deleteVpnEndpointgroup 更新代理 agent updateAgent 删除代理 agent deleteAgent 指定网络使用的DHCP Agent agent createAgentDhcpnetwork 移除网络使用的DHCP Agent agent deleteAgentDhcpnetwork 更新指定租户的配额值 quota updateQuota 重置指定租户的配额值 quota deleteQuota 创建firewall group FWaaS v2 createFirewallGroup 更新firewall group FWaaS v2 updateFirewallGroup 删除firewall group FWaaS v2 deleteFirewallGroup 创建firewall policy FWaaS v2 createFirewallPolicy 更新firewall policy FWaaS v2 updateFirewallPolicy 删除firewall policy FWaaS v2 deleteFirewallPolicy firewall policy中插入firewall rule FWaaS v2 insertFirewallPolicyRule firewall policy中移除firewall rule FWaaS v2 removeFirewallPolicyRule 创建firewall rule FWaaS v2 createFirewallRule 更新firewall rule FWaaS v2 updateFirewallRule 删除firewall rule FWaaS v2 deleteFirewallRule 创建loadbalancer loadbalancer createLBaaSLoadbalancer 更新指定的loadbalancer loadbalancer updateLBaaSLoadbalancer 删除指定的loadbalancer loadbalancer deleteLBaaSLoadbalancer 创建listener listener createLBaaSListener 更新指定的listener listener updateLBaaSListener 删除指定的listener listener deleteLBaaSlistener 创建pool pool createLBaaSPool 更新指定的pool pool updateLBaaSPool 删除指定的Pool pool deleteLbaasPool 创建Member member createLBaaSPoolMember 更新指定的Member member updateLBaaSPoolMember 删除指定的member member deleteLBaaSPoolMember 创建healthmonitor healthmonitor createLBaaSHealthMonitor 更新指定的healthmonitor healthmonitor updateLBaaSHealthMonitor 删除指定的healthmonitor healthmonitor deleteLBaaSHealthMonitor

本节介绍如何配置AntiDDoS流量清洗日志到云日志服务。 启用AntiDDoS防护功能后，您可以将攻击日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的AntiDDoS日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 前提条件 已开通云日志服务。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS服务管理界面。 4. 选择“日志”页签，开启日志，并选择日志组和日志流。 日志参数说明： 参数 说明 选择日志组 选择已创建的日志组，或者单击“查看日志组”，跳转到LTS管理控制台创建新的日志组。 记录攻击日志 选择已创建的日志流，或者单击“查看日志流”，跳转到LTS管理控制台创建新的日志流。 攻击日志记录每一个攻击告警信息，包括攻击类型、防护的IP等信息。 5. 单击“确定”，日志配置成功。 您可以在云日志服务管理控制台查看AntiDDoS的防护日志。 日志字段说明 全量日志字段说明 字段 说明 logType 日志类型。默认为“ipattacksum”，攻击日志。 deviceType 上报日志的设备类型。默认为“CLEAN”，清洗设备。 inKbps 入流量（单位：kbps）。 maxPps 入流量峰值（单位：pps）。 dropPps 丢弃的流量均值（单位：pps）。 maxAttackInBps 攻击流量峰值时刻的入流量值（单位：bps）。 currentConn 当前连接数。 zoneIP 防护的IP。 logTime 日志产生的时间。 attackType 攻击类型。数值对应的攻击类型请参见攻击类型说明。 inPps 入流量（单位：pps）。 maxKbps 入流量峰值（单位：kbps）。 dropKbps 丢弃的流量均值（单位：kbps）。 startTime 攻击开始时间。 endTime 攻击结束时间，为空时则表示攻击还未结束。 maxAttackInConn 攻击流量峰值时刻的连接数。 newConn 新建连接数。

天翼物联科技有限公司是中国电信在物联网领域打造的自有核心能力、研发运营一体化的物联网能力中心。TeleDB数据库助力天翼物联网平台（AIoT）打造为国内首个基于天翼云的超大规模亿级连接、3AZ高可用、云原生物联网平台，树立中国电信云上应用标杆，一式两化赋能产业数字化业务创新。天翼物联网平台涉及海量运行数据以及位置信息，该系统的核心功能是要对地理位置信息进行关联计算和查询，这个需要TeleDB提供的地理信息能力进行支持，并且对稳定性有极高的要求。TeleDB支持最先进的开源地理信息引擎PostGIS，可以提供丰富高效的地理信息处理能力。 该业务系统的部署架构如下： TeleDB上游对接接业务传感器后端的ETL，数据进入集群后先对清洗变换，并把人和位置信息进行关联形成宽表；在宽表的基础上进行GIS OLAP分析，输出我们需要的高价值信息，并通过对应的地图引擎进行展示。

本小节介绍数据库安全审计RDS关系型数据库（安装Agent）最佳实践。 方案架构 数据库安全审计采用旁路部署模式，通过在访问数据库的应用系统服务器上部署数据库安全审计Agent，获取访问数据库流量，Agent将获取的流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，实现对数据库的安全审计。 审计RDS关系型数据库（安装Agent）架构图 本文以POSTGRESQL 7.4版本的关系型数据库为例，详细信息如表所示，您需要对该数据库内部违规和不正当操作进行定位追责，满足等保测评数据库审计需求。本节详细介绍该场景下开启数据库安全审计功能和验证审计结果的具体操作。 数据库类型 POSTGRESQL 数据库版本 7.4 数据库IP地址 192.168.1.31 应用端IP地址 （安装节点IP地址） 192.168.1.132 端口 8000 操作系统 LINUX64 约束与限制 使用数据库安全审计需要关闭数据库的SSL。 待审计数据库与数据库安全审计需要在同一区域。 购买数据库安全审计配置“VPC”参数时，需与Agent安装节点所在VPC相同。 数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。 步骤一：购买数据库安全审计 您需要根据您的业务需求购买数据库安全审计规格并配置数据库安全审计参数，详细操作请参见购买数据库安全审计。 为保证审计功能的正常使用，购买数据库安全审计配置“VPC”参数时，请与Agent安装节点所在VPC相同。 数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。

本文主要介绍云日志服务与其他服务的关系。 虚拟私有云(CTVPC ，Virtual Private Cloud) 虚拟私有云为您需要接入的弹性云主机或容器集群提供一个逻辑隔离的区域，构建一个安全可靠、 可配置和管理的虚拟网络环境。更多信息请参见虚拟私有云。 弹性云主机（CTECS，Elastic Cloud Server） 通过云日志服务，您可采集弹性云主机上的应用日志。云主机由 CPU、内存、镜像、云硬盘组成，同时结合VPC、安全组、数据多副本保存等能力，打造一个既高效又可靠安全的计算环境。更多信息请参见弹性云主机。 云容器引擎 云容器引擎提供高可靠高性能的企业级容器应用管理服务，支持Kubernetes社区原生应用和工具，帮助用户在云上轻松部署、管理和扩展容器化应用。更多信息请参见云容器引擎产品介绍。 VPC终端节点 VPC终端节点（CTVPCEP，VPC EndPoint）可以在VPC内提供便捷、安全、私密的通道与云日志服务进行连接，用于进行日志数据上报。该服务使用天翼云内部网络，无需弹性公网IP，为您提供性能更加强大、更加灵活的网络。更多信息请参见VPC终端节点产品介绍。

云下一代防火墙可以进行日志查询，日志启用需登录云下一代防火墙web界面进行配置。 本页面仅列出常规使用配置，其他配置请参考运维人员操作指南下载查询。 操作方法 1.打开菜单栏，【监控→日志→日志管理】，开启对应功能日志记录功能。 2.可进行对应日志查询。

高级配置——日志收集管理 应用部署到k8s集群时，可以开通云日志服务，把业务文件日志、容器标准输出stdout、stderr日志输出到云日志服务，方便无限制行数地查看日志和自聚合分析日志。目前，云日志服务支持的采集日志类型为标准输出、文件日志，文件日志的采集路径支持配置为具体文件、文件夹。配置为具体文件时，系统只会采集该文件的日志；配置为文件夹时，系统会采集该文件夹下所有文件的日志。添加采集规则需要选择日志项目和日志单元，若不存在日志项目和日志单元可以点击选择框后面的创建按钮进行创建。 需要注意的是，正常使用日志收集管理功能需要两个前提： 1. 需要开通云日志服务； 2. 需要在开通的云容器引擎实例中成功安装日志插件； 高级配置——配置管理 将创建好的K8s配置项或者K8s保密字典以文件的形式挂载到容器的指定目录，从而向容器中注入配置信息。 配置管理参数名称 配置管理参数含义 配置类型 目前支持K8s配置项和K8s保密字典。 挂载类型 支持挂载到文件。 挂载源 需要挂载到应用容器文件系统中的配置项名称。 挂载主目录 设置容器的挂载主目录。路径必须以正斜线（/）开头。 文件挂载方式 保留原文件。保留原目录下的文件，相同文件名将保留本次挂载文件，隐藏原目录重名文件。 挂载配置 要挂载的key：需要挂载到应用容器文件系统中的配置项指定的Key。 挂载文件路径：相对挂载主目录的子路径。