粒度 解释 示例 备注 PATH 支持填写多个,多个PATH用;隔开。 /qr/;/app/verifyCode/ 目录路径 IP 支持填写多个IP,多个IP间以;隔开。 192.168.1.1;192.168.1.2 客户端ip IPS 支持填写多个IP段,多个IP段间以;隔开。 192.168.1.0/24;192.168.2.0/24 客户端ip段 IPR 支持填写多个IP范围，多个IP范围间以;隔开。 192.168.1.1192.168.1.10;192.168.1.12192.168.1.20 客户端ip范围 IP文件 1.支持上传TXT格式的文件。 2.文件内容支持以下格式的IP地址：1.1.1.1、2.2.2.0/24、3.3.3.33.3.3.5。 3.多个IP地址以分号;或换行符进行分割。（因操作系统差异，如有报错请切换分割符。） 4.IP地址最多支持3000条。 5.添加IP文件匹配字段后，不支持添加其他匹配字段。 客户端IP URI 支持填写多个URI，多个URI间以;隔开。支持正则和字符串匹配。 当选择字符串时，支持下拉框选择对应域名的API资产。 /login.php URI不包括问号后参数 REQUESTURI 支持填写多个REQUESTURI。支持正则和字符串匹配。 /login.php?id1 URI包括问号后参数 METHOD 支持填写多个请求方法，多个请求方法间以;隔开。 GET;POST 请求方式 ARGS 支持正则和字符串匹配。 问号后参数名 GEO 支持选择多个区域。 客户端ip区域 HEADER 支持正则和字符串匹配。 头部 DESTPORT 请求的目的端口，支持填写多个端口，多个端口以;隔开。 54375;8080 目标服务器端口 响应头 响应头。支持正则和字符串匹配。支持”告警“、”跳转“、”拦截“、”源IP封禁“动作。当设置"拦截"动作，若防护范围内某个粒度的请求频率满足触发条件，在对防护范围内的请求执行动作时，会忽略请求中对于该字段的匹配 响应头 状态码 状态码。支持选择2xx~5xx所有状态码，支持选择多个。支持”告警“、”跳转“、”拦截“、”源IP封禁“动作。当设置"拦截"动作，若防护范围内某个粒度的请求频率满足触发条件，在对防护范围内的请求执行动作时，会忽略请求中对于该字段的匹配 200;404;500 响应状态码 JA3指纹 计算请求唯一的JA3指纹。注意：非 SSL 的 HTTP 请求对应 JA3 指纹为空值。 66918128f1b9b03303d77c6f2eefd128

新建资源标签 云堡垒机系统每个用户可自定义资源标签，资源标签仅能个人帐户使用，不能被CBH系统内用户共用。 您可以在创建主机或应用资源时添加标签，也可以在资源创建完成后，在资源或运维列表的详情页添加标签。一个主机或应用默认最大拥有10个标签。 通过云堡垒机纳管主机资源或通过云堡垒机纳管应用服务器可直接配置“标签”参数。本小节主要介绍资源创建完成后，在资源或运维管理页面添加标签，以“主机管理”为操作示例。 前提条件 已获取“主机管理”、“应用发布”、“主机运维”或“应用运维”功能模块权限。 添加标签 1 登录云堡垒机系统。 2 选择“资源 > 主机管理”，进入主机管理列表页面。 3 选择需添加标签主机资源，单击“添加标签”，弹出“添加标签”窗口。 4 输入需自定义标签内容，并按“Enter”创建标签，或在“标签”下拉框选择已创建标签。 5 单击“确定”，返回主机资源管理页面或主机运维管理页面，可查看该主机资源的新建标签。 6 标签添加成功后，可在资源管理列表页的“标签”列，单击下拉框，通过选择设定的标签来检索资源。 删除资源标签 本章节指导您如何删除资源标签。 约束限制 “删除标签”将去除所选资源上的所有标签。 当创建标签不被任何资源使用时，将会自动被删除。 前提条件 已获取“主机管理”、“应用发布”、“主机运维”或“应用运维”功能模块权限。 操作步骤 已添加标签的资源，可对标签进行删除操作，以“主机管理”为操作示例。 1 登录云堡垒机系统。 2 选择“资源 > 主机管理”，进入主机管理列表页面。 主机管理列表页面 3 选择需删除标签主机资源，单击“删除标签”，确认删除提示信息，将删除该主机资源所有标签。 4 返回主机资源管理页面或主机运维管理页面，查看该主机资源标签已被删除。 说明 主机或应用资源标签的单个删除，还可单击主机或应用资源列表的“管理”，在资源基本信息编辑页面，对已有标签单个删除。 自定义系统类型 云堡垒机能管理资源系统类型，并可自定义系统类型。 默认支持14种系统类型。

参数 说明 刷新 刷新当前存储文件管理展示页面。 完整路径 在文件存储服务器中的路径，支持复制。 文件名 文件名或者文件夹名。 大小 若为文件夹时，不显示；若为具体文件时，为文件大小。 修改时间 文件的最后修改时间。 操作 下载

导出弱口令列表 单击弱口令列表上方的“导出”，导出查询条件下的所有弱口令。 导出字段：服务器、IP、用户名称、口令类型、密码值、应用名称、处置状态、最后发现时间。

Web最大并发连接数限制 为了保护Web服务器的可靠性，当访问的用户连接数达到一定数量之后，对新增用户的连接进行限制。防止大量同时登录和访问，导致服务不可用，同时避免DDOS攻击。 参数修改入口：在FusionInsight Manager系统中，选择“集群 > 待操作集群的名称 > 服务 > 服务名 > 配置”，展开“全部配置”页签。在搜索框中输入参数名称。 详见下表：参数说明 配置参数 说明 缺省值 hadoop.http.server.MaxRequests 设置各组件Web的最大并发连接数限制。相关组件为HDFS和YARN。 2000 spark.connection.maxRequest JobHistory允许的最大请求连接数。 5000

失败原因 处理建议 源数据库和目标数据库字符集不一致。 1. 查看源数据库和目标数据库的字符集是否一致： show global variables like "charactersetserver"; 2. 使用命令修改服务器的字符集： set global charactersetserver'<字符集>';

项目 描述 No. 序号。 Pool Name 存储池名称。 ：表示是基础存储池。 Pool Status 存储池状态： Normal：正常。 Deleting：删除中。 Fault Domain 故障域级别： path：数据目录级别。 server：服务器级别。 rack：机架级别。 room：机房级别。 Total Capacity 存储池总容量。 Used Capacity 存储池已用容量。

不支持。 目前不支持将用户已购买的数据盘挂载至轻量型服务器。 用户可在购买轻量型云主机订购时选购数据盘，或在轻量云主机的云盘管理界面新增数据盘，以上操作完成购买后，系统将自动为您挂载，无需其他操作。

级别 最小磁盘 容错能力 可用容量 适用场景 RAID0 2 无 100% 临时数据/高速缓存 RAID1 2 单磁盘故障 50% 系统盘/关键服务 RAID5 3 单磁盘故障 (N1)/N 文件服务器 RAID6 4 双磁盘故障 (N2)/N 大容量存储 RAID10 4 镜像组内故障 50% 高负载数据库

项目 描述 存储池名称 QoS策略关联的存储池名称。 状态 存储池状态： 正常。 删除中。 故障域级别 存储池故障域级别： 数据目录级别。 服务器级别。 机架级别。 机房级别。 容量 存储池总容量。 将鼠标放到进度条，可用显示存储池使用率。

本节介绍了在RabbitMQ实例中如何创建、修改和删除虚拟主机限制策略。 背景信息 RabbitMQ虚拟主机限制管理是一种用于管理RabbitMQ虚拟主机的功能，它允许管理员对虚拟主机的资源和权限进行限制和管理。 虚拟主机是RabbitMQ中的逻辑隔离单位，它允许在同一台RabbitMQ服务器上创建多个独立的消息队列环境。每个虚拟主机都有自己的队列、交换机、绑定和权限设置。通过虚拟主机限制管理，管理员可以对RabbitMQ服务器上的虚拟主机进行细粒度的控制和管理。这有助于确保不同的应用程序或用户之间的隔离性、安全性和资源利用率，提高整个消息队列系统的可靠性和性能。 操作步骤 1.登录管理控制台。 2.进入RabbitMQ管理控制台。 3.在实例列表页在操作列，目标实例行点击“管理”。 4.点击“集群管理”后点击“虚拟主机限制”到达虚拟主机页面，点击“新建”按钮。 5.点击“新建”后出现以下界面，选择虚拟主机，添加限制策略内容。 限制项参数 说明 maxconnections 最大TCP连接。 maxqueues 最大队列数。 6.在目标虚拟主机限制行点击“删除”或“修改”，即可删除当前虚拟主机策略。

此小节介绍云堡垒机产品定义。 云堡垒机（原生版）是一款运维安全管理产品，提供云上安全运维通道，集中管理云上资产及特权账号，统一监控审计运维操作行为，帮助企业满足等保合规测评要求。 产品功能 资产账密管理 支持统一管理、授权资产特权账户，账户在堡垒机中统一存储管理。 特权账户由堡垒机统一代理单点登录， 运维人员登录堡垒机后，无需输入资产账密即可自动登录服务器等资产，降低账密泄漏风险。 资产运维 支持WEB运维，支持主流浏览器无插件化运维，让运维脱离工具和操作系统束缚，随时随地远程运维。 支持PuTTY、SecureCRT、Xshell、WinSCP、Mstsc等专业运维工具完成运维。 安全认证 支持账密+OTP+短信双因子身份认证，保证运维用户登录堡垒机及资产的认证安全。 运维安全管控 支持命令控制、文件操作控制，对服务器中敏感、高危操作进行管控。 支持工单管理审批模式，重要运维需要授权人审批授权才能执行运维指令，保障敏感核心资源安全。 资产访问授权 集中管控用户访问系统和资源的权限，对系统和资源的访问权限进行细粒度设置，保障了系统管理安全和资源运维安全。

使用INSERT多行插入 如果不能使用COPY命令，而您需要进行SQL插入，可以根据情况使用多行插入。如果一次只添加一行或几行，则数据压缩效率低下。 多行插入是通过批量进行一系列插入而提高性能。下面的示例使用一条INSERT语句向一个三列表插入三行。这仍属于少量插入，只是用来说明多行插入的语法。 向表customert1中插入多行数据： INSERT INTO customert1 VALUES (6885, 'maps', 'Joes'), (4321, 'tpcds', 'Lily'), (9527, 'world', 'James'); 使用COPY命令导入数据 COPY命令从本地或其它数据库的多个数据源并行导入数据。COPY导入大量数据的效率要比INSERT语句高很多，而且存储数据也更有效率。 使用gsql元命令导入数据 copy命令在任何psql客户端登录数据库成功后可以执行导入数据。与COPY命令相比较，copy命令不是读取或写入指定文件的服务器，而是直接读取或写入文件。 这个操作不如SQL COPY命令有效，因为所有的数据必须通过客户端/服务器的连接来传递。对于大量的数据来说SQL命令可能会更好。 说明 COPY只适合小批量，格式良好的数据导入，容错能力较差。导入数据应优先选择GDS或COPY 。

本章主要介绍API安全常见问题。 怎样保护API？ 使用身份认证 创建API时，为API调用增加身份认证，如使用IAM认证或API网关提供的APP认证，防止API被恶意调用。 设置访问控制策略 从IP地址（或地址区间）以及帐号等不同维度，设置白名单/黑名单。 将API绑定流控策略，通过流控策略保护API。 API网关默认API流量控制为每秒200次，如果您的后端服务不能支撑单个API 200次/秒的调用请求，可设置流量控制策略，将限额调低。 怎样保证API网关调用后端服务器的安全？ 通过以下方法确保API网关调用后端服务器的安全： 为API绑定签名密钥。 在绑定签名密钥后，API网关到后端服务的请求增加签名信息，后端服务收到请求后计算签名信息，验证计算后的签名信息与API网关的签名信息是否一致。 使用HTTPS对请求进行加密。 需要确保已有相应的SSL证书。 使用后端认证： 您可以对后端服务开启安全认证，只受理携带正确授权信息的API请求。在创建API的定义后端服务阶段，可以开启后端认证。 能否针对VPC通道内的ECS私有IP进行访问控制 不支持。

接口功能介绍 统计最近一次弱口令检测扫描出的信息。 接口约束 此功能为收费功能。确认已经购买系统配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI POST /v1/weakpw/group 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 currentPage 是 Integer 分页当前页码 1 pageSize 是 Integer 页大小 10 checkType 是 String 检测弱口令类型 1：系统弱口令:2：应用弱口令，多个用英文逗号隔开 1 param 否 String 查询参数 12a agentGuid 是 String agentGuid testagentguid 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 total Integer 总数 100 list Array of Objects 结果集 list pageNum Integer 当前页 1 pageSize Integer 每页的数量 10 表 list 参数 参数类型 说明 示例 下级对象 userName String 用户名 test weakType String 弱口令类型 空口令/系统默认弱口令/密码包含用户名/常见弱密码 空口令 passwd String 密码脱敏，如t t findTime String 首次发现时间 20220406 10:10:10 timestamp String 最后发现时间 20220406 10:10:10 app String 应用名称 app version String 应用版本 1.0.0

本节为您介绍如何为集群安装Agent。 如果您想要为CCE集群的所有node节点或自建k8s集群所有节点安装Agent，可以通过集群Agent管理功能为集群安装Agent，使用该功能后，后续集群节点或Pod扩容时，无需您手动安装Agent。 CCE集群安装Agent 1、登录管理控制台。 2、在左侧导航栏中，选择“资产管理 > 容器管理”，进入“容器管理”界面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 3、选择“集群Agent管理 > CCE集群 "页签。 4、在目标集群所在行的操作列，单击“安装Agent”。 您也可以勾选所有目标集群，并单击列表左上方的“安装Agent”，批量为CCE集群安装Agent。 5、在弹窗中单击“确认”，为CCE集群所有节点主机安装Agent。 安装Agent预计耗时10分钟，请您等待10分钟后，鼠标滑动至“节点Agent安装状态”列查看节点Agent安装情况。 自建集群安装Agent 1、登录管理控制台。 2、在左侧导航栏中，选择“资产管理 > 容器管理”，进入“容器管理”界面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 3、选择“集群Agent管理 > 自建集群”页签。 4、单击“接入自建集群”。 5、在“接入自建集群”弹窗中，填写集群信息并单击“生成命令”。 您可以在弹窗中，单击“保存”，保存本次生成的命令。 6、在可执行k8s命令的主机中创建一个新的yaml文件，例如abcd.yaml。 7、将生成的命令拷贝到abcd.yaml中。 8、在主机中执行以下命令，运行abcd.yaml，安装Agent。安装Agent预计耗时10分钟，请您耐心等待。 kubectl apply f abcd.yaml 9、命令运行完成后，返回HSS控制台。 10、在左侧导航栏，选择“安装与配置”，进入“安装与配置”界面。 11、选择“Agent管理”页签，查看集群服务器的Agent状态为“在线”，表示Agent安装成功。

数据库审计是否支持备份行为的过滤，具体是怎样实现的？ 可以通过设计规则来实现，如源IP是主数据库，目的IP是备数据库，这类命令全部过滤，不审计。 数据库审计Agent在服务器上生成的日志包含哪些内容？ 数据库审计Agent在服务器上生成的日志只是Agent的运行日志，且日志的容量有上限，50M7350M，存7天，循环覆盖，单日最大是50M。 数据库审计是否支持报表导出ofd格式？ 不支持。 在数据库所在服务器上，用数据库工具对数据库进行操作能审计到吗？ 对应本地审计功能，通过安装Agent的方式是可以的。 用户的数据库有区分主库和备库，这种情况占用几个授权？ 数据库审计对授权占用是按照“业务IP+端口”这个组合来确定的，每一个这样的组合会占用一个授权，可以结合实际主库和备库对外“业务IP+端口”的数量来确定需要的授权数。 数据库审计是否支持对于某个数据库的日志单独设置保存时长，或者单独设置日志外送？ 不支持单独设置某个库的日志存留时间，但是可以对某个库单独设置日志外送任务，在外送任务建立之后，会实时转发每一条日志，但是对于设置日志外送任务之前的日志，则无法单独外送。 加密的数据库，没有密钥，是否有审计数据？ 无密钥，就没有审计记录。 SSH远录登陆审计与本地审计是否支持？ SSH远程登录审计指的是，在远程通过SSH登录数据库本地的情况下，可以审计到远程的设备的IP，并不会因为此次行为的本质是数据库本地操作而止步数据库IP作为源IP。 SSH远程登录，源头IP被审计到之后，下一步会流转到本地回环审计或本地审计： 本地回环审计，会产生网络流量，会有审计日志，审计日志中的源IP会显示为远程登录的设备的IP，对所有支持的数据库协议都可用。 本地审计，无网络流量，这种情况要看数审目前支持的本地审计的矩阵，矩阵之内的，可以审计到，并且有审计日志，在矩阵之外的，审计不到，没有审计日志。

在备份任务正在执行或完成后，可以通过各种筛选条件在备份列表查看备份详情。 在备份任务正在执行或完成后，可以通过各种筛选条件在备份列表查看备份详情。 前提条件 备份任务已创建。 查看备份详情 1. 登录云服务备份管理控制台。 a. 登录管理控制台。 b. 单击管理控制台左上角的，选择区域。 c. 单击“”，选择“存储 > 云服务备份”。选择对应的备份目录。 2. 在任一备份页面，选择“备份副本”页签，通过筛选条件查看备份。 通过备份列表右上角的状态查询备份。备份的状态取值如下表。 状态 状态属性 说明 所有状态 显示所有备份。 可用 稳定状态 备份完成之后的稳定状态。该状态下可以执行各种操作。 正在创建 中间状态 从开始备份到备份完成中间的状态。在任务列表中，可以看到该状态下会有进度条提示备份的完成情况，如果进度条长时间不变，则说明出现异常，需要联系客服处理。 正在恢复 中间状态 使用备份恢复数据的中间状态。在任务列表中，可以看到该状态下会有进度条提示备份恢复的完成情况，如果进度条长时间不变，则说明出现异常，需要联系客服处理。 正在删除 中间状态 删除备份到删除完成中间的状态。在任务列表中，可以看到该状态下会有进度条提示备份删除的完成情况，如果进度条长时间不变，则说明出现异常，需要联系客服处理。 错误 稳定状态 当执行过程中出现异常情况时，备份的“备份状态”会变成“错误”。此状态下的备份不能用来恢复，需要手动删除。如果手动删除无法完成，需要联系客服处理。 通过备份列表右上角的高级搜索查询备份。可以通过备份状态，备份名称、备份ID、存储库ID、服务器名称、服务器ID、服务器类型或复制，以及创建时间段的交集进行搜索。 通过备份列表上方的企业项目查询备份。 通过备份列表右上角的图标导出云服务备份列表。 3. 单击备份名称，可以查看备份的详情。

Demo上传 1. 将ctyunmsedemo.tar.gz文件下载、上传至云主机。 2. 执行命令tar –zxvf ctyunmsedemo.tar.gz，解压ctyunmsedemo文件。 3. 执行命令cd quickstart，解压后进入quickstart文件夹。quickstart文件夹信息： appa ：appa服务文件夹 appb ：appb服务文件夹 appc ：appc服务文件夹 logs ：项目启动后日志存放路径 simpledemo ：快速上手demo zuul ：网关服务 ctyunmsedemo.config ：启动配置文件 Demo启动 1. 启动simpledemo，快速体验接入流程。 编辑配置文件ctyunmsedemo.config，修改simpledemo端口（可选），mseagentpath、mselicenseKey和msemscendpoint参数。 simpledemoserverport：simpledemo默认启动端口为26150 mseagentpath：前置条件、agent上传云主机存放路径 mselicenseKey：前置条件、控制台生成licenseKey msemscendpoint：前置条件、控制台获取msemscendpoint 执行命令cd simpledemo，进入simpledemo文件夹。 执行命令sh startsimple.sh，启动脚本startsimple.sh。 执行命令more ../logs/simpledemoinfo.log,查看logs文件中的info.log文件是否启动成功。 查看应用治理或者网关治理，确认您的应用已经接入到微服务治理中心。 启动appa、appb、appc和zuul，快速体验微服务治理能力。 编辑配置文件ctyunmsedemo.config，修改应用A、B、C端口信息（可选）、注册中心Nacos相关配置、mseagentpath、mselicenseKey、msemscmendpoint等信息。配置详情如下： appaserverport：设置A服务端口：默认26160 appbserverport：设置B服务端口：默认26165 appcserverport：设置C服务端口：默认26170 zuulserverport：设置zuul服务端口：默认26180 nacosserveraddr：前置条件、nacos服务器地址 nacosserverusername：前置条件、 nacos服务器用户名 nacosserverpassword：前置条件、nacos服务器密码 nacosnamespace：前置条件、nacos服务器命名空间 mseagentpath：前置条件、agent上传云主机存放路径 mselicenseKey：前置条件、控制台生成licenseKey msemscendpoint：前置条件、控制台获取msemscendpoint 启动appa服务 1. 执行命令cd appa，进入文件夹。 2. 执行命令sh startappa.sh，启动脚本。 3. 执行命令more ../logs/appainfo.log，查询日志。 4. 查看应用治理或者网关治理，确认您的应用已经接入到微服务治理中心。 启动appb服务 1. 执行命令cd appb，进入文件夹。 2. 执行命令sh startappb.sh，启动脚本。 3. 执行命令more ../logs/appbinfo.log，查询日志。 4. 查看应用治理或者网关治理，确认您的应用已经接入到微服务治理中心。 启动appc服务 1. 执行命令cd appc，进入文件夹。 2. 执行命令sh startappc.sh，启动脚本。 3. 执行命令more ../logs/appcinfo.log，查询日志。 4. 查看应用治理或者网关治理，确认您的应用已经接入到微服务治理中心。 启动zuul 1. 执行命令cd zuul，进入文件夹。 2. 执行命令sh startzuul.sh，启动脚本。 3. 执行命令more ../logs/zuulinfo.log，查询日志。 4. 查看应用治理或者网关治理，确认您的应用已经接入到微服务治理中心。

本文介绍Windows AD的认证源创建方式。 功能介绍 Windows AD 是 Microsoft 提供的本地化用户目录管理服务。在AOne中配置AD认证源，可实现用户使用AD的账户密码登录的功能。本文介绍如何使用AD作为认证源。 注意 目前该能力暂未全面开放至控制台，若想要进行该能力配置，可 客户端集成AD认证源版本为：PC客户端版本（windows、macOS、Linux图形化）为2.12.0及以上版本，移动端（安卓、IOS）为1.14.0版本。 操作步骤 管理员创建AD认证源 即AD当作认证源，其管理登录认证验证，AOne客户端登录时进行转发给AD进行认证，因零信任需要针对用户、组织进行精细化授权，建议采用AD同步提前将用户信息导入，配置对应权限。 1、添加认证源 进入扩展认证源列表，点击“添加认证源”，进行AD认证源添加。 2、选择认证源类型 选择AD 认证源类型。输入配置参数，完成AD认证源配置。 配置参数说明： 参数 说明 认证源名称 必填，默认值“AD”，输入限制为16个字。 服务器地址 必填，分为链接方式、服务器地址和端口三个部分： 下拉选择域名为ldap:// 或者 ldaps://。 输入服务器地址。 输入端口号。 同步密码到 AD 时必须开启 StartTLS 或 ldaps，非同步密码场景也推荐开启，可以有效提高数据传输的安全性。一般使用 389 或 636 端口。 管理员账户 必填，请输入登录名，如admin@example.com。支持DN格式，并请确保该账户至少拥有全部节点的读取权限；如需同步账户或密码到 AD，还需分配写入权限。 管理员密码 必填，该账户的登录密码。 User DN 必填，AD服务器的根目录，通常是DN（Distinguished Name）的路径。例如：dctest,dclocal。 查询条件 必填，无特殊情况一般为objectclass，查询User DN下所有的对象。 此处也可定义搜索条件，确定哪些条目（Entry）符合查询要求，例如： (objectClassperson)：查找所有对象类为“person”的条目。 (cnJohn Doe)：查找常见名称（cn）为“John Doe”的条目。 (uid)：查找所有具有“uid”属性的条目。 &（和）、（或）、!（非）等逻辑运算符可以用来组合多个条件。 用户登录标识 必填， 会同步至AOneId的username（账号）字段，也是用户使用AD登录时账号字段。 用户信息映射规则 必填，同步AD数据至AOneId的映射关系，支持多个，目前AOneId仅支持配置name、mobile、email、nickname 4个字段的映射规则。 例如：namedisplayName;mobilehomePhone;emailmail; nicknamegivenName。 注意： AOneId中的name（姓名）同步AD中的displayName字段 AOneId中的mobile（手机号）同步AD中的homePhone字段 AOneId中的email（邮箱）同步AD中的mail字段 AOneId中的nickname（昵称）同步AD中的givenName字段 登录模式 必填，目前支持登录注册。 适用范围 必填，目前支持PC端和移动端。 logo 非必填，用于在认证源列表展示的logo。

本章节主要介绍连接类问题 权限不足导致数据库实例连接失败怎么办 1. 报错信息：您的权限不足。策略不允许执行das:connections:xxx 。 报错原因：您的帐号没有添加DAS FullAccess权限。 2. 报错信息：您没有执行此操作的权限，请联系您的管理员为您开通权限。 报错原因：您的帐号没有添加DAS FullAccess权限。 3. 报错信息：您当前登录的帐号仅具有只读权限，不能执行此操作。为确保您顺利使用DAS，请添加DAS Administrator权限。 报错原因：您的帐号没有添加DAS FullAccess权限。 RDS for MySQL实例连接失败怎么办 1. 报错信息：Access denied for user 'username'@'100.xxx.xx.xx' (using password: YES)。 a. 报错原因：RDS实例用户名或密码不对。 解决方法：请确认数据库用户名和密码是否正确，如果您不确认密码是否正确，可以在RDS控制台重置实例密码。 须知 修改密码可能会影响业务，请谨慎操作。 如果确认帐户名和密码正确，可以通过客户端或命令行工具登录数据库，执行select from mysql.user where user 'username'命令查看用户信息，如果存在100.%网段的用户，则DAS只能通过100.%网段的数据库用户去连接数据库。username @%与username @100.%是两个用户，其密码和权限都是独立的，请确认输入的密码是否是username @100.%用户的密码。 b. 报错原因：DAS服务器的IP地址不在您输入用户的白名单中。 解决方法：使用客户端或命令行工具登录到数据库，创建DAS可以访问的数据库用户。 create user 'username'@'100.%' identified by 'password'; grant select on . to 'username'@'100.%'; 说明 lDAS服务器IP地址所在网段为100.%，请根据实际使用需要添加白名单。 l请根据实际使用需要给username@100.%用户赋予权限。 c. 报错原因：使用SSL用户登录，服务端没有开启SSL功能。 解决方法：请执行如下语句查询用户是否是SSL用户，如果是，则在RDS实例详情页面，将SSL开关打开。其中，ssltype字段有值即表示此用户是SSL用户。 select user, host, ssltype from mysql.user where user 'username'; 2. 报错信息：Trying to connect with ssl, but ssl not enabled in the server 报错原因：使用SSL用户登录，服务端没有开启SSL功能。 解决方法：请执行如下语句查询用户是否是SSL用户，如果是，则在RDS实例详情页面，将SSL开关打开。其中，ssltype字段有值即表示此用户是SSL用户。 select user, host, ssltype from mysql.user where user 'username'; 3. 报错信息：Client does not support authentication protocol requested by server. plugin type was 'sha256password' 报错原因：DAS暂不支持密码的加密方式为sha256password的数据库用户连接登录。 解决方法：请执行如下语句将密码的加密方式改为mysqlnativepassword。 alter user 'username'@'%' identified with mysqlnativepassword by 'password'; 4. 报错信息：Communications link failure The last packet sent successfully to the server was 0 milliseconds ago. The driver has not received any packets from the server 报错原因：DAS服务器与实例网络不通。 解决方法：请联系技术支持协助处理。 5. 报错信息：Instance connect timeout, please login again. 报错原因：DAS服务器连接超时。 解决方法：请联系技术支持协助处理。

本节介绍如何查看集群审计日志。 查看事件统计 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群审计”，进入集群审计页面。 3. 查看事件统计信息：统计信息分为审计事件总数、操作用户总数、添加事件总数、删除事件总数、更新事件总数、查看事件总数、操作类型分布、资源操作分布、返回状态码、操作用户分布，帮助客户更直观的查看集群内的异常事件分布。 查看日志列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群审计”，进入集群审计页面。 3. 查看页面下方的审计日志列表，方便用户溯源事件。 日志列表内，支持按照“安全状态”、“日志级别”、“日志所属阶段”、“操作对象”、“操作类型”、“对应客户端”、“客户端节点IP”、“API响应状态”进行筛选查询。 日志信息参数说明： 参数 说明 日志级别 审计日志根据日志策略可以选择事件保存的等级，根据等级不同，APIServer记录日志的详细程度也不同。 目前支持的日志等级有： None：不记录日志。 Metadata：只记录Request的一些metadata（例如user, timestamp, resource, verb等），但不记录Request或Response的body。 Request：记录Request的metadata和body。 RequestResponse：最全记录方式，会记录所有的metadata、Request和Response的Body。 日志所属阶段 审计日志根据日志策略可以选择在事件执行的某个阶段记录。 目前支持的事件阶段有： RequestReceived：接收到事件且在分配给对应handler前记录。 ResponseStarted：开始响应数据的Header但在响应数据Body发送前记录，这种一般应用在持续很长的操作事件，例如watch操作。 ResponseComplete：事件响应完毕后记录。 Panic：内部出现panic时记录。 操作对象 操作的资源类型。 所在集群 操作对象所属集群。 操作类型 操作类型分为get获取、watch监控、list获取、update更新、create创建、patch修改、delete删除这些类型。 update和patch的区别：update请求需要将整个修改后的对象提交给 k8s；而patch请求只需要将对象中某些字段的修改提交给k8s。 对应客户端 事件服务的客户端名称（在userAgent中定义）。 访问源IPv6/IPv4 事件服务的客户端所在节点的IP地址。 API响应状态 API响应状态码分为以下几类： “1XX”为信息性状态码（informational）。 “2XX”为成功状态码（Success）。 “3XX”为重定向状态码（Redirection）。 “4XX”为客户端错误状态码（Client Error）。 “5XX”为服务端错误状态码。 常用的状态码解释说明如下： 200：OK，请求成功，具体意义根据请求所使用的方法不同而不同。 201：Created，请求成功并创建了资源； 403：Forbidden，表示身份认证通过了，但是对服务器请求资源的访问被拒绝了； 404：Not Found，表示服务器找不到你请求的资源； 409：Conflict，表示请求与服务器当前状态冲突。通常发生在更新资源时，主要是处理并发问题的状态码。 500：Internal Server Error，表示服务器执行请求的时候出错了。 API请求URL API请求URL的地址。 安全状态 安全状态分为正常和异常这两种，异常是指触发了内置策略的事件。 请求时间 事件的请求时间。 4. 单击日志列表内的下拉按钮，可展开查看事件的json格式详情。

参数 普通IO 高IO 通用型SSD 超高IO 极速型SSD 每GB云硬盘的IOPS 2 6 8 50 50 单个云硬盘的最大IOPS 2200 5000 20000 33000 128000 单个云硬盘的基线IOPS 500 1200 1500 1500 1800 单个云硬盘IOPS上限 min (2200, 500 +2 × 容量) min (5000, 1800 + 8 × 容量) min (20000, 1800 + 12 × 容量) min (33000, 1800 + 50 × 容量) min (128000, 1800 + 50 × 容量) 单个云硬盘的IOPS突发上限 2200 5000 8000 16000 64000 云硬盘吞吐量性能计算公式 50 MB/s min (150, 100 + 0.15 × 容量) MB/s min (250, 100 + 0.5 × 容量) MB/s min (350, 120 + 0.5 × 容量) MB/s min (1000, 120 + 0.5 × 容量) MB/s 最大吞吐量 50 MB/s 150 MB/s 250 MB/s 350 MB/s 1000 MB/s API名称 说明 此处API名称为云硬盘API接口中“volumetype”参数的取值，不代表底层存储设备的硬件类型。 SATA SAS GPSSD SSD ESSD API名称 说明 此处API名称为云硬盘API接口中“volumetype”参数的取值，不代表底层存储设备的硬件类型。 SATA SAS GPSSD SSD ESSD API名称 说明 此处API名称为云硬盘API接口中“volumetype”参数的取值，不代表底层存储设备的硬件类型。 SATA SAS GPSSD SSD ESSD 典型应用场景 适用于大容量、读写速率中等、事务性处理较少的应用场景，例如企业的日常办公应用或者小型测试等。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 典型应用场景 如果应用需要更高的IO性能，建议您选择超高IO或高IO云硬盘。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 典型应用场景 如果应用需要更高的IO性能，建议您选择超高IO或高IO云硬盘。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 典型应用场景 如果应用需要更高的IO性能，建议您选择超高IO或高IO云硬盘。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 典型应用场景 如果应用需要更高的IO性能，建议您选择超高IO或高IO云硬盘。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 典型应用场景 如果应用需要更高的IO性能，建议您选择超高IO或高IO云硬盘。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 单队列访问时延 5 ms ~ 10 ms 1 ms ~ 3 ms 1 ms 1 ms 亚毫秒级

本文为您介绍新增备份集管理的具体操作。 备份集是一次备份数据的集合，它包含本次备份的所有备份片，记录了备份数据的相关信息，备份集根据备份的类型不同，通常可分为全量备份集，增量备份，差异备份集，备份集管理页面包含了所有备份和复制任务产生的备份集相关信息，恢复时支持按条件搜索特定的备份集实现恢复。不同备份的相关解释如下： 全量备份：针对备份对象的完整的备份，数据恢复不依赖于任何其他备份集。 增量备份：是指相较于前一个备份（全量/增量/差异）差异增量的备份。 差异备份：是指相较于前一个全量备份的差异增量的备份。 备份集管理 备份集管理分为主副本和全副本视图两个页面。 主副本视图 主副本视图具体页面及相关操作如下： 备份集搜索栏：备份集支持按备份ID、备份源、备份规则名称、备份时间范围、备份规则类型、备份服务器、目标存储单元（组）等条件进行相关备份集的搜索。 右上角显示当前页备份集数据大小及所有备份集总数据大小。 1. 备份集管理列表说明如下： 备份ID：显示该备份集对应的备份ID。 备份源：显示该备份集对应的备份源，通常为客户端节点名称。 实例名：显示该备份集对应的实例名字，仅数据库才显示。 对象：作为数据源备份集管理预留字段使用。 表空间：显示备份集对应的表空间名称，仅数据库才显示。 备份时间：显示该备份集的备份时间。 过期时间：显示该备份集过期时间（备份时间+保留时间）。 状态：显示当前备份集的状态。 正常：该备份集未过期，数据可用且没有被使用。 过期：该备份集已经过期，未启动清理。 清理：该备份集已过期，正在清理底层备份集数据。 正忙：该备份集副本正在被使用，不能删除。 无效：底层访问备份集数据时访问失败，此时，调度服务器将该备份集设置为“无效”状态。访问备份集时机为：备份集复制和恢复、界面发起备份集验证、备份集过期时删除备份集。 文件数量：显示当前备份集的文件数量。 大小：显示备份集的大小。 磁盘池：显示备份集所属的磁盘池名称。 磁带池：显示备份集所属的磁带池名称。 备份规则：现在该备份集对应的备份规则名称。 副本数：显示该备份集的副本数量。 主副本：显示该备份集是否为主副本，即第一次产生的备份副本。 备份类型：显示该备份集对应的备份类型。 备份计划：现在该备份集对应的备份计划名称。 备份服务器：显示该备份集所属的备份服务器。 存储介质：显示该备份集对应的存储介质。 磁带条形码：显示该备份集对应的磁带条形码 备份集清理次数：显示备份集过期清理的次数。 平台名称：显示备份集对应的平台名称，一般用于虚拟化备份场景。 平台类型：显示备份集对应的平台类型，一般用于虚拟化备份场景。 2. 备份集管理操作列表说明如下： 查看：查看该备份集详细信息。 恢复：恢复该备份集。 验证：通过“验证”操作，可以验证备份集是否可以访问，如果能成功访问，调度服务器会将该备份集设置为“正常/过期”状态。 强制删除：当备份集过期清理次数>备份集清理失败重试次数后，操作栏将显示“强制删除”操作，此时可强制删除清理失败的备份集，备份集清理正常情况下，不显示。 3. 操作栏说明如下： 延长期限：可以手动延长备份集的过期时间，从而设置新的备份集过期时间。 单选或者多选备份集时，不能对状态为“过期”和“清理”的备份集延长保留期限； 立即过期：将该备份集的过期时间设置为当前时间。 复制：即备份集手动复制，支持将源备份集手动复制到目标存储单元（组）并设置目标备份集保留期限。 创建手动复制任务时需要关联备份集复制规则，同时可查看备份集复制规则详细信息。 若备份集复制规则已开启传输压缩、传输加密、带宽控制等选项，则手动复制将继承其特性。 验证：通过“验证”操作，可以验证备份集是否可以访问，如果能成功访问，调度服务器会将该备份集设置为“正常/过期”状态。每一个备份集“验证”都会生成一个单独的备份集验证任务，如果一次验证包含多个备份集，则将发起多个备份集验证任务，验证任务可在“总览”>“定时任务”查看。 强制删除：可强制删除对应的备份集。 只能删除操作栏带有“强制删除”按钮的备份集，其他备份集不允许删除。 如果批量选择备份集，执行强制删除操作，将自动过滤掉不允许强制删除的备份集。 强制删除后的备份集，将进入已过期备份集记录中。

本节主要介绍Linux客户端怎么在重启服务器之后，直接挂载HBlock创建的LUN。 应用场景 客户端已经挂载HBlock创建的LUN，为实现服务器开机启动后自动挂载LUN。 前提条件 Linux客户端已经挂载HBlock创建的LUN。 具体操作 在将HBlock创建的LUN挂载到客户端之后，可以请参考以下步骤： 说明 如果配置文件/etc/iscsi/iscsid.conf中node.startupmanual，可以使用下列方法任意一种： 修改配置文件/etc/iscsi/iscsid.conf中的node.startupautomatic，然后依据/etc/multipath.conf配置文件中的设置，选择挂载步骤。 对每个target配置，在客户端重启时自动登录，执行下面的命令：iscsiadm m node T TargetIQN p SERVERIP opupdate n node.startup v automatic，然后依据/etc/multipath.conf配置文件中的设置，选择挂载步骤。 如果配置文件/etc/iscsi/iscsid.conf中node.startup automatic，依据/etc/multipath.conf配置文件中的设置，选择挂载步骤。 若/etc/multipath.conf中配置了userfriendlynames yes，可以按照下列步骤执行： 1. 在客户端使用命令lsblk f查看挂载设备的文件系统信息，找到文件系统对应的UUID： plaintext [root@client ~] lsblk f NAME FSTYPE LABEL UUID MOUNTPOINT sda mpathmember └─mpatha └─mpatha1 ext4 7269eef6e401454aacb4503d33337f21 /mnt/diskmpatha sdb mpathmember └─mpatha └─mpatha1 ext4 7269eef6e401454aacb4503d33337f21 /mnt/diskmpatha vda ├─vda1 swap 9e33bd6fc68c41c795c8703f4fe8c3d4 [SWAP] └─vda2 xfs a83f4fdc2ea14feca1e2a42016ce0afe / vdb └─vdb1 ext4 74296a9e8cfd470889b108086f71175b vdc └─vdc1 ext4 a9fedea4391e4d2a8824c9a3a6853394 2. 在/etc/fstab文件中新增HBlock创建的LUN挂载信息，下次开机启动时可以自动挂载该LUN。 plaintext UUID7269eef6e401454aacb4503d33337f21 /mnt/diskmpatha ext4 defaults,netdev 0 0 若/etc/multipath.conf中配置了userfriendlynames no，可以按照下列步骤执行： 1. 在客户端使用命令lsblk f查看挂载设备的文件系统信息： plaintext [root@client ~]

本文介绍CentOS 7系列操作系统的云主机安装图像化界面的操作流程。 约束与限制 弹性云主机安装图形化界面前，请确保云主机内存不小于2GB，否则可能出现图像化界面安装失败，或安装后无法启动的问题。 操作步骤 本文操作以CentOS7.9 64位弹性云主机为例。 1. 登录弹性云主机。 2. 执行以下命令，安装图形桌面组件。 yum groupinstall "Server with GUI" 说明 说明：安装前请确保云服务器可以连通互联网，可以通过申请并绑定弹性IP连通互联网。 安装完成示例： 3. 安装完成后，执行以下命令设置默认启动级别为 graphical.target。 systemctl setdefault graphical.target 设置命令示例： 4. 执行以下命令启动graphical.target。 systemctl start graphical.target 5. 重启服务器。 通过控制台提供的远程登录方式连接云主机，并按照桌面启动的提示设置语言、时区、用户名及密码等。 连接成功后，设置示例： 配置成功示例：

本文主要介绍流量镜像。 流量镜像 VPC流量镜像功能可以镜像弹性网卡符合筛选条件的报文。您需要设置入方向和出方向的筛选条件，经过弹性网卡的流量符合筛选条件时，将被镜像到指定的云服务器网卡或者弹性负载均衡ELB实例，适用于网络流量检查、审计分析以及问题定位等场景。 说明 流量镜像支持区域： 广东广州4，江苏苏州，上海上海4 注意 流量镜像功能当前暂不收费。待后续启动收费时，将会提前通知您。 流量镜像概念 首先，为您介绍流量镜像功能中的基础概念： 筛选条件：筛选条件包含入方向规则和出方向规则，规则由优先级、流量采集策略以及匹配条件组成。 入方向规则：用来匹配镜像源接收到的流量。 出方向规则：用来匹配镜像源发送出去的流量。 镜像源：镜像源为弹性网卡，表示需要镜像该弹性网卡的流量。 镜像目的：镜像目的为云服务器网卡或者弹性负载均衡实例，用来接受镜像的流量。 镜像会话：使用流量镜像功能，您需要创建镜像会话，通过在镜像会话中关联筛选条件、镜像源和镜像目的，将镜像源符合筛选条件的流量镜像到镜像目的实例。

本节为您介绍如何卸载集群Agent。 如果不再需要HSS为您的集群容器提供安全防护，您可以为集群卸载Agent。Agent卸载后，HSS将停止对容器的检测和防护，且已检测到的告警、漏洞信息等数据都将被删除。 CCE集群卸载Agent 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“容器服务 > 云容器引擎”，进入云容器引擎界面。 3、单击目标集群名称，进入集群详情页。 4、在左侧导航栏，选择“工作负载”，进入“工作负载”界面。 5、选择“守护进程集”页签，删除名称为“installagentds”的工作负载。在工作负载所在行的操作列，选择“更多 > 删除”，删除该工作负载。 6、在左侧导航栏，选择“安装与配置”，进入“安装与配置”界面。 7、 选择“Agent管理”页签，卸载目标CCE集群所有容器节点服务器的Agent。 自建集群卸载Agent 1、登录k8s集群环境。 2、执行以下命令删除名称为“installagentds”的工作负载。 kubectl delete ds installagentds n default 3、登录管理控制台。 4、在左侧导航栏，选择“安装与配置”，进入“安装与配置”界面。 5、选择“Agent管理”页签，卸载目标自建集群所有容器节点服务器的Agent。

项目 描述 Target Name iSCSI target名称。 Status iSCSI target的状态： Deleting：iSCSI target正在删除。 仅iSCSI target处于删除中会返回此项。 Max Sessions iSCSI target下每个IQN允许建立的最大会话数。 Create Time iSCSI target创建时间。 Number of Servers iSCSI target所在的服务器数量（仅集群版支持）。 iSCSI Target iSCSI target IQN、客户端 IP和端口号。 LUN iSCSI target对应的卷。括号内容表示卷编号。 Reclaim Policy iSCSI target的回收策略： Delete：当iSCSI target关联的卷全部删除后，iSCSI target自动删除。 Retain：当iSCSI target关联的卷全部删除后，iSCSI target仍然保留。 CHAP CHAP认证信息，包含CHAP名称、CHAP密码、CHAP状态。 说明 只有配置了CHAP认证信息，才会显示CHAP名称。 CHAP状态： Enabled：开启CHAP认证。 Disabled：未开启CHAP认证 ServerID iSCSI target对应的服务器ID（仅集群版支持）。 Initiator allowlist iSCSI发起方（initiator）允许访问列表。 No.：序号。 IPs：根据initiator IP地址设置iSCSI发起方的允许访问列表。 Names：根据initiator名称设置iSCSI发起方的允许访问列表。 Target allowlist 目标端（target）允许访问列表。 No.：序号。 IPs：目标端（target）允许接入的IP地址。 NICs：目标端（target）允许接入的网卡。

了解存储资源盘活系统的事件和日志功能。 点击左侧导航栏中的“运维”>“事件和日志” ，进入“事件和日志”页面，可以查看用户事件、系统事件和日志采集。 说明 系统可以保留6个月的事件。 用户事件 在“运维”页面，点击“用户事件”，可以查看或者导出用户事件信息。可以根据模块、请求者IP、事件名称进行搜索。点击“导出全部”，可以导出全部用户事件信息。 说明 该页面最多显示最近的1000条用户事件。 系统事件 在“事件和日志”页面，点击“系统事件” ，可以查看或者导出系统事件信息。可以根据模块、事件名称进行搜索。点击“导出全部”，可以导出全部系统事件信息。 说明 该页面最多显示最近的1000条系统事件。 日志采集 在“事件和日志”页面，点击“日志采集”，可以查看日志采集信息或者新建日志采集任务。 注意 日志信息以服务器的系统事件为准进行记录。时间被调整，或集群中服务器事件不统一，都可能导致日志信息不准确。但用户的业务数据不会受到影响。 日志采集的进程不能超过10个。

本文主要介绍云防火墙的相关概念，帮助您快速了解产品。 防护流量 入云流量：从Internet流入云防火墙方向的流量，例如，从公网下载资源到云内服务器。 出云流量：从云防火墙流出到Internet方向的流量，例如，云内服务器对外提供服务，外部用户下载云内的资源。 防护带宽：所有经过云防火墙防护的业务带宽。 互联网边界的流量峰值：所有经过云防火墙防护的EIP的流量总和最大值，按照入云流量（入流量）或出云流量（出流量）的最大值取值。 VPC边界的流量峰值：所有经过云防火墙防护的VPC的流量总和最大值。 边界防火墙 边界防火墙EdgeFW（Edge Firewall），位于内、外部网络的边界处，是连接内网与外网的桥梁。边界防火墙针对云数据中心与外部网络之间的南北向流量，为用户提供边界安全防护功能，支持以弹性IP为防护对象的入侵检测防御（IPS）和网络防病毒（AV）功能。 Internet访问 Internet访问是指互联网IP访问云主机的行为，通过对Internet访问防护，可以帮助您及时防御外部入侵。 主动外联访问 主动外联访问是指云主机主动访问外部IP的行为，通过对主动外联访问防护，可以帮助您有效管理和控制主机外联行为。

参数 说明 gdoss.xstore.ctyun.cn 资源池域名，用来标记资源池。 $serveraddr 当前服务器地址，一般是内网IP。 $remoteaddr 连接的对端服务器地址。 $timelocal 日志时间。 $requestmethod HTTP Method，如PUT、GET、DELETE、POST、HEAD等。 $host HTTP请求里面的header字段：host。 $requesturi HTTP请求里面的URI。 $status HTTP状态码。如200、204、206、403、404等。 $bodybytessent 服务端发送给客户端的消息body长度。 $contentlength 服务端收到的消息的请求的长度。 $httpreferer HTTP请求里面的referer字段。 $requesttime 请求持续时间。包含从服务端建立连接完成到完成响应这段时间。 $httpuseragent HTTP请求里面的useragent字段。 $httpxforwardedfor HTTP请求里面的xforwardedfor字段。 $scheme 区分HTTP还是HTTPS请求。 $opname API接口名称。如GetObject、ListBuckets等等。 $httptransferencoding HTTP请求里面的transferencoding。 $httpctyunnetworktype 表示请求来源的网络类型:public（公网）、private(内网）。 $varUser 用户标记，表示这个请求对应的用户。 $upstreamresponsetime 请求在资源池内部的处理时间。