# CTS 异常类型参考

## 追踪记录级别

### normal（正常）
- 操作成功执行
- 无需特别关注

### warning（警告）
- 操作部分成功
- 可能存在配置问题
- 需要检查但不紧急

### incident（事故）
- 操作失败
- 可能存在安全问题
- 需要立即关注

## 常见异常类型

### 1. 认证失败
- **特征**: `response_code` 为 401 或 403
- **原因**: 
  - AK/SK 错误或过期
  - 用户权限不足
  - Token 失效
- **风险等级**: 高
- **建议**: 检查用户权限和凭证状态

### 2. 权限提升
- **特征**: 操作名称包含 `attachRole`、`authorize`
- **原因**: 用户被授予新权限
- **风险等级**: 中
- **建议**: 确认权限变更是否经过审批

### 3. 资源删除
- **特征**: 操作名称包含 `delete`、`terminate`
- **原因**: 资源被删除
- **风险等级**: 高
- **建议**: 
  - 确认删除操作是否为预期
  - 检查是否有误删风险
  - 验证删除权限控制

### 4. 密钥管理
- **特征**: 操作名称包含 `AccessKey`、`SecretKey`
- **原因**: 访问密钥被创建或删除
- **风险等级**: 高
- **建议**: 
  - 监控密钥创建操作
  - 定期轮换密钥
  - 禁用长期未使用的密钥

### 5. 安全组变更
- **特征**: 操作名称包含 `SecurityGroupRule`
- **原因**: 安全组规则被修改
- **风险等级**: 中
- **建议**: 
  - 检查是否开放了敏感端口
  - 验证规则变更是否符合安全策略

### 6. 用户管理
- **特征**: 操作名称包含 `User`、`Group`
- **原因**: IAM 用户或用户组被修改
- **风险等级**: 高
- **建议**: 
  - 监控新用户创建
  - 检查用户权限分配
  - 定期审计用户列表

### 7. 异地登录
- **特征**: 同一用户从不同 IP 登录
- **原因**: 可能的账号盗用
- **风险等级**: 高
- **建议**: 
  - 启用 MFA
  - 设置登录保护
  - 监控异常登录行为

### 8. 批量操作
- **特征**: 短时间内大量相同操作
- **原因**: 可能的自动化攻击或误操作
- **风险等级**: 中
- **建议**: 
  - 设置操作频率限制
  - 启用操作审批流程

## 敏感服务列表

以下服务的操作需要特别关注：

### IAM（身份认证）
- 用户创建/删除
- 角色授权/撤销
- 密钥管理
- 权限策略变更

### ECS（弹性云服务器）
- 实例创建/删除
- 密钥注入
- 安全组绑定

### VPC（虚拟私有云）
- 安全组规则变更
- 网络ACL变更
- VPN连接创建

### OBS（对象存储）
- 桶策略变更
- 公共访问设置
- 删除操作

### RDS（关系型数据库）
- 实例删除
- 参数组变更
- 备份删除

## 检查频率建议

### 实时监控
- 事故级别记录
- 删除操作
- 权限变更

### 每日检查
- 警告级别记录
- 失败操作统计
- 敏感操作审计

### 每周审计
- 用户权限审计
- 服务使用统计
- 异常趋势分析

### 每月回顾
- 安全事件总结
- 权限变更记录
- 合规性检查

## 响应措施

### 发现异常后的处理流程

1. **确认异常**
   - 查看详细记录
   - 确认操作内容
   - 评估影响范围

2. **联系相关人员**
   - 操作执行者
   - 资源负责人
   - 安全管理员

3. **采取补救措施**
   - 回滚变更（如需要）
   - 修复配置问题
   - 加强权限控制

4. **记录和报告**
   - 记录处理过程
   - 更新安全策略
   - 提交审计报告

5. **预防措施**
   - 完善监控规则
   - 加强访问控制
   - 优化审批流程

## 常见问题排查

### Q: 追踪记录为空？
A: 
- 检查追踪器是否已启用
- 确认时间范围是否正确
- 验证项目ID是否匹配

### Q: 权限不足？
A: 
- 需要以下权限策略：
  - `cts:tracker:list`
  - `cts:trace:list`
- 联系管理员添加权限

### Q: 查询超时？
A: 
- 缩小时间范围
- 减少查询记录数
- 添加过滤条件

## 相关链接

- [CTS API 参考](https://support.huaweicloud.com/api-cts/cts_04_0001.html)
- [CTS 用户指南](https://support.huaweicloud.com/usermanual-icts/cts_01_0001.html)
- [IAM 最佳实践](https://support.huaweicloud.com/bestpractice-iam/iam_01_0001.html)