diff --git a/docs/LOGBOOK.md b/docs/LOGBOOK.md index 2c4f8d9b..92d29dad 100644 --- a/docs/LOGBOOK.md +++ b/docs/LOGBOOK.md @@ -1,3 +1,46 @@ +## 2026-06-25|Wazuh manager registry 匯出預檢正式讀回 + +**背景**:使用者追問 Wazuh 仍未把所有主機納入監控、原本納管用戶端為何消失,以及前台不應顯示工作視窗、內部位址、repo owner 或主機直白名稱。本輪在不碰 Wazuh runtime、主機、Docker、Nginx、K8s、firewall、secret 或 active scan 的前提下,把「manager registry truth 應如何交付」補成可驗收、可拒收、可前台讀回的脫敏收件 Gate。 + +**完成**: +- 新增 / 強化 `scripts/security/wazuh-agent-visibility-owner-evidence-preflight.py`,把 Wazuh manager registry export contract 固定為 `23` 個必要欄位、`10` 個審查檢查、`6` 個公開節點別名與每節點 `9` 欄矩陣。 +- `docs/security/wazuh-agent-visibility-owner-evidence-preflight.snapshot.json`、`docs/security/WAZUH-AGENT-VISIBILITY-OWNER-EVIDENCE-PREFLIGHT.md` 與 `docs/security/WAZUH-MANAGED-HOST-COVERAGE-GATE.md` 同步更新,明確拒收內網位址、主機原名、agent 原名、完整 agent id、raw API payload、完整 CLI output、未脫敏截圖、secret、token 或 client key。 +- `/zh-TW/iwooos` 的 `Wazuh 代理清單證據收件預檢` 卡片新增「應納管範圍改用公開別名」與「逐主機矩陣必須補齊」兩個可見檢核;前台只顯示繁中說明、統計與公開邊界,不顯示工作視窗內容、內網位址、repo owner 或主機直白名稱。 +- `security-mirror-progress-guard.py` 納入 `23 / 10 / 6 / 9` 與 `registry_export_received=0`、`registry_export_accepted=0`、`runtime_gate=0` 的防退化檢查。 + +**版本 / 部署**: +- Source commit:`ffeab51b feat(iwooos): add Wazuh registry export preflight`。 +- 最新 deploy marker:`02767dbc chore(cd): deploy 8768823 [skip ci]`;後續 main commit `87688239` 觸發的部署已包含 `ffeab51b`。 +- Gitea runs:`ffeab51b` 的 code-review `#3329` 成功;`ffeab51b` 對應 CD `#3328` 後續被平行 main commit 取代,不視為本 Gate 失敗。 +- Production URL:`https://awoooi.wooo.work/zh-TW/iwooos?_v=87688239-wazuh-registry-preflight-10`。 + +**驗證**: +- `python3 scripts/security/wazuh-agent-visibility-owner-evidence-preflight.py --root .`:`fields=23 checks=10 aliases=6 export_received=0 received=0 accepted=0 runtime_gate=0`。 +- `python3 scripts/security/wazuh-managed-host-coverage-gate.py --root .`:`scope=6 direct_active=2 no_transport=1 ssh_blocked=3 registry=0 runtime_gate=0`。 +- `python3 scripts/security/security-mirror-progress-guard.py --root .`:通過。 +- `python3 scripts/security/iwooos-frontend-display-redaction-guard.py --root .`:通過。 +- Production `/api/v1/health`:`healthy`、`mock_mode=false`,PostgreSQL、Redis、OpenClaw、SigNoz、Ollama GCP-A / GCP-B / local 皆為 `up`。 +- Production HTML 讀回:`應納管範圍改用公開別名`、`逐主機矩陣必須補齊`、`wazuh_agent_visibility_owner_evidence_required_field_count=23`、`expected_scope_alias_count=6`、`registry_export_received_count=0`、`runtime_gate_count=0` 均存在。 +- Production desktop `1280x720`:Wazuh 收件預檢卡可見,`documentWidth=1274`、`horizontalOverflow=-6`、overflow offender `0`;未命中 `工作視窗`、`codex_delegation`、`source_thread_id`、`My request for Codex`、`In app browser`、內網位址、loopback 或 repo owner 字串。 +- Production mobile `390x844`:Wazuh 收件預檢卡與 `23 / 6 / 10 / 已收件 / 已接受` 可見,`documentWidth=384`、`horizontalOverflow=-6`、overflow offender `0`;同一組敏感 / 工作視窗字串皆未命中。 + +**完成度同步**: +- Wazuh manager registry 匯出收件預檢:`100%` source-side / production visible。 +- Wazuh P0-A manager registry 只讀驗收:source-side `64% -> 70%`;live registry export received / accepted 仍為 `0%`。 +- IwoooS Wazuh no-false-green 可視化:`98% -> 99%`。 +- IwoooS 整體:仍維持 `64%`,因 owner response、manager registry truth、Dashboard stored API 修復與 runtime gate 都未完成。 +- Wazuh 全主機實際納管修復:仍維持 `35%`;目前不能宣稱所有主機已恢復。 +- Active response / host write / agent re-enroll / Wazuh restart / Kali active scan / secret rotation / Nginx 或 firewall 變更:仍維持 `0%`。 + +**下一個 P0**: +1. 由 owner 提供不含 secret value 的 Wazuh readonly credential metadata 與 manager registry 匯出證據。 +2. 驗收 agent total / active / disconnected / never connected / last seen window,並對 6 個公開節點別名逐列補齊 9 欄矩陣。 +3. 修 Dashboard stored API / RBAC / rate-limit / TLS trust,需維護窗口、rollback owner 與後檢證據。 +4. 對無 transport 與 SSH 受阻節點補合法只讀 postcheck 或 owner export。 +5. 啟用 IwoooS live metadata 前,仍需獨立 owner gate 與 raw payload / 內網位址 / agent 原名 / secret 防洩漏驗證。 + +**邊界**:本輪沒有查 live Wazuh secret、沒有保存 raw log、沒有重新註冊 agent、沒有重啟 Wazuh、沒有修改 Dashboard stored API、RBAC、TLS、Nginx、Docker、K8s、firewall、host config 或 secret,也沒有 active response、Kali active scan、Telegram live send 或 runtime write。 + ## 2026-06-25|P0 PostgreSQL 慢查詢告警分類修正正式驗證 **正式鏈路**: