华为云用户手册

基线检查通过率 呈现基线检查通过率、基线自动检查不通过资源统计情况、基线检查不通过类型及其数量、基线检查总数等。 表5 基线检查通过率 参数名称 统计周期 更新频率 说明 基线检查通过率 实时 每小时 基线检查通过率 = ( 基线检查合格项 / 总检查项 ) * 100%。 基线自动检查不通过资源统计 实时 每小时 基线检查不合格项，按照严重程度统计其影响的资源数。 基线检查 实时 每小时 基线检查合格、不合格、失败数量统计。

功能优势 全球合规治理经验服务化 安全治理以华为内部“云服务网络 安全与合规 标准”（Cloud Service Cybersecurity & Compliance Standard，3 CS ）为基座，将华为积累的全球安全合规经验服务化，开放华为 云安全 治理模板，将法规条款、标准要求转化为业务语言、IT语言，帮助客户识别自身合规状态。 提升获得法规及行业标准认证的效率 安全治理开放PCI DSS、ISO27701、ISO27001等安全治理模板，内含合规策略和自评估检查项；合规策略将自动化、持续性扫描租户云上资产的合规状态，自评估检查项将帮助租户快速梳理业务情况；并且安全治理提供证据链管理功能，支持一键导出报表，可极大提升租户获得法规及行业标准认证的效率。 高效实施安全治理动作 安全治理通过数据看板将所有的合规情况集中展示，向用户显示当前的安全性与合规性状态。租户可以轻松发现识别潜在问题，并根据华为专家建议采取必要的安全治理动作。

什么是安全治理？ 安全治理是 安全云脑 中的一个自动化合规评估和安全治理功能，以华为内部“云服务网络安全与合规标准”（Cloud Service Cybersecurity & Compliance Standard，3CS）为基座，将华为积累的全球安全合规经验服务化，开放PCI DSS、ISO27701、ISO27001等安全治理模板，将合规语言IT化，实现自动化扫描，可视化呈现合规状态，一键生成合规遵从性报告，帮助用户快速实现云上业务的安全遵从，提升租户获得法规及行业标准认证的效率。 使用安全治理功能前，需先提交工单申请开通使用权限。

功能特性 安全治理为您提供安全治理模板与合规策略扫描服务，将安全遵从包内的法规标准条款转化成检查项。 提供安全遵从包 华为开放的安全治理模板，包含法规标准条款原文、扫描策略、自评估检查项以及华为专家的改进建议，覆盖PCI DSS、ISO27701、ISO27001、隐私等法规标准。用户可以订阅、取消订阅安全遵从包，查看合规评估与治理结果。 合规策略扫描 Policy as Code，将安全遵从包内的法规标准条款代码化，周期性、自动化扫描云上资产的合规情况，可视化看板呈现风险，提供华为专家改进建议。 自评估检查项 将安全遵从包内的法规标准条款转化成检查项，租户可根据检查项完成自身业务的合规评估，查看历史评估结果，进行证据上传和下载，根据华为专家改进建议进行治理。 合规结果可视 可视化呈现合规评估结果与安全治理情况，包括租户订阅的法规、标准条款遵从概况，各安全遵从包状态，各策略扫描概况。

使用流程 安全治理功能的使用流程如表1所示。 图1 安全治理功能的使用流程 表1 使用流程步骤说明 子流程 说明 授权云服务资源访问权限 使用安全治理功能前，需要获取访问云服务资源的权限，授权后，才能通过策略扫描帮您快速识别云上资产的安全遵从情况。 订阅或取消订阅安全遵从包 安全云脑提供有不同的安全遵从包，您可以选择所需的安全遵从包。 用户自评估 订阅安全遵从包后，您可以遵从包的条款进行自评估，以便识别业务遵从情况。 查看结果 策略扫描或自评估后，您可以查看安全治理情况： 查看安全合规总览：查看法规、标准条款遵从概况、各安全遵从包状态、策略扫描概况。 查看治理结果：查看各个安全遵从包整体遵从情况和各条款的详细信息。 查看策略扫描结果：查看策略扫描结果及其详细信息。 下载安全合规报表 安全治理提供安全合规报表的功能，支持下载当前资源的合规情况。

操作场景 安全云脑支持一键接入WAF、HSS、OBS等多种华为云云产品的日志数据。接入后，可以统一管理日志信息，以及检索并分析所有收集到的日志。具体支持接入的云服务日志请参见支持接入的云服务日志。 每个Region的首个工作空间可自动加载当前Region推荐接入的日志数据（未全部接入）。后续新增的用于自定义运营的工作空间，不会自动加载数据，需要用户自定义接入。 建议将安全云脑管理的资产以及资产的告警、基线检查结果、漏洞数据、日志数据接入同一个工作空间，便于统一运营，进行安全分析关联。 本章节介绍如何接入数据并查看日志存储位置。

相关操作 取消数据接入 在待取消接入云产品的“审计相关日志”列，单击，关闭接入的云服务日志。 单击“保存”，并在弹出的配置保存框中，单击“确定”。 编辑数据接入生命周期 在待编辑云产品的“生命周期”列，输入生命周期时间。 单击“保存”，并在弹出的配置保存框中，单击“确定”。 取消自动转告警 在待取消云产品的“自动转告警”列，单击，关闭告警映射。 单击“保存”，并在弹出的配置保存框中，单击“确定”。

新增采集通道 在采集通道管理页面的分组列表右侧，单击“新增”，进入新增采集通道页面。 在“基础配置”页面中，配置基础信息。 表1 基础配置参数说明 参数名称 参数说明 基础信息 名称 自定义采集通道名称。 通道分组 选择采集通道所属分组。 （可选）描述 输入采集通道描述信息。 来源配置 源名称 选择采集通道来源名称。 选择后系统将自动生成已选择来源的相关信息。 目的配置 目的名称 选择采集通道目的名称。 选择后系统将自动生成已选择目的相关信息。 基础配置完成后，单击页面右下角“下一步”，进入“解析器配置”页面。 在“解析器配置”页面中，选择解析器，选择后，系统将显示已选择解析器的相关信息。 如果无可选解析器或需新增解析器，可以单击“新建”，新建解析器。新增解析器详细操作请参见创建解析器。 解析器配置完成后，单击页面右下角“下一步”，进入“运行节点选择”页面。 在“运行节点选择”页面中，单击“新增”，并在弹出的添加节点框中选择节点后，单击“确认”。 运行参数：节点添加后，如果需要在已添加节点中配置运行参数，请参照以下步骤进行处理： 在节点列表中，单击目标节点所在行“操作”列的“运行参数”按钮。 单击“添加配置”，设置运行键和运行值。 如果用户需要对采集通道的运行参数做优化，此处提供了pipeline.batch.size、pipeline.workers、pipeline.batch.delay三个可选优化参数，用户可以根据自身业务情况进行优化。如果无需优化，直接删除相关的配置即可。 表2 参数配置说明 参数 类型 说明 pipeline.batch.size int 配置每个worker线程每次收集event的数量，配置越大越有效率，但同理，内存开销也会增大，可以在jvm.options中配置增加堆空间。 pipeline.workers int pipeline中的worker线程数配置，默认是CPU的核数。 pipeline.batch.delay int 设置当前pipe提交延迟时间，设置此时间可以提升消息提交次数，提升系统消耗。 移除节点：节点添加后，如需移除，请在节点列表中，单击目标节点所在行“操作”列的“移除”按钮，已添加节点将被移除。 运行节点选择完成后，单击页面右下角“下一步”，进入“通道详情预览”页面。 在“通道详情预览”页面确认配置无误后，单击“保存并执行”。 当采集通道状态为“正常”，表示当前采集通道下发已经全部成功。采集通道状态代表的含义如下表所示： 表3 采集通道状态 监控状态 说明 健康 采集通道下发成功。 异常 采集通道下发部分成功，部分异常。 故障 采集通道下发尚未成功。此状态为心跳上报状态，存在一定延迟，一般下发成功后，30秒之后会恢复监控状态。

使用流程 表1 使用流程 子流程 说明 新增工作空间 新增工作空间，用于资源隔离和控制。 数据集成 配置需要接入的数据源。 安全云脑支持集成存储、管理与监管、安全等多种华为云云产品的日志数据。集成后，可以检索并分析所有收集到的日志。 （可选）新增数据空间 创建用于存储收集日志数据的数据空间。 通过控制台接入的数据，系统将创建默认数据空间，无需再进行创建。 （可选）创建管道 创建用于日志数据的采集、存储和查询的数据管道。 通过控制台接入的数据，系统将创建默认数据管道，无需再进行创建。 配置索引 配置索引条件，缩小查询范围。 接入的云服务日志，默认已为部分保留字段配置索引，具体请参见日志字段含义。 查询与分析 对接入的数据进行查询、分析。 下载日志 支持将原始日志或查询分析后的日志下载到本地。 查看图表统计结果 当您执行了查询分析语句后，安全云脑支持通过图表统计的形式对查询和分析的结果进行可视化展示。 目前支持表格、折线图、柱状图和饼图方式进行展示。

操作场景 空间托管页面中，可以管理托管视图、我纳管的和纳管我的。 托管视图：查看已创建的托管视图及其详细信息，支持查看、编辑、修改、删除或批量删除托管视图。 我纳管的：呈现有哪些工作空间托管在我创建的托管视图中，支持查看我纳管的任务以及任务参数，管理我纳管的任务（包括接收、拒绝、解除、删除）。 纳管我的：呈现我的工作空间被哪些托管视图纳管着，支持查看纳管我的托管视图相关参数，支持修改已接收的托管任务、撤回已接收的托管任务、重申托管关系、解除托管关系、删除托管任务。

增值包规格说明 安全云脑在标准版、专业版的基础上，提供有如下增值包功能： 安全大屏 功能说明： 在现场讲解汇报、实时监控等场景下，为了获得更好的演示效果，可以将安全云脑服务的分析结果展示在大型屏幕上，获得更清晰的态势信息和更好的视觉效果，实现一屏全面感知。 同时，安全云脑联动Astro大屏应用（Astro Canvas，简称AstroCanvas），支持指标自定义接入，页面零代码开发，数据分钟级接入，更多AstroCanvas详细介绍请参见什么是Astro大屏应用。 购买配置说明： 请根据需求进行购买。 其中，AstroCanvas大屏仅支持通过包周期方式进行购买。 包周期购买时，如果仅需购买安全云脑大屏，无需购买AstroCanvas大屏，则请先选择“现在购买”，并勾选大屏下方的不购买AstroCanvas大屏，仅购买指标提示信息。 日志审计 功能说明： 支持采集各类日志数据，并对采集的数据进行存储，可以设置“每天新增日志量”和“日志存储时长”。 购买配置说明： 按需购买时，将根据实际使用的采集量和存储量进行收费，无需进行规格配置。 包周期购买时，需要根据需求测算“每天新增日志量”，设置完成后，系统将按照设置的量自动适配资源包规格，具体规格说明如表2所示。 表2 安全数据采集和安全数据保留资源包规格说明 资源包 包周期购买时，推荐配置 资源包规格 资源包规格适用区间 安全数据采集 每天采集的数据量。 安全数据采集资源包 5 GB 起购，建议按照每台虚拟机 120 MB / 天来进行配置，单个订单最大可购买 500 GB。 购买时，安全数据采集的值将自动根据用户填写的每天新增日志量的值来适配资源包规格，无需单独配置。 5 *1 GB 0 GB ~ 5 GB（含） 5 *2 GB 5 GB ~ 10 GB（含） 5 *3 GB 10 GB ~ 15 GB（含） ...... 以此类推，单个订单最大可购买 500 GB ...... 以此类推 安全数据保留 日志存储的总量。 安全数据保留资源包 100 GB 起购，建议按照“安全数据保留 = 每天新增日志量 * 7”的关系来进行配置，单个订单最大可购买 3500 GB。 购买时，安全数据保留的值将自动根据用户填写的每天新增日志量的值来适配资源包规格，无需单独配置。 100 *1 GB 0 GB ~ 100 GB（含） 100 *2 GB 100 GB ~ 200 GB（含） 100 *3 GB 200 GB ~ 300 GB（含） ...... 以此类推，单个订单最大可购买 3500 GB ...... 以此类推 安全数据保留和安全数据采集资源包额度可叠加，但不能抵扣已产生的用量，不能退订。 包周期购买安全数据保留和安全数据采集资源包后，如果超出资源包规格的用量，将会按照使用量按需收费。 包周期购买安全数据保留和安全数据采集资源包后，如果资源包到期，按需资源不会自动关闭，将会以按需的方式继续使用。 另外，包周期购买的安全数据采集资源包为每天每个配额的使用量，如果当天使用量超出了设置的规格，那么超出的部分将以按需方式进行收费。 例如：用户购买了5 GB/天/配额的为期1个月的安全数据采集资源包，如果购买当天22:00前使用了5 GB的采集量，在22:00 ~ 24:00间使用了2 GB，则超出的2 GB将额外以按需计费方式进行收费。第二天00:00开始，又重新有5 GB/天/配额。 安全分析 功能说明： 安全分析一种云原生安全信息和事件管理解决方案，主要提供日志采集、告警生成、聚合分析等能力。 购买配置说明： 安全分析免费赠送配额如表3所示，当赠送规格不够时，可以进行购买。 按需购买时，将根据实际使用量进行收费，无需进行规格配置。 包周期购买时，需要根据需求设置数据量，请参照表4配置说明进行购买。 表3 安全分析赠送规格说明 功能 标准版 专业版 安全分析 安全数据采集 120 MB/天/配额 120 MB/天/配额 安全数据保留 120 MB/天/配额 120 MB/天/配额 安全数据导出 120 MB/天/配额 120 MB/天/配额 平台安全数据 40 MB/天/配额 40 MB/天/配额 安全建模分析 × 120 MB/天/配额 表4 安全分析配置推荐 增值包功能 包周期购买时，购买量配置推荐 安全分析 推荐按照每台服务器120 MB/天的数据量进行估算。 设置后，安全数据采集、安全数据保留、安全数据导出、平台安全数据、安全建模分析功能每日可用数据量都是此设置量。如果当日使用量大于当日购买时设置的数据量，则当日无法再继续使用安全分析功能，第二天00:00才可以继续使用。 例如，设置了1 GB/天，则每台服务器都将有安全数据采集 1 GB/天、安全数据保留 1 GB/天、安全数据导出 1 GB/天、平台安全数据 1 GB/天、安全建模分析 1 GB/天。 安全编排 功能说明： 安全编排可以在检测到安全威胁时，启动自动化响应编排，联动相关云产品对威胁源执行封禁、隔离等安全措施，以实现快速且有效的安全事件处置。 购买配置说明： 安全编排免费赠送配额如表5所示，当赠送规格不够时，可以进行购买。 按需购买时，将根据实际使用次数进行收费，无需进行规格配置。 包周期购买时，需要根据需求设置操作次数，请参照表6配置说明进行购买。 表5 安全编排赠送规格说明 功能 标准版 专业版 安全编排 x 操作7000次 表6 安全编排配置推荐 增值包功能 包周期购买时，购买量配置推荐 安全编排 每台服务器支持7,000 次操作/天，请根据需求进行设置。 如果当日使用次数大于购买时设置的次数，则当日无法再继续使用安全编排功能，第二天00:00才可以继续使用。

相关操作 如果需变更资产配额，可以在“已购资源”页面，选择目标区域，并单击“增加配额”，添加资产配额，详细说明请参见增加配额。 如果未同时开通增值包功能，可以在“已购资源”页面，单击页面右上角的“购买增值包”，开通增值包功能，详细说明请参见购买增值包。 如果购买按需资源后，需长期使用安全云脑服务，可以在“已购资源”页面，针对已购买的按需专业版安全云脑，单击右侧的“转包周期”将按需计费模式变更为包周期计费模式，详细说明请参见按需转包周期。 如果购买的包周期版本即将到期或已经到期，可以在“已购资源”页面，选择目标区域，并单击“续费”，延长当前包周期资源的使用期限，详细说明请参见续费。 如果不再使用资产配额或增值包功能，可以在“总览”页面右上角的版本信息中，单击“退订”或“取消”，退订相应安全云脑服务，详细说明请参见退订。

增值包规格说明 安全云脑在标准版、专业版的基础上，提供有如下增值包功能： 安全大屏 功能说明： 在现场讲解汇报、实时监控等场景下，为了获得更好的演示效果，可以将安全云脑服务的分析结果展示在大型屏幕上，获得更清晰的态势信息和更好的视觉效果，实现一屏全面感知。 同时，安全云脑联动Astro大屏应用（Astro Canvas，简称AstroCanvas），支持指标自定义接入，页面零代码开发，数据分钟级接入，更多AstroCanvas详细介绍请参见什么是Astro大屏应用。 购买配置说明： 请根据需求进行购买。 其中，AstroCanvas大屏仅支持通过包周期方式进行购买。 包周期购买时，如果仅需购买安全云脑大屏，无需购买AstroCanvas大屏，则请先选择“现在购买”，并勾选大屏下方的不购买AstroCanvas大屏，仅购买指标提示信息。 日志审计 功能说明： 支持采集各类日志数据，并对采集的数据进行存储，可以设置“每天新增日志量”和“日志存储时长”。 购买配置说明： 按需购买时，将根据实际使用的采集量和存储量进行收费，无需进行规格配置。 包周期购买时，需要根据需求测算“每天新增日志量”，设置完成后，系统将按照设置的量自动适配资源包规格，具体规格说明如表1所示。 表1 安全数据采集和安全数据保留资源包规格说明 资源包 包周期购买时，推荐配置 资源包规格 资源包规格适用区间 安全数据采集 每天采集的数据量。 安全数据采集资源包 5 GB 起购，建议按照每台虚拟机 120 MB / 天来进行配置，单个订单最大可购买 500 GB。 购买时，安全数据采集的值将自动根据用户填写的每天新增日志量的值来适配资源包规格，无需单独配置。 5 *1 GB 0 GB ~ 5 GB（含） 5 *2 GB 5 GB ~ 10 GB（含） 5 *3 GB 10 GB ~ 15 GB（含） ...... 以此类推，单个订单最大可购买 500 GB ...... 以此类推 安全数据保留 日志存储的总量。 安全数据保留资源包 100 GB 起购，建议按照“安全数据保留 = 每天新增日志量 * 7”的关系来进行配置，单个订单最大可购买 3500 GB。 购买时，安全数据保留的值将自动根据用户填写的每天新增日志量的值来适配资源包规格，无需单独配置。 100 *1 GB 0 GB ~ 100 GB（含） 100 *2 GB 100 GB ~ 200 GB（含） 100 *3 GB 200 GB ~ 300 GB（含） ...... 以此类推，单个订单最大可购买 3500 GB ...... 以此类推 安全数据保留和安全数据采集资源包额度可叠加，但不能抵扣已产生的用量，不能退订。 包周期购买安全数据保留和安全数据采集资源包后，如果超出资源包规格的用量，将会按照使用量按需收费。 包周期购买安全数据保留和安全数据采集资源包后，如果资源包到期，按需资源不会自动关闭，将会以按需的方式继续使用。 另外，包周期购买的安全数据采集资源包为每天每个配额的使用量，如果当天使用量超出了设置的规格，那么超出的部分将以按需方式进行收费。 例如：用户购买了5 GB/天/配额的为期1个月的安全数据采集资源包，如果购买当天22:00前使用了5 GB的采集量，在22:00 ~ 24:00间使用了2 GB，则超出的2 GB将额外以按需计费方式进行收费。第二天00:00开始，又重新有5 GB/天/配额。 安全分析 功能说明： 安全分析一种云原生安全信息和事件管理解决方案，主要提供日志采集、告警生成、聚合分析等能力。 购买配置说明： 安全分析免费赠送配额如表2所示，当赠送规格不够时，可以进行购买。 按需购买时，将根据实际使用量进行收费，无需进行规格配置。 包周期购买时，需要根据需求设置数据量，请参照表3配置说明进行购买。 表2 安全分析赠送规格说明 功能 标准版 专业版 安全分析 安全数据采集 120 MB/天/配额 120 MB/天/配额 安全数据保留 120 MB/天/配额 120 MB/天/配额 安全数据导出 120 MB/天/配额 120 MB/天/配额 平台安全数据 40 MB/天/配额 40 MB/天/配额 安全建模分析 × 120 MB/天/配额 表3 安全分析配置推荐 增值包功能 包周期购买时，购买量配置推荐 安全分析 推荐按照每台服务器120 MB/天的数据量进行估算。 设置后，安全数据采集、安全数据保留、安全数据导出、平台安全数据、安全建模分析功能每日可用数据量都是此设置量。如果当日使用量大于当日购买时设置的数据量，则当日无法再继续使用安全分析功能，第二天00:00才可以继续使用。 例如，设置了1 GB/天，则每台服务器都将有安全数据采集 1 GB/天、安全数据保留 1 GB/天、安全数据导出 1 GB/天、平台安全数据 1 GB/天、安全建模分析 1 GB/天。 安全编排 功能说明： 安全编排可以在检测到安全威胁时，启动自动化响应编排，联动相关云产品对威胁源执行封禁、隔离等安全措施，以实现快速且有效的安全事件处置。 购买配置说明： 安全编排免费赠送配额如表4所示，当赠送规格不够时，可以进行购买。 按需购买时，将根据实际使用次数进行收费，无需进行规格配置。 包周期购买时，需要根据需求设置操作次数，请参照表5配置说明进行购买。 表4 安全编排赠送规格说明 功能 标准版 专业版 安全编排 x 操作7000次 表5 安全编排配置推荐 增值包功能 包周期购买时，购买量配置推荐 安全编排 每台服务器支持7,000 次操作/天，请根据需求进行设置。 如果当日使用次数大于购买时设置的次数，则当日无法再继续使用安全编排功能，第二天00:00才可以继续使用。

使用流程 基线检查使用流程说明如下： 表2 使用流程 序号 操作项 说明 1 定时执行基线检查 安全云脑将使用默认检查计划对所有资产进行检查。 默认检查计划：默认每隔3天检查一次，每次在00:00~06:00对您账号下当前区域的所有资产进行检查。 自定义基线检查计划：根据您的需求自定义遵从包和检查时间。 2 立即执行基线检查 基线检查功能支持定期自动检查和立即检查。 定期自动检查：根据系统默认基线检查计划或您自定义的基线检查计划，定时自动执行基线检查。 立即检查：如果您新增或修改了自定义的基线检查计划，您可以在基线检查页面选择该基线检查计划，立即执行基线检查，实时查看服务器中是否存在对应的基线风险。 3 查看检查结果 自动/手动基线检查完成后，可以查看基线检查结果，了解基线检查项影响的资产、基线项目详情等信息。 4 处理基线检查结果 基线检查完后，可以根据修复建议对风险项目进行处理。 修复风险项：根据检测结果修复风险检查项。 反馈检查结果：检查项中的手动检查项，您在线下执行检查后，需要在控制台上反馈检查结果，以便计算检查项合格率。 导入检查结果：将线下检查结果数据信息导入至安全云脑基线检查中。 导出检查结果：将线上检查结果导出至本地。

基线检查方式 自动执行基线检查 SecMaster默认每隔3天检查一次，每次在00:00~06:00对您账号下当前region所有资产按照“安全上云合规检查1.0”遵从包进行检查。默认检查计划不支持变更包含的遵从包以及检查时间，仅支持执行开启或关闭操作。 自定义定时执行基线检查 支持自定义自动检查周期、检查时间和检查范围，“安全上云合规检查1.0”、“护网检查”、“华为云安全配置基线”里的支持自动化项的检查项。定时执行基线检查详细操作请参见定时执行基线检查。 立即执行基线检查 支持立即检查所有检查规范或某个检查计划，实时查看是否存在基线风险。支持用户设置“安全上云合规检查1.0”、“护网检查”、“华为云安全配置基线”里的支持自动化项的检查项。针对仅支持手动检查的检查项系统会生成检查结果为“待检查”的检查项，需要用户线下执行手动检查后在控制台反馈检查结果。立即执行基线检查详细操作请参见立即执行基线检查。 支持立即检查所有检查规范或某个检查计划，实时查看是否存在基线风险。支持用户设置遵从包中的可自动化项的检查项。针对仅支持手动检查的检查项系统会生成检查结果为“待检查”的检查项，需要用户线下执行手动检查后在控制台反馈检查结果。立即执行基线检查详细操作请参见立即执行基线检查。 立即检查所有遵从包：检查已有的，且已启用的遵从包中所有自动检查项的遵从情况。 立即执行某个检查计划：检查已选择的检查计划中设置的遵从包中的检查项目的遵从情况。 立即检查某个或某些检查项目：检查选中的检查项。 手动执行基线检查 基线检查的一些检查项目为手动检查项，需要您在线下执行检查后，再在控制台上反馈检查结果，以便计算检查项合格率。另外，自动检查的检查项目也可以进行手动检查。 基线检查的“等保2.0三级要求”、“GDPR”中所有的检查项目、“安全上云合规检查1.0”、“护网检查”、“华为云安全配置基线”中的一些检查项目为手动检查项。 手动检查详细操作请参见手动执行基线检查。

支持接入的云服务日志 安全云脑支持集成WAF、HSS、OBS等多种华为云云产品的日志数据。集成后，可以检索并分析所有收集到的日志，且默认存储7天。 表1 支持接入的日志 安全分类 服务 服务类型 日志 日志描述 支持的region 主机安全 企业主机安全 （HSS） 租户侧云服务 hss-alarm 主机安全告警 华北-北京四、华南-广州、华东-上海一、华北-北京一、华北-北京二、华东-乌兰察布一（汇聚在华北-北京一）、华东-上海二、华东-青岛、华南-深圳（汇聚在华南-广州-友好用户环境）、西南-贵阳一、华东二 hss-vul 主机 漏洞扫描 结果 hss-log 主机安全日志 hss-baseline 主机安全基线 华北-北京四、华南-广州、华东-上海一、华北-北京一、华北-北京二、华东-上海二、华东-青岛、西南-贵阳一、华东二 应用安全 Web应用防火墙 （WAF） 租户侧云服务 waf-attack WAF攻击日志 华北-北京四、华南-广州、华东-上海一、华北-北京一、华北-北京二、华东-乌兰察布一、华东-上海二（汇聚在华东-上海一）、华东-青岛、华南-深圳（汇聚在华南-广州）、西南-贵阳一、华东二 waf-access WAF访问日志 API网关（APIG） 租户侧云服务 apig-access APIG请求日志 华北-北京四、华东-上海一、华东-上海二、华南-广州、亚太-曼谷、拉美-墨西哥城二 云审计 服务（ CTS ） 租户侧云服务 cts-audit 云审计服务日志 华北-北京四、华南-广州、华东-上海一、华北-北京一、华北-北京二、华东-乌兰察布一、华东-上海二、华东-青岛、华南-深圳、西南-贵阳一、华东二 网络安全 NIP 华为设备 nip-attack IPS攻击日志 华北-北京四、华南-广州、华东-上海一、华北-北京二、华东-乌兰察布一、华东-上海二、华南-深圳、西南-贵阳一 亚太-新加坡、非洲-约翰内斯堡 DDoS 华为设备 ddos-attack DDoS攻击日志 华北-北京四、华南-广州、华东-上海一 云防火墙 （CFW） 租户侧云服务 cfw-block 访问控制日志 华北-北京四、华南-广州、华东-上海一、华北-北京二、华东-乌兰察布一、华东-上海二、华东-青岛、华南-深圳、西南-贵阳一、华东二 cfw-flow 流量日志 cfw-risk 攻击事件日志 运维安全 云堡垒机 （CBH） 租户侧云服务 cbh-audit 堡垒机 审计日志 华北-北京四、华南-广州、华东-上海一 数据安全 对象存储服务 （OBS） 租户侧云服务 obs-access 对象存储服务访问日志 华北-北京四、华南-广州、华东-乌兰察布一、华东-上海二 数据库安全服务（DBSS） 租户侧云服务 dbss-alarm DBSS告警日志 华北-北京四、华南-广州、华东-上海一、华北-北京二、华北-乌兰察布一、华东-上海二、华南-深圳、西南-贵阳一、亚太-曼谷、亚太-马尼拉、拉美-墨西哥城二 数据安全中心 （DSC） 租户侧云服务 dsc-alarm DSC告警日志 华北-北京四、华南-广州、华东-上海一、华北-北京一、华东-乌兰察布一、华东-上海二、华东-青岛、西南-贵阳一、华东二 身份安全 统一身份认证 服务（ IAM ） 租户侧云服务 iam-audit 统一身份认证服务审计日志 华北-北京四、华南-广州、华东-上海一、华北-北京一、华东-乌兰察布一、华东-上海二 云安全 威胁检测服务（MTD） 租户侧云服务 mtd-alarm MTD告警日志 华北-北京四、华南-广州、华东-上海一、华北-北京二、华东-乌兰察布一 安全云脑（SecMaster） 租户侧云服务 secmaster-baseline 安全云脑基线 华北-北京四、华南-广州、华东-上海一、华北-北京一、华北-北京二、华东-乌兰察布一、华东-上海二、华南-深圳、西南-贵阳一、华东二 父主题： 数据集成

剧本说明 安全云脑提供的自动更改告警名称剧本，支持用户按照不同维度自定义告警名称。 “自动更改告警名称”剧本已匹配“自动更改告警名称”流程，配置该剧本，需要对流程及流程中的插件进行适配。 “自动更改告警名称”流程共四个插件节点：获取告警类型id、获取告警详情、SecMasterBiz、告警名称更新。本流程只需配置SecMasterBiz插件节点，该节点用来定制告警名称的。 图1 自动更改告警名称流程

操作场景 安全遵从包是指华为开放的安全治理模板，包含法规标准条款原文、扫描策略、自评估检查项以及华为专家的改进建议，覆盖PCI DSS、ISO27701、ISO27001、隐私等法规标准。 本章节将介绍如何订阅安全遵从包，以及如何取消订阅安全遵从包。 订阅安全遵从包：用户根据安全遵从包规格说明遵从包的判定指引来选择所需的安全遵从包进行订阅； 取消订阅安全遵从包：当您需要更换或取消当前订阅的安全遵从包时，可以在订阅列表删除该安全遵从包。

版本支持情况 集群创建 MRS 同一版本类型下最多同时支持两个大版本的创建。 例如支持创建MRS 3.3.0-LTS、MRS 3.2.0-LTS版本集群，当MRS 3.3.0-LTS发布商用后，之前较早的版本（如MRS 3.1.2-LTS）默认将不在控制台上提供创建入口。对存量用户使用的MRS 3.1.2-LTS版本集群不影响。 集群版本升级 MRS LTS版本集群支持大版本升级的演进路线，默认情况下只支持跨一个版本的升级，如MRS 3.1.2-LTS支持升级到MRS 3.2.0-LTS，MRS 3.2.0-LTS支持升级到MRS 3.3.0-LTS。 集群补丁升级 现网存量运行的MRS集群，如果有大数据组件社区重大问题或者漏洞，MRS将提供对集群打补丁能力，详情请参见MRS集群补丁说明。

版本发布周期/版本生命周期 表1 生命周期常用术语 术语 定义 停止销售（EOM） 指停止云服务版本的部署，现网中不再部署该云服务版本。 停止全面支持（EOFS） 指定云服务版本停止普通软件BUG修复工作，仅执行致命问题修复、安全类问题修复以及升级等操作。 停止服务（EOS） 指停止云服务版本的使用，现网版本需要升级到新的云服务版本。 MRS新版本发布后，EOM时间为版本发布后2年，EOFS在EOM后1年，EOS在EOFS后0.5年。 例如2024-03-30发布MRS 3.3.1-LTS版本，则该版本EOM时间为2026-03-30，EOFS为2027-03-30，EOS为2027-09-30。 表2 MRS普通版本生命周期表 版本名称 状态 发布时间 停止销售日 停止全面支持日 停止服务日 MRS 1.3.x EOS 2017.3.30 2019.3.30 2020.3.30 2020.9.30 MRS 1.5.x EOS 2017.9.30 2019.9.30 2020.9.30 2021.3.30 MRS 1.6.x EOS 2019.6.21 2021.6.21 2022.6.21 2022.12.30 MRS 1.7.x EOS 2019.12.22 2021.12.22 2022.12.22 2023.6.22 MRS 1.8.x EOS 2019.11.21 2021.11.21 2022.11.21 2023.5.21 MRS 1.9.x EOS 2020.3.8 2022.3.8 2023.3.8 2023.9.8 MRS 2.0.x EOS 2019.10.11 2021.10.11 2022.10.11 2023.4.11 MRS 2.1.x EOS 2019.11.13 2021.11.13 2022.11.13 2023.5.13 FusionInsight 6.5.1 EOS 2020.6.30 2022.6.30 2023.6.30 2023.12.30 MRS 3.0.x EOS 2020.9.28 2022.9.28 2023.9.28 2024.3.28 MRS 3.1.0 EOS 2021.5.9 2023.5.9 2024.5.9 2024.11.9 MRS 3.1.1 EOS 2021.6.28 2023.6.28 2024.6.28 2024.12.28 MRS 3.1.2 EOFS 2022.1.27 2024.1.27 2025.1.27 2025.7.27 MRS 3.1.5 EOM 2023.3.28 2025.3.28 2026.3.28 2026.9.28 以上表格中加粗的版本为现网全网开放的主力版本，其他版本为受限白名单方式开放，需联系技术支持申请白名单开通。 表3 MRS LTS版本生命周期表 版本名称 状态 发布时间 停止销售日 停止全面支持日 停止服务日 MRS 3.1.0-LTS EOS 2021.3.26 2023.3.26 2024.3.26 2024.9.26 MRS 3.1.1-LTS EOS 2021.6.28 2023.6.28 2024.6.28 2024.12.28 MRS 3.1.2-LTS EOM 2022.6.2 2024.6.2 2025.6.2 2025.12.2 MRS 3.1.3-LTS 已发布 2023.5.12 2025.5.12 2026.5.12 2026.11.12 MRS 3.2.0-LTS 已发布 2023.4.27 2025.4.27 2026.4.27 2026.10.27 MRS 3.3.0-LTS 已发布 2023.10.13 2025.10.13 2026.10.13 2027.4.13 MRS 3.3.1-LTS 已发布 2024.4.30 2026.4.30 2027.4.30 2027.10.30 以上表格中加粗的版本为现网全网开放的主力版本，其他版本为受限白名单方式开放，需联系技术支持申请白名单开通。 补充说明： 由于历史版本的EOS时间较早， 已经EOS的版本将提供过渡期服务支持截止至2024年8月30日，即在2024年8月30日之后EOS的版本停止提供服务。

版本号说明 MRS当前提供两种版本集群的创建：普通版和LTS版。 MRS普通版集群版本号：格式为a.b.c.d，其中a.b为大版本号，c为小版本号，d为补丁版本，例如 MRS 3.1.5.1。 a：代表了版本有较大的变动。 b：代表了版本有一些组件的变动。 c：代表了小版本的变动，可以向前兼容。 d：代表了补丁版本，用于问题修复。 图1 MRS普遍版集群版本号 MRS LTS版集群版本号：格式为a.b.c-LTS.d，其中a.b为大版本号，c为小版本号，d为补丁版本，例如 MRS 3.2.0-LTS.1。 a：代表了版本有较大的变动。 b：代表了版本有一些组件的变动。 c：代表了小版本的变动，可以向前兼容。 d：代表了补丁版本，用于问题修复。 图2 MRS LTS版集群版本号

操作步骤 登录ROMA Connect控制台，在“实例”页面单击实例上的“查看控制台”，进入实例控制台。 在左侧的导航栏选择“数据源管理”，单击页面右上角的“接入数据源”。 在接入数据源页面的“默认数据源”页签下，选择“MQS”类型的数据源，然后单击“下一步”。 在页面中配置数据源的连接信息。 表1 数据源连接信息 参数 配置说明 数据源名称 填写数据源的名称，根据规划自定义。建议您按照一定的命名规则填写数据源名称，方便您快速识别和查找。 编码格式 默认“utf-8”格式。 集成应用 选择数据源所归属的集成应用。 描述 填写数据源的描述信息。 连接地址 选择当前实例下MQS的内网连接地址。 是否开启SSL ROMA Connect与MQS的连接是否使用SSL认证加密。 当MQS开启了SSL且VPC内网明文访问未开启时，请选择“是”，其他情况下选择“否”。 SSL用户名/应用Key 仅当“是否SSL”选择“是”时需要配置。 SSL认证所使用的用户名，如果使用ROMA Connect的消息集成作为MQS数据源，则用户名为集成应用的Key，且该Key只用于该数据源连接认证，与数据源所属集成应用无关。 SSL密码/应用Secret 仅当“是否SSL”选择“是”时需要配置。 SSL认证所使用的用户密码，如果使用ROMA Connect的消息集成作为MQS数据源，则密码为集成应用的Secret，且该Secret只用于该数据源连接认证，与数据源所属集成应用无关。 以开启SSL为例，数据源的接入配置示例如下图所示。 图1 MQS数据源配置示例 完成数据源接入配置后，单击“开始检测”，检测ROMA Connect与数据源之间是否能够连通。 若测试结果为“数据源连接成功！”，则继续下一步。 若测试结果为“数据源连接失败！”，则检查数据源状态和数据源连接参数配置，然后单击“重新检测”，直到连接成功为止。 单击“创建”，完成数据源的接入。

维度 Key Value instance_id ROMA Connect实例 fdi 数据集成 apic 服务集成 kafka_instance_id 消息集成实例 kafka_broker 消息集成Broker节点 kafka_rest 消息集成Rest节点 kafka_topics 消息集成队列 kafka_partitions 消息集成分区 kafka_groups-partitions 消息集成分区的消费组 kafka_groups_topics 消息集成队列的消费组 kafka_groups 消息集成消费组 link 设备集成

LINK支持的监控指标 表4 LINK支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 测量对象 监控周期（原始指标） online_connections 在线设备数 该指标用于统计用户在线设备的连接数。 ≥0 Count 不涉及 实例 1分钟 msg_count 消息总数 该指标用于统计用户所有设备发送的消息总数。 ≥0 Count 不涉及 实例 1分钟 msg_tps TPS 该指标用于统计时间区间内设备每秒发送消息数。 ≥0 Times/s 不涉及 实例 1分钟 msg_max_latency 发送消息最大时延 该指标用于统计时间区间内设备发送消息延迟毫秒数。 ≥0 ms 不涉及 实例 1分钟

MQS支持的监控指标 表3 MQS支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 测量对象 监控周期（原始指标） current_partitions 分区数 统计实例中已经使用的分区数量。 ≥0 Count 不涉及 实例 1分钟 current_topics 主题数 统计实例中已经创建的主题数量。 ≥0 Count 不涉及 实例 1分钟 group_msgs 堆积消息数 统计实例中所有消费组中总堆积消息数。 ≥0 Count 不涉及 实例 1分钟 broker_data_size 节点数据容量 统计节点当前的消息数据大小。 ≥0 Byte/KB/MB/GB/TB/PB 1024(IEC) 节点 1分钟 broker_messages_in_rate 消息生产速率 统计每秒生产的消息数量。 ≥0 Count/s 不涉及 节点 1分钟 broker_bytes_out_rate 消费流量 统计每秒消费的字节数。 ≥0 Byte/s、KB/s、MB/s、GB/s、TB/s、PB/s 1024(IEC) 节点 1分钟 broker_bytes_in_rate 生产流量 统计每秒生产的字节数。 ≥0 Byte/s、KB/s、MB/s、GB/s、TB/s、PB/s 1024(IEC) 节点 1分钟 broker_public_bytes_in_rate 公网入流量 统计Broker节点每秒公网访问流入流量。 ≥0 Byte/s、KB/s、MB/s、GB/s、TB/s、PB/s 1024(IEC) 节点 1分钟 broker_public_bytes_out_rate 公网出流量 统计Broker节点每秒公网访问流出流量。 ≥0 Byte/s、KB/s、MB/s、GB/s、TB/s、PB/s 1024(IEC) 节点 1分钟 broker_fetch_mean 生产请求平均处理时长 统计Broker节点处理生产请求平均时长。 ≥0 ms 不涉及 节点 1分钟 broker_produce_mean 消费请求平均处理时长 统计Broker节点处理消费请求平均时长。 ≥0 ms 不涉及 节点 1分钟 broker_alive 节点存活状态 统计MQS节点是否存活。 ≥0 - 不涉及 节点 1分钟 broker_connections 连接数 统计MQS节点当前所有TCP连接数量。 ≥0 Count 不涉及 节点 1分钟 broker_cpu_usage CPU使用率 统计MQS节点虚拟机的CPU使用率。 ≥0 % 不涉及 节点 1分钟 broker_disk_read_await 磁盘平均读操作耗时 统计磁盘在测量周期内平均每个读IO的操作时长。 ≥0 ms 不涉及 节点 1分钟 broker_disk_write_await 磁盘平均写操作耗时 统计磁盘在测量周期内平均每个写IO的操作时长。 ≥0 ms 不涉及 节点 1分钟 broker_total_bytes_in_rate 网络入流量 统计MQS节点每秒网络访问流入流量。 ≥0 Byte/s、KB/s、MB/s、GB/s、TB/s、PB/s 1024(IEC) 节点 1分钟 broker_total_bytes_out_rate 网络出流量 统计MQS节点每秒网络访问流出流量。 ≥0 Byte/s、KB/s、MB/s、GB/s、TB/s、PB/s 1024(IEC) 节点 1分钟 broker_cpu_core_load CPU核均负载 统计MQS节点虚拟机CPU每个核的平均负载。 ≥0 - 不涉及 节点 1分钟 broker_disk_usage 磁盘容量使用率 统计MQS节点虚拟机的磁盘容量使用率。 ≥0 % 不涉及 节点 1分钟 broker_memory_usage 内存使用率 统计MQS节点虚拟机的内存使用率。 ≥0 % 不涉及 节点 1分钟 broker_heap_usage Kafka进程JVM堆内存使用率 统计MQS节点Kafka进程JVM中的堆内存使用率。 ≥0 % 不涉及 节点 1分钟 produced_messages 生产消息数 统计Rest节点每分钟生产消息数。 ≥0 Count 不涉及 节点 1分钟 topic_bytes_in_rate 生产流量 统计Rest每秒钟生产流量。 ≥0 Byte/s、KB/s、MB/s、GB/s、TB/s、PB/s 1024(IEC) 节点 1分钟 topic_bytes_out_rate 消费流量 统计Rest每秒钟消费流量。 ≥0 Byte/s、KB/s、MB/s、GB/s、TB/s、PB/s 1024(IEC) 节点 1分钟 topic_messages_in_rate 消息生产速率 统计每秒生产的消息数量。 ≥0 Count/s 不涉及 队列 1分钟 topic_bytes_out_rate 消费流量 统计每秒消费的字节数。 ≥0 Byte/s、KB/s、MB/s、GB/s、TB/s、PB/s 1024(IEC) 队列 1分钟 topic_bytes_in_rate 生产流量 统计每秒生产的字节数。 ≥0 Byte/s、KB/s、MB/s、GB/s、TB/s、PB/s 1024(IEC) 队列 1分钟 topic_messages 队列消息总数 统计队列当前的消息总数。 ≥0 Count 不涉及 队列 1分钟 produced_messages 生产消息数 统计目前生产的消息总数。 ≥0 Count 不涉及 队列 1分钟 partition_messages 分区消息数 统计分区中当前的消息个数。 ≥0 Count 不涉及 队列 1分钟 messages_consumed 分区已消费消息数 统计当前消费组已经消费的消息个数。 ≥0 Count 不涉及 消费组 1分钟 messages_remained 分区可消费消息数 统计消费组可消费的消息个数。 ≥0 Count 不涉及 消费组 1分钟 topic_messages_remained 队列可消费消息数 统计消费组指定队列可以消费的消息个数。 ≥0 Count 不涉及 消费组 1分钟 topic_messages_consumed 队列已消费消息数 统计消费组指定队列当前已经消费的消息数。 ≥0 Count 不涉及 消费组 1分钟 consumer_messages_remained 消费组可消费消息数 统计消费组剩余可以消费的消息个数。 ≥0 Count 不涉及 消费组 1分钟 consumer_messages_consumed 消费组已消费消息数 统计消费组当前已经消费的消息数。 ≥0 Count 不涉及 消费组 1分钟

APIC支持的监控指标 表2 APIC支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 测量对象 监控周期（原始指标） data_api_request_count Data API调用次数 统计Data API调用次数。 ≥0 Times/min 不涉及 实例 1分钟 data_api_max_latency Data API最大延迟毫秒数 统计Data API最大响应延时时间。 ≥0 ms 不涉及 实例 1分钟 data_api_avg_latency Data API平均延迟毫秒数 统计Data API平均响应延时时间。 ≥0 ms 不涉及 实例 1分钟 data_api_errors Data API错误次数 统计Data API错误次数。 ≥0 Times/min 不涉及 实例 1分钟 func_api_request_count Function API调用次数 统计Function API调用次数。 ≥0 Times/min 不涉及 实例 1分钟 func_api_max_latency Function API最大延迟毫秒数 统计Function API最大响应延时时间。 ≥0 ms 不涉及 实例 1分钟 func_api_avg_latency Function API平均延迟毫秒数 统计Function API平均响应延时时间。 ≥0 ms 不涉及 实例 1分钟 func_api_errors Function API错误次数 统计Function API错误次数。 ≥0 Times/min 不涉及 实例 1分钟 requests 接口调用次数 统计测量api接口被调用的次数。 ≥0 Times/min 不涉及 实例 1分钟 error_4xx 4xx 异常次数 统计测量api接口返回4xx错误的次数。 ≥0 Times/min 不涉及 实例 1分钟 error_5xx 5xx 异常次数 统计测量api接口返回5xx错误的次数。 ≥0 Times/min 不涉及 实例 1分钟 throttled_calls 被流控的调用次数 统计测量api被流控的调用次数。 ≥0 Times/min 不涉及 实例 1分钟 avg_latency 平均延迟毫秒数 统计测量api接口平均响应延时时间。 ≥0 ms 不涉及 实例 1分钟 max_latency 最大延迟毫秒数 统计测量api接口最大响应延时时间。 ≥0 ms 不涉及 实例 1分钟 req_count 接口调用次数 统计测量api接口调用次数。 ≥0 Times/min 不涉及 单个API 1分钟 req_count_2xx 2xx调用次数 统计测量api接口调用2xx的次数。 ≥0 Times/min 不涉及 单个API 1分钟 req_count_4xx 4xx异常次数 统计测量api接口返回4xx错误的次数。 ≥0 Times/min 不涉及 单个API 1分钟 req_count_5xx 5xx异常次数 统计测量api接口返回5xx错误的次数。 ≥0 Times/min 不涉及 单个API 1分钟 req_count_error 异常次数 统计测量api接口总的错误次数。 ≥0 Times/min 不涉及 单个API 1分钟 avg_latency 平均延迟毫秒数 统计测量api接口平均响应延时时间。 ≥0 ms 不涉及 单个API 1分钟 max_latency 最大延迟毫秒数 统计测量api接口最大响应延时时间。 ≥0 ms 不涉及 单个API 1分钟 input_throughput 流入流量 统计测量api接口请求流量。 ≥0 Byte/KB/MB/GB/TB/PB 1024(IEC) 单个API 1分钟 output_throughput 流出流量 统计测量api接口返回流量。 ≥0 Byte/KB/MB/GB/TB/PB 1024(IEC) 单个API 1分钟

权限类别 权限类别： 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精准到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对GES服务，用户能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 GES支持的API授权项请参见《权限策略和授权项》。 “GES ReadOnlyAccess”属于策略。

示例流程 本章节通过简单的用户组授权方法，将GES服务的策略授予用户组，并将用户添加至用户组中，从而使用户拥有对应的GES权限，操作流程如图1所示。 图1 给用户授权GES权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予GES服务普通用户权限“GES ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 使用新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择图引擎服务，进入GES主界面，单击右上角“创建图”，尝试创建一个新图，如果无法创建新图（假设当前权限仅包含GES ReadOnlyAccess），表示“GES ReadOnlyAccess”已生效。 在“服务列表”中选择除图引擎服务外（假设当前策略仅包含GES ReadOnlyAccess）的任一服务，若提示权限不足，表示“GES ReadOnlyAccess”已生效。

操作步骤 登录图引擎服务管理控制台，在左侧导航栏中选择“数据迁移”。 在“数据迁移”页签单击“新建”。 图1 新建数据迁移 设置数据源配置参数。 任务名称：自定义名称，不能与已有任务名称重复，长度在4位到50位之间，必须以字母开头，不区分大小写，可以包含字母、数字、下划线，不能包含其他的特殊字符。 数据源：根据需要选择已创建完成的数据源。 关联图名称：选择数据源后自动显示。 图2 数据源配置 设置元数据配置。 点文件源列表：选择点数据所在的表，从左侧选中表后需要单击添加到右侧。 边文件源列表：选择边数据所在的表，从左侧选中表后需要单击添加到右侧。 schema文件：首次创建迁移任务时，按步骤5操作生成schema文件，完成后选择schema文件。 图3 元数据配置 生成schema文件。 单击“生成schema”按钮进行生成。 图4 schema文件 在页面右侧弹出的窗口中，填写“schema名称”，并选择“schema存储路径”，填写完成后单击“确定”提交创建元数据任务。 图5 创建元数据 在弹窗中单击“跳转”会开启一个新窗口跳转到“数据迁移”页面，您可以查看创建元数据任务状态，等待任务执行成功。 图6 创建成功弹窗 图7 查看创建元数据任务状态 在新建数据迁移页面，接着填写信息，设置导入配置。 重复边处理：选择重复边处理策略(持久化版图仅支持覆盖或忽略重复边)。 开启重复边忽略Label：重复边定义是否包含label(持久化版图不涉及)。 开启离线导入：是否离线导入(离线导入期间图不可读不可写，持久化版图不涉及)。 图8 导入配置 设置存储路径配置。 点文件存储路径：用于存放从数据源的数据库导出的点数据。 边文件存储路径：用于存放从数据源的数据库导出的边数据。 日志存放路径：用于存放导入时产生的日志文件。 图9 存储路径配置 全部填写完成后，单击“创建”，在“数据迁移”页签查看迁移任务进度及结果。 图10 查看迁移结果 可以单击操作列的“详情”，查看每个点边数据集的任务状态。 图11 任务详情

任务类型和任务名称对应表 表3 对应表 任务类型 任务名称 100 点查询 101 创建点 102 删除点 103 修改点属性 104 添加点Label 105 删除点Label 200 边查询 201 创建边 202 删除边 203 修改边属性 300 查询Schema详情 301 添加Label 302 修改Label 303 查询Label 304 修改属性 400 查询图详情 401 清空图 402 在线增量导入图 403 创建图 405 删除图 406 导出图 407 filtered_khop 408 查询路径详情 409 离线增量导入图 500 创建备份 501 从备份恢复图 601 创建索引 602 查询索引 603 更新索引 604 删除索引 700 运行算法 800 查询异步任务