华为云用户手册

白名单管理 白名单功能包含告警白名单、登录告警白名单和系统用户白名单，如需避免某些告警误报发生，可以将告警事件加入对应的白名单。 表21 白名单管理功能介绍 功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 告警白名单 处理告警事件时，将告警事件加入到告警白名单。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 √ √ √ √ √ √ 登录告警白名单 将目标登录端IP和登录端用户名加入登录告警白名单，HSS将对白名单内的IP和用户的访问行为进行忽略，不再告警。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 √ √ √ √ √ √ 系统用户白名单 对于主机中新添加的root用户组权限用户（非root用户）可添加到系统用户白名单，避免HSS进行风险账号告警。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 √ √ √ √ √ √

策略管理 用户可以根据需要进行策略管理配置，自定义安全检测规则，并可为不同的主机组或主机/容器应用不同的策略，以满足不同应用场景的主机/ 容器安全 需求。 表22 策略管理功能介绍 服务功能 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 策略管理 支持自定义检测策略配置与下发，能够为每组或每台主机灵活配置检测规则，便于精细化安全运营。 查看策略组列表 依据默认策略组和已创建的策略组添加策略组 自定义策略 修改和删除策略组 针对策略组包含的策略，进行修改和关闭策略 在“主机管理”页面可以对主机进行批量部署策略 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √（仅支持默认专业版策略组） √（仅支持默认企业版策略组） √ √ √

容器安全告警 容器安全告警支持对Docker、Containerd容器引擎进行入侵行为检测，实时监控容器节点运行状态，发现挖矿、勒索等恶意程序，发现违反容器安全策略的进程运行和文件修改，以及容器逃逸等行为并给出解决方案。 表20 容器安全告警功能介绍 功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 未分类恶意软件 对容器中运行的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 病毒 对容器进行实时检测，对在容器环境中发现的各种病毒进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 蠕虫 对容器环境中入侵的蠕虫或已存在的蠕虫进行检测，并进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 木马 对隐藏在正常程序中具备破坏和删除文件、发送密码、记录键盘等特殊功能的程序进行检测，发现时立即进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 僵尸网络 检测容器环境中是否存在已被传播的僵尸程序，一旦发现立即进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 后门 实时检测容器环境是否存在后门漏洞，对发现的后门病毒进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ Rootkits 检测容器环境，对可疑的内核模块和可疑的文件或文件夹进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 勒索软件 检测容器场景下勒索软件，并进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 黑客工具 检测容器环境是否存在用来控制容器的非标工具，一旦发现立即上报告警。 支持的操作系统：Linux。 检测周期：实时检测。 × × √ √ √ √ Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 挖矿软件 实时检测容器环境中是否存在挖矿软件，并对发现的软件进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 漏洞逃逸攻击 监控到容器内进程行为符合已知漏洞的行为特征时，触发逃逸漏洞攻击告警。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 文件逃逸攻击 监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，仍然会触发告警。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 反弹Shell 实时监控容器环境用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。支持对TCP、UDP、ICMP等协议的检测。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 文件提权 检测当前容器系统对文件的提权。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 进程提权 检测容器环境以下进程提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 关键文件变更 对于容器场景系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 进程异常行为 检测容器场景下各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 容器进程异常 容器恶意程序 监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 对于已关联的容器镜像启动的容器，只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 容器异常启动 监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。 支持以下容器环境检测： 禁止启动特权容器(privileged:true) 需要限制容器能力集（capabilities:[xxx]） 建议启用seccomp（seccomp=unconfined） 限制容器获取新的权限(no-new-privileges:false) 危险目录映射(mounts:[...]) 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 高危命令执行 实时检测容器场景系统中执行的高危命令，当发生高危命令执行时触发告警。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道，容器安全监控容器进程，如果发现进程使用了危险系统调用，触发高危系统调用告警。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 异常Shell 检测容器系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 敏感文件访问 监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 容器镜像阻断 在Docker环境中容器启动前，告警并阻断镜像异常行为策略中指定的不安全容器镜像运行。 支持的操作系统：Linux。 检测周期：实时检测。 说明： 需安装Docker插件。 × × × × × √ 可疑命令执行 检测通过命令或工具创建、删除计划任务或自启动任务。 检测远程执行命令的可疑行为。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 运行时异常行为 提供网络、主机、Pod、容器、进程、系统调用多层次防护，可监控容器中出现的进程、文件、网络活动、进程capabilities、系统调用共5种运行时异常行为，支持对异常行为进行告警和阻断，阻止容器逃逸，保护容器运行时的安全。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 支持的操作系统：Linux。 检测周期：实时检测。 说明： 目前暂仅支持Docker容器运行时的暴力破解检测告警。 × × × × × √ 非法系统账号 检测容器场景系统中的账号，列出当前系统中的可疑账号信息并告警上报，帮助用户及时发现非法账号。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 用户密码窃取 检测容器环境中系统账号和密码Hash值被异常获取的行为，一旦发现进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 异常外联行为 检测到容器环境中存在异常外联可疑ip的行为，一旦发现进行告警上报。 支持的操作系统：Linux（仅支持5.10及以上内核版本）。 检测周期：实时检测。 × × × × × √ 端口转发检测 检测到容器环境中利用可疑工具进行端口转发行为，一旦发现进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ Kubernetes事件删除 检测集群中删除Kubernetes事件的行为，一旦发现进行警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ Pod异常行为 检测集群中存在创建特权pod、静态pod及敏感配置pod的异常行为，以及对现存pod执行的异常操作，一旦发现进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 枚举用户信息 检测存在枚举集群用户的权限以及可执行操作列表的行为，一旦发现进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 绑定集群用户角色 检测绑定、创建高权限集群角色或Service Account的行为，一旦发现进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 进程注入 检测将恶意代码注入到正在运行的进程的行为，一旦发现立即告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 动态库注入进程 检测通过劫持动态链接库中的函数，从而实现白加黑注入代码的行为，一旦发现立即告警上报 。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 内存文件进程 检测通过memfd_create的系统调用，创建一个只存在于 RAM 中的匿名恶意文件，从而执行恶意文件的行为，一旦发现立即告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √

主机安全告警 主机安全告警支持识别并阻止入侵主机的行为，实时检测主机的风险异变，检测并查杀主机中的恶意程序，识别主机中的网站后门等。 表19 主机安全告警功能介绍 功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 未分类恶意软件 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ 病毒 对服务器进行实时检测，对在服务器资产发现的各种病毒进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ 蠕虫 对服务器中入侵的蠕虫或已存在的蠕虫进行检测、查杀，并进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ 木马 对隐藏在正常程序中具备破坏和删除文件、发送密码、记录键盘等特殊功能的程序进行检测，发现时立即进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ 僵尸网络 检测主机资产中是否存在已被传播的僵尸程序，一旦发现立即进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ 后门 实时检测服务器系统是否存在后门漏洞，对发现的后门病毒进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ Rootkits 检测服务器资产，对可疑的内核模块和可疑的文件或文件夹进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × √ √ √ √ √ 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ 黑客工具 检测服务器是否存在用来控制服务器的非标工具，一旦发现立即上报告警。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × √ √ √ √ Webshell 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ 挖矿软件 实时检测服务器中是否存在挖矿软件，并对发现的软件进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ 远程代码执行 实时检测服务器是否存在被远程调用的情况，一旦发现立即进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × √ √ √ √ Redis漏洞利用 实时检测Redis进程对服务器关键目录的修改行为，并对发现的修改行为进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × √ √ √ √ √ Hadoop漏洞利用 实时检测Hadoop进程对服务器关键目录的修改行为，并对发现的修改行为进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × √ √ √ √ √ MySQL漏洞利用 实时检测MySQL进程对服务器关键目录的修改行为，并对发现的修改行为进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × √ √ √ √ √ 反弹Shell 实时监控用户的进程行为，支持告警和阻断进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 目前支持阻断的反弹shell类别：exec反弹Shell、Perl反弹Shell、AWK反弹Shell、Python反弹Shell.b、Python反弹Shell.a、Lua反弹Shell、mkfifo/openssl反弹Shell、PHP反弹Shell、Ruby反弹Shell、使用rssocks进行反向代理、Bash反弹Shell、Ncat反弹Shell、exec重定向反弹Shell、Node反弹Shell、Telnet双端口反弹Shell、nc反弹Shell、Socat反弹Shell、rm/mkfifo/sh/nc反弹Shell、socket/tchsh反弹Shell。 支持的操作系统：Linux。 检测周期：实时检测。 说明： 启用反弹Shell自动阻断需确保满足以下条件： 在“HIPS检测”策略中，开启“自动化阻断”。该功能默认关闭，需要手动开启。具体操作请参见配置策略。 确保已开启恶意程序隔离查杀。该功能默认关闭，需要手动开启。具体操作请参见开启恶意程序隔离查杀。 × √ √ √ √ √ 文件提权 检测当前系统对文件的提权。 支持的操作系统：Linux。 检测周期：实时检测。 × √ √ √ √ √ 进程提权 检测以下进程提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 支持的操作系统：Linux。 检测周期：实时检测。 × √ √ √ √ √ 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 支持的操作系统：Linux。 检测周期：实时检测。 × √ √ √ √ √ 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × √ √ √ √ 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 支持的操作系统：Linux。 检测周期：实时检测。 × √ √ √ √ √ 敏感文件访问 检测未经授权访问或修改敏感文件的行为。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ 系统安全防护被禁用 检测勒索软件加密前准备动作：通过注册表关闭Windows Defender实时保护功能，一旦发现立即上报告警。 支持的操作系统：Windows。 检测周期：实时检测。 × × √ √ √ × 备份删除 检测勒索软件加密前准备动作：删除备份格式文件或Backup文件夹下的文件，一旦发现立即上报告警。 支持的操作系统：Windows。 检测周期：实时检测。 × × √ √ √ √ 异常注册表操作 检测通过注册表关闭系统防火墙、勒索病毒Stop修改注册表并写入特定字符串等操作，一旦发现立即上报告警。 支持的操作系统：Windows。 检测周期：实时检测。 × × √ √ √ √ 系统日志删除 检测到通过命令或工具清除系统日志的操作时进行告警。 支持的操作系统：Windows。 检测周期：实时检测。 × × √ √ √ × 可疑命令执行 检测通过命令或工具创建、删除计划任务或自启动任务。 检测远程执行命令的可疑行为。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × √ √ √ √ 可疑进程运行 检测未经过认证或授权的应用进程运行，一旦发现进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × √ √ √ √ 可疑进程文件访问 检测未经过认证或授权的进程访问指定的目录，一旦发现进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × √ √ √ √ 暴力破解 检测“尝试暴力破解”和“暴力破解成功”等暴力破解。 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。 如果账户暴力破解成功，登录到云主机，则触发安全事件告警。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 √ √ √ √ √ √ 异常登录 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 如果在非常用登录地登录，则触发安全事件告警。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 √ √ √ √ √ √ 非法系统账号 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ 用户账号添加 检测使用命令创建隐藏账户，一旦创建成功后用户交互界面和命令查询均不可见。 支持的操作系统：Windows。 检测周期：实时检测。 × × √ √ √ √ 用户密码窃取 检测主机中的系统账号和密码Hash值被异常获取的行为，一旦发现进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × √ √ √ √ 未知网络访问 检测对服务器未监听的端口进行访问的行为。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ 云蜜罐 检测到连接主机蜜罐端口的行为，进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ 异常外联行为 检测到服务器存在异常外联可疑ip的行为，一旦发现进行告警上报。 支持的操作系统：Linux（仅支持5.10及以上内核版本）。 检测周期：实时检测。 × √ √ √ √ √ 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × √ √ √ √ √ 可疑的下载请求 检测到利用系统工具下载程序的可疑HTTP请求时进行告警。 支持的操作系统：Windows。 检测周期：实时检测。 × × √ √ √ × 可疑的HTTP请求 检测到利用系统工具或进程执行远程托管脚本的可疑HTTP请求时进行告警。 支持的操作系统：Windows。 检测周期：实时检测。 × × √ √ √ × 端口扫描 检测用户指定的端口存在被扫描或者嗅探的行为，一旦发现进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × √ √ √ 主机扫描 检测网络对主机规则覆盖（包含对ICMP、ARP、nbtscan是覆盖）的扫描活动，一旦发现立即上报告警。 支持的操作系统：Linux。 检测周期：实时检测。 × × × √ √ √ 进程注入 检测将恶意代码注入到正在运行的进程的行为，一旦发现立即告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × √ √ √ 动态库注入进程 检测通过劫持动态链接库中的函数，从而实现白加黑注入代码的行为，一旦发现立即告警上报 。 支持的操作系统：Linux。 检测周期：实时检测。 × × × √ √ √ 内存文件进程 检测通过memfd_create的系统调用，创建一个只存在于RAM中的匿名恶意文件，从而执行恶意文件的行为，一旦发现立即告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × √ √ √ VDSO劫持 检测利用特定漏洞（如dirtycow）进行攻击，通过将恶意代码覆盖VDSO的原有代码，在root进程调用其内部代码时，完成恶意代码执行并提权的行为；一旦发现立即告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × √ √ √ 利用Windows工具攻击 检测利用操作系统中自带的、通常是合法的工具和功能来执行恶意操作，绕过传统安全防御机制的攻击行为；一旦发现立即告警上报。 支持的操作系统：Windows。 检测周期：实时检测。 × × × √ √ √ 注册表恶意注入 检测通过在Windows注册表中插入恶意代码或脚本，使恶意软件能够在系统启动时自动执行，绕过常规文件检测机制的攻击行为；一旦发现立即告警上报。 支持的操作系统：Windows。 检测周期：实时检测。 × × × √ √ √

病毒查杀 病毒查杀功能支持检测服务器中的病毒文件，可帮助用户清理潜在的恶意威胁。 表15 病毒查杀功能介绍 服务功能 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 病毒查杀 病毒查杀功能使用特征病毒检测引擎，支持扫描服务器中的病毒文件，扫描文件类型覆盖可执行文件、压缩文件、脚本文件、文档、图片、音视频文件，用户可根据自身需要，自主对服务器执行“快速查杀”、“全盘查杀”、“自定义查杀”扫描任务，并及时处置检测到的病毒文件，增强业务系统的病毒防御能力。 支持的操作系统：Linux、Windows。 检测周期：手动检测。 × √（仅支持快速查杀） √ √ √ √

容器集群防护 容器集群防护功能支持检测镜像中存在的不合规基线、漏洞恶意文件，防止不安全的容器镜像部署到集群。 表18 容器集群防护功能介绍 服务功能 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 容器集群防护 支持在容器镜像启动时检测其中存在的不合规基线、漏洞和恶意文件，并可根据检测结果告警和阻断未授权或含高危安全风险的容器镜像运行。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √

应用进程控制 应用进程控制功能支持检测并告警恶意进程运行，帮助用户构建安全的应用进程运行环境。 表13 应用进程控制功能介绍 服务功能 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 应用进程控制 支持管控服务器中应用进程的运行，通过学习服务器运行的应用进程特征，将应用进程划分为可信进程、恶意进程和可疑进程，允许可疑、可信进程正常运行，对恶意进程运行进行告警，帮助用户构建安全的应用进程运行环境，避免服务器遭受不受信或恶意应用进程的破坏。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √

动态端口蜜罐 动态端口蜜罐功能利用真实端口作为诱饵端口诱导攻击者访问，在内网横向渗透场景下，可有效地检测到攻击者的扫描行为，识别失陷主机。 表16 动态端口蜜罐功能介绍 服务功能 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 动态端口蜜罐 动态端口蜜罐功能是一个攻击诱捕陷阱，利用真实端口作为诱饵端口诱导攻击者访问；在内网横向渗透场景下，可有效地检测到攻击者的扫描行为，识别失陷主机，延缓攻击者攻击真正目标，从而保护用户的真实资源。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √

勒索病毒防护 勒索病毒防护支持自定义勒索防护策略，帮助您识别检测已知勒索病毒攻击，支持通过静态、动态诱饵识别部分未知的勒索攻击。 表12 勒索病毒防护功能介绍 服务功能 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 勒索病毒防护 帮助您识别检测已知勒索病毒攻击，支持通过静态、动态诱饵识别部分未知的勒索攻击。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √

网页防篡改 网页防篡改实时检测并拦截篡改指定目录下文件的行为，并可快速获取备份的合法文件恢复被篡改的文件，从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。 表11 网页防篡改功能介绍 功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 静态网页防篡改 防止网站服务器中的静态网页文件被篡改。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × × √ × 动态网页防篡改 为Tomcat提供动态网页防篡改能力，防止网站数据库中动态网页内容被篡改。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × √ ×

应用防护 应用防护为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。 表10 应用防护功能介绍 功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 SQL注入 检测防御SQL注入（SQL Injection）攻击，检测web应用是否存在对应漏洞。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ OS命令注入 检测防御远程OS命令注入（OS Command Injection）攻击，同时检测web应用是否存在对应漏洞。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ XSS 检测防御存储型跨站脚本(Cross-Site Scripting，XSS)注入攻击。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ Log4j RCE漏洞检测 检测防御远程代码执行的控制攻击，并支持对攻击行为进行阻和拦截。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ 上传Webshell 检测防御上传危险文件的攻击或将已有文件改名为危险文件扩展名的攻击，同时检测web应用是否存在对应漏洞。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ 内存马注入 检测防御内存马注入攻击。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ XXE 检测防御XXE注入（XML External Entity Injection）攻击，检测web应用是否存在对应漏洞。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ 反序列化输入 检测使用了危险类的反序列化攻击。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ 文件目录遍历 获取访问文件的路径或目录，匹配是否在敏感目录或敏感文件下。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ Struts2 OGNL OGNL代码执行检测。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ JSP执行操作系统命令 检测可疑行为—通过JSP请求执行操作系统命令。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ JSP删除文件 检测可疑行为—通过JSP请求删除文件失败。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ 数据库连接异常 检测可疑异常—数据库连接抛出的认证和通讯异常。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ 0 day漏洞 检测执行命令的堆栈哈希是否在Web应用的白名单堆栈哈希表里。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ SecurityManager权限检测异常 检测可疑异常，即SecurityManager抛出的异常。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ JNDI注入 检测防御JNDI注入攻击，检测Web应用是否存在对应漏洞。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ 表达式(Expression)注入 检测防御表达式注入攻击，检测Web应用是否存在对应漏洞。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √

漏洞管理 漏洞管理支持检测主机中的Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应用漏洞和应急漏洞，帮助用户识别潜在风险。 表7 漏洞管理功能介绍 功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 Linux漏洞检测 通过与漏洞库进行比对，检测主机的Linux操作系统官方维护的软件（非绿色版、非自行编译安装版；例如：kernel、openssl、vim、glibc等）存在的漏洞。 支持的操作系统：Linux。 检测周期：自动扫描（默认每日自动扫描）、定时扫描（默认每周一次，基础版不支持）、手动扫描（基础版不支持）。 √ √ √ √ √ √ Windows漏洞检测 通过同步微软官方的补丁公告，检测主机的Windows操作系统存在的漏洞。 支持的操作系统：Windows。 检测周期：自动扫描（默认每日自动扫描）、定时扫描（默认每周一次，基础版不支持）、手动扫描（基础版不支持）。 √ √ √ √ √ × Web-CMS漏洞检测 通过对主机中的Web目录和文件进行检测，识别Web-CMS漏洞，提升Web服务安全性。 支持的操作系统：Linux、Windows。 检测周期：自动扫描（默认每日自动扫描）、定时扫描（默认每周一次）、手动扫描。 × √ √ √ √ √ 应用漏洞检测 检测主机中开源的jar包、elf文件等的漏洞，比如log4j、spring-core的漏洞。 支持的操作系统：Linux、Windows。 检测周期：自动扫描（默认每周一自动扫描）、定时扫描（默认每周一次）、手动扫描。 × × √ √ √ √ 应急漏洞检测 通过软件版本比对和POC验证的方式，检测主机上运行的软件和依赖包是否存在漏洞，将存在风险的漏洞上报至控制台，并给您提供漏洞告警。 支持的操作系统：Linux、Windows。 检测周期：定时扫描（需要手动配置开启）、手动扫描。 × √ √ √ √ √

容器镜像安全 容器镜像安全支持扫描CI/CD镜像、仓库镜像、本地镜像安全，发现镜像中的漏洞、恶意文件、不合规配置等风险并提供修复建议，帮助用户确保镜像在开发、部署和运行全生命周期中的安全性。 表9 容器镜像安全功能介绍 功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 容器镜像扫描增值服务 CI/CD镜像安全扫描 支持将镜像安全扫描能力集成到Jenkins Pipeline项目的CI/CD构建流水线中，实现镜像构建阶段的安全扫描，识别镜像中存在的系统漏洞、应用漏洞、异常系统配置、恶意文件、敏感文件等10+风险，让安全左移到DevOps阶段，帮助用户及早消除安全风险，防止将有风险的镜像部署到生产环境。 支持的操作系统：Linux。 检测周期：项目构建时触发镜像扫描。 × × × × × × √ 仓库镜像安全扫描 检测镜像是否存在系统漏洞、应用漏洞、恶意文件、配置风险、弱密码、敏感信息、软件合规等风险项，并提供修复建议，帮助用户识别出潜在的风险。 支持的操作系统：Linux。 检测周期：手动检测、定时扫描（需启用）。 × × × × × × √ 本地镜像安全扫描 检测镜像是否存在系统漏洞、应用漏洞、软件信息风险项，并提供修复建议，帮助用户识别出潜在的风险。 支持的操作系统：Linux。 检测周期：手动检测。 × × × × × √ ×

基线检查 基线检查支持扫描主机系统和关键软件含有风险的配置、弱口令、口令复杂度策略，支持的检测基线包含安全实践和等保合规基线，且可自定义选择检测的子基线项、修复漏洞风险。 表8 基线检查功能介绍 功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 口令复杂度策略检测 检测系统中的口令复杂度策略，给出修改建议，帮助用户提升口令安全性。 支持检测的操作系统：Linux。 检测周期：每日凌晨自动检测、手动检测。 √ √ √ √ √ √ 经典弱口令检测 检测系统账户口令是否属于常用的弱口令，针对弱口令提示用户修改。 支持检测的操作系统：Linux、Windows。 检测周期：每日凌晨自动检测、手动检测。 √ √ √ √ √ √ 配置检查 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 支持检测的操作系统：Linux、Windows。 检测周期：每日凌晨自动检测、手动检测。 × × √ √ √ √

容器资产 容器资产功能支持采集容器相关资产信息，包括集群、节点、容器、镜像以及容器指纹，其中容器指纹细分为账号、开放端口、进程、软件、自启动项、Web应用、Web服务、Web框架、Web站点、中间件和数据库等多个子类别。通过容器资产功能，用户可以全面盘点容器各类资产，从而有效的识别风险资产和安全隐患。 表6 容器资产功能介绍 功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 集群 统计并展示集群、工作负载、服务以及Pod的详细信息。 支持的操作系统：Linux。 检测周期：手动检测。 × × × × × √ 节点 统计并展示集群节点、非集群节点的详细信息。 支持的操作系统：Linux。 检测周期：手动检测。 × × × × × √ 容器 统计并展示容器实例的详细信息。 支持的操作系统：Linux。 检测周期：手动检测。 × × × × × √ 镜像 统计并展示本地镜像、仓库镜像、CI/CD镜像信息。 支持的操作系统：Linux。 检测周期：手动检测。 × × × × × √ 账号 检测的容器系统中的账号信息，帮助用户进行账户安全性管理。 支持的操作系统：Linux。 检测周期：每小时自动检测。 × × × × × √ 开放端口 检测容器系统中的开放的端口，帮助用户识别出其中的危险端口和未知端口。 支持的操作系统：Linux。 检测周期：每30秒自动检测。 × × × × × √ 进程 监测运行中的进程并进行收集及呈现，便于用户自主清点合法进程，发现异常进程。 支持的操作系统：Linux。 检测周期：每小时自动检测。 × × × × × √ 软件 监测并记录当前容器系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 支持的操作系统：Linux。 检测周期：每日自动检测。 × × × × × √ 自启动项 对容器系统中的自启动项进行检测，及时统计自启动项的变更情况。 支持的操作系统：Linux。 检测周期：每小时自动检测。 × × × × × √ Web应用 Web应用主要统计、展示推送发布web内容的软件详细信息，您可以查看所有软件的版本、路径、配置文件、关键进程等信息。 已支持采集的Web应用类型包括：PHPMailer、PHPMyadmin、DedeCMS、Wordpress、ThinkPHP、BigTree、JPress、Jenkins、ZABBIX、Discuz!、ThinkCMF。 支持的操作系统：Linux。 检测周期：1次/周（每周一凌晨04：10）。 × × × × × √ Web服务 采集并展示对外提供web内容访问的软件详细信息，您可查看所有软件的版本、路径、配置文件、关联进程等信息。 已支持采集的Web服务类型包括：Apache、Nginx、Tomcat、Weblogic、WebSphere、JBoss、Wildfly、Jetty。 支持的操作系统：Linux。 检测周期：1次/周（每周一凌晨04：10）。 × × × × × √ Web框架 采集并展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 已支持采集的Web框架类型包括： Java语言框架：Struts、struts2、spring、hibernate、webwork、quartz、velocity、turbine、freemarker、flexive、stripes、vaadin、vertx、wicket、zkoss、jackson、fastjson、shiro、MyBatis、Jersey、JFinal。 Python语言框架：Django、Flask、Tornado、web.py、web2py。 PHP语言框架：Webasyst、KYPHP、CodeIgniter、InitPHP、SpeedPHP、ThinkPHP、OneThink Go语言框架：Gin、Beego、Fasthttp、Iris、Echo。 支持的操作系统：Linux。 检测周期：1次/周（每周一凌晨04：10）。 × × × × × √ Web站点 采集并展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、关键进程等信息。 已支持采集的Web站点包括：Apache、Nginx、Tomcat。 支持的操作系统：Linux。 检测周期：1次/周（每周一凌晨04：10）。 × × × × × √ 中间件 采集并展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 支持的操作系统：Linux。 检测周期：1次/周（每周一凌晨04：10）。 × × × × × √ 数据库 采集并展示提供数据存储的软件详细信息，您可以查看所有软件的版本、路径、配置文件、关键进程等信息。 已支持采集的数据库类型包括：MySQL、Redis、Oracle、MongoDB、Memcache、PostgresQL、HBase、DB2、Sybase、达梦数据库管理系统、金仓数据库管理系统kingbaseES。 支持的操作系统：Linux。 检测周期：1次/周（每周一凌晨04：10）。 × × × × × √

主机指纹 主机指纹功能支持采集主机中的端口、进程、Web应用、Web服务、Web框架和自启动项等资产信息，用户通过主机指纹功能集中清点主机中的各类资产信息，及时发现风险资产。 表5 主机指纹功能介绍 功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 账号 检测当前系统的账号信息，帮助用户进行账户安全性管理。 支持的操作系统：Linux、Windows。 检测周期：每小时自动检测。 × × √ √ √ √ 开放端口 检测当前系统开放的端口，帮助用户识别出其中的危险端口和未知端口。 支持的操作系统：Linux、Windows。 检测周期：每30秒自动检测。 × × √ √ √ √ 进程 监测运行中的进程并进行收集及呈现，便于用户自主清点合法进程，发现异常进程。 支持的操作系统：Linux、Windows。 检测周期：每小时自动检测。 × × √ √ √ √ 软件 监测并记录当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 支持的操作系统：Linux、Windows。 检测周期：每日自动检测。 × × √ √ √ √ 自启动项 对系统中的自启动项进行检测，及时统计自启动项的变更情况。 支持的操作系统：Linux、Windows。 检测周期：每小时自动检测。 × × √ √ √ √ Web应用 Web应用主要统计、展示推送发布web内容的软件详细信息，您可以查看所有软件的版本、路径、配置文件、关键进程等信息。 已支持采集的Web应用类型包括： Linux：PHPMailer、PHPMyadmin、DedeCMS、Wordpress、ThinkPHP、BigTree、JPress、Jenkins、ZABBIX、Discuz!、ThinkCMF。 Windows：畅捷通 支持的操作系统：Linux、Windows。 检测周期：1次/周（每周一凌晨04：10）。 × × √ √ √ √ Web服务 统计、展示对外提供web内容访问的软件详细信息，您可查看所有软件的版本、路径、配置文件、关联进程等信息。 已支持采集的Web服务类型包括： Linux：Apache、Nginx、Tomcat、Weblogic、WebSphere、JBoss、Wildfly、Jetty。 Windows：Tomcat 支持的操作系统：Linux、Windows。 检测周期：1次/周（每周一凌晨04：10）。 × × √ √ √ √ Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 已支持采集的Web框架类型包括以下几种，均基于Linux系统： Java语言框架：Struts、struts2、spring、hibernate、webwork、quartz、velocity、turbine、freemarker、flexive、stripes、vaadin、vertx、wicket、zkoss、jackson、fastjson、shiro、MyBatis、Jersey、JFinal。 Python语言框架：Django、Flask、Tornado、web.py、web2py。 PHP语言框架：Webasyst、KYPHP、CodeIgniter、InitPHP、SpeedPHP、ThinkPHP、OneThink Go语言框架：Gin、Beego、Fasthttp、Iris、Echo。 支持的操作系统：Linux。 检测周期：1次/周（每周一凌晨04：10）。 × × √ √ √ √ Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、关键进程等信息。 已支持采集的Web站点包括：基于Linux系统的Apache、Nginx、Tomcat。 支持的操作系统：Linux。 检测周期：1次/周（每周一凌晨04：10）。 × × √ √ √ √ 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 支持的操作系统：Linux、Windows。 检测周期：1次/周（每周一凌晨04：10）。 × × √ √ √ √ 数据库 统计、展示提供数据存储的软件详细信息，您可以查看所有软件的版本、路径、配置文件、关键进程等信息。 已支持采集的数据库类型包括： Linux：MySQL、Redis、Oracle、MongoDB、Memcache、PostgresQL、HBase、DB2、Sybase、达梦数据库管理系统、金仓数据库管理系统kingbaseES。 Windows：MySQL 支持的操作系统：Linux、Windows（仅支持MySQL）。 检测周期：1次/周（每周一凌晨04：10）。 × × √ √ √ √ 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 支持的操作系统：Linux。 检测周期：1次/周（每周一凌晨04：10）。 × × √ √ √ √

名词解释 基本概念、云服务简介、专有名词解释 弹性云服务器 E CS ：是一种可随时自助获取、可弹性伸缩的云服务器，可帮助您打造可靠、安全、灵活、高效的应用环境，确保服务持久稳定运行，提升运维效率。 华为云Flexus 云服务器X实例：Flexus云服务器X实例是新一代面向中小企业和开发者打造的柔性算力云服务器。Flexus云服务器X实例功能接近ECS， 同时还具备独有特点，例如Flexus云服务器X实例具有更灵活的vCPU内存配比、支持热变配不中断业务变更规格、支持性能模式等。详细信息参考华为云Flexus云服务。 弹性公网IP EIP：提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与Flexus云服务器X实例、弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。 云数据库 RDS for MySQL：云数据库 RDS for MySQL拥有即开即用、稳定可靠、安全运行、弹性伸缩、轻松管理、经济实用等特点，让您更加专注业务发展。

安全组规则修改（可选） 该解决方案使用22端口用来远程登录云服务器，默认对该方案创建的VPC子网网段放开，请参考修改安全组规则，配置IP地址白名单，以便能正常访问服务。 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

CloudExplorer Lite功能界面 单击顶部导航栏中的首页，进入主页功能界面。 图10 首页 单击左侧导航栏，左侧固定模块菜单，包含管理中心、云主机服务、云账单、运营分析、安全合规五个服务模块，单击图标便可切换到相应的模块中。 图11 功能界面 管理中心是云管平台的核心能力之一，CloudExplorer Lite 为用户提供多租户、多角色的管理模型；采用模块化设计，即插即用，提供模块管理。企业可以轻松部署不同模块，从而扩大对云基础设施的管理范围； 图12 管理中心 云主机管理提供统一的云主机生命周期管理操作和监控界面，基于既有的用户管理体系，用户可创建、可操作的资源都具有租户隔离属性。 图13 云主机管理 云账单提供统一的费用管理、费用分摊、自定义多维度账单功能，可作为企业的云资源成本分析中心，能够帮助企业用户有效降低云上资源的成本管理难度。 图14 云账单 运营分析能够对企业现有的云资源从分布、容量、使用情况等多个维度进行分析，并提供资源优化建议。 图15 运营分析 安全合规支持一键扫描多个云平台的多种云资源，可灵活定义规则。 图16 安全合规 更加详细的使用请参考：https://fit2cloud.com/cloudexplorer-lite/docs/user_manual/homepage/

创建rf_admin_trust委托（可选） 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“ 统一身份认证 ”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，输入“ RFS ”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果，单击“下一步”。 图5 选择策略 选择“所有资源”，并单击“下一步“完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

资源和成本规划 该解决方案主要部署如下资源，不同产品的花费仅供参考，实际以收费账单为准，具体请参考华为云官网价格： 表1 资源和成本规格 （包年包月） 华为云服务 配置示例 每月预估花费 Flexus云服务器X实例 区域：华北-北京四 计费模式：包年包月 规格：x1.8u.16g | 8vCPUs | 16GiB 镜像：CentOS 7.6 64bit 系统盘：高IO | 200GB 购买量：1 性能模式：关闭 502元 弹性公网IP EIP 区域：华北-北京四 计费模式：包年包月 线路：动态BGP 公网带宽：按带宽计费 带宽大小：5Mbit/s 购买量：1 115元 云数据库 RDS for MySQL 区域：华北-北京四 数据库引擎：MySQL 实例类型：单机 性能规格：通用型 | 2 vCPUs | 4 GB 存储空间：100GB 购买时长：1个月 购买量：1 256元 合计 873元 表2 资源和成本规格（按需计费） 华为云服务 配置示例 每月预估花费 Flexus云服务器X实例 按需计费：1.811元/小时 区域：华北-北京四 计费模式：按需计费 规格：x1.8u.16g | 8vCPUs | 16GiB 镜像：CentOS 7.6 64bit 系统盘：高IO | 200GB 购买量：1 性能模式：关闭 1.00* 24 * 30=718.56元 弹性公网IP EIP 按需计费：0.335元/5M/小时 区域：华北-北京四 计费模式：按带宽计费 线路：动态BGP 公网带宽：按带宽计费 购买时长：1个月 购买量：1 0.335*24*30=241.2元 云数据库 RDS for MySQL 按需计费：0.52元/小时 区域：华北-北京四 数据库引擎：MySQL 实例类型：单机 性能规格：通用型 | 2 vCPUs | 4 GB 存储空间：100GB 购买时长：1个月 购买量：1 0.52*24*30=374.4元 合计 1334.16元

名词解释 基本概念、云服务简介、专有名词解释 弹性云服务器 ECS：是一种可随时自助获取、可弹性伸缩的云服务器，可帮助您打造可靠、安全、灵活、高效的应用环境，确保服务持久稳定运行，提升运维效率。 云数据 GeminiDB：采用云原生分布式架构，完全兼容Redis协议，支持丰富数据类型。 提供数据实时持久化、多副本强一致保障，以及实时监控、弹性伸缩、自动备份等一站式服务。 文档数据库服务 DDS：一种兼容MongoDB 3.4/4.0版本的文档数据库服务。目前支持分片集群（Sharding）、副本集（ReplicaSet）和单节点（Single）三种部署架构。 云数据库 RDS for MySQL：是一种基于 云计算平台 的即开即用、稳定可靠、弹性伸缩、便捷管理的在线云数据库服务。 安全组：安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。

安全组规则修改（可选） 该解决方案使用22端口用来远程登录弹性云服务器 ECS，默认对该方案创建的VPC子网网段放开，请参考修改安全组规则，配置IP地址白名单，以便能正常访问服务。 该解决方案使用3306端口用来访问云数据库 RDS for MySQL ，默认对该方案创建的VPC子网网段放开，请参考修改安全组规则，配置IP地址白名单，以便能正常访问服务。 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

创建rf_admin_trust委托（可选） 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，输入“RFS”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果，单击“下一步”。 图5 选择策略 选择“所有资源”，并单击“下一步“完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

资源和成本规划 该解决方案主要部署如下资源，不同产品的花费仅供参考，实际以收费账单为准，具体请参考华为云官网价格： 表1 资源和成本规划（按需计费） 华为云服务 配置示例 每月预估花费 弹性云服务器 ECS 按需计费：2.553元/小时 区域：华北-北京四 计费模式：按需计费 规格：X86计算 | ECS | c7.2xlarge.2 | 8vCPUs | 16GiB 镜像：CentOS 7.6 64bit 系统盘：超高IO | 100GB 数据盘：超高IO | 500GB 购买量：1 2.553*24*30=1838.16元 云数据库 GeminiDB 按需计费：5.39元/小时 区域：华北-北京四 计费模式：按需计费 节点规格：geminidb.redis.large.4 | 2 vCPUs 节点数：3 存储容量：40GB 5.39 * 24 * 30 = 3880.8元 文档数据库服务 DDS 按需计费：3.6元/小时 区域：华北-北京四 实例类型：副本集 节点数：三节点 存储类型：超高IO 节点规格：通用型 性能规格：dds.mongodb.s6.xlarge.2.repset | 4 vCPUs | 8GB 存储空间：300GB 3.6* 24 * 30 = 2592 元 云数据库 RDS for MySQL 按需计费：2.82元/小时 区域：华北-北京四 计费模式：按需计费 数据库引擎：MySQL 数据库版本：8.0 实例类型：主备 存储类型：SSD云盘 性能规格：独享型 4 vCPUs | 8 GB 存储空间：300GB 购买数量：1 2.82* 24 * 30 = 2030.4元 合计 - 10341.36元

AOM 与 APM 有何区别？ AOM与APM同属于立体化运维解决方案体系，共享采集器。AOM提供了应用级故障分析、告警管理、日志采集与分析等能力，能够有效预防问题的产生及快速帮助应用运维人员定位故障，降低运维成本。APM提供了用户体验管理、分布式性能追踪、事务分析等能力，可以帮助运维人员快速解决应用在分布式架构下的问题定位和性能瓶颈等难题，为用户体验保驾护航。 AOM提供基础运维能力，APM是对AOM运维能力的补充。AOM界面集成了APM，可通过AOM界面统一运维；APM也有独立的控制台入口，可以单独使用APM。 图1 立体化运维解决方案 父主题： 常见咨询问题

Windows环境下安装icagent失败，并提示SERVICE STOP 现象：在Windows环境下安装icagent失败，提示SERVICE STOP。任务管理器中不存在icagent任务。系统服务列表中不存在icagent服务。命令行下执行sc query icagent提示未找到。 原因：一般为360安全卫士等杀毒软件拦截了icagent服务注册。 解决方法： 检查360安全卫士等杀毒软件是否正在运行。 关闭360安全卫士后再进行icagent安装。 Windows下icagent采集文件类型需要手动配置采集路径*.log、 *.trace、 *.out等文本文件，不支持二进制文件、不支持Windows系统日志。

Agent管理页面中用户自定义接入主机的IP是如何获取的？ AOM会默认遍历虚机上的所有网卡设备，按照以太网卡、Bond网卡、无线网卡等优先级顺序获取IP，如果获取到的不是期望的地址，可以在启动ICAgent时设置进程的环境变量IC_NET_CARD=网卡名，获取指定网卡IP。 举例： 在/etc/profile中增加export IC_NET_CARD=eth2。 执行source /etc/profile使环境变量在当前shell生效。 进入/opt/oss/servicemgr/ICAgent/bin/manual/目录，停止并重新启动icagent。 bash mstop.sh bash mstart.sh 查看该环境变量是否正确传递到应用中。 strings /proc/{icagentprocid}/envrion | grep IC_NET_CARD 如果ICAgent显示的IP地址是127.0.0.1，则可能是ICAgent启动时未获取到本机的IP导致，例如VM掉电重启时会出现。此时您需要重启ICAgent即可。 若您的主机IP发生变更（例如续租时分配了新的IP），此时Agent管理页面中显示的可能还是原来的IP，需要您重启ICAgent即可。

非华为云主机安装ICAgent后为何无数据上报？ 当您在非华为云主机上安装了ICAgent后，ICAgent上报数据需要访问如下端口，如果本地有防火墙配置，请打开如下端口的出方向否则对应数据无法上报，对应功能不可用。 8149： 上报指标数据使用 8102： 上报日志数据使用 8923： 上报APM(调用链、JVM)指标使用 30200： ICAgent的控制端口 30201： ICAgent的控制端口

采集器ICAgent对资源的占用大吗？例如内存、CPU。 AOM对基础指标的采集，包含VM、容器、进程的CPU、内存等基础指标。 资源消耗：对此类指标采集时，采集器ICAgent对资源的消耗和容器、进程个数相关。 正常业务量情况下，采集器ICAgent消耗内存约30M、单核CPU约3%。 使用限制：单节点上运行容器个数小于1000个。 保护机制： 采集器ICAgent对CPU资源的消耗最大不超过2核。 当采集器ICAgent对内存的消耗超过min{4G，节点物理内存/2}时，AOM将启动采集器重启保护。 min{4G，节点物理内存/2}表示取“节点物理内存的一半”和“4G”中的较小值。 日志文件的采集，包含了syslog、容器标准输出、用户配置路径、容器挂载等多种方式的日志文件采集。 资源消耗：此类数据采集时，采集器ICAgent对资源的消耗和文件日志量、文件个数及网络带宽、backend服务处理能力等多种因素强相关。