对象

一次有效的运维操作审计，不能只记录“谁做了什么”，而要能还原完整上下文。关键字段缺一不可：
– 操作时间（精确到毫秒）：建议统一使用UTC时区并写入ISO 8601格式（如2024-06-15T08:23:41.127Z），避免本地时区混乱；
– 操作者身份（含来源）：不只是用户名，还要记录登录方式（SSH密钥指纹、OAuth令牌ID、Web会话ID）、客户端IP及是否经过跳板机；
– 目标资源标识：用唯一、可解析的路径或ID，例如/host/web-prod-03/service/nginx，而非模糊的“服务器A”；
– 执行动作与原始命令：记录完整shell命令（含参数）、API请求方法+路径+body摘要（敏感字段脱敏）、Web界面上点击的按钮路径；
– 结果状态与影响范围：HTTP状态码、命令退出码、变更行数、重启服务名、配置文件MD5前缀等可量化反馈。