华为云用户手册

工作原理 O CS P（Online Certificate Status Protocol，在线证书状态协议），是由数字证书颁发机构CA（Certificate Authority）提供，客户端通过OCSP可实时验证证书的合法性和有效性。 未开启OCSP Stapling时，网站的每个访问者都会进行OCSP查询，这会影响浏览器打开页面的速度，同时，高并发的请求会给CA的服务器带来很大的压力。 开启OCSP Stapling后，CDN可以预先查询并缓存在线证书验证结果，用户只需验证该响应的有效性而不用再向数字证书认证机构（CA）发送请求，提高TLS握手效率，减少用户验证时间。

操作步骤 登录CDN控制台。 在左侧菜单栏中，选择“ 域名 管理”。 在域名列表中，单击需要修改的域名或域名所在行的“设置”，进入域名配置页面。 选择“高级配置”页签。 在请求限速配置模块，单击“编辑”。 单击页面“添加”按钮，即可编辑规则内容。 图1 请求限速配置 表1 参数说明 参数 说明 匹配类型 所有文件：所有文件均参与限速。 目录匹配：指定目录内的文件参与限速。 匹配内容 匹配类型为所有文件时不填。 匹配类型为目录匹配时，输入规则如下： 以“/”开头，例如：/test/folder。 不能以“/”结尾。 每条规则对应一个目录，不支持一条规则配置多个目录。 限速类型 支持按传送流量限速，即单个HTTP请求流量达到设定的值，开始限制访问速度，该请求之后的访问速度不超过设定的限速值。 限速条件 设置限速起始值，当传送流量达到限速条件设置的值后开始限速。 单位为Byte，最大值可设置为1GB，即：1,073,741,824Byte。 限速值 设置开始限速后的最大访问速度。 最大值可设置为100MBps。 限速时段 指明限速的时段，按照每天24小时设置限速时段，格式为：HHMM-HHMM（HH为时，MM为分，时区为UTC+8），多个时段限速时用“,”分隔，例如：0100-0200,2200-2300。默认值为0000-2400，代表限速对所有时段生效。 最多可设置10个限速时段。 优先级 限速规则的优先级，优先级设置具有唯一性，不支持多条规则设置同一优先级，且优先级不能输入为空。多条限速规则下，不同限速规则中的相同资源内容，CDN优先匹配优先级高的限速规则。 取值为1~100之间的整数，数值越大优先级越高。 配置相关参数，单击“保存”完成限速配置。

适用场景 状态码缓存时间功能主要适用于源站响应异常状态码的场景。当源站运行正常时，CDN回源请求资源后将按照设置的缓存规则将资源缓存到节点，再次访问相同资源时不会触发回源。当源站响应异常，且不希望所有请求都由源站响应，可以设置状态码缓存时间，减轻源站压力。 典型应用：图片abc.jpg已从源站删除，CDN节点无缓存，且持续有用户在访问该资源，那么所有访问都将会回源，由源站响应4xx状态码，增加源站压力。此时如果在CDN配置4xx状态码缓存时间，用户再次请求资源将直接由CDN节点响应4xx状态码，无需回源。

注意事项 如果加速域名的资源在CDN节点不缓存，即使设置了状态码缓存时间，也无法缓存客户端请求该资源时产生的状态码。 后台有特殊配置的域名暂不支持配置状态码缓存时间。 如果您域名的业务类型是全站加速，本功能仅对静态资源生效。 CDN默认缓存404、500、502、504状态码3s，其他状态码默认不缓存。 是否默认缓存404状态码依赖头域设置，如果带有X-HTTP-Method-Override、X-HTTP-Method、X-Method-Override头域，默认不缓存，反之则缓存3s。 如果域名的某个资源URL参数设置为“忽略参数”，当客户端请求返回的状态码（例如400）被缓存时，在缓存时间内所有该资源的请求均返回该状态码（400），请根据业务情况合理设置状态码缓存时间。 当前支持修改以下状态码的缓存时间： 4XX：400、401、403、404、405、407、414、416、451。 5XX：500、501、502、503、504、509、514。 3XX：301、302。

背景信息 远程鉴权功能类似URL鉴权，区别如下： URL鉴权：鉴权由CDN节点完成。 远程鉴权：CDN节点转发用户请求到您指定的鉴权服务器，由鉴权服务器完成鉴权功能。 远程鉴权用户请求流程如下： 图1 远程鉴权流程 表1 步骤说明 步骤 说明 ① 用户携带鉴权参数访问CDN节点。 ② CDN将用户请求转发至远程鉴权服务器。 ③ 远程鉴权服务器完成鉴权操作，给CDN节点返回响应状态码。 ④ CDN节点根据接收到的状态码判断是否给用户返回所请求的资源。

配置示例 域名example.com开启了远程鉴权，配置请见图3。 客户端原始请求URL：https://example.com/folder01/test.txt?key=***，原始请求中携带Header：test=123。 CDN转发给远程鉴权服务器的URL为：GET https://192.168.9.1/remoteauth?key=***，CDN转发给远程鉴权服务器的请求包含header：test=123。 可能的鉴权结果： 结果1：鉴权成功，CDN节点与用户开始正常的缓存数据访问交互。 结果2：鉴权失败，CDN节点返回403状态码给用户。 结果3：鉴权超时，CDN节点执行鉴权超时动作，放行用户请求。 图3 远程鉴权

清理托管证书 您也可以在页面对托管证书进行删除操作。 注意事项 清理托管证书，该托管证书将从服务器端删除，不会泄露您的相关隐私。 已关联加速域名的托管证书不能清理，请先关闭HTTPS安全配置。 如果您需要再次使用托管证书，请从SSL证书管理中重新推送至CDN。 操作步骤 单击“清理托管证书”。 在弹出页面选择您需要清理的证书，单击“确定”，完成托管证书清理。 如果您需要再次使用托管证书，请从SSL证书管理中重新推送至CDN

场景示例 如果某加速域名被禁用的原因仅为域名备案过期，单击“重新审核”后有如下两种情况： 域名已重新备案，系统弹出解禁成功提示信息，域名解禁成功。 域名备案未恢复，系统弹出该加速域名尚未备案提示信息。您需要到工信部为该域名恢复备案后重试。 如果某加速域名被禁用的原因不只是备案过期，单击“重新审核”后系统弹出“该域名被禁用原因不是备案过期，无法通过重新审核来尝试解禁”提示信息，您需要重新检查并整改域名内容，整改完成后提交工单或联系客服咨询处理。

预设策略列表 当您在配置审计控制台添加合规规则时，可以直接选用系统内置的预设合规策略。 当前配置审计服务支持的预设策略如下表所示。 表1 配置审计 支持的预设策略 云服务 预设策略 触发方式 评估资源 公共可用预设策略 资源名称满足正则表达式 配置变更 全部资源 资源具有所有指定的标签键 配置变更 支持标签的云服务和资源类型 资源存在任一指定的标签 配置变更 支持标签的云服务和资源类型 资源具有指定前后缀的标签键 配置变更 支持标签的云服务和资源类型 资源标签非空 配置变更 支持标签的云服务和资源类型 资源具有指定的标签 配置变更 支持标签的云服务和资源类型 资源属于指定企业项目ID 配置变更 全部资源 资源在指定区域内 配置变更 全部资源 资源在指定类型内 配置变更 全部资源 不允许的资源类型 配置变更 全部资源 API网关 APIG APIG专享版实例配置安全认证类型 配置变更 apig.instances APIG专享版实例配置访问日志 配置变更 apig.instances APIG专享版实例域名均关联SSL证书 配置变更 apig.instances 部署 CodeArts Deploy CodeArts项目下的主机集群为可用状态 配置变更 codeartsdeploy.host-cluster CodeArts编译构建下的项目未设置参数加密 配置变更 codeartsbuild.CloudBuildServer MapReduce服务 MRS MRS集群属于指定安全组 配置变更 mrs.mrs MRS集群属于指定VPC 配置变更 mrs.mrs MRS集群开启kerberos认证 配置变更 mrs.mrs MRS集群使用多AZ部署 配置变更 mrs.mrs MRS集群未绑定弹性公网IP 配置变更 mrs.mrs MRS集群开启KMS加密 配置变更 mrs.mrs NAT网关 NAT NAT私网网关绑定指定VPC资源 配置变更 nat.privateNatGateways VPC终端节点 VPCEP 创建了指定服务名的终端节点 周期触发 account Web应用防火墙 WAF WAF防护域名配置防护策略 配置变更 waf.instance WAF防护策略配置防护规则 配置变更 waf.policy 启用WAF实例域名防护 周期触发 account 启用WAF防护策略地理位置访问控制规则 周期触发 account WAF实例启用拦截模式防护策略 配置变更 waf.instance 弹性负载均衡 ELB ELB资源不具有弹性公网IP 配置变更 elb.loadbalancers ELB监听器配置指定预定义安全策略 配置变更 elb.loadbalancers ELB监听器配置HTTPS监听协议 配置变更 elb.loadbalancers ELB后端服务器权重检查 配置变更 elb.members 监听器资源HTTPS重定向检查 配置变更 elb.listeners ELB资源使用多AZ部署 配置变更 elb.loadbalancers ELB负载均衡 器配置访问日志 配置变更 elb.loadbalancers 弹性公网IP EIP EIP带宽限制 配置变更 vpc.publicips 弹性公网IP未进行任何绑定 配置变更 vpc.publicips EIP在指定天数内绑定到资源实例 周期触发 vpc.publicips 弹性伸缩 AS 弹性伸缩组均衡扩容 配置变更 as.scalingGroups 弹性伸缩组使用弹性负载均衡健康检查 配置变更 as.scalingGroups 弹性伸缩组启用多AZ部署 配置变更 as.scalingGroups 弹性伸缩组未配置IPv6带宽 配置变更 as.scalingGroups 弹性伸缩组VPC检查 配置变更 as.scalingGroups 高性能弹性文件服务 SFS Turbo 高性能弹性文件服务通过KMS进行加密 配置变更 sfsturbo.shares SFS Turbo资源在备份存储库中 配置变更 sfsturbo.shares SFS Turbo资源的备份时间检查 周期触发 sfsturbo.shares 弹性云服务器 ECS ECS资源规格在指定的范围 配置变更 ecs.cloudservers ECS实例的镜像ID在指定的范围 配置变更 ecs.cloudservers ECS的镜像在指定Tag的IMS的范围内 配置变更 ecs.cloudservers 绑定指定标签的ECS关联在指定安全组ID列表内 配置变更 ecs.cloudservers ECS资源属于指定虚拟私有云ID 配置变更 ecs.cloudservers ECS资源配置密钥对 配置变更 ecs.cloudservers ECS资源不能公网访问 配置变更 ecs.cloudservers 检查ECS资源是否具有多个弹性公网IP 配置变更 ecs.cloudservers 关机状态的ECS未进行任意操作的时间检查 周期触发 ecs.cloudservers ECS资源附加 IAM 委托 配置变更 ecs.cloudservers ECS实例的镜像名称在指定的范围 配置变更 ecs.cloudservers ECS资源在备份存储库中 配置变更 ecs.cloudservers ECS云服务器 的备份时间检查 周期触发 ecs.cloudservers ECS资源绑定服务主机代理防护 配置变更 ecs.cloudservers 分布式缓存服务 DCS DCS Memcached资源支持SSL 配置变更 dcs.memcached DCS Memcached资源属于指定虚拟私有云ID 配置变更 dcs.memcached DCS Memcached资源不存在弹性公网IP 配置变更 dcs.memcached DCS Memcached资源需要密码访问 配置变更 dcs.memcached DCS Redis实例支持SSL 配置变更 dcs.redis DCS Redis实例高可用 配置变更 dcs.redis DCS Redis实例属于指定虚拟私有云ID 配置变更 dcs.redis DCS Redis实例不存在弹性公网IP 配置变更 dcs.redis DCS Redis实例需要密码访问 配置变更 dcs.redis 函数工作流 FunctionGraph 函数工作流的函数并发数在指定范围内 配置变更 fgs.functions 函数工作流使用指定VPC 配置变更 fgs.functions 函数工作流的函数不允许访问公网 配置变更 fgs.functions 检查函数工作流参数设置 配置变更 fgs.functions 函数工作流的函数启用日志配置 配置变更 fgs.functions 内容分发网络 CDN CDN使用HTTPS证书 配置变更 cdn.domains CDN回源方式使用HTTPS 配置变更 cdn.domains CDN安全策略检查 配置变更 cdn.domains CDN使用自有证书 配置变更 cdn.domains 配置审计 Config 账号开启资源记录器 周期触发 account 数据仓库服务 DWS DWS集群启用KMS加密 配置变更 dws.clusters DWS集群启用日志转储 配置变更 dws.clusters DWS集群启用自动快照 配置变更 dws.clusters DWS集群启用SSL加密连接 配置变更 dws.clusters DWS集群未绑定弹性公网IP 配置变更 dws.clusters DWS集群运维时间窗检查 配置变更 dws.clusters DWS集群VPC检查 配置变更 dws.clusters 数据复制服务 DRS 数据复制服务实时灾备任务不使用公网网络 配置变更 drs.dataGuardJob 数据复制服务实时迁移任务不使用公网网络 配置变更 drs.migrationJob 数据复制服务实时同步任务不使用公网网络 配置变更 drs.synchronizationJob 数据加密 服务 DEW KMS密钥不处于“计划删除”状态 配置变更 kms.keys KMS密钥启用密钥轮换 配置变更 kms.keys 检查C SMS 凭据轮转成功 配置变更 csms.secrets CSMS凭据启动自动轮转 配置变更 csms.secrets CSMS凭据使用指定KMS 配置变更 csms.secrets CSMS凭据在指定时间内轮转 周期触发 csms.secrets 统一身份认证 服务 IAM IAM用户的AccessKey在指定时间内轮换 周期触发 iam.users IAM策略中不授权KMS的禁止的action 配置变更 iam.roles&iam.policies IAM用户组添加了IAM用户 配置变更 iam.groups IAM用户密码策略符合要求 配置变更 iam.users IAM策略黑名单检查 配置变更 iam.users、iam.groups、iam.agencies IAM策略不具备Admin权限 配置变更 iam.roles、iam.policies IAM自定义策略具备所有权限 配置变更 iam.roles、iam.policies 根用户存在可使用的访问密钥 周期触发 account IAM用户访问模式 配置变更 iam.users IAM用户创建时设置AccessKey 配置变更 iam.users IAM用户归属指定用户组 配置变更 iam.users IAM用户在指定时间内有登录行为 周期触发 iam.users IAM用户开启MFA 配置变更 iam.users IAM用户单访问密钥 配置变更 iam.users Console侧密码登录的IAM用户开启MFA认证 配置变更 iam.users 根用户开启MFA认证 周期触发 account IAM策略使用中 配置变更 iam.policies IAM权限使用中 配置变更 iam.roles IAM用户开启登录保护 周期触发 iam.users IAM委托绑定策略检查 配置变更 iam.agencies IAM用户admin权限检查 配置变更 iam.users IAM用户不直接附加策略或权限 配置变更 iam.users 文档数据库服务 DDS DDS实例开启SSL 配置变更 dds.instances DDS实例属于指定实例类型 配置变更 dds.instances DDS实例未绑定弹性公网IP 配置变更 dds.instances DDS实例端口检查 配置变更 dds.instances DDS实例数据库版本检查 配置变更 dds.instances DDS实例属于指定虚拟私有云ID 配置变更 dds.instances 消息通知 服务 SMN SMN主题配置访问日志 配置变更 smn.topic 虚拟私有云 VPC 未与子网关联的网络ACL 配置变更 vpc.firewallGroups 默认安全组关闭出、入方向流量 配置变更 vpc.securityGroups VPC启用流日志 配置变更 vpc.vpcs 安全组端口检查 配置变更 vpc.securityGroups 安全组入站流量限制指定端口 配置变更 vpc.securityGroups 安全组入站流量限制SSH端口 配置变更 vpc.securityGroups 安全组非白名单端口检查 配置变更 vpc.securityGroups 安全组连接到弹性网络接口 配置变更 vpc.securityGroups 虚拟专用网络 VPN VPN连接状态为“正常” 配置变更 vpnaas.vpnConnections、vpnaas.ipsec-site-connections 云监控服务 CES CES启用告警操作 配置变更 ces.alarms CES配置监控KMS禁用或计划删除密钥的事件监控告警 周期触发 account CES配置监控OBS桶策略变更的事件监控告警 周期触发 account 指定的资源类型绑定指定指标CES告警 周期触发 account 检查特定指标的CES告警进行特定配置 配置变更 ces.alarms CES配置监控VPC变更的事件监控告警 周期触发 account 云容器引擎 CCE CCE集群版本为处于维护的版本 配置变更 cce.clusters CCE集群运行的非受支持的最旧版本 配置变更 cce.clusters CCE集群资源不具有弹性公网IP 配置变更 cce.clusters CCE集群规格在指定的范围 配置变更 cce.clusters CCE集群VPC检查 配置变更 cce.clusters 云审计 服务 CTS CTS追踪器通过KMS进行加密 配置变更 cts.trackers CTS追踪器启用事件分析 配置变更 cts.trackers CTS追踪器追踪指定的OBS桶 周期触发 account CTS追踪器打开事件文件校验 配置变更 cts.trackers 创建并启用CTS追踪器 周期触发 account 在指定区域创建并启用CTS追踪器 周期触发 account CTS追踪器符合安全最佳实践 周期触发 account 云数据库 RDS RDS实例开启备份 配置变更 rds.instances RDS实例开启错误日志 配置变更 rds.instances RDS实例开启慢日志 配置变更 rds.instances RDS实例支持多可用区 配置变更 rds.instances RDS实例不具有弹性公网IP 配置变更 rds.instances RDS实例开启存储加密 配置变更 rds.instances RDS实例属于指定虚拟私有云ID 配置变更 rds.instances RDS实例配备日志 配置变更 rds.instances RDS实例规格在指定的范围 配置变更 rds.instances RDS实例启用SSL加密通讯 配置变更 rds.instances RDS实例端口检查 配置变更 rds.instances RDS实例数据库引擎版本检查 配置变更 rds.instances RDS实例启用审计日志 配置变更 rds.instances 云数据库 GaussDB GaussDB资源属于指定虚拟私有云ID 配置变更 gaussdb.instance GaussDB实例开启审计日志 配置变更 gaussdb.instance GaussDB实例开启自动备份 配置变更 gaussdb.instance GaussDB实例开启错误日志 配置变更 gaussdb.instance GaussDB实例开启慢日志 配置变更 gaussdb.instance GaussDB实例EIP检查 配置变更 gaussdb.instance GaussDB实例跨AZ部署检查 配置变更 gaussdb.instance GaussDB实例开启传输数据加密 配置变更 gaussdb.instance 云数据库 TaurusDB TaurusDB实例开启审计日志 配置变更 gaussdbformysql.instance TaurusDB实例开启备份 配置变更 gaussdbformysql.instance TaurusDB实例开启错误日志 配置变更 gaussdbformysql.instance TaurusDB实例开启慢日志 配置变更 gaussdbformysql.instance TaurusDB实例开启传输数据加密 配置变更 gaussdbformysql.instance TaurusDB实例跨AZ部署检查 配置变更 gaussdbformysql.instance TaurusDB实例EIP检查 配置变更 gaussdbformysql.instance TaurusDB实例VPC检查 配置变更 gaussdbformysql.instance 云数据库 GeminiDB GeminiDB部署在单个可用区 配置变更 nosql.instances GeminiDB开启备份 配置变更 nosql.instances GeminiDB使用磁盘加密 配置变更 nosql.instances GeminiDB开启错误日志 配置变更 nosql.instances GeminiDB开启慢查询日志 配置变更 nosql.instances 云搜索服务 CSS CSS集群启用安全模式 配置变更 css.clusters CSS集群启用快照 配置变更 css.clusters CSS集群开启磁盘加密 配置变更 css.clusters CSS集群启用HTTPS 配置变更 css.clusters CSS集群绑定指定VPC资源 配置变更 css.clusters CSS集群具备多AZ容灾 配置变更 css.clusters CSS集群具备多实例容灾 配置变更 css.clusters CSS集群不能公网访问 配置变更 css.clusters CSS集群支持安全模式 配置变更 css.clusters CSS集群未开启访问控制开关 配置变更 css.clusters CSS集群Kibana未开启访问控制开关 配置变更 css.clusters CSS集群开启慢日志 配置变更 css.clusters CSS集群版本检查 配置变更 css.clusters 云硬盘 EVS 云硬盘的类型在指定的范围内 配置变更 evs.volumes 云硬盘创建后在指定天数内绑定资源实例 周期触发 evs.volumes 云硬盘闲置检测 配置变更 evs.volumes 已挂载的云硬盘开启加密 配置变更 evs.volumes 云硬盘开启加密 配置变更 evs.volumes EVS资源在备份存储库保护中 配置变更 evs.volumes EVS资源的备份时间检查 周期触发 evs.volumes 云证书管理服务 CCM 检查私有CA是否过期 周期触发 pca.ca 检查私有证书是否过期 周期触发 pca.cert 检查私有根CA是否停用 周期触发 pca.ca 私有证书管理服务算法检查 配置变更 pca.ca、pca.cert 分布式消息服务Kafka版 DMS Kafka队列打开内网SSL加密访问 配置变更 dms.kafka DMS Kafka队列打开公网SSL加密访问 配置变更 dms.kafka DMS Kafka队列开启公网访问 配置变更 dms.kafka 分布式消息服务RabbitMQ版 DMS RabbitMq队列打开SSL加密访问 配置变更 dms.rabbitmqs DMS RabbitMQ实例开启公网访问 配置变更 dms.rabbitmqs 分布式消息服务RocketMQ版 DMS RocketMQ实例打开SSL加密访问 配置变更 dms.reliabilitys DMS RocketMQ实例开启公网访问 配置变更 dms.reliabilitys 组织 Organizations 账号加入组织 周期触发 account 云防火墙 CFW CFW防火墙配置防护策略 配置变更 cfw.cfw_instance 云备份 CBR CBR备份被加密 配置变更 cbr.backup CBR备份策略执行频率检查 配置变更 cbr.policy CBR存储库最低保留天数 配置变更 cbr.vault CBR备份存储库启用跨区域复制策略 配置变更 cbr.vault 对象存储服务 OBS OBS桶策略中不授权禁止的Action 配置变更 obs.buckets OBS桶策略中授权检查 配置变更 obs.buckets OBS桶策略授权约束 配置变更 obs.buckets OBS桶禁止公开读 配置变更 obs.buckets OBS桶禁止公开写 配置变更 obs.buckets OBS桶策略授权行为使用SSL加密 配置变更 obs.buckets OBS桶启用日志记录 配置变更 obs.buckets OBS桶启用多版本控制 配置变更 obs.buckets OBS桶不使用ACL授权 配置变更 obs.buckets OBS桶启用跨区域复制 配置变更 obs.buckets OBS桶策略服务端加密检查 配置变更 obs.buckets OBS桶启用生命周期规则 配置变更 obs.buckets OBS桶启用WORM保留策略 配置变更 obs.buckets OBS桶使用kms加密 配置变更 obs.buckets OBS桶存储类型检查 配置变更 obs.buckets OBS桶配置桶策略 配置变更 obs.buckets 镜像服务 IMS 私有镜像开启加密 配置变更 ims.images 裸金属服务器 BMS BMS资源使用密钥对登录 配置变更 bms.servers 图引擎服务 GES GES图通过KMS加密 配置变更 ges.graphs GES图开启LTS日志 配置变更 ges.graphs GES图支持跨AZ高可用 配置变更 ges.graphs IAM身份中心 检查IdP证书是否过期 周期触发 identitycenter.idp 检查SCIM令牌是否过期 周期触发 identitycenter.scim 父主题： 系统内置预设策略

操作流程 操作步骤 说明 准备工作 注册华为账号 、开通华为云，为账户充值、赋予CFW权限。 步骤一：购买标准版云防火墙 购买CFW，选择防护的区域、版本规格（本文以标准版为例）等信息。 步骤二：开启EIP的防护 在CFW上对需要防护的EIP开启防护，使流量经过防火墙。 步骤三：将入侵防御模式设置为观察模式 “观察模式”下，防火墙检测到攻击事件时记录到“攻击事件日志”中，不做拦截，避免出现误拦截造成流量中断。 步骤四：定期通过攻击事件日志查看是否存在误拦截可能 查看攻击事件日志，排查是否有被误判的正常流量，记录对应的“规则ID”。 步骤五：调整拦截的IPS规则并将入侵防御模式设置为拦截模式 调整误判规则的防护动作，将入侵防御模式修改至拦截模式（本文以“拦截模式-中等”为例）。 步骤六：通过攻击事件日志查看防护效果 查看攻击事件日志，确认正常流量是否被放行。

准备工作 在购买云防火墙之前，请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证，请忽略此步骤。 仅在购买或使用中国大陆云服务区的资源时，需要实名认证。 购买包周期资源时，请保证账户有足够的资金，防止购买云防火墙失败。具体操作请参见账户充值。 请确保已为账号赋予相关CFW权限。具体操作请参见创建用户组并授权使用CFW。 表1 CFW系统角色 角色名称 描述 类别 依赖关系 CFW FullAccess 云防火墙服务的所有权限。 系统策略 无 CFW ReadOnlyAccess 云防火墙服务的只读权限。 系统策略 无

步骤四：添加防护规则——放行访问指定EIP的入方向流量 在“访问策略管理”页面的“防护规则”页签中，单击“添加”，在弹出的“添加防护规则”中，填写以下参数。 图2 放行指定IP 参数 示例 参数说明 方向 外-内（表示入方向流量） 选择流量的方向： 外-内：互联网访问云上资产（EIP）。 内-外：云上资产（EIP）访问互联网。 源 Any 设置会话发起方。 目的 xx.xx.xx.1 设置会话接收方。 服务 Any 设置协议类型、源端口和目的端口。 应用 Any 设置针对应用层协议的防护策略。 动作 放行 设置流量经过防火墙时的处理动作。 放行：防火墙允许此流量转发。 阻断：防火墙禁止此流量转发。 策略优先级 置顶（至少需高于上一条阻断规则） 设置该策略的优先级： 置顶：表示将该策略的优先级设置为最高。 移动至选中规则后：表示将该策略优先级设置到某一规则后。 单击“确认”，完成配置防护规则。

准备工作 在购买云防火墙之前，请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证，请忽略此步骤。 仅在购买或使用中国大陆云服务区的资源时，需要实名认证。 购买包周期资源时，请保证账户有足够的资金，防止购买云防火墙失败。具体操作请参见账户充值。 请确保已为账号赋予相关CFW权限。具体操作请参见创建用户组并授权使用CFW。 表1 CFW系统角色 角色名称 描述 类别 依赖关系 CFW FullAccess 云防火墙服务的所有权限。 系统策略 无 CFW ReadOnlyAccess 云防火墙服务的只读权限。 系统策略 无

操作流程 操作步骤 说明 准备工作 注册华为账号、开通华为云，为账户充值、赋予CFW权限。 步骤一：购买标准版云防火墙 购买CFW，选择防护的区域、版本规格（本文以标准版为例）等信息。 步骤二：开启指定EIP的防护 在CFW上对需要防护的EIP开启防护，使流量经过防火墙。 步骤三：添加防护规则——阻断所有入方向流量 配置一条阻断所有入方向流量的防护规则，并将它优先级置于最低。 步骤四：添加防护规则——放行访问指定EIP的入方向流量 配置一条放行指定EIP（本文以xx.xx.xx.1为例）入方向流量的防护规则，并将它优先级设置在阻断规则之上。 步骤五：通过访问控制日志查看命中详情 查看防护规则是否生效。

配置超额采集 当日志超过每月免费赠送的额度（500M）时，超过的部分将按需收费。如果每月免费赠送的额度已经可以满足您的使用需求，超过后希望暂停日志收集，可以在配置中心进行设置。 该开关默认为开启状态，开启后表示当日志超过免费赠送的额度（500M）时，继续采集日志，超过的部分按需收费。 云日志 服务的计费依据为日志使用量，包括日志读写、日志索引和日志存储。超过免费额度后，如果关闭日志采集开关，将无法再进行日志读写和索引，同时也不再产生日志读写和索引费用。关闭日志采集开关后，超额部分的日志继续存储在LTS，LTS收取日志存储费用，系统将根据配置的日志存储时间老化日志，日志老化后将不再产生任何费用。 云日志服务与 应用运维管理 的日志采集开关为同步状态，即如果您在应用运维管理服务关闭了“超额继续采集日志”开关，则云日志服务的开关也同步关闭。 登录云日志服务控制台。 左侧导航选择“配置中心”，进入“配额设置”页面。 选择关闭“超额继续采集日志”。 关闭后表示当日志超过每月免费赠送的额度(500M)时，将暂停采集日志。支持在日志总览页查看当前资源使用情况，详情请参考查看日志管理。 开启“可观测For LTS”，推荐开启，开启后LTS的日志资源统计数据将投递到lts-system/lts-resource-traffic，您可以查看分钟级用量明细、配置自定义告警策略。 可观测功能仅支持华北-北京四、华东-上海一、华南-广州、亚太-新加坡区域的白名单用户使用，如有需要，请提交工单，其他区域暂不支持申请开通。

CodeArts Req最佳实践汇总 表1 CodeArts Req常用最佳实践 实践 描述 对IPD系统设备类项目的智能手表研发项目进行原始需求管理 成功产品的核心特征是满足客户需求。CodeArts Req打破了传统需求管理工具仅在研发阶段发挥作用的限制，将客户与市场需求也同步覆盖，提供了完整的客户需求采集、价值需求决策、交付与验收流程，让需求进展和动态客户实时透明，市场需求流动提速70%。 在CodeArts Req的原始需求管理中，用户可以将客户诉求提交至目标组织，目标组织对需求进行决策、分析、交付及后续验收流程全程实时透明化，可以加速客户诉求的交付速率，提升产品在市场上的竞争力。 对IPD系统设备类项目的智能手表研发项目进行缺陷管理 在整个产品生命周期管理中，缺陷管理是非常关键的一环。无论是硬件系统还是软件开发，都难免遇到不计其数的缺陷，如果缺陷管理不善，产品质量势必大打折扣。华为基于多年沉淀的质量运营管理经验，打造出一套行之有效的缺陷管理优秀实践，为团队提供统一、高效、风险可视的缺陷跟踪平台，确保每一个缺陷都被高质高效闭环。 某公司计划推出一款智能手表，研发周期较长，研发过程涉及多个部门、多团队的协作，如何保证缺陷在多个组织间的流转、最终达到有效闭环呢？下面请跟随我们，一起遍历整个缺陷生命周期管理实践。 对IPD系统设备类的智能手表研发项目进行基线评审管理 产品从规划到上市要经过复杂的研发过程，CodeArts Req提供了基线评审和变更管理能力，实现需求基线-受控变更-变更评审-变更管理的过程化管理，让基线变更如门禁一样，达到阈值才能启动下一步，确保产品研发“做正确的事”。 某公司计划推出一款智能手表，涉及多部门、多团队的协作，且已经过前期的多轮需求沟通与澄清，将研发需求分配到各产研团队。为保障产品如期保质交付，需要确保不同研发生产团队都忠实执行任务，按照既定的需求进行研发落地。这时就需要对需求进行基线管控，基线后的需求不允许随意更改。下面我们以该公司为例，介绍如何实施需求基线管控。 对看板项目的商城管理项目进行需求规划 CodeArts Req提供的看板项目是一种业界流行的轻量、灵活和简单的团队协作方法，它将项目的需求、缺陷和任务可视，让每个人一目了然地掌握每项工作的状态，团队通过移动工作卡片的方式更新工作进展，及时暴露风险和问题。 用户可以创建看板项目对项目进行需求规划，通过新建工作项、分配工作项、处理工作项等来实现项目的需求规划与交付。 对IDP系统设备类的智能手表研发项目进行特性树管理 产品的核心资产就是系统特性，一旦上市系统特性就会不断的增长，CodeArts Req提供产品全量系统特性管理，通过特性树可以更好管理系统特性，实现产品资产不丢失，让跨代的系统特性快速继承和发展。 使用IPD系统设备类管理智能手表研发项目的变更评审 产品从规划到上市要经过复杂的研发过程，CodeArts Req提供了工作项基线受控与变更管理能力，实现工作项受控变更-变更评审-变更管理的过程化管理，把控变更门禁，实现产品研发过程可控，基线契约化，审批留痕，确保决策依据可查，责任可追溯。

跨项目协同的缺陷变更评审 对于跨项目协同的缺陷，变更过程有所不同。 表6 跨项目协同的缺陷变更管理实践操作流程说明 流程 说明 步骤一：触发跨项目协同缺陷变更评审 进入缺陷详情页，编辑带有图标的字段，在弹窗中单击“确定”。 步骤二：评审跨项目协同缺陷的评审单 评审专家完成变更评审单的评审操作等。 步骤三：审批人决策跨项目协同缺陷的评审单 审批人完成变更评审单的决策操作等。 步骤四：评审通过的缺陷自动刷新变更的字段值 变更评审结束后，根据变更评审结论，自动修改相应字段。 跨项目协同的缺陷变更涉及以下项目角色，如表7所示。 表7 跨项目协同的缺陷变更涉及项目角色列表 项目成员 项目角色 工作职责 Sarah 当前项目创建人（产品负责人） 负责项目的创建和项目团队的组建。 Bob 缺陷提出项目测试经理 负责担任变更评审单的审批人。 Bree 当前项目开发人员 负责发起变更评审。 Eddie 缺陷提出人 负责担任变更评审单的评审专家。 Paul 缺陷提出项目测试人员 负责担任变更评审单的评审专家。 Zach 缺陷提出项目开发人员 负责担任变更评审单的评审专家。

步骤三：审批人决策跨项目协同缺陷的评审单 当评审专家完成评审后，缺陷提出项目测试经理Bob作为评审单的审批人会收到待办通知，收到通知后，Bob将前往项目进行处理。 进入服务首页，单击右上角“待办中心”，进入待决策的CR单详情页。 图17 代办中心 在评审单详情页，单击每个变更对象操作列的审批人决策按钮，或勾选待我决策的变更对象，单击右上角的“审批人决策”按钮，弹出审批人决策弹框。 图18 变更评审单决策详情 按照表10填写后，单击“确定”，变更评审单状态为“已完成”。 表10 审批人决策信息说明 参数 解释 取值样例 决策处理 根据需要选择，当选择为“转他人处理”时，会出现“审批人”选择框，且必填。 同意 决策意见 当“决策处理”选择为“同意/拒绝”时，该信息必填。 同意 评审阶段结果 此处展示评审阶段的最终结果。 已通过 评审专家意见 此处展示参与评审阶段的评审专家给出的评审结果和评审意见信息。 -- 图19 审批人决策页面

无需跨项目协同的缺陷变更评审 表1 无需跨项目协同的缺陷变更管理实践操作流程说明 流程 说明 步骤一：触发无需跨项目协同缺陷变更评审 进入缺陷详情页，编辑带有图标的字段，在弹窗中单击“确定”。 步骤二：评审专家评审无需跨项目协同的评审单 评审专家完成变更评审单的评审操作等。 步骤三：审批人决策无需跨项目协同的评审单 审批人完成变更评审单的决策操作等。 步骤四：评审通过的缺陷自动修改变更的字段值 变更评审结束后，根据变更评审结论，自动修改相应字段。 无需跨项目协同的缺陷变更评审实践涉及以下项目角色，如表2所示。 表2 项目角色列表 项目成员 项目角色 工作职责 Sarah 项目创建人（产品负责人） 负责项目的创建和项目团队的组建。 Caleb 测试经理 负责担任变更评审单的审批人。 Gabby 开发人员 负责发起变更评审。 Sam 测试人员 负责担任变更评审单的评审专家。 Betty 测试人员 负责担任变更评审单的评审专家。 Tom 测试人员 负责担任变更评审单的评审专家。

跟踪项目状态 每日站立会议跟踪任务进度。 迭代开始后，项目组通过每日站立会议沟通每个工作项的当前进展，并对工作项状态进行更新。 使用卡片模式能够简单直观的查看迭代中各工作项的当前状态。 进入“迭代”页面，单击图标，切换到卡片模式。页面中展示了处于每种状态下的工作项卡片，通过拖拽工作项卡片即可更新其状态。 迭代评审会议验收迭代成果。 在到达迭代的预计结束时间前，项目组召开迭代评审会议，展示当前迭代的工作成果。 “迭代”页面提供了迭代统计图表，团队可以方便的统计当前迭代的进度情况，包括需求完成情况、迭代燃尽图、工作量等。 进入“迭代”页面，单击“统计”，即可展开迭代进度视图。

如何选择Kafka实例的存储空间？ 存储空间主要是指用于存储消息（包括副本中的消息）、日志和元数据所需要的空间。选择存储空间时，需要选择磁盘类型和磁盘大小。更多磁盘信息，请参考如何选择磁盘类型。 假设业务存储数据保留天数内磁盘大小为100GB，则磁盘容量最少为100GB*副本数 + 预留磁盘大小100GB。Kafka集群中，每个Kafka节点会使用33GB的磁盘作为日志和Zookeeper数据的存储，因而实际可用存储会小于购买存储。 其中，副本数在创建Topic时可以选择，默认为3副本存储。如果开启了Kafka自动创建Topic功能，自动创建的Topic默认为3副本，副本数可以通过“配置参数”页签中的“default.replication.factor”修改。 父主题： 实例问题

方案概述 通过配置代码仓与流水线，实现对合并请求的自动化门禁，提升代码质量和团队协作效率。通过设置合并请求触发流水线，确保每个合并请求在创建或更新时自动执行代码检查、构建和测试任务，只有经过严格代码审查的代码才能合并到主分支。这种机制可以有效减少因代码缺陷而导致的生产环境问题，保证代码的稳定性和可靠性，从而强化代码的质量控制。整体而言，该方案为团队提供了一种高效且可靠的工作流程，促进了持续集成与持续交付的最佳实践。

企业项目授权后仍报权限不足的说明 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM和企业管理的区别。 LTS当前仅日志组、日志流、仪表盘资源接口支持企业项目方式授权，其他资源的接口仅支持IAM项目方式授权，因此针对仅支持IAM项目方式授权时需注意： 授权时选择“IAM项目视图”。 图1 IAM项目视图 选择授权范围时，建议根据最小化授权原则，选择“指定区域项目资源”，具体请根据实际业务情况选择授权范围。

LTS权限 默认情况下，管理员创建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对LTS进行操作。 LTS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问LTS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如表1所示，包括了LTS的所有系统权限。 表1 LTS系统权限 策略名称 描述 策略类别 依赖关系 LTS FullAccess 云日志服务的所有权限，拥有该权限的用户可以操作并使用LTS。 系统策略 CCE Administrator、OBS Administrator、 AOM FullAccess、FunctionGraph FullAccess LTS ReadOnlyAccess 云日志服务的只读权限，拥有该权限的用户仅能查看LTS数据。 系统策略 CCE Administrator、OBS Administrator、AOM FullAccess LTS Administrator 云日志服务的管理员权限。 系统角色 Tenant Guest、Tenant Administrator 表2列出了LTS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限 操作 LTS FullAccess LTS ReadOnlyAccess LTS Administrator 查询日志组 √ √ √ 创建日志组 √ × √ 修改日志组 √ × √ 删除日志组 √ × √ 查询日志流 √ √ √ 创建日志流 √ × √ 修改日志流 √ × √ 删除日志流 √ × √ 配置主机日志接入 √ × √ 查询仪表盘 √ √ √ 创建仪表盘 √ × √ 修改仪表盘 √ × √ 删除仪表盘 √ × √ 查询结构化配置 √ √ √ 配置结构化 √ × √ 开启快速分析 √ × √ 关闭快速分析 √ × √ 配置分词 √ × √ 查询过滤器 √ √ √ 禁用过滤器 √ × √ 启用过滤器 √ × √ 删除过滤器 √ × √ 查询告警规则 √ √ √ 创建告警规则 √ × √ 修改告警规则 √ × √ 删除告警规则 √ × √ 查看日志转储 √ √ √ 添加日志转储 √ × √ 修改日志转储 √ × √ 删除日志转储 √ × √ 开启周期性转储 √ × √ 暂停周期性转储 √ × √ 安装ICAgent √ × √ 升级ICAgent √ × √ 卸载ICAgent √ × √ 使用自定义细粒度策略，请使用管理员用户进入统一身份认证（IAM）服务，按需选择云日志服务的细粒度权限进行授权操作。 云日志服务细粒度权限依赖说明请参见表3。 表3 云日志服务细粒度权限依赖说明 权限名称 权限描述 权限依赖 lts:agents:list 查询Agent列表 无 lts:buckets:get 查询指定桶 无 lts:groups:put 修改指定日志组 无 lts:transfers:create 创建日志转储 obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket dis:streams:list dis:streamPolicies:list lts:groups:get 查询指定日志组 无 lts:transfers:put 修改日志转储 obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket dis:streams:list dis:streamPolicies:list lts:resourceTags:delete 删除资源标签 无 lts:ecsOsLogPaths:list 查询指定镜像的系统日志路径 无 lts:structConfig:create 创建LTS结构化配置 无 lts:agentsConf:get 查询指定Agent配置 无 lts:logIndex:list 查询日志索引列表 无 lts:transfers:delete 删除日志转储 无 lts:regex:create 提取结构化字段 无 lts:subscriptions:delete 删除指定订阅 无 lts:overviewLogsLast:list 查询用户的最近日志 无 lts:logIndex:get 查询指定日志索引 无 lts:sqlalarmrules:create 添加告警相关 无 lts:agentsConf:create 创建Agent配置 无 lts:sqlalarmrules:get 查询告警相关 无 lts:datasources:batchdelete 批量删除datasource 无 lts:structConfig:put 修改LTS结构化配置 无 lts:groups:list 查询日志组列表 无 lts:sqlalarmrules:delete 删除告警相关 无 lts:transfers:action 启停日志转储 无 lts:datasources:post 创建datasource 无 lts:topics:create 创建日志主题 无 lts:resourceTags:get 查询资源标签 无 lts:filters:put 修改日志过滤器 无 lts:logs:list 查询日志列表 无 lts:subscriptions:create 创建订阅 无 lts:filtersAction:put 启停日志过滤器 无 lts:overviewLogsTopTopic:get 查询日志量最大的主题的数据指标 无 lts:datasources:put 修改datasource 无 lts:structConfig:delete 删除LTS结构化配置 无 lts:logIndex:delete 删除指定日志索引 无 lts:filters:get 查询指定日志过滤器 无 lts:topics:delete 删除指定日志主题 无 lts:agentSupportedOsLogPaths:list 查询Agent支持的操作系统日志的路径 无 lts:topics:put 修改指定日志主题 无 lts:agentHeartbeat:post 上传agent心跳 无 lts:logsByName:upload 根据日志组和日志主题的名字上传日志 无 lts:buckets:list 查询桶列表 无 lts:logIndex:post 创建日志索引 无 lts:logContext:list 查询日志上下文 无 lts:groups:delete 删除指定日志组 无 lts:filters:delete 删除日志过滤器 无 lts:resourceTags:put 更新资源标签 无 lts:structConfig:get 查询LTS结构化配置 无 lts:overviewLogTotal:get 查询当前用户的日志总量 无 lts:subscriptions:put 修改指定订阅 无 lts:subscriptions:list 查询订阅器列表 无 lts:datasources:delete 删除指定datasource 无 lts:transfersStatus:get 查询日志转储状态 无 lts:logIndex:put 修改指定日志索引 无 lts:sqlalarmrules:put 修改告警相关 无 lts:logs:upload 上传日志 无 lts:agentDetails:list 查询agent诊断日志 无 lts:agentsConf:put 修改Agent配置 无 lts:logstreams:list 筛选日志流资源 无 lts:subscriptions:get 查询指定订阅 无 lts:disStreams:list 查询DIS通道 无 lts:groupTopics:put 创建日志组和日志主题 无 lts:resourceInstance:list 查询资源实例 无 lts:transfers:list 查询日志转储列表 无 lts:topics:get 查询指定日志主题 无 lts:agentsConf:delete 删除指定Agent配置 无 lts:agentEcs:list 查询ECS列表 无 lts:indiceLogs:list 搜索日志 无 lts:topics:list 查询日志主题列表 无 lts:dsl:create 创建DSL任务 无 lts:groups:create 创建日志组 无 lts:dsl:get 获取DSL任务 无 lts:dsl:list 列举DSL任务 无 lts:dsl:delete 删除DSL任务 无 lts:searchcriterias:create 创建快速查询 无

权限说明 如果您需要对华为云上购买的LTS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制LTS资源的访问。 通过IAM，您可以在华为账号中给员工创建IAM用户，并使用策略来控制其对LTS资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有LTS的使用权限，但是不希望员工拥有删除服务发现规则等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用服务发现规则，但是不允许删除服务发现规则的权限策略，控制其对服务发现规则资源的使用范围。 如果华为账号已经能满足您的使用需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用LTS的其它功能。 IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见IAM产品介绍。

基础资源限制 本文介绍云日志服务基础资源的使用限制。 表1 基础资源使用限制表 限制项 说明 备注 日志组数量 您在1个华为账号下最多可创建100个日志组。 日志组名称不能重复。 如您有更大的使用需求，请提交工单申请。 日志流数量 您在1个日志组中最多可创建100个日志流。 日志流名称不能重复。 如您有更大的使用需求，请提交工单申请。 日志保存时间 日志支持保存1~365天。 如您有更大的使用需求，请提交工单申请。 主机组 您在1个华为账号下最多可创建200个主机组。 如您有更大的使用需求，请提交工单申请。 快速查询 您在1个日志流中最多可创建50个快速查询。 不涉及。 仪表盘 一个华为账号最多可创建100个仪表盘。 如您有更大的使用需求，请提交工单申请。 一个华为账号最多可创建100个仪表盘模板。 一个华为账号最多可创建200个仪表盘分组。 一个华为账号最多可创建200个仪表盘模板分组。 一个仪表盘最多可创建50个图表。 一个仪表盘最多可添加10个过滤器。 一个日志流最多可创建100个图表。 LogItem(单行日志) 通过API上报：单个LogItem最大为1MB。 不涉及。 通过API上报：单个LogItem中Labels的数量最多为100个。 通过ICAgent采集：单个LogItem最大为500 KB。 告警 您在1个华为账号下最多可创建200个告警。 如您有更大的使用需求，请提交工单申请。 父主题： 约束与限制

搜索 表1 日志搜索限制 限制项 说明 备注 日志采集到搜索时延 从日志产生到日志在控制台能被搜索到的时间间隔小于2分钟（非阻塞情况下）。 不涉及。 关键词个数 关键词，即单次查询时布尔逻辑符外的条件个数。每次查询最多30个。 如您有更大的使用需求，请提交工单申请。 操作并发数 您在1个华为账号下支持的最大查询操作并发数为200个。 如您有更大的使用需求，请提交工单申请。 返回结果 通过控制台查询：默认最多返回250条查询结果。 不涉及。 返回结果 通过API查询：默认最多返回5000条查询结果。 不涉及。 字段值大小 单个字段值最大为2KB，超出部分不参与快速分析，但是可以通过关键词查询。 不涉及。 查询结果排序 默认按照秒级时间从最新开始展示。 不涉及。 模糊查询 在查询语句单个词长度小于255字符 星号（*）或问号（?）不能用在词的开头。 long数据类型和double数据类型不支持使用星号（*）或问号（?）进行模糊查询 不涉及。 搜索时间范围 单次搜索，时间跨度默认不超过30天。 如您有更大的使用需求，请提交工单申请。

分析 表2 日志SQL分析限制 限制项 说明 备注 操作并发数 您在1个华为账号下 日志分析 并发数为15个。 如您有更大的使用需求，请提交工单申请。 数据量 单个日志流单次最大分析24GB数据。 如果您的数据量远超LTS提供的分析规格，请您购买DWS服务，配置日志转储DWS，使用 数据仓库 分析。 开启模式 默认不开启。 不涉及。 数据生效机制 日志结构化只对新增结构化配置之后写入的数据生效。 不涉及。 返回结果 默认最多返回100条数据。 如果需要返回更多数据，可以使用SQL查询语法单独配置返回查询结果。 不涉及。 Limit上限为100000条。 不涉及。 字段值大小 结构化字段最大大小为16KB，超过部分不参与分析。 不涉及。 超时时间 分析操作的最大超时时间为30秒。 如果您的数据量远超LTS提供的分析规格，请您购买DWS服务，配置日志转储DWS，使用数据仓库分析。 Double类型的字段值位数 Double类型的字段值最多52位。 如果浮点数编码位数超过52位，会造成精度损失。 不涉及。 IP函数时效性 IP函数是可以分析IP地址所属的国家、省份、城市及对应的网络运营商，该函数依赖的后台数据库每半年更新一次，可能出现少量IP与地理位置映射未及时更新的情况。 不涉及。 SQL分析时间范围 仅支持分析30天内的数据，30天以上的数据不支持SQL分析。 如您有更大的使用需求，请提交工单申请。

操作步骤（出门问问） 登录MetaStudio控制台，进入MetaStudio服务概览页面。 单击“前往MetaStudio工作台”，进入MetaStudio工作台页面。 单击“声音制作”下方的“开始创建”，进入声音制作页面。 选择“第三方模型”页签的“出门问问声音制作”方式，如图1所示。 界面左侧是声音制作页面，右侧为声音制作流程。 图1 定制声音 配置声音制作参数。 界面操作详情，如表1所示。 表1 界面操作说明 区域 说明 声音制作方式 选择“出门问问声音制作”。音频时长为0.5~180分钟，建议5分钟。音频格式为WAV或MP3文件，支持19种语言的声音制作。 如果剩余次数为0，可单击“立即购买”，参考购买出门问问小语种克隆套餐的操作流程购买小语种克隆套餐包。 请完善声音信息 输入声音名称。 示例：欢快女声。 请制作声音 界面提供录音指导，需要按照指导录制1分钟的长音频WAV或MP3文件。WAV或MP3文件支持直接上传，无需压缩，无需携带文案txt文件。 如果未使用服务预置文案，声音标签仅作为标签，来区分声音使用场景。 请选择声音性别 声音的性别，用于匹配声音模型的精准度。 如下所示： 男生 女生 请选择原始输入语言 上传语料所使用的语言。 包含18种语言：中文、英文、粤语、德语、法语、土耳其语、菲律宾语、日语、意大利语、马来语、俄罗斯语、韩语、芬兰语、荷兰语、西班牙语、印尼语、阿拉伯语、葡萄牙语。 须知：当前参数配置仅作为标识，对训练结果没有任何影响。 请选择输出模型语言 选择输出的声音模型支持的语言。 支持如下语言： 多语种：输出的声音模型，支持合成的语言类型包括中文、英文、德语、法语、土耳其语、菲律宾语、日语、意大利语、马来语、俄罗斯语、韩语、芬兰语、西班牙语、印尼语、阿拉伯语、葡萄牙语、荷兰语。 粤语 选择声音标签 声音的标签。作用为选择声音时，快速筛选领域。 包含如下选项： 新闻 营销 针对上述标签，MetaStudio服务预置了相应的文案内容，如文案样例（基础版）、文案样例（进阶版）和文案样例（高品质）所示。如果使用预置文案，必须选对标签。 请输入试听文本 请输入试听文本，声音训练完成以后，您可以试听该文本的合成效果。 声音授权 单击“授权书模板”，下载授权书模板后打印。用户手写相关信息后，重新生成签署后的pdf文件，或者拍摄成jpg或png格式的图片后上传。 授权书内容，可参考授权书。 联系方式（可选） 请输入手机号。 单击“提交制作”。 弹出“资源消耗提示”对话框。提示用户目前声音制作服务剩余数量，本次将消耗1个资源。 如果用户确认无误，单击“确认提交”。 声音制作任务提交成功后，界面提示“制作任务提交成功”，如图2所示。 声音制作任务提交成功后，需要等待1天左右的时间审核。任务审核通过后，启动声音制作。声音模型制作耗时约5个工作日。 图2 制作任务提交成功 用户可以单击“查看制作任务列表”，查看声音制作任务审核进展。 当状态变更为“系统审核完成”，自动启动算法训练。如果系统存在多个算法训练任务，可能会存在排队和延迟的现象，请耐心等待。

获取第三方声音使用凭证 下面以 语音合成 套餐为例，进行操作说明。其他声音套餐的操作均相同。 查看用户已购语音合成套餐，获取“用户账号”和“登录密码”，作为在MetaStudio控制台激活第三方声音的使用凭证。 访问我的云商店，进入“已购买的服务”界面。 可以看到已购买的语音合成套餐信息。 图8 已购买的服务 单击已购买套餐右侧的“资源详情”，进入资源详情界面。 需要记录“用户账号”和“登录密码”，如图9所示。 用途如激活第三方声音使用凭证所示，分别作为accessKey和secretKey，在MetaStudio新增或更新凭证，用于激活第三方声音。 图9 资源详情