Jakarta ee 在Java EE项目中，什么应该和不应该被审核

我需要有关审计项目的建议

目前，我正在开发的项目有许多“用户”可以执行的操作，例如：

• 更改自己的密码
• 添加、删除权限
• 添加、删除角色
• 上传文件
• 许多其他的

用户可以访问的所有这些操作都经过审核，但我不知道是否通常要审核以下内容：

密码策略规定用户密码必须至少包含1个符号和1个数字。某些用户在特定时间尝试更改其密码而不关心策略，当然他会收到一条消息，说明密码策略不受尊重，但是否应该对此进行审核？我只想听听以前审计过的人的意见，或者知道这件事的人的意见

另一种可能的情况是，当用户尝试删除不存在的内容时，例如，有一个空的权限列表并尝试删除一个不存在的权限列表，用户将再次收到一条消息，提示选择至少一个要删除的权限，但是否应审核此操作

---

欢迎任何反馈，我第一次审核项目，谢谢：）

这主要取决于您的要求。客户或业务法规要求什么？是否要进行审核以使系统更安全？（通过了解恶意用户的行为）

“审计”是指将其记录在文件中还是插入数据库以获取统计数据

编辑 审核每件事都可能有点贵，所以我建议您按优先级列出一个项目列表。我的清单应该是这样的

• 任何500 http错误（这通常很容易做到）
• 登录（成功和失败）
• 对业务重要的任何实体的更改（例如，对个人数据的更改）和/或对应用程序重要的任何实体的更改（如您提到的向用户添加/删除角色）
• 拒绝访问错误（登录用户，试图访问不允许访问的站点部分）
• 伪造URL（使用666访问项目，尽管数据库中没有具有该id的项目）
• 返回404（潜在用户探测应用程序）的URL

再说一遍，这是我的清单，你可能需要拿出自己的清单。因为您可能希望进行更高级的审核，例如“在站点上花费的时间”

---

另一件重要的事情：尽可能让日志可读和可搜索。

好吧，关于你的第一个问题：目前项目的Java架构师不在城市，但就我而言，他表示用户在系统中可以执行的任何操作都应该被审计，这样做的主要原因应该是使系统更安全，正如您所说的。关于您的第二个问题：我们目前正在将条目插入数据库，并为受限用户生成报告。谢谢你的回答！