Apollo项目，集群，Namespace的创建和删除，管理员授权等操作没有审计日志

[GuiSong01]

你的特性请求和某个问题有关吗？请描述
Apollo项目，集群，Namespace的创建和删除，管理员授权等操作没有审计日志，Apollo配置中心一般是作为运维服务，这些动作都是核心动作，特别是资源的删除操作，因此审计日志都很重要，没有审计日志，不满足安全审计的要求。

清晰简洁地描述一下你希望的解决方案
Portal的非get接口都记录审计日志，并在管理员工具页签增加一个审计日志选项，提供审计日志的搜索，查看功能。
想做一个这样特性，麻烦看一下有必要吗？

[nobodyiam]

在 ApolloConfigDB.Audit 表里面有所有资源操作的审计日志的（Apollo项目，集群，Namespace的创建和删除）
管理员授权这个不涉及资源，目前没有审计，不过在记录上都是有操作人信息的

这部分审计信息一般用户不会看的，所以没有通过页面透出，如果在管理员界面中增加一个应该也可以，不过这个场景能描述下吗？比如用户是谁，在什么场景下会看？

[GuiSong01]

审计日志主要是为了支撑事后审计，用户应该是apollo系统管理员，可以不对一般用户开放，有一个界面可以查看体验更好一些，直接去数据库里面搜索体验比较差，而且一般只有研发才会操作，对于把apollo作为一个产品的一部分打包出售给客户，由客户运维的场景，没法有效的支撑审计。

权限变更也是属于关键的用户活动，权限是不是也是可以看着是一种资源？我看到了userrole表里面是有记录操作人，从数据库来查看的话，应该也是可以用来审计，缺点就是技能要求比较高，必须要熟悉这些权限及角色表的逻辑。

建议方案：
管理员工具下面添加一个审计日志页签，可以查看审计日志
apollo-adminservice提供接口供apollo-portal查询appId，cluster，namespace，item的审计日志，这部分日志可以定义成操作日志。
apollo-portal的登录，退出，授权等操作补充审计日志，这部分日志可以定义成安全日志

@nobodyiam

[nobodyiam]

Sounds good.

[chenguanlan]

@GuiSong01 Hi, GuiSong. Have you already finished this feature? Could you please share it with me?

[biakewe]

ApolloConfigDB.Audit 表

我看了 ApolloConfigDB.Audit 表 ，没有很直观的看到审计 ； 请问是需要通过EntityId 进行二次查询吗

[spaceluke]

@nobodyiam Hi, I am a student and I have a lot of interest in this feature. How can I better participate in contributing to this feature?

[Anilople]

@nobodyiam Hi, I am a student and I have a lot of interest in this feature. How can I better participate in contributing to this feature?

Welcome~

reference：

• project detail https://summer-ospp.ac.cn/org/prodetail/23c4c0039
• student guide https://summer-ospp.ac.cn/help/student/

You can read aboved material first.
Any question can be asked here.

Good luck.

[spaceluke]

Thanks!
Can I start developing now?Or submit my project application materials first.
@Anilople
sorry to disturb

[Anilople]

Thanks!
Can I start developing now?Or submit my project application materials first.
@Anilople
sorry to disturb

Submit project material first~.

You can write some poc code to verify the de# material.

Maybe there are many students want this project too, so for the sake of fairness we need to view all project materials which student submitted.

[spaceluke]

Thanks!
Can I start developing now?Or submit my project application materials first.
@Anilople
sorry to disturb

Submit project material first~.

You can write some poc code to verify the de# material.

Maybe there are many students want this project too, so for the sake of fairness we need to view all project materials which student submitted.

sounds great，thanks again :P