本节介绍云等保专区产品的日志审计配置类问题。 日志审计设备如何进行接入配置？ 1. 首先在进行审计前，用户需要在资产上设置Syslog等协议将日志发送至平台。 2. 平台可自动发现通过Syslog等协议向平台发送日志的资产向平台发送日志的资产，发现这些资产后，需要添加这些资产，在上边栏选择“资产管理”，在左侧菜单栏选择“ 资产 > 全部资产 ”进入资产页面，点击“新增”。 进入新增资产页面，选择资产类型（如Windows）。 编辑相关信息，点击“保存”。 3. 在事件管理模块中可查询资产的日志信息，在性能监控模块中监控资产的性能状态，在上边栏选择“事件管理”，在左侧菜单栏选择“ 事件 > 自定义查询 ”进入自定义查询页面。设置查询条件，点击“查询”即可查询事件，点击“清空”可清空查询条件。 4. 创建解决方案包为可选操作，平台已经内置了2个解决方案包。用户可根据需要创建解决方案包，解决方案包是一系列安全事件模板的集合，平台根据这些模板分析资产的风险趋势，对于威胁事件给予告警，在上边栏选择“规则库”，在左侧菜单栏选择“解决方案包”进入解决方案包页面。 点击“新增”，编辑相关信息，点击“保存”。 5. 用户还可订阅自己关注的告警事件，可第一时间了解资产的威胁态势，在上边栏选择“事件管理”，在左侧菜单栏选择“ 告警 > 告警订阅 ”进入告警订阅页面，选择未订阅页签。在左侧解决方案包导航栏中选择事件（如“防火墙阻断”），选择邮件订阅、短信订阅、FTP订阅和TCP订阅的用户，点击“保存”。 6. 平台会根据解决方案包对日志事件进行审计并对威胁趋势做出统计，用户可查看审计概要和统计报表，在上边栏选择“审计概要”进入审计概要页面，在左侧解决方案包导航栏中选择具体项目，即可查看该项目的审计概要信息。 在上边栏选择“统计报表”，在左侧菜单栏选择“统计报表”，选择报表项，可查看该报表项的信息。 点击“过滤”，在弹出的对话框中设置过滤条件，点击“过滤”即可查看符合过滤条件的统计信息。 点击时间下拉框，选择时间段可查看对应时间段内的事件统计信息。 点击页面右上角的“导出”，在弹出的菜单栏中选择“导出Word”、“导出PDF”即可将统计报表导出为Word、PDF文件保存至本地。

前提条件 已登录数据复制服务控制台。 满足实时同步支持的数据库类型和版本，详情请参见实时同步。 已阅读以上使用建议和使用须知。 操作步骤 本小节以PostgreSQL>PostgreSQL的入云同步为示例，介绍如何使用数据复制服务配置VPC网络场景下的实时同步任务。 步骤 1 在“实时同步管理”页面，单击“创建同步任务”。 步骤 2 在“同步实例”页面，填选任务名称、描述、同步实例信息，单击“开始创建”。 任务信息 表 任务和描述 参数 描述 任务名称 任务名称在4到50位之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 同步实例信息 表同步实例信息 参数 描述 数据流动方向 选择“入云”。 源数据库引擎 选择“PostgreSQL”。 目标数据库引擎 选择“PostgreSQL” 。 网络类型 此处以“VPC网络”为示例，可选公网网络、VPC网络和VPN、专线网络。 目标数据库实例 目标数据库为RDS for PostgreSQL数据库实例。 同步实例所在子网 请选择同步实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保同步实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 同步模式 全量+增量：该模式为数据持续性实时同步，通过全量过程完成目标端数据库的初始化后，增量同步阶段通过解析日志等技术，将源端和目标端数据保持数据持续一致。 全量该模式为数据库一次性同步，适用于可中断业务的数据库同步场景，全量同步将非系统数据库的全部数据库对象和数据一次性同步至目标端数据库。 标签 表标签 参数 描述 标签 可选配置，对同步任务的标识。使用标签可方便管理您的任务。每个任务最多支持10个标签配额。 任务创建成功后，您可以单击任务名称，在“标签”页签下查看对应标签。关于标签的详细操作，请参见标签管理。 说明 对于创建失败的任务，DRS默认保留3天，超过3天将会自动结束任务。 步骤 3 在“源库及目标库”页面，同步实例创建成功后，填写源库信息和目标库信息，单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 测试连接时需要确保DRS任务与源库、目标库的连通性。 网络连通性： 确保源库和目标库允许DRS访问，通常至少需要放通DRS的IP。公网网络的DRS任务放通DRS的公网IP，VPC网络、VPN、专线网络的DRS任务放通DRS的内网IP。 帐号连通性 ：确保源库和目标库允许DRS通过连接帐号和密码访问。 说明 此处源库类型分为ECS自建库和RDS实例，需要根据源数据库的实际来源选择相应的分类。两种场景下的参数配置不一样，需要根据具体场景进行配置。 场景一：ECS自建库源库信息配置 表 ECS自建库场景源库信息 参数 描述 源库类型 选择“ECS自建库”。 VPC 源数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 指定数据库名称 选择是否指定数据库，开启后需手动输入数据库名称。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对同步链路的加密。 说明 源数据库的IP地址或域名、数据库用户名和密码，会被系统加密暂存，直至删除该迁移任务后自动清除。 场景二：RDS实例源库信息配置 表RDS实例场景源库信息 参数 描述 源库类型 选择“RDS实例”。 数据库实例名称 选择待同步的关系型PostgreSQL数据库实例作为源数据库实例。 数据库用户名 源数据库实例的用户名。 数据库密码 源数据库的用户名所对应的密码。 表 目标库信息 参数 描述 数据库实例名称 默认为创建迁移任务时选择的关系型PostgreSQL数据库实例，不可进行修改。 数据库用户名 目标数据库的用户名。 数据库密码 目标数据库的用户名所对应的密码。 说明 源和目标数据库用户名和密码将在同步过程中被加密暂存到数据库和同步实例主机上，待该任务删除后会永久清除。 在“设置同步”页面，选择同步对象和同步用户，单击“下一步”。 表 同步对象 参数 描述 流速模式 流速模式支持限速和不限速，默认为不限速。 l 限速 自定义的最大同步速度，全量同步过程中的同步速度将不会超过该速度。 当流速模式选择了“限速”时，你需要通过流速设置来定时控制同步速度。流速设置通常包括限速时间段和流速大小的设置。默认的限速时间段为“全天限流”，您也可以根据业务需求选择“时段限流”。自定义的时段限流支持最多设置3个定时任务，每个定时任务之间不能存在交叉的时间段，未设定在限速时间段的时间默认为不限速。 流速的大小需要根据业务场景来设置，不能超过9999MB/s。 l 不限速 对同步速度不进行限制，通常会最大化使用源数据库的出口带宽。该流速模式同时会对源数据库造成读消耗，消耗取决于源数据库的出口带宽。比如源数据库的出口带宽为100MB/s，假设高速模式使用了80%带宽，则同步对源数据库将造成80MB/s的读操作IO消耗。 说明 l 限速模式只对全量阶段生效，增量阶段不生效。 l 您也可以在创建任务后修改流速模式。具体方法请参见修改流速模式。 增量阶段冲突策略 该冲突策略特指增量同步中的冲突处理策略，全量阶段的冲突默认忽略。冲突策略目前支持如下形式： l 忽略 当同步数据与目标数据库已有数据冲突时（主键/唯一键存在重复等），将跳过冲突数据，继续进行后续同步。 l 报错 当同步数据与目标数据库已有数据冲突时（主键/唯一键存在重复等），同步任务将失败并立即中止。 l 覆盖 当同步数据与目标数据库已有数据冲突时（主键/唯一键存在重复等），将覆盖原来的冲突数据。 对象同步范围 对象同步范围支持选择普通索引、增量DDL同步和全量阶段填充物化视图，您可以根据业务需求选择是否进行同步。 全量阶段填充物化视图：仅对源库已经填充的物化视图生效，该填充操作会影响全量同步性能，建议在全量同步完成后，手动在目标库填充。 同步对象 左侧框是源数据库对象，右侧框是已经选择的对象，同步对象支持表级同步、库级同步，您可以根据业务场景选择对应的数据进行同步。 l 选择库级同步： 全量同步时，同步对象为所选的库、库中对象的存量数据；增量同步时，同步除了无日志表、临时表外的所有表的DML及部分 DDL。 l 选择表级同步： 全量同步时，同步对象为所选的表、序列、视图或物化视图的存量数据；增量同步时，同步所选表的DML及部分 DDL。 l 在同步对象右侧已选对象框中，可以使用对象名映射功能进行源数据库和目标数据库中的同步对象映射，具体操作可参考对象名映射。 模式名或表名映射时，为防止索引和约束名冲突，同步后表上的原索引名称将变为此格式：i+哈希值+原索引名（可能被截断）+key。其中哈希值由“原模式名原表名原索引名”计算得到。同理，同步后表上的原约束名将变为：c+哈希值+原约束名（可能被截断）+key。 说明 l 选择对象的时候支持对展开的库 进行搜索，以便您快速选择需要的数据库对象。 l 如果有切换源数据库的操作或源库同步对象变化的情况，请在选择同步对象前单击右上角的，以确保待选择的对象为最新源数据库对象。 l 当对象名称包含空格时，名称前后的空格不显示，中间如有多个空格只显示一个空格。 l 选择的同步对象名称中不能包含空格。 同步用户 数据库的同步过程中，同步用户需要进行单独处理。 同步用户一般分为两类：可同步的用户和不支持同步的用户。对于不支持同步的用户，在备注列的查看详情中会提示具体的原因，您可以根据业务需求选择是否同步用户和权限。 步骤 5 在“预检查”页面，进行同步任务预校验，校验是否可进行。 查看检查结果，如有不通过的检查项，需要修复不通过项后，单击“重新校验”按钮重新进行任务预校验。 预检查完成后，且所有检查项结果均通过时，单击“下一步”。 说明 所有检查项结果均通过时，若存在请确认项，需要阅读并确认详情后才可以继续执行下一步操作。 步骤 6 在“任务确认”页面，设置同步任务的启动时间，并确认同步任务信息无误后，单击“启动任务”，提交同步任务。 表 任务启动设置 参数 描述 启动时间 同步任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”。 说明 预计同步任务启动后，会对源数据库和目标数据库的性能产生影响，建议选择业务低峰期，合理设置同步任务的启动时间。 步骤 7 同步任务提交后，您可在“管理”页面，查看并管理自己的任务。 您可查看任务提交后的状态，状态请参见任务状态说明。 在任务列表的右上角，单击刷新列表，可查看到最新的任务状态。 对于未启动、状态为配置中的任务，DRS默认保留3天，超过3天DRS会自动删除后台资源，当前任务状态不变。当用户再次配置时，DRS会重新申请资源。

二、 简单型多层级组织 简单型多层级组织架构一般为三级，即存在一级组织总管平台，具备平台全部权限，同时二级组织所使用的资源数量需要由一级组织进行分配。二级组织下有多个项目，此时可以参照该模式进行多级资源管理，进行AI作业，组织层级及各层级角色与功能关系如下图： 一级组织：一级组织可以视为客户内部使用天翼云训推平台最高管理人员，将其账号赋予“admin”用户组(即管理员角色)，其将拥有平台全部权限(参见《准备工作章节》)。一级组织(管理员)进行资源层面的管控，可以给二级组织(二级管理员)分配专属集群资源，具体AI作业由二级组织及其下级组织执行。一级组织(管理员)给二级组织(二级管理员)分配专属集群资源的操作步骤详见《成员管理章节》。 二级组织：二级组织可以视为客户内部具体的业务部门，将二级组织负责人的账号赋予“二级管理员”用户组(即二级管理员角色)，其可拥有平台内仅次于管理员的权限(与管理员的区别主要在于资源使用权，二级组织负责人(二级管理员)需要由一级组织(管理员)为其分配资源后，才可使用被分配的资源)。二级组织负责人(二级管理员)基于一级组织(管理员)为其分配的资源，可以将这些资源用于组织内部的AI作业。二级组织内部存在多个项目，故为了便于将每个项目进行区分，训推平台引入了“工作空间”概念，即使用训推平台进行AI作业时，需要在工作空间内进行，在空间内，项目所有成员之间数据、资源共享，各个空间之间数据和资源是互相隔离的。故若二级组织下有多个项目，可以由二级组织负责人(二级管理员)为每个项目创建一个工作空间，并将项目负责人授予工作空间管理员权限，以及为每个工作空间创建专属的资源配额，供下级组织成员使用。工作空间的创建、工作空间成员的添加详见《工作空间章节》，资源配额的创建详见《资源配额章节》。 三级组织：三级组织即为具体使用训推平台进行AI作业的项目团队，每个项目具备单独的工作空间(由二级组织负责人(二级管理员)创建)，二级组织负责人(二级管理员)可以设置项目负责人为此工作空间的管理员，项目负责人(工作空间管理员)可以将项目其他成员添加进工作空间，并赋予其工作空间内的角色(如算法开发、运维角色)，若二级组织负责人(二级管理员)未给工作空间添加资源配额，则项目负责人(工作空间管理员)可以自己为工作空间添加资源配额(只有为工作空间添加资源配额后，工作空间成员在进行AI作业时才能正常使用资源)。工作空间成员可以基于工作空间关联的资源配额进行AI作业，如模型开发、模型训练，推理部署等。工作空间成员的添加以及为工作空间添加资源配额详见《工作空间章节》，资源配额的创建详见《资源配额章节》。

本节主要介绍如何使用API加载软件许可证。 此操作用来加载软件许可证。 说明 HBlock软件初始化后提供30天试用期，如确定使用，建议尽快联系软件供应商获取正式版软件许可证，并加载。 可以通过查询HBlock信息获取HBlock序列号serialId，将该该序列号提供给软件供应商用于获取软件许可证。 试用期过期，或软件许可证过期，仅部分功能可用，详见软件许可证到期（试用期或订阅模式）后仍可用的功能。 永久模式许可证的维保服务过期后，升级功能不可用，其余功能均可正常使用。 请求语法 plaintext POST /rest/v1/system/license HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization: authorization { "key": "key" } 请求参数 参数 类型 描述 是否必须 key String 软件许可证密钥。 是 响应结果 名称 类型 描述 licenseId String 软件许可证ID。 account String 软件许可证所属的账号。 customerName String 客户名称。 说明 如果申请许可证时未填写，不显示此字段。 type String 软件许可证的购买类型： Subscription：订阅模式。 Perpetual：永久许可模式。 status String 软件许可证的状态： Effective：已生效。 Expired：已过期。 Invalid：已失效。 如果软件许可证是Perpetual类型的，不存在过期状态。 maximumLocalCapacity Long 当前时间允许的最大本地卷容量，单位TiB。如果不限容量，不返回此项。 records Array of record 软件许可证购买记录的集合，详见“表1 响应参数record说明”。 usages Array of usage 软件许可证的使用记录的集合，详见“表2 响应参数usage说明”。 表1 响应参数record说明 名称 类型 描述 purchaseTime Long 记录购买的时间，unix时间戳（UTC），精确到毫秒。 operationtype String 软件许可证的购买操作记录： New：首次购买。 Expand：扩容。 Renew：续订/续保。 localCapacity Long 本次购买对应的本地卷容量，单位TiB。如果不限容量，不返回此项。 subscribeEffectiveTime Long 对于订阅模式的软件许可证，本次购买操作对应的软件许可证生效时间，unix时间戳（UTC），精确到毫秒。 subscribeExpireTime Long 对于订阅模式的软件许可证，本次购买操作对应的软件许可证的过期时间，unix时间戳（UTC），精确到毫秒。 maintenanceEffectiveTime Long 对于永久许可模式的软件许可证，本次购买操作对应的维保生效时间，unix时间戳（UTC），精确到毫秒。 maintenanceExpireTime Long 对于永久许可模式的软件许可证，本次购买操作对应的维保的过期时间，unix时间戳（UTC），精确到毫秒。 substatus String 本次购买操作的当前生效状态： NotStart：未生效。 Effective：已生效。 Expired：已过期。 表2 响应参数usage说明 名称 类型 描述 maximumLocalCapacity Long 对应时间段内允许的最大本地卷容量，单位TiB。如果不限容量，不返回此项。 subscribeEffectiveTime Long 对于订阅模式的软件许可证，许可证对应的生效时间，unix时间戳（UTC），精确到毫秒。 subscribeExpireTime Long 对于订阅模式的软件许可证，许可证对应的过期时间，unix时间戳（UTC），精确到毫秒。 maintenanceEffectiveTime Long 对于永久许可模式的软件许可证，许可证对应的维保生效时间，unix时间戳（UTC），精确到毫秒。 maintenanceExpireTime Long 对于永久许可模式的软件许可证，许可证对应的维保过期时间，unix时间戳（UTC），精确到毫秒。 substatus String 对于订阅模式的软件许可证，表示对应时间段内许可证的状态；对于永久许可模式的软件许可证，表示对应时间段内许可证的维保状态： NotStart：未生效。 Effective：已生效。 Expired：已过期。

本文介绍如何针对弹性文件服务创建告警规则。 概述 通过使用云监控的告警功能，用户可以对弹性文件服务的核心监控指标设置告警规则，当监控指标触发用户设置的告警条件时，支持以邮箱、短信等方式通知用户，让用户在第一时间得知云服务发生异常，迅速处理故障，避免因资源问题造成业务损失。更多信息，请参考使用告警功能云监控服务用户指南。 操作步骤 方式一：通过云监控服务控制台创建告警规则 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 单击“管理与部署>云监控服务”，进入云监控控制台页面。 3. 单击“云服务监控”下拉菜单，选择"告警服务>告警规则"，进入告警规则控制台页面 4. 可通过以下三个入口，创建告警规则： 入口一：您可以选择在“云服务监控>弹性文件监控”页，在目标文件系统的“操作”栏下点击“创建告警规则”，选择需要告警服务的监控指标创建规则，包括监控阈值、通知频率、通知方式等。 入口二：在“云服务监控>弹性文件监控”页面，在目标文件系统的“操作”栏下点击“查看监控图表”，进入文件系统的监控详情页，目标监控项图表右上方，点击“+”创建此监控项的告警规则。 入口三：单击“云服务监控”下拉菜单，选择"告警服务>告警规则"，进入告警规则控制台页面，页面右上方点击“创建告警规则”，选择监控服务：弹性文件及文件系统名称、监控维度、实例、指标等参数，创建相应的告警规则。 5. 根据界面提示，配置告警规则的相关指标，配置参数如表所示： 参数 参数说明 选择类型 可选择从模板导入或自定义创建。 从模板导入：在下拉框中选择已有的模板，参考告警模板云监控服务用户指南。 自定义创建：需进行配置参数选择。 监控指标 详细内容参见监控指标。 策略 支持的聚合值：原始值、平均值、最大值、最小值支持的策略：≥，＞，≤，＜，＝值：填写设定的值数。 聚合周期 可以选择：1分钟、5分钟、20分钟、1小时、4小时、12小时和24小时，根据告警规则需求选择。 出现次数 选择达成策略值出现的次数。 发送通知 关闭，无需配置后续通知规则；开启，需配置下列相关参数，选择通知发送的模式。 选择告警联系组 在下拉框中选择告警联系组，如果没有，需添加告警联系人/组。 告警重复 可以选择不重复、1次、2次、3次。 触发场景 出现告警，恢复正常。 通知周期 选择可接收到通知的时间，根据需求勾选星期一、星期二、星期三、星期四、星期五、星期六、星期日。例如未勾选星期一，则星期一不会收到通知信息。 通知时段 选择通知的具体时间段，如6：30：007：30：00。 通知方式 邮件、短信。 告警回调 请填写具体URL。 规则名称 填写告警规则名称。 企业项目 选择告警规则所属企业项目。 描述 填写告警规则的信息描述，限制100字以内。 6. 设置好对应参数后，点击“确定”，等待告警规则创建完成。 7. 弹性文件服务告警规则设置完成后，当符合规则的告警产生时，系统会自动进行通知。

本文主要介绍云日志服务的日志接入概述。 云日志服务支持实时日志采集，通过采集器的方式方便您在各种数据源场景下采集日志，采集日志后，您可在云日志服务控制台实时查询、分析日志数据。 日志源接入 目前支持接入天翼云弹性云主机以及云容器引擎日志接入。 弹性云主机：支持采集云主机文本日志，将弹性云主机待采集日志的路径配置到日志单元中，采集器将按照配置的采集规则采集日志至云日志服务。接入详情请参考接入云主机文本日志。 云容器引擎：支持采集云容器引擎的标准输出日志与文件日志。接入详情请参考接入云容器引擎应用日志。 日志结构化解析 日志的结构化解析指日志数据将以 keyvalue 对的形式存储在云日志服务平台上。日志数据结构化后，您可以在云日志服务控制台根据指定的键值进行日志检索、分析与加工。目前采集器提供多种解析方式，详情如下： 解析方式 说明 单行全文 单行全文是指一条日志仅包含一行的内容，在采集的时候，将使用换行符来作为一条日志的结束符，即在日志文件中，以换行符分隔两条日志。日志数据本身不再进行日志结构化处理，也不会提取日志字段。每条日志都会存在一个默认的字段message，采集器会将日志内容存放在message中。详情请参考单行全文模式。 多行全文 多行全文日志是指一条完整的日志数据可能跨占多行，您需要指定首行正则以进行匹配，当某行日志匹配上预先设置的正则表达式，就认为是一条日志的开头，而下一个行首出现则作为该条日志的结束标识符。日志内容同样也会存放在message字段中。详情请参考多行全文模式。 单行正则 单行正则模式用于处理结构化的日志，针对包含一行内容的日志，您需要指定一个正则表达式，采集器按照正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考单行正则模式。 多行正则 多行正则模式用于处理结构化的日志，针对包含多行内容的日志，您需要指定一个行首正则表达式用于匹配日志的开头，并指定一个正则表达式用于提取多个值，采集器按照该正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考多行正则模式。 单行分隔符 单行分隔符模式支持通过配置的分隔符将一条日志分割成多个 keyvalue 键值，从而实现结构化处理，该模式仅适用于单行日志，每条完整的日志以换行符为结束标识符。详情请参考单行分隔符模式。 JSON 支持解析Object类型的JSON日志，提取JSON日志内容作为KeyValue对，即Object首层的键作为Key，Object首层的值作为Value。详情请参考JSON模式。

参数名称 参数说明 威胁告警 呈现最近7天内未处理威胁告警，可快速了解资产遭受的威胁告警类型和数量，呈现威胁告警的统计结果。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了入侵事件，建议您立即查看告警事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常事件，建议您立即查看告警事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常事件，建议您及时查看该告警事件的详情。 单击威胁告警模块，系统将列表实时呈现近7天内TOP5的威胁告警事件，可快速查看威胁告警详情，监控威胁告警状况。 列表呈现近7天TOP5的威胁告警事件的信息，包括威胁告警名称、告警等级、资产名称、告警发现时间。 若列表显示内容为空，表示近7天无威胁告警事件。 单击“查看更多”，可跳转到“检测结果”页面，查看更多的威胁告警信息，并可自定义过滤条件查询告警信息。 漏洞 展示您资产中TOP5漏洞类型，以及近24小时内还未修复的漏洞总数和不同漏洞风险等级对应的数量。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了漏洞事件，建议您立即查看漏洞事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常事件，建议您立即查看漏洞事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常事件，建议您及时查看该漏洞的详情。 单击漏洞模块中的“实时监控最新漏洞风险事件Top5”栏，系统将列表实时呈现近24小时内TOP5的漏洞事件，可快速查看漏洞详情。 列表呈现当日最新TOP5漏洞事件详情，包括漏洞名称、漏洞等级、资产名称、漏洞发现时间。 若列表显示内容为空，表示当日无漏洞事件。 单击“查看更多”，可跳转到“检查结果”页面，查看更多的漏洞信息，并可自定义过滤条件查询漏洞信息。 合规检查 展示您资产中近30天内存在的合规风险总数量和不同危险等级的合规检查风险对应的数量。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了不合规的配置，建议您立即查看合规异常事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常配置，建议您立即查看合规异常事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常配置，建议您及时查看该合规检查项目的详情。 单击合规检查异常模块，系统将列表实时呈现近30天内TOP5的合规检查异常事件，可快速查看合规检查详情。 列表呈现最近一次合规检查中TOP的合规异常事件详情，包括合规检查项目名称、等级、资产名称、发现时间。 若列表显示内容为空，表示近30天无合规异常事件。 单击“查看更多”，可跳转到“检查结果”页面，查看更多的合规异常信息，并可自定义过滤条件查询合规检查信息。

介绍Windows主机挂载的最佳实践。 实践背景 使用iSCSI协议的块设备也可以在windows操作系统下使用，下面将以win10为例连接天翼云媒体存储块设备，其他版本的操作系统类似。 操作步骤 1.打开控制面板>管理工具> iSCSI 发起程序。 2.修改iSCSI 发起程序中"配置"页下的发起程序名称为媒体存储控制台块设备创建时填写的CHAP iqn（本例以iqn.209901.com.client.cicdtestcy:230323为例）； 3.右键开始菜单，管理员模式下运行命令行程序，如下图。 并在命令行中输入如下命令(所有都需要)： iscsicli AddTarget iqn.201810.com.redhat.iscsigw:iscsiigw iqn.201810.com.redhat.iscsigw:iscsiigw 14.215.109.226 13260 说明 1. 以上示例中：iqn.201810.com.redhat.iscsigw:iscsiigw 是TargetName、TargetAlias，对应TargetIqn，14.215.109.226是网关地址，13260是数据端口。挂载时，您需要对应替换成需要挂载的块空间信息。 2. 你也可以可直接通过块空间详情复制对应的操作命令，具体界面如下图所示。如您通过控制台复制挂载命令进行操作，此步操作完成后，可直接跳转第5步查看新增的磁盘信息。 3. 更多块空间管理操作可参考： 结果如下： 并且在"属性"中的"门户组"页下可以看到关联的网络门户为14.215.109.226:13260。 4.连接到目标网关：点击【连接】按钮，然后点击【高级】，再勾选【启用CHAP登录】，并输入名称和目标机密，最后点击【确定】，就会进行连接，如下图所示。 这里具体的参数可参考：块空间管理，获取所需挂载块空间的CHAP用户与CHAP密钥。 5.实现连接后，可以在计算机管理>磁盘管理中找到新加入的网络盘，如下图，然后进行磁盘的初始化工作。初始化完成后，即可在资源管理器中看到新增的设备，可进行正常的文件系统操作。 6.断开连接：点击iSCSI发起程序目标下面的刷新，在已连接磁盘上右键点击"断开连接"，或者在命令行中输入命令：iscsicli SessionList ，找到连接ID；再输入：iscsicli LogoutTarget，完成断开操作。 7.删除连接，在命令行中输入：iscsicli RemoveTarget iqn.201810.com.redhat.iscsigw:iscsiigw ，完成删除操作。

本页介绍天翼云TeleDB数据库中数据脱敏。 脱敏是指在用户无感知的情况下，对非授权用户返回被脱敏的数据。其主要原理是通过某种运算法则，在真实数据返回给访问终端前，按照既定规则，将原始数据映射到另一种形式（可以支持多种变化），该映射规则对查询用户不可见，且转换后的形式不能做逆向操作（即转换为原始数据）。 说明 无感知是指用户使用的查询操作变化，也无需增加额外的运算操作。 非授权用户是指没有访问权限的用户，以访问表为例，用户具备该表的查询权限，但被限制对某些字段真实值的获得。 例如： 安全员通过脱敏配置接口，对表的某些敏感字段设置数据脱敏规则。这样原系统中的所有用户（包括管理员）再去查看表数据时，都得到的脱敏规则使能后的结果，且规则下发后立即生效，无需停机或者重启。 相应的，对于原本正常访问的数据库用户，定义为授权用户，安全员可以将这些数据库用户定义为某些对象的白名单用户，即给这些数据库用户添加白名单属性。这些白名单用户在登录系统完成鉴权后，就被系统识别为授权用户，访问表的方式也是没有变化的，而且获得的都是原始数据。 所以，从以上两个维度实现了更细粒度的数据访问控制，是对现有访问控制的增强，而且做到对现有业务系统无感知。 创建数据脱敏策略 1. 切换到godlike用户，创建 tbldatamaskxx表、tbldatamaskyy表、tbldatamaskzz表，并插入数据。 c regression godlike create table tbldatamaskxx( i int, im int, ii int2, iim int2, j bigint, jmbigint, x varchar, xm varchar, y text, ym text) distribute by shard(i); NOTICE: Replica identity is needed for shard table, please add to this table through "alter table" command. insert into tbldatamaskxx values(1024, 1024, 7788, 7788,42949672960,42949672960, '112233201804035566', '112233201804035566','abcdefghijk', 'abcdefghijk'); insert into tbldatamaskxx(i, x) values(1025, 'all is null'); insert into tbldatamaskxx(i, x, xm, ym) values(1026, 'all is null', 'this is a very very very looooooooong string, i guess here is over 32 bytes length, emmmmm', 'tbase!!~~~'); create table tbldatamaskyy( i int, im int, ii int2, iim int2, j bigint, jmbigint, x varchar, xm varchar, y text, ym text) distribute by shard(i);; 使用mlsadmin用户创建数据脱敏策略 案例1：api健壮性测试 NOTICE: Replica identity is needed for shard table, please add to this table through "alter table" command. insert into tbldatamaskyy values(1024, 1024, 7788, 7788, 42949672960,42949672960, '112233201804035566', '112233201804035566','abcdefghijk', 'abcdefghijk'); create table tbldatamaskzz ( i int , j text , z text ) distribute by shard(i);; NOTICE: Replica identity is needed for shard table, please add to this table through "alter table" command. insert into tbldatamaskzz values(1024,'x','y'); 2. 使用mlsadmin用户创建数据脱敏策略。 c regression mlsadmin select currentdatabase(); currentdatabase regression (1 row) select currentuser; currentuser mlsadmin (1 row)

本页介绍天翼云TeleDB数据库中全密态加密。 全密态加密是一种数据加密技术，‌旨在确保数据在整个生命周期（‌包括传输、‌运算和存储）‌中始终保持加密状态，‌从而保护数据隐私。‌这种加密技术不仅涉及到数据的存储加密，‌还包括数据在处理过程中的加密，‌确保即使在数据传输和计算过程中，‌攻击者也无法获取有效的数据信息。‌全密态加密技术的实现依赖于特定的密钥管理机制，‌包括客户端主密钥（‌CMK）‌和数据加密密钥（‌CEK）‌的使用，‌其中CMK用于加密CEK，‌而CEK则用于加密用户数据，‌从而形成一个完整的数据加密体系。 全密态加密方案 全密态加密的实现原理是用户发起查询任务指令，在客户端按照与数据相同的加密策略(加密算法，加密密钥等)完成加密。参数加密完成后整个查询任务被变更成⼀个加密的查询任务并发到数据库服务端。查询得到的结果仍然为密⽂，并最终返回客户端进⾏解密。其核心在用户自己持有数据加解密密钥且数据加解密过程仅在客⼾侧完成，数据以密⽂形态存在于数据库服务侧的整个生命周期过程中，并在数据库服务端完成查询运算。 开启全密态加密 您可参考如下操作开启全密态加密。 管控侧操作： 1. 以用户名和密码登录TeleDBDCP管理控制台。 2. 进入TeleDBDCP控制台管理页面，开通实例。您可参考《安装部署》中实例服务初始化及实例开通章节开通实例。 3. 在实例开通页面，填写基本信息页面，打开KMS开关，选择KMS机器。 说明 KMS开启后无法关闭，选择后无法更改。 数据库侧操作： 1. 在安装⽬录下新建 etc/localkms ⽬录⽤于存储CMK⽂件。 2. psql使⽤C开启全密态。 psql dxxx pxxx hxxx C 3. 创建主密钥CMK。 CREATE CLIENT MASTER KEY cmk1 WITH (KEYSTORE LOCALKMS , KEYPATH "kms1", ALGORITHM SM2); 4. 创建数据密钥CEK。 CREATE COLUMN ENCRYPTION KEY CEK1 WITH VALUES (CLIENTMASTERKEY cmk1,ALGORITHM SM4SM3); 5. 创建加密表，指定加密列。 CREATE TABLE creditcardinfo ( idnumber int,name text encrypted with (columnsencryptionkey cek1, encryptiontype DETERMINISTIC), creditcard varchar(19) encrypted with (columnsencryptionkey cek1,encryptiontype DETERMINISTIC)); 6. 执⾏SQL（仅⽀持SELECT、UPDATE、INSERT、DELETE）。 使用示例 创建CMK主秘钥 CREATE CLIENT MASTER KEY cmk12 WITH (KEYSTORE localkms, KEYPATH "localkms1" , ALGORITHM SM2);CREATE CLIENT MASTER KEY cmk2 WITH (KEYSTORE localkms, KEYPATH "localkms1" , ALGORITHM SM2); 创建CEK数据秘钥 CREATE COLUMN ENCRYPTION KEY cek1 WITH VALUES (CLIENTMASTERKEY cmk1, ALGORITHM SM4SM3);CREATE COLUMN ENCRYPTION KEY cek2 WITH VALUES (CLIENTMASTERKEY cmk2, ALGORITHM SM4SM3);DROP CLIENT MASTER KEY cmk1 CASCADE 创建加密表，col1未加密，col2使⽤cek1加密，col3和col4使⽤cek2加密 CREATE TABLE IF NOT EXISTS tbl1 (col1 INT,col2 INT ENCRYPTED WITH (COLUMNSENCRYPTIONKEY cek1, ENCRYPTIONTYPE DETERMINISTIC),col3 TEXT ENCRYPTED WITH (COLUMNSENCRYPTIONKEY cek2, ENCRYPTIONTYPE DETERMINISTIC),col4 VARCHAR(20) ENCRYPTED WITH (COLUMNSENCRYPTIONKEY cek2, ENCRYPTIONTYPE DETERMINISTIC));

本文将为您介绍天翼云短信服务的变量规范。 变量命名 短信模版需明确表述短信发送的实际内容，禁止发送一切有关黄赌毒、党政军、诈骗等违法内容。 短信模版可以包含变量，变量前后需加文字说明，以体现模版使用者的商业意图，不支持仅为变量或多个变量的组合，如： 你好：${content} 你好：${name}，${content} 变量表示实际发送短信时，用户希望自定义变化的内容，固定格式如：${name}、${content}等，中间字母应代表变量名字。 {}内变量命名规则：首字母必须为英文字母、只支持字母、数字和下划线组成，不能为纯数字等。 变量规范 短信模板可以包含变量，变量表示实际发送短信时，用户希望自定义变化的内容。变量前后需加文字说明，以体现模板使用者的商业意图，公众号、小程序、App、链接等产品内容需置于变量外。 类别 说明 :: 变量格式 ${name}、${content}等，中间字母应代表变量属性。 变量名称 变量限制为1~25个字符，首字母必须为英文字母，只支持字母、数字和下划线组成，不能为纯数字，同时不能为email、mobile、id、nick、site等。 说明：如果变量超过25字符，您需要升级为企业用户，然后提交工单申请解除变量限制，由专员对新提交的短信模板进行评估。变量个数不做限制，但是模板长度有限，您需要将模板总长度（含变量信息）控制在500字符内。 其他规范 通知模板可以添加链接但需固定内容：不支持设置变量链接，如www.${site}.cn 个人和企业用户如果选择模板类型 为短信通知 ，且模板内容 中设置了变量时，必须指定变量属性。变量属性的设置规范如下： 变量属性 变量名称 规范 ::: 电话号码 自定义，建议设置为phone等。 长度为5~11位。 支持国内标准手机号、固定电话号码。 其他号码 自定义，建议根据编号类型设置，例如code、order、ordersn、password等。 订单号等数字或编码，主要用于订单号、密码、随机密钥等数字组成的编号。 不支持手机号、QQ号、微信号、URL等联系方式。 变量限制为1~25个字符。 仅包含大小写字母、数字和字符组合。 时间 自定义，建议根据时间类型设置，例如time、date、day、year、month等。 变量限制为1~25个字符。 需要符合时间的表达方式，例如20210315、20210315、2021/03/15等。 说明：不支持下划线等特殊符号。 金额 自定义，建议设置为money等有意义的变量名称。 变量限制为1~25个字符。 仅支持传入能够正常表达金额的数字或中文，例如壹、贰、叁、肆等。 注意：变量中仅支持传入数字或中文，￥$等货币符号需要放在模板中。 其他（名称、账号、地址等） 自定义，建议根据变量类型设置一个有意义的变量名称。 变量限制为1~40个字符。（个人认证客户限制为125个字符） 可以设置为公司、产品、地址、姓名、内容、账号、会员名等。 不允许设置为QQ号、微信号（公众号）、手机号、网址、座机号等联系方式。如果有特殊需要，请把联系方式放入模板中。 注意：人民币、元、￥、$等货币符号需要放在模板中表达。 其他（如名称、账号、地址等） 长度限制：140位（个人认证客户限制为125位）。 安全规则：公司/产品/地址/姓名/内容/账号/会员名等；不允许出现QQ号/微信号（公众号）/手机号/网址/座机号等联系方式，如确有需要，请放入模板中表达。

二进制格式 如果想要在文件系统间按原样复制文件，则可以选择二进制格式。二进制格式传输文件到文件的速率、性能都最优，且不需要在作业第二步进行字段匹配。 文件传输的目录结构 CDM的文件传输，支持单文件，也支持一次传输目录下所有的文件。传输到目的端后，目录结构会保持原样。 增量迁移文件 使用CDM进行二进制传输文件时，目的端有一个参数“重复文件处理方式”，可以用作文件的增量迁移，具体请参见 文件增量迁移。 增量迁移文件的时候，选择“重复文件处理方式”为“跳过重复文件”，这样如果源端有新增的文件，或者是迁移过程中出现了失败，只需要再次运行任务，已经迁移过的文件就不会再次迁移。 写入到临时文件 二进制迁移文件时候，可以在目的端指定是否写入到临时文件。如果指定了该参数，在文件复制过程中，会将文件先写入到一个临时文件中，迁移成功后，再进行rename或move操作，在目的端恢复文件。 生成文件MD5值 对每个传输的文件都生成一个MD5值，并将该值记录在一个新文件中，新文件以“.md5”作为后缀，并且可以指定MD5值生成的目录。 文件格式的公共参数 源文件处理方式 CDM在文件复制成功后，可以对源端文件进行操作，包括：不处理、重命名源文件或者删除源文件。 启动作业标识文件 这个主要用于自动化场景中，CDM配置了定时任务，周期去读取源端文件，但此时源端的文件正在生成中，CDM此时读取会造成重复写入或者是读取失败。所以，可以在源端作业参数中指定启动作业标识文件为“ok.txt”，在源端生成文件成功后，再在文件目录下生成“ok.txt”，这样CDM就能读取到完整的文件。 另外，可以设置超时时间，在超时时间内，CDM会周期去查询标识文件是否存在，超时后标识文件还不存在的话，则作业任务失败。 启动作业标识文件本身不会被迁移。 作业成功标识文件 文件系统为目的端的时候，当任务成功时，在目的端的目录下，生成一个空的文件，标识文件名由用户来指定。一般和“启动作业标识文件”搭配使用。 这里需要注意的是，不要和传输的文件混淆，例如传输文件为finish.txt，但如果作业成功标识文件也设置为finish.txt，这样会造成这两个文件相互覆盖。 过滤器 使用CDM迁移文件的时候，可以使用过滤器来过滤文件。支持通过通配符或时间过滤器来过滤文件。 −选择通配符时，CDM只迁移满足过滤条件的目录或文件。 −选择时间过滤器时，只有文件的修改时间晚于输入的时间才会被传输。 例如：用户的“/table/”目录下存储了很多数据表的目录，并且按天进行了划分：DRIVINGBEHAVIOR20180101～DRIVINGBEHAVIOR20180630，保存了DRIVINGBEHAVIOR从1月到6月的所有数据。如果只想迁移DRIVINGBEHAVIOR的3月份的表数据。那么需要在作业第一步指定源目录为“/table”，过滤类型选择“通配符”，然后指定“路径过滤器”为“DRIVINGBEHAVIOR201803”。

操作步骤 1. 登录管理控制台。 2. 单击管理控制台右上角的，选择区域。 3. 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 5. 单击目标策略名称，进入目标策略的防护配置页面。 6. 在“网站反爬虫”配置框中，用户可根据自己的需要更改网站反爬虫的“状态”，单击“BOT设置”，进入网站反爬虫规则配置页面。 7. 选择“特征反爬虫”页签，根据您的业务场景，开启合适的防护功能。 特征反爬虫规则提供了两种防护动作： 拦截:发现攻击行为后立即阻断并记录。 注意 开启拦截后，可能会有以下影响： 拦截搜索引擎请求，可能影响网站的搜索引擎优化。 拦截脚本工具，可能会影响部分APP访问（部分APP的UserAgent未做修改，会匹配脚本工具类爬虫规则）。 仅记录：默认防护动作，发现攻击行为后只记录不阻断攻击。 默认开启“扫描器”防护检测，用户可根据业务需要，配置防护动作并开启其他需要防护的检测类型。 特征反爬虫检测项说明： 检测项 说明 功能说明 搜索引擎 搜索引擎执行页面内容爬取任务，如Googlebot、Baiduspider。 开启后，WAF将检测并阻断搜索引擎爬虫。 说明 如果不开启“搜索引擎”，WAF针对谷歌和百度爬虫不会拦截。 扫描器 执行漏洞扫描、病毒扫描等Web扫描任务，如OpenVAS、Nmap。 开启后，WAF将检测并阻断扫描器爬虫。 脚本工具 用于执行自动化任务、程序脚本等，如httpclient、okhttp、python程序等。 开启后，WAF将检测并阻断执行自动化任务、程序脚本等。 说明 如果您的应用程序中使用了httpclient、okhttp、python程序等脚本工具，建议您关闭“脚本工具”，否则，WAF会将使用了httpclient、okhttp、python程序等脚本工具当成恶意爬虫，拦截该应用程序。 其他爬虫 各类用途的爬虫程序，如站点监控、访问代理、网页分析等。 说明 “访问代理”是指当网站接入WAF后，为避免爬虫被WAF拦截，爬虫者使用大量IP代理实现爬虫的一种技术手段。 开启后，WAF将检测并阻断各类用途的爬虫程序。 8. 选择“JS脚本反爬虫”页签，用户可根据业务需求更改JS脚本反爬虫的“状态”。 默认关闭JS脚本反爬虫，单击，在弹出的“警告”提示框中，单击“确定”，开启JS脚本反爬虫。 说明 JS脚本反爬虫依赖浏览器的Cookie机制、JavaScript解析能力，如果客户端浏览器不支持Cookie，此功能无法使用。 如果您的业务接入了CDN服务，请谨慎使用JS脚本反爬虫。由于CDN缓存机制的影响，JS脚本反爬虫特性将无法达到预期效果，并且有可能造成页面访问异常。 9. 根据业务配置JS脚本反爬虫规则。 JS脚本反爬虫规则提供了“防护所有请求”和“防护指定请求”两种防护动作。 除了指定路径以外，防护其他所有路径：“防护模式”选择“防护所有请求”，单击“添加排除请求规则”，配置防护路径后，单击“确认”。 只防护指定路径时：“防护模式”选择“防护指定请求”，单击“添加请求规则”，配置防护路径后，单击“确认”。 JS脚本反爬虫防护规则参数说明： 参数 参数说明 示例 规则名称 自定义规则名称。 wafjs 路径 设置JS脚本反爬虫的URL链接中的路径（不包含域名）。 URL用来定义网页的地址。基本的URL格式如下： 协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如，URL为“ 说明 该路径不支持正则。 路径里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。 /admin 逻辑 在“逻辑”下拉列表中选择需要的逻辑关系。 包含 规则描述 规则备注信息。

本文主要介绍如何将本地日志迁移到云日志服务。 操作场景 应用程序通常首先直接将运行日志输出到本地的文件中。当运维人员需要查询日志时，登录服务器，通过操作系统的文件查看工具，比如more，vim，grep等查询需要关注的日志内容。这种场景下，由于日志分布在各个服务器上，命令行操作易出错、服务器权限等限制因素造成日志查找效率低下。 利用云日志服务，可以获得以下优势： 数据集中存储，无需登录多台服务器查询，这在微服务架构下尤为重要； 快速检索日志，告别繁琐的命令行操作，提升故障处理效率； 实时检测异常日志，设置告警，提升故障响应时效。 前置条件 开通云日志服务； 应用服务部署在天翼云的云主机上。 接入步骤 1. 登录云日志服务控制台。 2. 左侧点击【日志接入】菜单，进入日志接入页面。选择云主机文本日志。 3. 选择日志单元。 1. 点击“所属日志项目”后的目标框，在下拉列表中选择具体的日志项目，若没有所需的日志项目，点击“所属日志项目”目标框后的“新建”，在弹出的创建日志项目页面创建新的日志项目。 2. 点击“所属日志单元”后的目标框，在下拉列表中选择具体的日志单元，若没有所需的日志单元，点击“所属日志单元”目标框后的“新建”，在弹出的创建日志单元页面创建新的日志单元。 4. 选择主机组。在主机组列表中选择一个或多个需要采集日志的主机组。 若没有所需的主机组，单击列表上方“新建主机组”，输入主机组名称，在已开通云主机列表中，选择您需要采集日志的目标云主机，点击下一步，选中的云主机将打包作为主机组。 5. 安装采集器。 1. Step1：创建终端节点。安装采集器前，您需要在云主机所在的VPC中创建终端节点，以建立与日志服务的连接通道。 您需要在当前页面检查云主机所在的VPC是否已创建终端节点。若终端节点状态为“未创建”，请点击页面中的【创建终端节点】按钮，并根据页面指引进行开通。 若终端节点状态为“已创建”，您可跳过该步骤。 2. Step2：安装采集器。 1. 首先获取您的AK和SK。如何获取AK/SK？ 2. 复制页面中的命令，并使用获取的AK、SK手动替换命令中的 {inputyourak} 和 {inputyoursk}。填写值时不需要添加 {}。 3. 以root用户登录待安装采集器的云主机，执行上述命令。当显示“Installed lmtagent successfully”时表示安装成功。 3. Step3：检查采集器状态。 点击【检测】按钮，稍等片刻后查看采集器状态，确保所有目标云主机的采集器状态均为已连通。若多次重试后仍无法连通，请查看常见问题中的“云主机采集器无法连通”进行问题排查。 4. 点击下一步。 6. 配置采集规则。 对日志采集设置具体的采集规则。具体请参考[采集配置](

Kafka触发器可以订阅天翼云提供的分布式消息队列Kafka实例，并根据消息触发关联的函数，借此能力，使得函数可以消费指定Topic的消息，执行自定义处理逻辑。 注意事项 Kafka触发器订阅的Kafka实例必须和函数计算的函数实例在相同地域。 前提条件 已创建函数。 已开通分布式消息Kafka实例（KAFKA引擎版），详情请参考创建分布式消息服务Kafka实例。 已创建Topic，创建GroupID（可选）。 操作步骤 1. 登录函数计算控制台，点击目标函数，进入函数详情。 2. 选择详情下顶部的配置选项卡。 3. 在配置选项卡 中，选择左边的触发器选项卡。 4. 点击创建触发器 ，在弹出的右抽屉中选择Kafka触发器，配置参数解释如下。 配置项 操作 示例 触发器类型 选择Kafka触发器。 Kafka触发器 名称 填写自定义的触发器名称。 kafkatrigger 版本或别名 默认值为LATEST，支持选择任意函数版本或函数别名。 LATEST Kafka 实例 选择已创建的Kafka实例。 Topic 选择已创建的Kafka实例的Topic。 Group ID 快速创建：推荐方案。自动创建以 GROUPFCTrigger{triggername}{uuid} 命名的 Group ID。 使用已有：选择Kafka实例已有的GroupID，请您注意不要与已有的业务混用GroupID，否则会影响已有的消息收发。 消费任务并发数 消费者的并发数量，有效取值范围为[1,20]，建议不超过Topic的分区数。该值同时影响投递到函数的并发数。 消费位点 选择消息的消费位点，即触发器从kafka消息队列开始拉取消息的位置。 最早位点 ：从最早位点开始消费。 最新位点：从最新位点开始消费。 最新位点 调用方式 选择函数调用方式。 同步调用 ：指触发器消费topic消息后投递到函数是同步调用，会等待函数响应后继续下一个消息投递。但消费任务并发数大于1时，多个消费者有可能会并发消费消息并投递，并发的情况视Topic队列本身积存的消息而定。 异步调用：指触发器消费topic消息后投递到函数是异步调用，不会等待函数响应，可以快速消费事件。 同步调用 触发器启用状态 创建触发器后是否立即启用。默认选择开启，即创建触发器后立即启用触发器。 启用 推送配置 批量推送条数：批量推送的最大值，积压值达到后立刻推送，取值范围为 [1, 10000]。 批量推送间隔：批量推送的最大时间间隔，达到后立刻推送，单位秒，取值[0,15]。默认0无需等待，数据直接推送。 推送格式：函数收到的事件格式，详情请查阅触发器事件消息格式。 重试策略 消息推送函数失败后重试的策略，共两种： 指数退避：指数退避重试，重试5次，重试周期为2，4，8，16，32（秒）。 线性退避：线性退避重试，重试5次，重试周期为1，2，3，4，5（秒）。 容错策略 当重试次数耗尽后仍然失败时的处理方式： 允许容错：当异常发生并超过重试策略配置时直接丢弃。 禁止容错：当异常发生并超过重试策略配置时继续阻塞执行。 死信队列 当容错策略为：允许容错时，可以额外开启死信队列。当开启死信队列时且异常发生并超过重试策略配置时，消息会被投递到指定的消息队列里，当前只支持投递到kafka和rocketmq

本页介绍天翼云TeleDB数据库什么时候记录日志相关参数。 clientminmessages (enum) 控制被发送给客户端的消息级别。有效值是DEBUG5、 DEBUG4、DEBUG3、DEBUG2、 DEBUG1、LOG、NOTICE、 WARNING、ERROR、FATAL和PANIC。每个级别都包括其后的所有级别。级别越靠后，被发送的消息越少。默认值是NOTICE。注意LOG在这里有与logminmessages中不同的排名。 logminmessages (enum) 控制哪些消息级别被写入到服务器日志。有效值是DEBUG5、DEBUG4、 DEBUG3、DEBUG2、DEBUG1、 INFO、NOTICE、WARNING、 ERROR、LOG、FATAL和 PANIC。每个级别都包括以后的所有级别。级别越靠后，被发送的消息越少。默认值是WARNING。注意LOG在这里有与logminmessages中不同的排名。只有超级用户可以改变这个设置。 logminerrorstatement (enum) 控制哪些导致一个错误情况的SQL 语句被记录在服务器日志中。任何指定严重级别或更高级别的消息的当前 SQL 语句将被包括在日志项中。有效值是DEBUG5、 DEBUG4、DEBUG3、 DEBUG2、DEBUG1、 INFO、NOTICE、 WARNING、ERROR、 LOG、 FATAL和PANIC。默认值是ERROR，它表示导致错误、日志消息、致命错误或恐慌错误的语句将被记录在日志中。要有效地关闭记录失败语句，将这个参数设置为PANIC。只有超级用户可以改变这个设置。 logmindurationstatement (integer) 如果语句运行至少指定的毫秒数，将导致记录每一个这种完成的语句的持续时间。将这个参数设置为零将打印所有语句的执行时间。设置为1 （默认值）将停止记录语句持续时间。例如，如果你设置它为250ms，那么所有运行 250ms 或更久的 SQL 语句将被记录。启用这个参数可以有助于追踪应用中未优化的查询。只有超级用户可以改变这个设置。对于使用扩展查询协议的客户端，解析、绑定和执行步骤的持续时间将被独立记录。注意当把这个选项和logstatement一起使用时，已经被logstatement记录的语句文本不会在持续时间日志消息中重复。如果你没有使用syslog，我们推荐你使用loglineprefix记录 PID 或会话 ID，这样你可以使用进程 ID 或会话 ID 把语句消息链接到后来的持续时间消息。 表1解释了TeleDB所使用的消息严重级别。如果日志输出被发送到syslog或 Windows 的eventlog，严重级别会按照表中所示进行转换。 表61 表1 消息严重级别 严重性 用法 syslog eventlog DEBUG1..DEBUG5 为开发者提供连续的更详细的信息。 DEBUG INFORMATION INFO 提供用户隐式要求的信息，例如来自VACUUM VERBOSE的输出。 INFO INFORMATION NOTICE 提供可能对用户有用的信息，例如长标识符截断提示。 NOTICE INFORMATION WARNING 提供可能出现的问题的警告，例如在一个事务块外COMMIT。 NOTICE WARNING ERROR 报告一个导致当前命令中断的错误。 WARNING ERROR LOG 报告管理员可能感兴趣的信息，例如检查点活动。 INFO INFORMATION FATAL 报告一个导致当前会话中断的错误。 ERR ERROR PANIC 报告一个导致所有数据库会话中断的错误。 CRIT ERROR

shardmap 大商户使用定制的数据分布逻辑，即：Shardid Hash(merchantid) % shardmap + fcreatetime dayoffset from 19700101 通过在大商户group分布逻辑中加入日期偏移，来实现同一个用户的数据在group内部多个节点间均匀分布。从而有效的解决数据分布不均匀问题。 示例： 如大小商户数据的不同处理逻辑： 从以上示例可以看出，大商户的数据每天都有不同的shardid，不同的shardid也就意味着不同的数据库节点，从而可以达到数据在group内部的完美平衡。 冷热数据分级存储方案 冷热数据分级存储是指TeleDB支持根据数据的访问频率和业务重要性，将数据分为冷数据和热数据，并分别存储在不同的存储介质中。冷数据是指访问频率低，对当前项目价值较低，但需要长期保存的数据。这些数据一般存储在低成本、低性能的介质中。热数据是指经常被访问和修改，且需要快速访问的数据。由于这些数据为高性能和低延迟设计，需存储在高性能的存储介质中。针对冷热数据的存储介质的差异，TeleDB开发了冷热数据分离的功能，从而有效的降低业务的资源成本。 TeleDB冷热数据分离功能的整体逻辑框图如下： 对象存储OSS或是HDFS文件系统作为冷数据存储对象，通过XBlock搬迁数据至远端文件系统，通过XLake从数据库访问远端文件系统。 说明 Oss是指对象存储，在冷热分离方案中用于存放冷数据。 XBlock一种远端访问文件系统，可以屏蔽掉不同类型的底层文件系统，并将数据库数据搬迁至远端文件系统。 XLake一种数据库外部访问方案，可以让数据库直接访问外部的数据文件，并参与内部查询。 XBlock主要包括文件系统接口、访问连接管理、文件缓存、元数据管理和文件系统实现等。 文件系统接口：天翼云TeleDB数据库的冷热分离特性，需要能够将冷数据，转存到相应的冷数据存储中，并且能过对冷数据存储中的文件进行相应的打开、读取、写入等操作。 访问连接管理：冷热分离组件也需要考虑数据库的并发场景，需要能够支持多session同时对冷热分离模块进行访问读取。 文件缓存：多次对冷数据进行访问，则也需要在内存中缓存部分数据，提升后续的访问速率，且需要有缓存管理，能够根据一定规则进行缓存淘汰。 元数据管理：冷热分离特性对于冷数据的转储，请求读取等操作，都会记录一条元数据到相应的元数据库中，并且需要能够对元数据进行管理。 文件系统实现：冷热分离特性需要实例能够对冷数据存储中的文件有相应的操作能力，包括不限于ls、state等命令。 XLake主要包括文件访问的配置、不同数据格式的支持和不同文件系统的访问支持。 文件访问的配置：需要Xlake能够以外部文件为基准，创建外表，并且对外表进行查询，以及查询计划的展示和优化。 不同数据格式的支持：需要Xlake能够支持不同的文件格式，包括text、csv以及Parquet文件格式。 不同文件系统的访问支持：需要Xlake能够支持不同的文件系统，包括oss、hdfs、hive等，从而能够通过对接不同的文件系统，实现冷热分离的功能。

本文介绍访问DDoS高防（边缘云版）域名资源出现404状态码的排查过程。 问题现象 在使用天翼云DDoS高防（边缘云版）时，出现404报错页面。 问题原因 404状态码是HTTP协议中的一种状态码，表示客户端所请求的资源未找到。当服务器无法找到与请求的URL对应的资源时，会返回404状态码给客户端，Web浏览器中显示为“页面未找到”、“页面不存在”或类似的提示，具体如下图示： 导致该错误的原因可能有如下几种： 场景一：网站配置未正确配置：如果网站配置未正确配置，指向了错误的资源路径，源站会无法找到正确的内容，从而导致404页面的出现。 场景二：服务器资源不存在：如果网站管理员删除或重命名源服务器上的某个文件或目录，服务器对应旧URI路径的资源不存在，那么边缘节点将无法得到对应的文件，从而返回404状态码。 场景三：拼写错误或客户端URL生成规则错误：如果在URL中存在拼写错误、文件路径错误或客户端URL生成规则有误等问题，将无法在服务器找到对应的资源，从而返回404状态码。 解决方案 如果您遇到访问出现404页面的情况，根据不同场景，可以尝试以下解决方法： 场景一：检查网站配置是否正确：控制台网站配置的回源域名/回源IP、回源HOST、回源端口、回源协议等配置是否正确。 1、回源域名/回源IP错误：检查回源域名/回源IP配置是否为目标源服务器的域名或IP、拼写是否正确。 2、回源HOST配置错误：回源HOST用于指定边缘节点回源时，请求URI具体的资源站点位置。如果回源HOST配置错误，源站无法根据HOST定位到URI资源的站点位置，源站也会响应404。回源域名/回源IP、回源HOST的区分如下： 回源域名/回源IP：指您的源站服务器，即存储和提供网站内容的主要服务器，该地址决定了回源时建连的具体IP地址。 回源HOST：指边缘节点回源请求头中携带的HOST字段值，决定了回源请求访问到源IP地址上的具体站点位置。若未指定回源HOST，默认取值当前加速域名。 3、回源端口/回源协议配置错误：该问题通常存在于源站端口非默认80/443端口，或http、https仅单一协议中存在资源。例如： 源站HTTP服务端口为81，则需要修改回源配置，自定义【源站端口】为HTTP 81，同时需要修改回源协议为HTTP。 源站HTTPS服务端口为82，目前HTTPS服务端口不支持自助自定义，请提交工单联系天翼云客服进行配置。 源站仅单一协议存在资源（HTTP默认80端口，HTTPS默认443端口），则根据实际源站情况，修改回源协议为HTTP或HTTPS。

通过本文您可以详细了解全站加速的预付费资源包的种类、价格、计费规则及使用须知。 资源包计费（预付费） 天翼云全站加速资源包计费项分为三个部分：流量包+动态请求包+静态https请求包。 资源包有效期：一年。 中国内地价格 基本描述：包含全站加速流量包、静态https请求包、动态请求包。 计费项 阶梯/规格 标准资费（元/个） 流量包 100GB 17 流量包 500GB 85 流量包 1TB 170 流量包 5TB 850 流量包 10TB 1700 流量包 50TB 7650 流量包 200TB 25500 流量包 1PB 127500 静态https请求包 1000万次 40 静态https请求包 1亿次 360 静态https请求包 10亿次 3200 静态https请求包 100亿次 28000 静态https请求包 1000亿次 200000 动态请求包 100万次 13 动态请求包 1000万次 128 动态请求包 1亿次 1275 动态请求包 10亿次 12500 动态请求包 100亿次 120000 全球（不含中国内地）价格 基本描述：包含全站加速流量包、静态https请求包、动态请求包。 计费项 计费区域 阶梯/规格 标准资费（元/个） 流量包 北美区域 100GB 36 流量包 北美区域 500GB 150 流量包 北美区域 1TB 280 流量包 北美区域 5TB 1320 流量包 北美区域 10TB 2630 流量包 北美区域 50TB 12780 流量包 欧洲区域 100GB 36 流量包 欧洲区域 500GB 150 流量包 欧洲区域 1TB 280 流量包 欧洲区域 5TB 1320 流量包 欧洲区域 10TB 2630 流量包 欧洲区域 50TB 12780 流量包 亚太1区 100GB 45 流量包 亚太1区 500GB 190 流量包 亚太1区 1TB 365 流量包 亚太1区 5TB 1680 流量包 亚太1区 10TB 3350 流量包 亚太1区 50TB 16380 流量包 亚太2区 100GB 48 流量包 亚太2区 500GB 215 流量包 亚太2区 1TB 400 流量包 亚太2区 5TB 1850 流量包 亚太2区 10TB 3680 流量包 亚太2区 50TB 17980 流量包 亚太3区 100GB 50 流量包 亚太3区 500GB 225 流量包 亚太3区 1TB 430 流量包 亚太3区 5TB 1990 流量包 亚太3区 10TB 3960 流量包 亚太3区 50TB 19400 流量包 中东/非洲 100GB 99 流量包 中东/非洲 500GB 415 流量包 中东/非洲 1TB 800 流量包 中东/非洲 5TB 3760 流量包 中东/非洲 10TB 7500 流量包 中东/非洲 50TB 36400 流量包 南美 100GB 90 流量包 南美 500GB 390 流量包 南美 1TB 750 流量包 南美 5TB 3540 流量包 南美 10TB 7050 流量包 南美 50TB 34270 静态https请求包 全球（不含中国内地） 1000万次 40 静态https请求包 全球（不含中国内地） 1亿次 360 静态https请求包 全球（不含中国内地） 10亿次 3200 静态https请求包 全球（不含中国内地） 100亿次 28000 静态https请求包 全球（不含中国内地） 1000亿次 200000 动态请求包 全球（不含中国内地） 100万次 14 动态请求包 全球（不含中国内地） 1000万次 130 动态请求包 全球（不含中国内地） 1亿次 1200 动态请求包 全球（不含中国内地） 10亿次 11000 动态请求包 全球（不含中国内地） 100亿次 100000

自定义监控展示用户所有自主定义上报的监控指标。用户可以针对自己关心的业务指标进行监控，将采集的监控数据通过使用简单的API请求上报至云监控服务进行处理和展示。 查看自定义监控 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击页面左侧的“自定义监控”。 4. 在“自定义监控”页面，可以查看当前用户通过API请求上报至云监控服务的相关数据，包括自定义上报的服务，指标等。 说明 当用户通过API添加监控数据后，云监控服务界面才会显示自定义监控数据。 5. 选择待查看的云服务资源所在行的“查看监控指标”，进入“监控指标”页面。 在这个页面，用户可以选择页面左上方的时间范围按钮，查看该云服务资源“近1小时”、“近3小时”、“近12小时”、“近1天”和“近7天”的监控原始数据曲线图，同时监控指标视图右上角会动态显示对应时段内监控指标的最大值与最小值。 添加自定义告警规则 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 在“告警 > 告警规则”界面，单击“创建告警规则”。 4. 在“创建告警规则”界面，根据界面提示配置参数。 1. 选择监控对象，根据界面提示配置参数，如表11所示。 表11 配置参数 参数 参数说明 名称 系统会随机产生一个名称，用户也可以进行修改。 取值样例：alarmb6al 描述 告警规则描述（此参数非必填项）。 归属企业项目 告警规则所属的企业项目。只有拥有该企业项目权限的用户才可以查看和管理该告警规则。 资源类型 配置告警规则监控的云服务资源名称。 取值样例：弹性云主机 维度 用于指定告警规则对应指标的维度名称 取值样例：云主机 监控范围 告警规则适用的资源范围，可选择资源分组或指定资源。 说明 ： 当选择资源分组时，该分组下任何资源满足告警策略时，都会触发告警通知。 资源分组不支持通过模板创建告警规则。 分组 当监控范围为资源分组时需配置此参数。  b. 选择监控指标，选择“自定义创建”，参照表12完成参数配置。 表12 配置参数 参数 参数说明 取值样例 选择类型 选择自定义创建。 自定义创建 指标名称 例如： CPU使用率 该指标用于统计测量对象的CPU使用率，以百分比为单位。 内存使用率 该指标用于统计测量对象的内存使用率，以百分比为单位。 CPU使用率 告警策略 触发告警的告警策略。 例如：监控周期为5分钟，连续三个周期平均值≥80% 告警级别 根据告警的严重程度不同等级，可选择紧急、重要、次要、提示。 重要 发送通知 配置是否发送邮件、短信通知用户，可以选择“是” （推荐选择）或者“否”。选择“否”，就不会发送邮件、短信通知用户，选择“是”，就需要选择已有的主题或者新建主题。 是 选择主题 消息发布或客户端订阅通知的特定事件类型，若此处没有需要的主题，需先创建主题并订阅该主题。 生效时间 该告警规则仅在生效时间内发送通知消息。 如生效时间为08:0020:00，则该告警规则仅在08:0020:00发送通知消息。 触发条件 可以选择“出现告警”、“恢复正常”两种状态，作为触发告警通知的条件。

字段 说明 取值范围 允许的特殊字符 秒 必选 059 , / 分钟 必选 059 , / 时 必选 023 , / 日(Day of month) 必选 131 , ? / 月 必选 112或者JanDec（英文不区分大小写）如表329所示。 , / 星期几(Day of week) 可选 06或者SunSat（0表示星期天，英文不区分大小写），如表330所示。 , ? /

添加自定义资源配置组 1. 是否需要根据时间自动调整资源配置？ 是，执行步骤2。 否，执行步骤4。 2. 单击增加新的资源配置组。在“调度时间”，单击显示时间策略配置页面。 根据业务需要修改以下参数，并单击“确定”保存： “重复”：当勾选“重复”时表示此资源配置组按调度周期重复运行。不勾选时请设置一个资源配置组应用的日期与时间。 “重复策略”：支持“每天”、“每周”和“每月”。仅在“重复”模式中生效。 “介于”：表示资源配置组应用的开始与结束时间。请设置一个唯一的时间区间，如果与已有配置组的时间区间有重叠，则无法保存。仅在“重复”模式中生效。 说明 “default”配置组会在所有未定义的时间段内生效。 新增加的配置组属于动态生效的配置项集合，在配置组应用的时间区间内可直接生效。 新增加的配置组可以被删除。最多增加4个动态生效的配置组。 选择任一种“重复策略”，如果结束时间小于开始时间，默认标识为第二天的时间。例如“22:00”到“6:00”表示调度时间为当天22点到第二天6点。 若多个配置组的“重复策略”类型不相同，则时间区间可以重叠，且生效的策略优先级从低到高的顺序为“每天”、“每周”、“每月”。例如，有“每月”与“每天”的调度配置组，时间区间分别为4:00到7:00，6:00到8:00，此时以每月的配置组为准。 若多个配置组的“重复策略”类型相同，当日期不相同时，则时间区间可以重叠。例如，有两个“每周”的调度配置组，可以分别指定时间区间为周一和周三的4:00到7:00。 3. 在“服务池配置”修改各服务资源配置，并单击页面空白处完成编辑，然后执行步骤4。 用户可单击“服务池配置”右侧的重新修改参数。如果根据业务需要，在“详细配置”单击，手动更新由系统生成的参数值。

本文帮助您了解对象存储创建桶的操作步骤。 操作场景 创建桶是对象存储中的一项重要操作，它提供了一个容器来组织和管理对象。您需要先创建一个桶，然后才能在桶中存储数据。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表页面点击“创建Bucket”。 5. 填写基础配置（包括地域、Bucket名称、企业项目、读写权限），然后点击“下一步”，继续填写高级配置（包括数据冗余策略、存储类型、服务端加密、合规保留等）。创建桶的全部配置参数说明可见下表： 参数 说明 地域 桶所在的地域。存储桶一旦创建成功，地域不能修改。 Bucket名称 桶的名称，注意以下命名规则： 不能与已有的任何桶名称重复。 创建成功后不支持修改。 长度范围为3到63个字符，支持小写字母、数字、中划线（）。 禁止以中划线（）开头或结尾。 存储类型 桶的存储类型，可选标准存储/低频存储/归档存储。部分资源池暂不支持低频或归档存储。 读写权限 桶的读写权限控制。 私有：仅桶的拥有者和授权用户可进行读写操作。 公共读：公共读权限下所有用户均拥有该桶的读权限，这有可能造成数据的外泄 以及费用激增，不推荐此配置。 数据冗余策略 单AZ存储：选择单AZ，数据会存储在一个可用区。单AZ存储支持标准存储、低频存储、归档存储三种存储类型。 多AZ存储：选择多AZ存储，数据会存储在同一地域的多个可用区中，可用性更高。多AZ采用相对较高的计费标准。多AZ存储仅支持标准或低频存储类型。 请根据业务情况提前规划数据冗余存储策略，桶一旦创建成功，数据冗余存储策略后续无法更改。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务将统一的云资源按项目管理。 为桶选择所属的企业项目，从而将桶与企业项目进行关联。在选择“企业项目”的下拉列表中，将显示用户在企业项目服务中已创建的项目。 系统还内置了一个缺省的企业项目“default”，如果用户没有为桶创建企业项目，将使用缺省项目“default”。您也可参考创建企业项目完成企业项目创建。 服务端加密 开启服务端加密功能，上传的对象将以加密的方式存储在ZOS中。 下载对象时，ZOS会自动将加密文件解密后再提供给用户。 选择加密方式。取值范围如下： 关闭 : 不启用服务器端加密。 ZOS完全托管 : 使用ZOS托管的密钥进行加密。 KMS : 使用KMS默认托管的CMK或指定CMK ID进行加解密操作 。 2种加密方式的对比见服务端加密。 合规保留 开启合规保留后，允许用户以“不可删除、不可篡改”方式保存和使用数据。 是否编辑桶标签 为指定存储桶设置标签，用来标记不同用途的存储桶并进行分类管理。 说明 桶名称全局唯一，在任何集群，都不能与已有的任何桶名称重复，包括其他用户创建的桶。 7. 点击下一步，确认配置后点击“确认”，完成Bucket创建。

在CTS旧版事件列表查看审计事件 1. 登录控制台，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 2. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。 3. 用户每次登录云审计控制台时，控制台默认显示新版事件列表，单击页面右上方的“返回旧版”按钮，切换至旧版事件列表页面。 4. 在页面右上方，可以通过筛选时间范围，查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 5. 事件列表支持通过筛选来查询对应的操作事件，如图所示。 6. 参数名称 说明 事件类型 事件类型分为“管理事件”和“数据事件”。 管理类事件，即用户对云服务资源新建、修改、删除等操作事件。 数据类事件，即OBS服务上报的OBS桶中的数据的操作事件，例如上传数据、下载数据等。 云服务 在下拉选项中，选择触发操作事件的云服务名称。 资源类型 在下拉选项中，选择操作事件涉及的资源类型。 各个云服务的资源类型请参见《云审计服务用户指南》的“支持审计的服务及操作列表”章节。 筛选类型 筛选类型分为“资源ID”、“事件名称”和“资源名称”。 资源ID：操作事件涉及的云资源ID。 当该资源类型无资源ID，或资源创建失败时，该字段为空。 事件名称：操作事件的名称。 各个云服务支持审计的操作事件的名称请参见《云审计服务用户指南》的“支持审计的服务及操作列表”章节。 资源名称：操作事件涉及的云资源名称。 当事件所涉及的云资源无资源名称，或对应的API接口操作不涉及资源名称参数时，该字段为空。 操作用户 触发事件的操作用户。 下拉选项中选择一个或多个操作用户。 查看事件中的tracetype的值为“SystemAction”时，表示本次操作由服务内部触发，该条事件对应的操作用户可能为空。 事件级别 可选项包含“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 Normal代表操作成功。 Warning代表操作失败。 Incident代表比操作失败更严重的情况，如引起其他故障等。 7. 选择完查询条件后，单击“查询”。 8. 在事件列表页面，您还可以导出操作记录文件和刷新列表。 1. 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 2. 单击按钮，可以获取到事件操作记录的最新信息。 9. 在事件的“是否篡改”列中，您可以查看该事件是否被篡改： 1. 上报的审计日志没有被篡改，显示“否”； 2. 上报的审计日志被篡改，显示“是”。 10. 在需要查看的事件左侧，单击展开该记录的详细信息。 11. 在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。 12. （可选）在旧版事件列表页面，单击右上方的“体验新版”按钮，可切换至新版事件列表页面。

操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 操作事件 字段 创建数据密钥 generateDataKey 创建数据密钥（无明文） generateDataKeyWithoutPlaintext 导出数据密钥 exportDataKey 创建并导出数据密钥 generateAndExportDataKey 数据加密 encrypt 数据解密 decrypt 禁用主密钥 disableKey 启用主密钥 enableKey 创建主密钥 createKey 计划删除密钥 scheduleKeyDeletion 取消计划删除密钥 cancelKeyDeletion 密钥删除保护 deleteProtect 取消密钥删除保护 cancelDeleteProtect 转加密 reEncrypt 创建默认密钥 createDefaultKey 非对称签名 asymmetricSign 非对称验签 asymmetricVerify 非对称加密 asymmetricEncrypt 非对称解密 asymmetricDecrypt 获取公钥 getPublicKey 获取密钥列表 listAliasKeys 获取密钥详情 describeKey 更新密钥描述 updateKeyDescription 获取对称密钥详情 listSymmetricKeys 查询数据密钥详情 getDataKey 创建非对称密钥版本 createKeyVersion 查询密钥版本列表 listKeyVersions 获取密钥版本详情 describeKeyVersion 更新密钥轮转策略 updateRotationPolicy 创建密钥别名 createAlias 更新密钥别名 updateAlias 删除密钥别名 deleteAlias 获取别名列表 listAlias 获取密钥别名 listAliasByUuid 计算hmac hmaccompute 计算SM3摘要 messageDigest 获得导入密钥材料 getParametersForImport 导入密钥 importKeyMaterial 删除导入密钥材料 deleteKeyMaterial 证书公钥加密 certificatePublicKeyEncrypt 证书私钥解密 certificatePrivateKeyDecrypt 证书私钥签名 certificatePrivateKeySign 证书公钥验签 certificatePublicKeyVerify 获取随机数 getRandom Ukey证书公钥验签 certificatePublicKeyVerifyForUsbKey 创建证书csr createCertificate 更新证书状态 updateCertificateStatus 删除证书 deleteCertificate 获取证书详情 describeCertificate 获取证书链详情 describeCertificateChain 查询证书 getCertificate 导入证书 importCertificate 导入PKCS12证书 importCertificateByPKCS12 导出证书私钥 exportCertificatePrivatkey 查询证书列表 listCertificate 导入Ukey证书 importCertificateForUK 查询Ukey证书列表 listCertificateForUk 获取Ukey证书详情 describeCertificateForUk 查询Ukey证书信息 getCertificateForUk 更新Ukey证书状态 updateCertificateStatusForUk 删除Ukey证书 deleteCertificateForUk 获取vpc列表 listVpc 获取子网列表 listSubnet 创建应用接入点 createApplicationAccessPoint 查询接入点的接口权限列表 listAllUri 获取接入点的接口权限详情 listPointUriPolicy 接入点的接口权限变更 changePointUriPolicy 删除应用接入点 deleteApplicationAccessPoint 查询应用接入点列表 listApplicationAccessPoint 接入点的资源权限变更 changePointResourcePolicy 查询接入点的资源权限列表 listPointResourcePolicy 获取接入点的资源权限详情 describeResourcePolicy 关闭接入点权限控制 closePolicyCheck 检查接入点是否开启权限控制 policyCheckIsOpen 添加终端节点白名单 addEndpointWhitelist 查询终端节点白名单列表 showEndpointWhitelist 云产品关联检测 detectAssociation 创建租户ak createUserAk 启用租户ak enableUserAk 禁用租户ak disableUserAk 删除租户ak deleteUserAk 查询租户ak列表 listUserAk 查询资源信息 resourceInfo

数据卷（Volume）使用方式 常见的容器存储数据卷使用方式如下： 静态存储卷：静态存储卷一般是指由管理员创建的PV。所有的数据卷（Volume）都支持创建静态存储卷。静态存储卷先由集群管理员分析集群中存储需求，并预先分配一些存储介质（例如云盘、NAS盘等），同时创建对应的PV对象。创建好的PV对象等待PVC来消费。如果负载中定义了PVC需求，Kubernetes会通过相关规则实现PVC和匹配的PV进行绑定，这样就实现了应用对存储服务的访问能力。 动态存储卷：动态存储卷一般是指通过存储插件自动创建的PV。动态卷一般由集群管理员配置好后端的存储池，并创建相应的模板（StorageClass），当有PVC需要消费PV的时候，根据PVC定义的需求，并参考StorageClass的存储细节，由存储插件动态创建一个PV。StorageClass的定义如下： StorageClass：当您声明一个PVC时，如果在PVC中添加了StorageClassName字段，意味着当PVC在集群中找不到匹配的PV时，会根据StorageClassName的定义触发相应的Provisioner插件创建合适的PV供绑定，即创建动态数据卷。动态数据卷由Provisioner插件创建，并通过StorageClassName与PVC进行关联。StorageClass可译为存储类，表示为一个创建PV存储卷的模板。在PVC触发自动创建PV的过程中，即使用StorageClass对象中的内容进行创建。其内容如下： apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name:aliclouddisktopology parameters: type:cloudssd provisioner:diskplugin.csi.ctyun.com reclaimPolicy:Delete allowVolumeExpansion:true volumeBindingMode:WaitForFirstConsumer 参数 描述 reclaimPolicy 用来指定创建PV的persistentVolumeReclaimPolicy字段值，支持Delete和Retain。 l Delete表示动态创建的PV，在销毁的时候也会自动销毁。 l Retain表示动态创建的PV，不会自动销毁，而是由管理员处理。 allowVolumeExpansion 定义由此存储类创建的PV是否运行动态扩容，默认为false。是否能动态扩容是由底层存储插件来实现的，这里只是一个开关。 volumeBindingMode 表示动态创建PV的时间，支持Immediate和WaitForFirstConsumer，分别表示立即创建和延迟创建。 延迟绑定：针对某类存储（例如天翼云云盘）在挂载属性上有所限制，只能挂载相同可用区的数据卷和节点，不在同一个可用区不可以挂载。这种类型的存储卷通常遇到如下问题： 1、创建了A可用区的数据卷，但是A可用区的节点资源已经耗光，导致Pod启动无法完成挂载。 2、集群管理员在规划PVC、PV的时候不能确定在哪些可用区创建多个PV来备用。 3、StorageClass中的volumeBindingMode字段正是用来解决此问题，如果将volumeBindingMode配置为WaitForFirstConsumer值，则表示存储插件在收到PVC Pending的时候不会立即进行数据卷创建，而是等待这个PVC被Pod消费的时候才执行创建流程。 动态存储卷的优势： 1、动态存储卷让Kubernetes实现了PV的自动化生命周期管理，PV的创建、删除都通过Provisioner完成。 2、自动化创建PV对象，减少了配置复杂度和系统管理员的工作量。 3、动态卷可以实现PVC对存储的需求容量和Provisioner出来的PV容量一致，实现存储容量规划最优。 4、挂在SubPath卷：Kubernetes提供了volumeMounts.subPath属性配置，可用于指定所引用的卷内的子路径，而不是其根路径。

本页介绍天翼云TeleDB数据库空间管理相关操作。 操作场景 您可按照百分比或分片形式对数据节点上的数据进行迁移。数据迁移需要实例集群内部至少有两个数据节点组。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树上，单击数据空间管理 ，进入数据空间管理页面。 2. 数据迁移 1. 选择数据迁移 页签，单击创建任务 ，出现创建迁移任务对话框。 2. 在创建迁移任务对话框，输入任务名称 、源节点 、目标节点 和迁移类型。 任务名称：根据自己的需求填写，可自定义。 源节点：根据实际情况选择。 目标节点：根据自己的实际情况选择。 迁移类型：分为shard迁移 和百分比迁移 。 Shard迁移：按照分片迁移，需要选择分片，单次可迁移的分片最大为1000。选择分片迁移需移动分片至已选shard。 百分比迁移：按照源节点上的数据百分比进行迁移，需要输入1100的整数。 3. 单击确定完成任务迁移。 3. 空间清理 说明 当数据被删除或更新时，TeleDB将其标记为无效，但并不立即回收相关的存储空间。需要定期执行空间清理操作，以检查并释放被标记为无效的数据所占用的空间。这样可以确保数据库在长时间运行后不会因为无效数据的积累而占用过多的磁盘空间。 1. 选择空间清理 页签，单击创建任务，出现创建清理任务 对话框。 2. 选择源节点 、清理开始时间 和清理结束时间 ，单击确定。 4. 空间回收 说明 经过空间清理任务后的实例并没有立即释放空间，用户可以通过空间回收任务对实例进行重建表和索引，自动释放被空间清理回收的空间。 1. 选择空间回收 页签，单击创建任务 ，出现创建回收任务 对话框。 2. 选择回收节点、设置回收开始时间和回收结束时间，单击确定完成空间回收。 5. 数据重平衡 说明 用户可以通过数据重平衡，依据磁盘使用率，把节点组原有的数据平均分布到节点组内各个节点上。该功能会自动生成迁移任务以及空间清理任务，用户可以在任务详情或者在对应功能页面查看任务具体执行情况。 1. 选择重平衡任务页签，单击创建任务，出现创建数据重平衡任务对话框。 2. 输入任务名称，选择节点组，单击确定，完成数据重平衡。 6. 表空间管理 说明 用户通过对表空间进行管理，以组织数据存储，在物理设备上合理分配数据。 1. 创建表空间 1. 选择表空间管理 页签，单击创建表空间，出现创建表空间对话框。 2. 在创建空间表对话框，填写表空间名称 ，选择归属账号 ，填写挂载目录 ，并检测目录有效性 ，单击确定完成表空间的创建。 说明 表空间名字请参照以下格式： 1.不能以pg开头。 2.只支持大小写字母、数字和下划线。 3.只能以字母开头。 2. 修改表空间 单击编辑按钮，在弹出的编辑表空间可修改表空间或查看表空间。 3. 删除表空间 单击删除 按钮，在出现的警告提示框，单击确定即可删除表空间。

本页介绍天翼云TeleDB数据库的数据空间管理相关操作。 操作场景 您可按照百分比或分片形式对数据节点上的数据进行迁移。数据迁移需要实例集群内部至少有两个数据节点组。 操作步骤 1. 切换至TeleDB控制台 ，在左侧导航树上，单击数据空间管理 ，进入数据空间管理页面。 2. 数据迁移 1. 选择数据迁移 页签，单击创建任务 ，出现创建迁移任务对话框。 2. 在创建迁移任务对话框，输入任务名称 、源节点 、目标节点 和迁移类型。 任务名称：根据自己的需求填写，可自定义。 源节点：根据实际情况选择。 目标节点：根据自己的实际情况选择。 迁移类型：分为shard迁移和百分比迁移。 Shard迁移：按照分片迁移，需要选择分片，单次可迁移的分片最大为1000。选择分片迁移需移动分片至已选shard。 百分比迁移：按照源节点上的数据百分比进行迁移，需要输入1100的整数。 3. 单击确定完成任务迁移。 3. 空间清理 说明 当数据被删除或更新时，TeleDB将其标记为无效，但并不立即回收相关的存储空间。需要定期执行空间清理操作，以检查并释放被标记为无效的数据所占用的空间。这样可以确保数据库在长时间运行后不会因为无效数据的积累而占用过多的磁盘空间。 1. 选择空间清理 页签，单击创建任务，出现创建清理任务 对话框。 2. 选择源节点 、清理开始时间 和清理结束时间 ，单击确定。 4. 空间回收 说明 经过空间清理任务后的实例并没有立即释放空间，用户可以通过空间回收任务对实例进行重建表和索引，自动释放被空间清理回收的空间。 1. 选择空间回收 页签，单击创建任务 ，出现创建回收任务 对话框。 2. 选择回收节点、设置回收开始时间和回收结束时间，单击确定完成空间回收。 5. 数据重平衡 说明 用户可以通过数据重平衡，依据磁盘使用率，把节点组原有的数据平均分布到节点组内各个节点上。该功能会自动生成迁移任务以及空间清理任务，用户可以在任务详情或者在对应功能页面查看任务具体执行情况。 1. 选择重平衡任务页签，单击创建任务，出现创建数据重平衡任务对话框。 输入任务名称，选择节点组，单击确定，完成数据重平衡。 6. 表空间管理 说明 用户通过对表空间进行管理，以组织数据存储，在物理设备上合理分配数据。 1. 创建表空间 1. 选择表空间管理 页签，单击创建表空间 ，出现创建表空间对话框。 2. 在创建空间表对话框，填写表空间名称 ，选择归属账号 ，填写挂载目录 ，并检测目录有效性 ，单击确定完成表空间的创建。 说明 表空间名字请参照以下格式： 1.不能以pg开头。 2.只支持大小写字母、数字和下划线。 3.只能以字母开头。 2. 修改表空间 单击编辑按钮，在弹出的编辑表空间可修改表空间或查看表空间。 3. 删除表空间 单击删除 按钮，在出现的警告提示框，单击确定即可删除表空间。

漏洞扫描及验证 通过网站安全监测系统平台，在无需用户采购任何Web应用扫描产品前提下，即可获得网站的漏洞态势，以及每个漏洞的详情介绍和修补建议；统计分析看板直观获取不同等级漏洞类型、易受攻击目标等数据，漏洞趋势分析摸底网站漏洞发展情况，同时兼具实时大屏态势感知功能方便跟踪漏洞发生大盘状态，方便及时作出处置。 服务支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险。 如采购漏洞专家验证服务，还会提供针对中高危漏洞提供专家验证，确保漏洞真实存在，并协助客户完成漏洞复验，更好的完成漏洞生命周期管理。 安全事件监测 使用静态分析和动态解析相结合的主动挂马监测技术，通过解析引擎模拟环境监控记录URL页面运行行为，生成日志；通过后端引擎根据预定义规则高效、准确识别网站页面中的恶意代码，以及黄赌毒私服等词汇的恶意链接，使网站管理员能够及时清除网页木马及黑链，避免给访问者带来安全威胁，影响网站信誉。 使用前后页面对比的方式，辅以恶意文本核查分析，实时监测目标网站页面的篡改情况，支持监测静态文本内容的变化以及DOM树结构的变化；发现页面被篡改情况，第一时间通知用户，避免篡改事件影响扩散，给自身带来声誉和法律风险。 实时监测目标站点的页面内容，如出现个人敏感信息（包含手机号、银行卡号、身份证号码）泄露问题，第一时间告警通知客户。 内容安全监测 网站文本、图片内容的合规性监测，监测类别包含涉黄、涉毒、涉政、赌博、暴恐、邪教；支持监测的图像格式包括但不限于JPEG、GIF、PNG、BMP、TIFF、JPEG2000；支持监测的文本格式包括但不限于Big5、UTF8、GBK、GB2312，内容类型至少支持txt、html、wmlc、wml、xhtml、mht。 基于大量数据训练的深度学习模型，对待监测页面进行文本、图片元素的敏感内容监测，输出相关敏感信息和类别。 发现页面出现敏感信息后，第一时间通知用户。用户可参考天翼云提供的安全建议及时删除敏感内容，避免事件影响扩散，给自身带来声誉和法律风险。用户也可以自定义所关心的敏感关键词。 可用性监测 多线路远程实时监测目标站点在多种网络协议下的响应速度、可访问性等反映网站性能状况的内容，一旦发现网站无法访问，或访问出现延迟。根据事先定义好的网站通断级别，第一时间通知用户。风险日志详细展示存在的访问性问题，问题时长以及各监测点的诊断信息。用户也可以视情况选择合适的网站响应时间告警阈值。 DNS监测 从各省运营商网络线路远程实时监测各地主流ISP的DNS缓存服务器和用户DNS授权服务器的解析过程及结果。一旦发现用户域名无法解析或解析不正确，第一时间通知用户。避免出现由于DNS解析失败产生的网站无法访问，以及域名劫持等安全风险。 业务管理能力 提供态势感知大屏服务，满足客户大屏监控场景需求，以一站式全局视角，实时跟踪目标系统的风险情况，及时定位问题。 提供在线统计分析看板服务，态势感知帮助用户进行业务指标跟踪，能够多维度展示监测数据情况，数据统计分析能力赋能用户分析聚焦漏洞问题。 提供网站安全评估报告和漏洞扫描报告生成和下载服务，聚合任务监测的风险结果，让您整体掌握网站的风险状况及安全趋势。

本小节介绍漏洞扫描服务流程。 网络要求 非电信客户的应用系统网络与扫描器网络可达，即可提供扫描服务（内网需提供用于部署扫描器的内网主机，内外网需保证路由可达）。 服务流程 业务受理单 客户应如实填写以下信息（必须填满）： 1. 被检测的IP主机信息。 2. 被检测主机的操作系统类型及版本。 3. 业务接口人联系方式，客户需指定一个具有对漏洞扫描方案及漏洞扫描过程中出现的问题有决定权的业务接口联系人。 4. 客户提供扫描资产时需对所提交资产所有权负责，保证资产归提交人合法所有。 5. 客户需签订漏洞扫描授权书。 审核阶段 对委托单位提交的受理单信息进行核查，核查内容： 1. 判断资产所在环境是公网还是内网。 若是公网需要保证被扫描资产路由可达。 若是内网环境，需确认委托单位提供可访问到内网主机的跳板机。 2. 受理单审核通过后进入漏洞扫描实施阶段。 业务受理单无问题进入下一阶段；如有问题返回客服，由客服继续与客户沟通，直到业务受理单填满无问题。 说明 确认过程需1个工作日。 实施阶段 1.漏洞扫描实施方案 业务受理单确认无误后进入实施阶段，漏洞扫描操作人员接到客服的业务受理单后确认受理单信息：IP、版本、授权等并就扫描计划和受理单内容与客户确认。扫描任务实施前，分析客户主机情况，制定扫描方案，明确漏洞扫描任务具体实施时间、目标范围、合理的扫描方式以及最佳扫描策略，并就扫描方案与客户进行沟通确认，由于在漏洞扫描期间客户方未关闭安全防护设备所造成的漏扫结果不准确，乙方不承担责任。 注意 确认过程0.5个工作日。 2.实施漏洞扫描 扫描实施前若客户网络环境公网不能直达，需部署扫描器，也可配合客户自己部署，策略模板由我们提供，部署时间预计1个工作日。 关于扫描进度，目前扫描器扫描一个C段地址大约需要6个小时左右时间，扫描期间实时就扫描过程中发生的问题与客户沟通，最后扫描的结果将存放到扫描结果专用堡垒机上。 漏洞扫描的风险规避，由于漏洞扫描属于黑盒测试，因此可能对被测试目标造成不可预知的风险；此外对于性能比较敏感的测试目标，如一些实时性要求比较高的系统，由于扫描可能引起网络流量的增加，因此可能会引起被扫描目标的服务质量降低。因此需进行如下的风险规避措施： 扫描时段选择：一般会选择在夜间或安排在业务量不大的时段进行漏洞扫描。 扫描策略选择：根据系统的具体情况配置合理的扫描策略。 3.编写扫描报告 漏洞扫描完成后输出漏洞扫描服务报告，报告编写时间2个工作日。 4.报告审核修订 由专人对输出的漏洞扫描服务报告进行审核修订，审核修订时间1个工作日。 5.报告提交 报告提交方式采取邮件回复的方式提交：客户通过邮件向天翼云漏洞扫描平台发起报告接收申请，漏洞扫描服务报告以回复邮件方式给客户。 6.质保服务 在客户收到漏洞扫描服务报告后，乙方参与漏扫项目的专家为客户持续提供3天时间用于咨询报告中的不明事项。 7.结束服务 在完成以上各阶段工作后，漏洞扫描项目经理告知客服此次漏扫服务结束。

本节介绍了Web应用防火墙上报云监控服务的监控指标的命名空间，监控指标列表和维度定义。 用户可以通过云监控服务提供管理控制台或API接口来检索Web应用防火墙产生的监控指标和告警信息。 命名空间 SYS.WAF 说明 命名空间是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间，不同命名空间中的数据彼此隔离。使得它们既可以共享同一个集群的服务，也能够互不干扰。 防护域名监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） requests 请求量 该指标用于统计测量对象近5分钟内WAF返回的请求量的总数。 单位：次 采集方式：统计防护域名请求量的总数 ≥0 次 值类型：Float 防护域名 5分钟 wafhttp2xx WAF返回码（2XX） 该指标用于统计测量对象近5分钟内WAF返回的2XX状态码的数量。 单位：次 采集方式：统计WAF引擎返回的2XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 wafhttp3xx WAF返回码（3XX） 该指标用于统计测量对象近5分钟内WAF返回的3XX状态码的数量。 单位：次 采集方式：统计WAF引擎返回的3XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 wafhttp4xx WAF返回码（4XX） 该指标用于统计测量对象近5分钟内WAF返回的4XX状态码的数量。 单位：次 采集方式：统计WAF引擎返回的4XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 wafhttp5xx WAF返回码（5XX） 该指标用于统计测量对象近5分钟内WAF返回的5XX状态码的数量。 单位：次 采集方式：统计WAF引擎返回的5XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 waffusedcounts WAF熔断量 该指标用于统计测量对象近5分钟内被WAF熔断保护的请求数量。 单位：次 采集方式：统计防护域名被熔断保护的请求数量 ≥0 次 值类型：Float 防护域名 5分钟 inboundtraffic 入网总流量 该指标用于统计测量对象近5分钟内总入带宽的大小。 单位：Mbit 采集方式：统计近5分钟内总入带宽的大小 ≥0 Mbit 值类型：Float 防护域名 5分钟 outboundtraffic 出网总流量 该指标用于统计测量对象近5分钟内总出带宽的大小。 单位：Mbit 采集方式：统计近5分钟内总出带宽的大小 ≥0 Mbit 值类型：Float 防护域名 5分钟 wafprocesstime0 WAF处理时延区间[010ms) 该指标用于统计测量对象近5分钟内WAF处理时延在区间[010ms)内的总数量。 单位：次 采集方式：统计近5分钟内WAF处理时延在区间[010ms)内的总数量 ≥0 次 值类型：Float 防护域名 5分钟 wafprocesstime10 WAF处理时延区间[1020ms) 该指标用于统计测量对象近5分钟内WAF处理时延在区间[1020ms)内的总数量。 单位：次 采集方式：统计近5分钟内WAF处理时延在区间[1020ms)内的总数量 ≥0 次 值类型：Float 防护域名 5分钟 wafprocesstime20 WAF处理时延区间[2050ms) 该指标用于统计测量对象近5分钟内WAF处理时延在区间[2050ms)内的总数量。 单位：次 采集方式：统计近5分钟内WAF处理时延在区间[2050ms)内的总数量 ≥0 次 值类型：Float 防护域名 5分钟 wafprocesstime50 WAF处理时延区间[50100ms) 该指标用于统计测量对象近5分钟内WAF处理时延在区间[50100ms)内的总数量。 单位：次 采集方式：统计近5分钟内WAF处理时延在区间[50100ms)内的总数量 ≥0 次 值类型：Float 防护域名 5分钟 wafprocesstime100 WAF处理时延区间[1001000ms) 该指标用于统计测量对象近5分钟内WAF处理时延在区间[1001000ms)内的总数量。 单位：次 采集方式：统计近5分钟内WAF处理时延在区间[1001000ms)内的总数量 ≥0 次 值类型：Float 防护域名 5分钟 wafprocesstime1000 WAF处理时延区间[1000+ms) 该指标用于统计测量对象近5分钟内WAF处理时延在区间[1000+ms)内的总数量。 单位：次 采集方式：统计近5分钟内WAF处理时延在区间[1000+ms)内的总数量 ≥0 次 值类型：Float 防护域名 5分钟 qpspeak QPS峰值 该指标用于统计近5分钟内防护域名的QPS峰值。 单位：次 采集方式：统计近5分钟内防护域名的QPS峰值 ≥0 次 值类型：Float 防护域名 5分钟 qpsmean QPS均值 该指标用于统计近5分钟内防护域名的QPS均值。 单位：次 采集方式：统计近5分钟内防护域名的QPS均值 ≥0 次 值类型：Float 防护域名 5分钟 wafhttp0 无返回的WAF状态码 该指标用于统计测量对象近5分钟内WAF无返回的状态响应码的数量。 单位：次 采集方式：统计近5分钟内WAF无返回的状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 upstreamcode2xx 业务返回码（2XX） 该指标用于统计测量对象近5分钟内业务返回的2XX系列状态响应码的数量。 单位：次 采集方式：统计近5分钟内业务返回的2XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 upstreamcode3xx 业务返回码（3XX） 该指标用于统计测量对象近5分钟内业务返回的3XX系列状态响应码的数量。 单位：次 采集方式：统计近5分钟内业务返回的3XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 upstreamcode4xx 业务返回码（4XX） 该指标用于统计测量对象近5分钟内业务返回的4XX系列状态响应码的数量。 单位：次 采集方式：统计近5分钟内业务返回的4XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 upstreamcode5xx 业务返回码（5XX） 该指标用于统计近5分钟内业务返回的5XX系列状态响应码的数量。 单位：次 采集方式：统计近5分钟内业务返回的5XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 upstreamcode0 无返回的业务状态码 该指标用于统计测量对象近5分钟内业务无返回的状态响应码的数量。 单位：次 采集方式：统计近5分钟内业务无返回的状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 inboundtrafficpeak 入网流量的峰值 该指标用于统计近5分钟内防护域名入网流量的峰值。 单位：Mbit/s 采集方式：统计近5分钟内防护域名入网流量的峰值 ≥0 Mbit/s 值类型：Float 防护域名 5分钟 inboundtrafficmean 入网流量的均值 该指标用于统计近5分钟内防护域名入网流量的均值。 单位：Mbit/s 采集方式：统计近5分钟内防护域名入网流量的均值 ≥0 Mbit/s 值类型：Float 防护域名 5分钟 outboundtrafficpeak 出网流量的峰值 该指标用于统计近5分钟内防护域名出网流量的峰值。 单位：Mbit/s 采集方式：统计近5分钟内防护域名出网流量的峰值 ≥0 Mbit/s 值类型：Float 防护域名 5分钟 outboundtrafficmean 出网流量的均值 该指标用于统计近5分钟内防护域名出网流量的均值。 单位：Mbit/s 采集方式：统计近5分钟内防护域名出网流量的均值 ≥0 Mbit/s 值类型：Float 防护域名 5分钟 attacks 攻击总次数 该指标用于统计近5分钟内防护域名攻击请求量的总数。 单位：次 采集方式：统计近5分钟内防护域名攻击请求量的总数 ≥0 次 值类型：Float 防护域名 5分钟 crawlers 爬虫攻击次数 该指标用于统计近5分钟内防护域名爬虫攻击请求量的总数。 单位：次 采集方式：统计近5分钟内防护域名爬虫攻击请求量的总数 ≥0 次 值类型：Float 防护域名 5分钟 baseprotectioncounts web基础防护次数 该指标用于统计近5分钟内由Web基础防护规则防护的攻击数量。 单位：次 采集方式：统计近5分钟内由Web基础防护规则防护的攻击数量 ≥0 次 值类型：Float 防护域名 5分钟 preciseprotectioncounts 精准防护次数 该指标用于统计近5分钟内由精准防护规则防护的攻击数量。 单位：次 采集方式：统计近5分钟内由精准防护规则防护的攻击数量 ≥0 次 值类型：Float 防护域名 5分钟 ccprotectioncounts cc防护次数 该指标用于统计近5分钟内由CC防护规则防护的攻击数量。 单位：次 采集方式：统计近5分钟内由CC防护规则防护的攻击数量。 ≥0 次 值类型：Float 防护域名 5分钟

本章介绍如何进行目的端的配置。 操作场景 迁移前，您需要设置目的端服务器。该目的端用来接收源端的数据，同时您也可以使用该目的端进行迁移测试和启动目的端。 前提条件 只有“迁移阶段”为“已就绪”时才可设置目的端。 操作步骤 1. 登录主机迁移服务管理控制台。 2. 在左侧导航树中，单击“迁移服务器”，进入迁移服务器列表页面。 3. 在迁移服务器列表页面找到待迁移的服务器，在“目的端”列，单击“设置目的端”，进入迁移配置页面。或单击“操作”列的“更多 > 设置目的端”，进入迁移配置页面。如果在迁移服务器列表中没有看到源端服务器记录，请检查是否登录的是目的端天翼云帐号。 4. 在“迁移配置”页面的基本配置页签，根据下表参数说明，设置相关参数。 参数 子参数 说明 迁移参数模版 选择某个迁移参数模版后，页面根据模版的值自动设置网络类型、网络限流值、迁移方式、是否持续同步、是否调整分区、区域、项目;系统会为每个用户自动创建一个默认迁移参数模版，您也可以提前手动创建迁移参数模版，参见创建迁移参数模板。 网络类型 公网 若使用公网迁移，要求目的端服务器配置有“弹性IP”。 “网络类型”默认设置为公网。 私网 私网包括专线、VPN、对等连接、同VPC子网，如选择私网则需要提前创建，迁移时会使用目的端私有IP。 IP版本 IPv4 使用IPv4进行数据迁移。 IPv6 双栈网络下，可以选择使用IPv6进行主机迁移。 网络限流 根据要迁移的源端带宽大小及业务要求，设置限制带宽大小。 设置为0时，代表不限流。 Linux限流功能是基于TC(Traffic Control)模块控制，如果源端服务器没有TC模块，则无法支持限流。 部分Linux系统，暂不支持限流。（例如：CentOS 8.x以及基于其构建的其它发行版本均没有TC模块。） CPU限制 仅支持Linux迁移。 内存限制 磁盘吞吐限制 迁移方式 Linux文件级 Linux文件级迁移是指全量复制和持续同步最小粒度为文件，这种方式同步效率低，但兼容性好。 Windows块级 Windows块级迁移是指全量复制和持续同步的最小粒度为磁盘逻辑单位"块"。Windows当前仅支持块级迁移，这种迁移方式迁移和同步效率高。 是否持续同步 否 全量复制完成后，系统会自动启动目的端，无需用户进行操作。 若要同步新增数据，请单击操作列的“同步”，将增量数据同步至目的端服务器。 是 全量复制完成后，会进入持续同步阶段，该阶段系统会定时自动同步源端增量数据到目的端，此时目的端并未启动，无法操作。如需退出该阶段，单击“启动目的端”即可。 是否调整分区 否 选择否，目的端磁盘分区与源端保持一致。 是 选择是，用来调整目的端磁盘分区。 迁移后主机状态 关机 选择关机，迁移完成后目的端服务器自动关机。 开机 选择开机，迁移完成后目的端服务器保持开机状态。 是否检测网络质量 否 不进行网络质量评估。 是 首次全量迁移时，会生成一个“迁移网络质量评估”的子任务，该子任务通过检测丢包率、抖动、网络时延、带宽以及内存占用率和CPU占用率，给出网络质量评估结果。 是否启用多进程 否 默认使用1个进程进行迁移、同步。 是 设置迁移和同步最大进程个数，SMSAgent根据设置的进程个数，启用多个进程执行迁移任务。仅适用Linux文件迁移。 迁移特殊配置项 Linux文件级配置不同步、不迁移等特殊配置信息。 Windows块级迁移，专线场景下，可配置目的端中转IP。 调整磁盘分区 单击右侧出现的“调整磁盘分区”，弹出“磁盘分区调整”窗口，如下图所示，用户根据实际业务场景，完成磁盘分区的设置。 图 Windows磁盘分区调整 图 Linux磁盘分区调整 说明 磁盘分区调整可以修改是否迁移以及调整分区大小。 Linux支持LVM调整，可以选择物理卷和逻辑卷是否迁移以及调整大小。 注意 Windows系统分区和启动分区是否迁移不可选，默认必须进行迁移。 Windows调整分区大小时只能增大当前分区大小。 Linux Btrfs文件系统暂时不支持磁盘分区调整。 Linux系统分区，swap分区是否迁移不可选，默认为“是”，必须进行迁移。 LVM迁移卷组，可通过卷组配置页，左上方的按钮组，选择全部迁移或暂不迁移。 LVM中的逻辑卷如果是否迁移都选择“否”，则卷组不迁移，对应的物理卷是否迁移也会全部自动切换成“否”。 Linux块级迁移，磁盘分区只可以调大。 Linux文件级迁移，磁盘分区可以调大，也可以调小，调小时需保证调小后的分区大小大于已使用空间+1GB。如果调整前分区大小小于已使用空间+1GB，则无法将磁盘分区大小调小。 如果调整分区大小超过当前磁盘大小时，请先单击“磁盘调整”，调大磁盘大小后再进行分区调整。 如果调整分区大小后，小于当前磁盘大小，如有必要，可单击“磁盘调整”，调小磁盘大小。 单击“下一步 磁盘调整”，确认磁盘调整无误后，单击“确定”，完成磁盘分区的调整。 注意 确定后，是否调整磁盘分区无法重新设置为“否”。如果想要恢复原始磁盘分区设置，请在操作栏下，下拉“更多”，单击“删除”，然后在源端重启Agent，之后重新设置目的端配置，是否调整磁盘分区选择“否”。 5. 单击右下角的“下一步：目的端配置”，进入目的端配置页签。 6. 在目的端配置页签，设置相关参数。 参数 子参数 说明 区域 下拉菜单中选择目的端服务器所在区域。 您可以根据业务要求，选择具体的区域。 项目 下拉菜单中选择目的端所在区域的项目。 选择区域后，才能选择项目 服务器选择 已有服务器 在已有的服务器列表中，根据“推荐目的端，操作系统”勾选目的端服务器。 创建新服务器 根据需求，您可以配置虚拟私有云、子网、安全组等参数，详细说明参见创建新服务器。 已有服务器 目的端服务器需要满足如下条件，否则请单击“前往ECS购买”，根据“推荐目的端，操作系统”购买满足如下条件的弹性云主机。当前已支持将源端服务器迁移到“包年/包月”和“按需计费”这两种计费模式的弹性云主机，您可根据需求选择对应计费模式的弹性云主机。 Windows系统的目的端服务器（即弹性云主机）“规格”中的“内存”大小要不小于2GB。 目的端服务器的磁盘个数不小于源端服务器磁盘个数，且目的端服务器每块磁盘的大小要不小于对应的源端服务器“推荐规格”大小。 目的端服务器的操作系统类型需要和源端的OS类型保持一致。否则，迁移完成后服务器OS系统类型与镜像类型不一致，造成名字冲突及其他问题。 确保源端服务器可以访问目的端服务器，即要有可用的EIP，或者配置VPN、专线。 确保目的端服务器所在VPC安全组配置准确。需配置目的端服务器所在VPC安全组。如果是Windows系统，开放TCP的8899端口、8900端口和22端口；如果是Linux系统，块级迁移开放8900端口和22端口，文件级迁移开放22端口。 以上端口，建议只对源端服务器开放。 防火墙开放端口与操作系统开放端口保持一致。 创建新服务器 选择“自动推荐”时，虚拟私有云、子网与安全组默认为自动创建，也可以根据需求手动选择。 高级配置中服务器名称、可用区、规格、系统盘、数据盘、弹性公网IP默认自动推荐和选择，也可以根据需求手动选择。 说明 数据盘支持的磁盘模式包括：VBD类型（默认）、SCSI类型。关于磁盘模式的详细介绍请参见 数据盘支持创建“共享盘”，关于共享磁盘的详细介绍请参见 选择已有模板时，虚拟私有云、子网、安全组、可用区、磁盘类型根据模板确定，也可以手动调整。 注意 虚拟私有云选择自动创建时，SMS会帮助用户创建一个VPC： 若源端IP是192.168.X.X，则推荐创建的VPC网段是192.168.0.0/16，同时创建一个子网，网段也是192.168.0.0/16。 若源端IP是172.16.X.X，则推荐创建的VPC网段是172.16.0.0/12，同时创建一个子网，网段也是172.16.0.0/12。 若源端IP是10. X .X.X，则推荐创建的VPC网段是10.0.0.0/8，同时创建一个子网，网段也是10.0.0.0/8。 安全组选择自动创建时，则SMS服务会自动创建一个安全组，并根据SMS的需要开放端口，Windows开放8899端口、8900端口和22端口；如果是Linux系统，块级迁移开放8900端口和22端口，文件级迁移只开放22端口。 7.目的端参数配置完成后，单击右下角“下一步：确认配置”，进入确认配置页签。 8.（可选）单击“保存为虚拟机配置模板”，弹出“创建虚拟机配置模板”窗口，输入模板名称，单击“确定”，可将配置信息保存为模板。 说明 在目的端配置时，只有服务器选择“创建新服务器”时，才能单击“保存为虚拟机配置模板”。 图 创建虚拟机配置模板窗口 9. 确认信息无误后，单击“保存配置”按钮，弹出“是否保存配置”窗口。仔细阅读“迁移条件须知和风险提示”后，单击“是”。如果您想立即开始迁移，可单击“保存配置并开始迁移”按钮，弹出“是否保存配置并开始迁移”窗口。仔细阅读“迁移条件须知和风险提示”后，单击“是”。 说明 当迁移服务器列表的迁移阶段列显示为，迁移实时状态为已就绪，说明目的端已配置完成。