本章主要介绍翼MapReduce的日志维护建议。 利用日志记录来帮助发现非法操作、非法登录用户等异常情况。系统对于重要业务的操作需要记录日志。通过日志文件来定位异常。 定期检查日志 定期查看系统日志，若发现有非法操作、非法登录用户等异常情况，应根据异常情况进行相应的处理。 定期备份日志 FusionInsight Manager和集群提供的审计日志记录了用户活动信息和操作信息，可通过FusionInsight Manager导出审计日志。当系统中的审计日志过多时，可通过配置转储参数，将审计日志转储到指定服务器，避免引起集群节点磁盘空间不足。 维护责任人 网络监控工程师、系统维护工程师。

此小节介绍云堡垒机与其他云服务的关系。 云堡垒机需要与其他云服务协同工作，与其他云服务的依赖关系如下： 与虚拟私有云的关系 虚拟私有云（Virtual Private Cloud，VPC）为CBH提供虚拟网络环境，用户通过配置安全组、子网、EIP等子服务，方便地管理、配置内部网络。以及通过自定义安全组内访问规则，加强安全保护。 与弹性云主机的关系 弹性云主机（Elastic Cloud Server，ECS）为CBH提供部署环境，同时CBH为ECS上资源提供安全管理服务。 ECS为CBH系统后台提供部署环境，后台采用EulerOS操作系统。 用户通过CBH登录ECS上资源，为弹性云上面的服务器、数据库等资源，提供资产管理、登录身份管理、运维会话审计等功能，加强主机资源运维安全。 与弹性IP的关系 弹性IP（Elastic IP，EIP）为CBH提供独立的IP资源，包括IP地址与出口带宽服务。一个弹性IP只能绑定一个云资源使用。EIP与CBH灵活绑定连接Internet，并支持灵活调整带宽，应对访问流量业务的变化。 与云数据库的关系 用户通过CBH登录天翼云关系型数据库（主要是MySQL、SQL Server两类数据库），为数据库资源提供资产管理、登录身份管理、运维会话审计等功能，加强数据库资源运维安全。

数据库审计有哪些版本？ 版本 支持的数据库实例个数 资源需求 性能参数 标准版 3个 CPU：4U 内存：16GB 硬盘：512GB 吞吐量峰值：3,000条/秒 入库速率值：360万条/小时 4亿条在线SQL语句存储。 50亿条归档SQL语句存储。 高级版 6个 CPU：8U 内存：32GB 硬盘：1TB 吞吐量峰值：6,000条/秒 入库速率值：720万条/小时 6亿条在线SQL语句存储。 100亿条归档SQL语句存储。 企业版 12个 CPU：16U 内存：64GB 硬盘：2TB 吞吐量峰值：12,000条/秒 入库速率值：1440万条/小时 10亿条在线SQL语句存储。 200亿条归档SQL语句存储。 旗舰版 30个 CPU：16U 内存：64GB 硬盘：5TB 吞吐量峰值：35,000条/秒 入库速率值：1440万条/小时 16亿条在线SQL语句存储。 200亿条归档SQL语句存储。 数据库审计可以对天翼云上的哪些数据库提供保护？ 数据库审计支持纳管天翼云的云上数据库：TeledbMySQL和TeledbPostgreSQL。 为什么购买数据库审计实例后，不能第一时间在控制台看见创建中的实例？ 购买数据库审计实例时，由于实例所在的虚拟机创建 系统盘和网络配置需要少许时间，所以需要在虚拟机配置完成才能查看创建中的实例。 购买数据库安全服务实例后，建议您刷新页面后，再查看创建中的实例。

标签管理 标签是集群的标识，为集群添加标签，可以方便用户识别和管理拥有的集群资源。翼MR服务通过与标签管理服务（TMS）关联，可以让拥有大量云资源的用户，通过给云资源打标签，快速查找具有同一标签属性的云资源，进行统一检视、修改、删除等管理操作，方便用户对大数据集群及其他相关云资源的统一管理。 您可以在创建集群时添加标签，也可以在集群创建完成后，在集群的详情页添加标签，您最多可以给集群添加10个标签。 集群运维 告警管理 翼MR可以实时监控大数据集群，通过告警和事件可以识别系统健康状态。同时翼MR也支持用户自定义配置监控与告警阈值用于关注各指标的健康情况，当监控数据达到告警阈值，系统将会触发一条告警信息。 翼MR还可以与消息通知服务(SMN)的消息服务系统对接，将告警信息通过短信或者邮件等形式推送给用户。 补丁管理 翼MR集群支持补丁操作，会及时发布开源大数据组件的补丁。用户能够在翼MR集群管理页面上查看到运行集群相关的补丁发布信息，包括其修复问题的详细说明及影响场景，客户可以根据业务运行情况自行选择是否安装补丁。补丁安装过程是一键式操作，无需人工干预，通过滚动安装，补丁升级不会停止业务，保障用户集群长期可用。 翼MR服务可以展示详细的补丁安装过程，补丁管理也支持补丁的卸载和失败回滚。 说明 翼MR 3.x及之后版本暂不支持在管理控制台执行补丁管理操作。

本章节主要介绍翼MapReduce的配置审计日志转储操作。 操作场景 Manager的审计日志默认保存在数据库中，如果长期保留可能引起数据目录的磁盘空间不足问题，管理员如果需要将审计日志保存到其他归档服务器，可以在FusionInsight Manager设置转储参数及时自动转储，便于管理审计日志信息。 若用户未配置审计日志转储，当审计日志达到十万条，系统自动将这十万条审计日志保存到文件中。保存路径为主管理节点“${BIGDATADATAHOME}/dbdataom/dumpData/iam/operatelog”，保存的文件名格式为“OperateLogstoreYYMMDDHHMMSS.csv”，保存的审计日志历史文件数最大为50。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“审计 > 配置”。 3. 单击“审计日志转储”右侧的开关。 “审计日志转储”默认为不启用，开关显示为表示启用。 4. 根据下表填写转储参数。 审计日志转储参数 参数名 参数解释 参数值 SFTP IP 模式 目标IP的IP地址模式，可选择“IPv4”或者“IPv6”。 IPv4 SFTP IP 指定审计日志转储后存放的SFTP服务器，建议使用基于SSH v2的SFTP服务，否则存在安全风险。 192.168.10.51（举例） SFTP端口 指定审计日志转储后存放的SFTP服务器连接端口。 22（举例） 保存路径 指定SFTP服务器上保存审计日志的路径。 /opt/omm/oms/auditLog（举例） SFTP用户名 指定登录SFTP服务器的用户名。 root（举例） SFTP密码 指定登录SFTP服务器的密码。 SFTP服务器的密码 SFTP公共秘钥 可选参数，指定SFTP服务器的公共密钥，建议配置SFTP的公共密钥，否则可能存在安全风险。 转储模式 指定转储模式 “按数量”：日志到达指定条数（默认10万条）时开始转储 “按时间”：指定某一日期开始转储，转储频率为一年一次。 按数量 按时间 转储日期 当选择“按时间”转储模式时可用。选择一个转储日期后，系统将在此日期开始转储。转储的日志范围为当前年份1月1日0时之前的所有审计日志。 1106（举例） 说明 SFTP公共密钥为空时，系统将进行安全风险提示，确定安全风险后再保存配置。 5. 单击“确定”，设置完成。 说明 审计日志转储文件关键字段参考： “USERTYPE”表示用户类型，“0”表示“人机”用户，“1”表示“机机”用户。 “LOGLEVEL”表示安全级别，“0”表示高危，“1”表示危险，“2”表示一般，“3”表示提示。 “OPERATERESULT”表示操作结果，“0”表示成功，“1”表示失败。

审计事件 函数计算已与云审计服务集成，您可以在操作审计中查询用户操作函数计算产生的管控事件。天翼云云审计服务是云安全解决方案中专业的日志审计服务，提供对各类云资源操作记录的收集、存储和查询能力，可用于支撑合规审计、安全分析、资源跟踪和问题定位等常见应用场景。 操作审计记录了用户通过OpenAPI或控制台等方式操作云资源时产生的管控事件，函数计算支持在操作审计中查询的事件如下表所示。 事件名称 事件含义 读写类型 函数创建 创建函数 写 函数删除 删除函数 写 函数更新 更新函数 写 触发器创建 触发器创建 写 触发器删除 触发器删除 写 触发器更新 触发器更新 写 函数版本创建 函数版本创建 写 函数版本删除 函数版本删除 写 函数别名创建 函数别名创建 写 函数别名删除 函数别名删除 写 层创建 层创建 写 层删除 层删除 写 自定义域名创建 自定义域名创建 写 自定义域名删除 自定义域名删除 写 创建工作流 创建工作流 写 删除工作流 删除工作流 写 修改工作流 修改工作流 写 查询工作流 查询工作流 读 触发执行 触发执行工作流，所有启动工作流的方式都会触发此事件 写 查询执行历史 查询执行历史 读 查询执行日志 查询执行日志 读 创建工作流调度 创建一个工作流调度 写 删除工作流调度 删除一个工作流调度 写 更新工作流调度 更新工作流调度 写 查询工作流调度 查询工作流调度列表 读

本文主要介绍使用场景 云审计服务能够为您提供云服务资源的操作记录，记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息，以及操作返回的响应信息。根据这些操作记录，可以很方便的实现审计类功能，以帮助用户更好地规划和利用已有资源、甄别违规或高危操作。 以下介绍三种典型应用场景。 安全审计场景 根据云审计服务收集的日志记录，通过查询具体的、符合某一特征的记录，执行安全分析，判断用户的操作是否符合权限要求。 问题定位场景 当现网某个特定资源或动作出现问题，可根据云审计服务收集的日志记录，通过查询对应时间、对应资源的操作记录，查看当时的请求动作和响应，支撑问题定位分析。 资源跟踪场景 根据云审计服务所记录的操作记录，可以查看任意云服务资源在其整个生命周期内的操作记录，并检视具体操作的细节。

导入数据 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“资产 > 资产管理”。 3. 选择需要编辑的资产所在的资产组，进入资产组页面后，单击“导入数据”。 4. 单击“下载导入文件模板”，填写资产。 5. 选择“重复资产导入策略”。 跳过：重复资产不导入。默认为“跳过”。 覆盖：重复资产导入，覆盖现在的资产配置。 6. 单击“提交”。 资产发现 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“资产 > 资产管理”。 3. 选择需要编辑的资产所在的资产组，进入资产组页面后，单击“资产发现”。 4. 选择“发现方式”。 从天翼云ECS实例发现 扫描出用户的日志审计VPC内状态不包含已过期、包周期已退订、已冻结、错误的ECS实例。 1. 单击“立即扫描”。 2. 勾选需要导入的资产。 3. 选择“重复资产导入策略”。 跳过：重复资产不导入。默认为“跳过”。 覆盖：重复资产导入，覆盖现在的资产配置。 4. 单击“导入到资产列表”。 从日志中发现未知资产 1. 选择“扫描时间范围”。 2. 单击“立即扫描”。 3. 勾选需要导入的资产。 4. 单击“导入到资产列表”。 编辑资产 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“资产 > 资产管理”。 3. 选择需要编辑资产所在的资产组，进入资产组页面后，单击资产列表“操作”列的“修改”。 4. 在修改页面选择需要修改的参数，修改完成后单击“确认”。

本章介绍如何查看操作记录。 云审计服务支持的主机迁移服务关键操作列表 表 云审计服务支持的主机迁移服务操作列表 操作名称 资源类型 事件名称 添加源端信息 sourceServer addSource 删除源端信息 sourceServer removeSource 更新源端名称 sourceServer updateSourceName 创建任务 addTask addTask 删除任务 deleteTask deleteTask 启动任务 updateTask taskstart 停止任务 updateTask taskstop 同步任务 updateTask tasksync 更新任务进度 updateTaskProgress updateTaskProgress 保存模板 addTemplate addTemplate 修改模板 updateTemplate update 删除模板 deleteTemplate deleteTemplate 批量删除模板 deleteTemplates deleteTemplates 操作响应结果 TaskCommand processCommandResult 查询审计事件 操作场景 用户进入云审计服务创建管理类追踪器后，系统开始记录云服务资源的操作。在创建数据类追踪器后，系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录： 在新版事件列表查看审计事件 在旧版事件列表查看审计事件 使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务(OBS)，才可在OBS桶里面查看历史文件。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。

介绍云审计服务支持的性能测试服务操作列表。 云审计服务（Cloud Trace Service，简称CTS），是安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 通过云审计服务，您可以记录与消息通知服务相关的操作事件，便于日后的查询、审计和回溯。 表 支持审计的关键操作列表 servicetype resourcetype resourceid tracename 中文描述 CPTS cptsProject 数据库主键 createCptsProject 创建工程 CPTS cptsProject 数据库主键 deleteCptsProject 删除工程 CPTS cptsProject 数据库主键 modifyCptsProject 修改工程 CPTS cptsTask 数据库主键 createCptsTask 创建任务 CPTS cptsTask 数据库主键 deleteCptsTask 删除任务 CPTS cptsTask 数据库主键 modifyCptsTask 修改任务 CPTS cptsTemp 数据库主键 createCptsTemp 创建事务 CPTS cptsTemp 数据库主键 deleteCptsTemp 删除事务 CPTS cptsTemp 数据库主键 modifyCptsTemp 修改事务 CPTS cptsCase 数据库主键 createCptsCase 创建用例 CPTS cptsCase 数据库主键 deleteCptsCase 删除用例 CPTS cptsCase 数据库主键 modifyCptsCase 修改用例 CPTS cptsVariable 数据库主键 setVaribale 创建变量 CPTS cptsVariable 数据库主键 updateVaribale 修改变量 CPTS cptsVariable 数据库主键 deleteVaribale 删除变量 CPTS cptsTask 数据库主键 tempDebug 任务用例debug CPTS cptsTaskStatus 数据库主键 updateTaskStatus 更新任务状态

本章介绍云审计CTS服务接入LTS。 支持云审计服务CTS日志接入LTS。 具体的操作步骤请参见云审计的“用户指南配置追踪器”章节。

本章节主要介绍支持云审计的关键操作。 云审计服务（Cloud Trace Service，简称CTS）为用户提供了云账户下资源的操作记录，可以帮您记录云数据迁移相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的CDM操作列表 操作名称 资源类型 事件名称 创建集群 cluster createCluster 删除集群 cluster deleteCluster 修改集群配置 cluster modifyCluster 开机 cluster startCluster 重启 cluster startStopCluster 导入作业 cluster clusterImportJob 绑定弹性IP cluster bindEip 解绑弹性IP cluster unbindEip 创建连接 link createLink 修改连接 link modifyLink 删除连接 link deleteLink 创建任务 job createJob 修改任务 job modifyJob 删除任务 job deleteJob 启动任务 job startJob 停止任务 job stopJob

导出历史会话 运维人员通过云堡垒机登录资源运维结束后，审计管理员将会收到历史会话记录，并可导出全部历史会话记录，离线审计历史会话。 前提条件 已获取“历史会话”模块管理权限。 已结束运维会话。 操作步骤 1 登录云堡垒机系统。 2 选择“审计 > 历史会话”，进入历史会话列表页面。 3 （可选）勾选一个或多个历史会话。 若未勾选日志，默认导出全量历史会话。 4 单击右上角“导出”，即可立即下载的CSV格式的文件到本地。 管理会话视频 运维人员通过云堡垒机登录资源运维结束后，审计管理员将会收到历史会话记录。针对Linux命令审计、Windows操作审计全程录像记录，支持生成运维视频，并支持一键下载和删除视频管理。 约束限制 通过Web运维支持文本和视频审计。 通过SSH客户端运维、客户端文件传输和数据库运维仅支持文本审计，不支持视频审计。 视频仅可回放有效会话记录，即登录资源到最后一次会话操作的这一段记录。 生成视频后，视频将缓存在系统空间，占用系统存储空间，建议及时将视频保存在本地并清理磁盘空间。 前提条件 已获取“历史会话”模块管理权限。 已结束运维会话。 生成会话视频 1 登录云堡垒机系统。 2 选择“审计 > 历史会话”，进入历史会话列表页面。 3 在目标历史会话“操作”列，单击“更多 > 生成视频”，系统后台立即启动生成历史会话视频。 “任务中心”提醒有正在执行的任务。当“任务中心”任务执行完成，“消息中心”收到生成会话视频提醒后，会话视频生成完成。 在系统存储空间充足条件下，不限制生成视频的时长和大小。 当系统存储空间不足时，生成视频可能失败。

本文主要介绍云服务操作日志以及审计日志如何接入 云日志服务支持存储各云服务产品上报至云审计的操作日志，可用于长时间存储操作事件日志，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 前置条件 1. 已开通云审计服务，详情请见云审计产品介绍。 2. 已开通对象存储服务，详情请见对象存储产品介绍。 注意 1. 当前仅支持华北2资源池进行配置。 2. 接入操作事件日志，将产生相关存储费用与流量费用，详情请查看云日志服务计费说明。 3. 云审计提供的事件文件转储功能需要使用对象存储服务，会产生对象存储服务费用，相关费用信息请参考对象存储服务文档。 操作方式 1. 开通云审计后，登录云审计控制台。 2. 在云审计控制台左侧菜单栏点击"事件跟踪"，点击"创建跟踪任务"。 3. 根据指引配置，勾选“启用状态”，配置“ZOS存储桶”以及“目录前缀”，完成事件跟踪任务的创建，详情请参考云审计帮助文档。 4. 进入云日志服务控制台，在左侧菜单栏点击“日志接入”，在接入中心的“云服务操作日志”中选择对应的云服务产品。 5. 选择需要存储日志数据的日志项目与日志单元。点击下一步进入日志配置页面。 6. 在日志配置页面中，选择上述第三步已配置的ZOS存储桶以及目录前缀，点击“下一步”，即可完成配置

本文介绍数据管理服务中的核心概念，以便用户更好的理解和使用数据管理服务。 概念大图 组织 组织对应于企业或租户，多个天翼云账号可加入一个组织。每个账号在DMS上的所有操作均限定在所属组织下，跨组织的资源对用户不可见。天翼云主账号首次进入DMS时，系统会自动为该主账号创建一个组织。 用户 一个组织下有多个用户，对应于一个企业下有多名员工。天翼云主账号或子账号均可成为DMS用户使用DMS功能。 团队 一个组织可划分为多个团队，团队对应于企业组织架构中的部门或者DevOps中的研发项目。DMS中的用户和资源可关联到具体的团队，实现管理域的划分。团队的具体作用包括： 企业可按组织架构进行团队划分，团队内闭环完成成员管理和工单审批，实现研发自助、高效协同； 大型组织可将数据库分团队管理，实现运维和管理职责的划分，不同DBA负责不同团队数据库的运维工作； 实现元数据的隔离，普通用户无法看见未加入团队的数据库元数据信息（如：库、表），提升元数据访问的安全性。 此外，每个组织默认都有一个公共团队，公共团队包含组织内所有成员。对于小规模企业，数据库用户和实例数较少，可以直接使用默认的公共团队进行协作，无需创建新团队。

本文主要介绍 基本概念 追踪器 使用云审计服务前需要开通云审计服务，开通云审计服务时系统会自动创建一个追踪器。该追踪器会自动识别并关联当前租户所使用的所有云服务，并将当前租户的所有操作记录在该追踪器中。 目前，一个租户仅支持创建1个管理追踪器和100个数据追踪器。 事件 事件即云审计服务追踪并保存的云服务资源的操作日志。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。 事件分为以下两类： 管理事件 指云服务上报的事件。 数据事件 指OBS服务上报的读写操作事件。 事件列表 事件列表记录了租户对云服务资源新建、修改、删除等操作的详细信息。事件列表最多显示近7天的事件。 事件文件 事件文件是系统自动生成的事件集，云审计服务将按照服务、转储周期两个维度，生成多个事件文件，同步保存至用户指定的OBS桶中。通常情况下，单个服务在单个转储周期内产生的所有事件仅会压缩生成一个事件文件，但在事件数量较多时，系统会根据当前负载情况调整每个事件文件包含的事件数。 事件文件的格式为json，呈现事件的原始内容如图所示。 事件文件示例

本文为您介绍云审计产品的定义。 云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。

本文为您介绍密钥管理服务与其他云服务的关系，以及对应密钥的区分。 KMS与其他云服务的加密关系 KMS集成天翼云产品提供服务端加密能力，实现云上原生数据提供加密保护，有效提升默认安全能力。在创建云产品资源时开启加密功能，您可以自定义加密密钥，支持选择默认密钥和您在KMS中自行创建的用户主密钥。 服务端加密优势 提升云产品内生安全性 加密过程中使用的密钥由用户自定义选择，集中托管在KMS服务中，KMS已通过国家密码管理局审查，获得商用密码产品认证，合规性得到有效保障。 降低研发成本 使用云产品服务端加密能力，您无需自行构建和维护密钥管理基础设施，无需考虑自研数据加密能力所涉及的密钥管理安全及合理性、加密算法的研发等一系列复杂的工程，大幅度降低开发成本。 加密过程透明无感知 服务端加密为您提供内嵌至云服务中的加密方案，您无需关注底层数据加密的细节，只需一键开启加密功能，即可实现数据加密。 支持服务端加密的云产品 云硬盘 对象存储 弹性文件 关系型数据库MySQL版 关系型数据库PostgreSQL版 文档数据库服务 功能详情详见云产品服务端加密。 KMS与云审计服务的关系 已对接天翼云云审计服务，可通过云审计服务查看资源操作的记录，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至日志审计等产品实现永久保存。 KMS与云监控服务的关系 已对接天翼云云监控服务，可通过云监控服务查看实例节点的相关监控指标，并可以设置相关指标的告警规则及通知策略。

云服务 日志描述 日志 日志生命周期范围 Web应用防火墙（Web Application Firewall，WAF） 攻击日志 wafattack 7~30 天 Web应用防火墙（Web Application Firewall，WAF） 访问日志 wafaccess 7~30 天 态势感知（专业版） 合规基线日志 secmasterbaseline 7~10 天 对象存储服务（Object Storage Service，OBS） 访问日志 obsaccess 7~15 天 入侵防御系统（Intrusion Prevention System，IPS） 攻击日志 nipattack 7~180 天 统一身份认证（Identity and Access Management，IAM） 审计日志 iamaudit 7~180 天 企业主机安全（Host Security Service，HSS） 主机安全告警 hssalarm 7~180 天 企业主机安全（Host Security Service，HSS） 主机漏洞扫描结果 hssvul 7 天 企业主机安全（Host Security Service，HSS） 主机安全日志 hsslog 7~15 天 数据安全中心（Data Security Center，DSC） 告警日志 dscalarm 7~180 天 AntiDDoS流量清洗（AntiDDoS） 攻击日志 ddosattack 7~180 天 数据库安全服务（Database Security Service，DBSS） 告警日志 dbssalarm 7~180 天 云审计服务（Cloud Trace Service，CTS） 云审计服务日志 ctsaudit 7~180 天 云防火墙（Cloud Firewall，CFW） 访问控制日志 cfwblock 7~30 天 云防火墙（Cloud Firewall，CFW） 流量日志 cfwflow 7~15 天 云防火墙（Cloud Firewall，CFW） 攻击事件日志 cfwrisk 7~180 天 API网关（API Gateway） 访问日志 apigaccess 7~180 天

支持管理的资源 您购买的非天翼云或者云下服务器，只要与天翼云云堡垒机网络互通并且协议互相支持，就可以通过云堡垒机纳管相应服务器。 支持的主机类型 支持SSH、RDP、VNC、TELNET、FTP、SFTP、SCP、Rlogin协议类型的Windows或Linux主机。 支持的数据库类别 关系型数据库（Relational Database Service，RDS）。 弹性云服务器（Elastic Cloud Server ，ECS）的自建数据库。 支持的数据库类型及版本 数据库引擎 版本 MySQL 5.5，5.6，5.7，8.0 Microsoft SQL Server 2014、2016、2017、2019、2022 Oracle 10g、11g、12c、19c、21c DB2 DB2 ExpressC PostgreSQL 11、12、13、14、15 GaussDB 2、3 支持应用管理的服务器类型及版本 仅支持对Windows服务器和Linux上的应用进行管理 ，且支持的服务器系统如下： 系统类型 系统版本 Windows Windows Server 2008 R2及以上版本 Linux CentOS7.9 说明 目前仅X86版本云堡垒机支持应用运维，ARM版本云堡垒机不支持应用运维。 支持使用的第三方客户端 登录CBH支持的客户端及版本 云堡垒机需通过第三方客户端登录CBH系统，以及调用第三方客户端，实现安全运维管理。 登录方式 支持使用的客户端 版本 ::: Web浏览器登录 Edge 44及以上版本 Web浏览器登录 Chrome 52.0及以上版本 Web浏览器登录 Safari 10及以上版本 Web浏览器登录 Firefox 50.0及以上版本 SSH客户端登录 SecureCRT 8.0及以上版本 SSH客户端登录 Xshell 5及以上版本 SSH客户端登录 Mac Terminal 2.0及以上版本

SQL Server请求分析支持统计并分析数据库中的SQL语句，帮助您快速定位TOP SQL。 前提条件 仅限来源为天翼云RDS的SQL Server数据库。 已录入DMS中，且实例状态正常的数据库实例。 操作步骤 1. 登录数据管理服务。 2. 在左侧导航栏中，单击 SQL治理 > SQL审计，在上方切换到审计日志统计分析界面。 3. 在左上方选择SQL Server数据库，进入SQL Server审计日志统计分析界面。 注意事项 SQL记录为业务实例节点内存中的累计数据，节点重启后数据会清空，并重新计数。 功能介绍 请求分析支持SQL模板执行趋势和SQL模板列表查看。 SQL模板执行趋势查看 选择需要查看的节点，查看自节点启动以来，不同维度的TOP 10 SQL模板趋势。 SQL模板列表查看 选择需要查看的节点，查看自节点启动以来，SQL模板的累计性能数据，支持按不同维度进行SQL模板排序、SQL模板关键字搜索、及SQL模板列表下载。

视频 云服务名称 区域 控制台 OpenAPI 系统策略 云服务名称 区域 支持IAM 支持企业项目 支持IAM 支持企业项目 系统策略 媒体存储 全局 是 否 是 否 有 安全及管理 云服务名称 区域 控制台 OpenAPI 系统策略 云服务名称 区域 支持IAM 支持企业项目 支持IAM 支持企业项目 系统策略 服务器安全卫士（原生版） 全局 是 是 是 否 有 Web应用防火墙 全局 是 是 是 否 有 云审计 全局 是 不涉及 是 否 有 云防火墙（原生版） 全局 是 是 是 否 有 云安全中心 全局 否 否 否 否 无 云等保专区 全局 是 是 否 否 有 密钥管理 全局 是 是 是 是 有 云堡垒机（原生版） 资源池 是 是 否 否 有 云密评专区 全局 是 是 是 是 有 数据库审计 全局 是 是 是 否 有 日志审计（原生版） 全局 是 是 否 否 有 证书管理服务 全局 是 是 是 是 有 数据安全专区 全局 是 是 否 否 有

通过天翼云控制台进入登录页面 1. 登录天翼云云密评专区管理控制台。 2. 在左侧导航栏选择“密码服务”，进入“密码服务”页面。 3. 选择需要登录的综合网关服务实例，单击右上角的“管理”，进入实例登录页面，选择登录方式。 登录方式一：口令登录 1. 在登录页面选择“口令登录”。 2. 依次输入用户名、密码、验证码。 说明 首次登录实例时，请根据界面提示修改密码，否则无法进入系统。 首次登录默认账号如下： 管理员首次登录：默认账号为购买密码产品时，自定义设置的用户名和密码，可以参见获取初始登录账号获取初始账密。 其他用户首次登录：默认账号为管理员创建用户时设置的用户名和密码，请联系管理员获取。 3. 单击“登录”，验证后即可成功登录系统。 登录方式二：UKEY登录 注意 首次使用UKEY登录时，需要在综合安全网关服务登录页面下载并安装UKEY插件。 1. 在登录页面选择“UKEY登录”。 2. 依次输入用户名、密码。 3. 接入UKEY，自动识别已签发UKEY。 4. 输入PIN码。 5. 输入验证码。 6. 单击“登录”，验证后即可成功登录系统。

本节介绍如何购买云安全中心实例。 云安全中心支持包年/包月计费方式，目前提供标准版的主资源，两种扩展资源：日志分析量、态势大屏。您可以根据业务规模选择云安全中心规格。 前提条件 已注册天翼云账号并完成实名认证。 规格限制 态势大屏只可购买一次。 日志分析量扩展资源的购买资源最小单位为50G，即购买时只能选择50G的整数倍。 约束条件 同一账号在同一个区域只能开通一个云安全中心实例，对应一个服务版本。 开通云安全中心实例，必须购买主资源，主资源生效期间，支持叠加购买扩展资源，扩展资源与主资源绑定，到期时间与主资源一致，不支持单独续订、退订。 适用场景 用户购买了天翼云上的安全服务“Web应用防火墙（原生版）、服务器安全卫士（原生版）、云等保专区、数据库审计、云堡垒机（原生版）企业版、云防火墙（原生版）”并部署在天翼云上。 操作步骤 1. 登录天翼云控制中心。 2. 在控制台列表页，选择“安全 > 云安全中心”，进入云安全中心控制台。 3. 单击“立即购买”，进入购买页面。 4. 选择版本信息、扩展资源、购买时长。 参数 说明 基本信息 版本选择 支持“标准版”。规格详情请参见产品规格。 基本信息 计费模式 支持“包年包月”。 扩展配置 购买态势大屏 默认为“现在购买”，也可以选择“暂不购买”。 说明 态势大屏只可购买一次。 扩展配置 购买日志分析量 默认为“现在购买”，也可以选择“暂不购买”。 说明 云安全中心标准版免费提供50G的日志分析额度，如果您需要额外的额度，请另外购买。 日志分析量扩展资源的购买资源最小单位为50G，即购买时只能选择50G的整数倍。 订购 购买时长 拖动时间轴设置购买时长。 订购 自动续订 开启“自动续订”后，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 按月购买，自动续费周期默认为3个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 5. 确认配置参数和配置费用，阅读《云安全中心服务协议》并勾选“我已阅读，理解并接受《云安全中心服务协议》”，单击“立即购买”。 6. 进入“付款”页面，完成付款。

便捷管理 天翼云提供统一的SDWAN管理控制台。用户可登陆天翼云官网SDWAN产品控制台对SDWAN业务进行订购和操作管理；详情请参见登录SDWAN控制台。 SDWAN控制台提供可视化的网络拓扑界面，支持灵活配置和变更业务规则，可实时监控设备状态、链路性能、端口流量等信息，简化用户的运维和管理。 稳定可靠 SDWAN具备多级容灾架构，确保业务稳定性和连续性： 支持设备级容灾，两台设备通过主备方式接入，共享带宽。当其中一台设备故障时，可自动切换设备保障业务的稳定性； 支持链路级容灾，采用多链路接入策略，当主链路故障时，自动切换至备链路； 支持基于五元组、应用类型的带宽限速和优先级混合调度，当带宽过载时进行优先级调度，保障高优先级流量的传输稳定性； 支持接入点容灾，天翼云SDWAN骨干网采用主备POP部署模式，当某个接入POP点不可用时，可在不影响业务连续性的情况下，切换接入到SDWAN骨干网的其他POP点，SLA可靠性高达99.95%； 管控系统采用异地容灾架构，通过多地域节点冗余部署与实时数据同步，可有效规避单点故障风险，故障秒级自动切换，为业务连续性提供高可靠保障。

客户 明确服务诉求，提出需要解决的问题，目标，并提供和服务诉求相关的内容资料，如日志，问题现象，账号信息等。 须指派一名技术接口人，负责双方之协调及相关管理。 提供设备、必要的非生产环境及远程访问通道、权限等，配合天翼云开展服务。 明确对应问题的影响程度，如业务不可用，数据丢失、业务受损等。 审核天翼云给出的服务方案，并提出具体建议及问题。 执行具体的方案实施。 提供相关云产品实例信息、诉求场景的具体说明、业务架构、相关日志和截图等信息，以便于天翼云提供支持和服务。 确保登录账号人员有对应业务和数据的完全操作权限，并确保相关授权的最小化原则。 在天翼云支持和服务的过程中，如客户提供的资料中含有第三方软件，客户应负责与第三方厂商交涉解决问题（如有），天翼云参照支持范围，提供必要的协助。 天翼云 关于天翼云服务与产品功能、使用、容量的基础咨询。 了解客户服务诉求、范围，并结合用户诉求及云产品使用情况制定解决方案，并提供最佳使用建议。 通过在线，工单，电话方式提供日常云产品使用问答及支持。 在获得客户授权后进行与天翼云资源相关的操作或系统问题的技术支持。 与天翼云产品相关的部分第三方软件配置指导以及故障排查。 确保支持过程中用户信息的独占性及私密性。

本文介绍应用性能监控的权限管理。 权限说明 如果您需要对给企业中的员工设置不同的功能权限，您可以使用天翼云统一身份认证（Identity and Access Management，简称IAM）进行权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可帮助您进行权限管理。 通过天翼云统一身份认证IAM，您可以在天翼云主账号中给员工或其他使用者创建IAM用户，并通过权限策略来控制其在应用性能监控中的功能权限。例如您希望某个子用户拥有指标查看权限，但是不希望该子用户拥有删除应用等高危操作的权限，那么您可以创建IAM用户，授予仅能查看监控指标，但是不允许删除应用。 如果天翼云账号已经能满足您的使用需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用应用性能监控的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见IAM产品介绍。 应用性能监控权限 在默认情况下，通过主账号新建的IAM用户没有任何权限，主账号需要将IAM用户加入用户组，并给用户组授予权限策略，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限在应用性能监控进行操作。 策略是IAM提供的细粒度权限集合，可以精确到具体资源、条件等。使用基于策略的授权是一种灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对弹性云主机服务，管理员能够控制IAM用户仅能对云主机的资源进行指定的管理操作。 下表包括了应用性能监控的所有系统策略。 策略名称 描述 策略类别 APM admin 应用性能监控的所有权限，拥有该权限的用户可以操作并使用应用性能监控。 系统策略 APM user 应用性能监控的使用权限，除删除应用权限外，其余权限与Admin相同。 系统策略 APM viewer 应用性能监控的只读权限，拥有该权限的用户仅能查看应用性能监控数据。 系统策略 下表列出了常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 操作 admin user viewer 实例统计列表查询 ✓ ✓ ✓ JVM信息查询 ✓ ✓ ✓ Pod图表查询 ✓ ✓ ✓ SQL分析查询 ✓ ✓ ✓ nosql分析 ✓ ✓ ✓ 异常调用统计分析 ✓ ✓ ✓ 上下游应用 ✓ ✓ ✓ 接口统计列表查询 ✓ ✓ ✓ 数据库调用统计列表查询 ✓ ✓ ✓ 获取接入应用信息 ✓ ✓ × 概览统计数据查询 ✓ ✓ ✓ 慢调用查询 ✓ ✓ ✓ 接口调用统计 ✓ ✓ ✓ 应用实例信息查询 ✓ ✓ ✓ 调用曲线图 ✓ ✓ ✓ 查询数据库拓扑图 ✓ ✓ ✓ 查询拓扑图 ✓ ✓ ✓ 外部调用目标服务统计概览 ✓ ✓ ✓ 外部调用概览的图表 ✓ ✓ ✓ MQ监控 ✓ ✓ ✓ 调用链详情查询 ✓ ✓ ✓ 获取日志配置信息 ✓ ✓ ✓ 查询应用配置 ✓ ✓ ✓ 用量统计页 ✓ ✓ ✓ arms首页 ✓ ✓ ✓ 调用链查询页 ✓ ✓ ✓ web容器查询 ✓ ✓ ✓ 查询数据存储时长 ✓ ✓ ✓ 删除应用 ✓ × × 下载javaagent ✓ ✓ × 开启或关闭调用链日志关联功能 ✓ ✓ × 保存应用配置 ✓ ✓ × 修改数据存储时长 ✓ ✓ ×

云下一代防火墙安全产品如何创建管理员用户？ 要创建管理员用户，请登录云下一代防火墙的web管理页面，导航到系统设备管理选项，然后选择管理员管理。在此处，您可以新建管理员用户，分配唯一用户名和强密码，以及为其分配适当的角色和权限。 注意 创建管理员用户涉及系统权限，因此确保定期审计管理员用户，启用多因素身份验证，并使用最小权限原则来降低管理上的风险。 云下一代防火墙安全产品是否满足三权分离？ 三权分离用于确保权力不会集中在一个单一的实体或个人手中，以防止滥用权力、促进监督和平衡，从而维护公共机构的透明性和效力。在信息安全领域，三权分离原则通常应用于管理系统和数据的访问和操作，以保护网络安全和防止内部滥用权力。 云下一代防火墙安全产品提供内置的管理员、操作员和审计员权限，允许实现三权分离。您可以登录云下一代防火墙的web管理页面，导航到系统设备管理选项，然后选择管理员管理并分配相应权限，以确保合适的角色和职责，但需要定期审计和管理用户权限，以最大程度地减少潜在的管理上风险。

监控云主机 您可以使用天翼云云监控产品来监控您的弹性云主机，云监控支持自动实时监控、告警配置和告警通知，让您更好地掌握弹性云主机的运行状态和各项性能指标。 指标监控：对弹性云主机的各项运行指标进行实时监控。还可以查询历史的监控指标情况。 监控告警：通过配置告警规则，在指标发生异常的第一时间对您进行提醒。及时发现问题并处理，可以有效保障部署在的弹性云主机上的服务持续可用。 更多内容请参见云监控。 备份云主机 您可以通过天翼云云主机备份产品和云硬盘备份产品，对弹性云主机上的数据进行备份，当云主机或主机上的云硬盘出现故障，或者软件造成的数据丢失损坏以及人为错误导致的数据误删时，您可以借助备份功能自助快速恢复数据。 云主机备份 云主机备份（CTCSBS，Cloud Server Backup Service）提供对弹性云主机的备份保护服务，支持基于云硬盘快照技术的备份服务，并支持利用备份数据恢复弹性云主机数据。通过云主机备份服务，可以在发生数据丢失、系统故障、人为错误或恶意攻击等情况下，还原云主机数据，确保业务的连续性和数据的安全性。 更多内容请参见云主机备份。

我可以通过天翼云控制台手动修改由资源栈创建的云服务器（ECS）吗？ 强烈不建议这样做！ 手动修改会导致“配置漂移”，即资源的实际状态与资源栈中记录的状态不一致。当您下次通过资源栈更新或修改该资源时，系统可能会根据模板定义覆盖您的手动更改，导致非预期的结果。所有资源变更都应通过更新模板并重新更新资源栈来完成。 如何进行IAM权限及用户组管理？ 详见文档IAM权限及用户管理

天翼云为您提供云监控服务产品服务协议说明，请您点击查看。 天翼云云监控服务协议

功能 相关服务 云服务器和文件系统归属于同一项目下，用于挂载共享路径实现数据共享。 弹性云主机（Elastic Cloud Server，ECS） VPC为弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云中资源的安全性，简化用户的网络部署。 云服务器无法访问不在同一VPC下的文件系统，使用弹性文件服务时需将文件系统和云服务器归属于同一VPC下。 虚拟私有云（Virtual Private Cloud，VPC） IAM是支撑企业级自助的云端资源管理系统，具有用户身份管理和访问控制的功能。当企业存在多用户访问弹性文件服务时，可以使用IAM新建用户，以及控制这些用户帐号对企业名下资源具有的操作权限。 统一身份认证服务（Identity and Access Management, IAM） 文件系统的加密功能依赖于密钥管理服务。您可以使用密钥管理服务提供的密钥来加密文件系统，从而提升文件系统中数据的安全性。 数据加密服务（Data Encryption Workshop, DEW）的密钥管理KMS功能 当用户开通了弹性文件服务后，无需额外安装其他插件，即可在云监控查看对应服务的性能指标，包括读带宽、写带宽和读写带宽等。 云监控服务（Cloud Eye Service） 为用户提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。通过云审计服务，您可以记录与弹性文件服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务（Cloud Trace Service，CTS）