Apollo项目，集群，Namespace的创建和删除，管理员授权等操作没有审计日志

[GuiSong01]

你的特性请求和某个问题有关吗？请描述
Apollo项目，集群，Namespace的创建和删除，管理员授权等操作没有审计日志，Apollo配置中心一般是作为运维服务，这些动作都是核心动作，特别是资源的删除操作，因此审计日志都很重要，没有审计日志，不满足安全审计的要求。

清晰简洁地描述一下你希望的解决方案
Portal的非get接口都记录审计日志，并在管理员工具页签增加一个审计日志选项，提供审计日志的搜索，查看功能。
想做一个这样特性，麻烦看一下有必要吗？

[nobodyiam]

在 ApolloConfigDB.Audit 表里面有所有资源操作的审计日志的（Apollo项目，集群，Namespace的创建和删除）
管理员授权这个不涉及资源，目前没有审计，不过在记录上都是有操作人信息的

这部分审计信息一般用户不会看的，所以没有通过页面透出，如果在管理员界面中增加一个应该也可以，不过这个场景能描述下吗？比如用户是谁，在什么场景下会看？

[GuiSong01]

审计日志主要是为了支撑事后审计，用户应该是apollo系统管理员，可以不对一般用户开放，有一个界面可以查看体验更好一些，直接去数据库里面搜索体验比较差，而且一般只有研发才会操作，对于把apollo作为一个产品的一部分打包出售给客户，由客户运维的场景，没法有效的支撑审计。

权限变更也是属于关键的用户活动，权限是不是也是可以看着是一种资源？我看到了userrole表里面是有记录操作人，从数据库来查看的话，应该也是可以用来审计，缺点就是技能要求比较高，必须要熟悉这些权限及角色表的逻辑。

建议方案：
管理员工具下面添加一个审计日志页签，可以查看审计日志
apollo-adminservice提供接口供apollo-portal查询appId，cluster，namespace，item的审计日志，这部分日志可以定义成操作日志。
apollo-portal的登录，退出，授权等操作补充审计日志，这部分日志可以定义成安全日志

@nobodyiam

[nobodyiam]

Sounds good.

[chenguanlan]

@GuiSong01 Hi, GuiSong. Have you already finished this feature? Could you please share it with me?

[biakewe]

ApolloConfigDB.Audit 表

我看了 ApolloConfigDB.Audit 表 ，没有很直观的看到审计 ； 请问是需要通过EntityId 进行二次查询吗

[BlackBear2003]

@nobodyiam Hi, I am a student and I have a lot of interest in this feature. How can I better participate in contributing to this feature?

[Anilople]

@nobodyiam Hi, I am a student and I have a lot of interest in this feature. How can I better participate in contributing to this feature?

Welcome~

reference：

• project detail https://summer-ospp.ac.cn/org/prodetail/23c4c0039
• student guide https://summer-ospp.ac.cn/help/student/

You can read aboved material first.
Any question can be asked here.

Good luck.

[BlackBear2003]

Thanks!
Can I start developing now?Or submit my project application materials first.
@Anilople
sorry to disturb

[Anilople]

Thanks!
Can I start developing now?Or submit my project application materials first.
@Anilople
sorry to disturb

Submit project material first~.

You can write some poc code to verify the design in material.

Maybe there are many students want this project too, so for the sake of fairness we need to view all project materials which student submitted.

[BlackBear2003]

Thanks!
Can I start developing now?Or submit my project application materials first.
@Anilople
sorry to disturb

Submit project material first~.

You can write some poc code to verify the design in material.

Maybe there are many students want this project too, so for the sake of fairness we need to view all project materials which student submitted.

sounds great，thanks again :P