腾讯云总结_barad_agent

腾讯云

ps: 总结不易，来者皆是客，请尊重作者的劳动成果

---

CDN

• 腾讯云 CDN 节点默认超时时间是多长？

1. 腾讯云 CDN 节点默认超时时间是10秒。

• 在 CDN 管理下关闭接入域名，关闭后 CDN 节点上的文件会怎么样？

1. 若您关闭当前已接入 CDN 的域名加速服务，则 CDN 节点将会保留对应域名的接入配置，但不再产生 CDN 流量，该域名下的请求都将直接回源。

在做此操作前，请确认：
您已将该域名的 CNAME 设置修改为对应 A 记录，否则该域名将无法访问，详情请参见 A 记录。
您的源站带宽处理能力足够，否则会影响您域名的正常访问。

• 接入 CDN 之后网站打不开，如何排查？

1. 请先检查接入域名的 CDN 状态是否为“已关闭”，若为“已关闭”状态则对应网页无法打开。若非“已关闭”状态时，可按照下列步骤进一步检查：
2. 通过 ping 或 nslookup 检查该域名的 CNAME 解析是否已生效。若未绑定 CNAME，您可以参考 CNAME 配置 文档中的操作说明，在您的 DNS 服务商处绑定 CNAME。
3. 待 CNAME 生效后，检查源站是否能正常访问。

• 如何判断用户访问的是哪个 CDN 节点？

1. 您可通过 nslookup 和 ping 命令可以获取用户访问的 CDN 节点的 IP 和延时丢包等基本的排错信息。

• [TOC]

  [TOC]

  命中率低是什么原因呢？

1. 缓存配置问题，如缓存时间较短。
2. HTTP Header 导致无法缓存，请检查源站 Cache-Control 或 Expires 的设置。
3. 源站类型问题，可缓存的内容少。
4. 网站访问量低，过期时间短，命中的文件少，导致频繁回源。

• 用户感觉 CDN 访问慢？

1. 大文件关注下载速度，小文件关注延时。首先得到用户访问慢的 URL，通过测速网站判断是否访问慢（推荐工具： 17ce ）。
   如果测速确实慢，源站属于自有源，协助用户排查源站机器负载和带宽是否受限。

• 如何判断用户访问是否命中 CDN Cache？

1. 查看访问回包头部的 X-Cache-Lookup 信息，若同时返回多个 X-Cache-Lookup 属正常情况，仅当返回 Hit From MemCache/Hit From Disktank 时表示命中 CDN Cache：

X-Cache-Lookup:Hit From MemCache 表示命中 CDN 节点的内存。
X-Cache-Lookup:Hit From Disktank 表示命中 CDN 节点的磁盘。

• 为什么同名文件节点返回的文件大小不一致？

1. 因为所有文件类型都默认缓存，CDN 节点上可能存在不同的文件版本。解决方法：
   1.1 强制刷新文件，立即更新缓存。
   1.2 带上版本号，例如：http://www.xxx.com/xxx.js?version=1。
   1.3 更换其它文件名，不使用同名文件。

---

云监控

• 云服务器无监控数据排查思路

导致云服务器无监控数据的可能原因会有以下几个：未安装监控 agent、用户通过控制台或者命令行操作云服务器、云服务器高负载、云服务器内部 DNS 配置错误等

• 未安装监控 agent

1. 无监控数据可能由于云服务器未安装 监控组件 Agent 导致，具体原因可通过以下步骤排查：
   1.1 判断是否安装 barad_agent。
   1.2 未安装监控组件会导致无法对您的服务器做更细致的监控，若服务器故障则将无法正常通知，存在高危风险。有关安装监控组件的更多内容，请参考 安装监控组件。

• 用户通过控制台或者命令行操作云服务器

1. 云服务器操作关机后处于关机状态，会导致监控组件离线并且没有数据。
2. 用户通过云服务器控制台或者登录云服务器，操作重启，升级云服务器，重装，制作镜像等常见的云服务器运维操作，都会使云服务器监控数据上报超时导致离线。
3. 问题排查方式： 可以根据当时时间点排查云服务器是否有存在相关的运维操作，操作日志可以进入云服务器详情页面中操作日志中查看。

• 云服务器高负载

云服务器 CPU 高负载，内存使用占满，带宽使用占满都会导致监控组件上报数据异常。

1. 问题排查方式： 可以登录云服务器或者查看监控视图是否有存在 CPU 和内存，带宽使用达到100%的情况，如果达到 100%，可以根据实际情况来扩容服务。

• 云服务器内部 DNS 配置错误

云服务器内网 DNS 配置错误会导致监控组件无法上报数据。

1. 问题排查方式： 腾讯云的内网 DNS 配置可以参考 内网DNS访问和设置。

Linux 系统—使用监控组件管理工具进行问题排查

1. 下载监控组件管理工具

   wget http://update2.agent.tencentyun.com/update/monitor_agent_admin && chmod +x monitor_agent_admin
   1

2. 安装监控组件

   ./monitor_agent_admin install
   1

3. 执行以下命令，检查并修复。若问题仍未解决，请通过工单将工具输出的文件monitor_agent_admin-*.zip提交给我们，将有专人联系您一同处理。

   sh ./monitor_agent_admin check
   1

监控组件管理工具其他操作

1.1 下载监控组件管理工具

wget http://update2.agent.tencentyun.com/update/monitor_agent_admin && chmod +x monitor_agent_admin
1

1.2 安装监控组件

/monitor_agent_admin install
1

1.3 卸载监控组件

./monitor_agent_admin uninstall
1

1.4 重新安装监控组件

./monitor_agent_admin reinstall
1

1.5 检查并修复

./monitor_agent_admin check
1

1.6 重启

./monitor_agent_admin restart
1

Windows 系统常见问题排查流程

1. 若已安装 agent，判断 barad_agent 的日志是否每分钟实时滚动且成功上报

windows 系统日志路径：C:\ProgramFiles\QCloud\Monitor\Barad\logs\info.log
且每条日志都有 “nws send succ”。

2. 若日志无滚动，可能为 agent 调度问题（一般只出现在linux系统，可能是改过系统时间）。可尝试重启 barad_agent，同时确认日志
   /usr/local/qcloud/monitor/barad/log/executor.log有无错误。
3. 若上报失败（nws send fail），需根据日志判断具体的问题（例如超时、无法连接到服务器、无法解析域名等）

上报地址可以在 etc 目录的 plugin.ini 文件中的 nws_url 看到。

4. 若上报未出现 nws send fail。

5. 检查 uuid 是否被修改过

   uuid 文件路径：
   linux：/etc/uuid
   windows：c:\windows\system32\drivers\etc\uuid
   c:\windows\system32\drivers\etc\目录下 uuid 格式命名的最新文件
   1
   2
   3
   4

6. 若 uuid 文件未变动，检测子机的时间戳

linux 可使用命令/usr/sbin/ntpdate ntpupdate.tencentyun.com 查看时间调整是否在50s以内，若时间相关较大，重启 barad_agent 后可恢复。

• 一台云服务器只能绑定一个告警策略吗？

1. 是的，一台主机只能绑定到一个告警策略，不能同时绑定至多条告警策略。例：1.1.1.1已经关联A告警策略。若用户将1.1.1.1关联B告警策略，则自动取消和A告警策略关联关系。

• 若项目 A的 CDN 域名告警策略关联了域 a.com，但用户迁移域名 a.com 至项目 B。则告警会有那些变化？

1. 项目A的CDN域名策略将自动解绑与域名a.com的关联。解绑后，域名a.com不再关联任何CDN域名告警策略，则不会产生告警。自动解绑的逻辑会每天处理一次，控制台页面数据可能会有更新延时，属于正常情况。

• 为什么解绑云服务器后仍收到告警？

1. 由于系统探测监控数据存在一定延迟。告警策略解绑云服务器后，短时间内仍然收到告警属正常情况。

• 如果一条策略是默认策略，用户在关联告警对象页取消了某个云服务器关联，后台会自动关联吗？

1. 不会。用户主动将某台云服务器和默认策略解绑，后台不会再自动绑定。

---

SSL 证书

• 访问站点提示连接不安全？

1. SSL 证书部署以后，访问站点提示“连接不安全”，是否是证书部署失败？
   1.1 证书已成功部署，也会出现这个问题，是因为采用 HTTPS 协议的站点访问。如果网页中包含未经加密的 HTTP 内容时，会被浏览器认为是不安全的，需要对代码进行改造。

前端改造上，可以有参考以下几点：
使用相对路径引用资源。
引用绝对路径时，采用 // 引用资源，例如 //img.qcloud.com/example.png，表示遵从当前页面的协议，浏览器会进行自动补齐。

• 如何安装 OpenSSL

OpenSSL 是用于安全通信的著名开源密码学工具包，包括主要的密码算法、常见密码和证书封装功能

• Windows 安装方法

OpenSSL 官网:https://www.openssl.org/source

1. 选择32位或者64位合适的版本下载，例如 Win64OpenSSL_Light-1_0_2h.exe。如下图所示：

   

2. 设置环境变量，例如，工具安装在 C:\OpenSSL-Win64，则将 C:\OpenSSL-Win64\bin； 复制到 Path 中。如下图所示：

   

3. 打开命令行程序 cmd（以管理员身份运行），进入 2_www.domain.com.key、1_www.domain.com_cert.crt 文件所在目录，运行以下命令。

   openssl pkcs12 -export -out www.domain.com.pfx -inkey 2_www.domain.com.key -in 1_www.domain.com_cert.crt
   1

   例如 ，key 和 crt 文件保存在 D:\ ，运行情况如下：

Export Password 不需要的情况下，请直接回车不进行输入

4. 在 D:\ 已生成的 www.domain.com.pfx 文件，可以继续完成在 IIS 管理器中的证书安装。

• Chrome浏览器提示“您的连接不是私密链接”问题

  1. 自2016年11月起，部分 Chrome 浏览器用户反馈访问 HTTPS 站点时出现 NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED 错误情况，提示 “您的连接不是私密链接”。如下图所示：

     

2. 该 CT 错误经确认是 Chrome 浏览器53、54版本的内核问题，该 BUG 导致与 Symantec CA 机构颁发的 SSL 证书出现不兼容问题，Symantec CA 机构所有2016年6月1日之后的证书都会被此问题影响出现 CT 错误的情况，Chrome 方面在第一时间通过自动补丁方式处理了此问题，并在55版本修复此问题。

3. 在能正常连接 Chrome 的服务器的客户都不会被此问题影响，但因中国大部分用户不能访问到 Chrome 的服务器，所以建议用户升级至55+版本来解决这个问题。

Symantec 官方声明： https://www.symantec.com/connect/blogs/chrome-53-bug-affecting-symantec-ssltls-certificates

以及 Chrome 官方公告：https://bugs.chromium.org/p/chromium/issues/detail?id=664177

另外，使用了 Chromium 53 内核的 QQ 浏览器也会存在这个问题，已经在新版本中修复，建议使用旧版本 QQ 浏览器的用户更新到最新版本。

• 域名型证书是否永久免费？
  1. 首先，SSL 证书无论是免费的域名型或者是付费的企业型，CA 机构都规定了有效期的，从安全性上考虑，不能保证一个合法网站永远不会成为一个钓鱼站点，CA 机构需要定期审核，所以不会颁发永久有效的证书。
  2. 其次，当网站的私钥丢失时可以申请吊销，CA 机构会将吊销的证书加入证书吊销列表（Certificate Revocation List ，简称：CRL），每次 HTTPS 站点被访问时，浏览器会向 CA 机构获取 CRL，判断是否能信任该证书；然而永久有效的证书会导致 CRL 不断增加，不会减少，会增加浏览器的请求流量压力，所以指定证书的有效期是更科学的处理方式。
  3. 腾讯云目前提供免费的域名型证书，型号为 TrustAsia DV SSL CA - G5，证书有效期时长1年。证书过期前三个月即可重新申请，域名型证书能在一个工作日内快速颁发，您有充足的时间为站点切换证书。

---

Web 应用防火墙

• 如果上传文件被拦截，那使用 HTTPS 或者 SFTP 上传文件是否仍会拦截呢？

1. 若没有使用 Web 应用防火墙（网站管家）不会被拦截，如果使用 Web 应用防火墙（网站管家）并且开启了拦截模式，使用 HTTP 或 HTTPS 上传恶意文件将会被拦截。但使用 SFTP 上传文件则不会被拦截，SFTP 是非 HTTP 或 HTTPS 协议，Web 应用防火墙（网站管家）不支持防护。

• 非腾讯云内的服务器能否使用 Web 应用防火墙（网站管家）？

1. Web 应用防火墙（网站管家）支持云外机房用户接入，可以保护任何公网的服务器，包括但不限于腾讯云，包括其他厂商的云，IDC 等。

在中国内地（大陆）地区接入的域名必须按照工信部要求进行 ICP 备案。

• Web 应用防火墙（网站管家）是否支持 HTTPS 防护？

1. Web 应用防火墙（网站管家）全面支持 HTTPS 业务。用户只需根据提示将 SSL 证书及私钥上传，或者选择腾讯云托管证书，Web 应用防火墙（网站管家）即可防护 HTTPS 业务流量。

• Web 应用防火墙（网站管家）的 QPS 限制规格是针对整个实例，还是配置的单个域名的 QPS 上限？

1. Web 应用防火墙（网站管家）的 QPS 限制规格是针对整个实例。若配置防护三个域名，则这三个域名累加的 QPS 不能超过规定上限。如果超过已购买的实例的 QPS 限制，将触发限速，导致丢包。

• Web 应用防火墙（网站管家）的源站 IP 可以填写腾讯云 CVM 内网 IP 吗？

1. Web 应用防火墙（网站管家）添加域名时，填写的源站地址必须是公网 IP 或者域名。其中公网 IP 包括 CVM 公网 IP、CLB 公网 IP 或者其他本地 IDC 的出口 IP，不支持填写 CVM 的内网 IP。

• Web 应用防火墙（网站管家）可以直接使用 BGP 高防包么？

1. 可以，在 BGP 高防包控制台配置页面直接选择 Web 应用防火墙（网站管家）实例的 IP 即可让网站管家具备高防能力。详情请参见 BGP 高防包接入实践。

• Web 应用防火墙（网站管家）如何同 CDN 或 BGP 高防包 一起接入？

1. Web 应用防火墙（网站管家）可直接将 BGP 高防包叠加，CDN 的源站指向 Web 应用防火墙（网站管家）实例的 IP 即可。最佳部署架构：客户端 > CDN > Web 应用防火墙（网站管家）+高防包 > 负载均衡 > 源站。
2. 在客户需要 CDN 和高防能力时，只要将网站管家接入后提供的 CNAME 配置为 CDN 的源站即可，同时可以将 BGP 高防包叠加到 Web 应用防火墙（网站管家）实例上。即可实现用户流量经过 CDN 之后，被转发至 Web 应用防火墙（网站管家），同时具备大流量 DDoS 的清洗能力，最终转发至源站，对源站进行全面的安全防护。

• Web 应用防火墙（网站管家）一个防护域名可以设置多少个回源 IP？

1. Web 应用防火墙（网站管家）一个防护域名最多可以设置20个回源 IP。

• Web 应用防火墙（网站管家）配置多个源站时如何负载？

1. 如果配置了多个回源 IP，Web 应用防火墙（网站管家）采用轮询的方式对访问请求进行负载均衡。

• Web 应用防火墙（网站管家）是否支持健康检查？

1. Web 应用防火墙（网站管家）默认启用健康检查。Web 应用防火墙（网站管家）会对所有源站 IP 进行接入状态检测，如果某个源站 IP 没有响应，Web 应用防火墙（网站管家）将不再将请求转发到该源站 IP ，直到接入状态恢复正常。

• Web 应用防火墙（网站管家）是否支持会话保持？

1. Web 应用防火墙（网站管家）支持会话保持，默认开启。

• 在 Web 应用防火墙（网站管家）的控制台中，更改配置后大约需要多少时间生效？

1. 一般情况下，更改后的配置在10s内即可生效。

• Web 应用防火墙（网站管家）是否会自动将回源 IP 段加入安全组？

1. 不会自动将高防回源 IP 段添加到安全组。请参考 快速入门 将相应的回源 IP 加入到安全组。

---

主机安全

• 服务器被入侵有哪些危害？

1. 业务被中断：数据库、文件被篡改或删除，导致服务无法访问，系统瘫痪。
2. 数据被窃取：黑客窃取企业数据后公开售卖，客户隐私数据被泄漏，导致企业品牌受损、用户流失。
3. 被加密勒索：黑客入侵服务器后通过植入不可逆的加密勒索软件对数据进行加密，对企业进行金钱勒索。
4. 服务不稳定：黑客在服务器中运行挖矿程序、DDoS 木马程序，消耗大量系统资源，导致服务器不能提供正常服务。

• 如何通过一键快照自动备份数据？

1. 快照是腾讯云提供的一种数据备份方式，通过对指定云硬盘进行完全可用的拷贝，使该备份独立于云硬盘的生命周期。客户定期创建快照，可以在出现数据意外丢失等情况下帮助客户快速恢复数据。
   1.1 使用控制台创建快照步骤：
   1.11 登录 云服务器控制台。
   1.12 单击导航栏中的【云硬盘】。
   1.13 找到需要创建快照的实例所在行，单击【创建快照】。
   1.14 等待快照创建。

• 提示密码被暴力破解成功之后该如何解决?

1. 密码破解成功后，服务器可能已被黑客入侵并留下了后门程序。
   1.1 检查服务器安全状况，是否还有其它未知账户和木马文件，如果存在请立即删除和修复，并修改服务器登录密码。
   1.2 根据实际情况决定是否需要对服务器进行重置，并设置复杂密码，尽量字母、数字、特殊字符3种组合，长度在15位及以上。

• 显示登录异常怎么解决？

1. 基于管理员的常用登录地进行异常登录判断，请仔细检查登录记录。若非管理员本人登录，密码可能已经泄露，用户需要对服务器进行详细的安全检查。

• 服务器显示防护状态显示离线原因及解决方案?

1. 腾讯云服务器安全组件未连接服务端，导致后台显示离线，建议重新下载安全组件进行安装，离线的可能原因如下：
   1.1 服务器启用了防火墙规则。
   1.2 服务器安装了第三方恶意软件，导致安全防护程序被破坏。

• 如何处理木马文件？

1. 登录 主机安全（云镜）控制台 ，在左侧导航栏选择【入侵检测】>【木马文件】，即可查看当前受保护的服务器木马文件检测情况，如下图所示：

2. 恶意文件处理方式：
   1.1 隔离

若确认文件是恶意的，可以对单个文件进行隔离，或者批量选择文件进行一键隔离。当隔离成功后，原始恶意文件将被加密隔离，后期可以通过筛选已隔离文件，进行恢复。

1.2 信任

若文件是非恶意的，可以选择信任操作，加入信任后，主机安全（云镜）将不再对该文件进行检测，可以通过筛选信任文件，对信任文件进行管理。

1.3 删除记录

当删除记录后，将无法再查看相关信息，建议您先对文件进行隔离、信任操作，或根据路径找到相应文件进行手动删除。

• 如何卸载腾讯云服务器安全组件?

1. 登录 腾讯云服务器安全产品控制台，在左侧导航栏选择【资产管理】>【主机列表】，在服务器列表，找到需要卸载的云服务器单击【卸载】，或打开安装目录，通过目录中的卸载程序进行卸载。

---

DDoS 基础防护

• DD