基础防御IPS限制 修改基础防御规则动作 最多可修改3000条规则为“观察”。 最多可修改3000条规则为“拦截”。 最多可修改128条规则为“禁用”。 自定义IPS特征 仅专业版支持自定义IPS特征。 最多支持添加500条特征。 日志数据限制 云防火墙支持查看7天以内的日志数据，如果需要记录并查看1365天的日志数据，您可以将单类或者多类日志记录至云日志服务LTS中。 单个日志单次最多支持导出100,000条记录。

管理员对数据库资产进行授权 1. 左侧菜单选择“授权管理>资产访问授权”，在基础设施访问授权标签页中点击“新增”后，切换至授权配置页。 2. 按授权引导属性配置运维人员（主账号）和数据库资产的关联关系，授权后，即表示配置中的运维人员有权限访问配置关联的资产。 运维人员触发“本地访问初始化”进行运维 1. 运维人员登录堡垒机。 2. 左侧菜单选择“资产访问”。 3. 在资产访问页面，点击“本地访问初始化”后，系统后台将策略下发到本地，下发成功后将弹出提示“本地访问初始化成功”。 说明 做本地访问初始化操作前请先放通8765端口，参见安全组策略设置。可使用telnet 堡垒机IP 8765命令验证端口是否放通。 4. “本地访问初始化”成功后，运维人员即可按使用习惯打开本地客户端，输入资产地址、账户、密码连接资产进行运维。 数据库运维审计 1. 审计管理员登录堡垒机。 2. 左侧菜单选择“资源会话审计>数据库审计”。 3. 在数据库审计页面查看运维会话记录。

日志触发器能够为您提供增量日志的触发事件，您可以及时感知到指定的日志单元产生了新的日志，结合日志服务提供的SDK，您可以消费到最新的增量日志，完成定制化的任务。 使用场景 监控关键日志并告警。通过配置日志触发器，您可以及时消费到增量日志，通过编写函数代码，可以监听捕捉日志内容，并发出告警。 实现日志数据的ETL。通过配置日志触发器，您可以持续消费指定日志单元的日志（Extract），通过编写函数代码，可以对日志数据进行清洗、脱敏等一系列处理，并投递到新的日志单元（Transform，Load）。 触发机制 事件的基本传递机制请参考概述。 增量日志事件的上报：日志单元会持续监听日志数据写入，如果没有新增日志，不会上报事件；如果有新增日志，且最近60秒内日志量少于25MB，那每60秒会上报一次；如果日志量大于25MB，则在日志量达到25MB时上报一次。 Event事件的data部分格式如下。 json { "beginCursor":7256969395249872970, // 日志数据起始游标，标识增量日志的开始位置 "endCursor":7256969395249872981, // 日志数据结束游标，标识当次上报日志结束为止 "unitCode":"0fc54abd09aa8c" // 日志单元ID } 日志触发器只会推送日志事件的元数据信息，不包括日志内容，如果需要消费日志内容，请使用云日志提供的SDK并结合Event事件data字段进行日志消费，具体用法可参考文档。

本文帮您快速了解控制台的主要功能并方便您查阅。 功能 说明 桶管理 指定地域创建桶、删除桶、桶概览、搜索桶和删除桶的操作等。 文件管理 文件管理包括新建目录（文件夹）、上传、下载、搜索、复制、分享文件、通过URL访问对象、修改文件的存储类型、设置文件标签、设置读写权限、设置HTTP头、解冻归档文件、删除文件、恢复文件等。 清理碎片 清理碎片功能可以清除由于文件上传失败而产生的碎片。 权限管理 支持通过桶的读写权限、IAM权限管理、STS临时授权、跨域访问设置、防盗链、桶ACL对ZOS进行权限管理。 多版本管理 多版本管理功能允许用户在存储桶内保留同一对象的多个不同版本，可满足需要追踪数据变更历史、保留先前状态或实现数据恢复的需求。 日志管理 支持创建并保存对存储桶的访问日志记录，以进行请求分析和日志审计。 生命周期管理 支持设置桶的生命周期管理策略，定时删除桶中的对象或者定时转换对象的存储类别，实现对桶的自动化管理，节省存储空间并优化成本。 静态页面设置 通过静态页面设置，可以把存储桶内的对象设置为静态网站托管，并通过存储桶的静态网站域名来访问静态网站。 桶清单 桶清单功能支持将生成的桶清单上传到您指定的桶中，便于获取海量对象的信息并管理桶内对象。 桶配额 桶配额可以限制桶内允许上传的对象总容量/总数量，适用于需要对桶的容量/桶中对象数量进行限制的场景。 用户配额 支持在公共资源池的每个地域设置一个用户地域配额，作为该地域所有桶容量或文件数量的上限。 数据回源 当用户访问的数据在ZOS存储桶中不存在时，会直接返回404错误。如果您配置了数据回源功能，则可以通过数据回源规则从源站访问到对应的数据。 服务端加密 通过服务端在数据写入之前对数据进行加密，并在访问时自动解密，实现对静态数据的有效保护，增强数据的安全性。 合规保留 ZOS控制台支持合规控制策略配置及管理，允许用户以“不可删除、不可篡改”方式保存和使用数据。 图片样式 支持通过图形化方式配置样式，一个样式中包含多个图片处理参数，快速实现复杂的图片处理操作。 对象存储监控 支持通过云监控获取用户维度和桶维度的指标数据，并允许创建告警规则来监测ZOS的状态。 对象存储迁移 对象存储迁移支持将其他云存储的数据迁移到ZOS进行存储。

本文介绍如何查看容器审计事件。 容器审计提供正常和异常的容器事件统计，包括容器进程事件、文件事件、网络事件。 前提条件 容器集群已开启审计功能。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 单击容器列表内的容器名称，进入容器详情页面。 4. 选择“容器审计”页签，进入审计详情页面。可查看容器的正常事件和异常事件的数量随时间变化的折线图（默认统计最近15分钟内的事件），又分类统计了容器的进程事件、文件事件、网络事件的数量，可通过选择时间或拖拽下方进度条来查看不同时间段内，容器发生的事件信息。 5. 查看事件列表：在统计图下方以列表展示了容器中发生的事件信息，单击列表中某行，可展开查看对应事件的详细信息。 容器审计事件参数说明： 参数 说明 进程名称 进程的名称。 用户 执行用户。 路径 执行命令所在路径。 进程命令行 具体执行的命令行。 事件类型 容器的事件类型，分为进程事件、文件事件和网络事件。 进程事件：指在容器中运行进程的事件； 文件事件：指容器中对文件的读操作和写操作产生的事件； 网络事件：指访问、监听等网络活动产生的事件。 安全状态 安全状态分为“正常”和“异常”这两种状态。 时间 事件发生的时间，事件列表中以时间倒序的顺序进行展示。

Winsows系统如何安装UVP VMTools？ UVP VMTools是用于KVM虚拟化架构的云主机的虚拟化驱动程序，可以提升云主机的网络性能和虚拟化支持。以下是在Windows操作系统上安装UVP VMTools的一般步骤： 1. 登录到Windows操作系统的云主机。 2. 打开浏览器，前往UVP VMTools的官方下载页面或指定的镜像下载链接。 3. 下载与您的操作系统版本和位数（32位或64位）相匹配的UVP VMTools安装程序。 4. 执行下载的安装程序，根据安装向导的指示完成安装过程。 5. 安装完成后，重新启动Windows云主机，以确保UVP VMTools驱动程序正确加载和生效。 6. 在云主机启动后，您应该能够注意到系统性能的提升，并且云主机将能够更好地支持KVM虚拟化架构。 如何清除日志文件? 您可以参考以下指引来清除日志文件、历史记录等。 1. 执行如下命令，清除冗余的 SSH 公钥文件： plaintext 清除root用户的SSH公钥文件 echo > /root/.ssh/authorizedkeys 清除非root用户的SSH公钥文件（如果适用） echo > /home/username/.ssh/authorizedkeys 2. 执行如下命令，清空/var/log目录的日志文件： plaintext 请注意，清空日志文件可能会导致您丢失重要的系统日志，谨慎操作 rm rf /var/log/ 3. 执行如下 命令，清空历史记录： plaintext 清除root用户的bash历史记录 echo > /root/.bashhistory 清除其他用户的bash历史记录（如果适用） echo > /home/username/.bashhistory 清除当前会话的bash历史记录 history c

3. 检查迁移结果 完成迁移后，使用下面Robocopy命令，检查目标文件系统是否与源文件系统数据一致。 robocopy Y: Z: /e /l /ns /njs /njh /ndl /fp /log:reconcile.txt 重要字段说明如下，请根据实际情况替换。 参数 说明 Y: 指定源目录的路径，请根据实际路径进行替换。 Z: 指定目标目录的路径，请根据实际路径进行替换。 /e 仅列出目录（包括空目录）。 /l 不修改或复制文件，仅记录差异。 /fp 指在日志中包括文件的完整路径（仅在省略/ndl时有必要）。 /ns 指不在日志中包括文件大小。 /ndl 指不在日志中包括文件夹。 /njs 指不包括作业摘要。 /njh 不包括作业头。 /log:reconcile.txt 将迁移结果写入reconcile.txt日志中。如果已存在，将覆盖现有日志。 检查执行结果，如果两者数据一致，应该显示写入的文件路径。执行 type 文件名称可查看文件中的内容。 4. 切换应用至新文件系统 在数据迁移完成后，如果您需要将源文件系统上的业务切换到目标文件系统上，请在所有云主机客户端上卸载源文件系统，然后挂载新文件系统至您业务使用的云主机。 1）在业务使用的云主机中执行 net use 查看源文件系统挂载的本地挂载路径，即获得本地盘符。 2）执行命令 net use 本地盘符 /delete，卸载源文件系统。本地盘符为上一步查询获得。 3）挂载新文件系统到业务使用的盘符，挂载方式请参考使用弹性云主机挂载文件系统。 4）启动访问文件系统的业务，确认读写正常。 说明 本实践中的云主机仅作为数据迁移的“中转站”，而非用于业务实际使用。数据迁移和切换应用到新文件系统完成后，应将新文件系统挂载至实际业务使用的云主机中。

漏斗图适用于业务流程比较规范、周期长、环节多的单流程单向分析，通过漏斗各环节业务数据的比较能够直观地发现和说明问题所在的环节，进而做出决策。漏斗图用梯形面积表示某个环节业务量与上一个环节之间的差异。 前提条件 已完成日志采集配置，并成功采集到日志。 操作步骤 1. 登录云日志服务控制台。 2. 在日志管理页面的日志项目列表中，点击已创建的日志单元名称，进入日志单元详情页面。 3. 在日志单元详情页面中，即可查看当前日志单元中的日志数据。 4. 在语句搜索模式下，输入查询语句与SQL分析语句，具体语法请参考SQL统计分析章节。 5. 点击【查询】按钮，结果将默认以表格形式呈现。右侧图表类型选择点击漏斗图。 6. 结果将以漏斗图的形式展示。 配置参数 查询分析配置 参数 说明 图表名称 支持自定义图表名称。 数值列 选择数值所在字段，某个类别对应的数值越大，越靠上面层。 显示图例 打开显示图例 开关后，将在漏斗图中显示图例。

本文介绍如何保存快速查询条件。 若您需要重复高频使用某一个关键字或查询语句进行日志检索时，您可以将其设置为快速查询语句，通过保存的快速查询语句，可实现对日志的快速执行查询和分析操作。 操作步骤 1. 登录云日志服务控制台。 2. 进入目标日志单元的查询页面。 3. 输入查询分析语句后，点击输入框右侧的按钮。 4. 在弹窗中，输入快速查询名称，点击确定。即可完成快速查询创建。 5. 创建完成后，在查询页面左侧，点击“快速查询”，即可查看当前日志项目下已创建的所有快速查询。 6. 点击快速查询名称，即可根据查询条件查询当前日志。

本节介绍天翼云手机的订购方式以及流程。 天翼云手机（政企版）提供两种购买方式： 1.天翼云网门户订购：可在天翼云网门户产品“天翼云手机”产品详情页进行订购。 2.营业厅订购：请前往当地的电信营业厅向工作人员咨询“天翼云手机”即可订购。 订购天翼云手机（政企版） 前提条件 购买天翼云手机前需开通云手机服务。 操作步骤 1.登录并打开“天翼云手机”产品详情页； 2.点击“管理控制台”前往云手机控制台； 3.点击“云手机管理”，点击“创建云手机”： 4.在订购页，选择“规格&配置”。 ● 选择“规格类型”（规格越大，性能越强）； ● 选择“镜像类型”（初始镜像配置，默认为公共镜像）； ● 选择“VPC&业务子网”（选择云手机需要绑定的VPC&业务子网）； ● 选择“需要绑定的用户账号”（支持批量激活，可选择邮件通知或绑定已有用户）； ● 选择“购买时长”（有效期内可随时换绑其他用户）； ● 确认以上配置无误后，阅读并勾选“服务协议”； ● 点击“立即购买”，完成付款； 5.支付成功后，即可在云手机管理台的“云手机管理”页查看已开通的云手机。

本文主要介绍弹性负载均衡监控与日志常见问题。 配置访问日志后为什么界面没有显示？ 确认已创建云日志服务是否已经开启，且云日志组与云日志流已创建。 确认所创建的ELB服务是否可以被正常访问。 确认负载均衡是否支持访问日志： 目前只有七层负载均衡（HTTP/HTTPS）支持访问日志功能，四层负载均衡 （TCP/UDP）不支持此功能。 监控EIP带宽使用统计与负载均衡器监控的网络流出速率数据为何不一致？ 以下两种情况监控EIP带宽使用统计与负载均衡器监控的网络流出速率数据不一致： 1、如果流量没有超过EIP带宽，EIP未被限流，云监控EIP带宽使用统计外网访问数据，而负载均衡器不仅采集外网访问数据，而且采集内网访问的数据。 2、如果流量超过EIP带宽，EIP会被限流，负载均衡器内访问的数据流量跟EIP访问数据流量不是一个路径，负载均衡器内访问数据流量不会被限流。 负载均衡器 监控指标中七层协议返回码和七层后端返回码的区别? 不会。 负载均衡器七层监听器会终结TCP连接。即客户端和负载均衡器之间会建立TCP连接，负载均衡器和后端主机之间会建立另外一条TCP连接。客户端把HTTP请求发送给负载均衡器之后，负载均衡器会解析并转发HTTP请求到后端主机，然后后端主机再返回HTTP响应给负载均衡器，负载均衡器再解析和转发HTTP响应到客户端，所以通信过程被分成前后两个阶段。协议返回码是指负载均衡器返回给客户端的状态码，后端返回码是指后端主机返回给负载均衡器的状态码。 协议返回码和后端返回码有如下三种情况： 1、后端主机有返回码，这种情况负载均衡器会透传后端主机返回码到客户端，即协议返回码和后端返回码一致； 2、负载均衡器和后端主机连接异常或者超时等，负载均衡器会填充后端返回码为502或者504，然后转发给客户端； 3、监听器配置异常或者客户端请求格式和内容异常时，负载均衡器会直接返回4xx或者502 返回码，不继续向后端主机转发请求，即有协议返回码，无后端返回码。

本节介绍如何创建数据空间。 操作场景 数据空间是进行数据分组、负载、流控单元。同一数据空间的数据共享同一载均衡策略。 当您需要使用态势感知（专业版）提供的 安全分析 、 数据分析 、智能建模等功能时，需要新增数据空间。 前提条件 已新增工作空间，具体操作请参见新增工作空间。 约束与限制 一个工作空间中最多可创建5个数据空间。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在数据空间列表左上角，单击“新增”，系统从右侧弹出新增数据空间界面。 6. 在新增数据空间页面中，配置新建数据空间参数，参数说明如下表所示。 参数名称 参数说明 数据空间 输入数据空间名称。命名规则如下： 名称长度取值范围为563个字符。 可包含英文字母、数字和。其中，不能出现在开头和结尾，且不能连续出现。 名称须为全局唯一，不能与其他数据空间名称相同。 描述 可选参数，设置该数据空间的备注信息。 7. 单击“确定”，完成数据空间的新增。 新增完成后，可以在数据空间列表中查看已新增的数据空间。

本节介绍数据库审计v1.0支持的数据库加密情况。 支持的加密套件类型 数据库类型 数据库OS 数据库版本 加密方式 加密套件 DBAudit Oracle Linux 11.2.0.4 12.1.0.2 高级安全（Oracle Advanced Security） AES256 支持 Oracle Linux 11.2.0.4 12.1.0.2 SSL SSL RSA WITH AES 256 CBC SHA 支持 Oracle Linux 11.2.0.4 12.1.0.2 SSL SSL RSA WITH ЗDES EDE CBC SHA 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 高级安全（Oracle Advanced Security） AES256 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 SSL SSL RSA WITH AES 256 CBC SHA 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 SSL TLS RSA WITH AES 256 CBC SHA 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 SSL TLS RSA WITH AES 256 CBC SHA256 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 SSL TLS RSA WITH AES 128 CBC SHA256 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 SSL TLS RSA WITH AES 128 CBC SHA 支持 配置支持的加密套件解密方法 查看加密套件类型是否在数据库审计支持解密审计的范围内。如果在，获取到加密的server.key证书，导入到数审“资产管理 > 编辑 > 更多配置 > 加密协议审计配置”，导入私钥证书后即可以达到审计效果。

本章节会介绍如何查看或下载数据库错误日志。 操作场景 关系型数据库服务的日志管理功能支持查看数据库级别的日志，包括数据库主库和从库运行的错误信息，以及运行较慢的SQL查询语句，有助于您分析系统中存在的问题。 错误日志记录了数据库运行的实时日志，您可以通过错误日志分析系统中存在的问题，您也可以下载错误日志进行业务分析。 目前支持查看近1个月的错误日志。 查看日志明细 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏单击“日志管理”，在“错误日志”页签下，查看错误日志的详细信息。 您可单击页面右上角的级别筛选框查看不同级别的日志记录。 说明 云数据库MySQL实例支持查看以下级别的错误日志： ALL ERROR WARNING NOTE 目前支持查询2000条错误日志明细。如需查询更多错误日志，请联系客服申请。 您还可单击右上角的选择时间区域，查看不同时间段内的错误日志。 对于无法完全显示的“描述”，鼠标悬停查看完整信息。 结束

此小节介绍数据库审计与其他服务的关联。 与统一身份认证服务的关系 统一身份认证服务（Identity and Access Management，简称IAM）为数据库审计提供了权限管理的功能。

管理快速任务执行日志 本小节主要介绍快速运维任务执行完成后，如何管理任务执行日志，包括查看任务详情、导出执行日志、删除执行日志等。 前提条件 已获取“快速运维”模块管理权限。 快速运维任务（快速命令任务、快速脚本任务、快速文件传输任务）已执行完成。 操作步骤 1 登录云堡垒机系统。 2 选择“运维 > 快速运维 > 执行日志”，进入快速运维执行日志列表页面。 执行日志列表 3 查询日志。 在搜索框中输入关键字，根据执行参数，快速查询目标执行日志。 4 查看执行日志详情。 选择目标执行日志，单击“管理”，进入“执行日志详情”页面。 执行日志详情页面 在“基本信息”区域，可查看运维任务执行基本信息和简要结果。 在“执行详情”区域，可查看运维任务执行详细结果。 在“执行详情”区域，单击“导出”，可下载当前运维任务执行详细结果。 5 下载执行日志。 选择目标执行日志，在相应“操作”列单击“导出”，可立即下载当前执行日志CSV格式文件保存到本地。 6 删除执行日志。 选择目标执行日志，在相应“操作”列单击“删除”，可删除该执行日志。 同时勾选多条日志记录，单击列表下方的“删除”，可以批量删除多个执行日志。

组件设置包括关联日志服务。 操作日志 1. 登录管理控制台。 2. 单击左侧，选择“管理与部署 > 应用性能管理 APM”，进入APM服务页面。 3. 在左侧导航栏选择“应用监控 >指标”，进入应用指标页。 4. 在界面左侧树单击对应环境后的，进入实例监控页面。 5. 单击“组件设置”，进入组件配置页。 6. 单击“批量复制到其它组件”，弹出“复用到其它组件”选择框。 7. 在“复用到其他组件”选择框中，选择一个或多个组件，单击“复用到其他组件”。则当前“关联日志服务”的配置，成功的复制到被选择的组件中。 “复用到其它组件”以及“批量复制到其它组件”功能中，所选组件必须包含“环境”，否则“复用到其它组件”或者“批量复制到其它组件”按钮置灰，不支持复制。 关联日志服务 应用性能管理（APM）与云日志服务（LTS）关联，您可以在 LTS中关联调用链的TraceID 信息，当应用出现故障时，可以通过调用链的TraceID 快速关联到业务日志，及时定位分析并解决问题。 “打印TraceID至业务日志中”开关 1. 如果需要将TraceID打印到业务日志中，则需要在日志中打印线程名。在日志中打印线程名方法如下图，在logback.xml中添加 “%thread”字段即可。 1. 开启后业务日志中会自动生成调用链的TraceId。 2. 关闭后关联日志服务的设置不生效。 关联业务日志支持Log4j/Log4j2/Logback日志组件。 自定义设置只支持java类型。 步骤1、进入组件配置页，在“关联日志服务”表单中填写相关信息。 表 关联日志服务参数说明 参数 说明 项目 在下拉菜单中选择项目。 日志组 日志组（LogGroup）是云日志服务进行日志管理的基本单位，可以创建日志流以及设置日志存储时间，每个账号下可以创建100个日志组。 日志流 日志流（LogStream）是日志读写的基本单位，日志组中可以创建日志流，将不同类型的日志分类存储，方便对日志进一步分类管理。 步骤2、单击“保存”，弹出“关联日志服务”提示框。 步骤3、单击“确认”，关联成功。 步骤4、其它操作。 复用到其他组件 1. 单击“复用到其他组件”，弹出“复用到其他组件”选择框。 2. 选择一个或多个组件，单击“复用到其他组件”，则当前“关联日志服务”的配置，成功的复制到被选择的组件中。 “复用到其它组件”功能中，所选组件必须包含“环境”，否则“复用到其它组件”按钮置灰，不支持复制。

查看脏表检测规则 您可以在“审计规则 >风险操作”中查看数据库脏表检测规则，并根据需要执行以下操作： 启用 在数据库脏表检测规则所在行的“操作”列，单击“启用”，数据库安全审计将对该规则进行审计。 编辑 在数据库脏表检测规则所在行的“操作”列，单击“编辑”，在风险操作界面，您可以修改数据库脏表检测规则。 禁用 在数据库脏表检测规则所在行的“操作”列，单击“禁用”，在弹出的对话框中，单击“确定”，可以禁用该数据库脏表检测规则。禁用数据库脏表检测规则后，该规则将不在审计中执行。 删除 在数据库脏表检测规则所在行的“操作”列，单击“删除”，在弹出的对话框中，单击“确定”，可以删除该规则。删除数据库脏表检测规则后，如果需要对该规则进行安全审计，请重新添加数据库脏表检测规则。

本文介绍如何开启全量日志。 启用WAF全量日志功能后，您可以将攻击日志、访问日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的WAF日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 LTS对于采集的日志数据，通过海量日志数据的分析与处理，可以为您提供一个实时、高效、安全的日志处理能力。LTS默认存储日志的时间为7天，存储时间可以在1～30天之间进行设置，超出存储时间的日志数据将会被自动删除，对于需要长期存储的日志数据（日志持久化），LTS提供转储功能，可以将日志转储至对象存储服务（OBS）或者数据接入服务（DIS）中长期保存。 前提条件 已申请WAF。 已添加防护网站。 系统影响 开启全量日志功能是将WAF日志记录到LTS，不影响WAF性能。 将防护日志配置到LTS 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全> Web应用防火墙（独享版）”。 4. 在左侧导航栏，选择“防护事件”，进入“防护事件”页面。 5. 选择“全量日志”页签，开启全量日志，并选择日志组和日志流。 配置全量日志： 全量日志配置参数： 参数 参数说明 取值样例 选择日志组 选择已创建的日志组。 ltsgroupwaf 记录攻击日志 选择已创建的日志流。 攻击日志记录每一个攻击告警信息，包括攻击事件类型、防护动作、攻击源IP等信息。 ltstopicwafattack 记录访问日志 选择已创建的日志流。 访问日志记录每一个HTTP访问的关键信息，包括访问时间、访问客户端IP、访问资源URL等信息。 ltstopicwafaccess 6. 单击“确定”，全量日志配置成功。您可以在LTS管理控制台查看WAF的防护日志。

本章节主要介绍配置定时备份告警与审计信息。 操作场景 管理员可通过修改配置文件，实现定时备份FusionInsight Manager的告警信息、Manager审计信息以及所有服务的审计信息到指定的存储位置。 备份支持使用SFTP协议或FTP协议，FTP协议未加密数据可能存在安全风险，建议使用SFTP。 操作步骤 1.以omm用户登录主管理节点。 说明 用户只需在主管理节点执行此操作，不支持在备管理节点上配置定时备份。 2.执行以下命令，切换目录。 cd ${BIGDATAHOME}/omserver/om/sbin 3.执行以下命令，配置定时备份Manager告警、审计或者服务审计信息。 ./setNorthBound.sh t 信息类型 i 远程服务器IP p 服务器使用的SFTP或FTP 端口 u 用户名 d 保存信息的路径 c 时间间隔（分钟） m 每个保存文件的信息记录数 s 备份启停开关 e 指定的协议 例如： ./setNorthBound.sh t alarm i 10.0.0.10 p 22 u sftpuser d /tmp/ c 10 m 100 s true e sftp 此脚本将修改告警信息备份配置文件“alarmcollectupload.properties”。文件存储路径为“${BIGDATAHOME}/omserver/tomcat/webapps/web/WEBINF/classes/config”。 ./setNorthBound.sh t audit i 10.0.0.10 p 22 u sftpuser d /tmp/ c 10 m 100 s true e sftp 此脚本将修改审计信息备份配置文件“auditcollectupload.properties”。文件存储路径为“${BIGDATAHOME}/omserver/tomcat/webapps/web/WEBINF/classes/config”。 ./setNorthBound.sh t serviceaudit i 10.0.0.10 p 22 u sftpuser d /tmp/ c 10 m 100 s true e sftp 此脚本将修改服务审计信息备份配置文件“serviceauditcollectupload.properties”。文件存储路径为“${BIGDATAHOME}/omserver/tomcat/webapps/web/WEBINF/classes/config”。 4.根据界面提示输入用户的密码。密码将加密保存在配置文件中。 Please input sftp/ftp server password: 5.显示如下结果，说明修改成功。备管理节点将自动同步配置文件。 execute command syncfile successfully. Config Succeed.

云原生网关 左侧导航栏，选择资源管理 > 云原生网关。在云原生网关列表展示了当前环境已导入的云原生网关资源。 点击导入按钮，列表会展示与当前环境同VPC的云原生网关列表，勾选云原生网关，点击保存就可将资源导入。 导入失败可点击日志查看具体失败原因，也可点击重试按钮进行重试。 点击移除按钮，可移除选择的云原生网关。 关系数据库 左侧导航栏，选择资源管理 > 关系数据库。在关系数据库列表展示了当前环境已导入的关系数据库资源。 点击导入按钮，列表会展示与当前环境同VPC的关系数据库列表，勾选关系数据库，点击保存就可将资源导入。 导入失败可点击日志查看具体失败原因，也可点击重试按钮进行重试。 点击移除按钮，可移除选择的关系数据库。 分布式缓存 左侧导航栏，选择资源管理 > 分布式缓存。在分布式缓存列表展示了当前环境已导入的分布式缓存资源。 点击导入按钮，列表会展示与当前环境同VPC分布式缓存列表，勾选分布式缓存，点击保存就可将资源导入。 导入失败可点击日志查看具体失败原因，也可点击重试按钮进行重试。 点击移除按钮，可移除选择的分布式缓存。 分布式消息 左侧导航栏，选择资源管理 > 分布式消息。在分布式消息列表展示了当前环境已导入的分布式消息资源。 点击导入按钮，列表会展示与当前环境同VPC分布式消息列表，勾选分布式消息，点击保存就可将资源导入。 导入失败可点击日志查看具体失败原因，也可点击重试按钮进行重试。 点击移除按钮，可移除选择的分布式消息。

本节主要介绍使用流程 应用运维管理（ApplicationOperationsManagement，以下简称AOM）是云上应用的一站式运维管理平台，实时监控您的应用及相关云资源，分析应用健康状态，提供灵活的告警及丰富的数据可视化功能，帮助您及时发现故障，全面掌握应用、资源及业务的实时运行状况。 以接入云主机为例，AOM快速使用流程如下： 1.开通AOM（必选） 2.创建子账号并设置权限（可选） 3.创建云主机（必选） 4.安装ICAgent（必选） ICAgent是AOM的采集器，用于实时采集指标、日志和应用性能数据。 5.配置应用发现规则（可选） 满足内置应用发现规则的应用，安装ICAgent后该应用会自动被发现；对于不满足内置应用发现规则的应用，需要配置应用发现规则。 6.配置日志采集路径（可选） 如果您需使用AOM监控主机的日志，则需配置日志采集路径。 7.日常运维（可选） 您可使用AOM的仪表盘、告警通知等功能进行日常运维。

此小节介绍云堡垒机应用场景。 中小企业资产运维 场景说明 中小企业运维投入资源相对较少，运维管理流程规范度较低，运维人员可能会因为无意操作造成数据丢失、业务故障等，黑客也可能远程进入主机之后进行有意的数据窃取、数据篡改等。 针对资产数量少，运维并发低及可靠性需求不高的小型企业，提供轻量级堡垒机实例，实现运维用户双因子认证、云上资产统一运维审计，满足等保合规测评要求。 产品优势 快速开通使用：一键开通，即开即用，方便快捷。 小规格成本更低：按设备数包年包月，最低支持20资产小规格，成本更低。 运维高效快捷：提供web及客户端运维两种方式，兼顾便捷性和专业性。 安全合规：满足等保测评要求，助力企业运维安全治理。 中大型企业多人运维场景 场景说明 政务、金融及大型央国企运维存在账户重复授权、交叉使用、授权范围过大等问题，面对大量主机资源、系统特权账户，如何做好运维安全治理，防止因账户管理不善导致数据泄漏是非常具有挑战性的问题。 针对资产数量大，运维用户多，可靠性要求高的中大型企业，提供企业版堡垒机，提供双因子认证、资产账密管理、运维审计、高危命令阻断等能力，满足企业运维安全治理需求。

本小节介绍云堡垒机应用场景。 中小企业资产运维 场景说明 中小企业运维投入资源相对较少，运维管理流程规范度较低，运维人员可能会因为无意操作造成数据丢失、业务故障等，黑客也可能远程进入主机之后进行有意的数据窃取、数据篡改等。 针对资产数量少，运维并发低及可靠性需求不高的小型企业，提供轻量级堡垒机实例，实现运维用户双因子认证、云上资产统一运维审计，满足等保合规测评要求。 产品优势 快速开通使用：一键开通，即开即用，方便快捷。 小规格成本更低：按设备数包年包月，最低支持20资产小规格，成本更低。 运维高效快捷：提供web及客户端运维两种方式，兼顾便捷性和专业性。 安全合规：满足等保测评要求，助力企业运维安全治理。 中大型企业多人运维场景 场景说明 政务、金融及大型央国企运维存在账户重复授权、交叉使用、授权范围过大等问题，面对大量主机资源、系统特权账户，如何做好运维安全治理，防止因账户管理不善导致数据泄漏是非常具有挑战性的问题。 针对资产数量大，运维用户多，可靠性要求高的中大型企业，提供企业版堡垒机，提供双因子认证、资产账密管理、运维审计、高危命令阻断等能力，满足企业运维安全治理需求。

本章节介绍如何查看数据库的运行日志。 操作场景 运行日志记录了数据库运行时的日志。您可以通过运行日志分析系统中存在的问题。 查看日志明细 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏单击“日志管理”，在“运行日志”页签下，查看运行日志的详细信息。 您可单击页面右上角的级别筛选框查看不同级别的日志记录。 说明 云数据库SQL Server实例目前仅支持查看INFO级别的错误日志。 您还可单击右上角的选择时间区域，查看不同时间段内的错误日志。 对于无法完全显示的“描述”，鼠标悬停查看完整信息。

本文主要介绍经典分析样例。 本章以Nginx日志为例进行介绍，对云日志服务中的Nginx原始日志进行查询分析。 操作步骤 1. 在目标日志单元下，进入日志查询页面。 2. 在查询分析框中，输入查询分析sql语句进行统计分析，以下为两个具体统计分析案例。 统计前3访问来源 输入sql分析语句如下： plaintext select count(1) as pv, httpreferer group by httpreferer order by pv desc limit 3 展示结果如下 使用饼图统计各请求状态占比 输入sql分析语句如下： plaintext select "status", count() as "num" from log group by "status" order by "num" 展示结果如下

本文主要介绍散点图配置。 散点图是一种在直角坐标系平面上，通过数据点展示两个变量关系的图表。每组数据分别对应X轴和Y轴的坐标值，点的位置、分布和密集程度可用于判断两个变量之间的相互影响程度。 前提条件 已完成日志采集配置，并成功采集到日志。 操作步骤 1. 登录云日志服务控制台。 2. 在日志管理页面的日志项目列表中，点击已创建的日志单元名称，进入日志单元详情页面。 3. 在日志单元详情页面中，即可查看当前日志单元中的日志数据。 4. 在语句搜索模式下，输入查询语句与SQL分析语句，具体语法请参考SQL统计分析章节。 5. 点击【查询】按钮，结果将默认以表格形式呈现。右侧图表类型选择点击散点图。 6. 结果将以散点图的形式展示。 配置参数 查询分析配置 参数 说明 图表名称 支持自定义图表名称。 x轴字段 选择目标日志字段作为X轴。 y轴字段 选择目标日志字段作为Y轴。 分类列 选择用于数据分类的日志字段。 点大小列 选择一个字段，将根据该字段的值动态设置点的大小。 图形配置 参数 说明 线宽 设置线的宽度。 透明度 设置透明度 点大小 设置点的大小。 若您设置了点大小列，则此处的点大小设置不会生效。 形状 设置点的形状（圆形、方形和三角形）。

参数 说明 阻断攻击IP 开启阻断攻击IP后，HSS将阻断爆破行为的IP登录。 Agent会修改系统配置，阻断帐户爆破IP。 封禁时间（分钟） 可设置存在爆破行为IP的封禁时间，封禁时间内不可登录，封禁时间结束后自动解封，可配置范围为“1~43200”。 破解行为判断阈值（秒） 与“破解行为判断阈值（登录失败次数）”一起配置使用。可配置范围为“5~3600”。 例如：破解行为判断阈值“30”，破解行为判断阈值（登录失败次数）“5”，表示“30秒内同一IP发生5次登录失败会被判定为帐户爆破行为。” 破解行为判断阈值（登录失败次数） 与破解行为判断阈值一起配置使用，可配置范围为“1~36000”。 慢破解行为判断阈值（秒） 与慢破解行为判断阈值（登录失败次数）一起配置使用。可配置范围为“600~86400”。 例如：慢破解行为判断阈值“3600”，慢破解行为判断阈值（登录失败次数）“15”，表示“3600秒内同一IP发生15次登录失败会被判定为帐户爆破行为。” 慢爆破行为判断阈值（登录失败次数） 与慢破解行为判断阈值一起配置使用。可配置范围为“6~100”。 破解行为判定解除时间（秒） 清理破解行为出现登录失败记录的时间间隔，可配置范围为“60~86400”。 解除的暴破IP为已出现暴力破解告警的IP。 是否审计登录成功 开启此功能后，HSS将上报登录成功的日志。

说明：本章节会介绍如何查看数据库错误日志 关系型数据库服务的日志管理功能支持查看数据库级别的日志，包括数据库运行的错误信息，以及运行较慢的SQL查询语句，有助于您分析系统中存在的问题。 运行日志记录了数据库运行时的Warning和Error级别的日志。您可以通过运行日志分析系统中存在的问题。 查看日志明细 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4. 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 5. 在左侧导航栏单击“日志管理”，在“错误日志”页签下，查看错误日志的详细信息。 您可单击页面右上角的级别筛选框查看不同级别的日志记录。 云数据库MySQL实例支持查看以下级别的错误日志： ALL ERROR WARNING NOTE 您还可单击右上角的选择时间区域，查看不同时间段内的错误日志。 对于无法完全显示的“描述”，鼠标悬停查看完整信息。

本节介绍如何新增数据投递。 约束与限制 跨账号投递仅支持投递到其他账号管道中，不支持投递到其他云服务。 如果新增的数据投递为跨账号投递，则需要登录目的账号进行授权操作。 创建数据投递任务 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计> 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道后，单击目标管道名称后的“更多> 投递”，右侧弹出现在数据投递设置页面。 6. （可选）在弹出的授权提示中，确认无误后，单击“确认”，完成授权。 首次投递到目的投递类型需要进行授权，如果已经授权，请跳过该步骤。 7. 在新增投递配置页面中，配置数据投递相关参数。 1. 配置基本信息。 参数名称 参数说明 投递名称 自定义投递规则的名称。 投递资源消耗 默认生成，无需配置。 2. 配置数据源。 数据源配置中，显示当前管道数据的详细信息，无需配置。 参数名称 参数说明 投递类型 数据投递类型，默认显示为PIPE，即默认从态势感知（专业版）管道投递。 区域 当前管道所在区域。 工作空间 当前管道所属的工作空间。 数据空间 当前管道所属的数据空间。 管道 管道的名称 数据位置策略 当前管道中数据位置的策略。 读取身份 数据源读取身份信息说明。 3. 配置数据目的，请根据投递目的进行配置。 PIPE：将当前管道数据投递到本账号其他管道或其他账号的管道中，请根据您的需要进行选择配置。 本账号投递：将当前管道数据投递到本账号的其他管道中，参数配置说明如下表所示。 参数名称 参数说明 账号类型 选择数据投递目的地的账号类型，此处选择“本账号”。 投递类型 选择投递类型，此处选择PIPE。 工作空间 选择目的PIPE所在工作空间。 数据空间 选择目的PIPE所在数据空间。 管道 选择目的PIPE所在管道。 写入身份 默认生成，无需配置。 跨账号投递：将当前管道数据投递到其他账号的管道中，参数配置说明如下表所示。 参数名称 参数说明 账号类型 选择数据投递目的地的账号类型，此处选择“跨账号”。 投递类型 选择投递类型，此处选择PIPE。 账号ID 输入目的PIPE所在账号的ID。 工作空间ID 输入目的PIPE所在工作空间的ID，查询方法请参见查看管道详情。 数据空间ID 输入目的PIPE所在数据空间的ID，查询方法请参见查看管道详情。 管道ID 输入目的PIPE所在管道的ID，查询方法请参见查看管道详情。 写入身份 默认生成，无需配置。 4. 在“访问授权”中，查看上述步骤6中授予的权限。 投递请求需要获取访问您云资源的读写权限，授权后，投递任务才能拥有对您云资源相应的访问权限。 8. 单击“确定”。

本小节主要介绍系统用户、资源及策略配置、运维资源等操作类问题。 在新建用户/资源时，为什么无法选择上级部门？ 因为用户所属“角色”未配置“管理权限”，用户在新建用户或资源时，不能配置新用户或资源的“所属部门”为当前用户的上级部门。 开启角色管理权限 如何修改用户手机号码？ 云堡垒机“手机号码”为用户登录验证、找回密码、获取系统动态信息的账户重要信息。 CBH不支持绑定海外的手机号码。 admin用户的手机号码，为首次登录时自行绑定的手机号码。 其他用户的手机号码，为管理员创建用户时或用户首次登录系统时，绑定的手机号码。 用户帐号手机号码，支持个人修改，管理员修改，以及管理员批量修改。 用户个人修改 1 登录云堡垒机系统。 2 在界面右上角，单击“个人中心 ”，进入个人中心管理页面。 3 在基本信息页签，单击右上角“编辑”，进入个人信息管理窗口。 4 配置新手机号码。 5 单击“确认”，即完成修改个人手机号码。 管理员逐个修改 系统管理员admin或拥有“用户”模块管理权限的用户，可逐个为其他用户重置手机号码。 1 登录云堡垒机系统。 2 选择“用户 > 用户管理 ”，进入用户列表管理页面。 3 选择待修改手机号的用户，单击用户名或“管理”，进入用户详情页面。 4 在“基本信息”区域，单击“编辑”，管理用户基本信息。 5 配置新手机号码。 6 单击“确认”，即完成修改单个用户手机号码。 管理员批量修改 系统管理员admin或拥有“用户”模块管理权限的用户，可批量为多个用户重置手机号码。 1 登录云堡垒机系统。 2 选择“用户 > 用户管理 ”，进入用户列表管理页面。 3 导出用户信息。 选择待修改手机号的用户，单击“导出”，导出用户信息文件到本地。 4 修改用户手机号。 将用户信息文件保存到本地，手动修改“用户手机号码”，并保存。 5 导入用户信息。 返回用户列表管理页面，单击“导入”，进入导入用户窗口。 单击“点击上传”，选择修改后的用户信息文件并上传。 上传完成后，先选择“更多选项”中的“覆盖已有用户”。 单击“确定”，即完成批量修改用户手机号码。 云堡垒机可新建多少个用户？ 没有限制。 云堡垒机系统的一个用户代表一个可登录自然人，支持新建本地用户，批量导入用户，以及同步AD域用户。 系统管理员admin是系统最高权限用户，也是系统第一个可登录用户。 如何创建云堡垒机数据库运维？ 云堡垒机支持通过主机运维和应用运维两种方式管理数据库，可管理多种协议类型的云上数据库，具体请参考云堡垒机支持管理哪些数据库？。主机运维方式提供增删改查操作命令审计。应用运维方式提供操作会话视频审计。

使用私钥文件获取登录密码失败时,可以参考本文。 可能原因 1.出现获取密码失败一般原因是弹性云主机 cloudinit 失败，没有通过 cloudinit 注入密码。 2.Cloudinit 注入密码失败原因有： 网络原因导致弹性云主机无法连接到 cloudinit 服务器； 镜像上 cloudinit 没有获取密码相关配置； 弹性云主机上其他问题导致弹性云主机 cloudinit 无法获取。 处理办法 1. 检查弹性云主机的网络配置，是否导致弹性云主机 cloudinit 失败，操作如下： 弹性云主机所在安全组 80 端口的“出方向”和“入方向”是否放通。 2. 检查镜像上 cloudinit 是否配置了获取密码，当前 HEC 环境中的所有公共镜像均已正确配 置 cloudinit。 如果客户使用公共镜像则无需检查此项。 如果客户使用私有镜像创建弹性云主机，则需要确认镜像中已正确配置了 cloudinit。 3. 其他方面：大规格弹性云主机的虚拟内存导致客户弹性云主机 cloudinit 执行失败。 4. 通过查看日志检查原因，cloudinit 日志查看步骤如下： 将无法获取密钥的弹性云主机关机后，将系统盘卸载。 使用公共镜像创建一个临时 windows 弹性云主机，将上一步骤中卸载的卷挂载在此弹性云主机上。 登录临时创建的弹性云主机主机，打开主机管理器，选择“文件和存储服务 > 卷 > 磁盘”，单击鼠标右键选择“脱机”状态的磁盘，单击“联机”。 打开新联机的磁盘，查看“/Programe Files/Cloudbase Solution/CloudbaseInit/log”路径下的“cloudbaseinit”文件，通过日志查看原因。