docs(iwooos): record wazuh reviewer validation production readback [skip ci]

docs/LOGBOOK.md

@@ -1,3 +1,63 @@
+## 2026-06-27｜IwoooS Wazuh manager registry reviewer validation 正式讀回完成
+
+**時間與來源**：
+- 2026-06-27 15:35-16:08 Asia/Taipei。
+- 來源：code commit `5f5a171ed`、後續同伴 commits `ef049b4b8` / `36951871c` / `9132525d3`、deploy markers `f3d218af9` / `ee3fb5c00` / `37620ef8a` / `67f1da991`、Gitea Actions、production API、production browser desktop / mobile smoke。
+
+**完成內容**：
+- `GET /api/v1/iwooos/wazuh-manager-registry-reviewer-validation` 已正式部署，production 回 `200`。
+- `/zh-TW/iwooos` 已顯示「Owner export 進來後，先由 reviewer 驗收脫敏清單」卡，包含 evidence slots、reviewer checks 與可展開的 reviewer validation 停止線。
+- 前台不顯示內網位址、agent 原名、工作視窗對話、個人 namespace 或 secret；boundary markers 預設收在可展開區塊，展開後可見 `owner_registry_export_received_count=0`、`owner_registry_export_accepted_count=0`、`manager_registry_accepted_count=0`、`runtime_gate_count=0` 與 `not_authorization=true`。
+
+**Gitea / deploy 狀態**：
+- reviewer validation code commit：`5f5a171ed feat(iwooos): expose wazuh manager registry reviewer validation`。
+- 最新 production 部署基準：`67f1da991 chore(cd): deploy 9132525 [skip ci]`，包含 `5f5a171ed`。
+- code-review run：`#3635` 對 `5f5a171ed` 成功，`16s`。
+- CD run：`#3634` 對 `5f5a171ed` 的 tests / build-and-deploy 曾成功，但 post-deploy 被後續推版取消；不作全綠基準。
+- 後續同伴推版 CD：`#3638` 對 `36951871c` 全綠，tests `1m47s`、build-and-deploy `5m54s`、post-deploy-checks `1m51s`。
+- 最新 CD：`#3640` 對 `9132525d3` 全綠，tests `1m36s`、build-and-deploy `4m55s`、post-deploy-checks `1m34s`。
+- 最新 code-review run：`#3641` 對 `9132525d3` 成功，`13s`。
+
+**production API readback**：
+- schema：`iwooos_wazuh_manager_registry_reviewer_validation_readback_v1`。
+- source schema：`wazuh_manager_registry_reviewer_validation_v1`。
+- status：`waiting_owner_registry_export_for_reviewer_validation`。
+- expected aliases：`6`；reviewer checks：`10`；evidence slots：`6`；forbidden payload classes：`27`；forbidden actions：`11`。
+- `owner_registry_export_received_count=0`、`owner_registry_export_accepted_count=0`、`reviewer_validation_passed_count=0`、`reviewer_validation_quarantined_count=0`、`manager_registry_accepted_count=0`、`post_enable_readback_passed_count=0`、`runtime_gate_count=0`。
+- forbidden hits：內網位址片段、工作視窗片語、一般批准片語、`source_thread_id`、個人 namespace、Wazuh secret env 皆為 `0`。
+- `/api/v1/health`：`healthy / prod / mock_mode=false`。
+
+**production browser smoke**：
+- Desktop `1366x900`，URL `https://awoooi.wooo.work/zh-TW/iwooos?_v=67f1da991-wazuh-reviewer-validation-desktop`。
+  - 新卡、slots、checks、boundary 區塊可見；展開 boundary 後 `received=0`、`accepted=0`、`manager accepted=0`、`runtime gate=0` 與 `not_authorization=true` marker 可見。
+  - forbidden hits：`0`。
+  - console errors：`0`。
+  - page overflow：`0`，`scrollWidth=1360` / `clientWidth=1360`。
+- Mobile `390x844`，URL `https://awoooi.wooo.work/zh-TW/iwooos?_v=67f1da991-wazuh-reviewer-validation-mobile`。
+  - 新卡、slots、checks、boundary textContent 與同組 0 / false markers 可讀。
+  - forbidden hits：`0`。
+  - console errors：`0`。
+  - page overflow：`0`，`scrollWidth=384` / `clientWidth=384`。
+
+**完成度與同步狀態**：
+- 本段「Wazuh manager registry reviewer validation contract」：`85% -> 100%`。
+- IwoooS 整體：保守 `68% -> 69%`。此段完成 reviewer validation contract、API、前台、guard、production readback；仍不代表 owner export 已收到或所有主機已納管。
+- Wazuh manager registry accepted：維持 `55%`。下一步才是 owner-provided redacted manager registry export 收件、reviewer validation passed 與 post-enable IwoooS readback。
+
+**仍維持 0 / false**：
+- `owner_registry_export_received_count=0`、`owner_registry_export_accepted_count=0`、`reviewer_validation_passed_count=0`、`reviewer_validation_quarantined_count=0`、`manager_registry_accepted_count=0`、`post_enable_readback_passed_count=0`、`runtime_gate_count=0`。
+- `wazuh_api_live_query_authorized=false`、`wazuh_agent_reenroll_authorized=false`、`wazuh_agent_restart_authorized=false`、`wazuh_manager_restart_authorized=false`、`wazuh_active_response_authorized=false`、`host_write_authorized=false`、`secret_value_collection_allowed=false`、`raw_wazuh_payload_storage_allowed=false`、`kali_active_scan_authorized=false`、`runtime_execution_authorized=false`、`not_authorization=true`。
+
+**做過的命令類型**：
+- 寫入：repo code / test / frontend / i18n / guard / snapshot / LOGBOOK，以及正常 Gitea push。
+- 只讀：Gitea Actions UI readback、production API readback、production route smoke、production browser desktop / mobile smoke。
+- 未做：沒有 host / Docker / systemd / Nginx / firewall / K8s / DB / Wazuh runtime 寫操作；沒有讀 secret 明文；沒有重新註冊 agent；沒有 Wazuh restart；沒有 Wazuh active response；沒有 Kali active scan；沒有 force push。
+
+**下一個 P0**：
+- `P0-01` owner-provided redacted Wazuh manager registry export：開始收件但只收脫敏 refs，拒收 raw payload、未脫敏截圖、內網位址、agent 原名、token、密碼或 client key。
+- `P0-02` reviewer validation apply：只有 evidence 完整、算術一致、6 alias scope parity、Dashboard API repair readback 與 owner / rollback owner 齊全，才能把 reviewer validation passed 從 `0` 改動。
+- `P0-03` post-enable IwoooS readback：即使未來 reviewer accepted，也仍需再驗證前台/API 不回傳 raw payload、agent 原名、內網識別或 secret。
+
 ## 2026-06-27｜IwoooS Wazuh manager registry reviewer validation 本地完成
 
 **背景**：Wazuh 受管主機覆蓋已能由正式 API / 前台讀回，但 `manager_registry_accepted_count` 仍為 `0`。本段補上 owner-provided redacted manager registry export 進來後的 reviewer validation contract，避免把 Dashboard 可開、index pattern 正常、HTTP 200、agent transport observed 或前台卡片可見誤判為全主機已納管。