华为云用户手册

内置事件类型 表2 内置事件类型列表 类型名称 子类型/子类型标识 描述 DDoS攻击 DNS协议攻击 Tcp Dns DNS协议攻击 异常端口通信 Unusual Network Port 异常端口通信 异常协议攻击 Unusual Protocol 异常协议攻击 ACK Flood ACK Flood ACK Flood BGP Flood攻击 BGP Flood Attack BGP Flood攻击 DNS IP TTL DNS IP TTL Check Fail DNS IP TTL DNS Reply Flood 攻击 DNS Reply Flood DNS Reply Flood 攻击 DNS查询攻击 DNS Query Flood DNS查询攻击 DNS大小异常 DNS Size Abnormal DNS大小异常 DNS反射 DNS Reflection DNS反射 DNS返回 域名 流异常 DNS Reply Domain Flow Abnormal DNS返回域名流异常 DNS格式错误 DNS Format Error DNS格式错误 DNS缓存匹配 DNS Cache Match DNS缓存匹配 DNS缓存投毒 DNS Cache Poisoning DNS缓存投毒 DNS请求域名流异常 DNS Request Domain Flow Abnormal DNS请求域名流异常 DNS无效域名 DNS No Such Name DNS无效域名 FIN/RST Flood FIN/RST Flood FIN/RST Flood HTTPS Flood HTTPS Flood HTTPS Flood HTTP慢速攻击 HTTP Slow Attack HTTP慢速攻击 ICMP协议封禁 ICMP Protocol Block ICMP协议封禁 IP信誉 IP Reputation IP信誉 SIP Flood SIP Flood SIP Flood SIP源速率异常 SIP Source Rate Abnormity SIP源速率异常 SYN Flood SYN Flood SYN Flood SYN-ACK Flood SYN-ACK Flood SYN-ACK Flood TCP带宽溢出 TCP Bandwidth Overflow TCP带宽溢出 TCP多连接攻击 TCP Connection Flood TCP多连接攻击 TCP分片带宽溢出 TCP Fragment Bandwidth Overflow TCP分片带宽溢出 TCP分片攻击 TCP Fragment Flood TCP分片攻击 TCP畸形报文 TCP Malformed TCP畸形报文 TCP认证UDP攻击 TCP-authenticated UDP Attack TCP认证UDP攻击 TCP协议封禁 TCP Protocol Block TCP协议封禁 UDP带宽溢出 UDP Bandwidth Overflow UDP带宽溢出 UDP分片 UDP Fragment Flood UDP分片 UDP分片带宽溢出 UDP Fragment Bandwidth Overflow UDP分片带宽溢出 UDP畸形报文 UDP Malformed UDP畸形报文 UDP协议封禁 UDP Protocol Block UDP协议封禁 URI监控 URI Monitor URI监控 暗网IP Dark IP 暗网IP 单IP带宽溢出 Single IP Bandwidth Overflow 单IP带宽溢出 当前连接耗尽攻击 Concurrent Connections Flood 当前连接耗尽攻击 端口扫描攻击 Port Scanning Attack 端口扫描攻击 恶意域名攻击 Malicious Domains Attack 恶意域名攻击 反恶意软件 Anti-Malware 反恶意软件 分布式拒绝服务攻击 DDOS 分布式拒绝服务攻击 分区带宽溢出 Zone Bandwidth Overflow 分区带宽溢出 过滤器攻击 Filter Attack 过滤器攻击 黑名单 Blacklist 黑名单 僵尸网络/特洛伊木马/蠕虫 Botnets/Trojan horses/Worms Attack 僵尸网络/特洛伊木马/蠕虫 目的IP新会话限速 Destination IP new session rate limiting 目的IP新会话限速 其他Flood攻击 Other Flood 其他Flood攻击 其他带宽溢出 Other Bandwidth Overflow 其他带宽溢出 其他全局异常 Global Other Abnormal 其他全局异常 其他协议封禁 Other Protocol Block 其他协议封禁 全局ICMP异常 Global ICMP Abnormal 全局ICMP异常 全局TCP分片异常 Global TCP Fragment Abnormal 全局TCP分片异常 全局TCP异常 Global TCP Abnormal 全局TCP异常 全局UDP分片异常 Global UDP Fragment Abnormal 全局UDP分片异常 全局UDP异常 Global UDP Abnormal 全局UDP异常 网页攻击 Web Attack 网页攻击 位置攻击 Location Attack 位置攻击 新连接耗尽攻击 New Connections Flood 新连接耗尽攻击 域名劫持 Domain Hijacking 域名劫持 源DNS返回流异常 Source DNS Reply Flow Abnormal 源DNS返回流异常 源DNS请求流异常 Source DNS Request Flow Abnormal 源DNS请求流异常 主机流量溢出 Host Traffic Over Flow 主机流量溢出 HTTP Flood HTTP Flood HTTP Flood ICMP Flood ICMP Flood ICMP Flood SSL Flood SSL Flood SSL Flood TCP Flood TCP Flood TCP Flood UDP Flood UDP Flood UDP Flood XML Flood XML Flood XML Flood 放大攻击 Amplification 放大攻击 Web恶意代码 网页暗链 Web Page Dark Link 网页暗链 网页挂马 Web Page Trojan 网页挂马 Web攻击 Webshell Webshell Webshell WAF机器人 WAF Robot WAF机器人 白名单IP White IP 白名单IP 攻击惩罚 Known Attack Source 攻击惩罚 黑名单IP Black IP 黑名单IP 漏洞攻击 Vulnerability Attack 漏洞攻击 命中隐私泄露规则 Leakage 命中隐私泄露规则 默认 Default 默认 扫描/爬虫 Scanner & Crawler 扫描/爬虫 CC攻击 Challenge Collapsar CC攻击 IP信誉库 IP Reputation IP信誉库 SQL注入 SQL Injection SQL注入 XSS Cross-Site Scripting XSS 本地文件包含 Local Code Inclusion 本地文件包含 地理访问控制拦截 Geo IP 地理访问控制拦截 恶意爬虫 Malicious Web Crawlers 恶意爬虫 反爬虫 Anticrawler 反爬虫 防篡改 AntiTamper 防篡改 非法请求 Illegal Access 非法请求 黑白名单拦截 White or Black IP 黑白名单拦截 精准防护 Custom Rule 精准防护 命令注入 Command Injection 命令注入 目录遍历 Path Traversal 目录遍历 网站木马 Website Trojan 网站木马 网站信息防泄漏 Information Leakage 网站信息防泄漏 网站信息泄露 Web Service Exfiltration 网站信息泄露 远程代码执行 Remote Code Execute 远程代码执行 远程文件包含 Remote Code Inclusion 远程文件包含 恶意软件 加密货币挖矿 Cryptomining 加密货币挖矿 Docker恶意程序 Docker Malware Docker恶意程序 钓鱼 Phishing 钓鱼 恶意广告软件 Adware 恶意广告软件 恶意软件 Malicious Software 恶意软件 黑客工具 Hacktool 黑客工具 灰色软件 Grayware 灰色软件 间谍软件 Spyware 间谍软件 垃圾邮件 Spam 垃圾邮件 Rootkit Rootkit Rootkit Webshell Webshell Webshell 病毒、蠕虫 Virus and Worm 病毒、蠕虫 恶意文件 Malicious File 恶意文件 反弹shell Reverse Shell 反弹shell 后门木马 Backdoor Trojan 后门木马 僵尸网络程序 Botnet Program 僵尸网络程序 勒索软件 Ransomware 勒索软件 挖矿程序 Bitcoin Miner 挖矿程序 挖矿软件 Mining Software 挖矿软件 风险审计 Webcms漏洞 Webcms Vulnerability Webcms漏洞 Windows OS 漏洞 Windows Vulnerability Windows OS 漏洞 本地访问漏洞 Local Access Vulnerability 本地访问漏洞 错误配置策略 Mis-Configured Policy 错误配置策略 其它OS漏洞 Other OS Vulnerability 其它OS漏洞 其它漏洞 Other Vulnerability 其它漏洞 应用程序漏洞 Application Vulnerability 应用程序漏洞 远程访问漏洞 Remote Access Vulnerability 远程访问漏洞 风险审计 弱口令 Weak Password 弱口令 系统风险配置 System Risk Configuration 系统风险配置 攻击探测 钓鱼 Phishing 钓鱼 网络拓扑构建 Map Network Topology 网络拓扑构建 账户、组信息收集 Identify Groups/Roles 账户、组信息收集 指纹扫描 Fingerprinting 指纹扫描 主机发现 Determine IP Address 主机发现 漏洞利用 ActiveX漏洞利用 ActiveX Exploit ActiveX漏洞利用 CGI攻击 CGI Attack CGI攻击 DNS漏洞利用 DNS Exploit DNS漏洞利用 FTP漏洞利用 FTP Exploit FTP漏洞利用 Hadoop漏洞利用 Hadoop Vulnerability Exploit Hadoop漏洞利用 Hypervisor漏洞利用 Hypervisor Exploit Hypervisor漏洞利用 LDAP注入攻击 LDAP Injection Attack LDAP注入攻击 MacOS漏洞利用 MacOS Exploit MacOS漏洞利用 MySQL漏洞利用 MySQL Vulnerability Exploit MySQL漏洞利用 Office软件漏洞利用 Office Exploit Office软件漏洞利用 Redis漏洞利用 Redis Vulnerability Exploit Redis漏洞利用 RPC漏洞利用 RPC Exploit RPC漏洞利用 SQL注入 SQL Injection SQL注入 SSH漏洞利用 SSH Exploit SSH漏洞利用 SSI注入攻击 SSI Injection Attack SSI注入攻击 Struts2 OGNL注入 Struts2 OGNL Injection Struts2 OGNL注入 Telnet漏洞利用 TELNET Exploit Telnet漏洞利用 Unix漏洞利用 Unix Exploit Unix漏洞利用 Web漏洞利用 Web Exploit Web漏洞利用 XSS攻击 Cross-Site Scripting XSS攻击 本地文件包含 Local File Inclusion 本地文件包含 恶意文件投递 Malicious File Delivery 恶意文件投递 恶意文件执行 Malicious File Execution 恶意文件执行 缓冲区溢出攻击 Buffer Overflow 缓冲区溢出攻击 会话劫持 Session Hijack 会话劫持 口令猜测 Password Cracking 口令猜测 浏览器漏洞利用 Browser Exploit 浏览器漏洞利用 弱口令访问 Weak Password Access 弱口令访问 数据库漏洞利用 Database Exploit 数据库漏洞利用 未知漏洞利用 Unknown Exploit 未知漏洞利用 隐藏链接访问 Hide Link Access 隐藏链接访问 邮件漏洞利用 Mail Exploit 邮件漏洞利用 远程代码执行 Remote Code Execution 远程代码执行 远程访问漏洞利用 Remote Access Exploit 远程访问漏洞利用 远程文件包含攻击 Remote File Inclusion 远程文件包含攻击 远程文件注入 Remote File Injection 远程文件注入 组合漏洞利用 Misc Exploit 组合漏洞利用 CMS漏洞 CMS Exploit CMS漏洞 CS RF攻击 CSRF Attack CSRF攻击 JNDI注入攻击 JNDI Injection Attack JNDI注入攻击 Linux漏洞 Linux Exploit Linux漏洞 SMB漏洞 SMB Exploit SMB漏洞 Windows漏洞 Windows Exploit Windows漏洞 XML注入 XML Injection XML注入 代码注入 Code Injection 代码注入 漏洞逃逸攻击 Vulnerability Escape Attack 漏洞逃逸攻击 命令执行 Command Execution 命令执行 命令注入 Command Injection 命令注入 文件逃逸攻击 File Escape Attack 文件逃逸攻击 虚拟机逃逸攻击 VM Escape Attack 虚拟机逃逸攻击 一般漏洞利用 General Exploit 一般漏洞利用 命令与控制 ECS存在当前IP被用于向高危网络发送消息 Command Control Activity ECS存在当前IP被用于向高危网络发送消息 可疑的域名、IP地址、端口动态生成访问 Dynamic Resolution 可疑的域名、IP地址、端口动态生成访问 其他可疑连接 Abnormal Connection 其他可疑连接 其他可疑行为 Abnormal Behaviour 其他可疑行为 外连恶意DNS Malicious Domain Query 外连恶意DNS 外连恶意IP地址 Malicious Ip Address Query 外连恶意IP地址 隐蔽隧道 Protocol Tunneling 隐蔽隧道 与矿池地址通信 Mining Pool Communication 与矿池地址通信 其他 公共舆情 Public_Opinion 公共舆情 云防火墙 攻击 CFW_RISK 云防火墙攻击 数据泄露 数据窃取 Steal Data 数据窃取 违规外传 Transfer Data Abnormal 违规外传 网络异常行为 IP访问频率异常 IP Access Frequency Abnormal IP访问频率异常 IP切换异常 IP Switch Abnormal IP切换异常 IP首次访问 IP First Access IP首次访问 Sinkhole攻击IP访问 Sink Hole Sinkhole攻击IP访问 代理IP访问 Proxy 代理IP访问 恶意资源访问 Resource Permissions 恶意资源访问 欺诈付款网站IP/域名访问 Payment 欺诈付款网站IP/域名访问 洋葱网络IP访问 Tor 洋葱网络IP访问 C&C异常通信 C&C Abnormal Communication C&C异常通信 IP黑名单访问 IP Blacklist Access IP黑名单访问 URL黑名单访问 URL Blacklist Access URL黑名单访问 恶意URL访问 Malicious URL Access 恶意URL访问 恶意域名访问 Malicious Domain Name Access 恶意域名访问 非授权访问企图 Unauthorized Access Attemp 非授权访问企图 可疑的网络流量 Suspicious Network Traffic 可疑的网络流量 容器网络外联 Container Network Connect 容器网络外联 未知网络访问 Unknown Abnormal Network Access 未知网络访问 文件MD5黑名单访问 File MD5 Blacklist Access 文件MD5黑名单访问 异常外联行为 Abnormal External Behavior 异常外联行为 域名黑名单访问 Domain Name Blacklist Access 域名黑名单访问 周期外联通信 Periodic Outreach 周期外联通信 可疑的端口转发 Suspicious Port Forward 可疑的端口转发 无文件攻击 VDSO劫持 VDSO Hijacking VDSO劫持 动态库注入进程 Dynamic Library Inject Process 动态库注入进程 关键配置变更 Critical File Change 关键配置变更 环境变量变更 Environment Change 环境变量变更 进程注入 Process Inject 进程注入 内存文件进程 Memfd Process 内存文件进程 文件操纵 File Manipulation 文件操纵 系统行为异常 Crontab可疑任务 Crontab Suspicious Task Crontab可疑任务 Socket连接异常 Abnormal Socket Connection Socket连接异常 备份删除 Backup Deletion 备份删除 非法数据库访问 Unauthorized Database Access 非法数据库访问 权限异常访问 Privilege Abnormal Access 权限异常访问 日志异常变化 Unexpected Log Change 日志异常变化 容器进程退出 Container Process Exist 容器进程退出 未知主机异常行为 Unknown Host Abnormal Activity 未知主机异常行为 文件黑名单访问 File blocklist access 文件黑名单访问 文件权限异常改变 Unexpected File Permission Change 文件权限异常改变 系统安全防护被禁用 System Security Protection disabled 系统安全防护被禁用 系统账号变更 System Account Change 系统账号变更 异常注册表操作 Abnormal Registry Operation 异常注册表操作 Crontab脚本提权 Crontab Script Privilege Escalation Crontab脚本提权 Crontab脚本修改 Crontab Script Change Crontab脚本修改 高危命令执行 High-risk Command Execution 高危命令执行 高危系统调用 High-Risk Syscall 高危系统调用 关键文件/目录变更 File/Directory Change 关键文件/目录变更 关键文件变更 Key File Change 关键文件变更 进程提权 Process Privilege Escalation 进程提权 进程异常行为 Process Abnormal Activity 进程异常行为 敏感文件访问 Sensitive File Access 敏感文件访问 容器进程异常 Container Abnormal Process 容器进程异常 容器异常启动 Container Abnormal Start 容器异常启动 数据库连接异常 Abnormal Database Connection 数据库连接异常 网卡混杂模式 Network Adapter Promiscuous Mode 网卡混杂模式 文件提权 File Privilege Escalation 文件提权 文件异常删除 File Abnormal Delete 文件异常删除 系统启动脚本改变 System Start Script Change 系统启动脚本改变 异常shell Abnormal Shell 异常shell 异常命令执行 Abnormal Command Execution 异常命令执行 信息破坏 信息篡改 Information Tampering 信息篡改 信息丢失 Information Loss 信息丢失 信息假冒 Information Masquerading 信息假冒 信息窃取 Information Interception 信息窃取 信息泄漏 Information Disclosure 信息泄漏 Linux网页篡改 Linux Web Page Tampering Linux网页篡改 Windows网页篡改 Windows Web Page Tampering Windows网页篡改 目录遍历 Directory Traversal 目录遍历 用户行为异常 Token恶意利用 Token Leakage Token恶意利用 Token恶意利用成功 Token Leakage Success Token恶意利用成功 异常用户首次访问 User First Cross Domain Access 异常用户首次访问 用户访问频率异常 User Access Frequency Abnormal 用户访问频率异常 用户访问时段异常 User Hour Level Access Abnormal 用户访问时段异常 用户使用特定IP下载行为异常 User IP Download Abnormal 用户使用特定IP下载行为异常 用户首次访问桶对象 Client First Access 用户首次访问桶对象 用户下载行为异常 User Download Abnormal 用户下载行为异常 暴力破解 Brute Force Cracking 暴力破解 违规登录 Illegal Login 违规登录 未知用户异常行为 Unknown User Abnormal Activity 未知用户异常行为 异常登录 Abnormal Login 异常登录 用户登录尝试 User Login Attempt 用户登录尝试 用户密码窃取 User Password Theft 用户密码窃取 用户权限提升成功 User Privilege Escalation Succeeded 用户权限提升成功 用户权限提升失败 User Privilege Escalation Failed 用户权限提升失败 用户首次登录 User First login 用户首次登录 用户账号删除 User Account Removed 用户账号删除 用户账号添加 User Account Added 用户账号添加 用户组变更 User Group Changed 用户组变更 用户组删除 User Group Removed 用户组删除 用户组添加 User Group Added 用户组添加 账号伪冒 Account Forgery 账号伪冒 ECS可疑账号创建 Suspicious Ecs User Create ECS可疑账号创建 ECS账号权限修改 ECS User Escalate Privilege ECS账号权限修改 IAM 可疑账号创建 Suspicious IAM Account Create IAM可疑账号创建 IAM账号权限修改 IAM Permissions Escalation IAM账号权限修改 暴力破解登录ECS ECS BruteForce Login 暴力破解登录ECS 暴力破解登录IAM IAM BruteForce Login 暴力破解登录IAM 非法系统账号 Invalid System Account 非法系统账号 风险账号 Risky Account 风险账号 可疑IP登录ECS Suspicious IP Address Login 可疑IP登录ECS 可疑IP登录IAM Suspicious IP Address Login 可疑IP登录IAM 异常登录IAM IAM Abnormal Login 异常登录IAM 异地登录ECS Instance Credential Exfiltration 异地登录ECS 用户登录成功 User Login Success 用户登录成功 用户登录拒绝 User Login Denied 用户登录拒绝 用户账号变更 User Account Changed 用户账号变更 资源操控 恶意逻辑插入 Malicious Logic Insertion 恶意逻辑插入 基础设施操纵 Infrastructure Manipulation 基础设施操纵 配置/环境操纵 Configuration/Environment Manipulation 配置/环境操纵 容器逃逸 Container Escape 容器逃逸 容器资源操纵 Container Resource Manipulation 容器资源操纵 软件完整性 Software Integrity Attack 软件完整性 资源侦查 端口探测数量异常 Port Detection 端口探测数量异常 ARP 扫描 ARP Scan ARP 扫描 DNS探测 DNS Recon DNS探测 Hypervisor探测 Hypervisor Recon Hypervisor探测 ICMP探测 ICMP Recon ICMP探测 Linux探测 Linux Recon Linux探测 MacOS探测 MacOS Recon MacOS探测 NMAP扫描 NMAP Scan NMAP扫描 RPC请求探测 RPC Recon RPC请求探测 SNMP扫描 SNMP Recon SNMP扫描 TCP扫描 TCP Recon TCP扫描 UDP扫描 UDP Recon UDP扫描 Unix探测 Unix Recon Unix探测 WEB探测 Web Recon WEB探测 Windows探测 Windows Recon Windows探测 加密渗透扫描 Encrypted Penetration Scan 加密渗透扫描 普通扫描事件 General Scanner 普通扫描事件 数据库探测 Database Recon 数据库探测 邮件探测 Mail Recon 邮件探测 主机扫描 Host Scan 主机扫描 组合探测 Misc Recon 组合探测 端口扫描 Port Scan 端口扫描

内置告警类型 表1 内置告警类型列表 类型名称 子类型/子类型标识 描述 DDoS攻击 DNS协议攻击 Tcp Dns DNS协议攻击 异常端口通信 Unusual Network Port 异常端口通信 异常协议攻击 Unusual Protocol 异常协议攻击 ACK Flood ACK Flood ACK Flood BGP Flood攻击 BGP Flood Attack BGP Flood攻击 DNS IP TTL DNS IP TTL Check Fail DNS IP TTL DNS Reply Flood 攻击 DNS Reply Flood DNS Reply Flood 攻击 DNS查询攻击 DNS Query Flood DNS查询攻击 DNS大小异常 DNS Size Abnormal DNS大小异常 DNS反射 DNS Reflection DNS反射 DNS返回域名流异常 DNS Reply Domain Flow Abnormal DNS返回域名流异常 DNS格式错误 DNS Format Error DNS格式错误 DNS缓存匹配 DNS Cache Match DNS缓存匹配 DNS缓存投毒 DNS Cache Poisoning DNS缓存投毒 DNS请求域名流异常 DNS Request Domain Flow Abnormal DNS请求域名流异常 DNS无效域名 DNS No Such Name DNS无效域名 FIN/RST Flood FIN/RST Flood FIN/RST Flood HTTPS Flood HTTPS Flood HTTPS Flood HTTP慢速攻击 HTTP Slow Attack HTTP慢速攻击 ICMP协议封禁 ICMP Protocol Block ICMP协议封禁 IP信誉 IP Reputation IP信誉 SIP Flood SIP Flood SIP Flood SIP源速率异常 SIP Source Rate Abnormity SIP源速率异常 SYN Flood SYN Flood SYN Flood SYN-ACK Flood SYN-ACK Flood SYN-ACK Flood TCP带宽溢出 TCP Bandwidth Overflow TCP带宽溢出 TCP多连接攻击 TCP Connection Flood TCP多连接攻击 TCP分片带宽溢出 TCP Fragment Bandwidth Overflow TCP分片带宽溢出 TCP分片攻击 TCP Fragment Flood TCP分片攻击 TCP畸形报文 TCP Malformed TCP畸形报文 TCP认证UDP攻击 TCP-authenticated UDP Attack TCP认证UDP攻击 TCP协议封禁 TCP Protocol Block TCP协议封禁 UDP带宽溢出 UDP Bandwidth Overflow UDP带宽溢出 UDP分片 UDP Fragment Flood UDP分片 UDP分片带宽溢出 UDP Fragment Bandwidth Overflow UDP分片带宽溢出 UDP畸形报文 UDP Malformed UDP畸形报文 UDP协议封禁 UDP Protocol Block UDP协议封禁 URI监控 URI Monitor URI监控 暗网IP Dark IP 暗网IP 单IP带宽溢出 Single IP Bandwidth Overflow 单IP带宽溢出 当前连接耗尽攻击 Concurrent Connections Flood 当前连接耗尽攻击 端口扫描攻击 Port Scanning Attack 端口扫描攻击 恶意域名攻击 Malicious Domains Attack 恶意域名攻击 反恶意软件 Anti-Malware 反恶意软件 分布式拒绝服务攻击 DDOS 分布式拒绝服务攻击 分区带宽溢出 Zone Bandwidth Overflow 分区带宽溢出 过滤器攻击 Filter Attack 过滤器攻击 黑名单 Blacklist 黑名单 僵尸网络/特洛伊木马/蠕虫 Botnets/Trojan horses/Worms Attack 僵尸网络/特洛伊木马/蠕虫 目的IP新会话限速 Destination IP new session rate limiting 目的IP新会话限速 其他Flood攻击 Other Flood 其他Flood攻击 其他带宽溢出 Other Bandwidth Overflow 其他带宽溢出 其他全局异常 Global Other Abnormal 其他全局异常 其他协议封禁 Other Protocol Block 其他协议封禁 全局ICMP异常 Global ICMP Abnormal 全局ICMP异常 全局TCP分片异常 Global TCP Fragment Abnormal 全局TCP分片异常 全局TCP异常 Global TCP Abnormal 全局TCP异常 全局UDP分片异常 Global UDP Fragment Abnormal 全局UDP分片异常 全局UDP异常 Global UDP Abnormal 全局UDP异常 网页攻击 Web Attack 网页攻击 位置攻击 Location Attack 位置攻击 新连接耗尽攻击 New Connections Flood 新连接耗尽攻击 域名劫持 Domain Hijacking 域名劫持 源DNS返回流异常 Source DNS Reply Flow Abnormal 源DNS返回流异常 源DNS请求流异常 Source DNS Request Flow Abnormal 源DNS请求流异常 主机流量溢出 Host Traffic Over Flow 主机流量溢出 HTTP Flood HTTP Flood HTTP Flood ICMP Flood ICMP Flood ICMP Flood SSL Flood SSL Flood SSL Flood TCP Flood TCP Flood TCP Flood UDP Flood UDP Flood UDP Flood XML Flood XML Flood XML Flood 放大攻击 Amplification 放大攻击 Web恶意代码 网页暗链 Web Page Dark Link 网页暗链 网页挂马 Web Page Trojan 网页挂马 Web攻击 Webshell Webshell Webshell WAF机器人 WAF Robot WAF机器人 白名单IP White IP 白名单IP 攻击惩罚 Known Attack Source 攻击惩罚 黑名单IP Black IP 黑名单IP 漏洞攻击 Vulnerability Attack 漏洞攻击 命中隐私泄露规则 Leakage 命中隐私泄露规则 默认 Default 默认 扫描/爬虫 Scanner & Crawler 扫描/爬虫 CC攻击 Challenge Collapsar CC攻击 IP信誉库 IP Reputation IP信誉库 SQL注入 SQL Injection SQL注入 XSS Cross-Site Scripting XSS 本地文件包含 Local Code Inclusion 本地文件包含 地理访问控制拦截 Geo IP 地理访问控制拦截 恶意爬虫 Malicious Web Crawlers 恶意爬虫 反爬虫 Anticrawler 反爬虫 防篡改 AntiTamper 防篡改 非法请求 Illegal Access 非法请求 黑白名单拦截 White or Black IP 黑白名单拦截 精准防护 Custom Rule 精准防护 命令注入 Command Injection 命令注入 目录遍历 Path Traversal 目录遍历 网站木马 Website Trojan 网站木马 网站信息防泄漏 Information Leakage 网站信息防泄漏 网站信息泄露 Web Service Exfiltration 网站信息泄露 远程代码执行 Remote Code Execute 远程代码执行 远程文件包含 Remote Code Inclusion 远程文件包含 恶意软件 加密货币挖矿 Cryptomining 加密货币挖矿 Docker恶意程序 Docker Malware Docker恶意程序 钓鱼 Phishing 钓鱼 恶意广告软件 Adware 恶意广告软件 恶意软件 Malicious Software 恶意软件 黑客工具 Hacktool 黑客工具 灰色软件 Grayware 灰色软件 间谍软件 Spyware 间谍软件 垃圾邮件 Spam 垃圾邮件 Rootkit Rootkit Rootkit Webshell Webshell Webshell 病毒、蠕虫 Virus and Worm 病毒、蠕虫 恶意文件 Malicious File 恶意文件 反弹shell Reverse Shell 反弹shell 后门木马 Backdoor Trojan 后门木马 僵尸网络程序 Botnet Program 僵尸网络程序 勒索软件 Ransomware 勒索软件 挖矿程序 Bitcoin Miner 挖矿程序 挖矿软件 Mining Software 挖矿软件 风险审计 Webcms漏洞 Webcms Vulnerability Webcms漏洞 Windows OS 漏洞 Windows Vulnerability Windows OS 漏洞 本地访问漏洞 Local Access Vulnerability 本地访问漏洞 错误配置策略 Mis-Configured Policy 错误配置策略 其它OS漏洞 Other OS Vulnerability 其它OS漏洞 其它漏洞 Other Vulnerability 其它漏洞 应用程序漏洞 Application Vulnerability 应用程序漏洞 远程访问漏洞 Remote Access Vulnerability 远程访问漏洞 风险审计 弱口令 Weak Password 弱口令 系统风险配置 System Risk Configuration 系统风险配置 攻击探测 钓鱼 Phishing 钓鱼 网络拓扑构建 Map Network Topology 网络拓扑构建 账户、组信息收集 Identify Groups/Roles 账户、组信息收集 指纹扫描 Fingerprinting 指纹扫描 主机发现 Determine IP Address 主机发现 漏洞利用 ActiveX漏洞利用 ActiveX Exploit ActiveX漏洞利用 CGI攻击 CGI Attack CGI攻击 DNS漏洞利用 DNS Exploit DNS漏洞利用 FTP漏洞利用 FTP Exploit FTP漏洞利用 Hadoop漏洞利用 Hadoop Vulnerability Exploit Hadoop漏洞利用 Hypervisor漏洞利用 Hypervisor Exploit Hypervisor漏洞利用 LDAP注入攻击 LDAP Injection Attack LDAP注入攻击 MacOS漏洞利用 MacOS Exploit MacOS漏洞利用 MySQL漏洞利用 MySQL Vulnerability Exploit MySQL漏洞利用 Office软件漏洞利用 Office Exploit Office软件漏洞利用 Redis漏洞利用 Redis Vulnerability Exploit Redis漏洞利用 RPC漏洞利用 RPC Exploit RPC漏洞利用 SQL注入 SQL Injection SQL注入 SSH漏洞利用 SSH Exploit SSH漏洞利用 SSI注入攻击 SSI Injection Attack SSI注入攻击 Struts2 OGNL注入 Struts2 OGNL Injection Struts2 OGNL注入 Telnet漏洞利用 TELNET Exploit Telnet漏洞利用 Unix漏洞利用 Unix Exploit Unix漏洞利用 Web漏洞利用 Web Exploit Web漏洞利用 XSS攻击 Cross-Site Scripting XSS攻击 本地文件包含 Local File Inclusion 本地文件包含 恶意文件投递 Malicious File Delivery 恶意文件投递 恶意文件执行 Malicious File Execution 恶意文件执行 缓冲区溢出攻击 Buffer Overflow 缓冲区溢出攻击 会话劫持 Session Hijack 会话劫持 口令猜测 Password Cracking 口令猜测 浏览器漏洞利用 Browser Exploit 浏览器漏洞利用 弱口令访问 Weak Password Access 弱口令访问 数据库漏洞利用 Database Exploit 数据库漏洞利用 未知漏洞利用 Unknown Exploit 未知漏洞利用 隐藏链接访问 Hide Link Access 隐藏链接访问 邮件漏洞利用 Mail Exploit 邮件漏洞利用 远程代码执行 Remote Code Execution 远程代码执行 远程访问漏洞利用 Remote Access Exploit 远程访问漏洞利用 远程文件包含攻击 Remote File Inclusion 远程文件包含攻击 远程文件注入 Remote File Injection 远程文件注入 组合漏洞利用 Misc Exploit 组合漏洞利用 CMS漏洞 CMS Exploit CMS漏洞 CSRF攻击 CSRF Attack CSRF攻击 JNDI注入攻击 JNDI Injection Attack JNDI注入攻击 Linux漏洞 Linux Exploit Linux漏洞 SMB漏洞 SMB Exploit SMB漏洞 Windows漏洞 Windows Exploit Windows漏洞 XML注入 XML Injection XML注入 代码注入 Code Injection 代码注入 漏洞逃逸攻击 Vulnerability Escape Attack 漏洞逃逸攻击 命令执行 Command Execution 命令执行 命令注入 Command Injection 命令注入 文件逃逸攻击 File Escape Attack 文件逃逸攻击 虚拟机逃逸攻击 VM Escape Attack 虚拟机逃逸攻击 一般漏洞利用 General Exploit 一般漏洞利用 命令与控制 ECS存在当前IP被用于向高危网络发送消息 Command Control Activity ECS存在当前IP被用于向高危网络发送消息 可疑的域名、IP地址、端口动态生成访问 Dynamic Resolution 可疑的域名、IP地址、端口动态生成访问 其他可疑连接 Abnormal Connection 其他可疑连接 其他可疑行为 Abnormal Behaviour 其他可疑行为 外连恶意DNS Malicious Domain Query 外连恶意DNS 外连恶意IP地址 Malicious Ip Address Query 外连恶意IP地址 隐蔽隧道 Protocol Tunneling 隐蔽隧道 与矿池地址通信 Mining Pool Communication 与矿池地址通信 其他 公共舆情 Public_Opinion 公共舆情 云防火墙攻击 CFW_RISK 云防火墙攻击 数据泄露 数据窃取 Steal Data 数据窃取 违规外传 Transfer Data Abnormal 违规外传 网络异常行为 IP访问频率异常 IP Access Frequency Abnormal IP访问频率异常 IP切换异常 IP Switch Abnormal IP切换异常 IP首次访问 IP First Access IP首次访问 Sinkhole攻击IP访问 Sink Hole Sinkhole攻击IP访问 代理IP访问 Proxy 代理IP访问 恶意资源访问 Resource Permissions 恶意资源访问 欺诈付款网站IP/域名访问 Payment 欺诈付款网站IP/域名访问 洋葱网络IP访问 Tor 洋葱网络IP访问 C&C异常通信 C&C Abnormal Communication C&C异常通信 IP黑名单访问 IP Blacklist Access IP黑名单访问 URL黑名单访问 URL Blacklist Access URL黑名单访问 恶意URL访问 Malicious URL Access 恶意URL访问 恶意域名访问 Malicious Domain Name Access 恶意域名访问 非授权访问企图 Unauthorized Access Attempt 非授权访问企图 可疑的网络流量 Suspicious Network Traffic 可疑的网络流量 容器网络外联 Container Network Connect 容器网络外联 未知网络访问 Unknown Abnormal Network Access 未知网络访问 文件MD5黑名单访问 File MD5 Blacklist Access 文件MD5黑名单访问 异常外联行为 Abnormal External Behavior 异常外联行为 域名黑名单访问 Domain Name Blacklist Access 域名黑名单访问 周期外联通信 Periodic Outreach 周期外联通信 可疑的端口转发 Suspicious Port Forward 可疑的端口转发 无文件攻击 VDSO劫持 VDSO Hijacking VDSO劫持 动态库注入进程 Dynamic Library Inject Process 动态库注入进程 关键配置变更 Critical File Change 关键配置变更 环境变量变更 Environment Change 环境变量变更 进程注入 Process Inject 进程注入 内存文件进程 Memfd Process 内存文件进程 文件操纵 File Manipulation 文件操纵 系统行为异常 Crontab可疑任务 Crontab Suspicious Task Crontab可疑任务 Socket连接异常 Abnormal Socket Connection Socket连接异常 备份删除 Backup Deletion 备份删除 非法数据库访问 Unauthorized Database Access 非法数据库访问 权限异常访问 Privilege Abnormal Access 权限异常访问 日志异常变化 Unexpected Log Change 日志异常变化 容器进程退出 Container Process Exist 容器进程退出 未知主机异常行为 Unknown Host Abnormal Activity 未知主机异常行为 文件黑名单访问 File blocklist access 文件黑名单访问 文件权限异常改变 Unexpected File Permission Change 文件权限异常改变 系统安全防护被禁用 System Security Protection disabled 系统安全防护被禁用 系统账号变更 System Account Change 系统账号变更 异常注册表操作 Abnormal Registry Operation 异常注册表操作 Crontab脚本提权 Crontab Script Privilege Escalation Crontab脚本提权 Crontab脚本修改 Crontab Script Change Crontab脚本修改 高危命令执行 High-risk Command Execution 高危命令执行 高危系统调用 High-Risk Syscall 高危系统调用 关键文件/目录变更 File/Directory Change 关键文件/目录变更 关键文件变更 Key File Change 关键文件变更 进程提权 Process Privilege Escalation 进程提权 进程异常行为 Process Abnormal Activity 进程异常行为 敏感文件访问 Sensitive File Access 敏感文件访问 容器进程异常 Container Abnormal Process 容器进程异常 容器异常启动 Container Abnormal Start 容器异常启动 数据库连接异常 Abnormal Database Connection 数据库连接异常 网卡混杂模式 Network Adapter Promiscuous Mode 网卡混杂模式 文件提权 File Privilege Escalation 文件提权 文件异常删除 File Abnormal Delete 文件异常删除 系统启动脚本改变 System Start Script Change 系统启动脚本改变 异常shell Abnormal Shell 异常shell 异常命令执行 Abnormal Command Execution 异常命令执行 信息破坏 信息篡改 Information Tampering 信息篡改 信息丢失 Information Loss 信息丢失 信息假冒 Information Masquerading 信息假冒 信息窃取 Information Interception 信息窃取 信息泄漏 Information Disclosure 信息泄漏 Linux网页篡改 Linux Web Page Tampering Linux网页篡改 Windows网页篡改 Windows Web Page Tampering Windows网页篡改 目录遍历 Directory Traversal 目录遍历 用户行为异常 Token恶意利用 Token Leakage Token恶意利用 Token恶意利用成功 Token Leakage Success Token恶意利用成功 异常用户首次访问 User First Cross Domain Access 异常用户首次访问 用户访问频率异常 User Access Frequency Abnormal 用户访问频率异常 用户访问时段异常 User Hour Level Access Abnormal 用户访问时段异常 用户使用特定IP下载行为异常 User IP Download Abnormal 用户使用特定IP下载行为异常 用户首次访问桶对象 Client First Access 用户首次访问桶对象 用户下载行为异常 User Download Abnormal 用户下载行为异常 暴力破解 Brute Force Cracking 暴力破解 违规登录 Illegal Login 违规登录 未知用户异常行为 Unknown User Abnormal Activity 未知用户异常行为 异常登录 Abnormal Login 异常登录 用户登录尝试 User Login Attempt 用户登录尝试 用户密码窃取 User Password Theft 用户密码窃取 用户权限提升成功 User Privilege Escalation Succeeded 用户权限提升成功 用户权限提升失败 User Privilege Escalation Failed 用户权限提升失败 用户首次登录 User First login 用户首次登录 用户账号删除 User Account Removed 用户账号删除 用户账号添加 User Account Added 用户账号添加 用户组变更 User Group Changed 用户组变更 用户组删除 User Group Removed 用户组删除 用户组添加 User Group Added 用户组添加 账号伪冒 Account Forgery 账号伪冒 ECS可疑账号创建 Suspicious Ecs User Create ECS可疑账号创建 ECS账号权限修改 ECS User Escalate Privilege ECS账号权限修改 IAM可疑账号创建 Suspicious IAM Account Create IAM可疑账号创建 IAM账号权限修改 IAM Permissions Escalation IAM账号权限修改 暴力破解登录ECS ECS BruteForce Login 暴力破解登录ECS 暴力破解登录IAM IAM BruteForce Login 暴力破解登录IAM 非法系统账号 Invalid System Account 非法系统账号 风险账号 Risky Account 风险账号 可疑IP登录ECS Suspicious IP Address Login 可疑IP登录ECS 可疑IP登录IAM Suspicious IP Address Login 可疑IP登录IAM 异常登录IAM IAM Abnormal Login 异常登录IAM 异地登录ECS Instance Credential Exfiltration 异地登录ECS 用户登录成功 User Login Success 用户登录成功 用户登录拒绝 User Login Denied 用户登录拒绝 用户账号变更 User Account Changed 用户账号变更 资源操控 恶意逻辑插入 Malicious Logic Insertion 恶意逻辑插入 基础设施操纵 Infrastructure Manipulation 基础设施操纵 配置/环境操纵 Configuration/Environment Manipulation 配置/环境操纵 容器逃逸 Container Escape 容器逃逸 容器资源操纵 Container Resource Manipulation 容器资源操纵 软件完整性 Software Integrity Attack 软件完整性 资源侦查 端口探测数量异常 Port Detection 端口探测数量异常 ARP 扫描 ARP Scan ARP 扫描 DNS探测 DNS Recon DNS探测 Hypervisor探测 Hypervisor Recon Hypervisor探测 ICMP探测 ICMP Recon ICMP探测 Linux探测 Linux Recon Linux探测 MacOS探测 MacOS Recon MacOS探测 NMAP扫描 NMAP Scan NMAP扫描 RPC请求探测 RPC Recon RPC请求探测 SNMP扫描 SNMP Recon SNMP扫描 TCP扫描 TCP Recon TCP扫描 UDP扫描 UDP Recon UDP扫描 Unix探测 Unix Recon Unix探测 WEB探测 Web Recon WEB探测 Windows探测 Windows Recon Windows探测 加密渗透扫描 Encrypted Penetration Scan 加密渗透扫描 普通扫描事件 General Scanner 普通扫描事件 数据库探测 Database Recon 数据库探测 邮件探测 Mail Recon 邮件探测 主机扫描 Host Scan 主机扫描 组合探测 Misc Recon 组合探测 端口扫描 Port Scan 端口扫描

插件管理 插件：是包含函数、连接器、公共库的聚合。插件有自定义插件和商业插件两种类型，其中，自定义的插件可以在集市中显示，也可以在剧本中使用。 插件集：是具有相同业务场景的插件集合。 函数：是可以在剧本中选用的执行函数，在剧本中执行特定的行为。 连接器：是用于连接数据源，将告警、事件等安全数据接入 安全云脑 ，包括事件触发和定时触发两种连接器类型。 公共库：是一个公共模块，包含在其他组件中会使用到的API调用和公共函数。

剧本和流程的关系 联系：剧本提供了安全运营的指导和规则，而流程则负责将这些规则转化为具体的执行步骤和操作。剧本和流程相互依赖，剧本指导流程的执行，而流程则实现了剧本的意图和要求。 区别：剧本和流程之间也存在一定的区别。首先，剧本更侧重于定义和描述安全运营的流程和规程，它关注的是整体的框架和策略；而流程则更侧重于具体的操作和执行步骤，它关注的是如何将剧本中的要求转化为实际的行动。其次，剧本具有较大的灵活性和可扩展性，可以根据需要进行修改和扩展；而流程则相对固定，一旦设计完成，就需要按照规定的步骤执行。 示例：以一个具体的网络安全事件响应案例为例，当组织遭受到一次网络攻击时，安全编排系统会首先根据预设的剧本识别出攻击的类型和严重程度。然后，系统会根据剧本中定义的流程，自动触发相应的安全措施，如隔离被攻击的系统、收集攻击数据、通知安全团队等。在这个过程中，剧本和流程紧密配合，确保安全响应的准确性和及时性。

包图 包图元素介绍如下表所示： 表1 包图元素介绍 元素名 图标 含义 Model 模型，用作包含层级关系的根，即它是层级关系中顶层的包。 Package 包。对元素进行分组，并为分组的元素提供名称空间。一个程序包可能包含其他程序包，从而提供程序包的分层组织。 Merge 合并，定义了源包元素与目标包同名元素之间的泛化关系。源包元素的定义被扩展来包含目标包元素定义。当源包元素与目标包内没有同名元素时，目标包元素的定义不受影响。 Import 引入，用虚线箭头从得到访问权限的包指向提供者所在的包。 Dependency 依赖，是一种使用的关系，即一个类的实现需要另一个类的协助。 依赖关系用两个模型元素之间的虚线箭头表示。箭尾处的模型元素（客户）依赖于箭头处的模型元素（服务者）。 Nested 嵌套，表示包的嵌套关系。 包图示例，如下图所示： 父主题： UML建模

通信图 通信图元素介绍如下表所示： 表1 通信图元素介绍 元素名 图标 含义 Actor 角色，是与系统交互的人或事物。 Object 封装了状态和行为的具有良好定义界面和身份的离散实体；即对象实例。 Boundary Object 边界对象。表示系统边界，通常是用户界面屏幕。 Control Object 控制对象。表示控制实体或管理者。 Entity Object 实体对象。表示系统中的存储区或持久性机制。 Package 包。对元素进行分组，并为分组的元素提供名称空间。一个程序包可能包含其他程序包，从而提供程序包的分层组织。 Nesting 嵌套，即一个类的嵌套到另一个类。 Realization 实现，是一种类与接口的关系，表示类是接口所有特征和行为的实现。 Association 关联，是一种拥有的关系，它使一个类知道另一个类的属性和方法。 通信图示例，如下图所示： 父主题： UML建模

运行模型（活动图） “运行模型-活动图”展示了从起点到终点的工作流程，详细说明了在活动的进展中存在的许多决策路径。 活动图对用户和系统遵循流程的行为进行建模，它们是流程图或工作流的一种，但是它们使用的形状略有不同，元素介绍如下表所示： 表1 活动图元素介绍 元素名 图标 含义 Action 动作是可执行的原子计算，它导致模型状态的改变和返回值。 Activity 活动是状态机内正在进行的非原子执行。 StructuredActivity 结构化活动是一个活动节点，可以将下级节点作为独立的活动组。 CentralBufferNode 中央缓冲区节点是一个对象节点，用于管理活动图中表示的来自多个源和目标的流。 Datastore 数据存储区定义了永久存储的数据。 ExceptionHandlerNode 异常处理程序元素定义发生异常时要执行的一组操作。 Object 封装了状态和行为的具有良好定义界面和身份的离散实体，即对象实例。 Decision 是状态机中的一个元素，在它当中一个独立的触发可能导致多个可能结果，每个结果有它自己的监护条件。 Merge 状态机中的一个位置，两个或多个可选的控制路径在此汇合或"无分支"。 Send 即发送者对象生成一个信号实例并把它传送到接收者对象以传送信息。 Receive 接收就是处理从发送者传送过来的消息实例。 Partition 分区元素用于逻辑组织活动的元素。 Partition 分区元素用于逻辑组织活动的元素。 Initial 用来指明其默认起始位置的伪状态。 Final 组成状态中的一个特殊状态，当它处于活动时，说明组成状态已经执行完成。 Flow Final Flow Final元素描述了系统的退出，与Activity Final相反，后者代表Activity的完成。 Synch 一个特殊的状态，它可以实现在一个状态机里的两个并发区域之间的控制同步。 Fork Join Fork，复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 Join，状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Fork Join （Fork）复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 （Join）状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Region 区域，代表并行发生行为的容器。 Control Flow （控制流）在交互中，控制的后继轨迹之间的关系。 Object Flow （对象流）各种控制流表示了对象间的关系、对象和产生它（作输出）或使用它（作输入）的操作或转换间的关系。 Constraint 是一个语义条件或者限制的表达式。UML 预定义了某些约束，其他可以由建模者自行定义。 Exception Handler 异常处理。捕获异常根据异常类型查找到对应的异常处理方法，然后执行对应的方法。 Interrupt Flow 中断流是用于定义异常处理程序和可中断活动区域的连接器的两个UML概念的连接。中断流是活动边缘的一种。它通常用于活动图中，以对活动过渡进行建模。 Anchor 锚点。 Containment 内嵌，表示嵌在内部的类。 活动图示例如下所示： 父主题： 运行视图

组件图 组件图显示了复杂软件系统中的各个组件如何相互关联以及如何使用接口进行通信。它们不用于更简单或更直接的系统，元素介绍如下表所示： 表1 组件图元素介绍 元素名 图标 含义 Class 是对象的集合，展示了对象的结构以及与系统的交互行为。 Interface 接口，可以是单个接口，也可以是抽象的一组接口的组合。 圆形接口与矩形接口意义相同，仅形状不同。 Component 组件，可独立加载、部署和运行的二进制代码，采用轻量级通讯机制、松耦合高内聚的软件架构构建单元，部署时不能跨节点类型部署（计算机百科全书：组件是软件系统中具有相对独立功能、接口由契约指定、和语境有明显依赖关系、可独立部署、可组装的软件实体）。 Interface Required Interface和Provided Interface之间可以建立Dependency，表明一个组件需要的接口是由另外一个组件提供的。 Port 端口，定义了分类器与其环境之间的交互。 PackagingComponent 包装组件，进行版本控制以及包含其它包和元素。 Artifact 制品，软件开发过程或系统的部署和运行所使用或产生的物理信息的规范。 Object 对象。封装了状态和行为的具有良好定义界面和身份的离散实体，即对象实例。 Package 包。对元素进行分组，并为分组的元素提供名称空间。一个程序包可能包含其他程序包，从而提供程序包的分层组织。 Aggregation 聚合，是整体与部分的关系，且部分可以离开整体而单独存在。 Composition 组合，是整体与部分的关系，但部分不能离开整体而单独存在。 Realization 实现，是一种类与接口的关系，表示类是接口所有特征和行为的实现。 Dependency 依赖，是一种使用的关系，即一个类的实现需要另一个类的协助。 Usage 使用，是一种使用的关系。表明一个模块在运行的时候，需要使用另外一个模块。 Generalization 泛化，表示类与类、接口与接口之间的继承关系，由子一方指向父对象一方。 Association 关联，是一种拥有的关系，它使一个类知道另一个类的属性和方法。 Delegation 委托，委托关系定义组件外部端口和接口的内部访问方式。 组件图示例如下所示： 在画暴露接口与请求接口时，可以通过Association关联连线将两种接口合并。 在左侧工具箱中中选择“Provided Interface”，将其拖拽至需要连接的图形上。 拖拽完成松开左键，在弹出的连线选择列表中选择“Association”关联连线。 松开鼠标后即可形成接口合并。 父主题： UML建模

部署图 部署图用于大型和复杂系统的另一张专门图，其中软件部署在多个系统上，元素介绍如下表所示： 表1 部署图元素介绍 元素名 图标 含义 Node 节点，系统部署上的物理设备。 Device 设备，具有处理能力的物理资源，以执行某些功能。 DeploymentSpecification 部署规格，规范列出那些必须在部署图中定义的属性。 ExecutionEnvironment 执行环境。为特定类型的组件提供执行环境。 Artifact 制品是被软件开发过程所利用或通过软件开发过程所生产的一段信息，如外部文档或工作产物。 制品可以是一个模型、描述或软件。 Component 组件，可独立加载、部署和运行的二进制代码，采用轻量级通讯机制、松耦合高内聚的软件架构构建单元，部署时不能跨节点类型部署。 Interface 接口，可以是单个接口，也可以是抽象的一组接口的组合。 圆形接口与矩形接口意义相同，仅形状不同。 Package 包。对元素进行分组，并为分组的元素提供名称空间。一个程序包可能包含其他程序包，从而提供程序包的分层组织。 Dependency 依赖，是一种使用的关系，即一个类的实现需要另一个类的协助。 Generalization 泛化，是一种继承关系，一个类（通用元素）的所有信息（属性或操作）能被另一个类（具体元素）继承，不仅可以有属于类自己的信息，而且还拥有被继承类的信息。 Manifestation 表现，表示制品表现或包含一个或多个物理软件组件的功能部件的特定实现。 Deployment 部署，描述现实世界环境运行系统的配置的开发步骤。 Association 关联，是一种拥有的关系，它使一个类知道另一个类的属性和方法。 CommunicationPath 通信路径。定义两个部署目标能够交换信号和消息的通信路径。 部署图一般用于： 嵌入式系统建模（硬件之间的交互）。 客户端/服务器系统建模（用户界面与数据的分离）。 分布式系统建模（多级服务器）。 父主题： UML建模

活动图 活动图对用户和系统遵循流程的行为进行建模，它们是流程图或工作流的一种，但是它们使用的形状略有不同，元素介绍如下表所示： 表1 活动图元素介绍 元素名 图标 含义 Action 动作是可执行的原子计算，它导致模型状态的改变和返回值。 Activity 活动是状态机内正在进行的非原子执行。 StructuredActivity 结构化活动是一个活动节点，可以将下级节点作为独立的活动组。 CentralBufferNode 中央缓冲区节点是一个对象节点，用于管理活动图中表示的来自多个源和目标的流。 Datastore 数据存储区定义了永久存储的数据。 ExceptionHandlerNode 异常处理程序元素定义发生异常时要执行的一组操作。 Object 封装了状态和行为的具有良好定义界面和身份的离散实体，即对象实例。 Decision 是状态机中的一个元素，在它当中一个独立的触发可能导致多个可能结果，每个结果有它自己的监护条件。 Merge 状态机中的一个位置，两个或多个可选的控制路径在此汇合或"无分支"。 Send 即发送者对象生成一个信号实例并把它传送到接收者对象以传送信息。 Receive 接收就是处理从发送者传送过来的消息实例。 Partition 分区元素用于逻辑组织活动的元素。 Partition 分区元素用于逻辑组织活动的元素。 Initial 用来指明其默认起始位置的伪状态。 Final 组成状态中的一个特殊状态，当它处于活动时，说明组成状态已经执行完成。 Flow Final Flow Final元素描述了系统的退出，与Activity Final相反，后者代表Activity的完成。 Synch 一个特殊的状态，它可以实现在一个状态机里的两个并发区域之间的控制同步。 Fork Join Fork，复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 Join，状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Fork Join Fork，复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 Join，状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Region 区域，代表并行发生行为的容器。 Control Flow （控制流）在交互中，控制的后继轨迹之间的关系。 Object Flow （对象流）各种控制流表示了对象间的关系、对象和产生它（作输出）或使用它（作输入）的操作或转换间的关系。 Constraint 是一个语义条件或者限制的表达式。UML 预定义了某些约束，其他可以由建模者自行定义。 Exception Handler 异常处理。捕获异常根据异常类型查找到对应的异常处理方法，然后执行对应的方法。 Interrupt Flow 中断流是用于定义异常处理程序和可中断活动区域的连接器的两个UML概念的连接。中断流是活动边缘的一种。它通常用于活动图中，以对活动过渡进行建模。 Anchor 锚点。 Containment 内嵌，表示嵌在内部的类。 活动图示例如下所示： 父主题： UML建模

状态机图 状态机图元素介绍如下表所示： 表1 状态机图元素介绍 元素名 图标 含义 State 对象的生命中的满足一定条件，执行一定操作，或者等待某事件的条件或者情况。 StateMachine 状态机是展示状态与状态转换的图。通常一个状态机依附于一个类，并且描述一个类的实例对接收到的事件所发生的反应。 Fork Join Fork，复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 Join，状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Fork Join Fork，复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 Join，状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Initial 初始，用来指明其默认起始位置的伪状态。 Junction 结合状态，作为一个综合转换一部分的伪状态，它在转换执行中不打断运行至完成步骤。 Deep History 历史状态可以记忆浅历史和深历史。深历史状态记忆组成状态中更深的嵌套层次的状态。要记忆深状态，转换必须直接从深状态中转出。 Shallow History 浅历史状态保存并激活与历史状态在同一个嵌套层次上的状态。 EntryPoint 入口点，进入某一状态时执行的动作 ExitPoint 退出点，离开某一状态时执行的动作。 Final 终点，组成状态中的一个特殊状态，当它处于活动时，说明组成状态已经执行完成。 Synch 同步状态，它可以实现在一个状态机里的两个并发区域之间的控制同步。 Choice 选择，代表多个路径选择。 Terminate 终止，表示执行结束。 Transition 转换用实线箭头表示，从一个状态（源状态）到另一个状态（目标状态），用一条转换线标注。 Object Flow 控制流表示了对象间的关系、对象和产生它（作输出）或使用它（作输入）的操作或转换间的关系。 状态机图示例，如下图所示： 父主题： UML建模

交互概述图 交互概述图元素介绍如下表所示： 表1 交互概述图元素介绍 元素名 图标 含义 Action 动作是可执行的原子计算，它导致模型状态的改变和返回值。 Activity 活动是状态机内正在进行的非原子执行。 StructuredActivity 结构化活动是一个活动节点，可以将下级节点作为独立的活动组。 CentralBufferNode 中央缓冲区节点是一个对象节点，用于管理活动图中表示的来自多个源和目标的流。 Datastore 数据存储区定义了永久存储的数据。 Object 封装了状态和行为的具有良好定义界面和身份的离散实体；即对象实例。 Decision 是状态机中的一个元素，在它当中一个独立的触发可能导致多个可能结果，每个结果有它自己的监护条件。 Merge 状态机中的一个位置，两个或多个可选的控制路径在此汇合或"无分支"。 Send 发送者对象生成一个信号实例并把它传送到接收者对象以传送信息。 Receive 接收就是处理从发送者传送过来的消息实例。 Partition 分区元素用于逻辑组织元素。 Partition 分区元素用于逻辑组织元素。 Initial 用来指明其默认起始位置的伪状态。 Final 组成状态中的一个特殊状态，当它处于活动时，说明组成状态已经执行完成。 Flow Final Flow Final元素描述了系统的退出，与Activity Final相反，后者代表Activity的完成。 Synch 一个特殊的状态，它可以实现在一个状态机里的两个并发区域之间的控制同步。 Fork Join Fork，复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 Join，状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Fork Join Fork，复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 Join，状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Region 区域，代表并行发生行为的容器。 Exception Handler 异常处理。捕获异常根据异常类型查找到对应的异常处理方法，然后执行对应的方法。 Control Flow （控制流）在交互中，控制的后继轨迹之间的关系。 Object Flow （对象流）各种控制流表示了对象间的关系、对象和产生它（作输出）或使用它（作输入）的操作或转换间的关系。 Interrupt Flow 中断流是用于定义异常处理程序和可中断活动区域的连接器的两个UML概念的连接。 交互概述图示例，如下图所示： 此图描绘了一个示例销售过程，在示例中显示了一个交互销售过程，各活动对象都可以有独立的子交互概述图。 父主题： UML建模

前提条件 已成功创建Memcached实例，且状态为“运行中”。 已创建弹性云服务器，并已安装好客户端。创建弹性云服务器的方法，请参见《弹性云服务器用户指南》。 您创建的弹性云服务器必须与Memcached实例属于同一个VPC，并配置相同的安全组，以确保弹性云服务器与缓存实例的网络是连通的。 如果弹性云服务器与Memcached实例不在相同VPC中，可以通过建立VPC对等连接方式连通网络，具体请参考常见问题：缓存实例是否支持跨VPC访问？ 如果弹性云服务器与Memcached实例配置了不同的安全组，可以通过设置安全组规则连通网络，具体请参考常见问题：如何选择和配置安全组？ 您的弹性云服务器已安装好Java JDK和常用的IDE（如Eclipse）。 已获取spymemcached-x.y.z.jar依赖包。 其中x.y.z为依赖包的版本号，建议获取最新版本。

配置自动备份策略 登录分布式缓存服务管理控制台。 在管理控制台左上角单击，选择实例所在的区域。 单击左侧菜单栏的“缓存管理”。 “缓存管理”页面支持通过筛选来查询对应的缓存实例。支持的筛选条件有“名称”、“规格”、“ID”、“IP地址”、“可用区”、“状态”、“实例类型”、“缓存类型”等。 在需要备份的DCS缓存实例左侧，单击实例名称，进入实例的基本信息页面。 单击“备份与恢复”页签，进入备份恢复管理页面。 单击“自动备份”右侧的，打开自动备份开关，显示备份策略信息。 表1 备份策略参数说明 参数 说明 备份周期 自动备份频率。 可设置为每周的某一天或者某几天，按实际需要适当增加备份频率。 保留天数 备份数据保存期限。 保存天数可选1~7，超过期限后，备份数据将被永久删除，无法用来恢复实例。 开始时间 自动备份任务执行时间。时间格式：00:00~23:00间的任意整点时间。 每小时检查一次备份策略，如果符合备份策略设置的开始时间，则执行备份操作。 说明： 实例备份大约耗时5~30分钟，备份期间发生的数据新增或修改记录，将不会保存到备份数据中。为了尽量减少备份对业务的影响，备份开始时间建议设置在业务交易较少的时间段。 实例只有处于“运行中”状态时，系统才对其执行数据备份。 设置好备份参数，单击“确定”，完成备份策略设置。 开启自动备份后，也支持关闭自动备份开关，或单击“修改”，修改备份策略。 实例将在设置的备份时间自动执行备份，并在该页面查看备份记录。 备份完成后，单击备份记录后的“下载”，“恢复”，或“删除”，即可执行相关操作。

约束与限制 目前仅Redis 4.0和Redis 5.0版本的Redis实例，默认支持账号管理功能。 Redis 6.0版本的实例如需使用该功能，需要联系客服开启账号管理功能的白名单。如果Redis 6.0实例的小版本低于6.2.10.4，还需要升级小版本，查看及升级实例小版本请参考升级DCS实例小版本/代理版本。 企业版Redis如需使用账号管理，需要设置实例密码，免密访问的企业版Redis实例不支持该功能。 每个实例最多支持创建18个账号。 账号管理目前仅支持读写和只读权限，不支持其他细粒度权限。

配置Redis ACL访问账号 登录分布式缓存服务管理控制台。 在管理控制台左上角单击，选择实例所在的区域。 单击左侧菜单栏的“缓存管理”，进入实例信息页面。 单击DCS缓存实例名称，进入该实例的基本信息页面。 选择“账号管理”进入账号管理页面。 “账号名称”为“default”的账号为实例的“默认账号”，默认账号的权限为读写权限，该账号的密码即缓存实例的访问密码。 单击“创建账号”，可以创建普通账号。 如果Redis实例开启了免密访问，创建的普通账号不生效，仅支持默认账号。如需使用普通账号请先关闭默认账号的免密访问：单击默认账号对应“操作”列的“重置密码”即可为实例设置密码。 在弹出的创建账号窗口中，设置账号名称及账号密码。 选择账号权限为“只读”或“读写”、设置账号密码及备注。 单击“确定”，完成账号创建。 当使用创建的ACL普通账号连接实例时，需要配置实例密码为{username:password}。 以使用redis-cli连接Redis实例为例，当使用默认账号连接实例时命令如下： ./redis-cli -h {dcs_instance_address} -p 6379 -a {password} 如果使用实例创建的ACL普通账号连接，实例密码需要配置为“账号名称:账号密码”： ./redis-cli -h {dcs_instance_address} -p 6379 -a {username:password} 图1 账号管理

约束与限制 仅Redis 4.0及以上版本的实例，支持命令重命名功能。 单机、主备、Cluster集群实例进行命令重命名的过程中会自动重启实例，重启单机实例将会清空数据，请谨慎操作。 重命名操作完成后立即生效。因为涉及安全性，页面不会显示重命名后的命令。 同一个命令支持多次重命名，每次新的重命名操作都会覆盖之前的重命名命令，如果需要恢复高危命令或忘记重命名后的命令，重新执行命令重命名即可。 命令不能重命名为除本命令外的其他原始命令，例如，keys命令可以命名为keys本身或非命令abc123，但不可以重命名为scan等其他原始命令。 重命名的命令必须以字母开头，长度范围为4~64个字符，且只能包含字母、数字、中划线和下划线。

管理DCS实例分片与副本 登录分布式缓存服务管理控制台。 在管理控制台左上角单击，选择实例所在的区域。 单击左侧菜单栏的“缓存管理”。 单击缓存实例名称，进入该实例的基本信息页面。 单击“节点管理”或“分片与副本”，进入实例的节点管理页面。 界面显示该实例的所有分片列表，包含“分片名称”、“分片ID”和该分片下的“副本数”。 单击分片名称前面的图标，展开当前分片下的所有副本。包含“副本IP”、“节点ID”、“副本ID”、“状态”“副本角色”和副本所在的“可用区”。 图1 节点管理（集群实例） 图2 节点管理（主备实例） 图3 节点管理（单机实例） 您还可以对副本执行以下操作： 集群实例 展开集群实例单分片信息后，单击从副本右侧的“升级为主”，可以将该分片下的从副本升级为主副本。 如果是Proxy集群实例，您还可以在节点管理的“Proxy节点”页签查看实例的Proxy节点信息（节点IP、节点ID、节点名称）。其他实例类型不涉及“Proxy节点”。 主备/读写分离实例 如果主备实例的从副本数多于1个，单击“摘除域名IP”，可以摘除对应从副本（只读副本）的IP，摘除成功后，只读域名不会再解析到该副本IP。 如果主备实例只有1个从副本，则不支持摘除域名。 对于有多个从副本的主备或读写分离实例，单击“主备切换优先级”列对应的，可以设置主备切换优先级。 当主节点故障以后，系统会按照您指定的优先级，自动切换到优先级最高的从节点上。如果优先级相同，则系统会内部进行选择和切换。优先级为0-100，1-100优先级逐步降低，1为最高，100为最低，0为禁止倒换。 单机实例 单机实例仅一个副本，在“节点管理”页面可以查看该实例的节点信息，不支持其他操作。

前提条件 已成功创建Memcached实例，且状态为“运行中”。 已创建弹性云服务器。创建弹性云服务器的方法，请参见《弹性云服务器用户指南》。 您创建的弹性云服务器必须与Memcached实例属于同一个VPC，并配置相同的安全组，以确保弹性云服务器与缓存实例的网络是连通的。 如果弹性云服务器与Memcached实例不在相同VPC中，可以通过建立VPC对等连接方式连通网络，具体请参考常见问题：缓存实例是否支持跨VPC访问？ 如果弹性云服务器与Memcached实例配置了不同的安全组，可以通过设置安全组规则连通网络，具体请参考常见问题：如何选择和配置安全组？

查看DCS实例的客户端连接信息 登录分布式缓存服务管理控制台。 在管理控制台左上角单击，选择实例所在的区域。 单击左侧菜单栏的“缓存管理”。 在缓存管理页面，单击需要查看的缓存实例的名称，进入该实例的基本信息页面。 单击“会话管理”。 在会话管理页面，可以显示当前连接该实例的客户端会话信息。 Proxy集群和读写分离实例查询的是连接单proxy节点的会话信息，单机、主备和Cluster集群实例查询的是连接单数据节点的会话信息。 在页面中，可以选择需要查询的数据节点或Proxy节点、输入并查询指定的会话地址、更新查询信息、及设置会话的显示项。 如果实例未开启源IP透传，查询的“addr”并非客户端真实IP，会显示“198.19.xxx.xxx”内部私网占用IP。 如果要查询真实的客户端IP，请参考开启客户端IP透传。在开启客户端IP透传之后，新建的客户端连接对应的“addr”才会显示为客户端真实IP。 图1 会话管理 表1 会话字段说明 字段 描述 ID 会话的唯一ID标识。 addr 会话地址。如果Redis开启了IP透传，该地址为客户端IP地址；如果Redis未开启IP透传，该地址为内部私网占用IP。 name 客户端名称，可通过代码中的 setClientName(...) 配置，如果未配置则该字段为空。 cmd 最近一次执行的命令。 age 连接的时长，单位：秒。 idle 连接空闲的时间，单位：秒。 db 最近一次执行命令的DB标识，例如DB0，则该字段显示0。 flags 连接标志位，M表示来自主节点的连接，S表示来自从节点的连接，其余标志请参考：https://redis.io/docs/latest/commands/client-list/ fd 连接FD。 sub 当前连接普通订阅的Channel数量。 psub 当前连接模式订阅的Channel数量。 multi 通过事务/LUA方式执行的命令数量，如果未执行过该字段显示-1。 qbuf 输入缓冲区的空间大小（字节数）。 qbuf-free 输入缓冲区的剩余空间大小（字节数）。 obl 输出缓冲区的长度。 oll 输出缓冲区的列表长度。 omem 输出缓冲区的空间大小（字节数）。 events 连接FD上产生的可读、可写事件。读事件：r，写事件：w。 选择需要kill的会话，单击“kill选中会话”可断开选择的客户端连接，也可以选择“kill全部会话”。 如果所kill的客户端具备重连机制，断开后会自动重连。 如果需要导出客户端连接数据，单击“导出”，可以选择导出全部或部分已选中的连接数据。

实例规格变更须知 支持实例规格变更明细如下： 表2 实例规格变更明细 缓存类型 单机实例 主备实例 Cluster集群实例 Proxy集群实例 读写分离实例 Redis 3.0 支持扩容和缩容 支持扩容和缩容 - 仅支持扩容 - Redis 4.0 支持扩容和缩容 支持扩容、缩容和副本数变更 支持扩容、缩容和副本数变更 支持扩容和缩容 支持扩容、缩容和副本数变更 Redis 5.0 支持扩容和缩容 支持扩容、缩容和副本数变更 支持扩容、缩容和副本数变更 支持扩容和缩容 支持扩容、缩容和副本数变更 Redis 6.0 基础版 支持扩容和缩容 支持扩容、缩容和副本数变更 支持扩容、缩容和副本数变更 支持扩容缩容 支持扩容、缩容和副本数变更 Redis 6.0 企业版 - 支持扩容和缩容 - - - Redis 7.0 支持扩容和缩容 支持扩容、缩容和副本数变更 支持扩容、缩容和副本数变更 - - Memcached 支持扩容和缩容 支持扩容和缩容 - - - Redis 3.0和Memcached实例在预留内存不足的情况下，内存用满可能会导致扩容失败，具体可参考预留内存。 副本数变更和容量变更不支持同时进行，需分开两次执行变更。 删除副本时，每次操作仅支持删除一个副本。 实例规格变更的影响： 表3 实例规格变更的影响 实例类型 规格变更类型 实例规格变更的影响 单机、主备和读写分离实例 扩容/缩容 Redis 4.0及以上版本基础版实例，扩容期间连接会有秒级中断，大约1分钟的只读，缩容期间连接不会中断。 Redis 3.0实例，规格变更期间连接会有秒级中断，5~30分钟只读。 Redis企业版实例，规格变更期间连接会有秒级中断，大约1分钟的只读。 如果是扩容，只扩大实例的内存，不会提升CPU处理能力。 单机实例不支持持久化，变更规格不能保证数据可靠性。在实例变更后，需要确认数据完整性以及是否需要再次填充数据。如果有重要数据，建议先把数据用迁移工具迁移到其他实例备份。 主备和读写分离实例缩容前的备份记录，缩容后不能使用。如有需要请提前下载备份文件，或缩容后重新备份。 Proxy和Cluster集群实例 扩容/缩容 水平扩容（分片数增加）： 连接不中断，但会占用CPU，导致性能有20%以内的下降。 分片数增加时，会新增数据节点，数据自动负载均衡到新的数据节点，访问时延会增大。 水平缩容（分片数减少）： 分片数减少时，会删除节点。Cluster集群实例缩容前，请确保应用中没有直接引用这些删除的节点，否则可能导致业务访问异常。 删除节点会导致连接闪断，请确保您的客户端应用具备重连机制和处理异常的能力，否则在变更规格后可能需要重启客户端应用。 垂直扩容（分片数不变，分片容量增加）： 如果节点所在的虚拟机内存容量不足，会发生节点迁移，迁移时业务连接会有闪断和只读。 如果虚拟机内存容量充足，则直接扩大节点容量，对业务无影响。 说明： Redis 3.0版本集群实例不支持垂直扩缩容。 垂直缩容（分片数不变，分片容量减少）：无影响。 实例缩容前，每个节点的已用内存要小于缩容后节点最大内存的70%，否则将不允许变更。 实例规格变更期间，可能会进行数据迁移，访问时延会增大。Cluster集群请确保客户端能正常处理MOVED和ASK命令，否则会导致请求失败。 实例规格变更期间，如果有大批量数据写入导致节点内存写满，将会导致变更失败。 在实例规格变更前，请先使用缓存分析中的大key分析，确保实例中没有大key存在，否则在规格改变后，节点间进行数据迁移的过程中，单个key过大（≥512MB）会触发Redis内核对于单key的迁移限制，造成数据迁移超时失败，进而导致规格变更失败，key越大失败的概率越高。 Cluster集群实例扩容或缩容时，请确保客户端开启集群拓扑自动刷新配置，否则在变更后需要重启客户端。Lettuce客户端开启集群拓扑自动刷新配置请参考Lettuce客户端连接Cluster集群实例中的示例。 实例规格变更前的备份记录，变更后不能使用。如有需要请提前下载备份文件，或变更后重新备份。 主备、读写分离和Cluster集群实例 副本数变更 Cluster集群实例增加或删除副本时，请确保客户端开启集群拓扑自动刷新配置，否则在变更后需要重启客户端。Lettuce客户端开启集群拓扑自动刷新配置请参考Lettuce客户端连接Cluster集群实例中的示例。 删除副本会导致连接中断，需确保您的客户端应用具备重连机制和处理异常的能力，否则在删除副本后需要重启客户端应用。增加副本不会连接中断。 当副本数已经为实例支持的最小副本数时，不支持删除副本。

约束与限制 执行实例变更规格，建议在业务低峰期操作。业务高峰期（如实例在内存利用率、CPU利用率达到90%以上或写入流量过大）变更规格可能会失败，若变更失败，请在业务低峰期再次尝试变更。 如果实例创建时间非常早，由于实例版本没有升级而无法兼容规格变更（扩容/缩容）功能，请联系客服将缓存实例升级到最新版本，升级后就可以支持规格变更（扩容/缩容）功能。 Redis 3.0版本集群实例不支持垂直扩缩容。 Redis 3.0和Memcached实例在预留内存不足的情况下，内存用满可能会导致扩容失败，具体可参考预留内存。 副本数变更和容量变更不支持同时进行，需分开两次执行变更。 删除副本时，每次操作仅支持删除一个副本。

实例类型变更须知 表1 DCS实例类型变更明细 实例版本 支持的实例变更类型 变更须知及影响 Redis 3.0 单机实例变更为主备实例 连接会有秒级中断，大约1分钟左右的只读。 主备实例变更为Proxy集群实例 如果Redis 3.0主备实例数据存储在多DB上，或数据存储在非DB0上，不支持变更为Proxy集群；数据必须是只存储在DB0上的主备实例才支持变更为Proxy集群。 连接会中断，5~30分钟只读。 Memcached 单机实例变更为主备实例 会有秒级业务中断、大约1分钟只读。 Redis 4.0/5.0/6.0 主备实例或读写分离实例变更为Proxy集群实例 变更为proxy集群时，需要评估proxy集群的多DB使用限制和命令使用限制对业务的影响。具体请参考proxy集群使用多DB限制，实例受限使用命令。 变更前实例的已用内存必须小于变更后最大内存的70%，否则将不允许变更。 如果变更前实例的已用内存超过总内存的90%，变更的过程中可能会导致部分key逐出。 变更完成后需要对实例重新创建告警规则。 如果原实例是主备实例，请确保应用中没有直接引用只读IP或只读域名。 请确保您的客户端应用具备重连机制和处理异常的能力，否则在变更规格后有可能需要重启客户端应用。 变更规格过程中会有秒级业务中断、大约1分钟只读，建议在业务低峰时进行变更。 Proxy集群实例变更为主备实例或读写分离实例 Redis 4.0/5.0/6.0 主备实例变更为读写分离实例 说明： 读写分离实例暂不支持直接变更为主备实例。 目前只支持主备实例变更为相同容量的读写分离实例，小于4G规格的主备实例不支持变更为读写分离实例。 如果变更前实例的已用内存超过总内存的90%，变更的过程中可能会导致部分key逐出。 变更完成后需要对实例重新创建告警规则。 请确保主备实例的应用中没有直接引用只读IP或只读域名。 请确保您的客户端应用具备重连机制和处理异常的能力，否则在变更规格后有可能需要重启客户端应用。 变更规格过程中会有秒级业务中断，建议在业务低峰时进行变更。 主备实例如果创建了ACL账号，不支持变更为读写分离实例。 Redis 6.0如果开启了SSL链路加密传输，不支持变更为读写分离实例。 除了上表中提到的实例外，其他实例类型目前不支持实例类型的变更。若您想实现跨实例类型的规格变更，建议您创建新的实例后进行数据迁移并交换实例IP，迁移操作请参考使用迁移任务在线迁移Redis实例进行操作。 实例类型变更后支持的命令，请参考对应的开源命令兼容性。

前提条件 已成功创建Memcached实例，且状态为“运行中”。 已创建弹性云服务器，并已安装好客户端。创建弹性云服务器的方法，请参见《弹性云服务器用户指南》。 您创建的弹性云服务器必须与Memcached实例属于同一个VPC，并配置相同的安全组，以确保弹性云服务器与缓存实例的网络是连通的。 如果弹性云服务器与Memcached实例不在相同VPC中，可以通过建立VPC对等连接方式连通网络，具体请参考常见问题：缓存实例是否支持跨VPC访问？ 如果弹性云服务器与Memcached实例配置了不同的安全组，可以通过设置安全组规则连通网络，具体请参考常见问题：如何选择和配置安全组？

功能说明 本节定义了DCS服务上报 云监控服务 的监控指标的命名空间，监控指标列表和维度定义，用户可以通过 云监控 服务提供管理控制台或API接口来检索DCS服务产生的监控指标和告警信息。 实例监控指标差异如下： 表1 实例监控指标差异 实例类型 实例级监控 数据节点级监控 Proxy节点级监控 单机 支持 只有实例级别的监控指标，实例监控即为数据节点监控。 不涉及 不涉及 主备 支持 实例监控是指对主节点的监控。 支持 数据节点监控分别是对主节点和备节点的监控。 不涉及 读写分离 支持 实例监控是指对主节点的监控。 支持 数据节点监控分别是对主节点和备节点的监控。 支持 Proxy节点监控是对实例中每个Proxy节点的监控。 Proxy集群 支持 实例监控是对集群所有主节点数据汇总后的监控。 支持 数据节点监控是对集群每个分片的监控。 支持 Proxy节点监控是对集群每个Proxy节点的监控。 Cluster集群 支持 实例监控是对集群所有主节点数据汇总后的监控。 支持 数据节点监控是对集群每个分片的监控。 不涉及

Python-binary-memcached客户端连接Memcached 登录分布式缓存服务管理控制台。 在管理控制台左上角单击，选择实例所在的区域。 单击左侧菜单栏的“缓存管理”，进入缓存实例信息页面。 单击需要使用的其中一个Memcached实例的名称，进入该Memcached实例的基本信息页面。查看并获取该Memcached实例的IP地址/域名和端口。 将已获取的python-binary-memcached-x.y.z.zip依赖包上传到已创建的弹性云服务器，假设下载得到的包名为python-binary-memcached-x.y.z.zip。 登录弹性云服务器。 执行如下命令安装依赖包。 unzip -xzvf python-binary-memcached-x.y.z.zip cd python-binary-memcached-x.y.z python setup.py install 如以上步骤安装报错，可使用apt或yum方式安装依赖包，如apt方式安装的具体命令如下： apt install python-pip; pip install python-binary-memcached; 新建Python文件如dcs_test.py，将如下Python代码复制到dcs_test.py文件并修改代码。 密码模式代码示例 其中ip or domain name:port需要修改为4获取的Memcached实例IP地址/域名和端口。userName和password需要修改为Memcached实例的用户名和密码。 import bmemcached client = bmemcached.Client(('ip or domain name:port'), 'userName', 'password') print "set('key', 'hello world!')" print client.set('key', 'hello world!') print "get('key')" print client.get('key') 免密模式代码示例 其中ipor domain name:port需要修改为4获取的Memcached实例IP地址/域名和端口。 import bmemcached client = bmemcached.Client('ip or domain name:port') print "set('key', 'hello world!')" print client.set('key', 'hello world!') print "get('key')" print client.get('key') 运行dcs_test.py文件，可以看到如下结果。 # python test.py set('key', 'hello world!') True get('key') hello world!

前提条件 已成功创建Memcached实例，且状态为“运行中”。 已创建弹性云服务器。创建弹性云服务器的方法，请参见《弹性云服务器用户指南》。 您创建的弹性云服务器必须与Memcached实例属于同一个VPC，并配置相同的安全组，以确保弹性云服务器与缓存实例的网络是连通的。 如果弹性云服务器与Memcached实例不在相同VPC中，可以通过建立VPC对等连接方式连通网络，具体请参考常见问题：缓存实例是否支持跨VPC访问？ 如果弹性云服务器与Memcached实例配置了不同的安全组，可以通过设置安全组规则连通网络，具体请参考常见问题：如何选择和配置安全组？ 弹性云服务器已安装好Python，建议为2.7.6或更高版本。 已获取python-binary-memcached-x.y.z.zip依赖包。 其中x.y.z为依赖包的版本号，建议获取最新版本。

导出备份文件 执行命令进入解压后的RedisShake文件目录。 cd bin 编辑RedisShake工具配置文件redis-shake.conf，补充源端所有master节点的连接信息。 vim redis-shake.conf 修改内容如下： source.type = cluster #如果无密码，本项不填 source.password_raw = {source_redis_password} #源Cluster集群所有master节点的IP地址与端口，以分号分隔 source.address = {master1_ip}:{master1_port};{master2_ip}:{master2_port}…{masterN_ip}:{masterN_port} 修改后按下Esc键退出编辑模式，输入:wq！按回车键保存配置并退出编辑界面。 执行以下命令导出源Redis集群的RDB格式备份文件。 ./redis-shake -type dump -conf redis-shake.conf 执行日志中出现如下信息时导出备份文件完成： execute runner[*run.CmdDump] finished!

安装RedisShake 登录弹性 云服务器ECS 。 在ECS中执行以下命令下载RedisShake。本文以下载2.1.2版本为例，您可以根据实际需要下载其他RedisShake版本。 wget https://github.com/tair-opensource/RedisShake/releases/download/release-v2.1.2-20220329/release-v2.1.2-20220329.tar.gz 执行命令解压RedisShake文件。 tar -xvf release-v2.1.2-20220329.tar.gz 如果源Cluster部署在数据中心内网，则需在内网服务器上安装RedisShake，并参考导出备份文件导出源Cluster备份文件，然后将备份文件上传到云服务器。

导入备份文件 将导出的RDB备份文件（含多个）上传到与云服务器上。云服务器与目标端DCS Cluster集群实例的网络连通。 编辑RedisShake工具配置文件redis-shake.conf。补充目标端所有master节点的连接信息。 vim redis-shake.conf 修改内容如下： target.type = cluster #如果无密码，本项不填 target.password_raw = {target_redis_password} #目标Cluster集群所有master节点的IP地址与端口，以分号分隔 target.address = {master1_ip}:{master1_port};{master2_ip}:{master2_port}…{masterN_ip}:{masterN_port} #需要导入的rdb文件列表，用分号分隔 rdb.input = {local_dump.0};{local_dump.1};{local_dump.2};{local_dump.3} 修改后按下Esc键退出编辑模式，输入:wq！按回车键保存配置并退出编辑界面。 使用如下命令导入RDB备份文件到目标Cluster集群： ./redis-shake -type restore -conf redis-shake.conf 执行日志中出现如下信息时导入备份文件完成： Enabled http stats, set status (incr), and wait forever.