华为云用户手册

响应消息 参数说明 参数 参数类型 描述 tags Array of tags tag标签的列表。 tag字段说明： 参数 参数类型 描述 key String 标签的键。 values Array of strings 标签的值列表。租户所有共享标签值的列表，重复的标签值只显示一次。 响应样例 { "tags" : [ { "key" : "key1", "values" : [ "value1", "" ] }, { "key" : "key2", "values" : [ "value1", "value2" ] } ] }

响应消息 参数说明 参数 参数类型 描述 tags Array of resource_tags tag标签的列表。 sys_tags Array of resource_tags 仅op_service权限才可以获取此字段： 目前只包含一个resource_tag结构体 key：_sys_enterprise_project_id 目前key下面只包含一个value，0表示默认企业项目。 非op_service场景不能返回此字段。 resource_tag字段说明： 参数 参数类型 描述 key String 标签的键。 value String 标签的值。 响应样例 { "tags": [ { "key": "key1", "value": "value1" }, { "key": "key2", "value": "" } ] }

事件响应方案 针对以上问题，华为云推出了 安全云脑 （SecMaster）服务。它是华为云原生的新一代安全运营中心，集华为云多年安全经验，基于云原生安全，提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，可以鸟瞰整个云上安全，精简 云安全 配置、云防护策略的设置与维护，提前预防风险，同时，可以让威胁检测和响应更智能、更快速，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。

事件响应流程 识别身份凭证是否受损或泄露。 如果您收到如下提示信息，您需要排查并识别您的身份凭证是否受损或泄露： 来自华为云服务（例如，华为 云证书管理服务 CCM、安全云脑SecMaster、 云审计 服务 CTS 等）、外部监控系统的告警或指标； 来自承包商或第三方服务提供商的提示信息； 通过内部或外部安全研究人员的排查信息； 内部系统信息； 匿名举报信息； 其他途径的信息。例如，攻击者通过被泄露的凭证，窃取您的数据，并修改您面向公众的资源。 确认已针对该事件提交工单或案例。如果没有，请手动提交。 确定并记录问题对最终用户的影响。 无论此类场景是否造成直接的用户影响，都请将调查结果记录在与此事件相关的工单或案例中。 对于自动创建的工单或案例，确定哪些告警或指标是存在问题的。 例如触发告警或指标可能是CTS服务指标指示您的 IAM 配置某些方面不合规，或者IAM服务警报表明可能存在凭证泄露。也可能是一个计费警报，当您的计费成本已超过预定阈值，触发告警或通知。 确定已泄露的凭证集。 如果已创建工单或案例，请检查该工单或案例中是否记录了用户/角色名称、用户或角色ID或访问密钥ID。 如果告警来自安全云脑基线检查，您可以在控制台查看基线检查结果，找到受影响凭证的访问密钥ID。具体操作请参见查看基线检查结果。 如果告警来自CTS服务，您可以在控制台事件列表，查看结果。“资源名称”为访问密钥，Credential字段则包含“access_key_id”、“account_id”、“user_name”和其他信息。 确定凭证可能被破坏或泄露的时间。在该时间后进行的任何API操作应被视为恶意操作，在该时间后创建的任何资源应被视为被泄露。 如果您的应用程序发生服务中断，需确定造成中断的可能事件。如果中断事件与凭证泄漏无关，需检查部署管道以确定在事件发生之前是否进行了任何更改。您可以通过CTS服务，协助查看所有账户活动的日志。 事件沟通： 根据组织的事件响应计划确定利益相关方的角色。 通知相关干系人，包括法务人员、技术团队和开发人员，并确保他们被添加到工单和作战室中，以进行持续更新。 外部沟通： 确保您的法律顾问了解情况，并将其纳入内部利益相关者的状态更新，特别是外部沟通的状态更新。 将负责公共或外部沟通的同事添加到工单中，以便他们可以定期接收到有关事件的状态更新，并履行其沟通职责。 如果您所在辖区有法规要求报告此类事件，请确保贵组织中负责通知当地或联邦执法机构的人员也收到有关该事件的通知/被添加到工单中。请咨询您的法律顾问、执法部门，以获取有关收集和保存证据和监管局的指导。即使法规没有要求，向开放数据库、政府机构或非政府组织报告，您的报告也可能有助于分析类似的活动或帮助其他人。 控制事件。 您可以通过禁用受损凭证或撤销与这些凭证相关的权限，从而阻止使用受损凭证调用API。 禁用1识别到的受损凭证。 如果是永久IAM用户凭证，请在IAM控制台，删除用户凭证，具体操作请参见删除IAM用户。 如果是通过IAM获取的临时安全凭证，则会关联到IAM角色。您可以通过如下方法禁用这些功能： 撤销所有当前角色会话。如果攻击者获取新的临时安全凭证，并继续攻击，跳转到2.a.ii.2。 删除添加到该角色的所有IAM策略，修改已有策略以阻止所有访问，或者修改角色的策略以防止攻击者承担该角色。 由于凭证在颁发后的指定时间段内仍然有效，因此请务必注意，修改信任策略后，凭证在有效期内将被允许继续使用。2.a.ii.1和2.a.ii.2将阻止所有用户使用通过承担角色获得的凭证，包括任何合法用户或应用程序。 您可以在30分钟左右的时间内通过CTS服务控制台查看持续使用的凭证，无论是访问密钥、IAM用户还是角色，确认受损凭证已被禁用。 消除事件。 您需要排查凭证在受损后执行了哪些API操作，创建、删除或修改了哪些资源，并采取相应措施，消除影响。 使用您的首选监控工具，访问CTS服务，并采集受损凭证执行的所有API操作，日志采集时间为受损时间到当前时间。 如果您使用的是第三方工具（如Splunk或其他工具）采集云审计服务日志，请按照从该工具获取日志信息的正常过程进行操作。 如果您不使用第三方工具，而是将日志发送到华为云 对象存储服务 （OBS），您可以使用华为 云日志服务LTS 采集、查询和存储日志。 在日志服务LTS控制台，查询凭证在受损或泄露后的日期/时间采取的所有API操作。 从结果列表中，确定哪些API调用： 访问敏感数据，例如，OBS Object。 创建新的华为云资源，例如数据库、云服务器等。 创建资源的服务，包括E CS 弹性伸缩组等。 创建或修改权限，同时，还应排查包括（但不限于）以下API方法：CreateUser、CreateRole、AssumeRole*、Get*Token、Attach*Policy、*Image*、*Provider、Tag*、Create*、Delete*、Update*等。 删除现有华为云资源。 修改现有华为云资源。 根据上一步的结果，确定是否有任何应用程序可能受到影响。如果有，获取受影响的每个资源的ID或标记信息，并通知资源的所有者。 基于以上结果，如果创建了额外的凭证获取资源（IAM用户、角色等），根据2.a，禁用和删除这些资源的所有凭证。 重复3.a到3.e，排查是否仍存在额外发现的凭证，直到全部处置完成。 从事故中恢复。 恢复被修改的资源： 如果资源可以被销毁和替换，则添加新的资源。 如果资源无法被替换，请执行以下任一操作： 从备份还原资源。 准备新资源并将其配置到应用程序的基础架构中，同时隔离受损资源并将其从应用程序的基础架构中移除。 销毁受损资源，或继续将其隔离以备取证。 恢复删除的资源： 通过排查确定资源所属的应用程序。如果资源标签未在CTS服务条目中列出，且华为云配置支持该资源，则检查华为云的配置。 如果删除的资源可以从备份中恢复，请直接恢复；如果删除的资源无法从备份中恢复，请查阅CMDB以获取资源的配置，重新创建资源并将其配置到应用程序的基础架构中。 事故后活动。 针对某些受损资源进行调查取证，分析攻击者对受损资源使用了哪些攻击手段，并确定是否需要针对相关资源或应用程序采取额外的风险缓解措施。 对于任何已隔离以供进一步分析的受损资源，对这些资源执行取证活动，并将调查结果纳入事后报告。 确保正确更新CMDB以反映受影响的所有资源和应用程序的当前状态。 审查事件本身和对它的响应，确定哪些措施起作用，哪些措施不起作用，根据这些信息更新改进流程，并记录调查结果。

安装组件控制器 在步骤五：网络连通配置执行后的页面中，单击页面右下角“下一步”，进入“脚本安装验证”页面。 单击复制安装组件控制器的命令。 图1 复制安装命令 安装组件控制器。 远程登录（可选）步骤一：购买ECS准备的ECS。 您可以登录弹性云服务器控制台，在“弹性云服务器”列表中，选中目标ECS单击操作”列的“远程登录”登录主机，详细操作请参见在云服务器控制台上登录主机。 如果您的主机已经绑定了弹性IP，您也可以使用远程管理工具（例如：PuTTY、Xshell等）登录主机，并使用root账号在主机中安装组件控制器。 粘贴2复制的安装命令，并以root权限执行，在ECS中安装组件控制器。 根据界面提示，输入步骤四：创建非管理员IAM账户中创建的机机账户 域名 、用户名、密码。 如果界面回显“install isap-agent successfully”信息时，则表示组件控制器安装成功。 图2 安装成功 安装过程中，如果安装失败请参考组件控制器安装失败问题排查进行排查处理；如果提示磁盘空间不足，请参见磁盘分区进行处理。 确认已安装后，返回安全云脑的新增节点页面（即2），单击页面右下角“确认”。 安装完成后，可以在节点管理页面查看已新增的节点。 图3 已新增节点

操作流程 本章节介绍如何将第三方（非华为云）安全日志接入安全云脑，同时，也支持将安全云脑日志转出至第三方系统/产品。具体流程如下： 图1 日志接入或转出流程图 本章节将介绍日志数据接入或转出的操作流程进行简要说明。 表1 日志接入或转出流程说明 操作步骤 操作说明 （可选）步骤一：购买ECS 安装日志采集器。 （可选）步骤二：购买数据磁盘 保障日志采集器有足够的运行空间。 （可选）步骤三：挂载数据磁盘 保障日志采集器有足够的运行空间。 步骤四：创建非管理员IAM账户 用于租户侧日志采集器登录访问安全云脑。 步骤五：网络连通配置 实现租户VPC与安全云脑的网络连通。 步骤六：安装组件控制器（isap-agent） 纳管日志采集器节点（ECS）到安全云脑。 步骤七：安装日志采集组件（Logstash） 配置日志采集进程。 （可选）步骤八：创建日志存储管道 将非华为 云日志 转入安全云脑场景时，需要执行此步骤。将华为云日志转出至第三方系统或产品场景，请跳过此步骤。 在安全云脑中创建日志存储位置（管道），用于日志存储、分析。 步骤九：配置连接器 配置日志来源、接收目的的参数信息。 请根据场景选择操作步骤： 将第三方日志接入安全云脑 将安全云脑日志转出至第三方系统或产品 （可选）步骤十：配置日志解析器 格式转换，无码化将源日志转换成您需要的数据类型。 步骤十一：配置日志采集通道 完成各功能组件连接，实现安全云脑和日志采集器正常工作。 步骤十二：测试验证 测试验证日志是否接入成功。 父主题： 日志接入或转出操作指导

场景说明 由于“华北-北京一”region已转存量维护局点，存在无资源部署的问题。在此情况下，可以通过安全云脑实现资源纳管，支撑用户使用安全云脑进行安全运营。 支持纳管以下资源： 资产： 主机、网站、数据库、VPC、EIP 日志： HSS安全日志、告警日志、 漏洞扫描 日志、基线日志；WAF攻击日志、访问日志；APIG请求日志；CTS服务日志；DCS告警日志；IAM审计日志；安全云脑基线日志 本场景介绍如何在“华北-北京四”region的安全云脑中完成操作，实现纳管“华北-北京一”region中云服务资源。

安全运营 以上操作完成后，即可在“华北-北京四”region的指定工作空间中对“华北-北京一”region的云服务进行运营。 图14 安全运营 管理资产与风险 安全运营的本质指安全风险管理，根据ISO的定义，其三要素包括“资产”，“脆弱性”和“威胁”。因此，梳理您要防护的资产，是安全运营的业务流起点。 梳理资产 安全云脑可以帮助您： 将云上资产从不同租户、不同Region汇集到一个视图中。 将云外资产导入到安全云脑中，并标记其所属的环境。 将资产的风险情况标识出来，例如：是否有不安全的配置、是否有OS或者应用漏洞、是否存在疑似入侵的告警、是否覆盖了对应的防护云服务（例如：ECS上应该安装HSS的Agent、域名应纳入到WAF的防护策略中）。 更多详细介绍及操作请参见资产管理。 检查并清理不安全的配置 在安全运营过程中，最常见的“脆弱性”是不安全的配置。安全云脑基于安全合规经验，形成自动化检查的基线，按照业界通用的规范标准，提供基线检查包。 提供了多种基线标准。法规类标准，如：ISO系列标准、PCI DSS；隐私保护类，如：某国家或地区的隐私保护基线。 云服务中的配置可以自动检查。如：IAM是否按角色进行授权分数、VPC的安全组中是否存在完全放通的策略、WAF的防护策略是否开启等。您可以根据“详情”中建议的方法，对配置进行加固。 更多详细介绍及操作请参见安全治理、基线检查。 发现并修复漏洞 在修复配置类风险之后，安全云脑还可以帮助您，发现并修复安全漏洞。支持检测Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 更多详细介绍及操作请参见漏洞管理。 检测与寻找威胁 数据源连接到安全云脑后，我们已经清点了要保护的资产，并查找及修复了不安全的配置和漏洞，接下来就是识别可疑活动和威胁。 安全云脑可提供多种内置的由安全专家和分析团队根据已知威胁、常见攻击媒介和可疑活动上报链设计的模板，使您能够执行某些对应操作时收到此类威胁的通知。启用这些模板后，它们将自动在整个环境中搜索可疑活动。同时，可以根据需要自定义模板，以搜索或筛选出活动。 同时，还支持云服务安全日志数据检索、分析功能，提供专业级的安全分析能力，实现对云负载、各类应用及数据的安全保护。 更多详细介绍及操作请参见模型模板、安全分析。 调查告警与事件 调查告警 威胁检测模型分析大量的安全云服务日志，找到疑似入侵的行为，即告警。安全云脑中的告警包含如下字段：名称、等级、发起可疑行为的资产/威胁、遭受可疑行为的资产。安全值班人员，需要在较短的时间内对告警做出判定。如果风险较低，则关闭告警（如：重复告警、运维操作）；如果风险较高，需要单击“转事件”，将告警转为事件。 更多详细介绍及操作请参见查看告警信息、告警转事件。 调查事件 告警转成事件后，就可以在事件管理中查看到生成的事件，事件生成后可以进行调查分析。您可以在事件上关联与可疑行为相关的实体：资产（如：VM）、情报（如：攻击源IP）、账号（如：泄露的账号）、进程（如：木马）等；也可以关联历史上相似的其他告警或事件。 更多详细介绍及操作请参见查看事件信息、编辑事件。 响应威胁 利用实时自动化，您可以通过对重复类型的告警实现常规响应自动化来减少告警研判工作量。同时，也可以利用自动化的剧本，完成自动化止血操作。 更多详细介绍及操作请参见安全编排。 使用总大屏、报告 安全大屏 综合态势感知：可以还原攻击历史，感知攻击现状，预测攻击态势，呈现安全运营的全局指标情况。 值班响应大屏：可以查看未处理告警、事件、漏洞、基线等需要处理的安全风险事项。 资产大屏：可以查看资产总数、受攻击资产数、未防护资产数等需要处理的资产以及资产视角的风险情况。 威胁态势大屏：可以查看DDoS攻击次数、网络攻击次数、应用拦截次数、主机层拦截次数等威胁攻击趋势及其防御、检测情况。 脆弱性大屏：可以查看脆弱性资产、漏洞、基线、未防护资产等脆弱性配置或资产的趋势及分布。 更多详细介绍及操作请参见安全大屏。 安全报告 展示安全评分、基线检查结果、安全漏洞、策略覆盖等信息，您可以通过创建安全报告，及时掌握资产的安全状况数据。 更多详细介绍及操作请参见安全报告。

常用查询语句 表1 常用查询语句 需求 管道 查询语句 某IP访问查询 sec-waf-access x_forwarded_for='x.x.x.x' or remote_ip='x.x.x.x' and response_code='200' | select x_forwarded_for,remote_ip,http_host,url,response_code url关键词访问查询 sec-waf-access url like '*actuator*' and response_code='200' | select *,count(x_forwarded_for) as num group by x_forwarded_for,remote_ip,http_host,url 某域名访问iptop sec-waf-attack http_host=MATCH_QUERY('www.xx.com') | select *,count(remote_ip) as num group by http_host,remote_ip 某IP攻击查询 sec-waf-attack sip='x.x.x.x' and not attack='custom_whiteblackip' and not attack='custom_custom' | select attack,sip,http_host,uri,hit_data,status 某域名被攻击查询 sec-waf-attack http_host='www.aa.com' and not attack='custom_whiteblackip' and not attack='custom_custom' and not attack='robot' | select attack,sip,http_host,uri,hit_data,status 某主机执行命令查询 sec-hss-log (dest_asset.name='aa' or ipList='x.x.x.x') and alarmKey='proc_report_2' | select dest_asset.name,ipList,appendInfo.cmdline,appendInfo.path 某主机登录查询 sec-hss-log alarmKey like 'login_check_*' and ipList='x.x.x.x' | select ipList,appendInfo.service_type,appendInfo.service_port,appendInfo.login_ip ,hostIp 某主机告警查询 sec-hss-alarm (dest_asset.name='hostname' or ipList='x.x.x.x' ) | select dest_asset.name,ipList,appendInfo.event_name,appendInfo.file_info,appendInfo.process_info 某主机登录查询 sec-hss-alarm appendInfo.event_type=4007 and (ipList='x.x.x.x' or appendInfo.forensic_info.login_ip='x.x.x.x') | select appendInfo.forensic_info.login_ip,appendInfo.forensic_info.service_type,appendInfo.forensic_info.user_name,appendInfo.event_name,ipList

操作场景 安全云脑提供了4+1个大屏，一个是综合态势感知大屏，其他四个大屏分别是值班响应大屏、资产大屏、威胁态势大屏和脆弱性大屏。 网络防护前请确保已经完成自查整改，清零所有未处理的运营数据。 网络防护期间，安全值班人员需要重点关注“值班响应大屏”的数据信息，当有告警冒泡出来的时候，及时进行告警处理，清零全部告警数据。 通过告警详情页数据进行告警分析，如果需要结合其他日志数据，可通过安全分析在对应数据管道进行查询统计溯源。误报告警直接关闭，有风险告警可通过“一键阻断”能力应急阻断。

告警处置举例 此处以“【应用】源ip xx.xx.xx.xx 对域名demo.host.com进行了xx次攻击”告警为例进行说明。 收到告警： 图7 告警示例 分析思路： 源IP对域名进行爆破攻击，会对可能的子域名产生大量的枚举和测试。 安全云脑通过分析 Web应用防火墙 的告警，统计1小时内的攻击次数，过滤出次数超过阈值的攻击进行告警。 查看告警： 告警详情页面可以看到告警攻击IP、攻击域名，分析模型是“应用-源ip对域名进行爆破攻击”数据管道名称为“sec-waf-attack”。 图8 查看总览信息 图9 查看上下文信息 因为是统计类模型告警，可以结合WAF日志进行安全分析。单个源IP对域名进行多次攻击，虽然已经被WAF阻断，但是由于攻击次数较多，存在绕过WAF的风险，将多次攻击的行为冒泡出来。 分析/处理告警： 进入安全分析页面，打开sec-waf-access日志。 输入查询语句，筛选查询时间，并单击“查询/分析”。 response_code='200' and remote_ip=MATCH_QUERY('xx.xx.xx.xx') 图10 分析告警 根据查询结果，分析查询该IP有没有成功的访问请求。 通过分析，如果该攻击ip请求成功的都是非敏感url，不存在攻击成功或绕过WAF检测的风险，直接在告警详情页面，单击“关闭”，并根据提示关闭告警。 图11 关闭告警 如果是有风险url访问成功，直接在告警详情页面，单击“一键阻断”，填写风险IP，选择WAF防线，阻断老化15天，进行危险IP封堵。 图12 一键阻断

典型告警处理指导 表3 典型告警处理指导 告警类型 安全防线 依赖数据源 云脑智能模型 推荐处理建议 侦察阶段典型告警 网络防线 NIP攻击日志 网络-高危端口对外暴露 排查源IP对系统中的高危端口连接是否为业务需要。如果为业务需要，可修改模型脚本将该源IP过滤掉；如果非业务需要，则可修改相应安全组入方向规则，禁止高危端口暴漏公网，或者对源ip进行封堵拦截。同时为保证系统安全，尽量关闭不必要的端口。 侦察阶段典型告警 应用防线 WAF攻击日志 应用-源ip进行url遍历 应急处理可以记录所有的访问请求和响应，及时发现攻击行为，针对攻击源IP进行限制或者阻断，可以通过配置黑名单策略进行封锁。 侦察阶段典型告警 应用防线 WAF访问日志 应用-疑似存在源码泄露风险 应急处理可以记录所有的访问请求和响应，及时发现攻击行为，针对攻击源IP进行限制或者阻断，可以通过配置黑名单策略进行封锁。 尝试攻击典型告警 应用防线 WAF攻击日志 应用-WAF关键攻击告警、应用-疑似存在Shiro漏洞、应用-疑似存在log4j2漏洞、应用-疑似存在 Java框架通用代码执行漏洞、应用-疑似存在fastjson漏洞 需要联系业务责任人，排查Web服务器是否存在相关漏洞，确认是否攻击成功。如果存在漏洞，应及时修改漏洞并加固安全；如果攻击成功，可结合威胁情报对攻击IP进行拦截。 尝试攻击典型告警 网络防线 NIP攻击日志 网络-检测黑客工具攻击、网络-登录爆破告警 请确认该操作是否为正常业务人员的行为，如果不是，可以参考以下处置建议： 切断网络连接：立即停止受攻击的设备或系统与网络的连接，以防止攻击者继续进行攻击或窃取数据。 收集证据：记录攻击发生的时间、攻击者使用的IP地址、攻击类型和受影响的系统等信息，这些信息可能有助于后续的调查和追踪。 尝试攻击典型告警 网络防线 CFW访问控制日志 网络-疑似存在DOS攻击 请确认该操作是否为正常业务人员的行为，如果不是，可在相关网络设备上进行IP拦截或封堵。 入侵成功典型告警 网络防线 NIP攻击日志 网络-命令注入告警 如果发现源端口或目的端口为4444、8686、7778等非常用端口（可疑端口一般为4个数字），需联系责任人确认业务场景。如果不是正常业务行为，可能是黑客正在进行命令注入攻击，需要结合业务及主机日志查看是否被成功入侵，同时也可以对攻击ip采取拦截封堵等措施。 入侵成功典型告警 网络防线 NIP攻击日志 网络-恶意软件 [蠕虫、病毒、木马] 首先应该立即断开与互联网的连接，防止恶意软件进一步传播或者窃取您的敏感信息。之后可通过系统还原，杀毒软件等方式扫描和清除恶意软件。 入侵成功典型告警 主机防线 主机安全告警日志 主机-暴力破解成功、主机-异常shell、主机-异地登录 请确认该事件是否攻击成功，如果攻击成功，表明该主机已经失陷，需要进行主机隔离，防止风险扩散，之后对失陷的主机进行加固。 入侵成功典型告警 主机防线 主机安全日志 主机-进程和端口信息隐匿、主机-异常文件属性修改 及时判断是否是内部人员操作，是否为误操作。如果是异常进程，或文件存在恶意行为，执行相关命令结束进程。 防御绕过典型告警 主机防线 主机安全告警日志 主机-rootkit事件 立即确认该Rootkit安装是否正常业务引起。如果是非正常业务引起的，建议您立即登录系统终止该Rootkit安装行为，利用主机安全告警信息全面排查系统风险，避免系统遭受进一步破坏。 权限维持典型告警 主机防线 主机安全告警日志 主机-反弹shell、主机-恶意程序 联系所属主机的责任人，登录到主机上停止恶意程序并删除恶意文件，同时进一步排查是否存在可疑进程，是否开放了可疑端口，是否有可疑连接等，并进一步检查自启动项，避免遗留，此外可以结合其他方式进行综合判断。 权限维持典型告警 网络防线 NIP攻击日志 网络-检测异常连接行为 首先需要确认是否为真实的异常行为，而非误报或误判。可以通过多个方法进行确认，例如，查看日志记录、使用网络监控工具等。一旦确认存在异常连接行为，需要立即采取措施切断该异常连接，消除恶意软件，以避免进一步安全问题的发生。 横向移动典型告警 主机防线 主机安全日志 主机-虚拟机横向连接 建议通过 堡垒机 等审计记录查看该命令是程序执行还是人为操作，如果为人为操作，需联系对应操作人确定，风格为非正常业务人员操作，需尽快确定该行为是否为异常恶意行为，是否危害到对应虚拟机，及时采取措施，保护计算机和系统的安全。 持久化控制典型告警 网络防线 NIP攻击日志 网络-后门 首先应该立即断开与互联网的连接，防止后门进一步传播或者窃取您的敏感信息。可以使用杀毒软件进行扫描和清除后门，并查找和删除可疑文件，确保系统的安全性。 持久化控制典型告警 主机防线 主机安全日志 主机-恶意定时任务写入 请确认是否为正常业务任务，如果不是，可以停用计划任务。

操作场景 数据采集后，安全云脑针对云上安全事件提供了安全编排剧本，实现安全事件的高效、自动化响应处置。 安全云脑内置的流程默认已启用，无需再进行手动启用；内置的剧本已激活默认版本，仅需启用对应剧本即可。建议启用以下剧本： 表1 启用剧本 剧本名称 描述 重复告警自动关闭 将近7日内第二次及第二次以上出现的告警状态置为关闭，并关联7日内同名告警 高危告警自动通知 对威胁级别为High或者Fatal的告警进行邮件或者短信通知

执行管道 表1 模型的执行管道 模型名称 管道 是否开启 状态 备注 应用-分布式url遍历攻击 sec-waf-access 推荐开启 开箱即用已开启 -- 应用-源ip对域名进行爆破攻击 sec-waf-attack 推荐开启 开箱即用已开启 -- 应用-源ip进行url遍历 sec-waf-access 推荐开启 开箱即用已开启 -- 应用-WAF关键攻击告警 sec-waf-attack 推荐开启 开箱即用已开启 -- 主机-虚拟机横向连接 sec-hss-log 推荐开启 开箱即用已开启 -- 网络-高危端口对外暴露 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-登录爆破告警 sec-nip-attack 推荐开启 开箱即用已开启 -- 主机-异常网络连接 sec-hss-alarm 推荐开启 开箱即用已开启 -- 网络-源ip对多个目标进行攻击 sec-nip-attack 推荐开启 开箱即用已开启 -- IPS告警去重 sec-nip-attack 按需开启 -- -- 网络-命令注入告警 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-恶意外联 sec-nip-attack 推荐开启 开箱即用已开启 -- 主机-rootkit事件 sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-反弹shell sec-hss-alarm 推荐开启 开箱即用已开启 已升级，需更新模型 主机-异地登录 sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-异常shell sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-弱口令 sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-恶意程序 sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-暴力破解成功 sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-高危命令检测 sec-hss-alarm 推荐开启 开箱即用已开启 已升级，需更新模型 网络-检测异常连接行为 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-检测黑客工具攻击 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-恶意软件 [蠕虫、病毒、木马] sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-僵尸网络 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-后门 sec-nip-attack 推荐开启 开箱即用已开启 -- 应用-疑似存在源码泄露风险 sec-waf-access 推荐开启 开箱即用已开启 -- 身份-IAM账号爆破 sec-iam-audit 推荐开启 开箱即用已开启 -- 应用-疑似存在log4j2漏洞 sec-waf-attack 推荐开启 开箱即用已开启 -- 身份-创建IAM委托 sec-iam-audit 推荐开启 开箱即用已开启 -- 身份-创建联邦登录 sec-iam-audit 推荐开启 开箱即用已开启 -- 身份-IAM账户添加子用户 sec-iam-audit 推荐开启 开箱即用已开启 -- 运维-挂载网卡 sec-cts-audit 推荐开启 开箱即用已开启 -- 运维-创建peering对等连接 sec-cts-audit 推荐开启 开箱即用已开启 -- 运维-资源绑定EIP sec-cts-audit 推荐开启 开箱即用已开启 -- 应用-疑似存在fastjson漏洞 sec-waf-attack 推荐开启 开箱即用已开启 -- 应用-疑似存在 Java框架通用代码执行漏洞 sec-waf-attack 推荐开启 开箱即用已开启 -- 应用-疑似存在Shiro漏洞 sec-waf-attack 推荐开启 开箱即用已开启 -- 网络-CFW异常外联 sec-cfw-risk 推荐开启 开箱即用已开启 -- 网络-疑似存在DOS攻击 sec-cfw-block 按需开启 开箱即用已开启 -- 应用-登录爆破攻击 sec-waf-attack 推荐开启 开箱即用已开启 -- 主机-异常文件属性修改 sec-hss-log 推荐开启 开箱即用已开启 -- 主机-恶意定时任务写入 sec-hss-log 推荐开启 开箱即用已开启 -- 主机-进程和端口信息隐匿 sec-hss-log 推荐开启 开箱即用已开启 -- 主机-异常文件权限修改 sec-hss-log 推荐开启 开箱即用已开启 -- 网络-疑似存在远程代码执行漏洞 sec-nip-attack 推荐开启 -- -- 网络-存在敏感文件泄露 /目录遍历漏洞 sec-nip-attack 推荐开启 -- -- 应用-疑似存在openfire鉴权绕过漏洞 sec-waf-access 推荐开启 -- -- 应用-疑似存在 nginxWebUI 远程命令执行漏洞 sec-waf-access 推荐开启 -- -- 应用-疑似存在 MinIO 信息泄露 sec-waf-access 推荐开启 -- -- 应用-疑似存在 F5 BIG-IP 命令执行漏洞 sec-waf-access 推荐开启 -- -- 应用-存在Spring Actuator信息泄露 sec-waf-access 推荐开启 -- -- 主机-计划任务异常 sec-hss-alarm 推荐开启 -- -- 主机-疑似注册启动信息修改 sec-hss-log 推荐开启 -- -- 主机-疑似发现webshell木马 sec-hss-alarm 推荐开启 -- -- 主机-疑似使用内网扫描工具 sec-hss-log 推荐开启 -- -- 主机-挖矿行为检测 sec-hss-alarm 推荐开启 -- -- 主机-异常脚本调用 sec-hss-log 推荐开启 -- -- 主机-勒索软件 sec-hss-alarm 推荐开启 -- -- 应用-疑似人为WEB恶意入侵攻击 sec-waf-attack 推荐开启 -- -- 网络-目录遍历攻击 sec-ndr-risk 按需开启 -- -- 网络-文件读写执行 sec-ndr-risk 按需开启 -- -- 网络-绕过 sec-ndr-risk 按需开启 -- -- 网络-代码执行 sec-ndr-risk 按需开启 -- -- 网络-检测后门 sec-ndr-risk 按需开启 -- -- 网络-log4j漏洞攻击 sec-ndr-risk 按需开启 -- -- 网络-提权 sec-ndr-risk 按需开启 -- -- 网络-检测恶意外联 sec-ndr-risk 按需开启 -- -- 主机-异常权限提升 sec-hss-alarm 推荐开启 -- -- 应用-疑似泛微 e-cology9登录漏洞 sec-waf-access 推荐开启 -- -- 主机-信息破坏 sec-hss-alarm 推荐开启 -- -- 主机-网络异常行为 sec-hss-alarm 推荐开启 -- -- 主机-用户异常行为 sec-hss-alarm 推荐开启 -- 已升级，需更新模型 主机-容器异常 sec-hss-alarm 推荐开启 -- -- 应用-waf 告警恶意ip攻击 sec-waf-attack 推荐开启 -- -- 主机-系统异常变更 sec-hss-alarm 推荐开启 -- -- 主机-漏洞利用 sec-hss-alarm 推荐开启 -- 已升级，需更新模型 主机-集群异常行为 sec-hss-alarm 推荐开启 -- -- 主机-异常进程 sec-hss-alarm 推荐开启 -- -- 主机-黑客工具检测 sec-hss-alarm 推荐开启 -- -- 主机-扫描侦查 sec-hss-alarm 推荐开启 -- -- 主机-关键文件路径变更 sec-hss-alarm 推荐开启 -- 新增 主机-异常外联行为 sec-hss-alarm 推荐开启 -- 新增 主机-文件/目录变更 sec-hss-alarm 推荐开启 -- 新增 主机-尝试暴力破解 sec-hss-alarm 推荐开启 -- 新增 主机-可疑进程异常访问文件 sec-hss-alarm 推荐开启 -- 新增 主机-容器异常启动 sec-hss-alarm 推荐开启 -- 新增 主机-非可信进程运行 sec-hss-alarm 推荐开启 -- 新增 主机-Crontab可疑任务 sec-hss-alarm 推荐开启 -- 新增 主机-用户账号变更 sec-hss-alarm 推荐开启 -- 新增 网络-CFW恶意外部攻击 sec-cfw-risk 推荐开启 -- 新增 应用-疑似存在目录爆破 sec-nginx-access 按需开启 -- -- 应用-疑似存在dos攻击风险 sec-nginx-access 按需开启 -- -- 应用-python恶意爬虫 sec-nginx-access 按需开启 -- -- 应用-用户异常登录疑似爆破 sec-nginx-access 按需开启 -- -- 应用-疑似撞库攻击 sec-nginx-access 按需开启 -- -- 网络-主机非法探测 sec-vpc-flow 按需开启 -- -- 网络-端口非法扫描 sec-vpc-flow 按需开启 -- --

修复说明 Linux、Windows漏洞 如下是近两年在攻防演练中被红队利用最频繁且对企业危害较高的系统漏洞，HSS漏洞库支持扫描该漏洞，如果使用HSS扫描时发现该漏洞，请优先排查修复。 Linux DirtyPipe权限提升漏洞（CVE-2022-0847） 如果漏洞影响的软件未启动或启动后无对外开放端口，则实际风险较低，可滞后修复。 应用漏洞 HSS不支持扫描如用友、金蝶等商用软件的漏洞，因此商用软件漏洞您需要自行排查。 如果Web服务器的应用漏洞无法修复，您可以通过配置安全组规则，限制只可内网访问，或使用WAF防护（只能降低风险，通过内网渗透或规则绕过依然有被入侵的风险）。 如下是近两年在攻防演练中被红队利用最频繁且对企业危害较高的应用漏洞，HSS漏洞库支持扫描这些漏洞，如果使用HSS扫描时发现这些漏洞，请优先排查修复。 nginxWebUI远程命令执行漏洞 Nacos反序列化漏洞 Apache RocketMQ命令注入漏洞（CVE-2023-33246） Apache Kafka远程代码执行漏洞（CVE-2023-25194） Weblogic远程代码执行漏洞（CVE-2023-21839） Atlassian Bitbucker Data Center远程代码执行漏洞（CVE-2022-26133） Apache CouchDB远程代码执行漏洞（CVE-2022-24706） F5 BIG-IP命令执行漏洞（CVE-2022-1388） Fastjson 1.2.8反序列化漏洞（CVE-2022-25845） Atlassian Confluence OGNL注入漏洞（CVE-2022-26134） Apache Log4j2远程代码执行漏洞（CVE-2021-44228）

ECS规格要求 安装采集器（isap-agent + Logstash）的租户云服务器（ECS）规格要求如下表： 表1 ECS规格 CPU内核数 内存大小 系统磁盘存储大小 数据磁盘存储大小 采集器参考处理能力 4核 8G 50G 100G 4000 EPS @ 500B 8核 16G 50G 100G 10000 EPS @ 500B 16核 32G 50G 100G 20000 EPS @ 500B 32核 64G 50G 100G 40000 EPS @ 500B 64核 128G 50G 100G 80000 EPS @ 500B 规格说明： 4000 EPS @ 500B：日志采集器每秒可以处理4000次数据。条件：单个数据大小为500字节（500B）情况下。 ECS规格最低要求：CPU2核，内存4 GB，系统磁盘50 GB，数据磁盘100 GB。 架构要求：当前日志采集组件控制器（isap-agent）仅支持运行在Linux系统X86架构的ECS主机上，后续更多环境适配持续更新中。 操作系统（镜像）：无限制，建议Huawei Cloud EulerOS。 日志量应当与机器规格成比例放大，建议按表中规格比例进行放大。如果机器压力较大，建议部署多台采集器，通过采集通道来统一管理，分摊单机日志中转压力。

基本概念 本部分介绍日志采集中涉及的基本概念的描述及其作用。 日志采集组件（Logstash）：用于日志采集、日志传输。 组件控制器（isap-agent）：用于管理日志采集组件（Logstash）等。 日志采集器节点：用于采集日志到云脑，以及安全云脑日志转出。 一台ECS，安装了安全云脑组件控制器，组件控制器中安装了日志采集组件。单个租户只需要配置安装一台日志采集器节点。 图2 日志采集器节点架构图 采集器：定制化的Logstash。采集器节点则是定制化的Logstash+组件控制器（isap-agent）。 连接器：Logstash配置的基础概念，主要包括input、output两部分，分别对应源连接器、目的连接器，用于定义采集器Logstash接受数据方式和规范。其中，安全云脑管道pipe连接器可以对接安全云脑，实现租户数据上报安全云脑，安全云脑数据转储到租户的能力。 解析器：Logstash配置的基础概念，主要为Logstash的filter部分，安全云脑解析器是对其filter部分的无码化封装和定制，用户只需在页面上配置解析器规则即可生成原生的filter配置脚本，从而轻松实现将原始日志转化为目标格式。 采集通道：采集通道等价于Logstash的pipeline，在Logstash可以配置多个pipeline，每个pipeline包括input、filter、output部分，每个pipeline为单独的作业，互不影响。在安全云脑租户采集上，可将相同的pipeline部署在多个节点上，并且配置相同的pipeline视为一个采集通道。

日志接入或转出支持的传输协议类型以及日志格式 表2 日志接入或转出支持的传输协议类型以及日志格式 场景 支持的传输协议类型 支持的日志格式 日志接入安全云脑 传输控制协议 TCP json、syslog、plain 用户数据协议 UDP json、syslog、plain 对象存储 OBS json、plain 消息队列 Kafka json、plain 云脑管道 Pipe json、plain ElasticSearch CSS json、plain 日志从安全云脑转出 传输控制协议 TCP json 用户数据协议 UDP json 消息队列 Kafka json 对象存储 OBS json 云脑管道 Pipe json

监控指标 表1 SFS容量型（已售罄）支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 测量对象（维度） 监控周期（原始指标） read_bandwidth 读带宽 该指标用于统计文件系统在周期内的读数据量。 ≥ 0 bytes/s 1024(IEC) 文件共享 4分钟 write_bandwidth 写带宽 该指标用于统计文件系统在周期内的写数据量 ≥ 0 bytes/s 1024(IEC) 文件共享 4分钟 rw_bandwidth 读写带宽 该指标用于统计文件系统在周期内的读写数据量。 ≥ 0 bytes/s 1024(IEC) 文件共享 4分钟 read_ops 读OPS 该指标用于统计文件系统在周期内的读次数。 ≥ 0 counts/s 不涉及 文件共享 4分钟 write_ops 写OPS 该指标用于统计文件系统在周期内的写次数。 ≥ 0 counts/s 不涉及 文件共享 4分钟 rw_ops 读写OPS 该指标用于统计文件系统在周期内的读写次数。 ≥ 0 counts/s 不涉及 文件共享 4分钟 used_capacity 已用容量 该指标用于统计文件系统在周期内的已用容量。 ≥ 0 bytes 1024(IEC) 文件共享 4分钟 表2 通用文件系统支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 测量对象（维度） 监控周期（原始指标） capacity_standard 容量型存储用量 容量型存储数据所占用的存储空间容量。 ≥ 0 Byte 1024(IEC) 用户 文件共享 30分钟 capacity_infrequentaccess 低频型存储用量 低频型存储数据所占用的存储空间容量。 ≥0 Byte 1024(IEC) 用户 文件共享 30分钟 read_bandwidth 文件系统读带宽 该指标用于统计文件系统在周期内的读数据量。 ≥0 byte/s 1024(IEC) 文件共享 4分钟 write_bandwidth 文件系统写带宽 该指标用于统计文件系统在周期内的写数据量。 ≥0 byte/s 1024(IEC) 文件共享 4分钟 read_tps 文件系统读TPS 该指标用于统计文件系统在周期内的读次数。 ≥0 count 不涉及 文件共享 4分钟 write_tps 文件系统写TPS 该指标用于统计文件系统在周期内的写次数。 ≥0 count 不涉及 文件共享 4分钟 通用文件系统的监控指标仅在有业务访问时展示数据。

监控指标 表1 弹性文件服务Turbo支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 测量对象（维度） 监控周期（原始指标） client_connections 客户端连接数 该指标用于统计测量客户端连接数。 说明： 连接数统计的是活跃的客户端链接。 如果客户端长时间无 IO，网络链接会自动断开，当有 IO 时客户端会自动重新建立网络链接。 ≥0 Count 不涉及 弹性文件服务Turbo 1分钟 data_read_io_bytes 读带宽 该指标用于测量读I/O负载。 ≥0 bytes/s 1024(IEC) 弹性文件服务Turbo 1分钟 data_write_io_bytes 写带宽 该指标用于测量写I/O负载。 ≥0 byte/s 1024(IEC) 弹性文件服务Turbo 1分钟 metadata_io_bytes 元数据读写带宽 该指标用于测量元数据读写I/O负载。 ≥0 byte/s 1024(IEC) 弹性文件服务Turbo 1分钟 total_io_bytes 总带宽 该指标用于测量总I/O负载。 ≥0 byte/s 1024(IEC) 弹性文件服务Turbo 1分钟 iops IOPS 该指标用于测量单位时间内处理的I/O数。 ≥0 Count 不涉及 弹性文件服务Turbo 1分钟 used_capacity 已用容量 该指标用于统计文件系统已用容量。 ≥0 byte 1024(IEC) 弹性文件服务Turbo 1分钟 used_capacity_percent 容量使用率 该指标用于统计文件系统已用容量占总容量的比例。 0-100 % 不涉及 弹性文件服务Turbo 1分钟 used_inode 已用inode数 该指标用于统计文件系统已用inode数 ≥1 Count 不涉及 弹性文件服务Turbo 1分钟 used_inode_percent inode使用率 该指标用于统计文件系统已用inode数占总inode数的比率。 0-100 % 不涉及 弹性文件服务Turbo 1分钟

相关问题 如何修改集群实例的最大连接数？ 实例的最大连接数可通过修改参数“net.maxIncomingConnections”的值进行调整，如何调整参数值请参见编辑参数模板。 如何购买集群实例？ 详情请参见购买集群实例。 如何变更集群实例的CPU和内存？ 集群实例可以变更dds mongos节点和shard节点的CPU和内存，具体操作请参见变更集群实例的CPU和内存。 如何扩容集群实例的磁盘空间？ 集群实例可以对shard节点进行磁盘扩容，具体操作请参见扩容存储。

历史实例规格表 2021年7月以前创建的实例，请参考下列表中的连接数。 表4 config节点的规格 实例类型 CPU类型 规格类型 vCPU（个） 内存（GB） 规格ID 缺省最大连接数配置 连接数取值范围 集群 x86 通用型 2 4 dds.mongodb.s6.large.2.config 400 200-2000 增强型 2 4 dds.mongodb.c3.large.2.config 增强Ⅱ型 2 4 dds.mongodb.c6.large.2.config 鲲鹏 - 2 4 dds.mongodb.large.arm2.config 表5 dds mongos和shard节点的规格 实例类型 CPU类型 规格类型 组件 vCPU（个） 内存（GB） 规格ID 缺省最大连接数配置 连接数取值范围 集群 x86 通用型 dds mongos 1 4 dds.mongodb.s6.medium.4.mongos 400 200-1000 2 4 dds.mongodb.s6.large.2.mongos 400 200-2000 2 8 dds.mongodb.s6.large.4.mongos 400 200-2000 4 8 dds.mongodb.s6.xlarge.2.mongos 1000 200-4000 4 16 dds.mongodb.s6.xlarge.4.mongos 1000 200-4000 8 16 dds.mongodb.s6.2xlarge.2.mongos 4000 200-16000 8 32 dds.mongodb.s6.2xlarge.4.mongos 4000 200-16000 shard 1 4 dds.mongodb.s6.medium.4.shard 400 200-1000 2 4 dds.mongodb.s6.large.2.shard 400 200-2000 2 8 dds.mongodb.s6.large.4.shard 400 200-2000 4 8 dds.mongodb.s6.xlarge.2.shard 1000 200-4000 4 16 dds.mongodb.s6.xlarge.4.shard 1000 200-4000 8 16 dds.mongodb.s6.2xlarge.2.shard 4000 200-16000 8 32 dds.mongodb.s6.2xlarge.4.shard 4000 200-16000 增强型 dds mongos 2 8 dds.mongodb.c3.large.4.mongos 400 200-2000 4 16 dds.mongodb.c3.xlarge.4.mongos 1000 200-4000 8 32 dds.mongodb.c3.2xlarge.4.mongos 4000 200-16000 16 64 dds.mongodb.c3.4xlarge.4.mongos 8000 200-16000 32 128 dds.mongodb.c3.8xlarge.4.mongos 8000 200-16000 60 256 dds.mongodb.c3.15xlarge.4.mongos 8000 200-16000 shard 2 8 dds.mongodb.c3.large.4.shard 400 200-2000 4 16 dds.mongodb.c3.xlarge.4.shard 1000 200-4000 8 32 dds.mongodb.c3.2xlarge.4.shard 4000 200-16000 16 64 dds.mongodb.c3.4xlarge.4.shard 8000 200-16000 32 128 dds.mongodb.c3.8xlarge.4.shard 8000 200-16000 60 256 dds.mongodb.c3.15xlarge.4.shard 8000 200-16000 增强Ⅱ型 dds mongos 2 8 dds.mongodb.c6.large.4.mongos 400 200-2000 4 16 dds.mongodb.c6.xlarge.4.mongos 1000 200-4000 8 32 dds.mongodb.c6.2xlarge.4.mongos 4000 200-16000 16 64 dds.mongodb.c6.4xlarge.4.mongos 8000 200-16000 32 128 dds.mongodb.c6.8xlarge.4.mongos 8000 200-16000 64 256 dds.mongodb.c6.16xlarge.4.mongos 8000 200-16000 shard 2 8 dds.mongodb.c6.large.4.shard 400 200-2000 4 16 dds.mongodb.c6.xlarge.4.shard 1000 200-4000 8 32 dds.mongodb.c6.2xlarge.4.shard 4000 200-16000 16 64 dds.mongodb.c6.4xlarge.4.shard 8000 200-16000 32 128 dds.mongodb.c6.8xlarge.4.shard 8000 200-16000 64 256 dds.mongodb.c6.16xlarge.4.shard 8000 200-16000 鲲鹏 - dds mongos 2 4 dds.mongodb.large.arm2.mongos 400 200-2000 - 2 8 dds.mongodb.large.arm4.mongos 400 200-2000 - 4 8 dds.mongodb.xlarge.arm2.mongos 1000 200-4000 - 4 16 dds.mongodb.xlarge.arm4.mongos 1000 200-4000 - 8 16 dds.mongodb.2xlarge.arm2.mongos 4000 200-16000 - 8 32 dds.mongodb.2xlarge.arm4.mongos 4000 200-16000 - 16 32 dds.mongodb.4xlarge.arm2.mongos 8000 200-16000 - 16 64 dds.mongodb.4xlarge.arm4.mongos 8000 200-16000 - shard 2 4 dds.mongodb.large.arm2.shard 400 200-2000 - 2 8 dds.mongodb.large.arm4.shard 400 200-2000 - 4 8 dds.mongodb.xlarge.arm2.shard 1000 200-4000 - 4 16 dds.mongodb.xlarge.arm4.shard 1000 200-4000 - 8 16 dds.mongodb.2xlarge.arm2.shard 4000 200-16000 - 8 32 dds.mongodb.2xlarge.arm4.shard 4000 200-16000 - 16 32 dds.mongodb.4xlarge.arm2.shard 8000 200-16000 - 16 64 dds.mongodb.4xlarge.arm4.shard 8000 200-16000

现行实例规格说明 DDS集群实例的CPU规格分为通用型和增强Ⅱ型，详见表1。 表1 CPU规格类型 规格 说明 适用场景 通用型 与同一物理机上的其他通用型规格实例共享CPU资源，通过资源复用换取CPU使用率最大化，性价比较高，适用于对性能稳定性要求较低的应用场景。 侧重对成本、性价比要求较高的场景。 增强Ⅱ型 CPU性能强劲，并搭载全新网络加速引擎，以及DPDK(Data Plane Development Kit)快速报文处理机制，提供更高的网络性能以及算力，满足不同场景需求。 对数据库算力与网络有更高性能要求的网站和Web应用场景。 表2 config节点的规格 CPU类型 规格类型 vCPU（个） 内存（GB） 规格ID 缺省最大连接数配置 连接数取值范围 x86 通用型 2 4 dds.mongodb.s6.large.2.config 2000 200-2000 4 8 dds.mongodb.s6.xlarge.2.config 4000 200-4000 8 16 dds.mongodb.s6.2xlarge.2.config 4000 200-4000 增强Ⅱ型 2 4 dds.mongodb.c6.large.2.config 2000 200-2000 4 8 dds.mongodb.c6.xlarge.2.config 4000 200-4000 8 16 dds.mongodb.c6.2xlarge.2.config 4000 200-4000 鲲鹏 - 2 4 dds.mongodb.large.arm2.config 2000 200-2000 4 8 dds.mongodb.xlarge.arm2.config 4000 200-4000 8 16 dds.mongodb.2xlarge.arm2.config 16000 200-16000 表3 dds mongos和shard节点的规格 CPU类型 规格类型 组件 vCPU（个） 内存（GB） 规格ID 缺省最大连接数配置 连接数取值范围 x86 通用型 dds mongos 1 4 dds.mongodb.s6.medium.4.mongos 1000 200-1000 2 4 dds.mongodb.s6.large.2.mongos 2000 200-2000 2 8 dds.mongodb.s6.large.4.mongos 2000 200-2000 4 8 dds.mongodb.s6.xlarge.2.mongos 4000 200-4000 4 16 dds.mongodb.s6.xlarge.4.mongos 4000 200-4000 8 16 dds.mongodb.s6.2xlarge.2.mongos 16000 200-16000 8 32 dds.mongodb.s6.2xlarge.4.mongos 16000 200-16000 shard 1 4 dds.mongodb.s6.medium.4.shard 1000 200-1000 2 4 dds.mongodb.s6.large.2.shard 2000 200-2000 2 8 dds.mongodb.s6.large.4.shard 2000 200-2000 4 8 dds.mongodb.s6.xlarge.2.shard 4000 200-4000 4 16 dds.mongodb.s6.xlarge.4.shard 4000 200-4000 8 16 dds.mongodb.s6.2xlarge.2.shard 16000 200-16000 8 32 dds.mongodb.s6.2xlarge.4.shard 16000 200-16000 增强Ⅱ型 dds mongos 2 8 dds.mongodb.c6.large.4.mongos 2000 200-2000 2 16 dds.mongodb.c6.large.8.mongos 2000 200-2000 4 16 dds.mongodb.c6.xlarge.4.mongos 4000 200-4000 4 32 dds.mongodb.c6.xlarge.8.mongos 4000 200-4000 8 32 dds.mongodb.c6.2xlarge.4.mongos 16000 200-16000 8 64 dds.mongodb.c6.2xlarge.8.mongos 16000 200-16000 16 64 dds.mongodb.c6.4xlarge.4.mongos 16000 200-16000 16 128 dds.mongodb.c6.4xlarge.8.mongos 16000 200-16000 32 128 dds.mongodb.c6.8xlarge.4.mongos 16000 200-16000 32 256 dds.mongodb.c6.8xlarge.8.mongos 16000 200-16000 64 256 dds.mongodb.c6.16xlarge.4.mongos 16000 200-16000 shard 2 8 dds.mongodb.c6.large.4.shard 2000 200-2000 2 16 dds.mongodb.c6.large.8.shard 2000 200-2000 4 16 dds.mongodb.c6.xlarge.4.shard 4000 200-4000 4 32 dds.mongodb.c6.xlarge.8.shard 4000 200-4000 8 32 dds.mongodb.c6.2xlarge.4.shard 16000 200-16000 8 64 dds.mongodb.c6.2xlarge.8.shard 16000 200-16000 16 64 dds.mongodb.c6.4xlarge.4.shard 16000 200-16000 16 128 dds.mongodb.c6.4xlarge.8.shard 16000 200-16000 32 128 dds.mongodb.c6.8xlarge.4.shard 16000 200-16000 32 256 dds.mongodb.c6.8xlarge.8.shard 16000 200-16000 64 256 dds.mongodb.c6.16xlarge.4.shard 16000 200-16000 鲲鹏 - dds mongos 2 4 dds.mongodb.large.arm2.mongos 2000 200-2000 - 2 8 dds.mongodb.large.arm4.mongos 2000 200-2000 - 4 8 dds.mongodb.xlarge.arm2.mongos 4000 200-4000 - 4 16 dds.mongodb.xlarge.arm4.mongos 4000 200-4000 - 8 16 dds.mongodb.2xlarge.arm2.mongos 16000 200-16000 - 8 32 dds.mongodb.2xlarge.arm4.mongos 16000 200-16000 - 16 32 dds.mongodb.4xlarge.arm2.mongos 16000 200-16000 - 16 64 dds.mongodb.4xlarge.arm4.mongos 16000 200-16000 - shard 2 4 dds.mongodb.large.arm2.shard 2000 200-2000 - 2 8 dds.mongodb.large.arm4.shard 2000 200-2000 - 4 8 dds.mongodb.xlarge.arm2.shard 4000 200-4000 - 4 16 dds.mongodb.xlarge.arm4.shard 4000 200-4000 - 8 16 dds.mongodb.2xlarge.arm2.shard 16000 200-16000 - 8 32 dds.mongodb.2xlarge.arm4.shard 16000 200-16000 - 16 32 dds.mongodb.4xlarge.arm2.shard 16000 200-16000 - 16 64 dds.mongodb.4xlarge.arm4.shard 16000 200-16000

数据库监控配置 配置慢SQL的阈值，超过该阈值的请求被称为慢SQL，并在接口调用、监控报表等展示相关请求。 进入组件配置页，在“数据库监控配置”中配置慢SQL值。 取值范围：[100,20000]，默认值与系统中配置的SQL阈值相同。 图11 数据库监控配置 单击“保存”，提示保存成功。 单击“复用到其他组件”，弹出“复用到其他组件”选择框。 图12 复用到其他组件 选择一个或多个组件，单击“复用到其他组件”，则当前“数据库监控配置”信息，成功的复制到被选择的组件中。

关联日志服务 应用性能管理 （ APM ）与云日志服务（LTS）关联，您可以在 LTS中关联调用链的TraceID 信息，当应用出现故障时，可以通过调用链的TraceID 快速关联到业务日志，及时定位分析并解决问题。 打印TraceID至业务日志中，开启后业务日志中会自动生成调用链的TraceId。如果关闭打印TraceID至业务日志中，则关联日志服务的设置不生效。 关联业务日志支持Log4j/Log4j2/Logback日志组件。 自定义设置只支持java类型。 进入组件配置页，在“关联日志服务”表单中填写相关信息。 图4 关联日志服务 表1 关联日志服务参数说明 参数 说明 项目 在下拉菜单中选择项目。 日志组 日志组（LogGroup）是云日志服务进行日志管理的基本单位，可以创建日志流以及设置日志存储时间，每个账号下可以创建100个日志组。创建日志组详细操作参见日志组。 日志流 日志流（LogStream）是日志读写的基本单位，日志组中可以创建日志流，将不同类型的日志分类存储，方便对日志进一步分类管理。详细操作参见日志流。 单击“保存”，弹出“关联日志服务”提示框。 图5 保存关联日志服务 单击“确认”，关联成功。 单击“复用到其他组件”，弹出“复用到其他组件”选择框。 选择一个或多个组件，单击“保存并复用到其他组件”，则当前“关联日志服务”的配置，成功的复制到被选择的组件中。

Profiler性能剖析配置 进入组件配置页，在“Profiler性能剖析配置”表单中填写相关信息。 图6 Profiler性能剖析配置 表2 Profiler性能剖析配置说明 参数 说明 Profiler启停 开启后，将对低开销的应用进行持续诊断，解决Java程序中因为CPU、内存和时延导致的瓶颈问题。 开关默认为关闭，开关置灰。总开关关闭时，所有子开关都处于关闭状态。 CPU 开启后将采集应用运行过程中CPU火焰图信息。 开关默认为关闭，开关置灰。 内存 开启后将采集应用运行过程中堆内存火焰图信息。 开关默认为关闭，开关置灰。 Live Object Memory：已分配但未被回收的堆内存，使用场景主要包括内存泄漏等。该特性需要JDK版本为JDK17。 Allocated Memory：已分配的堆内存（包括已被回收和未被回收的部分），使用场景包括频繁GC等。 时延 开启后将采集应用运行过程中时延火焰图信息。 开关默认为关闭，开关置灰。 生效范围 组件：组件级范围生效。该组件下关联的所有实例生成Profiler数据。开关默认为开启，组件按钮标记为蓝色。 实例：实例级范围生效。仅所选实例生成Profiler数据，开关默认为关闭，开关置灰。 单击实例开关，开启“实例”，实例按钮标记为蓝色。 单击“选择实例”，选择所需要的实例。 图7 选择实例 选择1个或多个实例后，单击“确定”，设置成功。如果选择了实例级范围生效，则不能复制到其他组件/环境。 图8 选择需要的实例 “组件”和“实例”只能选择其中一项，不支持同时选择。 单击“保存”，提示保存成功,弹出“使用注意”提示框。 单击“确认”，配置成功。 单击“复用到其他组件”，弹出“复用到其他组件”选择框。 图9 复用到其他组件 选择一个或多个组件，单击“复用到其他组件”，则当前“Profiler性能剖析配置”信息，成功的复制到被选择的组件中。

全采样设置 使用限制 为了减少调用链数据频繁上报给服务造成的性能影响，探针侧发送的调用链数据，默认情况下最大100TPS的速率上报。所以在服务并发量超过100TPS的情况下，调用链不会全部上报，如有需要可以通过修改配置文件的方式修改上报阈值，但请做好性能开销的评估。 全采样功能在设置100%采样率，500TPS、1000TPS、2000TPS的情况下，CPU的消耗相对于智能采样分别增加约5%、10%、20%。 进入组件配置页，在“全采样配置”中选择采样策略。 图10 全采样设置 智能采样。 全采样策略系统默认是智能采样，url分为错误url、慢url（默认800ms、用户自定义配置）、正常url三种url，每种url调用链数据的采样率单独计算。APM的统计数据是一分钟采集上报一次，第一个采集周期所有url调用链数据都按正常url采样。第二个采集周期时，根据上一个采集周期的统计数据，将url分类为错误url、慢url、正常url三种url。 错误url的采样率：cpu小于30%每分钟采集100条，cpu大于或等于30%小于60%每分钟采集50条，cpu大于或等于60%每分钟采集10条，每条url至少采集2条。 慢url的采样率：cpu小于30%每分钟采集100条，cpu大于或等于30%小于60%每分钟采集50条，cpu大于或等于60%每分钟采集10条，每条url至少采集2条。 正常url的采样率：cpu小于30%每分钟采集20条，cpu大于或等于30%小于60%每分钟采集10条，cpu大于或等于60%每分钟采集5条，每条url至少采集1条。 全局采样。 全局采样针对所有调用链的采样率设置， 默认值(%)：100，取值范围(%)：0~100。 自定义采样。 自定义采样可以按照用户的需求，自定义采样率。 表3 自定义采样说明 采样率名称 默认值(%) 取值范围(%) 说明 成功请求采样率 100 0~100 设置成功请求采样率。 成功请求指请求状态码为非错误返回且无异常的请求。 URL采样率 - - 设置URL采样率。URL采样率，仅针对成功请求生效。 “URL”是指“编辑【URL监控】监控配置”中，“URL配置”的响应时间阈值的URL，相关配置说明参见配置url监控项。 单击“新增”配置如下URL采样率参数： URL：URL路径，例如：/apm2/health/v1/health-check。 采样率：默认值(%)：0，取值范围(%)：0~100 单击“删除”，删除当前行的采样率配置。 错误请求采样率 100 0~100 设置错误请求采样率。 “错误请求”是指“编辑【URL监控】监控配置”中，符合“错误状态码定义”的请求，相关配置说明参见配置url监控项。 错误状态码定义有两个可选项：状态码400以上统计为错误、为状态码500以上统计为错误。默认值为状态码500以上统计为错误。 慢请求采样率 100 0~100 设置慢请求采样率。 “慢请求”是指“编辑【URL监控】监控配置”中，“慢请求阈值定义”的全局请求响应时间小于阈值的请求，相关配置说明参见配置url监控项。 单击“保存”，完成配置。全采样设置完成约10分钟后，该配置生效。

功能介绍 表1 功能介绍 功能名称 说明 查看应用性能指标 应用概览页面展示应用维度的指标数据，包含url调用次数、url平均响应时间、url错误率等；同时支持“购买特惠包”以及“接入应用”。 监控组件性能指标 组件列表展示组件不同的指标监控项，APM支持查看组件的指标监控项。 通过调用链查看微服务间调用关系 在企业微服务之间调用复杂的场景下，Agent会抽样一些请求，拦截对应请求及后续一系列的调用信息。您可以通过调用链查看微服务间调用关系。 通过全局拓扑图查看应用间调用关系 通过拓扑图可以自动梳理服务之间的调用关系，同时也可以从全局视角查看服务之间调用是否正常，帮助用户快速定位问题。 管理APM探针启停状态 APM探针启停的状态。

通过Profiler分析代码性能 Profiler性能分析支持如下功能： 开启性能分析Profiler：首次使用Profiler性能分析功能时，需要开启Profiler。 分析代码性能：Profiler性能分析会自动获取应用程序运行过程中CPU和内存和时延的使用情况。通过火焰图实时展示每一个方法、类和线程的调用关系和执行效率，帮助您优化代码性能。 对代码性能差异：通过火焰图实时展示两个实例或同一个实例不同时间段的方法、类和线程的调用关系和执行效率的差异，帮助您对比代码性能差异。 查看代码性能快照：支持快照列表查询功能。快照列表以分钟为时间维度，获取应用程序的调试信息，如CPU核数、内存分配速率、实例名称以及主机名称。 查看建议：支持查看建议。Profiler根据用户的性能数据，识别出超过CPU使用率阈值的方法，然后给出合理的建议。

使用限制 为了应用运行稳定，强烈建议您按照要求升级JDK版本，在低版本的JDK上使用Debugging诊断功能，存在应用崩溃的风险。 Debugging诊断仅针对白名单用户开放。 表1 JDK版本说明 JDK类型 版本 OpenJDK OpenJDK 8u352+ OpenJDK 17.0.5+ Oracle JDK Oracle JDK 17.0.9+ 表2 Agent版本说明 Agent版本 说明 2.4.10-profiler Agent版本2.4.10-profiler及以后版本，支持Debugging诊断。 表3 使用限制以及说明 序号 使用限制及说明 1 Debugging诊断需要环境中含有jdk8或者jdk17，如果仅有JRE则无法使用。 2 Debugging诊断仅支持JAVA语言。