本章节为您介绍Agent相关功能。 数据库审计的Agent提供哪些功能？ 数据库审计的Agent主要提供以下功能： 获取访问数据库流量 将流量数据上传到审计系统 接收审计系统配置命令 上报数据库状态监控数据 数据库审计的Agent可以安装在哪些Windows操作系统上？ 操作系统 操作系统位数 支持版本 Windows X64 Windows7、Windows10 Windows X86 Windows7 Windows Server X64 2003、2008、2012、2016、2022 数据库审计的Agent可以安装在哪些Linux操作系统上？ 操作系统 操作系统位数 支持版本 Ubuntu X64 14.04、16.04、18.04、20.04 Debian X64 7.6、8.7、9.5、10.11、11.2 CentOS X64 5.11、6.0、7.4、7.6、8 RedHat X64 6.5、7.0、7.5 SUSE X64 11SP4、12SP4 Solaris X86 X86 5.10、5.11 Solaris Sparc X64 5.10 AIX 5.3、6.1、7.1 EulerOS（欧拉） x64 EulerOS 2.0 SP9 银河麒麟 aarch64 v10服务器版 兆芯cpu+银河麒麟系统 x64 v10服务器版 兆芯cpu+中标麒麟系统 x64 7 兆芯cpu+统信UOS x86 v20 海光cpu+统信UOS x64 v20 鲲鹏cpu+统信UOS aarch64 v20

此小节介绍禁用或启用SQL注入的检测规则。 数据库安全审计的SQL注入检测默认开启，您可以禁用或启用SQL注入的检测规则。 注意 一条审计数据只能命中SQL注入检测中的一个规则。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 SQL注入检测的状态为“已禁用”时，可以启用SQL注入检测。 SQL注入检测的状态为“已启用”时，可以禁用SQL注入检测。 禁用SQL注入检测 SQL注入检测默认开启，您可以根据使用需要禁用SQL注入检查规则。禁用SQL注入检测规则后，该审计规则在审计中将不生效。 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“审计规则”，进入审计规则界面。 5. 在“选择实例”下拉列表框中，选择需要禁用SQL注入检测的实例。选择“SQL注入”页签。 6. 在SQL注入检测规则所在行的“操作”列，单击“禁用”，如下图所示。 禁用SQL注入检测成功，该SQL注入检测规则的状态为“已禁用”。 后续处理 禁用SQL注入检测规则后，如果您需要启动该规则，请在SQL注入检测规则所在行的“操作”列，单击“启用”，如下图所示，启用该规则。 启用SQL注入检测成功，该SQL注入检测规则的状态为“已启用”。

本文介绍日志聚类的使用方法。 背景信息 天翼云云日志服务提供日志聚类功能，可在采集日志时将相似度高的日志进行聚合，提取出共同的日志模式（Pattern），帮助您快速掌握日志全貌。 前提条件 已创建日志项目与日志单元。 已完成采集日志。 已配置索引。 开启日志聚类功能 1. 登录云日志服务控制台。 2. 在日志管理页面的日志项目列表中，点击已创建的日志单元名称，进入日志单元详情页面。 3. 在日志单元详情页面中，即可查看当前日志单元中的日志数据。 4. 点击右上角设置按钮，在设置面板中点击“查询配置”，打开“日志聚类”开关，点击“确定”保存当前配置。 查看聚类结果 1. 在日志查询分析页面，输入查询语句并设置时间范围，点击查询执行日志查询。 2. 点击“日志聚类”页签，即可查看当前的聚类结果。 3. 聚类结果中各字段含义说明如下： 参数 说明 Number 当前聚类序号 Count 当前指定的查询时间段与查询条件内，某个Pattern对应的日志条数。 Pattern 某一类日志的具体模式，每个聚类下均会有一个或多个子Pattern。

本文主要介绍云日志服务中查看告警事件历史。 告警事件历史展示当前租户下所有告警事件历史，支持筛选及查看详情。 功能入口 1. 登录云日志服务控制台。 2. 在左侧导航栏中选择告警管理告警事件历史。 功能说明 告警事件历史页面展示当前租户下所有告警事件信息。 支持对事件名称、事件状态、事件对象进行筛选。 事件名称：显示告警规则名称。 事件状态：显示事件当前状态是告警中、已恢复、静默。 事件对象：指触发告警的日志项目。 支持查看事件详情。 支持查看告警详情。

此小节介绍数据库安全部署架构。 审计分析场景 数据库安全审计采用数据库旁路部署方式，支持对管理控制台上的RDS、ECS/BMS自建的数据库进行审计。 数据库安全审计部署架构如图所示： 数据库安全审计的Agent部署说明如下： ECS/BMS自建数据库：在数据库端部署Agent。 RDS关系型数据库：在应用端或代理端部署Agent。

查询分析结果可以通过饼图形式进行展示。 饼图用于表示不同分类的占比情况，通过弧度大小来对比各种分类。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 6. 输入查询分析语句，设置时间范围，并单击“查询分析”。 7. 选择“图表统计”页签，并在图表统计页面右侧的“图表类型”中单击。 8. 配置饼图参数。 参数类别 参数名称 参数说明 基本配置 标题 自定义线图标题名称。 图表配置 分类 数据分类。 图表配置 数列值 分类数据对应的数值。 图例配置 显示图例 确认是否显示图例。 图例配置 图例位置 开启显示图例时须配置。 图例在图表中的位置，可以配置为上、下、左和右。 图表设置完成后，左侧可预览配置后的数据分析情况。

DWS接入 LTS支持云数据仓库GaussDB（DWS）日志接入，具体接入方法请参见集群日志管理。

本节介绍如何开启云专线防护。 前提条件 当前账号下已创建物理专线，详细操作请参见创建物理专线。 仅“企业版”支持开启云专线防护。 一个云专线防护将消耗1个“VPC边界防火墙配额数” 配额，在开启防护前，确保有足够的VPC边界防护配额。 开启云专线防护 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > VPC边界防火墙开关”。 3. 在“云专线”页签，找到需要开启防护的云专线实例，单击操作列的“开启防护”。 系统会定期自动同步当前账号下的资产到该页面，若有云专线资产未同步，可以在VPC边界防火墙开关页面右上角单击“同步资产”，手动同步资产。资产同步预计需要1~2分钟。 云专线列表展示当前账号下所有云专线实例。列表包括VPC名称、VPC ID、VPC网段IPv4、子网网段IPv4、专线网关名称、专线网关ID、其他目的网段IPv4、防护状态。 4. 进入开启云专线防护页面，根据界面提示完成相应配置。 后续操作 开启防护后，您可以为防火墙设置防护策略、查看日志等，以便更好地管控云专线的流量访问。 配置访问控制策略 配置入侵防御策略 查看访问控制日志 查看入侵防御日志 查看流量日志

审计 TeleDB支持通过有效的审计，组织可以及时发现和解决数据库相关的问题，降低风险，并提高数据库的整体管理水平。数据库安全审计是企业级数据库必须提供的一个基础能力，有助于事后对访问合规性进行追溯。结合业界通用的做法，TeleDB从多个维度来提供全方位的审计能力，同时TeleDB审计通过旁路检测方式，对数据库运行效率的影响极小。 TeleDB审计主要包括粗粒度审计（audit）和细粒度审计（fga）。 具体内容请参考《TeleDB安全配置手册》中“审计”章节。 数据脱敏 TelDB支持通过数据脱敏，对非授权用户隐去了部分敏感信息，又尽量保持了数据整体有效。脱敏是指在用户无感知的情况下，对非授权用户返回被脱敏的数据。其主要原理是通过某种运算法则，在真实数据返回给访问终端前，按照既定规则，将原始数据映射到另一种形式（可以支持多种变化），该映射规则对查询用户不可见，且转换后的形式不能做逆向操作（即转换为原始数据）。 如何创建数据脱敏具体内容请参考《TeleDB安全配置手册》中“数据脱敏”章节。 数据备份与恢复 ‌数据库备份与‌恢复来确保数据安全的关键措施，TeleDB支持通过定期备份数据库可以防止数据丢失或损坏。备份类型包括全量备份、‌增量备份，每种类型都有其特定的应用场景和优势。数据备份与恢复具体操作请参考《TeleDB安全配置手册》中“数据备份与恢复”章节。

日志触发器能够为您提供增量日志的触发事件，您可以及时感知到指定的日志单元产生了新的日志，结合日志服务提供的SDK，您可以消费到最新的增量日志，完成定制化的任务。 使用场景 监控关键日志并告警。通过配置日志触发器，您可以及时消费到增量日志，通过编排工作流，可以监听捕捉日志内容，并发出告警。 实现日志数据的ETL。通过配置日志触发器，您可以持续消费指定日志单元的日志（Extract），通过编排工作流，可以对日志数据进行清洗、脱敏等一系列处理，并投递到新的日志单元（Transform，Load）。 触发机制 事件的基本传递机制请参考概述。 增量日志事件的上报：日志单元会持续监听日志数据写入，如果没有新增日志，不会上报事件；如果有新增日志，且最近60秒内日志量少于25MB，那每60秒会上报一次；如果日志量大于25MB，则在日志量达到25MB时上报一次。 Event事件的data部分格式如下。 plaintext { "beginCursor":7256969395249872970, // 日志数据起始游标，标识增量日志的开始位置 "endCursor":7256969395249872981, // 日志数据结束游标，标识当次上报日志结束为止 "unitCode":"0fc54abd09aa8c" // 日志单元ID } 日志触发器只会推送日志事件的元数据信息，不包括日志内容，如果需要消费日志内容，请使用云日志提供的SDK并结合Event事件data字段进行日志消费，具体用法可参考文档。

功能模块 功能详情 数据集成 云内置采集系统，支持一键集成存储、管理与监管、安全等多种云产品的日志数据。集成后，可以检索并分析所有收集到的日志。

本章节介绍MSAP管理类常见问题 MSAP系统中可以自定义创建成员？ 添加子账号请访问 控制台。所有操作云容器引擎命名空间（创建环境绑定云容器引擎命名空间或部署应用）的子账号需要先被主账号授予云容器引擎集群命名空间权限，才可以将已授权的集群命名空间权限授予给其他子账号。账号同步需要子账号用户先登录天翼云官网并访问MSAP控制台才可同步成功。 MSAP系统是否支持无限量的创建项目？ 不允许无限量创建项目，因为此数据受租户配额管理，最多允许租户创建100个项目，如确实需要增加项目数，可以联系客服人员进行合理增加。 跳转到日志服务后，检索不到日志内容？ 出现此问题先按照如下方式进行检查。 1. 检查日志插件是否正常安装，可以在日志收集配置处，点击如何收集日志按钮，按照指引跳到对应的插件界面进行检查和安装。 2. 检查日志路径是否配置正确，配置的路径需要是有日志输出的路径才能正确收集到日志，修改了日志路径，需要再次部署应用才能生效。 应用发布成功后，没有注册到环境中添加的注册配置中心？ 程序中能识别的配置要与官方配置内容格式一致。 Springcloud配置： spring.cloud.nacos.discovery.serveraddr: 127.0.0.1:8859 spring.cloud.nacos.discovery.namespace: default spring.cloud.nacos.discovery.username: xxxxx spring.cloud.nacos.discovery.password: xxxxx Dubbo配置:： dubbo.registry.address: 127.0.0.1:8859 dubbo.registry.username: xxxxx dubbo.registry.password: xxxxx dubbo.registry.parameters.namespace: default

项目 参数 参数说明 基本信息 名称 设置规则名称，必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符。 基本信息 描述 规则描述。 基本信息 等级 必选项，系统默认等级为中风险。等级可选高风险、中风险和低风险。 基本信息 所属规则组 必选项，可选择自定义的规则组，也可以选择系统默认规则组。可通过以下步骤对自定义规则组进行管理： 单击所属规则组右边的“规则组管理”，可新增、修改和删除自定义规则组。 基本信息 规则类型 当前支持普通规则和统计规则两类。 普通规则：单条审计记录匹配配置的普通规则，会触发普通告警（例如一条select语句，可能会触发一条普通告警）。 统计规则：指定时间内多次匹配配置的统计规则，会触发一条统计告警（例如5分钟内10次select失败，可能会触发一条统计告警）。 基本信息 行为 当前支持告警和告警并阻断。 告警：操作命中规则后，仍正常执行，无特殊控制。 告警并阻断：操作命中规则后，该操作对应的数据库连接断开。 客户端 客户端来源 访问业务类型的客户端IP或IP组。可填写多个，以逗号“,”分隔。 客户端 客户端工具 可配多个客户端工具，使用逗号“,”分隔，例如：db2bp.exe,java.exe。 客户端 客户端端口 可配置多个值或区间，多个值间以逗号“,”分隔，例如：1015,20,25,3040。 客户端 客户端MAC地址 可填多个值，多个值间以逗号“,”分隔。 客户端 操作系统用户 可以选择字符串或者正则表达式，字符串可填多值，多个值间以逗号“,”分隔。 客户端 主机名 可以选择字符串或者正则表达式，字符串可填多值，多个值间以逗号“,”分隔。 客户端 应用IP 指定规则所匹配的应用IP或IP组，对应审计日志中的关联IP，可填多值，多个值间以逗号“,”分隔。 客户端 应用用户名 指定规则所匹配的应用用户或用户组，对应审计日志中的关联账号，可填多值，多个值间以逗号“,”分隔。 服务端 服务端IP 可填多个值，多个值间以逗号“,”分隔。 服务端 服务端端口 可配置多个值或区间，多个值间以逗号“,”分隔，例如：1015,20,25,3040。 服务端 数据库账号 指定规则所匹配的数据库登录用户账号或账号组或者使用正则表达式，可填多值，多个值之间以“,”分隔。 服务端 服务端MAC地址 可填多个值，多个值间以逗号“,”分隔。 服务端 数据库名(SID) 可以选择字符串或者正则表达式，Oracle数据库请输入SID，其他数据库输入数据库名，字符串可填多值，多个值间以逗号“,”分隔。 行为 对象 指定规则匹配的对象组。 行为 操作类型 指定SQL语句的操作类型，例如：select、update、delete等。 行为 SQL模板ID 可填项，可填多值，多个值间以逗号“,”分隔。 行为 SQL关键字 SQL关键字：支持以正则表达式匹配报文。 单击“正则验证”输入报文内容，单击“校验”，验证输入内容与执行结果关键字中的正则表达式是否匹配；单击“增加条件”可添加多个条件。 条件运算逻辑表达式：SQL关键字填写后，此项为必填项。条件间的关系，支持与、或、非、括号运算(&：与；：或；~：非)，条件使用序号表示，即“1”表示条件1，例如：1&2，则代表有2个SQL关键字条件且两个关键字都要满足才能告警。 行为 SQL长度 指定SQL语句的长度，取值范围：1B~64KB。 行为 关联表数 SQL操作涉及表的个数大于等于此值时触发本规则，允许输入最大值为255。 行为 WHERE字句 是否包含WHERE，支持三个选项： 不判断 有WHERE子句 没有WHERE子句 默认为不判断。WHERE子句用于提取满足指定条件的SQL记录，语法如下： SELECT columnname,columnname FROM tablename WHERE columnname operator value; 结果 执行时长 （选填）单位：秒、毫秒、微秒，取值范围：0到半个小时，SQL执行时长属于此范围，则触发规则。 结果 影响行数 取值范围：0~999,999,999。SQL操作返回的记录数或受影响的行数属于此范围，则触发规则。 结果 返回结果集 支持以正则表达式匹配结果集。 单击“正则验证”输入报文内容，单击“校验”，验证输入内容与执行结果关键字中的正则表达式是否匹配；单击“增加条件”可添加多个条件。 条件运算逻辑表达式：SQL关键字填写后，此项为必填项。条件间的关系，支持与、或、非、括号运算(&：与；：或；~：非)，条件使用序号表示，即“1”表示条件1，例如：1&2，则代表有2个SQL关键字条件且两个关键字都要满足才能告警。 结果 执行状态 可选三类执行状态： 全部 成功 失败 默认为全部。 结果 执行结果描述 支持以正则表达式方式匹配。 其他 生效时间 可自定义或者选择时间组。 其他 每日最大告警数 取值范围：0~99,999，输入0表示没有限制。 其他 结果集存储策略 设置触发该规则的告警日志的返回结果集存储策略，包含使用资产设置、保存和不保存。

信封加密方式，是一种加密手段，将加密数据的数据密钥封入信封中存储、传递和使用，不再使用用户主密钥直接加解密数据。 信封加密方式优势如下： 相对于KMS提供的另一种加密方式：KMS用户主密钥直接加密 使用KMS用户主密钥直接加密：是通过KMS界面使用在线工具加解密数据，或者调用KMS的API接口使用指定的用户主密钥直接加密、解密数据。 使用KMS用户主密钥直接加解密数据仅适用于不大于4KB的小数据加解密场景；而信封加密方式可以在本地对大量数据进行加解密。 信封加密方式加解密数据，只需要传输数据加密密钥到KMS服务端，无需通过网络传输大量数据。 相对于直接加解密的云服务 安全性 由云服务直接为用户加解密数据：通过因特网将敏感信息从客户手中传递到服务的过程中会存在诸多风险，例如：窃听、钓鱼。 信封加密方式：KMS通过使用硬件安全模块HSM保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。 信任和可信证明 由云服务直接为用户加解密数据：信任和可信证明较难做。用户不一定信任云服务，愿意上传如此敏感的数据；云服务也难以证明自己不会误用和泄露这些数据。 信封加密方式：KMS对密钥的所有操作都会进行访问控制及日志跟踪，提供所有密钥的使用记录，满足审计和合规性要求。 性能、成本 由云服务直接为用户加解密数据：大量数据需要通过安全信道传递到服务端，加密后再返回给用户，这一过程，对用户服务的性能影响很大。另外，大量的移动数据会带来巨大的成本。 信封加密方式：可以通过KMS的密码运算API在线生成数据密钥，用离线数据密钥在本地加密大量数据。

本节主要介绍设置ServiceStage依赖服务的权限 设置CCE命名空间权限 由于IAM只能给ServiceStage用户组授予CCE集群相关资源的普通操作权限，不包括集群（启用Kubernetes RBAC鉴权）的命名空间权限，需要在CCE集群单独设置CCE的命名空间权限。 CCE的命名空间权限设置方法，请参考“帮助中心 > 云容器引擎 > 用户指南 > 权限管理”。 设置CTS服务权限 通过IAM给ServiceStage设置权限后，对于ServiceStage依赖的CTS服务并不会生效，需要单独设置CTS服务权限。 CTS服务权限设置方法，请参考“帮助中心 > 云审计服务 > 用户指南 > 权限管理”。

本节介绍了日志配置管理的相关内容。 操作场景 配置访问日志后，RDS实例新生成的日志记录会上传到云日志服务（Log Tank Service，简称LTS）进行管理。 前提条件 确保与RDS实例相同region下的LTS服务已有日志组和日志流。 约束限制 错误日志和慢日志不能使用同一个日志流。 日志流如果已绑定结构化模板（MySQL慢日志模板、MySQL错误日志模板），配置日志流时需要满足模板类型与日志类型一致。例如日志流如果绑定了错误日志模板，就不能配置给慢日志。 批量配置访问日志 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在左侧导航栏选择“日志配置管理”。 步骤 5 选择一个或多个实例，单击“配置访问日志”。 步骤 6 在下拉框分别选择LTS日志组和日志流，单击“确定”。 说明 错误日志和慢日志不能使用同一个日志流。 配置完成后不会立即生效，存在10分钟左右的时延，请知悉。 步骤 7 如需解除LTS配置，选择一个或多个实例，单击“解除配置”。 步骤 8 在弹框中，单击“确定”。 结束

索引是一种存储结构，用于对日志数据进行查询。通过配置索引后，可对日志进行查询和分析操作。不同的索引配置，则会产生不同的查询和分析结果，请根据您的需要，合理配置索引。 日志示例 以下是一条典型日志，content字段值是日志原文，使用分隔符逗号将原始日志解析成3个字段level、status、message； 示例日志中的hostName、hostIP、pathFile是常见的内置保留字段，详细内置字段请参考内置保留字段。 { "hostName":"epstestxx518", "hostIP":"192.168.0.31", "pathFile":"stdout.log", "content":"error,400,I Know XX", "level":"error", "status":400, "message":"I Know XX" } 索引类型 云日志服务的索引类型如下： 表 1 索引类型表 索引类型 说明 全文索引 开启全文索引后，日志服务根据您设置的分词符将整条日志所有字段值拆分成多个词并构建索引。用户上传的自定义标签（label）字段，不包含全文索引中，如果您需要搜索自定义标签字段，请添加对应的字段索引。LTS内置保留字段，不包含全文索引中，您需要通过字段索引Key:Value的方式进行搜索，请参考内置保留字段。 字段索引 配置字段索引后，您可以指定字段名称和字段值（Key:Value）进行查询，缩小查询范围。日志服务默认为部分内置保留字段创建字段索引，请参考内置保留字段。如果您的某个字段单独配置了字段索引，那么该字段值的分词符以字段索引配置为准。结构化配置中的的快速分析列已被移除，如果您要使用快速分析功能，则必须配置字段索引且开启对应字段的快速分析按钮。关于日志示例有两种情况：在日志示例中，配置了level和status两个字段索引，其中level是string类型，字段值是error，单独配置了分词符，status是long类型，不需要配置分词符；您可以使用level : error的方式精确搜索level字段值为error的所有日志。在日志示例中，云日志服务LTS会默认为hostName、hostIP、pathFile这些内置保留字段创建字段索引。

本章节为您介绍如何升级数据库审计实例。 数据库审计在上线新版本后，支持您在控制台升级实例版本。 操作步骤 1. 登录数据库审计实例控制台。 2. 在数据库审计实例界面，选择需要升级并且“可升级”的数据库实例，单击“升级”按钮。 3. 在弹出的对话框中单击“确认”，实例开始进行自动升级并且实例的状态会变为“升级中”。 4. 待实例状态变为“运行中”即表示升级已经结束。

CBH接入 LTS支持云堡垒机（CBH）日志接入，具体接入方法请参见配置LTS日志外发服务。

本页介绍天翼云TeleDB数据库系统视图pgauditfgapolicycolumnsdetail的内容。 视图的作用：提供了关于对象审计策略及其关联的列的详细信息。 名称 类型 定义 auditor name 审计策略的创建者或所有者的用户名，通过pgcatalog.pggetuserbyid函数根据S.auditorid获取。 objectschema name 被审计对象（通常是表）所在的模式（schema）的名称，通过连接pgclass表和pgnamespace表获取。 objectname name 被审计对象的名称，直接从pgclass表中获取。 policyname name 审计策略的名称，直接从pgauditfgaconf表中获取。 auditcolumns text 被包含在审计策略中的列的列表，直接从pgauditfgaconf表中获取。

当您出现Linux操作系统云主机磁盘分区提示空间不足问题时可参考本文。 问题描述 云主机使用过程数据持续增长，容易导致磁盘空间不足的问题，相应的对系统运行造成影响，如系统性能下降、应用程序无法正常运行、系统崩溃等。 问题定位与解决方案 1. 查看磁盘空间占用情况 首先您需要了解当前磁盘下各个目录的空间占用情况，以便能够有针对性地进行优化。 执行 df h 命令查看磁盘空间的占用情况。 执行后可见系统上所有分区与挂载点的空间使用情况，可以判断哪个目录占用了大量的磁盘空间。 2. 清理临时文件 在Linux系统中，临时文件如果长时间不处理，将可能占用大量磁盘空间。您可以通过定期清理临时文件来释放磁盘空间。 以下是一些常见的临时文件所在的目录。 /tmp目录是存放临时文件的默认目录，您可以执行 rm rf /tmp/命令清理该目录下的全部临时文件，或者执行 rm rf /tmp/(文件名)命令清理该目录下的指定临时文件。 /var/tmp目录也是存放临时文件的目录，您可以执行 rm rf /var/tmp/命令清理该目录下的全部临时文件，或者执行 rm rf /var/tmp/(文件名)命令清理该目录下的指定临时文件。 3. 清理日志文件 在Linux系统中，日志文件如果长时间不处理，也可能占用大量磁盘空间。您可以通过清理不必要的日志文件来释放磁盘空间。 以下是一些常见的日志文件所在的目录： /var/log目录存放系统日志文件，您可以执行 rm rf /var/log/命令清理该目录下的全部日志文件，或者执行 rm rf /var/log/(文件名)命令清理该目录下指定日志文件。 因为Linux系统支持日志轮转策略，即日志文件保留一定时长后自动清理的策略，所以您可以通过调整日志轮转策略，即调整日志文件自动保留时间，达到日志文件常规管理的目的。 您可以编辑 /etc/logrotate.conf文件来调整系统日志轮转策略。 4. 压缩低频大文件 您可以通过临时压缩使用频率较低的大文件，释放部分磁盘空间。Linux系统中常用的压缩工具有gzip、bzip2以及zip等。 5. 删除不必要的软件和文件 如果您的系统中存在不使用或非必要的软件，或者无须留存的其它文件，可以通过清理它们来释放磁盘空间。 执行命令 sudo aptget remove (软件包名) 清理软件。 执行命令 rm rf (文件路径)/(文件名)清理指定文件。 6. 扩容磁盘空间 如果以上方法无法帮助您释放出足够的磁盘空间，请您考虑扩容已有云硬盘或添加新的云硬盘，实现存储空间扩容。

本节介绍了日志管理的操作场景、注意事项、批量配置访问日志等内容。 操作场景 配置访问日志后，RDS实例新生成的日志记录会上传到云日志服务（Log Tank Service，简称LTS）进行管理。 注意事项 确保与RDS实例相同region下的LTS服务已有日志组和日志流。 批量配置访问日志 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在左侧导航栏选择“日志配置管理”，选择“PostgreSQL”引擎。 步骤 5 选择一个或多个实例，单击“配置访问日志”。 步骤 6 在下拉框分别选择LTS日志组和日志流，单击“确定”。 说明 错误日志和慢日志不能使用同一个日志流。 配置完成后不会立即生效，存在10分钟左右的时延，请知悉。 步骤 7 如需解除LTS配置，选择一个或多个实例，单击“解除配置”。 步骤 8 在弹框中，单击“确定”。 结束

本节介绍如何配置集群策略。 在集群策略页面内，支持配置集群审计策略、告警策略、告警规则。 前提条件 已开启集群审计功能，具体操作请参见开启集群审计。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群策略”，进入集群策略页面。 3. 配置审计策略：进入“审计策略”页面，可配置审计事件保留周期、审计事件类型。 4. 配置告警策略：进入“告警策略”页面，默认内置日常运营、重保模式、高级防护对应策略。 点击添加按钮，进入策略添加页面，输入策略名称（必填）、策略描述（非必填）、选择对象、开启规则，点击保存。 5. 配置告警规则：进入“告警规则”页面，点添加按钮，进入规则添加页面，输入规则名称（必填）、规则描述（非必填）、风险等级、att&ck战术、att&ck技术、标签、配置规则组，点击保存。

VPC控制台功能依赖的角色或策略 控制台功能 依赖服务 需配置角色/策略 VPC流日志功能 云日志服务LTS IAM用户设置了VPC FullAccess权限后，需要增加LTS ReadOnlyAccess权限，才可以使用流日志功能。

第四部分：联系技术支持 1. 如果以上方法都无法解决云主机状态错误的问题，可以联系云平台的技术支持团队，寻求进一步的帮助和支持。 2. 提供详细的错误信息、日志和操作步骤，以便技术支持团队更好地理解和解决问题。 总结 通过以上步骤，我们可以尝试解决云平台创建云主机状态错误的问题。在遇到问题时，及时检查云主机配置、资源配额和日志信息，同时与技术支持团队保持沟通和协作，可以更快地解决问题并成功创建云主机。

本文介绍主机接入配置完成后未采集到日志的处理方法。 问题现象 已完成接入配置，但一直未采集到日志。 可能原因 日志采集器未正常运行。 采集路径配置错误。 业务当前无产生日志，或部分时间段有日志，部分时间段无日志。 日志时间错误问题，日志上报至未来时间或已超出日志主题存储时长的时间。 解决方法与排查思路 1. 检查采集器状态是否正常。请参考检查采集器运行状态。若采集器状态为正常，但仍无日志，请继续进行以下排查。 2. 检查日志采集配置中的采集路径是否配置正确，例如日志目录path是否正确。更多关于日志采集路径的说明请参考接入云主机文本日志。 3. 增加检索时间区间，查看其他时段是否能检索到日志。可能为该时间段确实无日志，请检查自身业务在指定时间段是否产生日志。 4. 在日志单元配置页面，查看当前配置的日志保存时间；请确保日志检索时的时间区间在日志保存时间范围内，在范围以外的日志不再保存，故检索不到。 5. 日志采集器只会采集新增内容，如果目标文件没有更新，则不会采集数据，也不会有数据上报，因此查询不到日志。 若以上解决方法均无法解决您的问题，请提交工单进行报障处理。

本文主要介绍云日志服务如何创建告警规则。 告警规则为监控告警的管理单元，一条完整的告警规则包含监控日志单元对象、触发条件、检查频率、通知策略与告警内容等信息。本文将介绍如何创建告警规则。 前提条件 已创建日志项目、日志单元并完成日志数据接入。 已创建通知策略，详情请查看通知策略管理。 操作步骤 1. 登录云日志服务控制台。 2. 左侧导航栏点击告警规则模块，进入告警规则页面。 3. 点击创建告警规则。 4. 创建告警配置，请按如下说明配置参数。并点击新建，完成告警规则设置。 参数 说明 告警名称 设置告警名称 检查频率 告警规则的执行周期，支持固定频率与固定时间； 固定频率：按固定的时间间隔执行一次监控任务时间间隔，支持设置分钟、小时、天的频率； 固定时间：按固定的时间点，每天执行一次监控任务。 日志查询 查询对象：选择需要进行监控的日志项目与日志单元； 查询时间范围：针对目标日志单元进行检索时的时间范围； 查询执行：针对目标日志单元的查询分析条件，填入日志查询分析语句，点击【预览】按钮可预览检索结果，当检索结果满足触发条件时，则触发告警。关于如何填写查询分析语句，请参考日志查询语法与SQL统计语法。 触发条件 当目标日志单元的检索结果满足触发条件时，则触发告警通知。可同时设置多条触发条件，目前支持两类触发条件： 检索结果有数据：当检索结果有日志数据时即触发告警； 检索结果有特定条数据：当检索结果中的日志数据满足一定条件时即触发告警，可设置条件表达式。 有数据匹配：输入具体的条件表达式，当条件表达式返回为true的时候，产生告警，否则不产生告警。 有特定条数据匹配：输入具体的条件表达式，当条件表达式返回为true且满足特定条数据条件时，产生告警，否则不产生告警。 通知策略 选择已创建好的通知策略。 告警内容 告警内容将作为告警信息中的一个字段，告警内容支持插入各类变量。

本小节介绍DDoS高防IP使用说明类常见问题。 什么是DDoS高防IP？ 高防IP是针对服务器在遭受大流量的攻击后导致服务不可用的情况下，推出的付费增值服务，用户可以通过配置高防IP，将攻击流量引流到高防IP，确保源站的稳定可靠。 天翼云DDoS高防IP购买后操作步骤？ 接入防护配置设置，分配高防IP（网站同步分配CNAME），接入设置生效后进入防护配置；天翼云协助帮您将对网站IP重新备案并分配IP，该IP即为分配的转发IP；完成后将在高防节点对转发IP进行业务设置，设置成功后将可以进入防护配置。 网站类：将域名解析重新设置指向CNAME地址。 非网站类：设置业务访问接入只转发IP完成防护配置。 如何选择静态防护、还是动态防护？ 如客户业务IP是单个运营商（电信或联通或移动等），选静态。 如客户业务IP是多个运营商（例如电信+移动，电信+联通，或三家都有），选动态防护。 保底防护带宽如何选择？ 根据攻击带宽流量向上取整，例如遭受攻击11Gbps，则选择20Gbps。 回源业务带宽怎么选择？ 根据购买业务IP的出向流量向上取整，默认100Mbps。客户可根据服务器的出向流量来选择，通常100Mbps即可，最大支持300Mbps，超过300Mbps则新增订单。 端口数怎么选择？ 默认50个免费，最大100个（超过100个需下多套订单）。 防护对象尽量是域名，且需要域名备案。需客户进入域名管理后台，将域名的CNAME由原本的服务器地址解析指向至DDoS高防IP，并在服务器防火墙侧将分配的DDoS高防IP地址加入白名单。

日志类型 日志文件名 描述 Controller运行日志 controller.log 记录组件安装、升级、配置、监控、告警和日常运维操作日志。 Controller运行日志 controllerclient.log Rest接口运行日志。 Controller运行日志 acs.log Acs运行日志。 Controller运行日志 acsspnego.log acs中spnego用户日志 Controller运行日志 aos.log Aos运行日志。 Controller运行日志 plugin.log Aos插件日志 Controller运行日志 backupplugin.log 备份恢复进程运行日志 Controller运行日志 controllerconfig.log 配置运行日志 Controller运行日志 controllernodesetup.log Controller加载任务日志 Controller运行日志 controllerroot.log Controller进程系统日志 Controller运行日志 controllertrace.log Controller与NodeAgent之间RPC通信日志 Controller运行日志 controllermonitor.log 监控日志 Controller运行日志 controllerfsm.log 状态机日志 Controller运行日志 controlleralarm.log Controller发送告警日志 Controller运行日志 controllerbackup.log Controller备份恢复日志 Controller运行日志 install.log，restorepackage.log，installPack.log，distributeAdapterFiles.log，installosoptimization.log oms安装日志 Controller运行日志 omsctl.log oms启停日志 Controller运行日志 preInstallclient.log 客户端安装前预处理日志 Controller运行日志 installntp.log ntp安装日志 Controller运行日志 modifymanagerparam.log 修改Manager参数日志 Controller运行日志 backup.log OMS备份脚本运行日志 Controller运行日志 supressionAlarm.log 告警脚本运行日志 Controller运行日志 om.log 生成om证书日志 Controller运行日志 backuppluginctl.log 备份恢复插件进程启动日志 Controller运行日志 getLogs.log 采集日志脚本运行日志 Controller运行日志 backupAuditLogs.log 审计日志备份脚本运行日志 Controller运行日志 certStatus.log 证书定期检查日志 Controller运行日志 distribute.log 证书分发日志 Controller运行日志 ficertgenetrate.log 证书替换日志，包括生成二级证书、cas证书、httpd证书的日志。 Controller运行日志 genPwFile.log 生成证书密码文件日志 Controller运行日志 modifyproxyconf.log 修改HTTPD代理配置的日志 Controller运行日志 importTar.log 证书导入信任库日志 Httpd install.log Httpd安装日志 Httpd accesslog, errorlog Httpd运行日志 logman logman.log 日志打包工具日志。 NodeAgent install.log，installosoptimization.log NodeAgent安装日志 NodeAgent installntp.log ntp安装日志 NodeAgent startntp.log ntp启动日志 NodeAgent ntpChecker.log ntp检查日志 NodeAgent ntpMonitor.log ntp监控日志 NodeAgent heartbeattrace.log NodeAgent与Controller心跳日志 NodeAgent alarm.log 告警日志 NodeAgent monitor.log 监控日志 NodeAgent nodeagentctl.log，startagent.log NodeAgent启动日志 NodeAgent agent.log NodeAgent运行日志 NodeAgent cert.log 证书日志 NodeAgent agentplugin.log 监控agent侧插件运行日志 NodeAgent omaplugin.log OMA插件运行日志 NodeAgent diskhealth.log 磁盘健康检查日志 NodeAgent supressionAlarm.log 告警脚本运行日志 NodeAgent updateHostFile.log 更新主机列表日志 NodeAgent collectLog.log 节点日志采集脚本运行日志 NodeAgent hostmetriccollect.log 主机指标采集运行日志 NodeAgent checkfileconfig.log 文件权限配置检查运行日志 NodeAgent entropycheck.log 熵值检查运行日志 NodeAgent timer.log 节点定时调度日志 NodeAgent pluginmonitor.log 组件监控插件日志 NodeAgent agentalarmpy.log NodeAgent检查文件权限发送告警日志 okerberos addRealm.log，modifyKerberosRealm.log 切域日志 okerberos checkservicedetail.log Okerberos健康检查日志 okerberos genKeytab.log 生成keytab日志 okerberos KerberosAdmingenConfigDetail.log 启动kadmin进程时，生成kadmin.conf的运行日志 okerberos KerberosServergenConfigDetail.log 启动krb5kdc进程时，生成krb5kdc.conf的运行日志 okerberos omskadmind.log kadmin进程的运行日志 okerberos omskerberosinstall.log，postinstalldetail.log okerberos安装日志 okerberos omskrb5kdc.log krbkdc运行日志 okerberos startdetail.log okerberos启动日志 okerberos realmDataConfigProcess.log 切域失败，回滚日志 okerberos stopdetail.log okerberos停止日志 oldapserver ldapserverbackup.log Oldapserver备份日志 oldapserver ldapserverchkservice.log Oldapserver健康检查日志 oldapserver ldapserverinstall.log Oldapserver安装日志 oldapserver ldapserverstart.log Oldapserver启动日志 oldapserver ldapserverstatus.log Oldapserver进程状态检查日志。 oldapserver ldapserverstop.log Oldapserver停止日志 oldapserver ldapserverwrap.log Oldapserver服务管理日志。 oldapserver ldapserveruninstall.log Oldapserver卸载日志 oldapserver restartservice.log Oldapserver重启日志 oldapserver ldapserverunlockUser.log 记录解锁Ldap用户和管理帐户的日志 metricagent gc.log MetricAgent JAVA虚拟机gc日志 metricagent metricagent.log MetricAgent运行日志 metricagent metricagentqps.log MetricAgent内部队列长度及qps信息记录日志 metricagent metricagentroot.log MetricAgent所有运行日志 metricagent start.log MetricAgent启停信息日志 omm omsconfig.log OMS配置日志 omm checkomsheartbeat.log OMS心跳运行日志 omm monitor.log OMS监控日志 omm hamonitor.log HAMonitor操作日志 omm ha.log HA操作日志 omm fms.log 告警日志 omm fmsha.log 告警的HA监控日志 omm fmsscript.log 告警控制日志 omm config.log 告警配置日志 omm iam.log IAM日志 omm iamscript.log IAM控制日志 omm iamha.log IAM的HA监控日志 omm config.log IAM配置日志 omm operatelog.log IAM操作日志 omm heartbeatcheckha.log OMS心跳的HA监控日志 omm installoms.log OMS安装日志 omm pmsha.log 监控的HA监控日志 omm pmsscript.log 监控控制日志 omm config.log 监控配置日志 omm plugin.log 监控插件运行日志 omm pms.log 监控日志 omm ha.log HA运行日志 omm cepha.log CEP的HA监控日志 omm cepscript.log CEP控制日志 omm cep.log CEP日志 omm config.log CEP配置日志 omm ommgaussdba.log gaussdb的HA监控日志 omm gaussdb.log gaussdb运行日志 omm gsctl.log gaussdb控制日志的归档日志 omm gsctlcurrent.log gaussdb控制日志 omm gsguccurrent.log gaussdb操作日志 omm encrypt.log omm加密日志 omm ommagentctl.log OMA控制日志 omm omamonitor.log OMA监控日志 omm installoma.log OMA安装日志 omm configoma.log OMA配置日志 omm ommagent.log OMA运行日志 omm acs.log acs资源日志。 omm aos.log aos资源日志 omm controller.log controller资源日志 omm feedwatchdog.log feedwatchdog资源日志 omm floatip.log floatip资源日志 omm hantp.log ntp资源日志 omm httpd.log httpd资源日志 omm okerberos.log okerberos资源日志 omm oldap.log oldap资源日志 omm tomcat.log tomcat资源日志 omm sendalarm.log 管理节点HA告警发送脚本运行日志 timestamp restartstamp NodeAgent启动时间 tomcat cas.log，localhostaccesscaslog.log cas运行日志 tomcat catalina.log，catalina.out，hostmanager.log，localhost.log，manager.log tomcat运行日志 tomcat localhostaccessweblog.log 记录访问FusionInsight Manager系统REST接口的日志 tomcat web.log web进程运行日志 tomcat northboundftpsftp.log，snmp.log 北向日志 tomcat perfStats.log 性能数据统计日志 watchdog watchdog.log，feedwatchdog.log watchdog.log运行日志 updateservice ommupdserver.log updserver的运行日志 updateservice ommupdagent.log updagent的运行日志 updateservice updatemanager.log updmanager的运行日志 updateservice install.log 升级服务安装日志 updateservice uninstall.log 升级服务卸载日志 updateservice catalina.<时间>.log，catalina.out，hostmanager.<时间>.log，localhost.<时间>.log，manager.<时间>.log，manageraccesslog.<时间>.txt，webserviceaccesslog.<时间>.txt，catalina.log，gcupdateservice.log.0.current，updatemanager.controller，updatewebservice.controller，updatewebservice.log，commitrmdistributed.log ，commitrmuploadpackage.log，commonomagentoperator.log，forbidmonitor.log，initializepackageatoms.log，initializeunzippack.log，ommupd.log，registerpatchpack.log，resumemonitor.logrollbackclearpatch.log，unregisterpatchpack.log，updatercommupd.log，updatercupdatemanager.log，updateservice.log 升级服务运行日志 upgrade upgrade.log<时间> 升级OMS日志 upgrade rollback.log<时间> 回滚OMS日志 sudo sudo.log sudo脚本执行日志

成功添加数据库后，您可以查看数据库信息、关闭、删除数据库。如果数据库添加了Agent，您还可以查看Agent信息、关闭或删除Agent。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库。 关闭数据库前，请确认数据库的“审计状态”为“已开启”。 查看数据库信息 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 数据库列表”，进入数据库列表界面。 5. 查看数据库信息，相关参数说明如下所示。 在列表右上方“全部审计状态”下拉列表框中选择数据库的审计状态，或输入数据库的关键字，可以搜索指定的数据库。 数据库信息参数说明 参数名称 说明 取值样例 数据库信息 数据库的名称、类型以及版本信息。 选择字符集 数据库的编码字符集。 UTF8 IP地址/端口 数据库的IP地址。 192.168.0.104 3306 实例名 数据库的实例名称。 操作系统 数据库运行的操作系统。 LINUX64 审计状态 数据库的审计状态，包括： 已开启 已关闭 已开启 Agent 单击“添加Agent”，可以为数据库添加Agent。 添加Agent 您可以根据使用需求，对添加的数据库执行以下操作： 关闭 在需要关闭的数据库所在行的“操作”列，单击“关闭”后，在弹出的提示框中，单击“确定”，数据库的“审计状态”为“已关闭”。 关闭数据库后，数据库安全审计将停止对该数据库进行安全审计。 删除 在需要删除的数据库所在行的“操作”列，单击“删除”后，在弹出的提示框中，单击“确定”，删除该数据库。 删除数据库后，如果需要对该数据库进行安全审计，请重新添加该数据库。

本章介绍函数工作流如何使用LTS触发器。 前提条件 已经创建函数。 已经创建LTS FullAccess权限的委托，创建过程请参见配置委托权限。 已经创建日志组，此处以LogGroup1为例，创建过程请参见云日志服务用户指南日志管理日志组。 已经创建，此处以LogTopic1为例，创建过程请参见云日志服务用户指南日志管理日志流。 创建LTS触发器 1、登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2、选择待配置的函数，单击进入函数详情页。 3、选择“设置 > 触发器”，单击“创建触发器”，弹出“创建触发器”对话框。 4、设置以下信息。 触发器类型：选择“云日志服务（LTS）”。 日志组：选择已创建的日志组，例如：LogGroup1。 日志流：选择已创建的日志流，例如：LogStream1。 5、单击“确定”，完成LTS触发器的创建。 配置LTS事件触发函数 说明 当原始LTS事件消息超过75KB，会把原始LTS事件消息按照75KB维度拆分为多条消息触发执行函数。 1、返回函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2、选择待配置的函数，单击进入函数详情页。 3、在函数详情页，选择函数版本。 4、在“代码”页签下，单击“测试”，弹出“配置测试事件”对话框。 5、填写如表所示测试信息后，单击“保存”。 表 测试信息 参数 说明 配置测试事件 可创建新的测试事件也可编辑已有的测试事件。选择默认值：“创建新的测试事件”。 事件模板 选择"ltseventtemplate"模板，使用系统内置LTS事件模板。 事件名称 事件名称必须以大写或小写字母开头，支持字母（大写或小写），数字和下划线“”（或中划线“”），并以字母或数字结尾，长度为125个字符，例如lts123test。 测试事件 自动加载系统内置lts事件模板，本例不做修改。 6、单击“测试”，可以得到函数运行结果，函数会返回输入LTS数据。

一站式整合天翼云云产品 无缝集成云容器引擎，微服务引擎、应用性能监控和云日志服务等云产品能力，轻松一站式管理业务应用，提供更好用的工具链，应用异常采集，关联调用链和日志，帮助快速定位应用故障。