华为云用户手册

数据准备 以下数据和表结构是根据场景进行模拟的数据，并非真实数据。 以下数据需要提前存导入到MySQL\Hive\Oracle等用户所属数据源中， TICS 本身不会持有这些数据，这些数据会通过用户购买的计算节点进行加密计算，保障数据安全。 政府信息提供方的数据tax和support，在用户计算节点agent_gov上发布。 能源信息提供方的数据power，在用户计算节点agent_power上发布。 表1 企业税收和资助金情况表tax 列名 含义 字段分类 Id 企业id 唯一标识 tax_bal 税收 敏感 Industry 行业类型 不敏感 表2 企业政府资助金数据表support 列名 含义 字段分类 Id 企业id 唯一标识 supp_bal 资助金的金额 敏感 Industry 行业类型 不敏感 表3 企业水电情况表power 列名 含义 字段分类 Id 企业id 唯一标识 electric_bal 电费 敏感 water_bal 水费 敏感 从业务角度考虑，安排五个阶段，来对TI CS 系统进行验证和测试。本章重点讲述如何端到端实现一个该场景下的隐私计算作业完整执行流程。

导入数据 在第一个合作方Partner1的MySQL数据源中，通过如下的SQL语句创建数据表： CREATE TABLE tax ( id integer COMMENT '企业id' , tax_bal integer COMMENT '税收金额' , industry varchar(150) COMMENT '行业' ); CREATE TABLE support ( id integer COMMENT '企业id' , supp_bal integer COMMENT '资助金额', industry varchar(150) COMMENT '行业' ); 在第二个合作方Partner2的MySQL数据源中，通过如下的SQL语句创建数据表： CREATE TABLE power ( id integer COMMENT '企业id' , electric_bal integer COMMENT '电费', water_bal integer COMMENT '水费' ); 将下面的数据分别导入csv文件并上传到MySQL数据源所在服务器。 Tax表的数据如下： id,tax_bal,industry 123400999,745,互联网 123400998,324,其他 123400997,664,其他 123400996,243,金融 123400995,715,互联网 123400994,475,通讯 123400993,526,其他 123400992,272,互联网 123400991,646,金融 123400990,510,其他 Support表的数据如下： id,supp_bal,industry 123400999,314,互联网 123400998,405,其他 123400997,371,其他 123400996,484,金融 123400995,381,互联网 123400994,405,通讯 123400993,292,其他 123400992,503,互联网 123400991,303,金融 123400990,412,其他 Power表的数据如下： id,electric_bal,water_bal 123400999,79,48 123400998,57,70 123400997,69,37 123400996,50,57 123400995,66,50 123400994,56,55 123400993,63,53 123400992,45,76 123400991,80,36 123400990,39,63 执行如下SQL语句，将csv文件内的数据导入创建的数据表。 LOAD DATA INFILE 'csv数据文件名' INTO TABLE 表名 或者执行如下的插入语句： Tax表： insert into tax values (123400999,745,'互联网'), (123400998,324,'其他' ), (123400997,664,'其他' ), (123400996,243,'金融' ), (123400995,715,'互联网' ), (123400994,475,'通讯' ), (123400993,526,'其他'), (123400992,272,'互联网' ), (123400991,646,'金融' ), (123400990,510,'其他'); Support表： insert into support values (123400999,314,'互联网' ), (123400998,405,'其他' ), (123400997,371,'其他' ), (123400996,484,'金融' ), (123400995,381,'互联网' ), (123400994,405,'通讯' ), (123400993,292,'其他' ), (123400992,503,'互联网' ), (123400991,303,'金融' ), (123400990,412,'其他'); Power表： insert into power values (123400999,79,48), (123400998,57,70), (123400997,69,37), (123400996,50,57), (123400995,66,50 ), (123400994,56,55), (123400993,63,53), (123400992,45,76), (123400991,80,36), (123400990,39,63);

管理检测与响应的服务内容是什么？ 企业版 企业版管理检测与响应结合您实际业务场景，通过云服务方式，为您提供华为 云安全 标准化的运维运营服务。企业版服务详细内容请参见表1。 表1 企业版服务说明 服务内容 响应时间 交付件 网站安全体检：远程提供安全监测服务支持HTTP/HTTPS协议进行实时安全监测；支持网页木马、恶意篡改、坏链、对外开放服务、可用性、审计、脆弱性这七个维度对网站进行监测；支持WEB安全 漏洞扫描 及 域名 劫持进行实时安全监测；定期推送网站安全体检报告。 8小时内响应 服务后5个工作日内提交测试报告 提供专业的《监控季度总结报告》和《年度总结报》。 主机安全体检：通过 日志分析 、漏洞扫描等技术手段对主机进行威胁识别；通过基线检查发现主机操作系统、中间件存在的错误配置、不符合项和弱口令等风险。 8小时内响应 5个工作日内评估主机安全 提供专业的《主机安全评估报告》。 安全加固：对主机服务器、中间件进行漏洞扫描、基线配置加固；分析操作系统及应用面临的安全威胁，分析操作系统补丁和应用系统组件版本；提供相应的整改方案，并在您的许可下完成相关漏洞的修复和补丁组件的加固工作。 8小时内响应 单次服务10-20个系统后10个工作日内提交测试报告。 提供专业的《安全加固交付报告》。 安全监测：通过远程查找及处置主机系统内的恶意程序，包括病毒、木马、蠕虫等；通过远程查找及处置Web系统内的可疑文件，包括Webshell、黑客工具和暗链等；提出业务快速恢复建议，协助您快速恢复业务。 工作日内8小时响应。 5个工作日内评估项目总体人工天与预计周期。 提供专业的《安全监测报告》。 应急响应：业务系统出现安全问题的情况下，提供24小时安全应急响应服务，由安全团队协助处理中毒、中木马等应急事宜，每次处理完成后华为侧提供应急响应报告，分析问题根因，并提供改进建议。 工作日1小时内响应，非工作日内4小时响应。 单次服务10台设备以内后3个工作日内以提交报告时间为准。 提供专业的《应急响应报告》。 安全配置服务：根据客户业务需求，如主机IP、主机系统版本、域名、流量、加密、数据库防护等级等信息。输出安全解决方案并制订安全防护体系包括安全服务规格、数量、策略。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全配置方案》。 安全防护服务开通与部署：安全服务交付，如主机安全、WAF、DDoS高防、 堡垒机 、漏洞扫描等服务的部署。云安全设置，提供云安全设置服务，包括安全组、防火墙策略等的设置操作 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全服务交付报告》。 定期策略更新与维护：从主机安全、应用安全、网络安全、数据安全、安全管理等方面定期完成漏洞检测、基线扫描、策略优化、巡检监控等操作，并输出整改方案报告。 工作日8小时内响应。 7个工作日内评估项目总体人工天与预计周期。 提供专业的《安全运维服务周期性报告》。 安全漏洞预警：根据最新的安全漏洞、病毒木马、黑客技术和安全动态信息，结合客户实际的操作系统、中间件、应用和网络情况等，定期将相关安全信息如安全漏洞、病毒木马资讯、安全隐患/入侵预警和安全事件动态等内容，以电子邮件方式进行通报，并提出合理建议和解决方案等。 固定发送安全资讯周报 工作日1小时内响应，非工作日内4小时响应。 不定时发送漏洞预警 提供专业的《安全周报和漏洞预警》。 主动安全预警：主机存在被入侵并对外攻击问题，主动邮件或电话知会客户排查；针对主动发现的影响客户使用的安全问题，进行主动通知工作。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《配置核查报告》、《安全策略优化报告》、《弱口令检查报告》。 安全设备维护：对各类安全设备开展基础维护，包括设备配置定期备份、设备特征库升级、设备版本升级、设备切换、设备配置调整等。 每周固定发送安全巡检周报，不定时发送设备维护报告 提供专业的《安全设备维护报告》。 漏洞管理：通过华为云主机安全、漏洞扫描等安全服务，对实现云上业务系统的web应用、操作系统、中间件等漏洞的统一管理。 工作日1小时内响应，非工作日内4小时响应。 单次服务结束后3个工作日内以提交报告时间为准。 提供专业《漏洞扫描报告》。 等保建设助手 等保建设助手凭借华为安全团队自身及客户等保认证经验，为您提供等保定级和差距评估咨询，并根据系统情况提供定级参考意见和相关技术建议书以及等保条款分析情况汇总。 等保建设助手提供基础版和高级版两种服务类型，服务内容和典型应用场景如表2所示。您可根据实际业务需求，选择购买需要的服务类型。 表2 等保建设助手说明 服务类型 服务内容 典型应用场景 基础版 提供等保定级和差距评估咨询，根据系统情况提供定级参考意见和相关技术建议书以及等保条款分析情况汇总 等保安全加固方案：根据等级保护差距要求，远程方式提供安全加固建议 适用于您已找好等保测评机构，但缺乏对等保要求的深入了解，不知道如何整改且拖延整改周期。 高级版 提供等保定级和差距评估咨询，现场方式进行系统情况提供定级参考意见和相关技术建议书以及分析情况汇总 等保安全加固方案：根据等级保护差距要求，现场方式提供安全加固建议 专项版 专项版通过业务信息收集、安全保障方案制定、安全自查与整改、安全防护加固、安全团队建设、现场+远程监控及响应、安全服务保障总结等方式，支撑各类会议稳定、圆满进行。 专项版提供云会议安全保障和特级安全保障两种服务类型，服务内容和典型应用场景如表3所示。您可根据实际业务需求，选择购买需要的服务类型。 表3 专项版说明 服务类型 服务内容 服务特色 典型应用场景 云会议安全保障 业务信息收集 安全保障方案制定 安全自查与整改 安全防护加固 安全团队建设 现场+远程监控及响应 安全服务保障总结 针对您的业务问题提供修复建议 提供保障服务的历史漏洞和修复建议 安排专职专家远程职守、实时监控 适用于重大会议 特级安全保障 业务信息收集 安全保障方案制定 安全自查与整改 安全防护加固 安全团队建设 现场+远程监控及响应 安全服务保障总结 对您的业务问题进行修复并提供建议 对您的保障业务系统进行风险评估并整改 修复保障服务的历史漏洞并定期跟踪 安排专职专家现场职守、实时监控 适用于特级会议 密评建设助手 密评建设助手面向政府和大型企事业单位提供“密评”合规、国密改造、密码安全评估咨询服务，根据密码应用情况提供密码合规参考意见、相关技术建议书以及密评条款分析情况汇总。密评建设助手详细服务内容请参见表4。 表4 密评建设助手说明 服务项 服务内容 交付件 用户调研 项目需求沟通 提供需求沟通会议纪要 信息收集与分析 填写《信息系统调研表》 调研表分析及评审 提供《信息系统调研表》 差距分析 密评技术条例分析 提供《差距分析报告》 密评管理条例分析 现状分析与差距评估 整改方案 密评技术条例整改指导 密评技术条例解读 根据测评结果判定，指导进行密评技术条例不满足项的整改 提供整改方案、管理制度模板 密评管理条例整改指导 密评管理条例解读 根据测评结果判定，指导进行密评管理条例不满足项的整改 技术及管理层面整改取证指导 方案评估 密评专家进行方案评估 密评专家进行方案评估，审查被测系统责任单位的密码应用/密码设计/实施/应急方案 专家评估结论输出 提供《评估报告》 父主题： 关于服务咨询

使用 云存储 优化与提升服务获得的最终交付件是什么？ 购买云存储AI大模型性能诊断与优化服务-SFS Turbo AI大模型性能诊断与优化服务基础包/增量包会获得交付件《华为云AI大模型存储方案规划设计书》，含对企业业务系统的调研结果、存储性能诊断，资源配置建议和详细的配置指南。 购买云存储性能诊断与优化服务-EVS性能诊断与优化服务基础包/增量包会获得交付件《华为云EVS方案规划设计书》，含对企业业务系统的调研结果、存储性能诊断，资源配置建议和详细的配置指南。 父主题： 关于服务交付

服务流程 企业版业务流程 企业版是华为与权威的第三方机构合作提供的专业的安全专家人工服务并提供专业的检测报告。 企业版业务流程如图1所示。各步骤说明如表5所示。 图1 企业版业务流程图 表5 企业版业务流程说明 步骤 流程操作 说明 1 购买企业版 在购买时，您需要选择购买资源数量。 2 需求沟通&资质审核 购买成功后，管理检测与响应将在1个工作日内联系您，与您沟通确定服务内容和审核资质。 3 管理检测与响应团队执行管理检测与响应 审核通过后，华为云安全专家团执行本次管理检测与响应。 网站安全体检 主机安全体检 安全加固指导 安全监测服务 应急响应服务 安全配置服务 安全防护服务开通与部署 定期策略更新与维护 安全漏洞预警服务 主动安全预警服务 安全设备维护服务 漏洞管理服务 电子取证、司法鉴定 4 提交管理检测与响应服务报告 服务周期到期后，管理检测与响应上传本次管理检测与响应服务报告。 5 验收管理检测与响应 管理检测与响应完成审核后，上传管理检测与响应报告，此时您会收到验收短息，请您前往管理检测与响应管理控制台进行验收本次管理检测与响应。 等保建设助手 等保建设助手凭借华为安全团队自身及客户等保认证经验，为您提供等保定级和差距评估咨询，并根据系统情况提供定级参考意见和相关技术建议书以及等保条款分析情况汇总。 等保建设助手流程如图2所示，各流程步骤说明如表6所示。 图2 等保建设助手业务流程图 表6 等保建设助手业务流程说明 步骤 操作 说明 1 购买等保建设助手 购买前，请拨打950808按1转1或直接联系您的客户经理，确定项目报价后再下单。 购买时，您需要选择服务类型、数量，以及您的信息。 2 需求沟通&资质审核 购买成功后，管理检测与响应将在1个工作日内联系您，审核资质。 3 华为安全团队执行管理检测与响应 审核通过后，管理检测与响应团队将根据您IT系统的实际情况提供定级意见、差距分析以及安全加固建议。 4 提交管理检测与响应报告 管理检测与响应上传安全加固方案或差距分析报告。 5 验收管理检测与响应 服务完成后，您验收本次管理检测与响应。 专项版业务流程 专项版服务内容包括业务信息收集、安全保障方案制定、安全自查与整改、安全防护加固、安全团队建设、现场+远程监控及响应、安全服务保障总结。 专项版业务流程如图3所示，各流程步骤说明如表7所示。 图3 专项版业务流程图 表7 专项版业务流程说明 步骤 操作 说明 1 购买专项版 购买前，请拨打950808按1转1或直接联系您的客户经理，确定项目报价后再下单。 购买时，您需要选择服务类型、数量，以及您的信息。 2 需求沟通&资质审核 购买成功后，管理检测与响应将在1个工作日内联系您。指导您进行安全服务的选型和部署，对网络、主机、数据库、安全管理制度等进行整改。 3 等保测评机构执行管理检测与响应 审核通过后，由权威等保测评机构执行等保测评工作。 4 提交管理检测与响应报告 管理检测与响应上传整改解决方案和差距分析报告。 5 验收管理检测与响应 服务完成后，您验收本次管理检测与响应。 密评建设助手业务流程 密评建设助手提供“密评”合规、国密改造、密码安全评估咨询服务，根据密码应用情况提供密码合规参考意见、相关技术建议书以及密评条款分析情况汇总。 密评建设助手业务流程如所示，各流程步骤说明如表8所示。 图4 密评建设助手业务流程图 表8 密评建设助手业务流程说明 步骤 操作 说明 1 购买密评建设助手 购买前，请拨打950808按1转1或直接联系您的客户经理，确定项目报价后再下单。 购买时，您需要选择服务类型、数量，以及您的信息。 2 需求沟通&资质审核 购买成功后，管理检测与响应将在1个工作日内联系您。指导您进行安全服务的选型和部署，对网络、主机、数据库、安全管理制度等进行整改。 3 等保测评机构执行管理检测与响应 审核通过后，由权威等保测评机构执行等保测评工作。 4 提交管理检测与响应报告 管理检测与响应上传整改解决方案和差距分析报告。 5 验收管理检测与响应 服务完成后，您验收本次管理检测与响应。

服务概述 管理检测与响应（Managed Detection Response，MDR）是结合华为30年安全经验积累，以云服务的形式，为客户建立由管理、技术与运维构成的安全风险管控体系，结合企业与机构业务的安全需求反馈和防控效果对用户安全防护进行持续改进，帮助企业与机构实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险，消除安全事件带来的损失。 管理检测与响应提供企业版、等保建设助手、专项版和密评建设助手5种服务类型。 管理检测与响应的有效期为1年，请务必在有效期内使用。到期以后，需重新购买。

服务内容 企业版 企业版管理检测与响应结合您实际业务场景，通过云服务方式，为您提供华为云安全标准化的运维运营服务。企业版服务详细内容请参见表1。 表1 企业版服务说明 服务内容 响应时间 交付件 网站安全体检：远程提供安全监测服务支持HTTP/HTTPS协议进行实时安全监测；支持网页木马、恶意篡改、坏链、对外开放服务、可用性、审计、脆弱性这七个维度对网站进行监测；支持WEB安全漏洞扫描及域名劫持进行实时安全监测；定期推送网站安全体检报告。 8小时内响应 服务后5个工作日内提交测试报告 提供专业的《监控季度总结报告》和《年度总结报》。 主机安全体检：通过日志分析、漏洞扫描等技术手段对主机进行威胁识别；通过基线检查发现主机操作系统、中间件存在的错误配置、不符合项和弱口令等风险。 8小时内响应 5个工作日内评估主机安全 提供专业的《主机安全评估报告》。 安全加固：对主机服务器、中间件进行漏洞扫描、基线配置加固；分析操作系统及应用面临的安全威胁，分析操作系统补丁和应用系统组件版本；提供相应的整改方案，并在您的许可下完成相关漏洞的修复和补丁组件的加固工作。 8小时内响应 单次服务10-20个系统后10个工作日内提交测试报告。 提供专业的《安全加固交付报告》。 安全监测：通过远程查找及处置主机系统内的恶意程序，包括病毒、木马、蠕虫等；通过远程查找及处置Web系统内的可疑文件，包括Webshell、黑客工具和暗链等；提出业务快速恢复建议，协助您快速恢复业务。 工作日内8小时响应。 5个工作日内评估项目总体人工天与预计周期。 提供专业的《安全监测报告》。 应急响应：业务系统出现安全问题的情况下，提供24小时安全应急响应服务，由安全团队协助处理中毒、中木马等应急事宜，每次处理完成后华为侧提供应急响应报告，分析问题根因，并提供改进建议。 工作日1小时内响应，非工作日内4小时响应。 单次服务10台设备以内后3个工作日内以提交报告时间为准。 提供专业的《应急响应报告》。 安全配置服务：根据客户业务需求，如主机IP、主机系统版本、域名、流量、加密、数据库防护等级等信息。输出安全解决方案并制订安全防护体系包括安全服务规格、数量、策略。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全配置方案》。 安全防护服务开通与部署：安全服务交付，如主机安全、WAF、DDoS高防、堡垒机、漏洞扫描等服务的部署。云安全设置，提供云安全设置服务，包括安全组、防火墙策略等的设置操作 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全服务交付报告》。 定期策略更新与维护：从主机安全、应用安全、网络安全、数据安全、安全管理等方面定期完成漏洞检测、基线扫描、策略优化、巡检监控等操作，并输出整改方案报告。 工作日8小时内响应。 7个工作日内评估项目总体人工天与预计周期。 提供专业的《安全运维服务周期性报告》。 安全漏洞预警：根据最新的安全漏洞、病毒木马、黑客技术和安全动态信息，结合客户实际的操作系统、中间件、应用和网络情况等，定期将相关安全信息如安全漏洞、病毒木马资讯、安全隐患/入侵预警和安全事件动态等内容，以电子邮件方式进行通报，并提出合理建议和解决方案等。 固定发送安全资讯周报 工作日1小时内响应，非工作日内4小时响应。 不定时发送漏洞预警 提供专业的《安全周报和漏洞预警》。 主动安全预警：主机存在被入侵并对外攻击问题，主动邮件或电话知会客户排查；针对主动发现的影响客户使用的安全问题，进行主动通知工作。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《配置核查报告》、《安全策略优化报告》、《弱口令检查报告》。 安全设备维护：对各类安全设备开展基础维护，包括设备配置定期备份、设备特征库升级、设备版本升级、设备切换、设备配置调整等。 每周固定发送安全巡检周报，不定时发送设备维护报告 提供专业的《安全设备维护报告》。 漏洞管理：通过华为云主机安全、漏洞扫描等安全服务，对实现云上业务系统的web应用、操作系统、中间件等漏洞的统一管理。 工作日1小时内响应，非工作日内4小时响应。 单次服务结束后3个工作日内以提交报告时间为准。 提供专业《漏洞扫描报告》。 等保建设助手 等保建设助手凭借华为安全团队自身及客户等保认证经验，为您提供等保定级和差距评估咨询，并根据系统情况提供定级参考意见和相关技术建议书以及等保条款分析情况汇总。 等保建设助手提供基础版和高级版两种服务类型，服务内容和典型应用场景如表2所示。您可根据实际业务需求，选择购买需要的服务类型。 表2 等保建设助手说明 服务类型 服务内容 典型应用场景 基础版 提供等保定级和差距评估咨询，根据系统情况提供定级参考意见和相关技术建议书以及等保条款分析情况汇总 等保安全加固方案：根据等级保护差距要求，远程方式提供安全加固建议 适用于您已找好等保测评机构，但缺乏对等保要求的深入了解，不知道如何整改且拖延整改周期。 高级版 提供等保定级和差距评估咨询，现场方式进行系统情况提供定级参考意见和相关技术建议书以及分析情况汇总 等保安全加固方案：根据等级保护差距要求，现场方式提供安全加固建议 专项版 专项版通过业务信息收集、安全保障方案制定、安全自查与整改、安全防护加固、安全团队建设、现场+远程监控及响应、安全服务保障总结等方式，支撑各类会议稳定、圆满进行。 专项版提供云会议安全保障和特级安全保障两种服务类型，服务内容和典型应用场景如表3所示。您可根据实际业务需求，选择购买需要的服务类型。 表3 专项版说明 服务类型 服务内容 服务特色 典型应用场景 云会议安全保障 业务信息收集 安全保障方案制定 安全自查与整改 安全防护加固 安全团队建设 现场+远程监控及响应 安全服务保障总结 针对您的业务问题提供修复建议 提供保障服务的历史漏洞和修复建议 安排专职专家远程职守、实时监控 适用于重大会议 特级安全保障 业务信息收集 安全保障方案制定 安全自查与整改 安全防护加固 安全团队建设 现场+远程监控及响应 安全服务保障总结 对您的业务问题进行修复并提供建议 对您的保障业务系统进行风险评估并整改 修复保障服务的历史漏洞并定期跟踪 安排专职专家现场职守、实时监控 适用于特级会议 密评建设助手 密评建设助手面向政府和大型企事业单位提供“密评”合规、国密改造、密码安全评估咨询服务，根据密码应用情况提供密码合规参考意见、相关技术建议书以及密评条款分析情况汇总。密评建设助手详细服务内容请参见表4。 表4 密评建设助手说明 服务项 服务内容 交付件 用户调研 项目需求沟通 提供需求沟通会议纪要 信息收集与分析 填写《信息系统调研表》 调研表分析及评审 提供《信息系统调研表》 差距分析 密评技术条例分析 提供《差距分析报告》 密评管理条例分析 现状分析与差距评估 整改方案 密评技术条例整改指导 密评技术条例解读 根据测评结果判定，指导进行密评技术条例不满足项的整改 提供整改方案、管理制度模板 密评管理条例整改指导 密评管理条例解读 根据测评结果判定，指导进行密评管理条例不满足项的整改 技术及管理层面整改取证指导 方案评估 密评专家进行方案评估 密评专家进行方案评估，审查被测系统责任单位的密码应用/密码设计/实施/应急方案 专家评估结论输出 提供《评估报告》

责任分工 共同责任 双方商定并确认具体业务目标及范围； 双方完成合同签订。 华为责任 接受用户的保障申请，组建华为云专家保障团队； 根据用户提供的业务系统现状及预期业务峰值，制定保障方案； 保障前，按照保障方案，进行保障前预检和各种主动性检查，给出优化建议； 保障期间，配合用户进行业务系统保障； 保障期间，提供专家保障团队进行7*24小时的紧急事件响应，按照保障方案执行相关保障动作； 保障结束后，提供保障总结报告。 客户责任 提供详细准确的保障信息及业务目标（如保障时间、业务部署情况、业务上线情况、预期业务峰值等）； 提供保障设施和授权，以便华为云保障人员开展保障工作； 审核并确认华为提供的云上保障护航方案，根据优化建议，实施相应的优化措施； 客户作为运维保障主体，统筹护航保障工作。

服务内容 表1 云上保障护航服务规格 阶段 服务项 基础版 标准版 保障前 需求调研 √ √ 护航方案 √ √ 风险巡检 √ √ 安全评估 - √ 容量评估 - √ 性能测试 - √ 保障中 值守保障团队 √ √ 保障后 保障总结 √ √ 表2 云上保障护航服务内容 阶段 服务项 服务内容 保障前 需求调研 与客户沟通护航保障场景、保障时间、保障业务范围、保障目标、确保需求一致 护航方案 根据客户的需求及目标，输出护航方案 风险巡检 进行定期巡检，识别风险，提供建议 安全评估 进行云服务安全配置检查，提供建议 容量评估 根据用户的业务现状及预期业务峰值，提供容量优化建议 性能测试 根据客户性能需求和业务特点，对系统进行性能测试，识别系统性能瓶颈。 备注：仅限CPTS服务支持的性能测试场景，不承担在性能测试过程中使用华为云性能测试服务CPTS产生的费用（VUM套餐包、测试集群、带宽、EIP） 保障中 值守保障团队 7*24小时IM服务群、专属服务经理、WAR Room专家值守 保障后 保障总结 对保障前、保障中的工作进行总结，输出云上保障护航服务总结报告 云上保障护航服务默认是远程保障，如需要现场支持，需要额外付费； 基础版、标准版包含1天远程保障，如实际远程保障天数大于1天，需额外付费； 安全评估主要是基于华为云提供的安全云服务进行风险检查，结合最佳实践给出优化建议，如需要攻防演练、安全渗透测试和等保认证，请购买管理检测与响应； 护航中的权益项，比如保障前的检查、演练或者测试等内容需要客户配合才能完成，如客户不配合，华为不负责且不针对单个权益项目进行退费。针对保障团队发现的风险问题并且在明确告知客户的情况下，客户不及时整改导致出现的业务问题，保障团队不负责； 性能测试主要针对小于一百万并发的web场景，其他场景需要结合项目进行人工评估，CPTS性能测试资源需要客户单独购买。

服务范围 覆盖范围 保障前：确认保障业务范围和目标，进行容量、安全、性能等风险识别和优化，输出护航方案； 保障中：提供专业的保障团队进行资源巡检和专家团队保障值守； 保障后：输出保障活动总结报告。 不覆盖范围 应用系统的设计和运维工作，包括不限于客户应用开发、测试、部署、迁移、故障诊断等； 第三方软件的安装、配置指导、补丁更新、测试、故障诊断、优化等； IDC和硬件设备维护，如网络设备、服务器、存储等硬件巡检、更换、诊断等。

云存储优化与提升服务优势？ AI大模型训练加速：提供AI原生存储的三级缓存联动加速，具有数据加载快、模型训练快、故障备份恢复快特点。 丰富的云存储性能诊断经验：凭借积累的多种复杂场景经验和专家团队的应对能力，能够快速准确地定位性能瓶颈问题。 专业的云存储性能优化实践：拥有丰富的各行业数据上云交付经验，擅长解决复杂业务场景下的性能问题，拥有优化性能瓶颈的专业经验，能提供专家级的性能优化规划方案，并提供全程的技术支持保障，端到端地帮助客户提升存储的性能。 极致性能的存储：支持云原生批量资源创建、弹性扩容，并提供百微秒级时延、GB级带宽，全面满足客户业务的高性能要求。 优质用户体验：华为云注重用户体验，提供个性化的服务，与客户紧密合作，根据其特定需求定制云存储性能优化方案，并在服务过程中多次和客户对齐方案的内容目标，确保客户收到满意的存储性能诊断及规划方案，并在后续提供专业的技术落地支持。 父主题： 关于服务咨询

验收标准 周期计费模式(自建数据库托管服务（5*8小时）、自建数据库托管服务（7*24小时）、云数据库托管服务（5*8小时）、云数据库托管服务（7*24小时）)：以客户激活订单为起始标志，基于合同/订单完成交付天数为终止标志，服务到期后自动通过验收。 一次性服务（数据库接入服务）：华为按各服务子项提交标准交付件，客户在华为云官网Console确认验收，或线下签字并盖章《数据库接入服务验收报告》作为服务验收通过依据。

责任矩阵 共同责任 双方商定并确认具体的业务需求及目标。 双方商定并确认项目管理计划。 双方商定并确认方案内容并评审。 完成合同签订。 华为责任 华为云需明确此次项目的负责人，因特殊情况导致华为人员变更，需要提前3个工作日知会客户，直至项目最终验收完成。 华为云得到客户授权后，授权数据仅限用于数据库确定性运维服务中涉及的服务内容，不得超出限定范围。 华为云为客户提供数据库确定性运维服务，在服务流程的各阶段按照合同约定提供相关服务交付件。 客户责任 客户指派一位项目负责人负责双方之间协调及管理、审核、验收华为提供的服务。 客户必须提供业务系统相关的信息（包括但不限于应用架构、部署架构、资源数量和性能等信息）。 责任分工矩阵表 以下为职责描述案例，可酌情修改。 R=责任方/Responsibility S=协助方/Support 序号 服务流程 工作内容 华为 客户 1 日常运维 监控&告警：异常监控和告警处理。对现网数据库进行5*8小时/7*24小时实时监控，对发现的告警及问题进行处理。 服务台和工单：服务台故障受理。受理呼叫中心处理单用户或小批量用户业务异常处理，及时处理服务台和工单，在SLA范围内响应和关闭工单。 事件管理：事件通知、跟踪和关闭。事件发生后，立即通知客户服务故障，监控和跟踪事件直到关闭。 问题管理：问题跟踪和关闭。对现网发生的问题进行监控和跟踪直到问题关闭。 变更实施：配置变更实施服务，根据客户提供的实施指导执行现网变更，主要包括变更受理、变更准备、参与方案评审、变更实施，由客户确认变更验证与结果确认，一周一次。 故障恢复：现网数据库发生紧急故障时，运维团队完成紧急故障恢复。包括故障受理、故障恢复等运维活动，但不承诺恢复时长。 故障诊断分析：故障信息收集和初步分析，不承诺解决故障。 数据库升级：按照客户和业务要求，对数据库进行版本升级操作。 SLA管理：对问题响应SLA达成情况进行整体把控。 重大故障复盘：对重大故障进行复盘。不负责具体根因分析，协助客户对现网发生的重大故障进行复盘，协助输出根因分析报告。 R S 2 主动运维 巡检服务：巡检与检查-周检。每周检查，对数据库健康与性能做详细检查，包括数据库状态，空间，日志等检查。 数据备份：数据备份管理。检查数据库自动备份任务的执行和远程处理，根据客户需求进行本地+远程备份存储，适应不同场景的数据恢复。 性能优化：对运维范围内的数据库进行性能分析，并针对性定位分析并提出优化方案，不保证优化方案的落地。 R S 3 客户侧沟通 客户会议：客户侧的例会，如日/周/月服务质量例会，变更例会，故障例会等。参加客户会议，包括会议材料准备等。 周期性操作报告：日/周/月/季度/等报告。质量类的报告（SLA/KPI，质量，价值，进展，服务验收等，不含用户等BOE类报告）。 R S 4 数据库接入 数据库接入、账号对接、账号权限配置、数据库日志接入和验证、数据库指标接入和验证、数据库告警接入和验证。 R S 5 交付件输出 输出交付件：《巡检服务月报》、《故障处理报告》、《版本升级报告》、《运维月度报告》、《数据库接入结果》。 R S

服务概述 随着企业数字化转型，越来越多的企业选择将自身业务上云。针对企业已购买华为云基础资源，并自行安装部署关系型数据库（仅限MySQL），以及企业已购买并使用华为云云数据库，但企业无专业团队运维、有团队但技能不足或自行组建运维团队周期长和成本高的场景，华为云提供数据库确定性运维服务，为客户提供5*8小时/7*24小时监控和告警处理、日常运维、巡检等服务覆盖范围内的托管服务，及数据库接入服务，保障客户业务稳定，减少自建运维团队成本，提升运维效率，实现增效降本。

服务内容 为客户的自建数据库和云数据库，提供5*8小时/7*24小时监控和告警处理、日常运维和数据库接入等服务。 服务规格（L6） 服务内容 适用场景 自建数据库托管服务（5*8小时） 对现网自建数据库进行5*8小时实时监控，对发现的告警及问题进行处理，以及提供服务台和工单受理、事件管理、问题管理、变更实施、故障恢复、数据库升级、SLA管理、重大故障复盘、巡检服务、数据备份、性能优化、项目管理等日常运维服务。 客户购买华为云基础资源，并自行安装部署关系型数据库，仅包括：MySQL。 客户业务上云后应用基础环境无专业团队运维，缺少数据库运维技术专家，整体技术水平落后。 客户本地缺少IT技术专家，自建和培养运维团队周期长、成本高，运维能力建设多方面受限。 自建数据库托管服务（7*24小时） 对现网自建数据库进行7*24小时实时监控，对发现的告警及问题进行处理，以及提供服务台和工单受理、事件管理、问题管理、变更实施、故障恢复、数据库升级、SLA管理、重大故障复盘、巡检服务、数据备份、性能优化、容量管理、项目管理等日常运维服务。 云数据库托管服务（5*8小时） 对现网云数据库进行5*8小时实时监控，对发现的告警及问题进行处理，以及提供服务台和工单受理、事件管理、问题管理、变更实施、故障恢复、数据库升级、SLA管理、重大故障复盘、巡检服务、数据备份、性能优化、项目管理等日常运维服务。 客户已购买并使用华为云云数据库，包括： GaussDB for MySQL、RDS for MySQL、GaussDB、RDS for PostgreSQL、RDS for SQLServer、RDS for MariaDB。 客户业务上云后应用基础环境无专业团队运维，缺少数据库运维技术专家，整体技术水平落后。 客户本地缺少IT技术专家，自建和培养运维团队周期长、成本高，运维能力建设多方面受限。 云数据库托管服务（7*24小时） 对现网云数据库进行7*24小时实时监控，对发现的告警及问题进行处理，以及提供服务台和工单受理、事件管理、问题管理、变更实施、故障恢复、数据库升级、SLA管理、重大故障复盘、巡检服务、数据备份、性能优化、容量管理、项目管理等日常运维服务。 数据库接入服务 针对一定规格（10个实例）的数据库，提供一次性的工具对接服务。包括：数据库接入、账号对接、账号权限配置、数据库日志接入和验证、数据库指标接入和验证、数据库告警接入和验证。 客户需要通过工具对数据库进行统一管理

服务范围 服务覆盖范围 适用范围的数据库包括：自建数据库托管服务仅限MySQL；云数据库托管服务包括GaussDB for MySQL、RDS for MySQL、GaussDB、RDS for PostgreSQL、RDS for SQLServer、RDS for MariaDB。 运维管理: 监控&告警、服务台和工单受理、事件管理、问题管理、变更实施、故障恢复、SLA管理、重大故障复盘、项目管理。 变更实施：变更实施频率：每周一次。 版本升级：数据库版本升级，及升级次数：每季度一次。 主动预防：巡检服务、数据备份、性能优化。 数据库接入：针对一定规格（10个实例）的数据库，提供一次性的工具对接服务。 服务不覆盖范围 客户业务部署。 客户开发应用。 客户采购第三方应用。 云平台及业务架构优化设计。 数据库版本升级前的适配和升级后的业务验证。 应用数据相关的操作，包括：数据导出、数据导入、数据修复、数据处理等。 不承诺问题处理SLA和恢复时长，不负责定位数据库问题根因，不负责提供补丁。 仅提供5*8小时/7*24小时监控和告警处理、日常运维、主动运维等服务覆盖范围内的协维服务，不提供SQL上线审核、数据库安全、开发规范、高可用设计等服务。 合同约定之外的其他服务内容。 服务区域 中国区。

前提条件 客户应提前至少20个工作日申请该服务，以便华为提前评估客户业务规模，与客户签订数据库托管授权合同，提前安排华为人力投入客户托管项目。 与客户签订应用托管合同前，双方需明确数据库确定性运维服务的服务内容，确定交付范围。 本项目所有工作记录和文档以中文为工作语言，根据甲方需求提供。提交的电子文档为Microsoft Word、Microsoft PowerPoint、Microsoft Excel。

服务流程 数据库确定性运维服务交付流程图： 数据库确定性运维服务交付流程及流程说明： 服务阶段 里程碑说明 服务申请 客户提出服务申请 需求评估 华为方组织专家与客户详细了解客户需求并进行评估 目标对齐 与客户确认需求范围和交付目标 客户下单 根据客户需求进行服务配置并报价 客户确认报价，待客户成功下单后，为客户提供实施交付计划 实施交付 项目开始正式启动，项目组成员开始进行实施交付工作 交付件提供 为客户提供相关交付件，故障处理报告、运维月报、巡检服务报告、升级报告、数据库接入结果等 服务结束 到期后服务结束/服务交付验收完成

如何选择集群、副本集和单节点？ DDS提供了集群、副本集和单节点三种不同类型的实例，分别采用不同的部署架构，可以满足多场景业务需求。 表1 实例类型介绍 实例类型 适用场景 集群 提供dds mongos、shard、和config三类节点。可自由选择dds mongos和shard的节点个数和配置，组建服务性能不同的集群实例。 业务系统除了要求高可用之外，还需要较高的可扩展性，建议选择集群。 副本集 自动搭建三节点副本集架构，可直接操作Primary和Secondary节点。提供高可用、容灾切换等高级功能，使用过程中对应用完全透明。 对于需要保证高可用的中小型业务系统，建议选择副本集。 单节点 单节点数据库部署在一台虚拟机上，没有高可用特性。成本较低，是研发测试、学习培训、小型企业内部系统业务以及其他非企业核心数据存储的场景。 说明： DDS单节点规格于2023年07月15日已停售。

使用流程 从创建实例到使用实例，您需要完成如下操作。 图1 使用流程 表2 操作流程 操作步骤 说明 相关内容 创建实例 目前DDS提供了快速购买和自定义购买实例的方式。 快速购买可通过界面推荐的常用配置方案，快速便捷的创建实例。 自定义购买方式更加灵活，不仅可以根据业务需要定制相应计算能力和存储空间的实例，而且在创建实例时可以进行高级功能配置。 购买集群实例 购买副本集实例 绑定公网IP 可选操作。 当使用公网连接实例时需要配置弹性公网IP。 绑定弹性公网IP 设置安全组规则 可选操作。 将需要连接实例的设备添加至实例的安全组访问规则中，以允许外部设备能够访问该实例。 使用内网连接实例，当实例和弹性云服务器处于不同安全组时，需要配置安全组访问规则。 使用公网连接实例时，需要配置安全组访问规则。 内网-设置安全组规则 公网-设置安全组规则 连接实例 提供DAS、内网、公网、程序代码连接实例的操作。 集群连接方式 副本集连接方式 单节点连接方式

维度 Key Value instance_id ROMA Connect实例 fdi 数据集成 apic 服务集成 kafka_instance_id 消息集成实例 kafka_broker 消息集成Broker节点 kafka_rest 消息集成Rest节点 kafka_topics 消息集成队列 kafka_partitions 消息集成分区 kafka_groups-partitions 消息集成分区的消费组 kafka_groups_topics 消息集成队列的消费组 kafka_groups 消息集成消费组 link 设备集成

LINK支持的监控指标 表4 LINK支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） online_connections 在线设备数 该指标用于统计用户在线设备的连接数。 ≥0 单位：个 实例 1分钟 msg_count 消息总数 该指标用于统计用户所有设备发送的消息总数。 ≥0 单位：个 实例 1分钟 msg_tps TPS 该指标用于统计时间区间内设备每秒发送消息数。 ≥0 单位：次/秒 实例 1分钟 msg_max_latency 发送消息最大时延 该指标用于统计时间区间内设备发送消息延迟毫秒数。 ≥0 单位：毫秒 实例 1分钟

MQS支持的监控指标 表3 MQS支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） current_partitions 分区数 统计实例中已经使用的分区数量。 ≥0 单位：个 实例 1分钟 current_topics 主题数 统计实例中已经创建的主题数量。 ≥0 单位：个 实例 1分钟 group_msgs 堆积消息数 统计实例中所有消费组中总堆积消息数。 ≥0 单位：个 实例 1分钟 broker_data_size 节点数据容量 统计节点当前的消息数据大小。 ≥0 单位：Byte/KB/MB/GB/TB/PB 节点 1分钟 broker_messages_in_rate 消息生产速率 统计每秒生产的消息数量。 ≥0 单位：个/秒 节点 1分钟 broker_bytes_out_rate 消费流量 统计每秒消费的字节数。 ≥0 单位：Byte/s、KB/s、MB/s、GB/s、TB/s、PB/s 节点 1分钟 broker_bytes_in_rate 生产流量 统计每秒生产的字节数。 ≥0 单位：Byte/s、KB/s、MB/s、GB/s、TB/s、PB/s 节点 1分钟 broker_public_bytes_in_rate 公网入流量 统计Broker节点每秒公网访问流入流量。 ≥0 单位：Byte/s、KB/s、MB/s、GB/s、TB/s、PB/s 节点 1分钟 broker_public_bytes_out_rate 公网出流量 统计Broker节点每秒公网访问流出流量。 ≥0 单位：Byte/s、KB/s、MB/s、GB/s、TB/s、PB/s 节点 1分钟 broker_fetch_mean 生产请求平均处理时长 统计Broker节点处理生产请求平均时长。 ≥0 单位：毫秒 节点 1分钟 broker_produce_mean 消费请求平均处理时长 统计Broker节点处理消费请求平均时长。 ≥0 单位：毫秒 节点 1分钟 broker_alive 节点存活状态 统计MQS节点是否存活。 ≥0 节点 1分钟 broker_connections 连接数 统计MQS节点当前所有TCP连接数量。 ≥0 单位：个 节点 1分钟 broker_cpu_usage CPU使用率 统计MQS节点虚拟机的CPU使用率。 ≥0 单位：百分比 节点 1分钟 broker_disk_read_await 磁盘平均读操作耗时 统计磁盘在测量周期内平均每个读IO的操作时长。 ≥0 单位：毫秒 节点 1分钟 broker_disk_write_await 磁盘平均写操作耗时 统计磁盘在测量周期内平均每个写IO的操作时长。 ≥0 单位：毫秒 节点 1分钟 broker_total_bytes_in_rate 网络入流量 统计MQS节点每秒网络访问流入流量。 ≥0 单位：Byte/s、KB/s、MB/s、GB/s、TB/s、PB/s 节点 1分钟 broker_total_bytes_out_rate 网络出流量 统计MQS节点每秒网络访问流出流量。 ≥0 单位：Byte/s、KB/s、MB/s、GB/s、TB/s、PB/s 节点 1分钟 broker_cpu_core_load CPU核均负载 统计MQS节点虚拟机CPU每个核的平均负载。 ≥0 节点 1分钟 broker_disk_usage 磁盘容量使用率 统计MQS节点虚拟机的磁盘容量使用率。 ≥0 单位：百分比 节点 1分钟 broker_memory_usage 内存使用率 统计MQS节点虚拟机的内存使用率。 ≥0 单位：百分比 节点 1分钟 broker_heap_usage Kafka进程JVM堆内存使用率 统计MQS节点Kafka进程JVM中的堆内存使用率。 ≥0 单位：百分比 节点 1分钟 produced_messages 生产消息数 统计Rest节点每分钟生产消息数。 ≥0 单位：个 节点 1分钟 topic_bytes_in_rate 生产流量 统计Rest每秒钟生产流量。 ≥0 单位：Byte/s、KB/s、MB/s、GB/s、TB/s、PB/s 节点 1分钟 topic_bytes_out_rate 消费流量 统计Rest每秒钟消费流量。 ≥0 单位：Byte/s、KB/s、MB/s、GB/s、TB/s、PB/s 节点 1分钟 topic_messages_in_rate 消息生产速率 统计每秒生产的消息数量。 ≥0 单位：个/秒 队列 1分钟 topic_bytes_out_rate 消费流量 统计每秒消费的字节数。 ≥0 单位：Byte/s、KB/s、MB/s、GB/s、TB/s、PB/s 队列 1分钟 topic_bytes_in_rate 生产流量 统计每秒生产的字节数。 ≥0 单位：Byte/s、KB/s、MB/s、GB/s、TB/s、PB/s 队列 1分钟 topic_messages 队列消息总数 统计队列当前的消息总数。 ≥0 单位：个 队列 1分钟 produced_messages 生产消息数 统计目前生产的消息总数。 ≥0 单位：个 队列 1分钟 partition_messages 分区消息数 统计分区中当前的消息个数。 ≥0 单位：个 队列 1分钟 messages_consumed 分区已消费消息数 统计当前消费组已经消费的消息个数。 ≥0 单位：个 消费组 1分钟 messages_remained 分区可消费消息数 统计消费组可消费的消息个数。 ≥0 单位：个 消费组 1分钟 topic_messages_remained 队列可消费消息数 统计消费组指定队列可以消费的消息个数。 ≥0 单位：个 消费组 1分钟 topic_messages_consumed 队列已消费消息数 统计消费组指定队列当前已经消费的消息数。 ≥0 单位：个 消费组 1分钟 consumer_messages_remained 消费组可消费消息数 统计消费组剩余可以消费的消息个数。 ≥0 单位：个 消费组 1分钟 consumer_messages_consumed 消费组已消费消息数 统计消费组当前已经消费的消息数。 ≥0 单位：个 消费组 1分钟

APIC支持的监控指标 表2 APIC支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） data_api_request_count Data API调用次数 统计Data API调用次数。 ≥0 实例 1分钟 data_api_max_latency Data API最大延迟毫秒数 统计Data API最大响应延时时间。 ≥0 单位：毫秒 实例 1分钟 data_api_avg_latency Data API平均延迟毫秒数 统计Data API平均响应延时时间。 ≥0 单位：毫秒 实例 1分钟 data_api_errors Data API错误次数 统计Data API错误次数。 ≥0 实例 1分钟 func_api_request_count Function API调用次数 统计Function API调用次数。 ≥0 实例 1分钟 func_api_max_latency Function API最大延迟毫秒数 统计Function API最大响应延时时间。 ≥0 单位：毫秒 实例 1分钟 func_api_avg_latency Function API平均延迟毫秒数 统计Function API平均响应延时时间。 ≥0 单位：毫秒 实例 1分钟 func_api_errors Function API错误次数 统计Function API错误次数。 ≥0 实例 1分钟 requests 接口调用次数 统计测量api接口被调用的次数。 ≥0 实例 1分钟 error_4xx 4xx 异常次数 统计测量api接口返回4xx错误的次数。 ≥0 实例 1分钟 error_5xx 5xx 异常次数 统计测量api接口返回5xx错误的次数。 ≥0 实例 1分钟 throttled_calls 被流控的调用次数 统计测量api被流控的调用次数。 ≥0 实例 1分钟 avg_latency 平均延迟毫秒数 统计测量api接口平均响应延时时间。 ≥0 实例 1分钟 max_latency 最大延迟毫秒数 统计测量api接口最大响应延时时间。 ≥0 单位：毫秒 实例 1分钟 req_count 接口调用次数 统计测量api接口调用次数。 ≥0 单个API 1分钟 req_count_2xx 2xx调用次数 统计测量api接口调用2xx的次数。 ≥0 单个API 1分钟 req_count_4xx 4xx异常次数 统计测量api接口返回4xx错误的次数。 ≥0 单个API 1分钟 req_count_5xx 5xx异常次数 统计测量api接口返回5xx错误的次数。 ≥0 单个API 1分钟 req_count_error 异常次数 统计测量api接口总的错误次数。 ≥0 单个API 1分钟 avg_latency 平均延迟毫秒数 统计测量api接口平均响应延时时间。 ≥0 单位：毫秒 单个API 1分钟 max_latency 最大延迟毫秒数 统计测量api接口最大响应延时时间。 ≥0 单位：毫秒 单个API 1分钟 input_throughput 流入流量 统计测量api接口请求流量。 ≥0 单位：Byte/KB/MB/GB/TB/PB 单个API 1分钟 output_throughput 流出流量 统计测量api接口返回流量。 ≥0 单位：Byte/KB/MB/GB/TB/PB 单个API 1分钟

日志设置 AOM 作为华为云服务可观测性分析统一入口，自身并不具有日志服务功能，AOM 2.0控制台中日志设置相关功能由 云日志服务LTS 提供。用户可在AOM 2.0控制台界面操作，也可登录LTS控制台界面操作。 需要先购买 云日志 服务的相关功能，才可使用AOM 2.0控制台中日志设置相关功能。 表1 功能说明 功能名称 功能说明 AOM 2.0控制台入口 LTS控制台入口 参考文档链接 配额设置 当日志超过每月免费赠送的额度（500M）时，超过的部分将按需收费。如果每月免费赠送的额度已经可以满足您的使用需求，超过后希望暂停日志收集，可以在配置中心进行设置。 登录AOM 2.0控制台。 在左侧导航栏选择“设置”，进入全局配置界面。 在左侧导航栏选择“日志设置”，单击“配额设置”页签。 登录LTS控制台。 在左侧导航栏选择“配置中心”。 配额设置 分词配置 通过配置分词可将日志内容按照分词符切分为多个单词，在日志搜索时可使用切分后的单词进行搜索。 登录AOM 2.0控制台。 在左侧导航栏选择“设置”，进入全局配置界面。 在左侧导航栏选择“日志设置”，单击“分词配置”页签。 登录LTS控制台。 在左侧导航栏选择“配置中心”。 单击“分词配置”页签。 分词配置 ICAgent采集 为了减少内存、数据库和磁盘空间占用，您可以按需进行ICAgent采集设置。 登录AOM 2.0控制台。 在左侧导航栏选择“设置”，进入全局配置界面。 在左侧导航栏选择“日志设置”，单击“ICAgent采集”页签。 登录LTS控制台。 在左侧导航栏选择“配置中心”。 单击“ICAgent采集开关”页签。 ICAgent采集 父主题： 设置

其他相关操作 在接入中心中，单击已创建了采集任务的中间件插件或自定义插件卡片，进入插件详情页面，选择“采集任务”页签，您可以对已创建的采集任务进行其他相关操作。具体的操作如下： 表1 相关操作 操作 说明 查看采集任务 单击采集任务名称，跳转到采集任务的详情页，可以查看该采集任务的详细配置信息。 启动/停用采集任务 单击采集任务对应启停列下的按钮，可控制采集任务开启和暂停。 搜索采集任务 在采集任务列表上方的搜索框输入关键字等搜索条件，搜索对应采集任务。 变更目标主机 单击采集任务对应操作列下的，进入添加主机页面，修改目标主机。 说明： 当前仅自定义插件接入的采集任务支持变更目标主机，中间件采集任务不支持变更目标主机。 切换采集任务的排序 在采集任务列表的表头，单击“超时时间”或“采集周期”列的可切换采集任务的排序。为默认排序，为按时间正序排序（即最大时间显示在最后方），为按时间倒序排序（即最大时间显示在最前方）。 复制采集任务 单击采集任务对应操作列下的，进入创建采集任务页面，修改参数配置。 说明： 如果不需要修改参数配置，则不执行该步骤操作。 编辑采集任务 选择待操作的采集任务，单击对应操作列下的，选择“编辑”，进入编辑采集任务页面，修改插件采集任务参数配置。 说明： 修改自定义插件采集任：可以修改插件版本，以及采集任务详细信息。 修改中间件采集任务：只可修改指标维度信息。 删除采集任务 选择待操作的采集任务，单击对应操作列下的，选择“删除”，在弹出页面中确认后，即可删除采集任务。 父主题： 虚机场景Exporter接入

根因分析方法 “智能洞察”根因分析方法是一种基于调用链下钻的根因分析方法，分为离线训练和在线推理两个阶段： 离线训练阶段：在用户开通“智能洞察”功能后，后台会自动开启基于调用链的根因分析模型的离线训练任务，并自动获取应用接口发生调用时产生的调用链数据，然后根据应用近7天的调用链数据来训练调用链模型。默认每14天后台自动更新模型，并将模型保存在后台数据库中。 在线推理阶段：当用户点击事件卡片，进入到根因分析页面时，会触发根因分析模型的在线推理任务，在线推理任务会基于上一步离线训练完的调用链模型与事件发生期间的异常调用进行模式对比，分析事件根因，进行快速定位。

AOM控制台功能依赖的角色或策略 如果 IAM 用户需要在AOM控制台拥有相应功能的查看或使用权限，请确认已经对该用户所在的用户组设置了AOM FullAccess或AOM ReadOnlyAccess策略的集群权限，再按如下表7增加依赖服务的角色或策略。 用户首次开通AOM服务，AOM会为其创建服务委托，用户除需授权AOM FullAccess外，还需要授予Security Administrator。 表7 AOM控制台依赖服务的角色或策略 控制台功能 依赖服务 需配置角色/策略 工作负载 集群监控 Prometheus for CCE 云容器引擎 CCE 如果使用Prometheus for CCE、工作负载监控和集群监控，需要设置CCE FullAccess权限。 数据订阅 分布式消息服务Kafka版 如果使用数据订阅功能，需要设置DMS ReadOnlyAccess权限。

细粒度权限说明 使用自定义细粒度策略，请使用管理员用户进入 统一身份认证 （IAM）服务，按需选择AOM的细粒度权限进行授权操作。AOM细粒度权限说明请参见表6。 表6 AOM细粒度权限说明 权限名称 权限描述 权限依赖 应用场景 cms:workflow:create 创建任务 ecs:cloudServers:list ecs:cloudServers:listServerInterfaces rds:instance:list 创建任务 cms:workflow:update 更新任务 functiongraph:function:create functiongraph:function:updateCode 更新任务 cms:workflow:list 获取任务列表 无 查询任务列表 cms:execution:get 获取任务执行信息 查询执行详情 cms:execution:create 执行任务 functiongraph:function:create functiongraph:function:invoke functiongraph:function:list 执行任务，如执行脚本，作业，安装和卸载文件包等 cms:template:get 获取模板信息 无 查询模板详情，查询作业执行方案详情 cms:template:list 获取模板列表 查询作业执行方案列表，查询可用于创建任务的模板列表 cms:script:get 查询脚本信息 查询脚本详情 cms:script:list 查询脚本列表 查询脚本列表 cms:job:list 查询作业列表 查询作业列表 aom:cmdbApplication:get 获取应用详情 无 根据应用ID获取应用详情、根据应用名称获取应用详情 aom:cmdbApplication:update 修改应用 修改应用 aom:cmdbApplication:delete 删除应用 删除应用 aom:cmdbApplication:get 获取应用详情 获取应用详情 aom:cmdbComponent:get 查询组件详情 根据组件ID查询组件详情、根据组件名称查询组件详情 aom:cmdbComponent:create 新增组件 新增组件 aom:cmdbComponent:update 更新组件 更新组件 aom:cmdbComponent:delete 删除组件 删除组件 aom:cmdbComponent:move 转移组件 转移组件 aom:cmdbComponent:list 查询组件列表 查询组件列表 aom:cmdbEnvironment:create 创建环境 创建环境 aom:cmdbEnvironment:update 修改环境 修改环境 aom:cmdbEnvironment:get 获取环境详情 根据环境ID获取环境详情、根据环境名称Region和组件ID获取环境详情 aom:cmdbEnvironment:delete 删除环境 删除环境 aom:cmdbSubApplication:get 查询子应用详情 查询子应用详情 aom:cmdbSubApplication:update 修改子应用 修改子应用 aom:cmdbSubApplication:move 转移子应用 转移子应用 aom:cmdbSubApplication:delete 删除子应用 删除子应用 aom:cmdbSubApplication:create 创建子应用 创建子应用 aom:cmdbSubApplication:list 查询子应用列表 查询子应用列表 aom:cmdbResources:unbind 解绑资源 解绑资源 aom:cmdbResources:bind 绑定资源 绑定资源 aom:cmdbResources:move 转移资源 转移资源 aom:cmdbResources:get 查询资源详情 查询资源详情 aom:alarm:put 上报告警 无 上报自定义告警 aom:event2AlarmRule:create 新增一条事件类告警规则 新增一条事件类告警规则 aom:event2AlarmRule:set 更新事件类告警规则 更新事件类告警规则 aom:event2AlarmRule:delete 删除事件类告警规则 删除事件类告警规则 aom:event2AlarmRule:list 查询全部事件类告警规则 查询全部事件类告警规则 aom:actionRule:create 新增告警行动规则 新增告警行动规则 aom:actionRule:delete 删除告警行动规则 删除告警行动规则 aom:actionRule:list 获取告警行动规则列表 获取告警行动规则列表 aom:actionRule:update 修改告警行动规则 修改告警行动规则 aom:actionRule:get 通过规则名称获取告警行动规则 通过规则名称获取告警行动规则 aom:alarm:list 获取告警发送结果 获取告警发送结果 aom:alarmRule:create 创建阈值规则 创建阈值规则 aom:alarmRule:set 修改阈值规则 修改阈值规则 aom:alarmRule:get 查询阈值规则 根据ID查询单个阈值规则或者查询所有阈值规则 aom:alarmRule:delete 删除阈值规则 批量删除阈值规则或者根据ID删除单个阈值规则 aom:discoveryRule:list 查看应用发现规则 查询系统中已有应用发现规则 aom:discoveryRule:delete 删除应用发现规则 删除应用发现规则 aom:discoveryRule:set 添加应用发现规则 添加应用发现规则 aom:metric:list 查询时间序列 查询时间序列 aom:metric:list 查询时序数据 查询时序数据 aom:metric:get 查询指标 查询指标 aom:metric:get 查询监控数据 查询监控数据 aom:muteRule:delete 删除静默规则 无 删除静默规则 aom:muteRule:create 新增静默规则 新增静默规则 aom:muteRule:update 修改静默规则 修改静默规则 aom:muteRule:list 获取静默规则列表 获取静默规则列表

采集管理常用操作与系统权限 表5列出了采集管理常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表5 采集管理常用操作与系统权限的关系 操作 AOM FullAccess AOM ReadOnlyAccess 查询代理区域 √ √ 编辑代理区域 √ x 删除代理区域 √ x 新建代理区域 √ x 查询某代理区域内所有的代理机 √ √ 查询全部代理区域 √ √ 安装Agent结果详情 √ √ 获取对应主机的安装命令 √ √ 获取对应主机的心跳及和server的连接状况 √ √ 批量卸载运行中的Agent √ x 查询Agent首页 √ √ 测试安装机和目标机的连通性 √ x 批量导入安装Agent √ x 获取Agent最近一次操作的执行日志相关信息 √ √ 获取Agent安装时可选择的版本列表 √ √ 获取当前项目ID下所有Agent版本号列表 √ √ 删除多条Agent主机 √ x 根据ecs_id查询Agent信息 √ √ 删除单条Agent主机 √ x 设置安装机 √ x 重置安装机参数 √ x 查询当前登录用户的项目能够被设置成安装机的列表 √ √ 查询Agent安装机列表 √ √ 删除安装机 √ x 批量升级Agent √ x 查询历史任务详情日志 √ √ 查询历史任务详情 √ √ 查询全部历史任务 √ √ 获取所有种类的执行状态和任务类型 √ √ 获取历史任务详情里Agent的执行状态种类 √ √ 编辑代理机 √ x 删除Agent代理主机 √ x 设置代理主机 √ x 查询当前用户能够被设置成代理机的列表 √ √ 批量更新插件 √ x 批量卸载插件 √ x 批量安装插件 √ x 查询插件历史任务详情日志 √ √ 查询插件执行历史记录的分页列表 √ √ 根据任务id，查询插件执行记录详情的分页列表 √ √ 获取历史任务详情里插件的执行状态的种类 √ √ 获取全部插件列表 √ √ 查询插件对应的版本号 √ √ 查询当前支持的插件列表 √ √ 获取租户下CCE集群信息列表 √ √ 获取租户下某个CCE集群下的Agent信息列表 √ √ 给租户下某个CCE集群安装ICAgent √ x 给租户下某个CCE集群升级ICAgent √ x 给租户下某个CCE集群卸载ICAgent √ x 获取CCE集群列表 √ √ 获取ICAgent机器列表 √ √ CCE集群机器安装ICAgent √ x CCE集群机器升级ICAgent √ x CCE集群机器卸载ICAgent √ x