# 5.10 操作日志

本文档从《基础平台产品设计》第 5 章拆分而来，用于独立描述基础平台功能模块的业务需求、规则和验收标准。

上级文档：[基础平台产品设计](../基础平台产品设计.md)

## 5.10.1 功能说明

操作日志用于记录基础平台中的关键用户操作、管理配置变更、安全敏感操作和跨应用跳转操作，支撑审计追溯、问题排查、责任界定和安全风控。

操作日志只记录“谁在什么时间，对什么对象，做了什么操作，结果如何”。操作日志不替代业务单据流水，不记录完整业务处理过程，不作为业务系统账务、审批、工单、对账或分账明细。

## 5.10.2 功能范围

- 操作日志采集
- 操作日志查询
- 操作日志详情
- 操作日志导出
- 操作结果记录
- 变更前后摘要记录
- 敏感操作标识
- 日志留存控制

## 5.10.3 必须记录操作清单

### 5.10.3.1 登录与账号安全类

以下操作必须记录操作日志或登录安全日志：

| 操作类型 | 触发场景 | 是否必须 |
| --- | --- | --- |
| 登录成功 | 用户通过平台账号或第三方账号登录成功 | 是 |
| 登录失败 | 用户登录失败，包括账号不存在、密码错误、账号停用等 | 是 |
| 登录锁定 | 连续登录失败触发账号锁定 | 是 |
| 退出登录 | 用户主动注销登录 | 是 |
| Token 刷新失败 | Token 刷新失败并引导重新登录 | 是 |
| 密码重置 | 管理员重置平台账号密码 | 是 |
| 首次登录修改密码 | 用户首次登录修改密码 | 是 |
| 账号启用 / 停用 | 登录账号启用、停用 | 是 |
| 第三方账号绑定 / 解绑 | 微信、企微、钉钉、飞书等账号绑定或解绑 | 是 |

### 5.10.3.2 客户管理类

以下客户管理操作必须记录：

| 操作类型 | 触发场景 | 是否必须 |
| --- | --- | --- |
| 新增客户 | 创建客户档案 | 是 |
| 编辑客户 | 修改客户名称、简称、类型、行业、状态等基础信息 | 是 |
| 启用 / 停用客户 | 客户启用或停用 | 是 |
| 开通应用 | 为客户开通业务应用 | 是 |
| 关闭应用 | 关闭客户已开通应用 | 是 |
| 添加客户管理员 | 为客户添加管理员 | 是 |
| 取消客户管理员 | 取消用户客户管理员身份 | 是 |
| 启用 / 停用客户管理员 | 客户管理员启用或停用 | 是 |
| 重置客户管理员密码 | 重置客户管理员平台账号密码 | 是 |

### 5.10.3.3 应用管理类

以下应用管理操作必须记录：

| 操作类型 | 触发场景 | 是否必须 |
| --- | --- | --- |
| 新增应用 | 创建应用档案 | 是 |
| 编辑应用 | 修改应用名称、简称、类型、入口等基础信息 | 是 |
| 启用 / 停用应用 | 应用启用或停用 | 是 |
| 配置应用入口 | 修改应用入口类型、入口地址、打开方式 | 是 |
| 新增 / 编辑菜单 | 新增或修改应用菜单 | 是 |
| 启用 / 停用菜单 | 菜单启用或停用 | 是 |
| 调整菜单排序 | 修改菜单展示顺序 | 是 |
| 配置菜单操作权限 | 新增、编辑、停用菜单下操作权限 | 是 |
| 配置可授权范围 | 修改适用客户类型、行业、默认角色模板、默认菜单范围 | 是 |

### 5.10.3.4 组织管理类

以下组织管理操作必须记录：

| 操作类型 | 触发场景 | 是否必须 |
| --- | --- | --- |
| 新增组织 | 新增下级组织 | 是 |
| 编辑组织 | 修改组织名称、编码、类型、负责人等信息 | 是 |
| 启用 / 停用组织 | 组织启用或停用 | 是 |
| 调整上级组织 | 调整组织父级关系 | 是 |
| 组织负责人变更 | 变更组织负责人 | 是 |

### 5.10.3.5 用户与账号管理类

以下用户与账号操作必须记录：

| 操作类型 | 触发场景 | 是否必须 |
| --- | --- | --- |
| 新增用户 | 创建用户档案并默认创建平台账号 | 是 |
| 编辑用户 | 修改用户姓名、手机号、所属组织、默认组织、状态等 | 是 |
| 启用 / 停用用户 | 用户启用或停用 | 是 |
| 所属组织变更 | 用户所属组织发生变化 | 是 |
| 默认组织变更 | 用户默认组织发生变化 | 是 |
| 创建平台账号 | 为用户创建平台账号 | 是 |
| 绑定第三方账号 | 为用户绑定微信、企微、钉钉、飞书等账号 | 是 |
| 解绑账号 | 解绑平台账号或第三方账号 | 是 |
| 启用 / 停用账号 | 登录账号启用或停用 | 是 |
| 重置平台账号密码 | 管理员重置平台账号密码 | 是 |
| 分配角色 | 给用户分配角色 | 是 |
| 移除角色 | 移除用户角色 | 是 |

### 5.10.3.6 角色管理类

以下角色管理操作必须记录：

| 操作类型 | 触发场景 | 是否必须 |
| --- | --- | --- |
| 新增角色 | 创建平台角色、客户角色或应用角色 | 是 |
| 编辑角色 | 修改角色名称、说明、模板标识等 | 是 |
| 复制角色 | 基于已有角色复制新角色 | 是 |
| 启用 / 停用角色 | 角色启用或停用 | 是 |
| 配置菜单权限 | 修改角色可访问菜单 | 是 |
| 配置操作权限 | 修改角色菜单下操作权限 | 是 |
| 配置数据范围 | 修改全部、本组织、指定组织、指定门店等数据范围 | 是 |

### 5.10.3.7 基础配置管理类

以下配置操作必须记录：

| 操作类型 | 触发场景 | 是否必须 |
| --- | --- | --- |
| 场景化配置变更 | 修改平台运行、登录安全、门户容器、客户级、应用级、对象存储、短信发送等配置 | 是 |
| 新增配置项 | 在配置项管理中新建配置项 | 是 |
| 编辑配置项 | 修改配置项基础信息或配置值 | 是 |
| 启用 / 停用配置项 | 配置项启用或停用 | 是 |
| 配置版本回滚 | 回滚到历史配置版本 | 是 |
| 基础开关变更 | 启用或停用基础平台功能开关 | 是 |

说明：对象存储和短信发送配置涉及 AccessKey、SecretKey、验证码等敏感信息，操作日志只能记录配置项名称、服务商、变更类型、启停状态和脱敏摘要，不得记录密钥、验证码、Token 等明文内容。

### 5.10.3.8 消息与待办类

以下消息与待办操作必须记录：

| 操作类型 | 触发场景 | 是否必须 |
| --- | --- | --- |
| 查看消息 | 用户打开消息详情 | 建议 |
| 标记已读 | 单条消息标记已读 | 是 |
| 全部已读 | 用户执行全部已读 | 是 |
| 归档消息 | 用户归档消息 | 是 |
| 待办状态变更 | 待办标记处理中、已处理、已取消、已过期 | 是 |
| 待办跳转 | 用户从待办跳转业务页面 | 是 |

说明：查看消息频率较高，可按配置决定是否记录；涉及状态变化的消息和待办操作必须记录。

### 5.10.3.9 数据字典类

以下数据字典操作必须记录：

| 操作类型 | 触发场景 | 是否必须 |
| --- | --- | --- |
| 新增字典 | 新增数据字典和字典值列表 | 是 |
| 编辑字典 | 修改字典名称、归属业务系统、状态、备注等 | 是 |
| 删除字典 | 软删除数据字典 | 是 |
| 新增字典值 | 在字典中新增字典值 | 是 |
| 删除字典值 | 从字典中删除字典值 | 是 |
| 启用 / 停用字典值 | 字典值启用或停用 | 是 |
| 调整字典值排序 | 修改字典值展示顺序 | 是 |
| 修改字典值颜色 | 修改字典值展示颜色 | 是 |

### 5.10.3.10 城市管理类

以下城市管理操作必须记录：

| 操作类型 | 触发场景 | 是否必须 |
| --- | --- | --- |
| 新增国家 | 新增国家主数据 | 是 |
| 编辑国家 | 修改国家名称、简称、国家码、ISO 编码等 | 是 |
| 启用 / 停用国家 | 国家启用或停用 | 是 |
| 删除国家 | 删除国家主数据 | 是 |
| 新增城市节点 | 新增省份、城市、区县、街道节点 | 是 |
| 编辑城市节点 | 修改城市名称、编码、外部编码、经纬度、排序等 | 是 |
| 启用 / 停用城市节点 | 城市节点启用或停用 | 是 |
| 删除城市节点 | 删除城市节点 | 是 |

### 5.10.3.11 支行信息管理类

以下支行信息管理操作必须记录：

| 操作类型 | 触发场景 | 是否必须 |
| --- | --- | --- |
| 新增支行信息 | 新增银行总行、支行、支行号、银行侧城市编码和行政省市映射信息 | 是 |
| 编辑支行信息 | 修改总行信息、支行信息、银行侧城市编码、行政省市或状态 | 是 |
| 启用 / 停用支行信息 | 支行信息启用或停用 | 是 |
| 删除支行信息 | 软删除支行信息 | 是 |
| 删除失败 | 支行信息因存在业务引用被禁止删除 | 是 |

### 5.10.3.12 导入导出类

以下导入导出操作必须记录：

| 操作类型 | 触发场景 | 是否必须 |
| --- | --- | --- |
| 导入数据 | 客户、组织、用户、角色、菜单、配置等批量导入 | 是 |
| 导入失败 | 导入校验失败或部分失败 | 是 |
| 导出数据 | 导出客户、组织、用户、角色、日志等数据 | 是 |
| 下载导出文件 | 用户下载导出结果文件 | 建议 |

## 5.10.4 日志字段

操作日志至少包括：

| 字段 | 说明 | 是否必填 |
| --- | --- | --- |
| 操作时间 | 操作发生时间 | 是 |
| 操作用户 | 执行操作的用户 | 是 |
| 登录账号 | 执行操作时使用的登录账号 | 是 |
| 所属客户 | 操作用户所属客户或操作对象所属客户 | 条件必填 |
| 当前组织 | 操作用户当前组织上下文 | 否 |
| 来源应用 | 操作发生的应用 | 是 |
| 操作模块 | 客户管理、应用管理、组织管理等 | 是 |
| 操作类型 | 新增、编辑、启用、停用、授权、回滚等 | 是 |
| 操作对象类型 | 客户、应用、组织、用户、角色、配置项等 | 是 |
| 操作对象编号 | 被操作对象编码或 ID | 是 |
| 操作对象名称 | 被操作对象名称 | 否 |
| 操作结果 | 成功、失败、部分成功 | 是 |
| 失败原因 | 操作失败时记录原因 | 否 |
| 变更前摘要 | 操作前关键字段摘要 | 否 |
| 变更后摘要 | 操作后关键字段摘要 | 否 |
| IP 地址 | 操作来源 IP | 否 |
| 设备信息 | 浏览器、设备、客户端信息 | 否 |
| 请求流水号 | 便于研发排查的请求标识 | 否 |
| 操作说明 | 用户填写的原因或系统说明 | 否 |

敏感字段要求：

- 密码、Token、密钥、验证码不得明文记录。
- 手机号、登录标识等敏感字段按基础配置中的脱敏策略展示。
- 配置值如包含敏感内容，日志只记录摘要，不记录完整明文。

## 5.10.5 业务规则

- 操作日志由系统自动生成，普通用户不可新增、编辑或删除操作日志。
- 操作日志一经生成，不允许被业务页面修改。
- 不同客户之间操作日志必须隔离。
- 平台用户可按授权范围查询多个客户日志。
- 客户管理员只能查询本客户范围内与其权限相关的日志。
- 普通业务用户默认不可进入操作日志查询页面。
- 操作失败也应记录日志，尤其是登录失败、权限拒绝、配置保存失败、导入失败等。
- 批量操作需要记录批次日志，并记录成功数量、失败数量和失败原因摘要。
- 操作日志保留天数由基础配置管理中的审计与日志配置控制。
- 超过保留期的日志处理策略由平台运维制度决定，产品 1.0 只要求支持按保留期查询和归档边界。

## 5.10.6 界面设计

### 5.10.6.1 功能入口与访问权限

操作日志作为基础平台审计查询功能，建议放置在基础平台左侧菜单：

```text
基础平台
└── 操作日志
```

页面访问规则：

- 平台超级管理员可查询全部日志。
- 平台运维人员可按授权范围查询日志。
- 实施人员可按项目授权范围查询客户日志。
- 客户管理员可按配置和授权范围查询本客户日志。
- 普通业务用户不展示操作日志菜单。

### 5.10.6.2 操作日志列表页

展示方式：

- 查询区域 + 数据表格。
- 查询条件较多时支持展开 / 收起。
- 查询按钮作为查询区域最后一个表单元素。

查询条件：

| 查询项 | 控件类型 | 值来源 / 录入方式 | 说明 |
| --- | --- | --- | --- |
| 所属客户 | 客户选择器 / 只读文本 | 客户管理中已启用客户 | 平台用户可选；客户管理员只读当前客户 |
| 操作用户 | 用户选择器 | 用户与账号管理中的用户 | 可为空 |
| 来源应用 | 应用选择器 | 应用管理中的应用 | 可为空 |
| 操作模块 | 下拉框 | 客户管理、应用管理、组织管理等 | 可为空 |
| 操作类型 | 下拉框 | 新增、编辑、启用、停用、授权、回滚等 | 可为空 |
| 操作对象 | 文本输入框 | 人工录入 | 支持按对象名称或编号查询 |
| 操作结果 | 下拉框 | 全部、成功、失败、部分成功 | 默认全部 |
| 操作时间 | 日期时间范围选择器 | 人工选择 | 必填或默认最近 7 天 |
| 查询 | 按钮 | 用户点击 | 作为查询区域最后一个表单元素 |

列表字段：

| 字段 | 说明 |
| --- | --- |
| 操作时间 | 操作发生时间 |
| 操作用户 | 执行操作用户 |
| 所属客户 | 操作归属客户 |
| 来源应用 | 操作发生应用 |
| 操作模块 | 操作模块 |
| 操作类型 | 新增、编辑、启用、停用等 |
| 操作对象 | 对象名称和编号 |
| 操作结果 | 成功、失败、部分成功 |
| 操作 | 查看详情 |

### 5.10.6.3 操作日志详情页 / 弹窗

操作日志详情用于查看单条日志完整信息。

展示方式：

- 采用详情弹窗或右侧抽屉展示。
- 变更前后摘要采用左右对比或上下分区展示。

详情区域：

| 区域 | 展示内容 |
| --- | --- |
| 基础信息 | 操作时间、操作用户、登录账号、所属客户、当前组织 |
| 操作信息 | 来源应用、操作模块、操作类型、操作对象、操作结果 |
| 变更摘要 | 变更前摘要、变更后摘要 |
| 请求信息 | IP 地址、设备信息、请求流水号 |
| 失败信息 | 失败原因、错误摘要 |

页面规则：

- 敏感字段按脱敏策略展示。
- 普通查询人员不可查看完整敏感字段。
- 失败原因展示给运维或实施人员时可更详细，展示给客户管理员时应控制技术细节。

### 5.10.6.4 操作日志导出

操作日志导出用于审计和问题排查。

业务规则：

- 只有具备日志导出权限的用户可导出。
- 导出必须受当前查询条件和数据权限限制。
- 导出操作本身必须记录操作日志。
- 导出文件有效期由基础配置管理控制。

## 5.10.7 使用导航

### 5.10.7.1 查询操作日志

操作路径：

```text
基础平台 > 操作日志
```

操作步骤：

1. 进入操作日志列表页。
2. 按所属客户、操作用户、来源应用、操作模块、操作类型、操作对象、操作结果或操作时间查询。
3. 在列表中查看日志。

### 5.10.7.2 查看日志详情

操作路径：

```text
基础平台 > 操作日志 > 查看详情
```

操作步骤：

1. 查询目标日志。
2. 点击查看详情。
3. 系统打开日志详情页或弹窗。
4. 查看基础信息、操作信息、变更摘要、请求信息和失败信息。

### 5.10.7.3 导出操作日志

操作路径：

```text
基础平台 > 操作日志 > 导出
```

操作步骤：

1. 进入操作日志列表页。
2. 设置查询条件。
3. 点击导出。
4. 系统校验导出权限。
5. 系统按当前查询条件生成导出文件。
6. 系统记录导出操作日志。

## 5.10.8 验收标准

- 客户管理、应用管理、组织管理、用户与账号管理、角色管理、基础配置管理、消息与待办、数据字典、城市管理、支行信息管理的关键操作均生成操作日志。
- 登录成功、登录失败、退出登录、账号锁定、密码重置等安全操作均生成日志。
- 新增、编辑、启用、停用、授权、绑定、解绑、回滚、导入、导出等操作均可记录。
- 操作失败场景可记录失败日志和失败原因。
- 操作日志包含操作时间、操作用户、所属客户、来源应用、操作模块、操作类型、操作对象和操作结果。
- 操作日志支持按客户、用户、应用、模块、类型、对象、结果和时间查询。
- 操作日志详情可查看变更前后摘要。
- 敏感字段不明文展示。
- 不同客户之间日志隔离。
- 普通用户不可修改或删除操作日志。
- 具备权限的用户可导出操作日志，导出动作本身生成操作日志。