diff --git a/docs/LOGBOOK.md b/docs/LOGBOOK.md index bcb6e306..3acc7675 100644 --- a/docs/LOGBOOK.md +++ b/docs/LOGBOOK.md @@ -1,3 +1,63 @@ +## 2026-06-27|IwoooS Wazuh manager registry reviewer validation 正式讀回完成 + +**時間與來源**: +- 2026-06-27 15:35-16:08 Asia/Taipei。 +- 來源:code commit `5f5a171ed`、後續同伴 commits `ef049b4b8` / `36951871c` / `9132525d3`、deploy markers `f3d218af9` / `ee3fb5c00` / `37620ef8a` / `67f1da991`、Gitea Actions、production API、production browser desktop / mobile smoke。 + +**完成內容**: +- `GET /api/v1/iwooos/wazuh-manager-registry-reviewer-validation` 已正式部署,production 回 `200`。 +- `/zh-TW/iwooos` 已顯示「Owner export 進來後,先由 reviewer 驗收脫敏清單」卡,包含 evidence slots、reviewer checks 與可展開的 reviewer validation 停止線。 +- 前台不顯示內網位址、agent 原名、工作視窗對話、個人 namespace 或 secret;boundary markers 預設收在可展開區塊,展開後可見 `owner_registry_export_received_count=0`、`owner_registry_export_accepted_count=0`、`manager_registry_accepted_count=0`、`runtime_gate_count=0` 與 `not_authorization=true`。 + +**Gitea / deploy 狀態**: +- reviewer validation code commit:`5f5a171ed feat(iwooos): expose wazuh manager registry reviewer validation`。 +- 最新 production 部署基準:`67f1da991 chore(cd): deploy 9132525 [skip ci]`,包含 `5f5a171ed`。 +- code-review run:`#3635` 對 `5f5a171ed` 成功,`16s`。 +- CD run:`#3634` 對 `5f5a171ed` 的 tests / build-and-deploy 曾成功,但 post-deploy 被後續推版取消;不作全綠基準。 +- 後續同伴推版 CD:`#3638` 對 `36951871c` 全綠,tests `1m47s`、build-and-deploy `5m54s`、post-deploy-checks `1m51s`。 +- 最新 CD:`#3640` 對 `9132525d3` 全綠,tests `1m36s`、build-and-deploy `4m55s`、post-deploy-checks `1m34s`。 +- 最新 code-review run:`#3641` 對 `9132525d3` 成功,`13s`。 + +**production API readback**: +- schema:`iwooos_wazuh_manager_registry_reviewer_validation_readback_v1`。 +- source schema:`wazuh_manager_registry_reviewer_validation_v1`。 +- status:`waiting_owner_registry_export_for_reviewer_validation`。 +- expected aliases:`6`;reviewer checks:`10`;evidence slots:`6`;forbidden payload classes:`27`;forbidden actions:`11`。 +- `owner_registry_export_received_count=0`、`owner_registry_export_accepted_count=0`、`reviewer_validation_passed_count=0`、`reviewer_validation_quarantined_count=0`、`manager_registry_accepted_count=0`、`post_enable_readback_passed_count=0`、`runtime_gate_count=0`。 +- forbidden hits:內網位址片段、工作視窗片語、一般批准片語、`source_thread_id`、個人 namespace、Wazuh secret env 皆為 `0`。 +- `/api/v1/health`:`healthy / prod / mock_mode=false`。 + +**production browser smoke**: +- Desktop `1366x900`,URL `https://awoooi.wooo.work/zh-TW/iwooos?_v=67f1da991-wazuh-reviewer-validation-desktop`。 + - 新卡、slots、checks、boundary 區塊可見;展開 boundary 後 `received=0`、`accepted=0`、`manager accepted=0`、`runtime gate=0` 與 `not_authorization=true` marker 可見。 + - forbidden hits:`0`。 + - console errors:`0`。 + - page overflow:`0`,`scrollWidth=1360` / `clientWidth=1360`。 +- Mobile `390x844`,URL `https://awoooi.wooo.work/zh-TW/iwooos?_v=67f1da991-wazuh-reviewer-validation-mobile`。 + - 新卡、slots、checks、boundary textContent 與同組 0 / false markers 可讀。 + - forbidden hits:`0`。 + - console errors:`0`。 + - page overflow:`0`,`scrollWidth=384` / `clientWidth=384`。 + +**完成度與同步狀態**: +- 本段「Wazuh manager registry reviewer validation contract」:`85% -> 100%`。 +- IwoooS 整體:保守 `68% -> 69%`。此段完成 reviewer validation contract、API、前台、guard、production readback;仍不代表 owner export 已收到或所有主機已納管。 +- Wazuh manager registry accepted:維持 `55%`。下一步才是 owner-provided redacted manager registry export 收件、reviewer validation passed 與 post-enable IwoooS readback。 + +**仍維持 0 / false**: +- `owner_registry_export_received_count=0`、`owner_registry_export_accepted_count=0`、`reviewer_validation_passed_count=0`、`reviewer_validation_quarantined_count=0`、`manager_registry_accepted_count=0`、`post_enable_readback_passed_count=0`、`runtime_gate_count=0`。 +- `wazuh_api_live_query_authorized=false`、`wazuh_agent_reenroll_authorized=false`、`wazuh_agent_restart_authorized=false`、`wazuh_manager_restart_authorized=false`、`wazuh_active_response_authorized=false`、`host_write_authorized=false`、`secret_value_collection_allowed=false`、`raw_wazuh_payload_storage_allowed=false`、`kali_active_scan_authorized=false`、`runtime_execution_authorized=false`、`not_authorization=true`。 + +**做過的命令類型**: +- 寫入:repo code / test / frontend / i18n / guard / snapshot / LOGBOOK,以及正常 Gitea push。 +- 只讀:Gitea Actions UI readback、production API readback、production route smoke、production browser desktop / mobile smoke。 +- 未做:沒有 host / Docker / systemd / Nginx / firewall / K8s / DB / Wazuh runtime 寫操作;沒有讀 secret 明文;沒有重新註冊 agent;沒有 Wazuh restart;沒有 Wazuh active response;沒有 Kali active scan;沒有 force push。 + +**下一個 P0**: +- `P0-01` owner-provided redacted Wazuh manager registry export:開始收件但只收脫敏 refs,拒收 raw payload、未脫敏截圖、內網位址、agent 原名、token、密碼或 client key。 +- `P0-02` reviewer validation apply:只有 evidence 完整、算術一致、6 alias scope parity、Dashboard API repair readback 與 owner / rollback owner 齊全,才能把 reviewer validation passed 從 `0` 改動。 +- `P0-03` post-enable IwoooS readback:即使未來 reviewer accepted,也仍需再驗證前台/API 不回傳 raw payload、agent 原名、內網識別或 secret。 + ## 2026-06-27|IwoooS Wazuh manager registry reviewer validation 本地完成 **背景**:Wazuh 受管主機覆蓋已能由正式 API / 前台讀回,但 `manager_registry_accepted_count` 仍為 `0`。本段補上 owner-provided redacted manager registry export 進來後的 reviewer validation contract,避免把 Dashboard 可開、index pattern 正常、HTTP 200、agent transport observed 或前台卡片可見誤判為全主機已納管。