华为云用户手册

解决方案 控制并发连接数。连接数据库时，需要计算业务一共有多少个客户端， 每个客户端配置的连接池大小是多少，总的连接数不宜超过当前实例能承受的最大连接数的80%。连接太多会导致内存和多线程上下文的开销增加，影响请求处理延时。 建议配置连接池，连接池最大不要超过200。 降低单次请求的内存开销，例如通过创建索引减少集合的扫描、内存排序等。 在连接数合适的情况下内存占⽤持续增⾼，建议升级内存配置，避免可能存在内存溢出和大量清除缓存而导致系统性能急剧下降。 集群实例，请参见变更集群实例的CPU和内存规格。 副本集实例，请参见变更副本集实例的CPU和内存规格。 单节点实例，请参见变更单节点实例的CPU和内存规格。

解决方案 对于集群实例，可能是因为选择和设置的分片不合理导致数据分布不均衡，从而引起磁盘空间使用率高的情况。 此时，可以对数据库集合进行合适的分片，具体操作请参见设置数据分片以充分利用分片性能。 随着业务数据的增加，原来申请的数据库磁盘容量不足。此时建议扩容磁盘空间，确保磁盘空间足够。 集群实例，请参见扩容集群实例的磁盘空间。 副本集实例，请参见扩容副本集实例的磁盘空间。 单节点实例，请参见扩容单节点实例的磁盘空间。 如果原有实例规格的磁盘已是最大的，请先升级规格。 集群实例，请参见变更集群实例的CPU和内存规格。 副本集实例，请参见变更副本集实例的CPU和内存规格。 单节点实例，请参见变更单节点实例的CPU和内存规格。 存在大量过期的数据文件占用磁盘空间，此时需要及时处理过期数据文件。例如：如果整个库不需要了，则可以执行dropDatabase命令进行删除，从而快速释放磁盘空间。 后台数据处理机制原因。 无论写入、更新或删除（包括索引插入和删除）等操作，在后台实际上都会转成写入。实例在使用过程中，删除数据并不会回收磁盘空间，这些未被回收的磁盘空间被称为磁盘碎片。磁盘碎片会被数据库继续使用，当有新数据插入时，会重复利用这些碎片，而不需要新申请磁盘空间。根据底层存储引擎的不同（RocksDB和WiredTiger），又会有不同的具体表现。 RocksDB在删除数据后，将删除操作直接转化为追加写，在积攒了一定数据量的冗余数据后，会自动触发后台compact线程对同一数据的多版本进行归并聚合，从而释放多余的磁盘空间，因此建议等待系统自动回收。当磁盘空间使用率较高，接近只读状态阈值时，请联系华为工程师处理。 WiredTiger在删除数据，进行数据多版本归并聚合后，也会空余出磁盘空间碎片，但wiredTiger并不会将这部分磁盘空间返还给操作系统，而是打上标记预留给当前collection后续的写入，此collection后续的写入会优先使用这部分预留的磁盘空间，如果需要释放这部分磁盘空间，可以尝试通过执行compact命令进行释放（注：此命令会阻塞正常业务，因此默认情况下是禁用状态）。

分析DDS数据库正在执行的请求 通过Mongo Shell连接DDS实例。 开通公网访问的实例，具体请参见： 通过公网连接集群实例 通过公网连接副本集实例 通过公网连接单节点实例 未开通公网访问的实例，具体请参见： 通过内网连接集群实例 通过内网连接副本集实例 通过内网连接单节点实例 执行以下命令，查看数据库当前正在执行的操作。 db.currentOp() 回显如下： { "raw" : { "shard0001" : { "inprog" : [ { "desc" : "StatisticsCollector", "threadId" : "140323686905600", "active" : true, "opid" : 9037713, "op" : "none", "ns" : "", "query" : { }, "numYields" : 0, "locks" : { }, "waitingForLock" : false, "lockStats" : { } }, { "desc" : "conn2607", "threadId" : "140323415066368", "connectionId" : 2607, "client" : "172.16.36.87:37804", "appName" : "MongoDB Shell", "active" : true, "opid" : 9039588, "secs_running" : 0, "microsecs_running" : NumberLong(63), "op" : "command", "ns" : "admin.", "query" : { "currentOp" : 1 }, "numYields" : 0, "locks" : { }, "waitingForLock" : false, "lockStats" : { } } ], "ok" : 1 }, ... } client：发起请求的客户端。 opid：操作的唯一标识符。 secs_running：该操作已经执行的时间，单位：秒。如果该字段返回的值特别大，需要查看请求是否合理。 microsecs_running：该操作已经执行的时间，单位：微秒。如果该字段返回的值特别大，需要查看请求是否合理。 op：操作类型。通常是query、insert、update、delete、command中的一种。 ns：操作目标集合。 其他参数详见db.currentOp()命令官方文档。 根据命令执行结果，分析是否有异常耗时的请求正在执行。 如果业务日常运行的CPU使用率不高，由于执行某一操作使得CPU使用率过高，导致业务运行缓慢，该场景下，您需要关注执行耗时久的请求。 如果发现异常请求，您可以找到该请求对应的opid，执行db.killOp(opid)命令终止该请求。

分析服务能力 经过前面数据库正在执行的请求和慢请求的分析和优化，所有的请求都使用了合理的索引，CPU的使用率相对趋于稳定。如果经过前面的分析排查，CPU使用率仍然居高不下，则可能是因为当前实例已达到性能瓶颈，不能满足业务需要，此时您可以通过如下方法解决。 通过查看监控信息分析实例资源的使用情况，详情请参见查看监控指标。 对DDS进行规格变更或者添加分片数量。具体操作请根据当前的实例类型参考如下文档。 添加集群实例的节点数量 变更集群实例的CPU和内存 添加副本集实例的节点数量 变更副本集实例的CPU和内存 变更单节点实例的CPU和内存

数据库读写性能提升 常见的排查点： 如果数据库有直接报错信息Timeout，需要检查实例的连接数是否已达到上限。 检查方法：通过查看监控指标，查看当前活动连接数是否已经达到当前实例支持的最大连接数。 解决方案：请参见实例的连接数满导致实例连接失败，如何处理。 检查连接方式是否合理。 检查方法：检查连接实例时，集群实例是否同时连接了多个dds mongos节点，副本集是否同时连接了主节点和备节点。 解决方案：如果是集群实例，连接实例时建议同时连接多个dds mongos节点，这样可以分担负载并提高可用性；如果是副本集实例，建议同时连接主备节点，这样不仅提升了数据读写性能，而且避免了在发生主备节点切换后，从客户端写入数据报错的问题。 分析实例的监控指标是否存在异常。 检查方法：通过查看监控指标，观察CPU使用率、内存使用率等使用情况。 解决方案：如果CPU和内存指标异常，需要检查客户端业务或者实例数据是否过于集中，造成负载过高。客户端业务过于集中，则需要客户端进行架构优化。数据过于集中，则需要对数据进行必要的分片。 检查慢日志是否过多。 检查方法：请参见查看慢日志。 解决方案：请参见慢操作优化。 其他的注意点： 执行查询时，只选择需要返回的字段，不需要的字段不要返回。修改数据时，只修改变化需要修改的字段，不要整个对象直接存储全部修改。从而减少网络和进程处理的负载。 同一个业务场景，能一次查询返回的必须一次查询 ，减少和数据库的交互次数。 单个实例中，数据库的总的个数不要超过200个，总的集合个数不要超过500个。 业务上线前，一定要对数据库进行性能压测，评估业务峰值场景下，对数据库的负载情况。 禁止同时执行大量并发事务，且长时间不提交。 业务正式上线前，所有的查询类别，都应该先执行查询计划检查查询性能。 检查实例规格的性能基线，分析当前的业务需求是否达到上限。 父主题： 性能调优

参数调优 数据库参数是数据库系统运行的关键配置信息，设置不合适的参数值可能会影响业务。本文列举了一些重要参数说明。更多参数的详细说明请参见MongoDB官网。 如需通过控制台界面修改参数值，请参见修改DDS实例参数。 enableMajorityReadConcern 该参数表示读取数据时，是否需要从大多数节点获取一致的数据后才返回结果。 默认值为“false”，表示读取数据时，不需要从大多数节点获取一致数据后返回结果，即从单个节点上读取数据就可以返回结果。 该参数设为true的时候，表示读取数据时，需要从大多数节点获取一致数据后才返回结果。该操作会导致LAS文件过大，进而造成CPU过高和磁盘占用大。 在DDS中，不支持设置majority级别的readConcern。对于需要majorityReadConcern的场景，可以将WriteConcern设置为majority，表示数据写入到大多数节点了，这样也就保证了大多数节点的数据一致了。然后通过读取单个节点的数据，就能保证用户读到的数据已经写入到大多数节点，而这样的数据不会发生回滚，避免了脏读的问题。 MongoDB可以通过writeConcern来定制写策略，通过readConcern来定制读策略。 当指定readConcern级别为majority时，能保证用户读到的数据已经写入到大多数节点，而这样的数据不会发生回滚，避免了脏读的问题。 failIndexKeyTooLong 默认值为“true”。 该参数不支持修改，避免过长索引Key。 net.maxIncomingConnections 该参数表示dds mongos或mongod可接受的最大同时连接数量。该参数依赖于实例的规格，实例规格不同对应其默认值也不同。因此，此参数在用户未设置前显示为“default”，表示该参数随内存规格变化。 security.javascriptEnabled 默认值为“false”。 该参数表示是否允许mongod上执行JavaScript脚本。为了安全考虑，默认值为“false”，表示不允许mongod上执行JavaScript脚本，mapreduce、group等命令也将无法使用。 disableJavaScriptJIT 默认值为“true”。 该参数表示是否禁用JavaScriptJIT编译技术。JavaScriptJIT编译技术实现了即时 (JIT) 编译以提高运行脚本时的性能。 “disableJavaScriptJIT”默认值为“true”，表示禁用JavaScriptJIT编译技术。如果需要启用JavaScriptJIT编译技术，可以将“disableJavaScriptJIT”的值设置为“false”。 operationProfiling.mode 默认值为“slowOp”。 该参数表示数据库分析器的级别。 该参数支持如下取值： 默认值为“slowOp”，表示对于耗时超过慢查询阈值的操作，采集器采集数据。 取值为“off”，表示分析器关闭，不收集任何数据。 取值为“all”，表示采集器采集所有操作的数据。 operationProfiling.slowOpThresholdMs 默认值为“500”，单位为ms。 该参数表示慢查询的时间阈值，单位为毫秒，超过该阈值的操作将被认为是慢操作。 如无特殊需求，建议使用默认值500ms。 maxTransactionLockRequestTimeoutMillis 默认值“5”，取值范围为5~100，单位为ms。 该参数表示事务等待获取锁的时间，超过该时间则事务回滚。 父主题： 性能调优

数据库实例状态 表1 状态和说明 状态 说明 正常 数据库实例运行正常。 异常 数据库实例不可用。 创建中 正在创建数据库实例。 创建失败 数据库实例创建失败。 备份中 正在创建数据库实例备份。 重启中 按照用户请求，或修改需要重启才能生效的数据库参数后，重启实例中。 主备切换中 正在切换副本集实例及集群实例的shard、config的主备节点。 节点扩容中 正在扩容集群实例的shard或dds mongos节点个数。 删除节点中 正在删除添加失败的节点。 存储扩容中 正在扩容实例的磁盘大小。 规格变更中 正在变更实例的CPU和内存规格。 转包周期中 实例的计费方式正在由“按需计费”转为“包年/包月”。 恢复检查中 该实例下的备份正在恢复到新实例。 恢复中 该实例下的备份正在恢复到已有实例。 恢复失败 通过备份恢复到已有实例失败。 切换SSL中 正在开启或关闭SSL通道。 慢日志配置修改中 正在切换慢日志明文显示开关。 修改内网地址中 正在修改节点的内网IP地址。 修改端口号中 正在修改数据库实例的端口。 修改安全组中 正在修改数据库实例的安全组。 冻结 账户余额小于或等于0元，系统对该用户下的实例进行冻结。您需前往费用中心充值成功，欠款核销后，冻结的实例才会解冻。 补丁升级中 正在进行补丁升级。 包周期变更资源检查中 包周期实例在进行变更过程中所持续的状态。

相关操作 新增工作空间：工作空间（Workspace）属于 安全云脑 顶层工作台，单个工作空间可绑定普通项目、企业项目和Region，可支撑不同场景下的工作空间运营模式。在使用安全云脑的基线检查、告警管理、安全分析、安全编排等功能前，需要先创建工作空间，它可以将资源划分为各个不同的工作场景，避免资源冗余查找不便，影响日常使用。 创建空间托管：空间托管是指跨账号安全运营，可实现Workspace委托集中安全运营查看统一资产风险、告警和事件等。安全云脑支持将项目中的工作空间托管给其他用户，托管后，可实现Workspace委托集中安全运营查看统一资产风险、告警和事件等。 管理托管：空间托管页面中，可以管理托管视图、我纳管的和纳管我的。

内置漏洞类型 表4 内置漏洞类型列表 类型名称/类型标识 描述 网站漏洞 Website Vulnerabilities 网站漏洞 Linux软件漏洞 Linux Vulnerabilities Linux软件漏洞 Web-CMS漏洞 Web-CMS Vulnerabilities Web-CMS漏洞 Windows系统漏洞 Windows Vulnerabilities Windows系统漏洞 应用漏洞 Application Vulnerabilities 应用漏洞

内置事件类型 表2 内置事件类型列表 类型名称 子类型/子类型标识 描述 DDoS攻击 DNS协议攻击 Tcp Dns DNS协议攻击 异常端口通信 Unusual Network Port 异常端口通信 异常协议攻击 Unusual Protocol 异常协议攻击 ACK Flood ACK Flood ACK Flood BGP Flood攻击 BGP Flood Attack BGP Flood攻击 DNS IP TTL DNS IP TTL Check Fail DNS IP TTL DNS Reply Flood 攻击 DNS Reply Flood DNS Reply Flood 攻击 DNS查询攻击 DNS Query Flood DNS查询攻击 DNS大小异常 DNS Size Abnormal DNS大小异常 DNS反射 DNS Reflection DNS反射 DNS返回 域名 流异常 DNS Reply Domain Flow Abnormal DNS返回域名流异常 DNS格式错误 DNS Format Error DNS格式错误 DNS缓存匹配 DNS Cache Match DNS缓存匹配 DNS缓存投毒 DNS Cache Poisoning DNS缓存投毒 DNS请求域名流异常 DNS Request Domain Flow Abnormal DNS请求域名流异常 DNS无效域名 DNS No Such Name DNS无效域名 FIN/RST Flood FIN/RST Flood FIN/RST Flood HTTPS Flood HTTPS Flood HTTPS Flood HTTP慢速攻击 HTTP Slow Attack HTTP慢速攻击 ICMP协议封禁 ICMP Protocol Block ICMP协议封禁 IP信誉 IP Reputation IP信誉 SIP Flood SIP Flood SIP Flood SIP源速率异常 SIP Source Rate Abnormity SIP源速率异常 SYN Flood SYN Flood SYN Flood SYN-ACK Flood SYN-ACK Flood SYN-ACK Flood TCP带宽溢出 TCP Bandwidth Overflow TCP带宽溢出 TCP多连接攻击 TCP Connection Flood TCP多连接攻击 TCP分片带宽溢出 TCP Fragment Bandwidth Overflow TCP分片带宽溢出 TCP分片攻击 TCP Fragment Flood TCP分片攻击 TCP畸形报文 TCP Malformed TCP畸形报文 TCP认证UDP攻击 TCP-authenticated UDP Attack TCP认证UDP攻击 TCP协议封禁 TCP Protocol Block TCP协议封禁 UDP带宽溢出 UDP Bandwidth Overflow UDP带宽溢出 UDP分片 UDP Fragment Flood UDP分片 UDP分片带宽溢出 UDP Fragment Bandwidth Overflow UDP分片带宽溢出 UDP畸形报文 UDP Malformed UDP畸形报文 UDP协议封禁 UDP Protocol Block UDP协议封禁 URI监控 URI Monitor URI监控 暗网IP Dark IP 暗网IP 单IP带宽溢出 Single IP Bandwidth Overflow 单IP带宽溢出 当前连接耗尽攻击 Concurrent Connections Flood 当前连接耗尽攻击 端口扫描攻击 Port Scanning Attack 端口扫描攻击 恶意域名攻击 Malicious Domains Attack 恶意域名攻击 反恶意软件 Anti-Malware 反恶意软件 分布式拒绝服务攻击 DDOS 分布式拒绝服务攻击 分区带宽溢出 Zone Bandwidth Overflow 分区带宽溢出 过滤器攻击 Filter Attack 过滤器攻击 黑名单 Blacklist 黑名单 僵尸网络/特洛伊木马/蠕虫 Botnets/Trojan horses/Worms Attack 僵尸网络/特洛伊木马/蠕虫 目的IP新会话限速 Destination IP new session rate limiting 目的IP新会话限速 其他Flood攻击 Other Flood 其他Flood攻击 其他带宽溢出 Other Bandwidth Overflow 其他带宽溢出 其他全局异常 Global Other Abnormal 其他全局异常 其他协议封禁 Other Protocol Block 其他协议封禁 全局ICMP异常 Global ICMP Abnormal 全局ICMP异常 全局TCP分片异常 Global TCP Fragment Abnormal 全局TCP分片异常 全局TCP异常 Global TCP Abnormal 全局TCP异常 全局UDP分片异常 Global UDP Fragment Abnormal 全局UDP分片异常 全局UDP异常 Global UDP Abnormal 全局UDP异常 网页攻击 Web Attack 网页攻击 位置攻击 Location Attack 位置攻击 新连接耗尽攻击 New Connections Flood 新连接耗尽攻击 域名劫持 Domain Hijacking 域名劫持 源DNS返回流异常 Source DNS Reply Flow Abnormal 源DNS返回流异常 源DNS请求流异常 Source DNS Request Flow Abnormal 源DNS请求流异常 主机流量溢出 Host Traffic Over Flow 主机流量溢出 HTTP Flood HTTP Flood HTTP Flood ICMP Flood ICMP Flood ICMP Flood SSL Flood SSL Flood SSL Flood TCP Flood TCP Flood TCP Flood UDP Flood UDP Flood UDP Flood XML Flood XML Flood XML Flood 放大攻击 Amplification 放大攻击 Web恶意代码 网页暗链 Web Page Dark Link 网页暗链 网页挂马 Web Page Trojan 网页挂马 Web攻击 Webshell Webshell Webshell WAF机器人 WAF Robot WAF机器人 白名单IP White IP 白名单IP 攻击惩罚 Known Attack Source 攻击惩罚 黑名单IP Black IP 黑名单IP 漏洞攻击 Vulnerability Attack 漏洞攻击 命中隐私泄露规则 Leakage 命中隐私泄露规则 默认 Default 默认 扫描/爬虫 Scanner & Crawler 扫描/爬虫 CC攻击 Challenge Collapsar CC攻击 IP信誉库 IP Reputation IP信誉库 SQL注入 SQL Injection SQL注入 XSS Cross-Site Scripting XSS 本地文件包含 Local Code Inclusion 本地文件包含 地理访问控制拦截 Geo IP 地理访问控制拦截 恶意爬虫 Malicious Web Crawlers 恶意爬虫 反爬虫 Anticrawler 反爬虫 防篡改 AntiTamper 防篡改 非法请求 Illegal Access 非法请求 黑白名单拦截 White or Black IP 黑白名单拦截 精准防护 Custom Rule 精准防护 命令注入 Command Injection 命令注入 目录遍历 Path Traversal 目录遍历 网站木马 Website Trojan 网站木马 网站信息防泄漏 Information Leakage 网站信息防泄漏 网站信息泄露 Web Service Exfiltration 网站信息泄露 远程代码执行 Remote Code Execute 远程代码执行 远程文件包含 Remote Code Inclusion 远程文件包含 恶意软件 加密货币挖矿 Cryptomining 加密货币挖矿 Docker恶意程序 Docker Malware Docker恶意程序 钓鱼 Phishing 钓鱼 恶意广告软件 Adware 恶意广告软件 恶意软件 Malicious Software 恶意软件 黑客工具 Hacktool 黑客工具 灰色软件 Grayware 灰色软件 间谍软件 Spyware 间谍软件 垃圾邮件 Spam 垃圾邮件 Rootkit Rootkit Rootkit Webshell Webshell Webshell 病毒、蠕虫 Virus and Worm 病毒、蠕虫 恶意文件 Malicious File 恶意文件 反弹shell Reverse Shell 反弹shell 后门木马 Backdoor Trojan 后门木马 僵尸网络程序 Botnet Program 僵尸网络程序 勒索软件 Ransomware 勒索软件 挖矿程序 Bitcoin Miner 挖矿程序 挖矿软件 Mining Software 挖矿软件 风险审计 Webcms漏洞 Webcms Vulnerability Webcms漏洞 Windows OS 漏洞 Windows Vulnerability Windows OS 漏洞 本地访问漏洞 Local Access Vulnerability 本地访问漏洞 错误配置策略 Mis-Configured Policy 错误配置策略 其它OS漏洞 Other OS Vulnerability 其它OS漏洞 其它漏洞 Other Vulnerability 其它漏洞 应用程序漏洞 Application Vulnerability 应用程序漏洞 远程访问漏洞 Remote Access Vulnerability 远程访问漏洞 风险审计 弱口令 Weak Password 弱口令 系统风险配置 System Risk Configuration 系统风险配置 攻击探测 钓鱼 Phishing 钓鱼 网络拓扑构建 Map Network Topology 网络拓扑构建 账户、组信息收集 Identify Groups/Roles 账户、组信息收集 指纹扫描 Fingerprinting 指纹扫描 主机发现 Determine IP Address 主机发现 漏洞利用 ActiveX漏洞利用 ActiveX Exploit ActiveX漏洞利用 CGI攻击 CGI Attack CGI攻击 DNS漏洞利用 DNS Exploit DNS漏洞利用 FTP漏洞利用 FTP Exploit FTP漏洞利用 Hadoop漏洞利用 Hadoop Vulnerability Exploit Hadoop漏洞利用 Hypervisor漏洞利用 Hypervisor Exploit Hypervisor漏洞利用 LDAP注入攻击 LDAP Injection Attack LDAP注入攻击 MacOS漏洞利用 MacOS Exploit MacOS漏洞利用 MySQL漏洞利用 MySQL Vulnerability Exploit MySQL漏洞利用 Office软件漏洞利用 Office Exploit Office软件漏洞利用 Redis漏洞利用 Redis Vulnerability Exploit Redis漏洞利用 RPC漏洞利用 RPC Exploit RPC漏洞利用 SQL注入 SQL Injection SQL注入 SSH漏洞利用 SSH Exploit SSH漏洞利用 SSI注入攻击 SSI Injection Attack SSI注入攻击 Struts2 OGNL注入 Struts2 OGNL Injection Struts2 OGNL注入 Telnet漏洞利用 TELNET Exploit Telnet漏洞利用 Unix漏洞利用 Unix Exploit Unix漏洞利用 Web漏洞利用 Web Exploit Web漏洞利用 XSS攻击 Cross-Site Scripting XSS攻击 本地文件包含 Local File Inclusion 本地文件包含 恶意文件投递 Malicious File Delivery 恶意文件投递 恶意文件执行 Malicious File Execution 恶意文件执行 缓冲区溢出攻击 Buffer Overflow 缓冲区溢出攻击 会话劫持 Session Hijack 会话劫持 口令猜测 Password Cracking 口令猜测 浏览器漏洞利用 Browser Exploit 浏览器漏洞利用 弱口令访问 Weak Password Access 弱口令访问 数据库漏洞利用 Database Exploit 数据库漏洞利用 未知漏洞利用 Unknown Exploit 未知漏洞利用 隐藏链接访问 Hide Link Access 隐藏链接访问 邮件漏洞利用 Mail Exploit 邮件漏洞利用 远程代码执行 Remote Code Execution 远程代码执行 远程访问漏洞利用 Remote Access Exploit 远程访问漏洞利用 远程文件包含攻击 Remote File Inclusion 远程文件包含攻击 远程文件注入 Remote File Injection 远程文件注入 组合漏洞利用 Misc Exploit 组合漏洞利用 CMS漏洞 CMS Exploit CMS漏洞 CS RF攻击 CSRF Attack CSRF攻击 JNDI注入攻击 JNDI Injection Attack JNDI注入攻击 Linux漏洞 Linux Exploit Linux漏洞 SMB漏洞 SMB Exploit SMB漏洞 Windows漏洞 Windows Exploit Windows漏洞 XML注入 XML Injection XML注入 代码注入 Code Injection 代码注入 漏洞逃逸攻击 Vulnerability Escape Attack 漏洞逃逸攻击 命令执行 Command Execution 命令执行 命令注入 Command Injection 命令注入 文件逃逸攻击 File Escape Attack 文件逃逸攻击 虚拟机逃逸攻击 VM Escape Attack 虚拟机逃逸攻击 一般漏洞利用 General Exploit 一般漏洞利用 命令与控制 ECS存在当前IP被用于向高危网络发送消息 Command Control Activity ECS存在当前IP被用于向高危网络发送消息 可疑的域名、IP地址、端口动态生成访问 Dynamic Resolution 可疑的域名、IP地址、端口动态生成访问 其他可疑连接 Abnormal Connection 其他可疑连接 其他可疑行为 Abnormal Behaviour 其他可疑行为 外连恶意DNS Malicious Domain Query 外连恶意DNS 外连恶意IP地址 Malicious Ip Address Query 外连恶意IP地址 隐蔽隧道 Protocol Tunneling 隐蔽隧道 与矿池地址通信 Mining Pool Communication 与矿池地址通信 其他 公共舆情 Public_Opinion 公共舆情 云防火墙 攻击 CFW_RISK 云防火墙攻击 数据泄露 数据窃取 Steal Data 数据窃取 违规外传 Transfer Data Abnormal 违规外传 网络异常行为 IP访问频率异常 IP Access Frequency Abnormal IP访问频率异常 IP切换异常 IP Switch Abnormal IP切换异常 IP首次访问 IP First Access IP首次访问 Sinkhole攻击IP访问 Sink Hole Sinkhole攻击IP访问 代理IP访问 Proxy 代理IP访问 恶意资源访问 Resource Permissions 恶意资源访问 欺诈付款网站IP/域名访问 Payment 欺诈付款网站IP/域名访问 洋葱网络IP访问 Tor 洋葱网络IP访问 C&C异常通信 C&C Abnormal Communication C&C异常通信 IP黑名单访问 IP Blacklist Access IP黑名单访问 URL黑名单访问 URL Blacklist Access URL黑名单访问 恶意URL访问 Malicious URL Access 恶意URL访问 恶意域名访问 Malicious Domain Name Access 恶意域名访问 非授权访问企图 Unauthorized Access Attemp 非授权访问企图 可疑的网络流量 Suspicious Network Traffic 可疑的网络流量 容器网络外联 Container Network Connect 容器网络外联 未知网络访问 Unknown Abnormal Network Access 未知网络访问 文件MD5黑名单访问 File MD5 Blacklist Access 文件MD5黑名单访问 异常外联行为 Abnormal External Behavior 异常外联行为 域名黑名单访问 Domain Name Blacklist Access 域名黑名单访问 周期外联通信 Periodic Outreach 周期外联通信 可疑的端口转发 Suspicious Port Forward 可疑的端口转发 无文件攻击 VDSO劫持 VDSO Hijacking VDSO劫持 动态库注入进程 Dynamic Library Inject Process 动态库注入进程 关键配置变更 Critical File Change 关键配置变更 环境变量变更 Environment Change 环境变量变更 进程注入 Process Inject 进程注入 内存文件进程 Memfd Process 内存文件进程 文件操纵 File Manipulation 文件操纵 系统行为异常 Crontab可疑任务 Crontab Suspicious Task Crontab可疑任务 Socket连接异常 Abnormal Socket Connection Socket连接异常 备份删除 Backup Deletion 备份删除 非法数据库访问 Unauthorized Database Access 非法数据库访问 权限异常访问 Privilege Abnormal Access 权限异常访问 日志异常变化 Unexpected Log Change 日志异常变化 容器进程退出 Container Process Exist 容器进程退出 未知主机异常行为 Unknown Host Abnormal Activity 未知主机异常行为 文件黑名单访问 File blocklist access 文件黑名单访问 文件权限异常改变 Unexpected File Permission Change 文件权限异常改变 系统安全防护被禁用 System Security Protection disabled 系统安全防护被禁用 系统账号变更 System Account Change 系统账号变更 异常注册表操作 Abnormal Registry Operation 异常注册表操作 Crontab脚本提权 Crontab Script Privilege Escalation Crontab脚本提权 Crontab脚本修改 Crontab Script Change Crontab脚本修改 高危命令执行 High-risk Command Execution 高危命令执行 高危系统调用 High-Risk Syscall 高危系统调用 关键文件/目录变更 File/Directory Change 关键文件/目录变更 关键文件变更 Key File Change 关键文件变更 进程提权 Process Privilege Escalation 进程提权 进程异常行为 Process Abnormal Activity 进程异常行为 敏感文件访问 Sensitive File Access 敏感文件访问 容器进程异常 Container Abnormal Process 容器进程异常 容器异常启动 Container Abnormal Start 容器异常启动 数据库连接异常 Abnormal Database Connection 数据库连接异常 网卡混杂模式 Network Adapter Promiscuous Mode 网卡混杂模式 文件提权 File Privilege Escalation 文件提权 文件异常删除 File Abnormal Delete 文件异常删除 系统启动脚本改变 System Start Script Change 系统启动脚本改变 异常shell Abnormal Shell 异常shell 异常命令执行 Abnormal Command Execution 异常命令执行 信息破坏 信息篡改 Information Tampering 信息篡改 信息丢失 Information Loss 信息丢失 信息假冒 Information Masquerading 信息假冒 信息窃取 Information Interception 信息窃取 信息泄漏 Information Disclosure 信息泄漏 Linux网页篡改 Linux Web Page Tampering Linux网页篡改 Windows网页篡改 Windows Web Page Tampering Windows网页篡改 目录遍历 Directory Traversal 目录遍历 用户行为异常 Token恶意利用 Token Leakage Token恶意利用 Token恶意利用成功 Token Leakage Success Token恶意利用成功 异常用户首次访问 User First Cross Domain Access 异常用户首次访问 用户访问频率异常 User Access Frequency Abnormal 用户访问频率异常 用户访问时段异常 User Hour Level Access Abnormal 用户访问时段异常 用户使用特定IP下载行为异常 User IP Download Abnormal 用户使用特定IP下载行为异常 用户首次访问桶对象 Client First Access 用户首次访问桶对象 用户下载行为异常 User Download Abnormal 用户下载行为异常 暴力破解 Brute Force Cracking 暴力破解 违规登录 Illegal Login 违规登录 未知用户异常行为 Unknown User Abnormal Activity 未知用户异常行为 异常登录 Abnormal Login 异常登录 用户登录尝试 User Login Attempt 用户登录尝试 用户密码窃取 User Password Theft 用户密码窃取 用户权限提升成功 User Privilege Escalation Succeeded 用户权限提升成功 用户权限提升失败 User Privilege Escalation Failed 用户权限提升失败 用户首次登录 User First login 用户首次登录 用户账号删除 User Account Removed 用户账号删除 用户账号添加 User Account Added 用户账号添加 用户组变更 User Group Changed 用户组变更 用户组删除 User Group Removed 用户组删除 用户组添加 User Group Added 用户组添加 账号伪冒 Account Forgery 账号伪冒 ECS可疑账号创建 Suspicious Ecs User Create ECS可疑账号创建 ECS账号权限修改 ECS User Escalate Privilege ECS账号权限修改 IAM 可疑账号创建 Suspicious IAM Account Create IAM可疑账号创建 IAM账号权限修改 IAM Permissions Escalation IAM账号权限修改 暴力破解登录ECS ECS BruteForce Login 暴力破解登录ECS 暴力破解登录IAM IAM BruteForce Login 暴力破解登录IAM 非法系统账号 Invalid System Account 非法系统账号 风险账号 Risky Account 风险账号 可疑IP登录ECS Suspicious IP Address Login 可疑IP登录ECS 可疑IP登录IAM Suspicious IP Address Login 可疑IP登录IAM 异常登录IAM IAM Abnormal Login 异常登录IAM 异地登录ECS Instance Credential Exfiltration 异地登录ECS 用户登录成功 User Login Success 用户登录成功 用户登录拒绝 User Login Denied 用户登录拒绝 用户账号变更 User Account Changed 用户账号变更 资源操控 恶意逻辑插入 Malicious Logic Insertion 恶意逻辑插入 基础设施操纵 Infrastructure Manipulation 基础设施操纵 配置/环境操纵 Configuration/Environment Manipulation 配置/环境操纵 容器逃逸 Container Escape 容器逃逸 容器资源操纵 Container Resource Manipulation 容器资源操纵 软件完整性 Software Integrity Attack 软件完整性 资源侦查 端口探测数量异常 Port Detection 端口探测数量异常 ARP 扫描 ARP Scan ARP 扫描 DNS探测 DNS Recon DNS探测 Hypervisor探测 Hypervisor Recon Hypervisor探测 ICMP探测 ICMP Recon ICMP探测 Linux探测 Linux Recon Linux探测 MacOS探测 MacOS Recon MacOS探测 NMAP扫描 NMAP Scan NMAP扫描 RPC请求探测 RPC Recon RPC请求探测 SNMP扫描 SNMP Recon SNMP扫描 TCP扫描 TCP Recon TCP扫描 UDP扫描 UDP Recon UDP扫描 Unix探测 Unix Recon Unix探测 WEB探测 Web Recon WEB探测 Windows探测 Windows Recon Windows探测 加密渗透扫描 Encrypted Penetration Scan 加密渗透扫描 普通扫描事件 General Scanner 普通扫描事件 数据库探测 Database Recon 数据库探测 邮件探测 Mail Recon 邮件探测 主机扫描 Host Scan 主机扫描 组合探测 Misc Recon 组合探测 端口扫描 Port Scan 端口扫描

内置告警类型 表1 内置告警类型列表 类型名称 子类型/子类型标识 描述 DDoS攻击 DNS协议攻击 Tcp Dns DNS协议攻击 异常端口通信 Unusual Network Port 异常端口通信 异常协议攻击 Unusual Protocol 异常协议攻击 ACK Flood ACK Flood ACK Flood BGP Flood攻击 BGP Flood Attack BGP Flood攻击 DNS IP TTL DNS IP TTL Check Fail DNS IP TTL DNS Reply Flood 攻击 DNS Reply Flood DNS Reply Flood 攻击 DNS查询攻击 DNS Query Flood DNS查询攻击 DNS大小异常 DNS Size Abnormal DNS大小异常 DNS反射 DNS Reflection DNS反射 DNS返回域名流异常 DNS Reply Domain Flow Abnormal DNS返回域名流异常 DNS格式错误 DNS Format Error DNS格式错误 DNS缓存匹配 DNS Cache Match DNS缓存匹配 DNS缓存投毒 DNS Cache Poisoning DNS缓存投毒 DNS请求域名流异常 DNS Request Domain Flow Abnormal DNS请求域名流异常 DNS无效域名 DNS No Such Name DNS无效域名 FIN/RST Flood FIN/RST Flood FIN/RST Flood HTTPS Flood HTTPS Flood HTTPS Flood HTTP慢速攻击 HTTP Slow Attack HTTP慢速攻击 ICMP协议封禁 ICMP Protocol Block ICMP协议封禁 IP信誉 IP Reputation IP信誉 SIP Flood SIP Flood SIP Flood SIP源速率异常 SIP Source Rate Abnormity SIP源速率异常 SYN Flood SYN Flood SYN Flood SYN-ACK Flood SYN-ACK Flood SYN-ACK Flood TCP带宽溢出 TCP Bandwidth Overflow TCP带宽溢出 TCP多连接攻击 TCP Connection Flood TCP多连接攻击 TCP分片带宽溢出 TCP Fragment Bandwidth Overflow TCP分片带宽溢出 TCP分片攻击 TCP Fragment Flood TCP分片攻击 TCP畸形报文 TCP Malformed TCP畸形报文 TCP认证UDP攻击 TCP-authenticated UDP Attack TCP认证UDP攻击 TCP协议封禁 TCP Protocol Block TCP协议封禁 UDP带宽溢出 UDP Bandwidth Overflow UDP带宽溢出 UDP分片 UDP Fragment Flood UDP分片 UDP分片带宽溢出 UDP Fragment Bandwidth Overflow UDP分片带宽溢出 UDP畸形报文 UDP Malformed UDP畸形报文 UDP协议封禁 UDP Protocol Block UDP协议封禁 URI监控 URI Monitor URI监控 暗网IP Dark IP 暗网IP 单IP带宽溢出 Single IP Bandwidth Overflow 单IP带宽溢出 当前连接耗尽攻击 Concurrent Connections Flood 当前连接耗尽攻击 端口扫描攻击 Port Scanning Attack 端口扫描攻击 恶意域名攻击 Malicious Domains Attack 恶意域名攻击 反恶意软件 Anti-Malware 反恶意软件 分布式拒绝服务攻击 DDOS 分布式拒绝服务攻击 分区带宽溢出 Zone Bandwidth Overflow 分区带宽溢出 过滤器攻击 Filter Attack 过滤器攻击 黑名单 Blacklist 黑名单 僵尸网络/特洛伊木马/蠕虫 Botnets/Trojan horses/Worms Attack 僵尸网络/特洛伊木马/蠕虫 目的IP新会话限速 Destination IP new session rate limiting 目的IP新会话限速 其他Flood攻击 Other Flood 其他Flood攻击 其他带宽溢出 Other Bandwidth Overflow 其他带宽溢出 其他全局异常 Global Other Abnormal 其他全局异常 其他协议封禁 Other Protocol Block 其他协议封禁 全局ICMP异常 Global ICMP Abnormal 全局ICMP异常 全局TCP分片异常 Global TCP Fragment Abnormal 全局TCP分片异常 全局TCP异常 Global TCP Abnormal 全局TCP异常 全局UDP分片异常 Global UDP Fragment Abnormal 全局UDP分片异常 全局UDP异常 Global UDP Abnormal 全局UDP异常 网页攻击 Web Attack 网页攻击 位置攻击 Location Attack 位置攻击 新连接耗尽攻击 New Connections Flood 新连接耗尽攻击 域名劫持 Domain Hijacking 域名劫持 源DNS返回流异常 Source DNS Reply Flow Abnormal 源DNS返回流异常 源DNS请求流异常 Source DNS Request Flow Abnormal 源DNS请求流异常 主机流量溢出 Host Traffic Over Flow 主机流量溢出 HTTP Flood HTTP Flood HTTP Flood ICMP Flood ICMP Flood ICMP Flood SSL Flood SSL Flood SSL Flood TCP Flood TCP Flood TCP Flood UDP Flood UDP Flood UDP Flood XML Flood XML Flood XML Flood 放大攻击 Amplification 放大攻击 Web恶意代码 网页暗链 Web Page Dark Link 网页暗链 网页挂马 Web Page Trojan 网页挂马 Web攻击 Webshell Webshell Webshell WAF机器人 WAF Robot WAF机器人 白名单IP White IP 白名单IP 攻击惩罚 Known Attack Source 攻击惩罚 黑名单IP Black IP 黑名单IP 漏洞攻击 Vulnerability Attack 漏洞攻击 命中隐私泄露规则 Leakage 命中隐私泄露规则 默认 Default 默认 扫描/爬虫 Scanner & Crawler 扫描/爬虫 CC攻击 Challenge Collapsar CC攻击 IP信誉库 IP Reputation IP信誉库 SQL注入 SQL Injection SQL注入 XSS Cross-Site Scripting XSS 本地文件包含 Local Code Inclusion 本地文件包含 地理访问控制拦截 Geo IP 地理访问控制拦截 恶意爬虫 Malicious Web Crawlers 恶意爬虫 反爬虫 Anticrawler 反爬虫 防篡改 AntiTamper 防篡改 非法请求 Illegal Access 非法请求 黑白名单拦截 White or Black IP 黑白名单拦截 精准防护 Custom Rule 精准防护 命令注入 Command Injection 命令注入 目录遍历 Path Traversal 目录遍历 网站木马 Website Trojan 网站木马 网站信息防泄漏 Information Leakage 网站信息防泄漏 网站信息泄露 Web Service Exfiltration 网站信息泄露 远程代码执行 Remote Code Execute 远程代码执行 远程文件包含 Remote Code Inclusion 远程文件包含 恶意软件 加密货币挖矿 Cryptomining 加密货币挖矿 Docker恶意程序 Docker Malware Docker恶意程序 钓鱼 Phishing 钓鱼 恶意广告软件 Adware 恶意广告软件 恶意软件 Malicious Software 恶意软件 黑客工具 Hacktool 黑客工具 灰色软件 Grayware 灰色软件 间谍软件 Spyware 间谍软件 垃圾邮件 Spam 垃圾邮件 Rootkit Rootkit Rootkit Webshell Webshell Webshell 病毒、蠕虫 Virus and Worm 病毒、蠕虫 恶意文件 Malicious File 恶意文件 反弹shell Reverse Shell 反弹shell 后门木马 Backdoor Trojan 后门木马 僵尸网络程序 Botnet Program 僵尸网络程序 勒索软件 Ransomware 勒索软件 挖矿程序 Bitcoin Miner 挖矿程序 挖矿软件 Mining Software 挖矿软件 风险审计 Webcms漏洞 Webcms Vulnerability Webcms漏洞 Windows OS 漏洞 Windows Vulnerability Windows OS 漏洞 本地访问漏洞 Local Access Vulnerability 本地访问漏洞 错误配置策略 Mis-Configured Policy 错误配置策略 其它OS漏洞 Other OS Vulnerability 其它OS漏洞 其它漏洞 Other Vulnerability 其它漏洞 应用程序漏洞 Application Vulnerability 应用程序漏洞 远程访问漏洞 Remote Access Vulnerability 远程访问漏洞 风险审计 弱口令 Weak Password 弱口令 系统风险配置 System Risk Configuration 系统风险配置 攻击探测 钓鱼 Phishing 钓鱼 网络拓扑构建 Map Network Topology 网络拓扑构建 账户、组信息收集 Identify Groups/Roles 账户、组信息收集 指纹扫描 Fingerprinting 指纹扫描 主机发现 Determine IP Address 主机发现 漏洞利用 ActiveX漏洞利用 ActiveX Exploit ActiveX漏洞利用 CGI攻击 CGI Attack CGI攻击 DNS漏洞利用 DNS Exploit DNS漏洞利用 FTP漏洞利用 FTP Exploit FTP漏洞利用 Hadoop漏洞利用 Hadoop Vulnerability Exploit Hadoop漏洞利用 Hypervisor漏洞利用 Hypervisor Exploit Hypervisor漏洞利用 LDAP注入攻击 LDAP Injection Attack LDAP注入攻击 MacOS漏洞利用 MacOS Exploit MacOS漏洞利用 MySQL漏洞利用 MySQL Vulnerability Exploit MySQL漏洞利用 Office软件漏洞利用 Office Exploit Office软件漏洞利用 Redis漏洞利用 Redis Vulnerability Exploit Redis漏洞利用 RPC漏洞利用 RPC Exploit RPC漏洞利用 SQL注入 SQL Injection SQL注入 SSH漏洞利用 SSH Exploit SSH漏洞利用 SSI注入攻击 SSI Injection Attack SSI注入攻击 Struts2 OGNL注入 Struts2 OGNL Injection Struts2 OGNL注入 Telnet漏洞利用 TELNET Exploit Telnet漏洞利用 Unix漏洞利用 Unix Exploit Unix漏洞利用 Web漏洞利用 Web Exploit Web漏洞利用 XSS攻击 Cross-Site Scripting XSS攻击 本地文件包含 Local File Inclusion 本地文件包含 恶意文件投递 Malicious File Delivery 恶意文件投递 恶意文件执行 Malicious File Execution 恶意文件执行 缓冲区溢出攻击 Buffer Overflow 缓冲区溢出攻击 会话劫持 Session Hijack 会话劫持 口令猜测 Password Cracking 口令猜测 浏览器漏洞利用 Browser Exploit 浏览器漏洞利用 弱口令访问 Weak Password Access 弱口令访问 数据库漏洞利用 Database Exploit 数据库漏洞利用 未知漏洞利用 Unknown Exploit 未知漏洞利用 隐藏链接访问 Hide Link Access 隐藏链接访问 邮件漏洞利用 Mail Exploit 邮件漏洞利用 远程代码执行 Remote Code Execution 远程代码执行 远程访问漏洞利用 Remote Access Exploit 远程访问漏洞利用 远程文件包含攻击 Remote File Inclusion 远程文件包含攻击 远程文件注入 Remote File Injection 远程文件注入 组合漏洞利用 Misc Exploit 组合漏洞利用 CMS漏洞 CMS Exploit CMS漏洞 CSRF攻击 CSRF Attack CSRF攻击 JNDI注入攻击 JNDI Injection Attack JNDI注入攻击 Linux漏洞 Linux Exploit Linux漏洞 SMB漏洞 SMB Exploit SMB漏洞 Windows漏洞 Windows Exploit Windows漏洞 XML注入 XML Injection XML注入 代码注入 Code Injection 代码注入 漏洞逃逸攻击 Vulnerability Escape Attack 漏洞逃逸攻击 命令执行 Command Execution 命令执行 命令注入 Command Injection 命令注入 文件逃逸攻击 File Escape Attack 文件逃逸攻击 虚拟机逃逸攻击 VM Escape Attack 虚拟机逃逸攻击 一般漏洞利用 General Exploit 一般漏洞利用 命令与控制 ECS存在当前IP被用于向高危网络发送消息 Command Control Activity ECS存在当前IP被用于向高危网络发送消息 可疑的域名、IP地址、端口动态生成访问 Dynamic Resolution 可疑的域名、IP地址、端口动态生成访问 其他可疑连接 Abnormal Connection 其他可疑连接 其他可疑行为 Abnormal Behaviour 其他可疑行为 外连恶意DNS Malicious Domain Query 外连恶意DNS 外连恶意IP地址 Malicious Ip Address Query 外连恶意IP地址 隐蔽隧道 Protocol Tunneling 隐蔽隧道 与矿池地址通信 Mining Pool Communication 与矿池地址通信 其他 公共舆情 Public_Opinion 公共舆情 云防火墙攻击 CFW_RISK 云防火墙攻击 数据泄露 数据窃取 Steal Data 数据窃取 违规外传 Transfer Data Abnormal 违规外传 网络异常行为 IP访问频率异常 IP Access Frequency Abnormal IP访问频率异常 IP切换异常 IP Switch Abnormal IP切换异常 IP首次访问 IP First Access IP首次访问 Sinkhole攻击IP访问 Sink Hole Sinkhole攻击IP访问 代理IP访问 Proxy 代理IP访问 恶意资源访问 Resource Permissions 恶意资源访问 欺诈付款网站IP/域名访问 Payment 欺诈付款网站IP/域名访问 洋葱网络IP访问 Tor 洋葱网络IP访问 C&C异常通信 C&C Abnormal Communication C&C异常通信 IP黑名单访问 IP Blacklist Access IP黑名单访问 URL黑名单访问 URL Blacklist Access URL黑名单访问 恶意URL访问 Malicious URL Access 恶意URL访问 恶意域名访问 Malicious Domain Name Access 恶意域名访问 非授权访问企图 Unauthorized Access Attempt 非授权访问企图 可疑的网络流量 Suspicious Network Traffic 可疑的网络流量 容器网络外联 Container Network Connect 容器网络外联 未知网络访问 Unknown Abnormal Network Access 未知网络访问 文件MD5黑名单访问 File MD5 Blacklist Access 文件MD5黑名单访问 异常外联行为 Abnormal External Behavior 异常外联行为 域名黑名单访问 Domain Name Blacklist Access 域名黑名单访问 周期外联通信 Periodic Outreach 周期外联通信 可疑的端口转发 Suspicious Port Forward 可疑的端口转发 无文件攻击 VDSO劫持 VDSO Hijacking VDSO劫持 动态库注入进程 Dynamic Library Inject Process 动态库注入进程 关键配置变更 Critical File Change 关键配置变更 环境变量变更 Environment Change 环境变量变更 进程注入 Process Inject 进程注入 内存文件进程 Memfd Process 内存文件进程 文件操纵 File Manipulation 文件操纵 系统行为异常 Crontab可疑任务 Crontab Suspicious Task Crontab可疑任务 Socket连接异常 Abnormal Socket Connection Socket连接异常 备份删除 Backup Deletion 备份删除 非法数据库访问 Unauthorized Database Access 非法数据库访问 权限异常访问 Privilege Abnormal Access 权限异常访问 日志异常变化 Unexpected Log Change 日志异常变化 容器进程退出 Container Process Exist 容器进程退出 未知主机异常行为 Unknown Host Abnormal Activity 未知主机异常行为 文件黑名单访问 File blocklist access 文件黑名单访问 文件权限异常改变 Unexpected File Permission Change 文件权限异常改变 系统安全防护被禁用 System Security Protection disabled 系统安全防护被禁用 系统账号变更 System Account Change 系统账号变更 异常注册表操作 Abnormal Registry Operation 异常注册表操作 Crontab脚本提权 Crontab Script Privilege Escalation Crontab脚本提权 Crontab脚本修改 Crontab Script Change Crontab脚本修改 高危命令执行 High-risk Command Execution 高危命令执行 高危系统调用 High-Risk Syscall 高危系统调用 关键文件/目录变更 File/Directory Change 关键文件/目录变更 关键文件变更 Key File Change 关键文件变更 进程提权 Process Privilege Escalation 进程提权 进程异常行为 Process Abnormal Activity 进程异常行为 敏感文件访问 Sensitive File Access 敏感文件访问 容器进程异常 Container Abnormal Process 容器进程异常 容器异常启动 Container Abnormal Start 容器异常启动 数据库连接异常 Abnormal Database Connection 数据库连接异常 网卡混杂模式 Network Adapter Promiscuous Mode 网卡混杂模式 文件提权 File Privilege Escalation 文件提权 文件异常删除 File Abnormal Delete 文件异常删除 系统启动脚本改变 System Start Script Change 系统启动脚本改变 异常shell Abnormal Shell 异常shell 异常命令执行 Abnormal Command Execution 异常命令执行 信息破坏 信息篡改 Information Tampering 信息篡改 信息丢失 Information Loss 信息丢失 信息假冒 Information Masquerading 信息假冒 信息窃取 Information Interception 信息窃取 信息泄漏 Information Disclosure 信息泄漏 Linux网页篡改 Linux Web Page Tampering Linux网页篡改 Windows网页篡改 Windows Web Page Tampering Windows网页篡改 目录遍历 Directory Traversal 目录遍历 用户行为异常 Token恶意利用 Token Leakage Token恶意利用 Token恶意利用成功 Token Leakage Success Token恶意利用成功 异常用户首次访问 User First Cross Domain Access 异常用户首次访问 用户访问频率异常 User Access Frequency Abnormal 用户访问频率异常 用户访问时段异常 User Hour Level Access Abnormal 用户访问时段异常 用户使用特定IP下载行为异常 User IP Download Abnormal 用户使用特定IP下载行为异常 用户首次访问桶对象 Client First Access 用户首次访问桶对象 用户下载行为异常 User Download Abnormal 用户下载行为异常 暴力破解 Brute Force Cracking 暴力破解 违规登录 Illegal Login 违规登录 未知用户异常行为 Unknown User Abnormal Activity 未知用户异常行为 异常登录 Abnormal Login 异常登录 用户登录尝试 User Login Attempt 用户登录尝试 用户密码窃取 User Password Theft 用户密码窃取 用户权限提升成功 User Privilege Escalation Succeeded 用户权限提升成功 用户权限提升失败 User Privilege Escalation Failed 用户权限提升失败 用户首次登录 User First login 用户首次登录 用户账号删除 User Account Removed 用户账号删除 用户账号添加 User Account Added 用户账号添加 用户组变更 User Group Changed 用户组变更 用户组删除 User Group Removed 用户组删除 用户组添加 User Group Added 用户组添加 账号伪冒 Account Forgery 账号伪冒 ECS可疑账号创建 Suspicious Ecs User Create ECS可疑账号创建 ECS账号权限修改 ECS User Escalate Privilege ECS账号权限修改 IAM可疑账号创建 Suspicious IAM Account Create IAM可疑账号创建 IAM账号权限修改 IAM Permissions Escalation IAM账号权限修改 暴力破解登录ECS ECS BruteForce Login 暴力破解登录ECS 暴力破解登录IAM IAM BruteForce Login 暴力破解登录IAM 非法系统账号 Invalid System Account 非法系统账号 风险账号 Risky Account 风险账号 可疑IP登录ECS Suspicious IP Address Login 可疑IP登录ECS 可疑IP登录IAM Suspicious IP Address Login 可疑IP登录IAM 异常登录IAM IAM Abnormal Login 异常登录IAM 异地登录ECS Instance Credential Exfiltration 异地登录ECS 用户登录成功 User Login Success 用户登录成功 用户登录拒绝 User Login Denied 用户登录拒绝 用户账号变更 User Account Changed 用户账号变更 资源操控 恶意逻辑插入 Malicious Logic Insertion 恶意逻辑插入 基础设施操纵 Infrastructure Manipulation 基础设施操纵 配置/环境操纵 Configuration/Environment Manipulation 配置/环境操纵 容器逃逸 Container Escape 容器逃逸 容器资源操纵 Container Resource Manipulation 容器资源操纵 软件完整性 Software Integrity Attack 软件完整性 资源侦查 端口探测数量异常 Port Detection 端口探测数量异常 ARP 扫描 ARP Scan ARP 扫描 DNS探测 DNS Recon DNS探测 Hypervisor探测 Hypervisor Recon Hypervisor探测 ICMP探测 ICMP Recon ICMP探测 Linux探测 Linux Recon Linux探测 MacOS探测 MacOS Recon MacOS探测 NMAP扫描 NMAP Scan NMAP扫描 RPC请求探测 RPC Recon RPC请求探测 SNMP扫描 SNMP Recon SNMP扫描 TCP扫描 TCP Recon TCP扫描 UDP扫描 UDP Recon UDP扫描 Unix探测 Unix Recon Unix探测 WEB探测 Web Recon WEB探测 Windows探测 Windows Recon Windows探测 加密渗透扫描 Encrypted Penetration Scan 加密渗透扫描 普通扫描事件 General Scanner 普通扫描事件 数据库探测 Database Recon 数据库探测 邮件探测 Mail Recon 邮件探测 主机扫描 Host Scan 主机扫描 组合探测 Misc Recon 组合探测 端口扫描 Port Scan 端口扫描

插件管理 插件：是包含函数、连接器、公共库的聚合。插件有自定义插件和商业插件两种类型，其中，自定义的插件可以在集市中显示，也可以在剧本中使用。 插件集：是具有相同业务场景的插件集合。 函数：是可以在剧本中选用的执行函数，在剧本中执行特定的行为。 连接器：是用于连接数据源，将告警、事件等安全数据接入安全云脑，包括事件触发和定时触发两种连接器类型。 公共库：是一个公共模块，包含在其他组件中会使用到的API调用和公共函数。

剧本和流程的关系 联系：剧本提供了安全运营的指导和规则，而流程则负责将这些规则转化为具体的执行步骤和操作。剧本和流程相互依赖，剧本指导流程的执行，而流程则实现了剧本的意图和要求。 区别：剧本和流程之间也存在一定的区别。首先，剧本更侧重于定义和描述安全运营的流程和规程，它关注的是整体的框架和策略；而流程则更侧重于具体的操作和执行步骤，它关注的是如何将剧本中的要求转化为实际的行动。其次，剧本具有较大的灵活性和可扩展性，可以根据需要进行修改和扩展；而流程则相对固定，一旦设计完成，就需要按照规定的步骤执行。 示例：以一个具体的网络安全事件响应案例为例，当组织遭受到一次网络攻击时，安全编排系统会首先根据预设的剧本识别出攻击的类型和严重程度。然后，系统会根据剧本中定义的流程，自动触发相应的安全措施，如隔离被攻击的系统、收集攻击数据、通知安全团队等。在这个过程中，剧本和流程紧密配合，确保安全响应的准确性和及时性。

包图 包图元素介绍如下表所示： 表1 包图元素介绍 元素名 图标 含义 Model 模型，用作包含层级关系的根，即它是层级关系中顶层的包。 Package 包。对元素进行分组，并为分组的元素提供名称空间。一个程序包可能包含其他程序包，从而提供程序包的分层组织。 Merge 合并，定义了源包元素与目标包同名元素之间的泛化关系。源包元素的定义被扩展来包含目标包元素定义。当源包元素与目标包内没有同名元素时，目标包元素的定义不受影响。 Import 引入，用虚线箭头从得到访问权限的包指向提供者所在的包。 Dependency 依赖，是一种使用的关系，即一个类的实现需要另一个类的协助。 依赖关系用两个模型元素之间的虚线箭头表示。箭尾处的模型元素（客户）依赖于箭头处的模型元素（服务者）。 Nested 嵌套，表示包的嵌套关系。 包图示例，如下图所示： 父主题： UML建模

通信图 通信图元素介绍如下表所示： 表1 通信图元素介绍 元素名 图标 含义 Actor 角色，是与系统交互的人或事物。 Object 封装了状态和行为的具有良好定义界面和身份的离散实体；即对象实例。 Boundary Object 边界对象。表示系统边界，通常是用户界面屏幕。 Control Object 控制对象。表示控制实体或管理者。 Entity Object 实体对象。表示系统中的存储区或持久性机制。 Package 包。对元素进行分组，并为分组的元素提供名称空间。一个程序包可能包含其他程序包，从而提供程序包的分层组织。 Nesting 嵌套，即一个类的嵌套到另一个类。 Realization 实现，是一种类与接口的关系，表示类是接口所有特征和行为的实现。 Association 关联，是一种拥有的关系，它使一个类知道另一个类的属性和方法。 通信图示例，如下图所示： 父主题： UML建模

运行模型（活动图） “运行模型-活动图”展示了从起点到终点的工作流程，详细说明了在活动的进展中存在的许多决策路径。 活动图对用户和系统遵循流程的行为进行建模，它们是流程图或工作流的一种，但是它们使用的形状略有不同，元素介绍如下表所示： 表1 活动图元素介绍 元素名 图标 含义 Action 动作是可执行的原子计算，它导致模型状态的改变和返回值。 Activity 活动是状态机内正在进行的非原子执行。 StructuredActivity 结构化活动是一个活动节点，可以将下级节点作为独立的活动组。 CentralBufferNode 中央缓冲区节点是一个对象节点，用于管理活动图中表示的来自多个源和目标的流。 Datastore 数据存储区定义了永久存储的数据。 ExceptionHandlerNode 异常处理程序元素定义发生异常时要执行的一组操作。 Object 封装了状态和行为的具有良好定义界面和身份的离散实体，即对象实例。 Decision 是状态机中的一个元素，在它当中一个独立的触发可能导致多个可能结果，每个结果有它自己的监护条件。 Merge 状态机中的一个位置，两个或多个可选的控制路径在此汇合或"无分支"。 Send 即发送者对象生成一个信号实例并把它传送到接收者对象以传送信息。 Receive 接收就是处理从发送者传送过来的消息实例。 Partition 分区元素用于逻辑组织活动的元素。 Partition 分区元素用于逻辑组织活动的元素。 Initial 用来指明其默认起始位置的伪状态。 Final 组成状态中的一个特殊状态，当它处于活动时，说明组成状态已经执行完成。 Flow Final Flow Final元素描述了系统的退出，与Activity Final相反，后者代表Activity的完成。 Synch 一个特殊的状态，它可以实现在一个状态机里的两个并发区域之间的控制同步。 Fork Join Fork，复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 Join，状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Fork Join （Fork）复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 （Join）状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Region 区域，代表并行发生行为的容器。 Control Flow （控制流）在交互中，控制的后继轨迹之间的关系。 Object Flow （对象流）各种控制流表示了对象间的关系、对象和产生它（作输出）或使用它（作输入）的操作或转换间的关系。 Constraint 是一个语义条件或者限制的表达式。UML 预定义了某些约束，其他可以由建模者自行定义。 Exception Handler 异常处理。捕获异常根据异常类型查找到对应的异常处理方法，然后执行对应的方法。 Interrupt Flow 中断流是用于定义异常处理程序和可中断活动区域的连接器的两个UML概念的连接。中断流是活动边缘的一种。它通常用于活动图中，以对活动过渡进行建模。 Anchor 锚点。 Containment 内嵌，表示嵌在内部的类。 活动图示例如下所示： 父主题： 运行视图

组件图 组件图显示了复杂软件系统中的各个组件如何相互关联以及如何使用接口进行通信。它们不用于更简单或更直接的系统，元素介绍如下表所示： 表1 组件图元素介绍 元素名 图标 含义 Class 是对象的集合，展示了对象的结构以及与系统的交互行为。 Interface 接口，可以是单个接口，也可以是抽象的一组接口的组合。 圆形接口与矩形接口意义相同，仅形状不同。 Component 组件，可独立加载、部署和运行的二进制代码，采用轻量级通讯机制、松耦合高内聚的软件架构构建单元，部署时不能跨节点类型部署（计算机百科全书：组件是软件系统中具有相对独立功能、接口由契约指定、和语境有明显依赖关系、可独立部署、可组装的软件实体）。 Interface Required Interface和Provided Interface之间可以建立Dependency，表明一个组件需要的接口是由另外一个组件提供的。 Port 端口，定义了分类器与其环境之间的交互。 PackagingComponent 包装组件，进行版本控制以及包含其它包和元素。 Artifact 制品，软件开发过程或系统的部署和运行所使用或产生的物理信息的规范。 Object 对象。封装了状态和行为的具有良好定义界面和身份的离散实体，即对象实例。 Package 包。对元素进行分组，并为分组的元素提供名称空间。一个程序包可能包含其他程序包，从而提供程序包的分层组织。 Aggregation 聚合，是整体与部分的关系，且部分可以离开整体而单独存在。 Composition 组合，是整体与部分的关系，但部分不能离开整体而单独存在。 Realization 实现，是一种类与接口的关系，表示类是接口所有特征和行为的实现。 Dependency 依赖，是一种使用的关系，即一个类的实现需要另一个类的协助。 Usage 使用，是一种使用的关系。表明一个模块在运行的时候，需要使用另外一个模块。 Generalization 泛化，表示类与类、接口与接口之间的继承关系，由子一方指向父对象一方。 Association 关联，是一种拥有的关系，它使一个类知道另一个类的属性和方法。 Delegation 委托，委托关系定义组件外部端口和接口的内部访问方式。 组件图示例如下所示： 在画暴露接口与请求接口时，可以通过Association关联连线将两种接口合并。 在左侧工具箱中中选择“Provided Interface”，将其拖拽至需要连接的图形上。 拖拽完成松开左键，在弹出的连线选择列表中选择“Association”关联连线。 松开鼠标后即可形成接口合并。 父主题： UML建模

部署图 部署图用于大型和复杂系统的另一张专门图，其中软件部署在多个系统上，元素介绍如下表所示： 表1 部署图元素介绍 元素名 图标 含义 Node 节点，系统部署上的物理设备。 Device 设备，具有处理能力的物理资源，以执行某些功能。 DeploymentSpecification 部署规格，规范列出那些必须在部署图中定义的属性。 ExecutionEnvironment 执行环境。为特定类型的组件提供执行环境。 Artifact 制品是被软件开发过程所利用或通过软件开发过程所生产的一段信息，如外部文档或工作产物。 制品可以是一个模型、描述或软件。 Component 组件，可独立加载、部署和运行的二进制代码，采用轻量级通讯机制、松耦合高内聚的软件架构构建单元，部署时不能跨节点类型部署。 Interface 接口，可以是单个接口，也可以是抽象的一组接口的组合。 圆形接口与矩形接口意义相同，仅形状不同。 Package 包。对元素进行分组，并为分组的元素提供名称空间。一个程序包可能包含其他程序包，从而提供程序包的分层组织。 Dependency 依赖，是一种使用的关系，即一个类的实现需要另一个类的协助。 Generalization 泛化，是一种继承关系，一个类（通用元素）的所有信息（属性或操作）能被另一个类（具体元素）继承，不仅可以有属于类自己的信息，而且还拥有被继承类的信息。 Manifestation 表现，表示制品表现或包含一个或多个物理软件组件的功能部件的特定实现。 Deployment 部署，描述现实世界环境运行系统的配置的开发步骤。 Association 关联，是一种拥有的关系，它使一个类知道另一个类的属性和方法。 CommunicationPath 通信路径。定义两个部署目标能够交换信号和消息的通信路径。 部署图一般用于： 嵌入式系统建模（硬件之间的交互）。 客户端/服务器系统建模（用户界面与数据的分离）。 分布式系统建模（多级服务器）。 父主题： UML建模

活动图 活动图对用户和系统遵循流程的行为进行建模，它们是流程图或工作流的一种，但是它们使用的形状略有不同，元素介绍如下表所示： 表1 活动图元素介绍 元素名 图标 含义 Action 动作是可执行的原子计算，它导致模型状态的改变和返回值。 Activity 活动是状态机内正在进行的非原子执行。 StructuredActivity 结构化活动是一个活动节点，可以将下级节点作为独立的活动组。 CentralBufferNode 中央缓冲区节点是一个对象节点，用于管理活动图中表示的来自多个源和目标的流。 Datastore 数据存储区定义了永久存储的数据。 ExceptionHandlerNode 异常处理程序元素定义发生异常时要执行的一组操作。 Object 封装了状态和行为的具有良好定义界面和身份的离散实体，即对象实例。 Decision 是状态机中的一个元素，在它当中一个独立的触发可能导致多个可能结果，每个结果有它自己的监护条件。 Merge 状态机中的一个位置，两个或多个可选的控制路径在此汇合或"无分支"。 Send 即发送者对象生成一个信号实例并把它传送到接收者对象以传送信息。 Receive 接收就是处理从发送者传送过来的消息实例。 Partition 分区元素用于逻辑组织活动的元素。 Partition 分区元素用于逻辑组织活动的元素。 Initial 用来指明其默认起始位置的伪状态。 Final 组成状态中的一个特殊状态，当它处于活动时，说明组成状态已经执行完成。 Flow Final Flow Final元素描述了系统的退出，与Activity Final相反，后者代表Activity的完成。 Synch 一个特殊的状态，它可以实现在一个状态机里的两个并发区域之间的控制同步。 Fork Join Fork，复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 Join，状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Fork Join Fork，复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 Join，状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Region 区域，代表并行发生行为的容器。 Control Flow （控制流）在交互中，控制的后继轨迹之间的关系。 Object Flow （对象流）各种控制流表示了对象间的关系、对象和产生它（作输出）或使用它（作输入）的操作或转换间的关系。 Constraint 是一个语义条件或者限制的表达式。UML 预定义了某些约束，其他可以由建模者自行定义。 Exception Handler 异常处理。捕获异常根据异常类型查找到对应的异常处理方法，然后执行对应的方法。 Interrupt Flow 中断流是用于定义异常处理程序和可中断活动区域的连接器的两个UML概念的连接。中断流是活动边缘的一种。它通常用于活动图中，以对活动过渡进行建模。 Anchor 锚点。 Containment 内嵌，表示嵌在内部的类。 活动图示例如下所示： 父主题： UML建模

状态机图 状态机图元素介绍如下表所示： 表1 状态机图元素介绍 元素名 图标 含义 State 对象的生命中的满足一定条件，执行一定操作，或者等待某事件的条件或者情况。 StateMachine 状态机是展示状态与状态转换的图。通常一个状态机依附于一个类，并且描述一个类的实例对接收到的事件所发生的反应。 Fork Join Fork，复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 Join，状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Fork Join Fork，复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 Join，状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Initial 初始，用来指明其默认起始位置的伪状态。 Junction 结合状态，作为一个综合转换一部分的伪状态，它在转换执行中不打断运行至完成步骤。 Deep History 历史状态可以记忆浅历史和深历史。深历史状态记忆组成状态中更深的嵌套层次的状态。要记忆深状态，转换必须直接从深状态中转出。 Shallow History 浅历史状态保存并激活与历史状态在同一个嵌套层次上的状态。 EntryPoint 入口点，进入某一状态时执行的动作 ExitPoint 退出点，离开某一状态时执行的动作。 Final 终点，组成状态中的一个特殊状态，当它处于活动时，说明组成状态已经执行完成。 Synch 同步状态，它可以实现在一个状态机里的两个并发区域之间的控制同步。 Choice 选择，代表多个路径选择。 Terminate 终止，表示执行结束。 Transition 转换用实线箭头表示，从一个状态（源状态）到另一个状态（目标状态），用一条转换线标注。 Object Flow 控制流表示了对象间的关系、对象和产生它（作输出）或使用它（作输入）的操作或转换间的关系。 状态机图示例，如下图所示： 父主题： UML建模

交互概述图 交互概述图元素介绍如下表所示： 表1 交互概述图元素介绍 元素名 图标 含义 Action 动作是可执行的原子计算，它导致模型状态的改变和返回值。 Activity 活动是状态机内正在进行的非原子执行。 StructuredActivity 结构化活动是一个活动节点，可以将下级节点作为独立的活动组。 CentralBufferNode 中央缓冲区节点是一个对象节点，用于管理活动图中表示的来自多个源和目标的流。 Datastore 数据存储区定义了永久存储的数据。 Object 封装了状态和行为的具有良好定义界面和身份的离散实体；即对象实例。 Decision 是状态机中的一个元素，在它当中一个独立的触发可能导致多个可能结果，每个结果有它自己的监护条件。 Merge 状态机中的一个位置，两个或多个可选的控制路径在此汇合或"无分支"。 Send 发送者对象生成一个信号实例并把它传送到接收者对象以传送信息。 Receive 接收就是处理从发送者传送过来的消息实例。 Partition 分区元素用于逻辑组织元素。 Partition 分区元素用于逻辑组织元素。 Initial 用来指明其默认起始位置的伪状态。 Final 组成状态中的一个特殊状态，当它处于活动时，说明组成状态已经执行完成。 Flow Final Flow Final元素描述了系统的退出，与Activity Final相反，后者代表Activity的完成。 Synch 一个特殊的状态，它可以实现在一个状态机里的两个并发区域之间的控制同步。 Fork Join Fork，复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 Join，状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Fork Join Fork，复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 Join，状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Region 区域，代表并行发生行为的容器。 Exception Handler 异常处理。捕获异常根据异常类型查找到对应的异常处理方法，然后执行对应的方法。 Control Flow （控制流）在交互中，控制的后继轨迹之间的关系。 Object Flow （对象流）各种控制流表示了对象间的关系、对象和产生它（作输出）或使用它（作输入）的操作或转换间的关系。 Interrupt Flow 中断流是用于定义异常处理程序和可中断活动区域的连接器的两个UML概念的连接。 交互概述图示例，如下图所示： 此图描绘了一个示例销售过程，在示例中显示了一个交互销售过程，各活动对象都可以有独立的子交互概述图。 父主题： UML建模

前提条件 已成功创建Memcached实例，且状态为“运行中”。 已创建弹性云服务器，并已安装好客户端。创建弹性云服务器的方法，请参见《弹性云服务器用户指南》。 您创建的弹性云服务器必须与Memcached实例属于同一个VPC，并配置相同的安全组，以确保弹性云服务器与缓存实例的网络是连通的。 如果弹性云服务器与Memcached实例不在相同VPC中，可以通过建立VPC对等连接方式连通网络，具体请参考常见问题：缓存实例是否支持跨VPC访问？ 如果弹性云服务器与Memcached实例配置了不同的安全组，可以通过设置安全组规则连通网络，具体请参考常见问题：如何选择和配置安全组？ 您的弹性云服务器已安装好Java JDK和常用的IDE（如Eclipse）。 已获取spymemcached-x.y.z.jar依赖包。 其中x.y.z为依赖包的版本号，建议获取最新版本。

配置自动备份策略 登录分布式缓存服务管理控制台。 在管理控制台左上角单击，选择实例所在的区域。 单击左侧菜单栏的“缓存管理”。 “缓存管理”页面支持通过筛选来查询对应的缓存实例。支持的筛选条件有“名称”、“规格”、“ID”、“IP地址”、“可用区”、“状态”、“实例类型”、“缓存类型”等。 在需要备份的DCS缓存实例左侧，单击实例名称，进入实例的基本信息页面。 单击“备份与恢复”页签，进入备份恢复管理页面。 单击“自动备份”右侧的，打开自动备份开关，显示备份策略信息。 表1 备份策略参数说明 参数 说明 备份周期 自动备份频率。 可设置为每周的某一天或者某几天，按实际需要适当增加备份频率。 保留天数 备份数据保存期限。 保存天数可选1~7，超过期限后，备份数据将被永久删除，无法用来恢复实例。 开始时间 自动备份任务执行时间。时间格式：00:00~23:00间的任意整点时间。 每小时检查一次备份策略，如果符合备份策略设置的开始时间，则执行备份操作。 说明： 实例备份大约耗时5~30分钟，备份期间发生的数据新增或修改记录，将不会保存到备份数据中。为了尽量减少备份对业务的影响，备份开始时间建议设置在业务交易较少的时间段。 实例只有处于“运行中”状态时，系统才对其执行数据备份。 设置好备份参数，单击“确定”，完成备份策略设置。 开启自动备份后，也支持关闭自动备份开关，或单击“修改”，修改备份策略。 实例将在设置的备份时间自动执行备份，并在该页面查看备份记录。 备份完成后，单击备份记录后的“下载”，“恢复”，或“删除”，即可执行相关操作。

约束与限制 目前仅Redis 4.0和Redis 5.0版本的Redis实例，默认支持账号管理功能。 Redis 6.0版本的实例如需使用该功能，需要联系客服开启账号管理功能的白名单。如果Redis 6.0实例的小版本低于6.2.10.4，还需要升级小版本，查看及升级实例小版本请参考升级DCS实例小版本/代理版本。 企业版Redis如需使用账号管理，需要设置实例密码，免密访问的企业版Redis实例不支持该功能。 每个实例最多支持创建18个账号。 账号管理目前仅支持读写和只读权限，不支持其他细粒度权限。

配置Redis ACL访问账号 登录分布式缓存服务管理控制台。 在管理控制台左上角单击，选择实例所在的区域。 单击左侧菜单栏的“缓存管理”，进入实例信息页面。 单击DCS缓存实例名称，进入该实例的基本信息页面。 选择“账号管理”进入账号管理页面。 “账号名称”为“default”的账号为实例的“默认账号”，默认账号的权限为读写权限，该账号的密码即缓存实例的访问密码。 单击“创建账号”，可以创建普通账号。 如果Redis实例开启了免密访问，创建的普通账号不生效，仅支持默认账号。如需使用普通账号请先关闭默认账号的免密访问：单击默认账号对应“操作”列的“重置密码”即可为实例设置密码。 在弹出的创建账号窗口中，设置账号名称及账号密码。 选择账号权限为“只读”或“读写”、设置账号密码及备注。 单击“确定”，完成账号创建。 当使用创建的ACL普通账号连接实例时，需要配置实例密码为{username:password}。 以使用redis-cli连接Redis实例为例，当使用默认账号连接实例时命令如下： ./redis-cli -h {dcs_instance_address} -p 6379 -a {password} 如果使用实例创建的ACL普通账号连接，实例密码需要配置为“账号名称:账号密码”： ./redis-cli -h {dcs_instance_address} -p 6379 -a {username:password} 图1 账号管理

约束与限制 仅Redis 4.0及以上版本的实例，支持命令重命名功能。 单机、主备、Cluster集群实例进行命令重命名的过程中会自动重启实例，重启单机实例将会清空数据，请谨慎操作。 重命名操作完成后立即生效。因为涉及安全性，页面不会显示重命名后的命令。 同一个命令支持多次重命名，每次新的重命名操作都会覆盖之前的重命名命令，如果需要恢复高危命令或忘记重命名后的命令，重新执行命令重命名即可。 命令不能重命名为除本命令外的其他原始命令，例如，keys命令可以命名为keys本身或非命令abc123，但不可以重命名为scan等其他原始命令。 重命名的命令必须以字母开头，长度范围为4~64个字符，且只能包含字母、数字、中划线和下划线。

管理DCS实例分片与副本 登录分布式缓存服务管理控制台。 在管理控制台左上角单击，选择实例所在的区域。 单击左侧菜单栏的“缓存管理”。 单击缓存实例名称，进入该实例的基本信息页面。 单击“节点管理”或“分片与副本”，进入实例的节点管理页面。 界面显示该实例的所有分片列表，包含“分片名称”、“分片ID”和该分片下的“副本数”。 单击分片名称前面的图标，展开当前分片下的所有副本。包含“副本IP”、“节点ID”、“副本ID”、“状态”“副本角色”和副本所在的“可用区”。 图1 节点管理（集群实例） 图2 节点管理（主备实例） 图3 节点管理（单机实例） 您还可以对副本执行以下操作： 集群实例 展开集群实例单分片信息后，单击从副本右侧的“升级为主”，可以将该分片下的从副本升级为主副本。 如果是Proxy集群实例，您还可以在节点管理的“Proxy节点”页签查看实例的Proxy节点信息（节点IP、节点ID、节点名称）。其他实例类型不涉及“Proxy节点”。 主备/读写分离实例 如果主备实例的从副本数多于1个，单击“摘除域名IP”，可以摘除对应从副本（只读副本）的IP，摘除成功后，只读域名不会再解析到该副本IP。 如果主备实例只有1个从副本，则不支持摘除域名。 对于有多个从副本的主备或读写分离实例，单击“主备切换优先级”列对应的，可以设置主备切换优先级。 当主节点故障以后，系统会按照您指定的优先级，自动切换到优先级最高的从节点上。如果优先级相同，则系统会内部进行选择和切换。优先级为0-100，1-100优先级逐步降低，1为最高，100为最低，0为禁止倒换。 单机实例 单机实例仅一个副本，在“节点管理”页面可以查看该实例的节点信息，不支持其他操作。

前提条件 已成功创建Memcached实例，且状态为“运行中”。 已创建弹性云服务器。创建弹性云服务器的方法，请参见《弹性云服务器用户指南》。 您创建的弹性云服务器必须与Memcached实例属于同一个VPC，并配置相同的安全组，以确保弹性云服务器与缓存实例的网络是连通的。 如果弹性云服务器与Memcached实例不在相同VPC中，可以通过建立VPC对等连接方式连通网络，具体请参考常见问题：缓存实例是否支持跨VPC访问？ 如果弹性云服务器与Memcached实例配置了不同的安全组，可以通过设置安全组规则连通网络，具体请参考常见问题：如何选择和配置安全组？

查看DCS实例的客户端连接信息 登录分布式缓存服务管理控制台。 在管理控制台左上角单击，选择实例所在的区域。 单击左侧菜单栏的“缓存管理”。 在缓存管理页面，单击需要查看的缓存实例的名称，进入该实例的基本信息页面。 单击“会话管理”。 在会话管理页面，可以显示当前连接该实例的客户端会话信息。 Proxy集群和读写分离实例查询的是连接单proxy节点的会话信息，单机、主备和Cluster集群实例查询的是连接单数据节点的会话信息。 在页面中，可以选择需要查询的数据节点或Proxy节点、输入并查询指定的会话地址、更新查询信息、及设置会话的显示项。 如果实例未开启源IP透传，查询的“addr”并非客户端真实IP，会显示“198.19.xxx.xxx”内部私网占用IP。 如果要查询真实的客户端IP，请参考开启客户端IP透传。在开启客户端IP透传之后，新建的客户端连接对应的“addr”才会显示为客户端真实IP。 图1 会话管理 表1 会话字段说明 字段 描述 ID 会话的唯一ID标识。 addr 会话地址。如果Redis开启了IP透传，该地址为客户端IP地址；如果Redis未开启IP透传，该地址为内部私网占用IP。 name 客户端名称，可通过代码中的 setClientName(...) 配置，如果未配置则该字段为空。 cmd 最近一次执行的命令。 age 连接的时长，单位：秒。 idle 连接空闲的时间，单位：秒。 db 最近一次执行命令的DB标识，例如DB0，则该字段显示0。 flags 连接标志位，M表示来自主节点的连接，S表示来自从节点的连接，其余标志请参考：https://redis.io/docs/latest/commands/client-list/ fd 连接FD。 sub 当前连接普通订阅的Channel数量。 psub 当前连接模式订阅的Channel数量。 multi 通过事务/LUA方式执行的命令数量，如果未执行过该字段显示-1。 qbuf 输入缓冲区的空间大小（字节数）。 qbuf-free 输入缓冲区的剩余空间大小（字节数）。 obl 输出缓冲区的长度。 oll 输出缓冲区的列表长度。 omem 输出缓冲区的空间大小（字节数）。 events 连接FD上产生的可读、可写事件。读事件：r，写事件：w。 选择需要kill的会话，单击“kill选中会话”可断开选择的客户端连接，也可以选择“kill全部会话”。 如果所kill的客户端具备重连机制，断开后会自动重连。 如果需要导出客户端连接数据，单击“导出”，可以选择导出全部或部分已选中的连接数据。

实例规格变更须知 支持实例规格变更明细如下： 表2 实例规格变更明细 缓存类型 单机实例 主备实例 Cluster集群实例 Proxy集群实例 读写分离实例 Redis 3.0 支持扩容和缩容 支持扩容和缩容 - 仅支持扩容 - Redis 4.0 支持扩容和缩容 支持扩容、缩容和副本数变更 支持扩容、缩容和副本数变更 支持扩容和缩容 支持扩容、缩容和副本数变更 Redis 5.0 支持扩容和缩容 支持扩容、缩容和副本数变更 支持扩容、缩容和副本数变更 支持扩容和缩容 支持扩容、缩容和副本数变更 Redis 6.0 基础版 支持扩容和缩容 支持扩容、缩容和副本数变更 支持扩容、缩容和副本数变更 支持扩容缩容 支持扩容、缩容和副本数变更 Redis 6.0 企业版 - 支持扩容和缩容 - - - Redis 7.0 支持扩容和缩容 支持扩容、缩容和副本数变更 支持扩容、缩容和副本数变更 - - Memcached 支持扩容和缩容 支持扩容和缩容 - - - Redis 3.0和Memcached实例在预留内存不足的情况下，内存用满可能会导致扩容失败，具体可参考预留内存。 副本数变更和容量变更不支持同时进行，需分开两次执行变更。 删除副本时，每次操作仅支持删除一个副本。 实例规格变更的影响： 表3 实例规格变更的影响 实例类型 规格变更类型 实例规格变更的影响 单机、主备和读写分离实例 扩容/缩容 Redis 4.0及以上版本基础版实例，扩容期间连接会有秒级中断，大约1分钟的只读，缩容期间连接不会中断。 Redis 3.0实例，规格变更期间连接会有秒级中断，5~30分钟只读。 Redis企业版实例，规格变更期间连接会有秒级中断，大约1分钟的只读。 如果是扩容，只扩大实例的内存，不会提升CPU处理能力。 单机实例不支持持久化，变更规格不能保证数据可靠性。在实例变更后，需要确认数据完整性以及是否需要再次填充数据。如果有重要数据，建议先把数据用迁移工具迁移到其他实例备份。 主备和读写分离实例缩容前的备份记录，缩容后不能使用。如有需要请提前下载备份文件，或缩容后重新备份。 Proxy和Cluster集群实例 扩容/缩容 水平扩容（分片数增加）： 连接不中断，但会占用CPU，导致性能有20%以内的下降。 分片数增加时，会新增数据节点，数据自动负载均衡到新的数据节点，访问时延会增大。 水平缩容（分片数减少）： 分片数减少时，会删除节点。Cluster集群实例缩容前，请确保应用中没有直接引用这些删除的节点，否则可能导致业务访问异常。 删除节点会导致连接闪断，请确保您的客户端应用具备重连机制和处理异常的能力，否则在变更规格后可能需要重启客户端应用。 垂直扩容（分片数不变，分片容量增加）： 如果节点所在的虚拟机内存容量不足，会发生节点迁移，迁移时业务连接会有闪断和只读。 如果虚拟机内存容量充足，则直接扩大节点容量，对业务无影响。 说明： Redis 3.0版本集群实例不支持垂直扩缩容。 垂直缩容（分片数不变，分片容量减少）：无影响。 实例缩容前，每个节点的已用内存要小于缩容后节点最大内存的70%，否则将不允许变更。 实例规格变更期间，可能会进行数据迁移，访问时延会增大。Cluster集群请确保客户端能正常处理MOVED和ASK命令，否则会导致请求失败。 实例规格变更期间，如果有大批量数据写入导致节点内存写满，将会导致变更失败。 在实例规格变更前，请先使用缓存分析中的大key分析，确保实例中没有大key存在，否则在规格改变后，节点间进行数据迁移的过程中，单个key过大（≥512MB）会触发Redis内核对于单key的迁移限制，造成数据迁移超时失败，进而导致规格变更失败，key越大失败的概率越高。 Cluster集群实例扩容或缩容时，请确保客户端开启集群拓扑自动刷新配置，否则在变更后需要重启客户端。Lettuce客户端开启集群拓扑自动刷新配置请参考Lettuce客户端连接Cluster集群实例中的示例。 实例规格变更前的备份记录，变更后不能使用。如有需要请提前下载备份文件，或变更后重新备份。 主备、读写分离和Cluster集群实例 副本数变更 Cluster集群实例增加或删除副本时，请确保客户端开启集群拓扑自动刷新配置，否则在变更后需要重启客户端。Lettuce客户端开启集群拓扑自动刷新配置请参考Lettuce客户端连接Cluster集群实例中的示例。 删除副本会导致连接中断，需确保您的客户端应用具备重连机制和处理异常的能力，否则在删除副本后需要重启客户端应用。增加副本不会连接中断。 当副本数已经为实例支持的最小副本数时，不支持删除副本。