日誌和協議維護

1）為什麼需要日誌和協議

日誌是組織的「黑匣子」：它們為審計和調查提供證據（證據），降低運營和監管風險，允許恢復事件過程並確認策略的執行（訪問，撤回，加密，KYC/AML，PCI等）。

• 活動跟蹤（何人/何時/何地/何人）。
• 事件檢測和遏制（偵探和預防控制）。
• 監管者/審計師的證據基礎（immutability）。
• SLA/SLO性能和合規性分析。

2） Logs分類法（最低覆蓋範圍）

訪問和身份（IAM/IGA）：身份驗證，角色更改，SoD，JIT訪問。
基礎設施/雲/IaC：API調用，配置漂移，KMS/HSM事件。
應用程序/業務：交易、PI/財務交易、查詢生命周期 （DSAR）。
安全性：IDS/IPS，EDR，DLP/EDRM，WAF，漏洞/修補程序，防病毒。
網絡：firewall、VPN/Zero Trust、代理、DNS。
CI/CD/DevSecOps：組裝，拆裝，SAST/DAST/SCA，秘密掃描。
數據/分析：lineage,訪問櫥窗,掩蔽/匿名。
操作：ITSM/滴答聲，事件，更改管理，DR/BCP測試。
供應商/3rd-party： webhooks, SSO聯合會,SLA活動。

3）監管要求（基準）

GDPR/ISO 27701：PI最小化/掩蔽、圖形修飾、法律保留、DSAR跟蹤。
SOC 2/ISO 27001：審計跟蹤、登錄訪問控制、控制執行證明。
PCI DSS：映射介質/數據的可用性，日誌完整性，每日概述。
AML/KYC：可跟蹤性檢查，制裁/RER篩查，STR/SAR協議。

4）邏輯參考體系結構

1.生產者：應用程序、雲、網絡、主機代理。
2.總線/收集器：采用背靠背壓力,retry, TLS mTLS,重復數據消除。
3.規範化：統一格式（JSON/OTel）,豐富（tenant, user, geo, severity）。

• 熱（搜索/SIEM）： 7-30天,快速訪問。
• 冷（對象）：月份/年份，便宜的存儲。
• Archive-evidence （WORM/對象鎖）：不變性,哈希收據。
• 5.完整性和簽名：哈希/默克利樹/時間戳鏈。
• 6.訪問和安全性：RBAC/ABAC，司法管轄區細分，基於案例的訪問。
• 7.分析和評分：SIEM/SOAR，correlation ID，劇本。
• 8.目錄和模式：事件類型註冊,版本化,模式測試。

5）策略即代碼（YAML示例）

Retentia和Legal Hold

yaml id: LOG-RET-001 title: "Access logs retention"
scope: ["iam. ","app. access"]
retention:
hot_days: 30 cold_days: 365 worm_years: 3 legal_hold: true # when Legal Hold is active, block privacy removal:
pii_mask: ["email","phone","ip"]
review: "annual"

完整性和簽名

yaml id: LOG-INT-001 title: "Signature and commercial fixation"
hashing: "SHA-256"
anchor:
cadence: "hourly"
store: "s3://evidence/anchors"
verification:
schedule: "daily"
alert_on_failure: true

6）雜誌質量要求

結構性：僅JSON/OTel，沒有「原始」文本。
時間同步：NTP/PTP，漂移控制；錄制「timestamp」，「received_at」。
Correlation ID：'trace_id'，'span_id'，'request_id'，'user_id'（別名）。
字段語義：字典（數據字典）和方案與測試的合同。
本地/語言：字段為英語鍵,值為統一（enum）。
數量和下降政策：禁止不受控制的下降；隊列/配額/風險采樣。
敏感數據：掩蔽/令牌化；完全禁止保密/卡片。

7）私有化和最小化

PII衛生：用哈希/令牌代替值；嚴格的電子郵件/電話/IP掩碼。
上下文：不使用payload與個人數據沒有根據。
司法管轄區：國家存儲和訪問（數據駐留）,副本的可跟蹤性。
DSAR：搜索標簽和案例導出；能夠打印非人格化報告。

8）不變性和證據（immutability）

WORM/Object Lock：禁止在周期內刪除/覆蓋。
加密筆記：蹦床簽名；merkley根與日常錨。
存儲鏈（custody chain）：訪問日誌、哈希收據、報告中的量子。
驗證：定期完整性檢查和同步警報。

9）登錄訪問控制

RBAC/ABAC：讀取/僅搜索角色vs「 導出/sharing」。
基於案例的訪問：訪問敏感邏輯-僅作為調查/tiket的一部分。
秘密/鑰匙：KMS/HSM；輪換，分裂知識，雙控制。
訪問審核：單獨的期刊「誰讀了哪些日誌」+異常。

10）度量和SLO符號

Ingestion Lag：第95次延遲攝取感應器（目標≤ 60秒）。

下降率： 丟失事件的比例（目標0；alert> 0。001%).

計劃合規性： 通過計劃驗證的事件百分比（≥ 99。5%).

Coverage：中央編碼系統的百分比（≥ 98%為臨界值）。
Integrity Pass：成功的哈希鏈檢查（100%）。

Access Review： 每月廣告資格,逾期-0.

PII泄漏率：在日誌中檢測到的「幹凈」PI（目標0臨界值）。

11） Dashbords（最低設置）

Ingestion＆Lag：體積/速度，掉落，滴落，「溫泉」。
Integrity＆WORM：錨定，驗證，對象鎖狀態。
安全事件：關鍵相關性，MITRE卡。
Access to Logs：誰和什麼讀取/導出；異常。
Compliance View：撤銷/法律保留狀態、審計報告、DSAR出口。
Schema Health：解析錯誤/模式版本,陳舊代理的比例。

12） SOP（標準程序）

SOP-1： 連接日誌源

1.源和臨界值註冊→ 2） 電路選擇/OTel → 3） TLS/mTLS，令牌→

2.在插座中幹跑（驗證電路，PII掩碼）→ 5）連接到插槽→

3.添加到目錄/dashbords → 7） retention/WORM驗證。

SOP-2： 事件回應（日誌為事件）

Detect →Triage →捕獲標記（案例範圍）→凍結（法律保留）→

散列和錨定→分析/時間線→報告和CAPA →課程發布。

SOP-3： Reg查詢/審計

1.通過請求ID打開案例和過濾器→ 2）導出到所需的格式→

2.法律/合規驗證→ 4）哈希摘要→ 5）提交和日誌記錄。

SOP-4： 對登錄的審計

每月業主認證；「孤兒」權利的自動咆哮；SoD報告。

13）格式和示例

訪問事件示例（JSON）

json
{
"ts": "2025-10-31T13:45:12. 345Z",
"env": "prod",
"system": "iam",
"event": "role_grant",
"actor": {"type": "user", "id": "u_9f1...", "tenant": "eu-1"},
"subject": {"type": "user", "id": "u_1ab..."},
"role": "finance_approver",
"reason": "ticket-OPS-1422",
"ip": "0. 0. 0. 0",
"trace_id": "2a4d...",
"pii": {"email": "hash:sha256:..."},
"sign": {"batch_id":"b_20251031_13","merkle_leaf":"..."}
}

檢測規則（pseudo-Rego）

rego deny_access_if_sod_conflict {
input. event == "role_grant"
input. role == "finance_approver"
has_role(input. subject. id, "vendor_onboarder")
}

14）羅利和RACI

15）供應商和供應鏈管理

在合同中：邏輯審核權，格式，存儲和訪問SLA，WORM/immutability。
子處理器：源註冊和「端到端」請求。
導出/離岸：銷毀確認和哈希摘要報告。

16）反模式

「自由文本」中的邏輯，沒有電路和相關性。
沒有WORM和哈希提交存儲是審計中的爭議。
邏輯中的敏感數據「原樣」。
沒有時間和正常trace_id同步。
負載峰值下的事件滴落；沒有後壓。
無案件控制的通用登錄訪問。
閱讀邏輯的「永恒」權利，沒有re-pressions。

17）支票單

運行拼寫功能

• 已確定來源分類法和關鍵性。
• 請願方案和政策/法律保留已申報（即代碼）。
• TLS/mTLS、令牌、自動升級代理。
• PII口罩/令牌測試。

包括了WORM/Object Lock和錨定。

• Dashbords/Alerta/度量標準成立。
• 訪問修訂版和SoD已配置。

在審計/reg查詢之前

• 收集了「審核包」：模式，策略，完整性報告，樣本。
• 驗證期內的完整性和訪問日誌。
• DSAR/法律保留狀態已得到確認。
• 形成了卸載和發送確認的哈希摘要。

18）成熟度模型（M0-M4）

M0手動：分散的日誌,沒有電路和回避。
M1集中收集：基本搜索,部分分類法。
M2可管理：方案和策略,dashbords, retention/WORM。
M3集成：OTel跟蹤,SOAR, 錨點/mercley,基於案例的訪問。
M4保證：「按鍵試用」、預測檢測、自動完整性控制和具有法律意義的收據。

19）相關文章wiki

連續合規性監控（CCM）

KPI和合規度量

法律保留和數據凍結

策略和過程生命周期

通信合規解決方案

法規遵從性政策變更管理

盡職調查與外包風險

底線

強大的拼寫功能不是「消息倉庫」，而是托管系統：結構化事件，嚴格的方案和請求，不可變性和簽名，默認隱私，嚴格的訪問控制和復制到證據中。這樣的系統使調查迅速，審計是可預測的，風險是可以管理的。