第375章 请不要把审计日志解释成天机簿 (第2/3页)
惑——是某种说不清的东西,像刚发现一件意料之外的事。
* * *
赵星把审计日志回放了一遍。
他把一次失败签名请求展开给执事看——时间戳、终端编号、操作账号、权限校验、拒绝原因。五列数据流,像五行排列的符纹,在主屏上缓缓滚动。
执事盯着屏幕,目光越来越严肃。
“这是……”执事的声音低了下去,“留魂证供?”
“不是。”赵星说,“是日志回放。”
“每一次操作都有痕迹?”
“每一次。”
“时间、地点、何人、何事——”
“全记。”
执事的手指在桌沿敲了一下。
“那这日志……不是比天机簿还详细?”
赵星的手指停住了。
“天机簿只记大因果。”执事的声音像在自言自语,“不记谁在何时按过什么印、谁在何处查过什么卷、谁的请求被驳回过——你们这东西,连失败都记?”
“都记。”赵星说,“成功记,失败记,拒绝记,超时记——只要系统收到了请求,就有一条记录。”
执事身后的两名弟子呼吸声变了——不是同步,是错开了一拍。
“那……”执事的声音像从喉咙深处挤出来的,“若有人用掌门私钥做了不该做的事,你们能查到?”
“能。”
“能查到是谁做的?”
“能查到那个时间点、那个终端上、那个账号做了什么——但不一定能查到是谁坐在那个终端前。”
执事的眉毛动了一下。
“因为账号可能被盗用。”赵星抢在执事开口前补了一句,“终端可能被人动过手脚——日志只能记录系统看到的东西,不能记录系统看不到的东西。”
执事盯着赵星,目光里的东西又变了——从“你居然说得通”变成了“你还有多少鬼话要说”。
“那你们怎么确定是谁做的?”
“复核。”赵星说,“问责任人,查现场,核对他那个时间点在干什么——如果他有不在场证明,或者他的账号在同一个时间点从另一个终端登录过,那就说明账号被盗用了。”
执事的嘴唇动了一下,没说出话。
“如果他没有不在场证明呢?”
“那就继续查。”赵星说,“查他最近的行为有没有异常,查他有没有接触过不该接触的人,查他的终端有没有被植入后门——”
“后门?”
“就是……”赵星顿了一下,“你们说的‘暗手’。”
执事的手指在桌沿敲了两下。
“你们……不直接搜魂?”
“不搜魂。”
“不直接问心?”
“不问心。”
“不直接因果追溯?”
“不追溯。”
执事沉默了很久。控制室的空调嗡鸣声像一根绷紧的弦,从未断过。
“那你们怎么知道他说的是真话?”
赵星差点笑出来。
“我们不靠他说的真话。”他说,“我们靠证据。”
“证据也会伪造。”
“所以我们复核。”
“复核也有漏洞。”
“所以我们交叉验证。”
“交叉验证也有死角——”
“所以我们接受查不到真相的可能性。”
执事的眉毛动了一下。
“接受?”他的声音像在嚼一块咽不下的石头,“查不到真相——接受?”
“对。”赵星说,“不是所有案子都能破。不是所有真相都能还原。我们能做的,是尽最大努力接近真相——而不是强行认定一个结果。”
执事盯着赵星,目光里的东西变了三次。
“你们……”他的声音像从喉咙深处挤出来的,“不靠天罚?”
“不靠。”
“不靠天道裁决?”
“不靠。”
“不靠……”
“不靠。”赵星打断了他,“我们靠流程。靠证据。靠复核。靠交叉验证——不靠天,不靠地,不靠任何人拍胸脯说‘我保证’。”
(本章未完,请点击下一页继续阅读)