docs(logbook): record Wazuh registry export gate [skip ci]

docs/LOGBOOK.md

@@ -1,3 +1,46 @@
+## 2026-06-25｜Wazuh manager registry 匯出預檢正式讀回
+
+**背景**：使用者追問 Wazuh 仍未把所有主機納入監控、原本納管用戶端為何消失，以及前台不應顯示工作視窗、內部位址、repo owner 或主機直白名稱。本輪在不碰 Wazuh runtime、主機、Docker、Nginx、K8s、firewall、secret 或 active scan 的前提下，把「manager registry truth 應如何交付」補成可驗收、可拒收、可前台讀回的脫敏收件 Gate。
+
+**完成**：
+- 新增 / 強化 `scripts/security/wazuh-agent-visibility-owner-evidence-preflight.py`，把 Wazuh manager registry export contract 固定為 `23` 個必要欄位、`10` 個審查檢查、`6` 個公開節點別名與每節點 `9` 欄矩陣。
+- `docs/security/wazuh-agent-visibility-owner-evidence-preflight.snapshot.json`、`docs/security/WAZUH-AGENT-VISIBILITY-OWNER-EVIDENCE-PREFLIGHT.md` 與 `docs/security/WAZUH-MANAGED-HOST-COVERAGE-GATE.md` 同步更新，明確拒收內網位址、主機原名、agent 原名、完整 agent id、raw API payload、完整 CLI output、未脫敏截圖、secret、token 或 client key。
+- `/zh-TW/iwooos` 的 `Wazuh 代理清單證據收件預檢` 卡片新增「應納管範圍改用公開別名」與「逐主機矩陣必須補齊」兩個可見檢核；前台只顯示繁中說明、統計與公開邊界，不顯示工作視窗內容、內網位址、repo owner 或主機直白名稱。
+- `security-mirror-progress-guard.py` 納入 `23 / 10 / 6 / 9` 與 `registry_export_received=0`、`registry_export_accepted=0`、`runtime_gate=0` 的防退化檢查。
+
+**版本 / 部署**：
+- Source commit：`ffeab51b feat(iwooos): add Wazuh registry export preflight`。
+- 最新 deploy marker：`02767dbc chore(cd): deploy 8768823 [skip ci]`；後續 main commit `87688239` 觸發的部署已包含 `ffeab51b`。
+- Gitea runs：`ffeab51b` 的 code-review `#3329` 成功；`ffeab51b` 對應 CD `#3328` 後續被平行 main commit 取代，不視為本 Gate 失敗。
+- Production URL：`https://awoooi.wooo.work/zh-TW/iwooos?_v=87688239-wazuh-registry-preflight-10`。
+
+**驗證**：
+- `python3 scripts/security/wazuh-agent-visibility-owner-evidence-preflight.py --root .`：`fields=23 checks=10 aliases=6 export_received=0 received=0 accepted=0 runtime_gate=0`。
+- `python3 scripts/security/wazuh-managed-host-coverage-gate.py --root .`：`scope=6 direct_active=2 no_transport=1 ssh_blocked=3 registry=0 runtime_gate=0`。
+- `python3 scripts/security/security-mirror-progress-guard.py --root .`：通過。
+- `python3 scripts/security/iwooos-frontend-display-redaction-guard.py --root .`：通過。
+- Production `/api/v1/health`：`healthy`、`mock_mode=false`，PostgreSQL、Redis、OpenClaw、SigNoz、Ollama GCP-A / GCP-B / local 皆為 `up`。
+- Production HTML 讀回：`應納管範圍改用公開別名`、`逐主機矩陣必須補齊`、`wazuh_agent_visibility_owner_evidence_required_field_count=23`、`expected_scope_alias_count=6`、`registry_export_received_count=0`、`runtime_gate_count=0` 均存在。
+- Production desktop `1280x720`：Wazuh 收件預檢卡可見，`documentWidth=1274`、`horizontalOverflow=-6`、overflow offender `0`；未命中 `工作視窗`、`codex_delegation`、`source_thread_id`、`My request for Codex`、`In app browser`、內網位址、loopback 或 repo owner 字串。
+- Production mobile `390x844`：Wazuh 收件預檢卡與 `23 / 6 / 10 / 已收件 / 已接受` 可見，`documentWidth=384`、`horizontalOverflow=-6`、overflow offender `0`；同一組敏感 / 工作視窗字串皆未命中。
+
+**完成度同步**：
+- Wazuh manager registry 匯出收件預檢：`100%` source-side / production visible。
+- Wazuh P0-A manager registry 只讀驗收：source-side `64% -> 70%`；live registry export received / accepted 仍為 `0%`。
+- IwoooS Wazuh no-false-green 可視化：`98% -> 99%`。
+- IwoooS 整體：仍維持 `64%`，因 owner response、manager registry truth、Dashboard stored API 修復與 runtime gate 都未完成。
+- Wazuh 全主機實際納管修復：仍維持 `35%`；目前不能宣稱所有主機已恢復。
+- Active response / host write / agent re-enroll / Wazuh restart / Kali active scan / secret rotation / Nginx 或 firewall 變更：仍維持 `0%`。
+
+**下一個 P0**：
+1. 由 owner 提供不含 secret value 的 Wazuh readonly credential metadata 與 manager registry 匯出證據。
+2. 驗收 agent total / active / disconnected / never connected / last seen window，並對 6 個公開節點別名逐列補齊 9 欄矩陣。
+3. 修 Dashboard stored API / RBAC / rate-limit / TLS trust，需維護窗口、rollback owner 與後檢證據。
+4. 對無 transport 與 SSH 受阻節點補合法只讀 postcheck 或 owner export。
+5. 啟用 IwoooS live metadata 前，仍需獨立 owner gate 與 raw payload / 內網位址 / agent 原名 / secret 防洩漏驗證。
+
+**邊界**：本輪沒有查 live Wazuh secret、沒有保存 raw log、沒有重新註冊 agent、沒有重啟 Wazuh、沒有修改 Dashboard stored API、RBAC、TLS、Nginx、Docker、K8s、firewall、host config 或 secret，也沒有 active response、Kali active scan、Telegram live send 或 runtime write。
+
 ## 2026-06-25｜P0 PostgreSQL 慢查詢告警分類修正正式驗證
 
 **正式鏈路**：