事件状态 系统上报的事件状态如表2所示，您可以根据状态判断系统上报事件的进展，也可以通过状态进行事件筛选。 表2 事件状态 类型 描述 待授权 需要用户对事件操作进行授权， 授权时支持指定开始时间， 系统将会在一定时间内完成操作，详细内容请参见响应事件。 待执行 等待系统资源调度中。 执行中 系统已完成资源调度， 正在修复中。 执行成功 系统已完成事件执行。 请验证业务受损情况， 如遇异常，请联系技术支持。 执行失败 系统自动修复失败。 取消 该事件已被系统取消。

事件类型 系统支持上报的事件如表1所示。 表1 支持系统上报的事件 事件类型 事件说明 事件影响 用户侧处理建议 实例重部署 当系统检测到ECS实例的底层宿主机异常，计划将ECS实例部署到新主机时，会自动上报实例重部署事件。 实例重部署过程中，云服务器将会有短暂时间不可用。 系统会在计划事件执行时间前24~72小时发送该系统事件通知。 须知： 对于包含本地盘的实例，会丢失所有本地盘上的数据。 您可以根据业务需要选择如下处理方式，并在事件处理完成后，及时验证业务受损情况， 如遇问题，请联系技术支持。 响应实例重部署事件 建议您在授权时选择业务低谷期为开始时间，如不指定将会以当前时间为开始时间。 本地盘换盘 系统检测到ECS实例（含裸金属类型实例）的底层宿主机存在磁盘故障风险，会对受影响的ECS实例自动生成本地盘换盘事件。 本地盘换盘会丢失本地盘上的数据。 您可以根据业务需要选择如下处理方式，并在事件处理完成后，及时验证业务受损情况， 如遇问题，请联系技术支持。 须知： 本地盘换盘操作会丢失本地盘上的数据，如果无需保留本地盘数据，可根据业务需要选择如下处理方式。 重部署：会丢失所有本地盘数据 裸金属类型实例暂不支持该操作。 授权换盘：会丢失故障本地盘数据 建议您在授权时选择业务低谷期为开始时间，如不指定将会以当前时间为开始时间。 通常会在开始时间后5个工作日内完成本地盘换盘，请耐心等待。 实例迁移 当系统检测到ECS实例的底层宿主机异常，需要进行重启、关机、下线等系统维护时，计划对ECS实例进行迁移，会自动上报实例迁移事件。 系统会先尝试对云服务器进行热迁移，如遇异常，则会触发HA机制（云服务器将会有短暂时间不可用）。 建议您在事件处理完成后，及时验证业务受损情况， 如遇问题，请联系技术支持。 系统维护 系统检测到ECS实例（含裸金属类型实例）的宿主机存在软硬件故障风险，计划对受影响的实例进行维护操作，会自动生成系统维护事件。 系统维护过程中，宿主机可能会进入下电状态，云服务器不可用。 您可以根据业务需要选择如下处理方式，并在事件处理完成后，及时验证业务受损情况， 如遇问题，请联系技术支持。 响应系统维护事件 建议您在授权时确保实例的业务已离线并选择业务低谷期为开始时间，如不指定将会以当前时间为开始时间。 不同故障系统维护的耗时不同。通常会在授权开始时间后5个工作日内完成系统维护，请耐心等待。

请求示例 POST https://{endpoint}/v2/{project_id}/events/import { "events" : [ { "version" : "1.1.0", "environment" : { "type" : "xxx", "domain_id" : "dfaf9864b95c448797b5dc0f0xxxxxxx", "project_id" : "2b31ed520xxxxxxebedb6e57xxxxxxxx", "region_id" : "xx-xx-1" }, "data_source" : { "type" : 1, "domain_id" : "dfaf9864b95c448797b5dc0f0xxxxxxx", "project_id" : "2b31ed520xxxxxxebedb6e57xxxxxxxx", "region_id" : "xx-xx-1", "company_name" : "xxx", "product_name" : "xxx", "product_feature" : "xxx" }, "first_observed_time" : "2020-10-10T13:10:40.436+0800", "last_observed_time" : "2020-10-10T13:10:40.436+0800", "create_time" : "2020-10-10T13:10:40.436+0800", "arrive_time" : "2020-10-21T01:20:31.343+0800", "event_id" : "1683fbf6-01fd-49f4-8222-0fe33d3f2d2e", "title" : "TCP Malformed", "description" : "TCP Malformed", "count" : 1, "severity" : { "original_score" : 1, "label" : "TIPS" }, "type" : [ { "business" : "attack", "category" : "Brute Force", "classifier" : "ssh" } ], "network" : { "direction" : "IN", "dest_ip" : "xxx.xxx.xxx.xxx", "dest_port" : 80, "dest_geo" : { "latitude" : 1.352083, "longitude" : 103.81984 } }, "resource" : [ { "id" : "f1f4076a-9d12-497f-aac4-a9dcb5462fcc", "name" : "ecs-s3_large_2_win-20200828214727", "type" : "cloudservers", "provider" : "ecs", "region_id" : "xx-xx-1", "domain_id" : "dfaf9864b95c448797b5dc0f00709a55", "project_id" : "2b31ed520xxxxxxebedb6e57xxxxxxxx", "ep_id" : "7e998f85-xxxx-xxxx-xxxx-xxxxxxxx", "ep_name" : "test001" } ], "verification_state" : "Unknown", "handle_status" : "New" } ] }

响应参数 状态码： 400 表20 响应Body参数 参数 参数类型 描述 error_msg String 无效请求提示信息 最小长度：1 最大长度：128 error_code String 错误码 最小长度：1 最大长度：128 状态码： 401 表21 响应Body参数 参数 参数类型 描述 error_msg String 权限错误 最小长度：1 最大长度：128 error_code String 错误码 最小长度：1 最大长度：128 状态码： 500 表22 响应Body参数 参数 参数类型 描述 error_msg String 系统内部错误 最小长度：1 最大长度：128 error_code String 错误码 最小长度：1 最大长度：128

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 最小长度：1 最大长度：2097152 X-Language 否 String 语言。 最小长度：2 最大长度：6 表3 请求Body参数 参数 是否必选 参数类型 描述 events 是 Array of Event objects event 批量导入 表4 Event 参数 是否必选 参数类型 描述 version 是 String SA数据对象版本号，数据接入时需携带版本号。版本号由SA服务团队负责更新，数据源只可填写SA给定的版本号。目前版本为1.0.0。 最小长度：5 最大长度：5 environment 是 Environment object 环境坐标，DRP。 data_source 是 DataSource object 提供数据来源相关信息，必选对象。 first_observed_time 是 String 首次发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 last_observed_time 否 String 最新发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 create_time 是 String 记录时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 arrive_time 否 String 数据接收时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 是指事件数据被SA侧接收的时间，由SA接收时填写，产品上报数据时不用填写。 event_id 是 String 事件唯一标识，UUID格式。 最小长度：32 最大长度：36 title 是 String 事件标题，最大255字符。 最小长度：1 最大长度：255 description 是 String 事件描述信息，最大1024个字符 最小长度：1 最大长度：1024 source_url 否 String 事件URL链接，指向数据源产品中有关当前事件说明的页面。 最小长度：1 最大长度：4096 count 是 Integer 事件发生次数，默认为1，必填。 最小值：1 最大值：9223372036854775807 confidence 否 Integer 事件的置信度。置信度的定义旨在说明识别的行为或问题的可能性。 取值范围：0-100，0表示置信度为0%，100表示置信度为100%。 最小值：0 最大值：100 severity 是 Severity object 严重性对象。 criticality 否 Integer 关键性，是指事件涉及的资源的重要性级别。 取值范围：0-100，0表示资源不关键，100表示最关键资源。 最小值：0 最大值：100 type 是 Type object 事件分类。 compliance 否 Compliance object 扩展信息，用来提供合规检查信息。合规检查相关的数据上报时，必须填充此对象。 network 否 Network object 扩展信息，用来提供网络信息。 vulnerability_patch 否 VulnerabilityPatch object 扩展信息，用来提供漏洞信息。 malware 否 Malware object 恶意软件。 threat_intel 否 ThreatIntel object 威胁情报。 resource 是 Resource object 受影响资源。 remediation 否 Remediation object 补救措施。 data_source_fields 否 Object 数据源自定义信息，最多支持50个key/value对，约束条件： 1、该对象不能包含冗余数据，并且不能与已定义的SSA事件格式字段冲突。 2、字段名称可以包含字母数字字符、空格和以下符号：_ . / = + \ - @。 示例： "data_source_fields": { "key1": "value1", "key2", "value2", } verification_state 否 String 事件验证状态，标识事件的准确性。 Unknown – 未知，默认 True_positive – 确认 False_positive – 误报。 最小长度：1 最大长度：512 handle_status 是 String 事件处理状态，New/Ignored/Resolved；默认New。 最小长度：1 最大长度：512 phase 否 String 阶段：Prepartion|Detection and Analysis|Containm，Eradication& Recovery| Post-Incident-Activity。 最小长度：1 最大长度：32 sla 否 Integer 约束闭环时间：单位：天。 最小值：1 最大值：90 表5 Environment 参数 是否必选 参数类型 描述 type 是 String 环境供应商，HWCP/HWC/AWS/Azure/GCP等。 最小长度：1 最大长度：36 domain_id 是 String 租户账号ID，用来标识事件所属租户。 最小长度：32 最大长度：36 project_id 否 String 租户项目ID，用来标识事件所属项目区域。 最小长度：32 最大长度：36 region_id 否 String 数据源产品所在区域，具体取值范围查看华为云地区和终端节点定义。 最小长度：1 最大长度：512 表6 DataSource 参数 是否必选 参数类型 描述 type 否 Integer 数据源类型，取值范围如下： 1 - 华为产品 2 - 第三方产品 3 - 租户私有产品 最小值：1 最大值：3 domain_id 否 String 数据源产品所属管理账号的ID，最大36个字符。 最小长度：32 最大长度：36 project_id 否 String 数据源产品所属项目的ID，最大36个字符。 最小长度：32 最大长度：36 region_id 否 String 数据源产品所在区域，具体取值范围查看华为云地区和终端节点定义。 最小长度：1 最大长度：512 company_name 是 String 数据源产品所属公司的名称。 最小长度：1 最大长度：512 product_name 是 String 数据源产品的名称。 最小长度：1 最大长度：512 product_feature 否 String 产品功能特性名称，用来指明检测到当前事件的产品的功能特性。 最小长度：1 最大长度：512 表7 Severity 参数 是否必选 参数类型 描述 label 是 String 严重性等级取值范围：TIPS、LOW、MEDIUM、HIGH、FATAL。 TIPS：未发现任何问题。 LOW：无需针对问题执行任何操作。 MEDIUM：问题需要处理，但不紧急。 HIGH：问题必须优先处理。 FATAL：问题必须立即处理，以防止产生进一步的损害。 最小长度：1 最大长度：512 normalize_score 否 Integer 严重性评分取值范围：0-100； 与严重性等级的对应关系： TIPS 0； LOW 1-39； MEDIUM 40-69； HIGH 70-89； FATAL 90-100。 最小值：0 最大值：100 original_score 否 Integer 严重性原始评分，指在数据源产品中的评分。 最小值：0 最大值：9223372036854775807 表8 Type 参数 是否必选 参数类型 描述 business 是 String 事件所属业务领域标签，可选类别如下： attack – 攻击 vulnerability – 漏洞 compliance check – 合规检查 risk - 风险 public opinion - 舆情 illegal&violation - 违法违规 security bulletin - 公告 最小长度：1 最大长度：512 category 否 String 类别，推荐使用预定义的类型分类。 最小长度：1 最大长度：512 classifier 否 String 分类器，推荐使用预定义的分类器。 如果指定了分类器，则必须指定类别。 最小长度：1 最大长度：512 tech_domain 否 String 技术领域标签： OS：主机 APP：应用 NET：网络 OPS：运维 CS：云服务 CSP：平台云服务 最小长度：1 最大长度：512 properties 否 TypeProperties object 属性信息。 表9 TypeProperties 参数 是否必选 参数类型 描述 killchain 否 String Kill chain事件分类，仅当business为attack有效 最小长度：1 最大长度：512 ttps 否 String Mitre Array 事件分类，仅当business为attack有效 最小长度：1 最大长度：512 effects 否 String 影响，适用全部类型 最小长度：1 最大长度：512 表10 Compliance 参数 是否必选 参数类型 描述 checkitem_id 是 String 检查项（检查规则）编号 最小长度：1 最大长度：512 checkpoint_id 是 String 检查点（检查结果）编号，检查项对同一个资源的检查结果 最小长度：1 最大长度：512 spec_id 是 String 检查规范编号，默认选第一个 最小长度：1 最大长度：512 status 是 String 合规检查结果，取值定义：PASSED、WARNING、FAILED、NOT_AVAILABLE。 说明： PASSED - 接受评估的所有资源都已通过安全检查。 WARNING - 某些信息缺失或配置不支持此检查。 FAILED - 至少有一个接受评估的资源未能通过安全检查。 NOT_AVAILABLE - 由于服务中断或 API 错误，无法执行检查。 最小长度：1 最大长度：512 properties 否 String 属性信息 最小长度：1 最大长度：512 表11 Network 参数 是否必选 参数类型 描述 direction 否 String 方向，取值范围：IN、OUT。 最小长度：2 最大长度：3 protocol 否 String 协议。 最小长度：0 最大长度：512 src_ip 否 String 源IP地址。 最小长度：7 最大长度：15 src_port 否 Integer 源端口，0–65535。 最小值：0 最大值：65535 src_domain 否 String 源域名，最大128个字符。 最小长度：1 最大长度：128 src_geo 否 Geo object 源IP的地理位置信息。 dest_ip 否 String 目标IP地址。 最小长度：7 最大长度：15 dest_port 否 Integer 目标端口，0–65535。 最小值：0 最大值：65535 dest_domain 否 String 目标域名，最大128个字符。 最小长度：1 最大长度：128 dest_geo 否 Geo object 目标IP的地理位置信息。 表12 Geo 参数 是否必选 参数类型 描述 latitude 否 Number 纬度。 最小值：-90.0 最大值：90.0 longitude 否 Number 经度。 最小值：-180.0 最大值：180.0 city_code 否 String 城市编码。 最小长度：1 最大长度：128 country_code 否 String 国家简码ISO 3166-1 alpha-2，例如：CN、US、DE、IT、SG。 最小长度：1 最大长度：128 表13 VulnerabilityPatch 参数 是否必选 参数类型 描述 patch_id 是 String 补丁编号。 最小长度：1 最大长度：256 patch_name 否 String 补丁名称。 最小长度：1 最大长度：256 type 否 String 补丁类型（0：linux，1：windows，2：web-cms）。 最小长度：1 最大长度：32 major_level 否 String 重要等级。 最小长度：1 最大长度：32 status 否 String 补丁状态。 最小长度：1 最大长度：32 repair_cmd 否 String 修复命令。 最小长度：0 最大长度：512 repair_necessity 否 String 修复必要程度（1：需立刻修复，2：可延后修复，3：暂可以不修复）。 最小长度：0 最大长度：512 release_time 否 String 发布时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息 为事件发生时区，无法解析时区的时间，默认时区填东八区。 reference_url 否 String 参考链接。 最小长度：0 最大长度：512 vendor_name 否 String 漏洞报告提供者信息。 最小长度：1 最大长度：32 vulnerable_package 否 String 受影响软件版本。 最小长度：1 最大长度：32 cve_ids 否 String CVE编号列表。 最小长度：1 最大长度：256 表14 Malware 参数 是否必选 参数类型 描述 name 是 String 恶意软件名称，最大64个字符。 最小长度：1 最大长度：64 sha256 否 String 恶意软件sha256 最小长度：1 最大长度：1024 type 是 String 恶意软件类型，遵循STIX规范： adware、backdoor、bot、bootkit、ddos、downloader、dropper、exploit-kit、keylogger、ransomware、remote-access-trojan、resource-exploitation、rogue-security-software、rootkit、screen-capture、spyware、trojan、unknown、virus、webshell、wiper、worm 最小长度：1 最大长度：512 path 否 String 恶意软件在系统中的路径，最大512个字符。 最小长度：0 最大长度：512 state 否 String 恶意软件状态，取值范围：OBSERVED、REMOVAL_FAILED、REMOVED。 最小长度：0 最大长度：512 properties 否 MalwareProperties object 属性信息。 表15 MalwareProperties 参数 是否必选 参数类型 描述 pid 否 String 进程ID。 最小长度：1 最大长度：64 user 否 String 系统角色（例如:root，service）。 最小长度：1 最大长度：64 mod 否 String 系统权限（例如：777，755）。 最小长度：1 最大长度：64 start_time 否 String 进程启动时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。 表16 ThreatIntel 参数 是否必选 参数类型 描述 id 是 String 情报Id。 最小长度：0 最大长度：32 indicator_type 否 String 威胁情报类型，Domain、Email_Address、Hash_MD5、Hash_SHA1、Hash_SHA256、 Hash_SHA512、IPv4_Address、IPv6_Address、URL。 最小长度：0 最大长度：64 labels 否 String 标签，如'矿池','外联'等，"Directory Scan|Directory Traversal"。 最小长度：0 最大长度：512 confidence 否 Integer 置信度，不同来源目前置信度分值定义不一样（分数）。 最小值：0 最大值：9223372036854775807 information_source 是 String 威胁情报源，最大64个字符。 最小长度：0 最大长度：64 severity 否 Integer 严重程度，不同渠道定义值不一样（分数）。 最小值：0 最大值：9223372036854775807 description 是 String 威胁情报描述。 最小长度：0 最大长度：4096 modified 否 String 威胁情报的更新时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 valid_from 否 String 有效期开始（可读字符串）。 最小长度：0 最大长度：32 valid_until 否 String 有效期结束（可读字符串）。 最小长度：0 最大长度：32 properties 否 ThreatIntelProperties object 威胁情报属性信息。 表17 ThreatIntelProperties 参数 是否必选 参数类型 描述 file_md5 否 String 恶意软件Md5。 最小长度：1 最大长度：64 file_sha1 否 String 恶意软件Sha1。 最小长度：1 最大长度：255 file_sha256 否 String 恶意软件Sha256值。 最小长度：1 最大长度：255 file_name 否 String 文件名称。 最小长度：1 最大长度：255 create_time 否 String 编译时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 file_class 否 String 文件类别，TEXT|XCODE。 最小长度：1 最大长度：255 file_family 否 String 家族，例如：wannacry（勒索软件）。 最小长度：1 最大长度：255 file_maltype 否 String 类别，例如：trojan（特洛伊）。 最小长度：1 最大长度：255 ip_resolves_to_refs 否 String mac地址。 最小长度：1 最大长度：255 belongs_to_refs 否 String IP AS 自治系统。 最小长度：1 最大长度：255 ip_location 否 String 地区 格式：country/provice/city/lngwgs/latwgs。 最小长度：1 最大长度：255 domain_family 否 String 例如：banjori|iodine。 最小长度：1 最大长度：255 domain_resolves_to_refs 否 String 解析的IP地址。 最小长度：1 最大长度：255 domain_dns_type 否 String DNS类别。A|NS|CNAME|TXT。 最小长度：1 最大长度：255 url_host 否 String 例：3ms.huawei.com。 最小长度：1 最大长度：255 url_resolves_to_refs 否 String IP地址。 最小长度：1 最大长度：255 display_name 否 String 显示名称。 最小长度：1 最大长度：128 url_belongs_to_ref 否 String 邮箱账户，@之前部分。 最小长度：1 最大长度：128 表18 Resource 参数 是否必选 参数类型 描述 id 是 String 资源ID。 最小长度：32 最大长度：36 name 是 String 资源名称；最大长度255个字符。 最小长度：1 最大长度：255 type 是 String 资源类型。 最小长度：1 最大长度：128 provider 是 String 云服务名称。 最小长度：1 最大长度：128 region_id 否 String 区域。 最小长度：1 最大长度：128 domain_id 是 String 资源所属租户账号ID。 最小长度：32 最大长度：36 project_id 否 String 资源所属项目ID。 最小长度：32 最大长度：36 ep_id 否 String 企业项目ID。 最小长度：32 最大长度：36 ep_name 否 String 企业项目名称。 最小长度：32 最大长度：36 tags 否 Object 资源标签 1、最多50个key/values对。 2、values：最大255字符。 3、取值范围：字母数字、空格、“+”、“-”、“=”、“.”、“_”、“:”、“/”、“@”。 表19 Remediation 参数 是否必选 参数类型 描述 recommendation 是 String 处理建议，最长512个字符。 最小长度：1 最大长度：512 url 否 String 链接，指向该事件的一般修复信息。该URL必须可以从公网访问，不需要提供凭证。 最小长度：1 最大长度：128

更多操作 添加事件属性成功后，您还可以在事件属性页签页面执行如下操作。 表2 更多操作 操作 说明 停用事件属性 当事件属性为“自定义”类型且状态为“启用”时，单击操作列“停用”，可以停用该事件属性。停用以后，元事件不可以关联该属性，该属性也不会再采集上报数据。 说明： “系统预置”的属性不能执行停用操作。 启用事件属性 当事件属性为“草稿”或“停用”状态时，单击操作列“启用”，可以该启用事件属性。启用以后，当元事件关联该属性，该属性将会采集上报数据。

响应示例 状态码： 200 请求成功 { "error_code" : "COC.00000000", "error_msg" : "success", "data" : null, "provider_code" : "049" } 状态码： 400 请求体有误 { "error_code" : "COC.00000001", "error_msg" : "alarmName must not be null | alarmId must not be null", "data" : null, "provider_code" : "049" } 状态码： 401 鉴权有误 { "error_code" : "common.01010001", "error_msg" : "Token missing or invalid.", "data" : null, "provider_code" : "049" }

请求参数 表2 请求Body参数 参数 是否必选 参数类型 描述 alarmId 是 String 告警id 最小长度：1 最大长度：255 alarmName 是 String 告警名称 最小长度：1 最大长度：255 alarmLevel 是 String 告警级别。取值为Critical（紧急）, Major（重要）, Minor（次要）, Info（提示） 最小长度：1 最大长度：255 枚举值： Critical Major Minor Info time 是 Long 告警发生时间 nameSpace 是 String 服务的命名空间 最小长度：1 最大长度：255 regionId 否 String 告警发生区域 最小长度：0 最大长度：255 applicationId 是 String 应用id 最小长度：1 最大长度：255 resourceName 否 String 资源名称 最小长度：0 最大长度：255 resourceId 否 String 资源ID 最小长度：0 最大长度：255 alarmDesc 是 String 告警描述 最小长度：1 最大长度：255 URL 否 String 原始告警URL 最小长度：0 最大长度：255 alarmStatus 否 String 告警状态。一般取值为alarm（告警中）和ok（已恢复） 最小长度：0 最大长度：255 枚举值： alarm ok alarmSource 是 String 告警源 最小长度：1 最大长度：255 additional 否 Object 告警附加信息

请求示例 https://coc.myhuaweicloud.com/v1/event/huawei/custom/{integration_key} { "alarmId" : "18cfxxxxxxxxxx0f8", "alarmName" : "Cpu 使用超额预警", "alarmLevel" : "Critical", "time" : 1709118444540, "nameSpace" : "shanghai", "regionId" : "cn-north-4", "applicationId" : "18cfa0a5ef8d", "resourceName" : "machine-1", "resourceId" : "18cxxxxxxxxxxxxff68625", "alarmDesc" : "string", "URL" : "https://xxx.com", "alarmStatus" : "alarm", "alarmSource" : "coc", "additional" : { } }

更多操作 添加事件属性成功后，您还可以在事件属性页签页面执行如下操作。 表2 更多操作 操作 说明 停用事件属性 当事件属性为“自定义”类型且状态为“启用”时，单击操作列“停用”，可以停用该事件属性。停用以后，元事件不可以关联该属性，该属性也不会再采集上报数据。 说明： “系统预置”的属性不能执行停用操作。 启用事件属性 当事件属性为“草稿”或“停用”状态时，单击操作列“启用”，可以该启用事件属性。启用以后，当元事件关联该属性，该属性将会采集上报数据。

响应示例 状态码： 200 ok { "total" : 1, "items" : [ { "id" : "04-0000-0000-0000-21120220421152601-2f7a5ceb", "time" : 1650525961000, "policyid" : "25f1d179896e4e3d87ceac0598f48d00", "host" : "x.x.x.x:xxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "url" : "/osclass/oc-admin/index.php", "attack" : "lfi", "rule" : "040002", "payload" : " file=../../../../../../../../../../etc/passwd", "payload_location" : "params", "sip" : "x.x.x.x", "action" : "block", "request_line" : "GET /osclass/oc-admin/index.php?page=appearance&action=render&file=../../../../../../../../../../etc/passwd", "headers" : { "accept-language" : "en", "ls-id" : "xxxxx-xxxxx-xxxx-xxxx-9c302cb7c54a", "host" : "x.x.x.x", "lb-id" : "2f5f15ce-08f4-4df0-9899-ec0cc1fcdc52", "accept-encoding" : "gzip", "accept" : "*/*", "user-agent" : "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.2309.372 Safari/537.36" }, "cookie" : "HWWAFSESID=2a1d773f9199d40a53; HWWAFSESTIME=1650525961805", "status" : "418", "host_id" : "6fbe595e7b874dbbb1505da3e8579b54", "response_time" : 0, "response_size" : 3318, "response_body" : "", "process_time" : 2, "request_body" : "{}" } ] }

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 total Integer 攻击事件数量 items Array of ListEventItems objects 攻击事件详情 表5 ListEventItems 参数 参数类型 描述 id String 事件id time Long 攻击发生时的时间戳(毫秒) policyid String 策略id sip String 源ip，Web访问者的IP地址（攻击者IP地址） host String 域名 url String 攻击的url链接 attack String 攻击类型: vuln：其它攻击类型 sqli： sql注入攻击 lfi： 本地文件包含 cmdi：命令注入攻击 xss：XSS攻击 robot：恶意爬虫 rfi：远程文件包含 custom_custom：精准防护 webshell：网站木马 custom_whiteblackip：黑白名单拦截 custom_geoip：地理访问控制拦截 antitamper：防篡改 anticrawler：反爬虫 leakage：网站信息防泄漏 illegal：非法请求 rule String 命中的规则id payload String 命中的载荷 payload_location String 命中的载荷位置 action String 防护动作 request_line String 请求方法和路径 headers Object http请求header cookie String 请求cookie status String 响应码状态 process_time Integer 处理时长 region String 地理位置 host_id String 域名id response_time Long 响应时长 response_size Integer 响应体大小 response_body String 响应体 request_body String 请求体 状态码： 400 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误信息 状态码： 401 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误信息 状态码： 500 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误信息

操作步骤 实例重部署预处理，即在实例的/etc/fstab配置文件中为所有数据盘增加nofail参数。 远程登录待预处理的弹性云服务器。 执行以下命令，打开并编辑/etc/fstab配置文件。 vim /etc/fstab 单击“i”进入编辑模式，在/etc/fstab配置文件中为所有数据盘加入nofail参数。 示例如下： UUID-8232fee7-f20a-416c-a2e0-cbc8c85a01a2 /mnt/nvme0n1 ext4 defaults,nofail 0 2 UUID-8232fee7-f20a-416c-a2e0-cbc8c85a01a2：数据盘的UUID。 /mnt/nvme0n1：数据盘挂载点，可通过mount | grep "盘符信息"命令进行查询。 ext4：数据盘的文件系统类型，可通过blkid 盘符信息命令进行查询。 nofail：用于设置当文件系统中包含本地盘但实际缺失时，不中断云服务器的启动流程，避免云服务器异常风险。 单击:wq退出编辑模式。 执行以下命令，使配置生效。 systemctl daemon-reload

操作场景 对于包含本地盘的云服务器，当进行“本地盘换盘”和“实例重部署”事件的“授权重部署”操作时，需要先对本地盘进行实例重部署预处理，避免云服务器异常风险。 本文介绍如何对Linux操作系统的磁盘增强型（D系列）和超高I/O型（I系列）的ECS实例进行实例重部署的预处理操作。 对于包含本地盘的实例，实例重部署操作会丢失所有本地盘上的数据，如果无需保留本地盘上的数据，可通过本操作实例重部署预处理。 如果需要保留本地盘上的数据，请勿授权，结束操作并联系技术支持进行处理。

流转规则自动生成事件 流转规则自动生成事件，需要做以下步骤： 登录管理控制台。 单击“”，搜索“云运维中心”。单击进行搜索，选择“云运维中心”。 同步人员，具体参考人员管理。 设置排班，并给排班中添加排班人员，具体参考排班管理。 集成监控系统，自动上报告警信息，具体参考集成管理。 配置流转规则，根据流转规则生成事件，具体参考配置流转规则。 若事件生成后，想要接收到事件的通知信息，可配置自动通知能力，具体参考通知管理。