Linux Agent相关进程 Agent进程运行账号：root。 Agent包含以下进程： 表1 Linux主机Agent运行进程 Agent进程名称 进程功能 进程所在路径 hostguard 该进程用于系统的各项安全检测与防护、Agent进程的守护和监控。 /usr/loc

查看更多 →

件，对主机内活跃进程进行监控，默认采集活跃进程消耗的CPU、内存，以及打开的文件数量等信息。 开启主机监控 X实例购买页面提供了 云监控服务 配置项，创建云 服务器 后，默认开启基础监控服务。若您在X实例购买页： 勾选了云监控服务，在X实例控制台您可查看基础监控、操作系统监控、进程监控数

查看更多 →

扩展进程白名单 对于策略关联的服务器，如果您认为HSS学习到的应用进程比HSS扫描到的进程指纹少且可疑进程告警事件较多，您可以配置HSS扩展进程白名单，通过比对HSS已学习的应用进程和资产指纹功能扫描到的对应服务器的资产指纹，进一步扩展HSS应用进程情报库，补充可信进程白名单。 扩展进程白名单

查看更多 →

重新学习服务器 如果已完成进程白名单扩展，但仍然存在较多可信进程运行误报或您的服务器业务存在变更，您可以设置HSS重新学习服务器，校准HSS的应用进程情报数据，避免误报。 重新学习服务器 登录管理控制台。 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入主机安全平台界面。

查看更多 →

开启应用进程控制防护 应用进程控制功能支持分类控制服务器中的应用进程运行，允许可疑、可信进程运行，告警恶意进程运行，为服务器进程运行提供安全防护，防止服务器遭受恶意进程的破坏。 开启应用进程控制防护的方式在创建白名单策略时可设置： “策略生效方式”选择“学习完成后自动开启”：系统

查看更多 →

ALM-12028 主机D状态和Z状态进程数超过阈值 告警解释 系统每30秒周期性检测主机中omm用户D状态和Z状态进程数，并把实际进程数和阈值相比较。主机D状态和Z状态进程数默认提供一个阈值范围。当检测到进程数超出阈值范围时产生该告警。 平滑次数为1，主机中omm用户D状态和Z状态进程总数小

查看更多 →

当HSS学习完策略关联的服务器后，对于特征不明显可疑进程的确认方式。 自动确认可疑进程：HSS根据应用进程特征库，自动确认并标记特征不明显的可疑应用进程。 手动确认可疑进程：您在“应用进程控制 > 白名单策略”页面，单击策略名称，进入策略详情页，选择“进程文件”页签，筛选“待确认状态”的进程，根据

查看更多 →

使用主机监控 主机监控分为基础监控、操作系统监控、进程监控。 基础监控：E CS /BMS自动上报的监控指标。 操作系统监控：通过在ECS或BMS中安装Agent插件，为用户提供服务器的系统级、主动式、细颗粒度监控服务。 进程监控：针对主机内活跃进程进行的监控，默认采集活跃进程消耗的

查看更多 →

您可以创建服务器组，并将主机分配到服务器组，将主机进行分类管理。 您户可以根据创建的服务器组，查看该服务器组内的服务器数量、有风险服务器的数量、以及未防护的服务器数量。 发布区域：全部。 管理服务器组 订阅安全报告 主机安全支持订阅日报、周报、月报和自定义，展现不同周期主机安全趋势

查看更多 →

查看并处理可疑进程 在服务器防护过程中，如果HSS发现服务器中存在可疑进程运行事件，会将其展示在可疑进程运行事件列表中，但不会告警；对于可疑进程运行事件，由于HSS根据学习到的应用进程特征无法判断其是否可信，因此需要您根据实际情况判断并将可疑进程手动加入进程白名单，避免可信进程运行被持续告警。

查看更多 →

在终端进程关闭后（例如，在窗口或应用程序关闭时）应恢复以前的终端会话内容并重新创建进程的时间。恢复进程的当前工作目录取决于shell是否支持它。 父主题： 集成终端

查看更多 →

应用进程控制 应用进程控制概述 创建白名单策略 确认学习结果 开启应用进程控制防护 查看并处理可疑进程 扩展进程白名单 重新学习服务器 关闭应用进程控制防护 父主题： 主机防御

查看更多 →

守护进程集（DaemonSet） 守护进程集（DaemonSet） DaemonSet（守护进程集）在集群的每个节点上运行一个Pod，且保证只有一个Pod，非常适合一些系统层面的应用，例如日志收集、资源监控等，这类应用需要每个节点都运行，且不需要太多实例，一个比较好的例子就是Ku

查看更多 →

等待5秒后，刷新应用界面，可看到部署的自定义应用的实例状态为“运行中”，表明该进程包插件已运行起来。 若部署应用后实例状态为“实例异常”，请检查上传进程包到OBS桶时，是否已将桶策略设置为“公开读”。 登录边缘节点服务器后台系统，执行命令。 //process为进程包中的脚本名称，根据实际情况进行调整 $ ps

查看更多 →

删除主机集群下主机 功能介绍 根据主机id删除主机集群下主机。 调用方法 请参见如何调用API。 URI DELETE /v1/resources/host-groups/{group_id}/hosts/{host_id} 表1 路径参数 参数 是否必选 参数类型 描述 group_id

查看更多 →

护能力。 应用进程控制 应用进程控制功能支持管控应用进程运行，通过学习服务器中运行的应用进程特征，将应用进程划分为可信进程、恶意进程和可疑进程，允许可疑、可信进程正常运行，对恶意进程运行进行告警，帮助用户构建安全的应用进程运行环境，避免服务器遭受不受信或恶意应用进程的破坏。 病毒查杀

查看更多 →

单击“确定”，检查复制、粘贴功能是否恢复正常。 图1 本地资源 服务器rdpclip.exe进程异常，需要重启rdpclip.exe进程。 远程桌面连接服务器，启动Windows任务管理器，在进程页签下结束rdpclip.exe进程。 图2 结束rdpclip.exe进程 打开“开始”菜单中的“运行”窗口，输入“rdpclip

查看更多 →

护能力。 应用进程控制 应用进程控制功能支持管控应用进程运行，通过学习服务器中运行的应用进程特征，将应用进程划分为可信进程、恶意进程和可疑进程，允许可疑、可信进程正常运行，对恶意进程运行进行告警，帮助用户构建安全的应用进程运行环境，避免服务器遭受不受信或恶意应用进程的破坏。 病毒查杀

查看更多 →

此时，系统会将当前进程的hash值同virustotal库比对，可快速发现木马进程。 图4 Process Explore-Sysinternals 检查“VirusTotal”值，右键单击进程名称，选择“Properties”，在弹出的页面中，单击“Image”可查看进程路径，进而再次判断该进程是否是木马程序。

查看更多 →

为使用户更好地掌握弹性云服务器的运行状态，您可以使用云监控服务的主机监控功能监控您的弹性云服务器，执行自动实时监控、告警和通知操作，帮助您更好地了解弹性云服务器的各项性能指标。 主机监控包括基础监控、操作系统监控和进程监控。 基础监控为用户提供免安装的基础指标监控服务。 操作系监控和进程监控通过

查看更多 →

令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 支持的操作系统：Linux、Windows。 隔离查杀：部分异常进程支持手动隔离查杀。 高危命令执行

查看更多 →