华为云用户手册

  • 响应参数 状态码: 200 表4 响应Header参数 参数 参数类型 描述 X-Request-Id String 请求的唯一标识。 表5 响应Body参数 参数 参数类型 描述 data_series Array of HttpCodeSummary objects 基于时间轴的状态码 表6 HttpCodeSummary 参数 参数类型 描述 http_codes Array of HttpCode objects 状态码信息 time String 采样时间。日期格式按照ISO8601表示法,并使用UTC时间。 格式为:YYYY-MM-DDThh:mm:ssZ 。 表7 HttpCode 参数 参数类型 描述 code Integer 状态码 count Integer 状态码出现次数 proportion Double 状态码在对应时间点中的占比,保留4位小数。 状态码: 400 表8 响应Header参数 参数 参数类型 描述 X-Request-Id String 请求的唯一标识。 表9 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。
  • 请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 否 String 用户Token。使用Token鉴权方式时必选。 通过调用 IAM 服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。 Authorization 否 String 使用AK/SK方式认证时必选,携带的鉴权信息。 X-Sdk-Date 否 String 使用AK/SK方式认证时必选,请求的发生时间。 X-Project-Id 否 String 使用AK/SK方式认证时必选,携带项目ID信息, 与路径参数中的项目ID相同。
  • 请求示例 创建录制规则。 POST https://{endpoint}/v1/{project_id}/record/rules { "publish_domain" : "publish.example.com", "app" : "live", "stream" : "*", "record_type" : "CONTINUOUS_RECORD", "default_record_config" : { "record_format" : [ "HLS", "FLV" ], "hls_config" : { "record_cycle" : 3600, "record_prefix" : "Record/{publish_domain}/{app}/{record_type}/{record_format}/{stream}_{file_start_time}/{file_start_time}", "record_ts_prefix" : "{file_start_time_unix}-{file_end_time_unix}-{ts_sequence_number}", "record_slice_duration" : 10, "record_max_duration_to_merge_file" : 0 }, "flv_config" : { "record_cycle" : 9000, "record_prefix" : "Record/{publish_domain}/{app}/{record_format}/{stream}_{file_start_time}/{file_start_time}", "record_max_duration_to_merge_file" : 0 }, "obs_addr" : { "bucket" : "mybucket", "location" : "region1", "object" : "record/" } } }
  • 响应参数 状态码: 201 表9 响应Header参数 参数 参数类型 描述 X-request-id String 此字段携带请求ID号,以便任务跟踪。格式为:request_id-timestamp-hostname(request_id在服务器端生成UUID,timestamp为当前时间戳,hostname为处理当前接口的服务器名称) 表10 响应Body参数 参数 参数类型 描述 id String 规则ID,由服务端返回。创建或修改的时候不携带 publish_domain String 直播推流 域名 app String 应用名,如果需要匹配任意应用则需填写*。录制规则匹配的时候,优先精确app匹配,如果匹配不到,则匹配* stream String 录制的流名,如果需要匹配任意流名则需填写*。录制规则匹配的时候,优先精确stream匹配,如果匹配不到,则匹配* record_type String 录制类型,包括:CONTINUOUS_RECORD,COMMAND_RECORD。默认CONTINUOUS_RECORD。 CONTINUOUS_RECORD:持续录制,在该规则类型配置后,只要有流推送到录制系统,即触发录制。 COMMAND_RECORD:命令录制,在该规则类型配置后,在流推送到录制系统后,租户需要通过命令控制该流的录制开始和结束。 default_record_config DefaultRecordConfig object 默认录制规则配置 create_time String 创建时间,格式:yyyy-mm-ddThh:mm:ssZ,UTC时间。 在查询的时候返回 update_time String 修改时间,格式:yyyy-mm-ddThh:mm:ssZ,UTC时间。 在查询的时候返回 表11 DefaultRecordConfig 参数 参数类型 描述 record_format Array of strings 录制格式,当前支持:FLV,HLS,MP4三种格式,设置格式时必须使用大写字母 obs_addr RecordObsFileAddr object 录制保存的租户的桶信息 hls_config HLSRecordConfig object HLS配置规则 flv_config FLVRecordConfig object FLV配置规则 mp4_config MP4RecordConfig object MP4配置规则 表12 RecordObsFileAddr 参数 参数类型 描述 bucket String OBS的bucket名称 location String OBS Bucket所在RegionID object String OBS对象路径,遵守OBS Object定义。如果为空则保存到根目录 表13 HLSRecordConfig 参数 参数类型 描述 record_cycle Integer 周期录制时长 单位:秒,最小1分钟(60秒),最大12小时(43200秒)。 如果为0,则使用默认值6小时(21600秒)。 record_prefix String 录制m3u8文件,含路径和文件名的前缀, 默认Record/{publish_domain}/{app}/{record_type}/{record_format}/{stream}_{file_start_time}/{stream}_{file_start_time} record_ts_prefix String 录制ts文件名的前缀, 默认{file_start_time_unix}_{file_end_time_unix}_{ts_sequence_number} record_slice_duration Integer 录制HLS时ts的切片时长,非必填。 取值范围:[2,60] 单位:秒 默认值:10 record_max_duration_to_merge_file Integer 录制HLS文件拼接时长,如果流中断超过该时间,则生成新文件。 单位:秒 默认值:0 0:表示流中断就生成新文件。 -1:表示相同的流中断恢复后,继续在30天内的前一个文件保存。 表14 FLVRecordConfig 参数 参数类型 描述 record_cycle Integer 周期录制时长 单位:秒,最小1分钟(60秒),最大6小时(21600秒)。 如果为0,则使用默认值2小时(7200秒)。 record_prefix String 录制FLV文件,含路径和文件名的前缀, 默认Record/{publish_domain}/{app}/{record_type}/{record_format}/{stream}_{file_start_time}/{file_start_time} record_max_duration_to_merge_file Integer 录制FLV文件拼接时长,如果流中断超过该时间,则生成新文件。如果为0表示流中断就生成新文件。 单位:秒 默认值:0 表15 MP4RecordConfig 参数 参数类型 描述 record_cycle Integer 周期录制时长 单位:秒,最小1分钟(60秒),最大6小时(21600秒)。 如果为0,则使用默认值2小时(7200秒)。 record_prefix String 录制文件含路径和文件名的前缀, 默认Record/{publish_domain}/{app}/{record_type}/{record_format}/{stream}_{file_start_time}/{file_start_time} record_max_duration_to_merge_file Integer 录制mp4文件拼接时长,如果流中断超过该时间,则生成新文件。如果为0表示流中断就生成新文件。 单位:秒 默认值:0 状态码: 400 表16 响应Header参数 参数 参数类型 描述 X-request-id String 此字段携带请求ID号,以便任务跟踪。格式为:request_id-timestamp-hostname(request_id在服务器端生成UUID,timestamp为当前时间戳,hostname为处理当前接口的服务器名称) 表17 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述
  • 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 否 String 用户Token,使用Token鉴权方式时必填。通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。 Authorization 否 String 使用AK/SK方式认证时必填,携带的鉴权信息。 X-Sdk-Date 否 String 使用AK/SK方式认证时必填,请求的发生时间。 X-Project-Id 否 String 使用AK/SK方式认证时必填,携带项目ID信息。 表3 请求Body参数 参数 是否必选 参数类型 描述 publish_domain 是 String 直播推流域名 app 是 String 应用名,如需匹配任意应用则填写*。录制规则匹配的时候,优先精确app匹配,如果匹配不到,则匹配* stream 是 String 录制的流名,如需匹配任流名则填写*。录制规则匹配的时候,优先精确stream匹配,如果匹配不到,则匹配* record_type 否 String 录制类型,包括:CONTINUOUS_RECORD,COMMAND_RECORD。默认CONTINUOUS_RECORD。 CONTINUOUS_RECORD:持续录制,在该规则类型配置后,只要有流推送到录制系统,就触发录制。 COMMAND_RECORD:命令录制,在该规则类型配置后,在流推送到录制系统后,租户需要通过命令控制该流的录制开始和结束。 default_record_config 是 DefaultRecordConfig object 默认录制规则配置 表4 DefaultRecordConfig 参数 是否必选 参数类型 描述 record_format 是 Array of strings 录制格式,当前支持:FLV,HLS,MP4三种格式,设置格式时必须使用大写字母 obs_addr 是 RecordObsFileAddr object 录制保存的租户的桶信息 hls_config 否 HLSRecordConfig object HLS配置规则 flv_config 否 FLVRecordConfig object FLV配置规则 mp4_config 否 MP4RecordConfig object MP4配置规则 表5 RecordObsFileAddr 参数 是否必选 参数类型 描述 bucket 是 String OBS的bucket名称 location 是 String OBS Bucket所在RegionID object 是 String OBS对象路径,遵守OBS Object定义。如果为空则保存到根目录 表6 HLSRecordConfig 参数 是否必选 参数类型 描述 record_cycle 是 Integer 周期录制时长 单位:秒,最小1分钟(60秒),最大12小时(43200秒)。 如果为0,则使用默认值6小时(21600秒)。 record_prefix 否 String 录制m3u8文件,含路径和文件名的前缀, 默认Record/{publish_domain}/{app}/{record_type}/{record_format}/{stream}_{file_start_time}/{stream}_{file_start_time} record_ts_prefix 否 String 录制ts文件名的前缀, 默认{file_start_time_unix}_{file_end_time_unix}_{ts_sequence_number} record_slice_duration 否 Integer 录制HLS时ts的切片时长,非必填。 取值范围:[2,60] 单位:秒 默认值:10 record_max_duration_to_merge_file 否 Integer 录制HLS文件拼接时长,如果流中断超过该时间,则生成新文件。 单位:秒 默认值:0 0:表示流中断就生成新文件。 -1:表示相同的流中断恢复后,继续在30天内的前一个文件保存。 表7 FLVRecordConfig 参数 是否必选 参数类型 描述 record_cycle 是 Integer 周期录制时长 单位:秒,最小1分钟(60秒),最大6小时(21600秒)。 如果为0,则使用默认值2小时(7200秒)。 record_prefix 否 String 录制FLV文件,含路径和文件名的前缀, 默认Record/{publish_domain}/{app}/{record_type}/{record_format}/{stream}_{file_start_time}/{file_start_time} record_max_duration_to_merge_file 否 Integer 录制FLV文件拼接时长,如果流中断超过该时间,则生成新文件。如果为0表示流中断就生成新文件。 单位:秒 默认值:0 表8 MP4RecordConfig 参数 是否必选 参数类型 描述 record_cycle 是 Integer 周期录制时长 单位:秒,最小1分钟(60秒),最大6小时(21600秒)。 如果为0,则使用默认值2小时(7200秒)。 record_prefix 否 String 录制文件含路径和文件名的前缀, 默认Record/{publish_domain}/{app}/{record_type}/{record_format}/{stream}_{file_start_time}/{file_start_time} record_max_duration_to_merge_file 否 Integer 录制mp4文件拼接时长,如果流中断超过该时间,则生成新文件。如果为0表示流中断就生成新文件。 单位:秒 默认值:0
  • 响应示例 状态码: 200 处理成功返回。 { "bandwidth_list" : [ { "value" : 50, "domain" : "livepull-test.huaweicloud.com" } ] } 状态码: 400 处理失败返回。 { "error_code" : "LIVE.100011001", "error_msg" : "Invalid request parameter: play_domains" }
  • URI GET /v2/{project_id}/stats/bandwidth/peak 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。获取方法请参考获取项目ID。 表2 Query参数 参数 是否必选 参数类型 描述 play_domains 否 Array of strings 播放域名列表,最多支持查询100个域名, 多个域名 以逗号分隔。 如果不传入域名,则查询租户下所有播放域名的带宽峰值。 app 否 String 应用名称。 stream 否 String 流名。 region 否 Array of strings 区域列表。具体取值请参考省份名称缩写,不填写查询所有区域。 isp 否 Array of strings 运营商列表,取值如下: CMCC :移动 CTCC : 电信 CUCC :联通 OTHER :其他 不填写查询所有运营商。 protocol 否 String 请求协议 start_time 否 String 起始时间。日期格式按照ISO8601表示法,并使用UTC时间。 格式为:YYYY-MM-DDThh:mm:ssZ。最大查询跨度31天,最大查询周期一年。 若参数为空,默认查询7天数据。 end_time 否 String 结束时间。日期格式按照ISO8601表示法,并使用UTC时间。格式为:YYYY-MM-DDThh:mm:ssZ。 若参数为空,默认为当前时间。结束时间需大于起始时间。 service_type 否 String 服务类型,取值如下: Live :标准直播 LLL :低时延直播 ALL :所有服务类型 不填写默认查询所有服务类型的数据。
  • 响应参数 状态码: 200 表4 响应Header参数 参数 参数类型 描述 X-Request-Id String 请求的唯一标识。 表5 响应Body参数 参数 参数类型 描述 bandwidth_list Array of PeakBandwidthData objects 域名对应的带宽峰值列表。 表6 PeakBandwidthData 参数 参数类型 描述 value Long 带宽峰值,单位为bps。 domain String 播放域名。 状态码: 400 表7 响应Header参数 参数 参数类型 描述 X-Request-Id String 请求的唯一标识。 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。
  • 请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 否 String 用户Token。使用Token鉴权方式时必选。 通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。 Authorization 否 String 使用AK/SK方式认证时必选,携带的鉴权信息。 X-Sdk-Date 否 String 使用AK/SK方式认证时必选,请求的发生时间。 X-Project-Id 否 String 使用AK/SK方式认证时必选,携带项目ID信息, 与路径参数中的项目ID相同。
  • 响应示例 状态码: 200 查询录制配置成功 { "total" : 1, "record_config" : [ { "id" : "42810594c2fc9xxxx36b7784c76a06e8", "publish_domain" : "publish.example.com", "app" : "live", "stream" : "*", "record_type" : "CONTINUOUS_RECORD", "default_record_config" : { "record_format" : [ "HLS" ], "obs_addr" : { "bucket" : "mybucket", "location" : "region1", "object" : "record/" }, "hls_config" : { "record_cycle" : 900, "record_prefix" : "record-publish_domain-app-stream-file_start_time_unix/record-publish_domain-app-stream-file_start_time_unix", "record_ts_prefix" : "{stream}-{file_start_time_unix}-{file_end_time_unix}-{ts_sequence_number}", "record_slice_duration" : 10, "record_max_duration_to_merge_file" : 60 } } } ] } 状态码: 400 参数错误 { "error_code" : "LIVE.100011001", "error_msg" : "Request Illegal" }
  • 响应参数 状态码: 200 表4 响应Header参数 参数 参数类型 描述 X-request-id String 此字段携带请求ID号,以便任务跟踪。格式为:request_id-timestamp-hostname(request_id在服务器端生成UUID,timestamp为当前时间戳,hostname为处理当前接口的服务器名称) 表5 响应Body参数 参数 参数类型 描述 total Integer 查询结果的总元素数量 record_config Array of RecordRule objects 录制配置数组 表6 RecordRule 参数 参数类型 描述 id String 规则ID,由服务端返回。创建或修改的时候不携带 publish_domain String 直播推流域名 app String 应用名,如果需要匹配任意应用则需填写*。录制规则匹配的时候,优先精确app匹配,如果匹配不到,则匹配* stream String 录制的流名,如果需要匹配任意流名则需填写*。录制规则匹配的时候,优先精确stream匹配,如果匹配不到,则匹配* record_type String 录制类型,包括:CONTINUOUS_RECORD,COMMAND_RECORD。默认CONTINUOUS_RECORD。 CONTINUOUS_RECORD:持续录制,在该规则类型配置后,只要有流推送到录制系统,即触发录制。 COMMAND_RECORD:命令录制,在该规则类型配置后,在流推送到录制系统后,租户需要通过命令控制该流的录制开始和结束。 default_record_config DefaultRecordConfig object 默认录制规则配置 create_time String 创建时间,格式:yyyy-mm-ddThh:mm:ssZ,UTC时间。 在查询的时候返回 update_time String 修改时间,格式:yyyy-mm-ddThh:mm:ssZ,UTC时间。 在查询的时候返回 表7 DefaultRecordConfig 参数 参数类型 描述 record_format Array of strings 录制格式,当前支持:FLV,HLS,MP4三种格式,设置格式时必须使用大写字母 obs_addr RecordObsFileAddr object 录制保存的租户的桶信息 hls_config HLSRecordConfig object HLS配置规则 flv_config FLVRecordConfig object FLV配置规则 mp4_config MP4RecordConfig object MP4配置规则 表8 RecordObsFileAddr 参数 参数类型 描述 bucket String OBS的bucket名称 location String OBS Bucket所在RegionID object String OBS对象路径,遵守OBS Object定义。如果为空则保存到根目录 表9 HLSRecordConfig 参数 参数类型 描述 record_cycle Integer 周期录制时长 单位:秒,最小1分钟(60秒),最大12小时(43200秒)。 如果为0,则使用默认值6小时(21600秒)。 record_prefix String 录制m3u8文件,含路径和文件名的前缀, 默认Record/{publish_domain}/{app}/{record_type}/{record_format}/{stream}_{file_start_time}/{stream}_{file_start_time} record_ts_prefix String 录制ts文件名的前缀, 默认{file_start_time_unix}_{file_end_time_unix}_{ts_sequence_number} record_slice_duration Integer 录制HLS时ts的切片时长,非必填。 取值范围:[2,60] 单位:秒 默认值:10 record_max_duration_to_merge_file Integer 录制HLS文件拼接时长,如果流中断超过该时间,则生成新文件。 单位:秒 默认值:0 0:表示流中断就生成新文件。 -1:表示相同的流中断恢复后,继续在30天内的前一个文件保存。 表10 FLVRecordConfig 参数 参数类型 描述 record_cycle Integer 周期录制时长 单位:秒,最小1分钟(60秒),最大6小时(21600秒)。 如果为0,则使用默认值2小时(7200秒)。 record_prefix String 录制FLV文件,含路径和文件名的前缀, 默认Record/{publish_domain}/{app}/{record_type}/{record_format}/{stream}_{file_start_time}/{file_start_time} record_max_duration_to_merge_file Integer 录制FLV文件拼接时长,如果流中断超过该时间,则生成新文件。如果为0表示流中断就生成新文件。 单位:秒 默认值:0 表11 MP4RecordConfig 参数 参数类型 描述 record_cycle Integer 周期录制时长 单位:秒,最小1分钟(60秒),最大6小时(21600秒)。 如果为0,则使用默认值2小时(7200秒)。 record_prefix String 录制文件含路径和文件名的前缀, 默认Record/{publish_domain}/{app}/{record_type}/{record_format}/{stream}_{file_start_time}/{file_start_time} record_max_duration_to_merge_file Integer 录制mp4文件拼接时长,如果流中断超过该时间,则生成新文件。如果为0表示流中断就生成新文件。 单位:秒 默认值:0 状态码: 400 表12 响应Header参数 参数 参数类型 描述 X-request-id String 此字段携带请求ID号,以便任务跟踪。格式为:request_id-timestamp-hostname(request_id在服务器端生成UUID,timestamp为当前时间戳,hostname为处理当前接口的服务器名称) 表13 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述
  • URI GET /v1/{project_id}/record/rules 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID,获取方法请参考获取项目ID。 表2 Query参数 参数 是否必选 参数类型 描述 publish_domain 否 String 直播推流域名 app 否 String 流应用名称 stream 否 String 流名称 record_type 否 String 录制类型,如果不填写则查询所有录制类型,包括:CONTINUOUS_RECORD,COMMAND_RECORD。默认CONTINUOUS_RECORD。 CONTINUOUS_RECORD:持续录制,在该规则类型配置后,只要有流推送到录制系统,即触发录制。 COMMAND_RECORD:命令录制,在该规则类型配置后,在流推送到录制系统后,租户需要通过命令控制该流的录制开始和结束。 offset 否 Integer 偏移量,表示从此偏移量开始查询,offset大于等于0 limit 否 Integer 每页记录数,取值范围[1,100],默认值10
  • 请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 否 String 用户Token,使用Token鉴权方式时必填。通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。 Authorization 否 String 使用AK/SK方式认证时必填,携带的鉴权信息。 X-Sdk-Date 否 String 使用AK/SK方式认证时必填,请求的发生时间。 X-Project-Id 否 String 使用AK/SK方式认证时必填,携带项目ID信息。
  • 基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用创建的用户进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。 在我的凭证下,您可以查看账号ID和用户ID。通常在调用API的鉴权过程中,您需要用到账号、用户和密码等信息。 区域 指云资源所在的物理位置,同一区域内可用区间内网互通,不同区域间内网不互通。通过在不同地区创建云资源,可以将应用程序设计的更接近特定客户的要求,或满足不同地区的法律或其他要求。 可用区 一个可用区是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目,并在子项目中购买资源,然后以子项目为单位进行授权,使得用户仅能访问特定子项目中资源,使得资源的权限控制更加精确。 图1 项目隔离模型
  • 约束与限制 视频直播 服务对服务端API设置了调用次数限制,避免出现短时间内重复调用API,服务中断的情况。 表2 API流控限制 接口分类 接口名称 用户流量限制 API流量限制 域名管理 创建直播域名 查询直播域名 300次/分钟 3000次/分钟 删除直播域名 修改直播域名 域名映射 删除直播域名映射关系 配置域名IPV6开关 修改域名HLS配置 查询域名HLS配置 100次/分钟 1000次/分钟 查询IP归属信息 5次/秒 5次/秒 修改播放域名延时配置 修改直播拉流回源配置 30次/分钟 100次/分钟 查询播放域名延时配置 查询直播拉流回源配置 30次/分钟 300次/分钟 转码模板管理 创建直播转码模板 删除直播转码模板 修改直播转码模板 查询直播转码模板 100次/分钟 1000次/分钟 流管理 禁止直播推流 修改禁推属性 4000次/分钟 12000次/分钟 查询禁止直播推流列表 禁推恢复 3000次/分钟 6000次/分钟 查询直播中的流信息 1000次/分钟 2000次/分钟 通知管理 新增、修改直播推流通知配置 查询直播推流通知配置 删除直播推流通知配置 300次/分钟 3000次/分钟 鉴权管理 设置Referer防盗链黑白名单 删除Referer防盗链黑白名单 查询Referer防盗链黑白名单 查询IP黑/白名单 修改IP黑/白名单 生成URL鉴权串 300次/分钟 3000次/分钟 查询播放域名的地域限制列表 30次/分钟 300次/分钟 修改播放域名的地域限制配置 30次/分钟 100次/分钟 查询指定域名的Key防盗链配置 更新指定域名的Key防盗链配置 删除指定域名的Key防盗链配置 150次/分钟 300次/分钟 截图管理 创建直播截图配置 修改直播截图配置 查询直播截图配置 删除直播截图配置 150次/分钟 300次/分钟 日志管理 获取直播播放日志 300次/分钟 3000次/分钟 录制管理 创建录制规则 查询录制规则列表 修改录制规则 删除录制规则 查询录制规则配置 提交录制控制命令 300次/分钟 3000次/分钟 创建录制视频索引文件 1200次/分钟 3000次/分钟 录制回调管理 创建录制回调配置 查询录制回调配置列表 修改录制回调配置 查询录制回调配置 删除录制回调配置 300次/分钟 300次/分钟 HTTPS证书管理 修改指定域名的HTTPS证书配置 查询指定域名的HTTPS证书配置 删除指定域名的HTTPS证书配置 150次/分钟 300次/分钟 OBS桶管理 OBS桶授权及取消授权 150次/分钟 300次/分钟 数据统计分析 查询播放带宽趋势接口 500次/分钟 5000次/分钟 数据统计分析 查询转码用量接口 查询录制用量接口 查询截图用量接口 查询播放画像信息接口 60次/分钟 5000次/分钟 查询播放流量趋势接口 查询播放带宽峰值接口 查询播放流量汇总接口 查询观众趋势接口 查询直播拉流HTTP状态码接口 查询上行带宽数据接口 查询域名维度推流路数接口 查询历史推流列表接口 20次/分钟 5000次/分钟 查询直播各区域指标分布接口 50次/秒 150次/秒 数据统计分析 查询播放域名下的流数据 20次/秒 50次/秒 流监控 查询推流帧率数据接口 查询推流码率数据接口 20次/分钟 5000次/分钟 查询流监控数据接口 1次/秒 5次/秒 查询CDN上行推流质量数据接口 60次/秒 300次/秒
  • 终端节点 终端节点即调用API的请求地址,不同服务不同区域的终端节点不同,Live的终端节点如表1所示。您也可以从地区和终端节点中查询服务的终端节点。 表1 Live的终端节点 区域名称 区域 终端节点(Endpoint) 华北-北京一 cn-north-1 live.cn-north-1.myhuaweicloud.com 华北-北京四 cn-north-4 live.cn-north-4.myhuaweicloud.com 亚太-新加坡 ap-southeast-3 live.ap-southeast-3.myhuaweicloud.com
  • 使用限制 表1 使用限制说明 限制项 说明 并发直播流 对并发直播流未做相关限制,但若有超过100G的大规模并发需求,建议提交工单进一步咨询。 推流 视频直播服务不限制推流码率,支持常见分辨率以及对应码率,但为了保证推流顺畅,建议码率不超过4Mbps。 播放 仅进行了域名关联,且AppName和StreamName与推流地址一致,才可以播放对应的直播流。 支持输入/输出格式 标准直播: 视频封装协议 RTMP、FLV输入/输出协议 支持的视频编码格式有:H264、H265等。 HLS输出协议 支持的视频编码格式有:H264、H265等。 音频封装协议 RTMP、FLV输入/输出协议 支持的音频编码格式有:AAC等。 HLS输出协议 支持的音频编码格式有:AAC。 低时延直播: 传输协议要求 信令传输协议:支持HTTPS、HTTP和UDP。HTTP开启80监听端口。HTTP和UDP使用存在安全风险。 媒体传输协议:支持UDP和TCP。其中,媒体流支持加密,建议信令协商DTLS,否则使用UDP存在安全风险。 编码格式要求 观众端:支持的视频编码格式为H264、无B帧;支持的音频编码格式为OPUS。 主播推流端:支持的视频编码格式为H264、无B帧;支持的音频编码格式为AAC(LC/HE)。 说明: 若推流端格式不满足要求,则需要配置转码模板,低时延直播会实时转码成满足观众要求的格式,并产生转码费用。当前系统默认支持AAC转OPUS,不会产生费用。 为达到更好的低时延效果,建议推流端GOP设置为2s 。 直播计费 客户等级为V0和V1的账户暂只支持按流量计费,不支持切换成其他计费方式。 业务监控 暂不支持“华北-北京一”区域使用。 用量统计 日志管理 工具库 直播管理 暂只支持“华北-北京四”、“亚太-新加坡”和“欧洲-都柏林”区域使用。
  • API限制 视频直播服务对服务端API设置了调用次数限制,避免出现短时间内重复调用API,服务中断的情况。 表2 API流控限制 接口分类 接口名称 用户流量限制 API流量限制 域名管理 创建直播域名 查询直播域名 300次/分钟 3000次/分钟 删除直播域名 修改直播域名 域名映射 删除直播域名映射关系 配置域名IPV6开关 修改域名HLS配置 查询域名HLS配置 100次/分钟 1000次/分钟 查询IP归属信息 5次/秒 5次/秒 修改播放域名延时配置 修改直播拉流回源配置 30次/分钟 100次/分钟 查询播放域名延时配置 查询直播拉流回源配置 30次/分钟 300次/分钟 转码模板管理 创建直播转码模板 删除直播转码模板 修改直播转码模板 查询直播转码模板 100次/分钟 1000次/分钟 流管理 禁止直播推流 修改禁推属性 4000次/分钟 12000次/分钟 查询禁止直播推流列表 禁推恢复 3000次/分钟 6000次/分钟 查询直播中的流信息 1000次/分钟 2000次/分钟 通知管理 新增、修改直播推流通知配置 查询直播推流通知配置 删除直播推流通知配置 300次/分钟 3000次/分钟 鉴权管理 设置Referer防盗链黑白名单 删除Referer防盗链黑白名单 查询Referer防盗链黑白名单 查询IP黑/白名单 修改IP黑/白名单 生成URL鉴权串 300次/分钟 3000次/分钟 查询播放域名的地域限制列表 30次/分钟 300次/分钟 修改播放域名的地域限制配置 30次/分钟 100次/分钟 查询指定域名的Key防盗链配置 更新指定域名的Key防盗链配置 删除指定域名的Key防盗链配置 150次/分钟 300次/分钟 截图管理 创建直播截图配置 修改直播截图配置 查询直播截图配置 删除直播截图配置 150次/分钟 300次/分钟 日志管理 获取直播播放日志 300次/分钟 3000次/分钟 录制管理 创建录制规则 查询录制规则列表 修改录制规则 删除录制规则 查询录制规则配置 提交录制控制命令 300次/分钟 3000次/分钟 创建录制视频索引文件 1200次/分钟 3000次/分钟 录制回调管理 创建录制回调配置 查询录制回调配置列表 修改录制回调配置 查询录制回调配置 删除录制回调配置 300次/分钟 300次/分钟 HTTPS证书管理 修改指定域名的HTTPS证书配置 查询指定域名的HTTPS证书配置 删除指定域名的HTTPS证书配置 150次/分钟 300次/分钟 OBS桶管理 OBS桶授权及取消授权 150次/分钟 300次/分钟 数据统计分析 查询播放带宽趋势接口 500次/分钟 5000次/分钟 数据统计分析 查询转码用量接口 查询录制用量接口 查询截图用量接口 查询播放画像信息接口 60次/分钟 5000次/分钟 查询播放流量趋势接口 查询播放带宽峰值接口 查询播放流量汇总接口 查询观众趋势接口 查询直播拉流HTTP状态码接口 查询上行带宽数据接口 查询域名维度推流路数接口 查询历史推流列表接口 20次/分钟 5000次/分钟 查询直播各区域指标分布接口 50次/秒 150次/秒 数据统计分析 查询播放域名下的流数据 20次/秒 50次/秒 流监控 查询推流帧率数据接口 查询推流码率数据接口 20次/分钟 5000次/分钟 查询流监控数据接口 1次/秒 5次/秒 查询CDN上行推流质量数据接口 60次/秒 300次/秒
  • 频道入流约束 表1 频道入流约束 限制项 说明 转码帧率 转码帧率不支持配置高于源流。 转码分辨率 转码分辨率不支持配置高于入流分辨率。 音视频编码器 视频支持H.264、H.265。 音频支持AAC、MP1、MP2和MP3。 注意:MP1、MP2和MP3仅支持TS入流,默认转码成AAC输出。 不支持字幕。 入流规范 入流规范,如下所示: 支持RTMP推流。 支持HTTP-FLV拉流,起播需携带sequence header。 支持HLS-PULL拉流,支持HLS V3协议、HTTP或HTTPS协议。 支持SRT-Listener推流,仅支持TS流,支持携带streamid或不携带streamid。 支持SRT-Caller拉流,仅支持TS流。 不支持输入加密流。 不支持纯音频入流,须至少一路视频;不支持纯视频输出,系统会自动补齐一路静音流。 主备输入流的编码器参数必须保持一致,否则主备输入流切换过程中,播放可能会中断。 入流码率≤50Mbps,帧率≤60fps,分辨率≤4K。 入流GOP时长 入流GOP时长的设置建议如下所示: 入流GOP时长推荐取值为1秒或其整数倍。 频道配置的切片时长必须≥GOP时长,推荐取值为GOP时长的整数倍。
  • 注册Kafka实例 如果选择Kafka实例未注册,单击“注册”,跳转到注册Kafka实例页面。 注册Kafka实例相关参数说明。 表2 参数说明 参数名称 说明 示例 Kafka实例 dms实例名称。 Kafka-01 打通DMS网络 打通Kafka实例和LTS服务的网络,用户LTS服务通过该网络发送转储数据。 - 用户名 如果Kafka实例开启了sasl认证,需要输入sasl认证的用户名。 DMS 密码 如果Kafka实例开启了sasl认证,需要输入sasl认证的密码。 - 单击“确定”,完成注册Kafka实例。
  • 解析方式介绍 云日志 服务支持两种日志结构化解析方式:云端结构化解析和ICAgent结构化解析,且一个日志流只能配置一种结构化方式,例如选择云端结构化解析后,不能再选择ICAgent结构化解析,需要删除后,才能重新选择。更多信息请参考图1。 若用户在日志接入的时候没有配置结构化解析,可以单独给目标日志流配置ICAgent结构化解析或云端结构化解析。 ICAgent结构化解析是在采集侧做结构化,利用的是客户节点上的资源,将结构化完成的数据上报到LTS。推荐用户使用ICAgent结构化解析的方式,更多内容请参考ICAgent结构化解析规则说明。 云端结构化解析是通过不同的日志提取方式将日志流中的日志进行结构化,云端结构化解析会消耗LTS服务端算力,未来会按照日志大小收取日志加工流量费用。 图1 不同解析方式
  • 数据来源 支持上报到LTS的日志数据来源如下表1所示。 表1 数据来源 类别 来源 接入方式 应用 程序输出 CCE接入 访问日志 WAF接入 语言 Java 云日志服务Java SDK(标准插件) Log4J Appender 云日志服务Java SDK(log4j2插件) LogBack Appender 云日志服务LogBack SDK Go 云日志服务Go SDK OS Linux 安装ICAgent(区域内主机) 安装ICAgent(区域外主机) Windows Docker文件 Docker输出 数据库 MySQL GaussDB for MySQL接入LTS 云数据库RDS for MySQL接入LTS SQL Server 云数据库RDS for SQLServer接入LTS PostgreSQL 云数据库RDS for PostgreSQL接入LTS 云数据库 GaussDB 数据仓库 服务GaussDB(DWS)接入LTS 云数据库 GeminiDB 云数据库GeminiDB接入LTS 云数据库GeminiDB Mongo接入LTS 云数据库GeminiDB Cassandra接入LTS 移动端 iOS、Android、百度小程序、微信小程序、钉钉小程序、支付宝小程序 使用SDK接入LTS 标准协议 HTTP轮询 使用KAFKA协议上报日志到LTS Syslog 使用KAFKA协议上报日志到LTS Kafka 使用KAFKA协议上报日志到LTS 第三方 Logstash 使用KAFKA协议上报日志到LTS Flume 使用KAFKA协议上报日志到LTS Beats 使用KAFKA协议上报日志到LTS 云日志服务云产品 E CS 、CCE等 华为云产品 日志 使用云服务接入LTS
  • 日志转储至DWS 登录云日志服务控制台,在左侧导航栏中选择“日志转储 ”。 在“日志转储”页面中,单击右上角“配置转储”。 在“配置转储”页面中,选择转储对象“DWS集群”,并配置各参数信息。 表1 配置转储参数说明 参数名称 说明 示例 是否开启转储 选择是否开启转储。 开启 转储对象 选择转储的云服务。 DWS集群 日志组名称 选择已创建的日志组。 - 企业项目 选择已创建的企业项目。 如果当前账号未开通企业项目则不显示该参数。 如果当前账号已开通企业项目,则存在以下情况: 当转储当前账号日志时,下拉框显示当前账号的全部企业项目。 当转储其他账号日志时,若委托账号未开通企业项目,则默认显示“default”。 当转储其他账号日志时,若委托账号已开通企业项目,则显示委托账号的全部企业项目。 default 日志流名称 选择已创建的日志流。 说明: 已配置过DWS集群转储的日志流不能重复配置。 - 集群名称 已创建的集群名称。 test 数据库名称 集群的数据库名称。有两种数据库,分别是“gaussdb”和“postgres”。默认集群数据库为“gaussdb”。 gaussdb 用户名 数据库的管理员用户名。 lts-test 密码 数据库的管理员密码。 - schema名称 数据库对象的集合名称。 - 表名 schema中的表名称。 - 字段映射 将内置字段以及日志中配置的结构化字段和类型,映射到数据库字段。 说明: 内置字段有13个,分别是hostIP、 hostId、hostName、pathFile、collectTime、clusterName、clusterId、 podName、containerName、regionName、projectId、logGroupName和logStreamName。 当结构化字段类型和数据库表字段类型一致时,支持将日志的结构化字段转储至数据仓库服务GaussDB(DWS),否则转储无效。 在结构化字段和表字段的下拉框,选择您需要转储的字段。 单击操作列下的,删除不需要的转储字段。 单击,添加需要转储的字段。 hostIP 完成后单击“确定”。 创建转储任务成功后,支持查看、修改、删除转储任务。 转储任务一旦删除将不再对日志进行转储,请谨慎操作。 删除转储任务后,之前已经转储日志将会继续保存在DWS。
  • 解析方式介绍 云日志服务支持两种日志结构化解析方式:云端结构化解析和ICAgent结构化解析,且一个日志流只能配置一种结构化方式,例如选择云端结构化解析后,不能再选择ICAgent结构化解析,需要删除后,才能重新选择。更多信息请参考图1。 若用户在日志接入的时候没有配置结构化解析,可以单独给目标日志流配置ICAgent结构化解析或云端结构化解析。 ICAgent结构化解析是在采集侧做结构化,利用的是客户节点上的资源,将结构化完成的数据上报到LTS。推荐用户使用ICAgent结构化解析的方式,更多内容请参考ICAgent结构化解析规则说明。 云端结构化解析是通过不同的日志提取方式将日志流中的日志进行结构化,云端结构化解析会消耗LTS服务端算力,未来会按照日志大小收取日志加工流量费用。 图1 不同解析方式
  • 事件响应流程 识别身份凭证是否受损或泄露。 如果您收到如下提示信息,您需要排查并识别您的身份凭证是否受损或泄露: 来自华为云服务(例如,华为 云证书管理服务 CCM、 安全云脑 SecMaster、 云审计 服务 CTS 等)、外部监控系统的告警或指标; 来自承包商或第三方服务提供商的提示信息; 通过内部或外部安全研究人员的排查信息; 内部系统信息; 匿名举报信息; 其他途径的信息。例如,攻击者通过被泄露的凭证,窃取您的数据,并修改您面向公众的资源。 确认已针对该事件提交工单或案例。如果没有,请手动提交。 确定并记录问题对最终用户的影响。 无论此类场景是否造成直接的用户影响,都请将调查结果记录在与此事件相关的工单或案例中。 对于自动创建的工单或案例,确定哪些告警或指标是存在问题的。 例如触发告警或指标可能是CTS服务指标指示您的IAM配置某些方面不合规,或者IAM服务警报表明可能存在凭证泄露。也可能是一个计费警报,当您的计费成本已超过预定阈值,触发告警或通知。 确定已泄露的凭证集。 如果已创建工单或案例,请检查该工单或案例中是否记录了用户/角色名称、用户或角色ID或访问密钥ID。 如果告警来自安全云脑基线检查,您可以在控制台查看基线检查结果,找到受影响凭证的访问密钥ID。具体操作请参见查看基线检查结果。 如果告警来自CTS服务,您可以在控制台事件列表,查看结果。“资源名称”为访问密钥,Credential字段则包含“access_key_id”、“account_id”、“user_name”和其他信息。 确定凭证可能被破坏或泄露的时间。在该时间后进行的任何API操作应被视为恶意操作,在该时间后创建的任何资源应被视为被泄露。 如果您的应用程序发生服务中断,需确定造成中断的可能事件。如果中断事件与凭证泄漏无关,需检查部署管道以确定在事件发生之前是否进行了任何更改。您可以通过CTS服务,协助查看所有账户活动的日志。 事件沟通: 根据组织的事件响应计划确定利益相关方的角色。 通知相关干系人,包括法务人员、技术团队和开发人员,并确保他们被添加到工单和作战室中,以进行持续更新。 外部沟通: 确保您的法律顾问了解情况,并将其纳入内部利益相关者的状态更新,特别是外部沟通的状态更新。 将负责公共或外部沟通的同事添加到工单中,以便他们可以定期接收到有关事件的状态更新,并履行其沟通职责。 如果您所在辖区有法规要求报告此类事件,请确保贵组织中负责通知当地或联邦执法机构的人员也收到有关该事件的通知/被添加到工单中。请咨询您的法律顾问、执法部门,以获取有关收集和保存证据和监管局的指导。即使法规没有要求,向开放数据库、政府机构或非政府组织报告,您的报告也可能有助于分析类似的活动或帮助其他人。 控制事件。 您可以通过禁用受损凭证或撤销与这些凭证相关的权限,从而阻止使用受损凭证调用API。 禁用1识别到的受损凭证。 如果是永久IAM用户凭证,请在IAM控制台,删除用户凭证,具体操作请参见删除IAM用户。 如果是通过IAM获取的临时安全凭证,则会关联到IAM角色。您可以通过如下方法禁用这些功能: 撤销所有当前角色会话。如果攻击者获取新的临时安全凭证,并继续攻击,跳转到2.a.ii.2。 删除添加到该角色的所有IAM策略,修改已有策略以阻止所有访问,或者修改角色的策略以防止攻击者承担该角色。 由于凭证在颁发后的指定时间段内仍然有效,因此请务必注意,修改信任策略后,凭证在有效期内将被允许继续使用。2.a.ii.1和2.a.ii.2将阻止所有用户使用通过承担角色获得的凭证,包括任何合法用户或应用程序。 您可以在30分钟左右的时间内通过CTS服务控制台查看持续使用的凭证,无论是访问密钥、IAM用户还是角色,确认受损凭证已被禁用。 消除事件。 您需要排查凭证在受损后执行了哪些API操作,创建、删除或修改了哪些资源,并采取相应措施,消除影响。 使用您的首选监控工具,访问CTS服务,并采集受损凭证执行的所有API操作,日志采集时间为受损时间到当前时间。 如果您使用的是第三方工具(如Splunk或其他工具)采集云审计服务日志,请按照从该工具获取日志信息的正常过程进行操作。 如果您不使用第三方工具,而是将日志发送到华为云 对象存储服务 (OBS),您可以使用华为 云日志服务LTS 采集、查询和存储日志。 在日志服务LTS控制台,查询凭证在受损或泄露后的日期/时间采取的所有API操作。 从结果列表中,确定哪些API调用: 访问敏感数据,例如,OBS Object。 创建新的华为云资源,例如数据库、云服务器等。 创建资源的服务,包括ECS弹性伸缩组等。 创建或修改权限,同时,还应排查包括(但不限于)以下API方法:CreateUser、CreateRole、AssumeRole*、Get*Token、Attach*Policy、*Image*、*Provider、Tag*、Create*、Delete*、Update*等。 删除现有华为云资源。 修改现有华为云资源。 根据上一步的结果,确定是否有任何应用程序可能受到影响。如果有,获取受影响的每个资源的ID或标记信息,并通知资源的所有者。 基于以上结果,如果创建了额外的凭证获取资源(IAM用户、角色等),根据2.a,禁用和删除这些资源的所有凭证。 重复3.a到3.e,排查是否仍存在额外发现的凭证,直到全部处置完成。 从事故中恢复。 恢复被修改的资源: 如果资源可以被销毁和替换,则添加新的资源。 如果资源无法被替换,请执行以下任一操作: 从备份还原资源。 准备新资源并将其配置到应用程序的基础架构中,同时隔离受损资源并将其从应用程序的基础架构中移除。 销毁受损资源,或继续将其隔离以备取证。 恢复删除的资源: 通过排查确定资源所属的应用程序。如果资源标签未在CTS服务条目中列出,且华为云配置支持该资源,则检查华为云的配置。 如果删除的资源可以从备份中恢复,请直接恢复;如果删除的资源无法从备份中恢复,请查阅CMDB以获取资源的配置,重新创建资源并将其配置到应用程序的基础架构中。 事故后活动。 针对某些受损资源进行调查取证,分析攻击者对受损资源使用了哪些攻击手段,并确定是否需要针对相关资源或应用程序采取额外的风险缓解措施。 对于任何已隔离以供进一步分析的受损资源,对这些资源执行取证活动,并将调查结果纳入事后报告。 确保正确更新CMDB以反映受影响的所有资源和应用程序的当前状态。 审查事件本身和对它的响应,确定哪些措施起作用,哪些措施不起作用,根据这些信息更新改进流程,并记录调查结果。
  • 事件响应方案 针对以上问题,华为云推出了安全云脑(SecMaster)服务。它是华为云原生的新一代安全运营中心,集华为云多年安全经验,基于云原生安全,提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力,可以鸟瞰整个云上安全,精简 云安全 配置、云防护策略的设置与维护,提前预防风险,同时,可以让 威胁检测 和响应更智能、更快速,帮助您实现一体化、自动化安全运营管理,满足您的安全需求。
  • 安装组件控制器 在步骤五:网络连通配置执行后的页面中,单击页面右下角“下一步”,进入“脚本安装验证”页面。 单击复制安装组件控制器的命令。 图1 复制安装命令 安装组件控制器。 远程登录(可选)步骤一:购买ECS准备的ECS。 您可以登录弹性云服务器控制台,在“弹性云服务器”列表中,选中目标ECS单击操作”列的“远程登录”登录主机,详细操作请参见在云服务器控制台上登录主机。 如果您的主机已经绑定了弹性IP,您也可以使用远程管理工具(例如:PuTTY、Xshell等)登录主机,并使用root账号在主机中安装组件控制器。 粘贴2复制的安装命令,并以root权限执行,在ECS中安装组件控制器。 根据界面提示,输入步骤四:创建非管理员IAM账户中创建的机机账户域名、用户名、密码。 如果界面回显“install isap-agent successfully”信息时,则表示组件控制器安装成功。 图2 安装成功 安装过程中,如果安装失败请参考组件控制器安装失败问题排查进行排查处理;如果提示内存不足,请参见磁盘分区进行处理。 确认已安装后,返回安全云脑的新增节点页面(即2),单击页面右下角“确认”。 安装完成后,可以在节点管理页面查看已新增的节点。 图3 已新增节点
  • 操作流程 本章节介绍如何将第三方(非华为云)安全日志接入安全云脑,同时,也支持将安全云脑日志转出至第三方系统/产品。具体流程如下: 图1 日志接入或转出流程图 本章节将介绍日志数据接入或转出的操作流程进行简要说明。 表1 日志接入或转出流程说明 操作步骤 操作说明 (可选)步骤一:购买ECS 安装日志采集器。 (可选)步骤二:购买数据磁盘 保障日志采集器有足够的运行空间。 (可选)步骤三:挂载数据磁盘 保障日志采集器有足够的运行空间。 步骤四:创建非管理员IAM账户 用于租户侧日志采集器登录访问安全云脑。 步骤五:网络连通配置 实现租户VPC与云脑网络网络连通。 步骤六:安装组件控制器(isap-agent) 纳管日志采集器节点(ECS)到安全云脑。 步骤七:安装日志采集组件(Logstash) 配置日志采集进程。 (可选)步骤八:创建日志存储管道 将非华为云日志转入安全云脑场景时,需要执行此步骤。将华为云日志转出至第三方系统或产品场景,请跳过此步骤。 在安全云脑中创建日志存储位置(管道),用于日志存储、分析。 步骤九:配置连接器 配置日志来源、接收目的的参数信息。 请根据场景选择操作步骤: 将第三方日志接入安全云脑 将安全云脑日志转出至第三方系统或产品 (可选)步骤十:配置日志解析器 格式转换,无码化将源日志转换成您需要的数据类型。 步骤十一:配置日志采集通道 完成各功能组件连接,实现安全云脑和日志采集器正常工作。 步骤十二:测试验证 测试验证日志是否接入成功。 父主题: 日志接入或转出操作指导
  • 安全运营 以上操作完成后,即可在“华北-北京四”region的指定工作空间中对“华北-北京一”region的云服务进行运营。 图14 安全运营 管理资产与风险 安全运营的本质指安全风险管理,根据ISO的定义,其三要素包括“资产”,“脆弱性”和“威胁”。因此,梳理您要防护的资产,是安全运营的业务流起点。 梳理资产 安全云脑可以帮助您: 将云上资产从不同租户、不同Region汇集到一个视图中。 将云外资产导入到安全云脑中,并标记其所属的环境。 将资产的风险情况标识出来,例如:是否有不安全的配置、是否有OS或者应用漏洞、是否存在疑似入侵的告警、是否覆盖了对应的防护云服务(例如:ECS上应该安装HSS的Agent、域名应纳入到WAF的防护策略中)。 更多详细介绍及操作请参见资产管理。 检查并清理不安全的配置 在安全运营过程中,最常见的“脆弱性”是不安全的配置。安全云脑基于安全合规经验,形成自动化检查的基线,按照业界通用的规范标准,提供基线检查包。 提供了多种基线标准。法规类标准,如:ISO系列标准、PCI DSS;隐私保护类,如:某国家或地区的隐私保护基线。 云服务中的配置可以自动检查。如:IAM是否按角色进行授权分数、VPC的安全组中是否存在完全放通的策略、WAF的防护策略是否开启等。您可以根据“详情”中建议的方法,对配置进行加固。 更多详细介绍及操作请参见安全治理、基线检查。 发现并修复漏洞 在修复配置类风险之后,安全云脑还可以帮助您,发现并修复安全漏洞。支持检测Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应用漏洞,提供漏洞概览,包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5,帮助您实时了解主机漏洞情况。 更多详细介绍及操作请参见漏洞管理。 检测与寻找威胁 数据源连接到安全云脑后,我们已经清点了要保护的资产,并查找及修复了不安全的配置和漏洞,接下来就是识别可疑活动和威胁。 安全云脑可提供多种内置的由安全专家和分析团队根据已知威胁、常见攻击媒介和可疑活动上报链设计的模板,使您能够执行某些对应操作时收到此类威胁的通知。启用这些模板后,它们将自动在整个环境中搜索可疑活动。同时,可以根据需要自定义模板,以搜索或筛选出活动。 同时,还支持云服务安全日志数据检索、分析功能,提供专业级的安全分析能力,实现对云负载、各类应用及数据的安全保护。 更多详细介绍及操作请参见模型模板、安全分析。 调查告警与事件 调查告警 威胁检测模型分析大量的安全云服务日志,找到疑似入侵的行为,即告警。安全云脑中的告警包含如下字段:名称、等级、发起可疑行为的资产/威胁、遭受可疑行为的资产。安全值班人员,需要在较短的时间内对告警做出判定。如果风险较低,则关闭告警(如:重复告警、运维操作);如果风险较高,需要单击“转事件”,将告警转为事件。 更多详细介绍及操作请参见查看告警信息、告警转事件。 调查事件 告警转成事件后,就可以在事件管理中查看到生成的事件,事件生成后可以进行调查分析。您可以在事件上关联与可疑行为相关的实体:资产(如:VM)、情报(如:攻击源IP)、账号(如:泄露的账号)、进程(如:木马)等;也可以关联历史上相似的其他告警或事件。 更多详细介绍及操作请参见查看事件信息、编辑事件。 响应威胁 利用实时自动化,您可以通过对重复类型的告警实现常规响应自动化来减少告警研判工作量。同时,也可以利用自动化的剧本,完成自动化止血操作。 更多详细介绍及操作请参见安全编排。 使用总大屏、报告 安全大屏 综合 态势感知 :可以还原攻击历史,感知攻击现状,预测攻击态势,呈现安全运营的全局指标情况。 值班响应大屏:可以查看未处理告警、事件、漏洞、基线等需要处理的安全风险事项。 资产大屏:可以查看资产总数、受攻击资产数、未防护资产数等需要处理的资产以及资产视角的风险情况。 威胁态势大屏:可以查看DDoS攻击次数、网络攻击次数、应用拦截次数、主机层拦截次数等威胁攻击趋势及其防御、检测情况。 脆弱性大屏:可以查看脆弱性资产、漏洞、基线、未防护资产等脆弱性配置或资产的趋势及分布。 更多详细介绍及操作请参见安全大屏。 安全报告 展示安全评分、基线检查结果、安全漏洞、策略覆盖等信息,您可以通过创建安全报告,及时掌握资产的安全状况数据。 更多详细介绍及操作请参见安全报告。
  • 场景说明 由于“华北-北京一”region已转存量维护局点,存在无资源部署的问题。在此情况下,可以通过安全云脑实现资源纳管,支撑用户使用安全云脑进行安全运营。 支持纳管以下资源: 资产: 主机、网站、数据库、VPC、EIP 日志: HSS安全日志、告警日志、 漏洞扫描 日志、基线日志;WAF攻击日志、访问日志;APIG请求日志;CTS服务日志;DCS告警日志;IAM审计日志;安全云脑基线日志 本场景介绍如何在“华北-北京四”region的安全云脑中完成操作,实现纳管“华北-北京一”region中云服务资源。
共100000条