名称 描述 ContentLength 响应体的长度。 ContentType 响应内容的MIME类型。 Date OOS返回响应的日期和时间。 ETag 文件的哈希值。ETag只反映了文件的内容，而不是其元数据。此响应头可以用作数据完整性检查，以验证数据是否与客户端发送的数据相同。 Server 服务端名称，默认值是CTYUN。 xamzrequestid 用于唯一标示请求的ID。 Connection 客户端与OOS服务器之间的连接状态。 如果请求时Connection值为keepalive，请求结束后继续保持连接，不返回此响应头。 如果请求时Connection值为close，请求结束后关闭连接，返回此响应头Connection: close。

KMS提供两类SDK，分别为服务SDK和客户端加密SDK，您可以根据业务需求选择合适的SDK。 服务SDK 服务SDK对应KMS服务实例的API，当前支持Java语言，详细内容请参见服务SDK。 客户端加密SDK 客户端加密SDK是一个在应用侧集成的密码算法库，通过与密钥管理服务结合使用，提供数据加解密、文件加解密等功能，帮助在应用本地完成大型文件数据的加解密。详细内容请参见客户端加密模块概述。

灵活的数据抽取 用户可基于自身需要，可灵活配置数据抽取的增量条件，数据脱敏系统可支持的增量条件包括但不限于：基于时间戳、基于主键或唯一键、基于分区或分片。 水印溯源 支持多种数据水印格式，包括并不限于伪行水印、伪列水印、脱敏水印、内容修改水印、零宽水印： 伪行 伪列水印：通过添加配置比例的数据行或数据列来插入水印信息，当数据泄漏后，通过提取伪行 伪列水印信息来进行泄漏追溯。 脱敏水印：支持基于数据本身特征脱敏水印方式，不影响业务逻辑的同时能有效的避免了水印数据被绕开。 内容修改水印算法：适用于不能影响数据的业务含义并具有较强的业务使用或分析需求的场景，同时隐蔽性要求高。 零宽水印算法：在常见办公软件（office等）或数据库管理软件（dbeaver等）打开时是不可见的，在可视宽度上是不可感知的，不易单独选中。更适用于以文件形式发放数据，在文件中的数据内容中添加水印的场景。

OWL功能应用 OWL Web 界面概述 OWL Web 界面分为两大块，即： 运行模式页面 环境变量配置页面 （1）运行模式页面 该页面是使用 OWL 的主要页面，左侧为模型选择与问题输入框。 OWL 支持使用不同的大模型，您可以按需选择不同的模型。 【注意】不同模型需要依赖不同的 API Key，需要先切换到【环境变量配置】页面设置后，方可使用。 页面右侧为运行详情页，包括运行结果、运行日志、聊天历史。 【补充说明】目前聊天历史由于开源代码问题，还不支持查看历史聊条内容。后续社区修复后，科研助手平台会第一时间进行更新升级。 （2）环境变量配置页面 该页面是使用 OWL 前，配置各类大模型 API Key 的页面 。如下图所示： OWL 支持配置的大模型 API Key，都有对应的说明以及获取方式。 科研助手新增 OWL 能力 如之前所述，科研助手平台在 OWL 开源的基础上，为方便您的使用，增加了如下能力： （1）支持使用本地 QWQ32B 大模型 科研助手平台上的 OWL，已默认内置了 QWQ32B 大模型，无需任何额外的配置，开箱即用。 进入 OWL Web 界面后，您可以直接在【问题】输入框中输入问题，然后点击运行。 比如输出问题：“帮我上豆瓣查一下最近新上映的电影” 点击运行后，请等待3分钟左右，OWL 会自动打开浏览器，访问豆瓣网页。 （2）支持 bing search toolkit 目前开源的 OWL 只支持 Google Search API 和 DuckDuckGo，由于网络访问问题，无法直接使用 OWL Search Toolkit 进行内容检索。 科研助手平台为了方便您的使用，内置了国内可以访问的必应搜索。您可以在【问题】输入框，写入偏搜索的内容。比如说“帮我查一下北京附近好玩的景点”，如下图所示： 从运行日志中可以看出，OWL 正在使用必应进行内容检索。请耐心等待几分钟，检索结果如下： 注意 此处输出结果具有随机性 （3）如何更好地查看日志 如果您在 OWL Web 界面上看日志不够方便，您还可以在桌面启动 Terminal 终端，使用如下命令来查看日志。 cd owl tail f logs/xxx.log （4）选择使用不同的 toolkit 如果您觉得目前科研助手内置的 OWL toolkit 配置内容不满足您的使用需求，您也可以直接修改对应文件的 toolkit 组合。 文件路径为：/home/batchcom/Desktop/owl/owl/runlocalqwqzh.py 截至目前，我们已借助 OWL 顺利完成多项任务。同样地，您亦可运用 OWL 开展其他各类任务 。 说明 当前，科研助手所提供的 OWL 应用存在一定限制，具体如下： 1. QWQ 32B 模型尚不具备图片识别及视频解析等功能，基于该模型的 OWL 目前仅能执行较为简单的任务。 2. OWL 虽可利用 playwright 自动模拟浏览器操作，但受模型限制，其对页面内容的识别效果欠佳，通常会导致任务执行失败。 3. bing search toolkit 在免费状态下，仅能针对 Web 站点开展检索，且检索内容未作优化，检索结果可能无法达到预期目标。 尽管如此，OWL 已展现出较好的性能。未来，科研助手将持续关注社区动态，对 OWL 应用进行迭代更新。

TeleDB管控数据传输服务由管理模块、执行模块、稽核模块、核心配置集群、核心配置库组成，本文为您详细介绍具体的模块。 TeleDB管控数据传输服务由管理模块、执行模块、稽核模块、核心配置集群、核心配置库组成，具备广泛的兼容性，支持从多种数据源（如Oracle、MySQL、PostgreSQL等）迁移数据至TeleDB。这一功能为各类客户提供了一种简便、顺畅的迁移方式，能够顺利完成数据的迁移与整合。 管理模块 ：接受外部用户对系统的请求，对操作请求进行预处理和分发，并兼具进行任务管理、任务配置、监控数据查看、日志查看、工作节点调度等功能。 执行模块 ：具体负责执行数据迁移，接收管理模块的任务请求，依序执行迁移评估、结构迁移、全量迁移、增量迁移的具体工作流程。 稽核模块 ：负责在全量迁移完成后，对存量数据的正确性进行数据比对。包含对象级稽核、行级稽核、内容级稽核三个级别。对象级稽核比对源端和目标端数据库对象的结构是否一致，行级稽核比对源端表和目标端对应表的数据行数是否一致，内容级稽核比对源端表和目标端对应表的数据内容是否一致。 核心配置集群 ：负责增量任务位点管理、实时监控数据存储、任务状态存储和工作节点高可用。 核心配置库 ：负责存储和管理用户的任务信息以及部分元数据信息。

本节主要介绍安装GPU指标与RAID指标采集插件（Linux） 操作场景 本章节指导用户安装指标采集插件，用于采集GPU类指标和RAID类指标。 说明 ECS支持GPU类指标，BMS暂不支持。 BMS支持RAID类指标，ECS暂不支持。 若Agent升级到1.0.5及以上版本，对应插件需使用最新的版本，否则会出现指标采集异常。 前提条件 已安装Agent并处于正常运行状态。 GPU类指标采集需弹性云主机支持GPU。 操作步骤 1. 使用root帐号，登录ECS。 说明 若要监控BMS的软RAID指标，请登录BMS。 以下以安装GPU插件为例，安装监控软RAID插件类似。 2. 执行以下命令，进入Agent安装路径。 cd /usr/local/telescope 3. 执行以下命令，创建plugins文件夹。 mkdir plugins 4. 执行以下命令，进入plugins文件夹。 cd plugins 5. 执行如下命令，下载采集插件脚本（以下以GPU插件为例）。 wget 说明 RAID插件地址路径： 以广州4资源池为例，RegionId为：cngdgz1 插件包地址为： GPU插件地址路径： 以广州4资源池为例，RegionId为：cngdgz1, 插件包地址为： 6. 执行如下命令，添加脚本执行权限。 chmod 755 gpucollector 7. 执行如下命令，新建conf.json文件并添加配置内容，配置插件路径和指标采集周期crontime（单位：秒）。 vi conf.json GPU指标插件配置 { "plugins": [ { "path": "/usr/local/telescope/plugins/gpucollector", "crontime": 60 } ] } RAID指标插件配置 { "plugins": [ { "path": "/usr/local/telescope/plugins/raidmonitor.sh", "crontime": 60 } ] } 说明 path路径后的参数为gpucollector和raidmonitor.sh分别为GPU插件和RAID插件配置内容。 插件采集周期为60s，若采集周期配置错误，会导致指标采集异常。 插件路径path请勿私自修改，否则指标采集异常。 8. 打开/usr/local/telescope/bin路径下的confces.json文件，新增配置项"EnablePlugin"：true，开启插件采集开关。 { "Endpoint": "所在区域地址，默认无需修改", "EnablePlugin": true } 9. 执行如下命令，重启Agent。 /usr/local/telescope/telescoped restart

本文内容主要介绍绑定弹性公网IP 操作场景 副本集实例创建成功后，支持用户绑定弹性公网IP，通过公共网络访问数据库实例，绑定后也可根据需要解绑。 注意事项 在访问数据库前，您需要在虚拟私有云申请一个弹性公网IP，并将访问数据库的IP地址，或者IP段加安全组入方向的访问规则。 副本集实例仅支持Primary和Secondary节点绑定弹性公网IP。对于已绑定弹性公网IP的节点，需解绑后，才可重新绑定其他弹性公网IP。 绑定弹性IP 步骤 1 在“实例管理”页面，选择指定的副本集实例，单击实例名称。 步骤 2 在左侧导航树，单击“连接管理”。 步骤 3 在“基本信息”区域的目标节点上，单击“绑定弹性IP”。 步骤 4 在弹出框的弹性IP列表中，显示“未绑定”状态的弹性IP，选择所需绑定的弹性IP，单击“确定”，提交绑定任务。如果没有可用的弹性IP，单击“查看弹性IP”，创建新的弹性IP。 步骤 5 在目标节点的“弹性IP”列，查看绑定成功的弹性IP。 解绑弹性IP 步骤 1 对于已绑定弹性公网IP的节点，在“实例管理”页面，选择指定的副本集实例，单击实例名称。 步骤 2 在左侧导航树，单击“连接管理”。 步骤 3 在“基本信息”区域的目标节点上，单击“解绑弹性IP”。 步骤 4 在弹出框中，单击“确定”，解绑弹性公网IP。

支持控制是否开启日志。 功能入口 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「应用监控」「应用列表」。 3. 在应用列表中选择您想查看的应用，点击「应用名称」打开新的应用详情链接。 4. 在左侧导航栏中选择「应用设置」「日志开启设置」。 前提条件 需要先开通云日志服务产品，如果您已开通，则可通过配置关联查看调用链路的日志详情。 功能说明 关联业务日志与TraceId 设置关联云日志服务的具体日志项目和单元，确认日志存储路径，以便查看。开启关联后，在调用链详情会出现查看日志按钮，点击可跳转云日志服务查看具体内容。

本文介绍业务脚本的添加、查看、编辑、删除、预部署转生产、预部署回滚等操作。 业务脚本是域名粒度的，域名和业务脚本的关系是一对一关系。可以仅使用业务脚本实现简单的自定义功能，也可以把全局字典、全局task脚本、业务脚本三个结合起来使用，实现更强大的功能。 注意 UDFScript目前处于邀测期间，客户控制台默认不开放自助，如有需要，请 添加业务脚本 1. 登录CDN控制台。 2. 单击左侧导航栏【UDFScript】【业务脚本】。 3. 单击业务脚本首页右上角的【添加业务脚本】来添加业务脚本。 4. 进入添加业务脚本的页面后，可输入脚本名称，选择作用的域名，输入脚本内容，脚本内容可选择脚本模板后再按需进行修改，也可以完全自定义填写。脚本名称为264位的小写字母、数字、下划线的结合，开头结尾只允许小写字母和数字。每个业务脚本仅能作用于一个域名，一个域名也只能添加一个业务脚本，即业务脚本和域名是一对一关系。脚本名称、作用域名、脚本内容确认无误后，单击【确认提交】进行部署，单击【取消】可返回业务脚本的首页。 注意 UDFScript业务仅支持在“可编程客户资源池”部署，如需使用该功能，请 更换资源池注意事项： 1. 需确认是否有回源白名单限制，如有需要提前加白。 2. 更换资源池有可能会引起短时间内的回源突增，一段时间内回源量会自动回落到正常水平。 5. 提交部署后，在业务脚本的首页可看到所有已提交部署的业务脚本列表及部署状态。业务脚本的部署状态有等待部署、部署中、部署成功、编译失败、部署失败、删除失败等状态，编译失败、部署失败、删除失败的可点击操作列的【失败重试】重新部署。部署范围有预部署和全局部署两种。 业务脚本每次新增或编辑后提交部署都默认只预部署到灰度环境的机器，预部署成功后，您以调用api接口获取灰度环境的测试节点ip，在灰度环境对业务脚本进行调试。 获取测试节点有效VIP的接口地址：获取测试节点有效VIP。

DMS操作审计详情 用户点击详情按钮，会弹出详情界面。除上述基本信息外，详情界面还会展示具体的操作内容。 查看工单详情 用户点击日志记录中的 工单号 ，会跳转到工单详情界面，展示工单号、工单类型、工单状态、创建人、创建时间、工单说明、预检查结果、工单审批流程、异常信息等关键内容。 操作风险配置 DMS操作审计支持用户根据事件类型自定义操作风险等级，点击 操作风险配置 ，可对每一种事件类型设置不同的操作风险等级。进行配置时，可以直接对二级菜单选择风险等级，此时该二级菜单下的所有事件都会设定为同一风险等级。

高并发访问场景 业务挑战：金融机构的网站和应用需要在高并发情况下保持稳定运行，同时提供快速的数据传输和响应时间，以满足用户的高要求和期望。 方案优势：AOne利用内容分发网络（CDN）技术，将静态内容缓存到离用户更近的边缘节点，提高内容加载速度，优化网站和应用程序的性能，提供更快速、流畅的用户体验。 电子交易加速场景 业务挑战：电子交易需要毫秒级的响应时间，任何延迟都可能影响交易的准确性和效率。 方案优势：AOne的低延迟网络连接和智能负载均衡技术，加速电子交易的执行速度，确保交易的实时性和精确性。 IPv6升级改造 业务挑战：IPv6升级涉及源站改造难度大，需要确保新网络环境下的数据和通信的安全性，以及数据传输和响应速度。 方案优势：AOne支持一键极速升级并同时满足性能和安全性，通过提供双栈支持，使得IPv4和IPv6网络能够协同运行，加速灾难恢复过程。 两地三中心 业务挑战：两地三中心架构中，需要保障数据同步实时性和一致性，并实现灾难的快速恢复。 方案优势：AOne可以提供高速、稳定的网络连接，帮助实现两地数据中心之间的实时数据同步，确保数据的准确性和一致性。

本小节介绍如何配置解析接入规则。 解析接入规则是对采集日志的分析，符合解析接入规则的日志才能被采集到日志审计平台。可对解析接入规则进行新增、查看、编辑、删除、查询操作。 新增解析接入规则 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“风险分析 > 事件策略 > 解析接入规则”，配置需要采集的日志规则。 3. 单击“新增”，进入“新增解析接入规则”页面。 4. 根据页面提示进行配置。带“”的为必选参数。 1. 基本信息：填写“解析规则名称”和需要采集的“设备类型”。填写后在页面右下角单击“下一步”。 基本信息 是否必选 说明 解析规则名称 必选 自定义，注意名称不能与其他规则重复。 设备类型 必选 通过下拉框进行选择。此处选择的设备类型应与资产的设备类型保持一致。 优先级 可选 自定义，注意不能与其他规则优先级重复。 描述 可选 规则的具体说明。 2. 提取样本：在“原始样本”文本框中输入日志的原始样本。填写后在页面右下角单击“下一步”。 提取样本 是否必选 说明 原始样本 必选 输入原始日志样本。 3. 前置过滤：可对日志样本通过正则表达式先进行一层过滤，默认不过滤。 前置过滤 是否必选 说明 原始样本 提取样本中的原始样本，只支持查看。 是否过滤 必选 原始样本过滤参数，开启过滤，还需配置后续参数。 过滤方式 默认“正则匹配”，不支持已修改。 正则表达式 必选 自行填写正则表达式。 过滤后样本 后续将在过滤后的样本中提取字段，只支持查看。 4. 选择方法：选择日志的提取方法，支持正则表达式、分隔符、keyvalue、json格式。选择后在页面右下角单击“下一步”。 优先为json > keyvalue > 分隔符 > 正则表达式。 方法 说明 正则表达式 将使用正则表达式提取字段。 分隔符 将使用分隔符（例如逗号、空格或者字符）提取字段。 KeyValue 将对keyvalue类型数据进行提取字段。 JSON 将对json类型数据进行提取字段。 5. 提取字段：根据您选择的提取方法，配置提取字段。配置完成后在页面右下角单击“下一步”。 提取方法 提取字段 正则表达式 方式一：手动输入正则表达式 在正则表达式下方，单击“编辑”，输入正则表达式后单击“保存”。会根据所填正则表达式提取字段。 正则表达式 方式二：选取需要提取的字段自动填入正则表达式 1. 鼠标左击在样本信息中选取需要提取的字段内容。 2. 在弹出的提取字段对话框中配置如下参数。 目标字段：下拉选择字段标签，必填。 目标字段名：选择目标字段后，自动填入。 目标字段类型：选择目标字段后，自动填入。 样本字段类型：默认字符型，必填。 长度模式：固定长度为所选中长度，非固定长度按需选择前置或后置锚点。 示例值：默认为鼠标选中的数据。 分隔符 选择分隔符，通过分隔符提取字段。 1. 在分隔符选择一个分隔符，或手动输入其他分隔符。 2. 在提取字段列表中，单击“目标字段”列的“快速选择”，指定目标。 keyvalue 选择键值对分隔符、键值分隔符。 键值对分隔符：将样本信息分割成若干对键值对。 键值分隔符：用户分割键值对内部的键与值。 示例：样本信息为 "name张三&age18" ，此时键值对分隔符为 "&" ，键值分隔符为 "" 。 json格式 自动按照json格式将字段提取到提取字段列表中，单击“目标字段”列的“快速选择”，指定目标。 6. 验证规则：（可选）单击“添加验证数据”，填写实际采集日志，验证是否可以获取内容信息，即日志解析规则是否添加有误。 若可以正常提取，则单击“下一步”。 若不能正常提取，则单击“上一步”，修改规则。 7. 预览保存：再次检查配置信息，确认配置无误后，单击“保存”，完成解析接入规则的配置。

在开启OBS权限控制功能时各组件访问OBS的说明 以root用户登录集群任意一个节点，密码为用户创建集群时设置的root密码。 1. 配置环境变量（MRS 3.x及之后版本客户端默认安装路径为“/opt/Bigdata/client”，MRS 3.x之前版本为“/opt/client”。具体以实际为准。）。 source /opt/Bigdata/client/bigdataenv 2. 如果当前集群已启用Kerberos认证，执行以下命令认证当前用户。如果当前集群未启用Kerberos认证，则无需执行此命令。 kinit MRS集群用户 例如, kinit admin 3. 如果当前集群未启用Kerberos认证，执行如下命令登录执行操作的用户，该用户需要属于supergroup组，创建用户可参考创建用户，将XXXX替换成用户名。 mkdir/home/XXXX chownXXXX /home/XXXX su XXXX 4. 访问OBS。无需再配置AK、SK和endpoint。OBS路径格式：obs://buckname/XXX。 例如：hadoop fs ls"obs://obsexample/job/hadoopmapreduceexamples3.1.2.jar" 说明 如需使用hadoop fs删除OBS上文件，请使用hadoop fs rm skipTrash来删除文件。 sparksql、sparkbeeline在创建表时，若不涉及数据导入，则不会访问OBS。即若在一个无权限的OBS目录下创建表，CREATE TABLE仍会成功，但插入数据会报403 AccessDeniedException。 在IAM服务创建策略及委托 在IAM服务创建策略及委托 1. 登录IAM服务控制台。 2. 单击“权限 > 创建自定义策略”。 3. 参考下表填写参数。 策略参数 参数 说明 策略名称 只能包含如下字符：大小写字母、中文、数字、空格和特殊字符（.,）。 作用范围 选择全局级服务，OBS为全局服务。 配置策略方式 选择可视化视图。 策略内容 1. “允许”选择“允许”。 2. “云服务”选择“对象存储服务(OBS)”。 3. “操作”勾选所有“写”、“列表”和“只读”权限。 4. “特定资源”选择： a. “object”选择“通过资源路径指定”，并单击“添加资源路径”分别输入路径obsbucketname /tmp/和 obsbucketname /tmp/ 。此处以 /tmp目录为例，如需其他目录权限请参考该步骤添加对应目录及该目录下所有对象的资源路径。 b. “bucket”选择“通过资源路径指定”，并单击“添加资源路径”输入路径 obsbucketname。 5. （可选）请求条件，暂不添加。 策略描述 可选，对策略的描述。 各个组件的写数据操作若通过rename的方式实现时，写数据时要配置删除对象的权限。 4. 单击“确定”保存策略。 5. 在IAM服务创建委托。 6. 登录IAM服务控制台。 7. 单击“委托 > 创建委托”。 8. 参考下表填写参数。 委托参数 参数 说明 委托名称 只能包含如下字符：大小写字母、中文、数字、空格和特殊字符（.,）。 委托类型 选择普通帐号。 委托的帐号 填写本用户的云帐号，即使用手机号开通的帐号，不能是联邦用户或者IAM用户。 持续时间 请根据需要选择。 描述 可选，对委托的描述。 权限选择 1. 在“项目”列对应的“对象存储服务”行，单击“操作”列的“修改”。 2. 勾选步骤1中创建的策略，使之出现在“已选择策略中”。 3. 单击“确定”。 4. 单击“确定”保存委托。 说明 当使用该委托访问过OBS后，再修改该委托及其绑定的策略时，最长需要等待15分钟，修改的内容才能生效。

名称 类型 是否必选 示例值 描述 action String 是 QuerySendDetails 系统规定参数。取值： QuerySendDetails 。 currentPage Int 是 1 分页查看发送记录，指定发送记录的当前页码。 pageSize Int 是 10 分页查看发送记录，指定每页显示的短信记录数量。取值范围为1~50。 phoneNumber String 是 1890000 接收短信的手机号码。格式：国内短信：11位手机号码，例如1590000。 sendDate String 是 20220328 短信发送日期，支持查询最近30天的记录。格式为yyyyMMdd，例如20181225。 signName String 否 签名 对应发送内容的签名。 templateCode String 否 SMS73419576145 对应发送内容的模板编号。 requestId String 否 49667481793 对用发送时返回的流水号。

云容器引擎如何获取客户端真实IP 如果您的服务部署在云容器引擎（Cloud Container Engine，简称CCE）上，云容器引擎会将真实的客户端IP记录在XOriginalForwardedFor字段中，并将WAF回源地址记录在XForwardedFor字段中。您需要修改云容器引擎的配置文件，使Ingress将真实的IP添加到XForwardedFor字段中，以便您正常获取真实的客户端IP地址。 您可以参考以下步骤，对云容器引擎配置文件进行修改。 1. 执行以下命令修改配置文件“kubesystem/nginxconfiguration”。 plaintext kubectl n kubesystem edit cm nginxconfiguration 2. 在配置文件中添加以下内容： plaintext computefullforwardedfor: "true" forwardedforheader: "XForwardedFor" useforwardedheaders: "true" 3. 保存配置文件。 保存后配置即刻生效，Ingress会将真实的客户端IP添加到XForwardedFor字段中。 4. 将业务程序获取客户端真实IP的字段修改为XOriginalForwardedFor。

本文主要为您介绍如何开启防敏感信息泄露防护，以及如何配置防敏感信息泄露规则。 网站域名接入Web应用防火墙后，您可以选择开启防敏感信息泄露功能，并配置防敏感信息泄露规则，可对网页中的敏感信息或指定的HTTP响应码页面进行过滤或拦截。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版和标准版不支持防敏感信息泄露功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防敏感信息泄露”模块，可以选择开启/关闭防护。 7. 点击防护规则右侧的“前去配置”，进入防敏感信息泄露规则页面。 8. 单击“新建防护规则”，在弹出的对话框中，配置防敏感信息泄露规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 匹配条件 选择需要在响应信息中检测的敏感信息类型，包括敏感信息、响应码、关键字。 敏感信息：用户的个人身份信息，包括身份证号、电话号码、电子邮箱等。 响应码：指定的HTTP响应码，比如401、402、403等。 关键字：自定义需要检测关键字。 匹配内容 根据所选匹配条件，对应不同的内容。 敏感信息：包括身份证号、电话号码、电子邮箱等。 响应码：选择特定的HTTP请求状态码。 关键字：需要手动输入匹配的关键字。 防护路径 需要防护的URL的路径。 执行动作 选择在响应信息中检测到敏感信息后系统执行的动作。 观察：仅通过日志记录匹配到的页面和内容，不进行拦截。 信息脱敏全部屏蔽：对匹配到的内容，将被全部进行脱敏展示。 信息脱敏自定义范围：选择该项，还需要配置“显示”或“屏蔽”具体的范围。 拦截：拦截匹配到的页面和内容，并向发起请求的客户端返回拦截响应页面。 规则描述 可选项。设置规则的描述信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本节介绍了更新一键式重置密码插件(批量操作Linux系统root用户)的操作场景、前提条件、约束与限制、操作步骤等内容。 操作场景 当您需要对多台Linux系统的云主机批量更新一键式重置密码插件时，可参考本文档操作。 前提条件 登录已准备好的执行机，执行机需满足的条件请参见下文约束与限制。 需要提前准备待批量安装插件的云主机的IP地址、root用户的密码信息或者私钥文件。 执行机应该与待更新机器在同一VPC下。 在执行完步骤7之后可以解绑eip。 约束与限制 需要选取一台操作系统为CentOS 7（公共镜像）且已绑定弹性公网IP的云主机作为执行机，且与待批量安装插件的弹性云主机之间网络需要互通。 仅支持对使用同一密钥对的云主机执行批量安装插件的操作。 操作步骤 1.根据以下地址获取ansible.tar.gz压缩包，并上传到执行机。 以root用户登录执行机。 依次执行以下命令安装ansible。（实际安装路径用户可自定义，此处以/root/ansible为示例。） mkdir /root/ansible tar zxvf ansible.tar.gz C /root/ansible cd /root/ansible yum localinstall .rpm 执行以下命令检测是否安装成功。 ansible version 2.请参考获取并校验一键式重置密码插件完整性（Linux），下载对应的一键式重置密码插件CloudResetPwdAgent.zip并完成完整性校验。 安装一键式重置密码插件对插件的具体放置目录无特殊要求，请您自定义。 3.执行以下命令，将批量操作脚本下载到root目录下。 curl URL >~/batchupdatelog4jversion.py 其中，URL为批量操作的执行脚本。 脚本下载地址： 4.执行以下命令，将更新插件脚本下载到root目录下。 curl URL >~/updatelog4jversionforresetpwdagent.sh 其中，URL为更新插件脚本的下载地址。 脚本下载地址： 5.检查如下脚本是否在root目录下： batchupdatelog4jversion.py updatelog4jversionforresetpwdagent.sh CloudResetPwdAgent.zip 6.执行以下命令，新建并编辑hostlist.txt，按i进入编辑模式。 vi hostlist.txt 将需要自动安装驱动的云主机的相关信息填写到hostlist.txt文件中。 示例： [x8664] 182.168.64.21 182.168.64.22 文件填写格式与登录待切换弹性云主机的方式需要匹配。 使用密钥对方式鉴权的云主机，填写方式如下： 说明 使用密钥对方式鉴权的云主机，请将创建弹性云主机时保存的私钥文件，上传至与hostlist.txt同一个文件夹下。 使用密钥对方式鉴权的云主机，请确保私钥文件的权限为400。 chmod 400私钥文件 每行仅需填写云主机IP地址。 示例： 192.168.1.10 192.168.1.11 使用密码方式登录的云主机，填写方式如下： 请严格按照每行ip,root用户密码，中间以英文逗号隔开的格式填写。 示例： 192.168.1.10,'' 192.168.1.11,'' 7.运行批量执行操作脚本“batchupdatelog4jversion.py”。 密钥对鉴权方式的服务器 如果私钥文件与批量操作执行脚本在一个目录下，则直接指定私钥文件名称即可。 python batchupdatelog4jversion.py {私钥文件路径/私钥文件名称} 图 运行脚本 密码方式鉴权的服务器。 python batchupdatelog4jversion.py 图 运行脚本 8.执行如下命令，在“/root/logs/execorigin.log”的最后一行查看运行结果日志。 vim /root/logs/execorigin.log 若如下图所示，则表示运行成功。 图 运行成功

参数 类型 示例值 描述 id String b5771f766cdf48edb1bad15418c 事件ID。标识事件的唯一值。 source String ctyun.zos 事件源。对象存储触发器固定为ctyun.zos。 specversion String 1.0 CloudEvents协议版本。 type String s3:ObjectCreated:Post 事件类型。 subject String ctyun.zos:b342b77ef26:5d4ce56a08d:bucketname:objectname 事件主体。格式为ctyun.zos::::，其中是资源池ID，是天翼云账号ID，是对象存储产生事件的bucket名称，是对象存储产生事件的文件名称。 time Timestamp 20240305T13:52:18.374Z 事件产生的时间。 datacontenttype String application/json;charsetutf8 参数 data 的内容形式。 data Struct {"abc":"1111", "def":"xxxx"} 事件内容。JSON对象，内容由发起事件的服务决定。CloudEvents可能包含事件发生时由事件生产者给定的上下文， data 中封装了这些信息。 ctyunaccountid String 123456789 天翼云账号ID。 ct yun userid String 123456789 天翼云用户ID。 ctyunresourceid String 27aadda4db9411eea6fce8b47009 天翼云资源ID ctyuneventbusname String default 接收事件的事件总线名称，天翼云产品事件为default。 ctyunregion String bb9fdb42056fl1eda161 接收事件的地域。

本文介绍边缘接入服务IP应用加速Gzip压缩功能。 背景介绍 在一些大文件传输业务场景，尤其在业务高峰期，会占用很多宝贵的带宽资源且增加发送时间，降低加速体验效果。在此背景下，我们提出对上下行传输内容同时进行压缩，提升中间节点传递速度，同时降低带宽成本。 Gzip基于DEFLATE算法，它是LZ77和霍夫曼编码的组合，最早用于UNIX系统的文件压缩。HTTP协议上的Gzip编码是一种用来增进Web应用程序性能的技术，Web服务器和客户（浏览器）必须共同支持Gzip，当下主流的浏览器都是支持Gzip压缩，包括IE6、IE7、IE8、IE9、FireFox、Google Chrome、Opera 等。 功能介绍 开启Gzip压缩功能后，可以减少平台中传输的内容，能够带来两个明显的好处，一是降低节点带宽，二是通过网络传输文件时，可以减少传输的时间。 IP应用加速会对传输在IP应用加速上行和下行的数据同时进行压缩： 对于上行而言，传输内容在边缘节点压缩后，在回源节点进行解压缩后传给源站。 对于下行而言，回源节点进行压缩，在边缘节点进行解压缩后返回给客户端。 注意事项 常用的视频类型（MP4、WMV、AVI等）和图片类型（JPG、PNG、JPEG等）一般已进行压缩处理，无需再开启Gzip压缩。 建议仅针对大文件传输开启压缩功能。

投屏模式 天翼量子AI云电脑投屏功能支持全平台，包括Windows、Android、MacOS、iOS、Linux系统，涵盖电视、会议大屏、个人电脑、手机、平板以及瘦终端等多种设备间的多屏互动，无需繁琐的数据线、投屏器连接，只需简单操作，就能将AI云电脑内容无缝分享到大屏幕上。 16. 兼容模式 当连接AI云电脑崩溃时，可尝试开启此功能，开启“兼容模式”需重启AI云电脑应用。 17. 渲染硬件加速 当AI云电脑存在黑屏等异常显示时，可尝试开启此功能，开启“渲染硬件加速”需重启AI云电脑应用。 18. 网络检测 如需检测终端本地到AI云电脑的网络情况，点击“检测网络”检测网络连通情况。 21. 网络代理 如需设置网络代理，点击“网络代理”，可选择代理类型：不使用代理、HTTP及SOCKS5三种类型，支持IP地址和端口连通性测试功能。（适用于使用HTTP或SOCKS5代理服务器登录场景） 22.

告警和攻击的区别 安全告警区分告警和攻击： 告警：告警则是基于态势感知（专业版）的威胁检测模型生成的模型告警，也可以是用户自定义或导入的告警。 攻击：攻击是原始的防线告警。 攻击是原始的防线告警。二者的区别如下： 名称 数据来源 支持的管理操作 告警 态势感知（专业版）威胁检测模型生成的告警。 用户自定义新增的告警。 用户导入的告警。 查看告警信息：可以通过查看告警列表了解近360天的告警威胁的统计信息列表，列表内容包括告警事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件，如告警名称、告警等级和发生时间等，快速查询到相应告警事件的统计信息。 告警转事件或关联事件：当收到告警信息且经过分析后，如果发现有攻击成功或有其他较为严重影响的，则需要进行单独处理，可以将它转为事件或关联事件。 一键阻断或解封：策略作为告警一键阻断的止血手段，可根据告警来源选择相应的类型对攻击者进行阻断，拦截该恶意IP的访问。 关闭或删除告警：确认告警已处理完成，问题已解决，可选择关闭告警。当确认是无效告警或冗余告警或过期告警，用户可选择删除告警。告警删除后将无法恢复，请谨慎操作。 新增或编辑告警：态势感知（专业版）支持管理云上资产和云外资产，资产管理更多信息请参见资产管理概述。其中，云上资产的告警可以通过接入日志数据自动同步到态势感知（专业版），云外资产的告警数据需要用户在态势感知（专业版）通过[新增告警](

本节介绍天翼云电脑（公众版）的产品定义，以便您了解云电脑。 天翼云电脑是云计算技术和终端相结合的创新型产品。依托中国电信优质云网资源，结合自主研发的CLINK数据安全传输协议，具备多重数据安全防护机制，实现安全高效的云电脑使用体验。即开即用，便捷访问，适配多种终端类型。 天翼AI云电脑亦称天翼量子AI云电脑，天翼云电脑。 天翼云电脑（公众版） 为个人/家庭用户提供安全、快速的云电脑使用服务，满足日常办公、娱乐、在线学习需要，多终端支持，随时随地使用智能终端一键接入云电脑。 产品架构图 说明 关于天翼云电脑（公众版）的产品规格说明，请参考 关于天翼云电脑（公众版）的产品功能说明，请参考 关于天翼云电脑（公众版）的客户端下载，请前往

本文介绍边缘安全加速平台的产品优势。 随着全球在线业务的发展，企业拓展业务的趋势日益增长，这也为用户体验和数据资产安全带来了更为复杂的挑战。 AOne边缘安全加速平台提供了加速、计算和安全为一体的服务，为您的业务运营提供全方位的保障。 极致的加速体验 优质的资源覆盖： CN2 和 163 互备支撑，所有节点和 IDC 出口并行，避免峰值带宽拥堵。 智能高效：智能分离站点内容，实现网络智能加速。 传输优化：基于先进的内核技术及自研的私有协议，大幅提升传输效率。 多业务加速：支持 http / https 协议加速、上传加速、websocket 加速、IPv6 升级等。 37层一体化防护 DDoS 防护：提供分布式DDoS攻击清洗，超百G节点大区粒度覆盖，防护总带宽超过12T。结合云原生、智能调度能力，实现资源动态扩容，攻击调度，满足用户三网防护需求，保障业务可用性。 Web 安全防护：基于 AI+ 规则的 Web 攻击识别，有效防御 SQL 注入、XSS 跨站脚本攻击等 OWASP TOP 10的关键 Web 风险。 Bot管理：基于已知Bot情报、精准访问控制、客户端特性识别、人机交互验证、机器学习等智能识别与检测技术，对业务流量进行实时检测和分析，智能识别并区分真实用户流量与各类Bot流量。 API 安全防护：基于安全可靠的接入认证方式，保证 API 访问安全。 持续认证动态评估：持续认证过程引入RBAC（基于角色的访问控制）与ABAC（基于属性的访问控制）鉴权体系，能根据角色及用户属性、环境属性、资源属性等综合授予用户访问权限。 全链路HTTPS：支持全链路HTTPS安全传输方案，防劫持防篡改，保护数据安全。 基于全网的HTTPDNS防劫持：支持用户通过HTTPDNS协议访问天翼云服务器，绕过运营商的LocalDNS解析，避免域名在解析阶段被劫持。 全周期安全保护：基于可信授权、最小授权、持续认证、业务隐身、终端安全、应用安全、链路安全等核心能力，对访问过程进行持续的安全保护，实现在任意网络环境中安全访问企业资源。

set to false if you don't want to sync aof [scanreader] cluster false set to true if source is a redis cluster address "ip:port" when cluster is true, set address to one of the cluster node username "" keep empty if not using ACL password "" keep empty if no authentication is required ksn false set to true to enabled Redis keyspace notifications (KSN) subscription tls false dbs [] set you want to scan dbs such as [1,5,7], if you don't want to scan all [rediswriter] cluster false set to true if target is a redis cluster address "ip:port" when cluster is true, set address to one of the cluster node username "" keep empty if not using ACL password "" keep empty if no authentication is required tls false 5、在线迁移，同步数据。 使用如下命令同步源Redis集群和目标Redis集群数据： ./redisshake shake.toml 执行日志中出现如下信息，代表全量数据同步完成，进入增量同步阶段： syncing aof 执行日志出现如下信息时，代表增量同步无新增内容，可手动停止同步： readcount[0], readops[0.00], writecount[0], writeops[0.00], srcx, syncing aof, diff[0] 6、迁移后验证。 数据同步结束后，可使用Rediscli工具连接DCS 实例，通过dbsize查看key数量，确认数据是否完整导入。 如果数据不完整，可使用flushall或者flushdb命令清理实例中的缓存数据后重新同步。 7、清理RedisShake配置文件。 离线迁移（备份文件导入） 与在线迁移相比，离线迁移适宜于源实例与目标实例的网络无法连通的场景。 1、在DCS控制台创建缓存实例。 注意新创建的Redis实例容量不能小于源端Redis实例的实际使用容量。 2、准备一台云服务器，并安装RedisShake。 RedisShake既能访问源端缓存实例，也能访问目标端DCS 缓存，需要绑定弹性公网IP 3、导出RDB文件。 使用如下命令导出RDB文件： ./rediscli h {redisaddress} p {redisport} a {password} rdb {output.rdb} 执行命令后回显"Transfer finished with success."，表示文件导出成功。 4、将导出的RDB文件（含多个）上传到云服务器上。 5、编辑RedisShake配置文件。 编辑redisshake工具配置文件shake.toml，补充迁移双方信息，及迁移模式。 [rdbreader] filepath "/tmp/dump.rdb" [rediswriter] cluster false

本文向您介绍批量导入/导出域名解析记录。 批量导出解析记录 操作场景 当用户想要将通过云解析服务解析的域名转出到其他DNS服务商时，可以通过本操作批量完成域名解析记录的导出。 内网域名解析记录支持导出的信息包括：域名、记录类型、TTL值(秒)、记录值、状态、描述、记录集ID、创建时间、最近修改时间。 操作步骤 1. 进入内网域名列表页面，并选择目标区域。 2. 在域名列表中，单击待导出解析记录的域名名称。 3. 在页面顶部导航，选择进入“批量导入/导出”页面。 4. 单击页面右上角的“批量导出”，导出域名解析记录。 导出完成后，会生成格式为“域名.xlsx”的解析记录表格。例如“example.com.xlsx”。 在导出表格中可以查看导出的解析记录，包括域名、记录类型、TTL值(秒)、记录值、状态、描述、记录集ID、创建时间、最近修改时间。 批量导入解析记录 操作场景 当用户想要将域名导入到内网DNS进行解析时，可以通过本操作批量完成域名解析记录的导入。 最多支持每次导入500条解析记录。 说明 在批量导入域名解析记录之前，需要在云解析服务完成内网域名的创建。 操作步骤 1. 进入内网域名列表页面，并选择目标区域。 2. 在域名列表中，单击待导入解析记录的域名名称。 3. 在页面顶部导航，选择进入“批量导入/导出”页面。 4. 在进行批量导入前，需要首先完成导入模板的填写。 1. 在批量导入/导出详情页面，单击“下载模板”，获取导入模板。 2. 按模板要求完成解析记录的填写。 说明 如果您已经在域名的转出方导出了域名解析记录，需要将导出的内容填写到模板中，否则将无法导入成功。 5. 单击页面右上角的“批量导入”，选择填写完成的导入模板，开始执行批量导入。 导入完成后，可以通过查看“导入成功记录”和“导入失败记录”检查解析记录导入是否成功。 导入成功记录：显示导入成功的记录数。 导入失败记录：逐条显示导入失败的记录，您可以根据“失败原因”对导入失败的记录进行处理。 注意 重新导入解析记录之前，请先单击页面右上角的“清空”，将之前的导入成功记录和导入失败记录清空后再操作。

主体信息 主办单位名称、企业类型、证件类型、证件号码、证件住所等按照备案主体证件上的信息进行填写。企业按照营业执照上信息、个人按照身份证上信息来填写。 主办单位通信地址：填写实际的通信地址，需填写完整省市县区。单位填写单位办公地址，个人填写个人住址（精确到门牌号）。 主体负责人信息：个人填写个人信息；企业须为单位法人。如有特殊情况，可咨询天翼云客服4008109889转3（备案）。 真实性核验单和委托书填写 真实性核验单，可参考在天翼云官网下载的真实性核验单第三页填写样板，只需填写主办单位名称、域名、在表格最下方网站负责人签字处，盖公章即可，其他区域由天翼云工作人员进行填写。 委托书，需法人手写签名或盖法人章并加盖公章。 驳回告知证件提供复印件需加盖公司公章 根据管局规定，备案电子版材料需提供彩色原件扫描件且字迹清晰可辨。 网站名称命名要求 非国家级单位网站名称不能包含“中国”、“中华”、“国家”、“人民”、“地名”等字样。 网站名称不能是纯数字、纯英文、不能包含特殊符号和敏感词汇（反腐、赌博等），企业网站名称三个字以上，建议使用单位名称作为网站名称。 个人网站名称三个字以上，不可用人名，纯数字，纯字母，成语，不可涉及企业行业信息。个人网站名称建议做分享类网站，网站内容选其他，需一句话描述将来开办的网站内容。 负责人信息填写 主体负责人与网站管理员不为同一人时，请提供不同的手机、应急电话和邮箱。 办公电话请添加区号。 提供真实有效的手机号和邮箱，以便备案人员核实相关信息。

此小节介绍云堡垒机文件操作授权管理。 文件操作授权用于控制用户访问资源时对资源内的文件操作的权限。 文件操作权限的可选范围是： 上传：允许/拒绝运维用户上传文件。 下载：允许/拒绝运维用户下载文件。 删除：允许/拒绝运维用户删除文件。 创建目录：允许/拒绝运维用户新建目录。 删除目录：允许/拒绝运维用户删除目录。 移动/重命名：允许/拒绝运维用户移动/重命名文件。 新增文件操作授权 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“授权管理 > 文件操作授权”，进入“文件操作授权”页面。 3.单击“新增”，配置文件操作授权相关内容。 参数 参数说明 取值样例 授权规则名称 自定义资产访问授权的规则名称。 Test 动作 选择此授权规则的动作，可选“允许”或“拒绝”。 允许 启用状态 选择该授权规则的启用状态，默认启用。 用户 （可选）选择需要配置访问授权的用户。 用户组 （可选）选择需要配置访问授权的用户组。 若您选择的用户和用户组存在重合，默认取最大的合集。 资产 （可选）选择需要配置访问授权的资产。 资产组 （可选）选择需要配置访问授权的资产组。 若您选择的资产和资产组存在重合，默认取最大的合集。 资产账号 选择命令授权规则生效的资产账号，添加资产账号请参见：资产账号章节。 文件 选择需要做限制的文件操作动作。可填写具体的文件或文件目录，使用正则表示填写，若填写多个使用回车分行。 若不填写文件范围，默认为全选所有文件。 说明 例如您只想限制tmp文件夹下的同层目录使用，正则表达式可填写：/tmp 例如您想限制tmp目录下所有文件及子目录的使用，正则表达式可填写：/tmp/. 授权时间 选择该规则生效的时间段。 源IP 填写用户登录的源IP地址。 0.0.0.0 风险等级 选择此授权规则的风险等级，共有5个等级可选择。 普通 说明 策略匹配顺序为：允许 > 阻断； 配置时至少需要关联至少一个授权对象，否则该条授权策略不会生效，其余未关联的表示对所有生效； 以基础设施访问授权时，账号必须拥有该基础设施访问授权的访问权限策略才会生效。

本页面介绍了如何从本地数据迁移至云数据库ClickHouse。 前提条件 1. 创建了目标云数据库ClickHouse实例。详细的操作步骤，请参考创建实例。 2. 创建了用于目标云数据库ClickHouse集群的数据库账号和密码。详细的操作步骤，请参考创建账号。 从clickHouseclient导入详细示例 假设有一个本地的CSV文件包含以下数据： data.csv: 1,John,Doe 2,Jane,Smith 3,Michael,Johnson 现在要将这些数据导入到云数据库ClickHouse的表 users中，该表包含 id、firstname和 lastname列。 1. 准备本地数据文件：创建一个名为 data.csv的文本文件，并将上述数据复制粘贴到文件中。 2. 打开终端或命令提示符：在计算机上打开终端或命令提示符窗口。 3. 运行clickhouseclient：在终端或命令提示符中输入以下命令，并按回车键运行clickhouseclient： clickhouseclient h port user password 4. 连接到云数据库ClickHouse：在clickhouseclient中输入以下命令并按回车键，将其连接到目标数据库： use yourdatabasename; 其中，yourdatabasename是要导入数据的目标数据库的名称。 5. 创建目标表（如果需要）：如果目标数据库中还没有适合导入数据的表，可以使用以下命令创建一个新表： CREATE TABLE users ( id Int32, firstname String, lastname String ) ENGINE MergeTree() ORDER BY id; 这将创建一个名为 users的表，包含 id、firstname和 lastname列，并使用MergeTree存储引擎进行数据存储。 6. 导入数据：使用以下命令将本地数据导入到 users表中： INSERT INTO users FORMAT CSV WITH ( formatcsvdelimiter ',', formatcsvquotechar '"', formatcsvskipheader 0 ) SELECT toInt32(column1), column2, column3 FROM file('data.csv'); 这个命令将读取 data.csv文件中的数据，并将其插入到 users表中。FORMAT CSV指定了数据文件的格式为CSV， formatcsvdelimiter指定了CSV文件中的字段分隔符为逗号，formatcsvquotechar指定了字段的引号字符为双引号，formatcsvskipheader指定了跳过CSV文件的首行标题。 SELECT语句用于指定要插入的数据列，并通过 toInt32()函数将 id列转换为整数类型。 file('data.csv')用于读取数据文件，这里的路径可以根据实际情况进行调整。 7. 执行导入命令：在clickhouseclient中输入导入数据的INSERT语句，并按回车键执行导入操作。导入过程可能需要一些时间，具体时间取决于数据量的大小和系统性能。 完成上述步骤后，数据将成功导入到云数据库ClickHouse的 users表中。您可以通过查询 SELECT FROM users来验证导入的数据是否正确。 上述步骤只是一个示例，实际操作可能因数据库和数据文件的结构而有所不同，您需要根据您的实际情况和表结构进行相应的调整。

本文介绍Windows系统云主机如何自查病毒及中病毒后处理建议 一，排查思路 1. 排查系统运行情况 结合用户反映的故障现象，排查相关进程（例如，故障现象为资源占用率高，则排查占用资源较多的进程；故障现象为网络带宽占用较多，则排查网络连接较多的进程）。重点排查进程所关联的文件、启动进程的账户等信息。 2. 排查系统运行环境 通过排查系统启动项、计划任务、系统服务启动等情况，排查可疑程序自动拉起的信息，为阻止恶意程序自运行提供依据。 3. 排查攻击来源 查看登录记录，排查是否存在远程暴力破解行为、是否有不明IP登录系统，系统内是否出现不明账户 二，常见安全入侵排查 (一)挖矿病毒 1. 故障现象 CPU占用率接近100%。 2. 排查思路 确认占用CPU资源的进程，分析该进程对应的程序，查找可疑文件，并根据文件内容确认是否为挖矿程序。 3. 排查过程 在任务管理器中查看进程列表，确认占用CPU资源的主要进程。 查找该进程关联的程序。 xmrig是典型的门罗币挖矿程序，可通过其同目录下的“start.cmd”文件查看挖矿参数。其参数说明如下：o矿池地址和端口号；u账户地址；p密码。 4. 解决方法 停用恶意进程、删除恶意程序、检查自启动项目和计划任务、检查系统内可疑账户、为远程登录账户设置强口令、通过安全组对远程访问的IP地址进行限制。

前提条件 1. 已在天翼云应用托管中成功部署 OpenClaw 应用实例，且实例状态为运行中。 2. 开发自定义 Skill 时，需遵循 OpenClaw 官方的 Skill 开发规范。 安装方式 方式一：通过对话安装 技能商店中的 Skill 该方式为最便捷的安装方式，直接通过与 OpenClaw 的对话交互，即可完成技能商店中 Skill 的安装。 1. 进入 OpenClaw 的对话界面，向 OpenClaw 发送安装指令，指令内容为从技能商店安装 {技能名称}。 2. OpenClaw 将自动完成技能的搜索、下载与安装流程。 3. 安装完成后，可在 OpenClaw 的技能管理页面查看已安装的 Skill，页面将展示技能名称、技能描述及所属空间等信息，可在该页面管理技能可用性及 API 密钥注入。 方式二：执行命令安装技能商店中的 Skill 通过天翼云应用托管控制台，执行命令安装技能商店中的 Skill，适用于需要手动管控安装过程的场景。 1. 登录天翼云应用托管控制台OpenClaw 应用实例详情页，在组件概览tab下，实例管理中找到对应实例，点击【终端】入口，进入操作界面。 2. 在终端中执行以下安装命令，将 {技能名称} 替换为技能商店中实际的 Skill 名称，执行命令如下，等待命令执行完成。 plaintext npx clawhub@latest install {技能名称} 3. 安装完成后，在 OpenClaw 的Skills管理页面刷新，即可看到已安装的Skill。

本文为您介绍WAF接入配置的最佳实践。 将网站域名接入Web应用防火墙（原生版），能够帮助您的网站防御OWASP常见Web攻击和恶意CC攻击流量等，避免网站遭到入侵导致数据泄露，全面保障您网站的安全性和可用性。您可以参考接入配置最佳实践，在各类场景中使用WAF更好地保护您的网站。 说明 域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。当前云WAF提供CNAME接入模式，可以防护通过域名访问的Web应用/网站，包括Web业务服务器部署在天翼云上、非天翼云或线下的域名。 网站接入WAF准备工作 在将网站业务接入WAF前，您需要完成以下准备工作： 所需接入的网站域名清单，包含网站的源站服务器IP、端口信息等。 所接入的网站域名必须已完成备案。 如果您的网站支持HTTPS协议访问，您需要准备相应的证书和私钥信息，一般包含扩展名为PEM/CRT/CER的证书文件、扩展名为PEM/KEY的私钥文件，文件内容均需为PEM编码格式。 具有网站DNS域名解析管理员的账号，用于修改DNS解析记录将网站流量切换至WAF。 推荐在将网站业务接入前，完成压力测试。 检查网站业务是否已有信任的访问客户端（例如，监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等）。在将业务接入后，需要将这些信任的客户端IP加入白名单。

本节主要描述Redis连接过程出现的问题，以及解决方法。 问题分类 当您发现与Redis实例连接出现异常时，可以根据本文的内容，从以下几个方面进行排查。 Redis和ECS之间的连接问题 密码问题 实例配置问题 客户端连接问题 带宽超限导致连接问题 性能问题导致连接超时 Redis和ECS之间的连接问题 客户端所在的ECS必须和Redis实例在同一个VPC内，并且需要确保ECS和Redis之间可以正常连接。 如果是Redis 3.0实例，Redis和ECS的安全组没有配置正确，连接失败。 解决方法：配置ECS和Redis实例所在安全组规则，允许Redis实例被访问。 如果是Redis 4.0/5.0/6.0实例，开启了白名单功能，连接失败。 如果实例开启了白名单，在使用客户端连接时，需要确保客户端IP是否在白名单内，如果不在白名单，会出现连接失败。客户端IP如果有变化，需要将变化后的IP加入白名单。 Redis实例和ECS不在同一个Region。 解决方法：不支持跨Region访问，可以在ECS所在的Region创建Redis实例，创建时注意选择与ECS相同VPC，创建之后，使用数据迁移进行迁移，将原有Redis实例数据迁移到新实例中。 Redis实例和ECS不在同一个VPC。 不同的VPC，网络是不相通的，不在同一VPC下的ECS无法访问Redis实例。可以通过创建VPC对等连接，将两个VPC的网络打通，实现跨VPC访问Redis实例。 关于创建和使用VPC对等连接，请参考《虚拟私有云用户指南》的“对等连接”文档说明。