6.3.2.1 操作日志留存

文档摘要

6.3.2.1 操作日志留存 6.3.2.1 操作日志留存：当“已记录”不等于“可取证”——一次因时区偏移导致审计断链的72小时故障复盘凌晨三点十七分，监控告警第三次亮起。不是CPU飙高，不是磁盘爆满，也不是服务雪崩。是一条安静得近乎羞耻的告警：运维同事甩来截图：Kibana里查不到这条操作；ELK日志管道显示该事件被标记为；而应用日志文件里，那行本该写入的记录，赫然躺在里——但时间戳是，没有时区标识，没有毫秒精度，更没有结构化字段。这不是日志没写，而是写了，却像把钥匙扔进了碎纸机——字还在，锁打不开。我们花了整整72小时，才从一行被忽略的配置里，揪出那个藏在标签深处的幽灵：。它看起来如此无害，像一粒盐溶进汤里，却让整锅审计日志失去司法采信资格。