Не путайте аудит с ведением журнала. Если есть необходимость в аудите, вам необходимо провести аудит.
Поскольку аудит обычно требуется по юридическим или политическим причинам, вам необходимо понимать, какие действия и действия должны регистрироваться, а также какие данные должны регистрироваться. Это не техническое решение, но должно определяться бизнесом. Если у вас есть требования, вы можете спроектировать объемы аудита и спроектировать свое приложение для их учета (например, производительность, хранение и т. Д.).
Если вы считаете, что у вас есть требование аудита, но оно не указано явно, попросите разъяснений. Вы не хотите выяснять это только после того, как вам предъявили иск.
Если у вас действительно есть требование к аудиту, вам, вероятно, следует провести аудит всего сообщения о запросе мыла, а также ответа. Это для поддержки отказа от авторства.
В качестве примера предположим, что у вас есть приложение для медицинского обслуживания, и вы проверяете только ключевую информацию: личные идентификаторы (например, SSN) и наличие у пациента аллергии на пенициллин. Но что происходит, когда пациент умирает, потому что аллергия на пенициллин была ложной, если этого не должно было быть? Журналы аудита проверяются, и вы говорите, что для этого пациента было отправлено значение false, но другая система говорит, что на самом деле вам было отправлено значение true, и у вас должна быть проблема с вашей системой. В этом сценарии вам нужно показать точное сообщение, которое было отправлено веб-службе, и что, поскольку оно было подписано потребителем службы, вы можете доказать, что оно получено от них, а также доказать, что данные в сообщении верны , Затем вы проследите эту информацию через вашу систему через журналы аудита.
Конечно, все это восходит к требованиям; если предприятие обнаружит, что только проверка x и y удовлетворяет какому-либо законодательству или политике, тогда соглашайтесь с этим.