OpenCTI平台活动日志中实体修改信息显示不全问题分析

问题背景

在OpenCTI网络安全威胁情报平台的使用过程中，用户发现活动日志(Activity)功能存在一个显示缺陷。当用户在查看知识库(Knowledge)更新记录时，系统虽然会显示哪个字段被修改，但关键的实体标识信息却缺失，导致用户无法直接从日志条目中判断修改是针对哪个具体实体进行的。

问题现象

具体表现为：

1. 用户进入活动日志界面并勾选"包含知识库"选项
2. 当查看实体更新事件时，日志仅显示类似"admin替换了confidence字段的36"这样的信息
3. 关键的实体名称或ID信息缺失，用户必须点击展开详情面板才能确认修改针对的具体实体

技术影响

这个显示缺陷会带来以下影响：

1. 降低了日志的可读性和快速检索效率
2. 增加了用户操作步骤，影响用户体验
3. 对于需要快速审计变更的场景(如合规检查)造成不便
4. 特别影响未来PIR(可能指某种情报报告)历史更新事件的正确显示

解决方案建议

从技术实现角度，建议采取以下改进措施：

1. 日志格式优化： 在显示修改记录时，应当包含实体类型和名称/ID信息，格式可调整为： "[用户名]修改了[实体类型][实体名称/ID]的[字段名]从[旧值]到[新值]"

2. 前端显示优化：

   • 在活动日志列表直接显示实体标识信息
   • 可以考虑使用标签或徽章形式突出显示实体信息
   • 保持现有详情展开功能作为补充

3. 后端数据增强： 确保活动日志服务在记录变更时完整捕获并存储相关实体上下文信息

实现考量

在实现上述改进时需要考虑：

1. 性能影响：额外的信息显示是否会影响日志加载性能
2. 显示空间：在有限的界面空间中如何合理布局新增信息
3. 国际化支持：确保多语言环境下信息显示完整
4. 向后兼容：不影响现有日志记录的解析和处理

总结

OpenCTI作为专业的威胁情报平台，活动日志的完整性和可读性对于安全运维和审计至关重要。这个看似简单的显示问题实际上影响着平台的核心功能体验。通过优化日志信息的显示方式，可以显著提升用户的工作效率和平台的可用性。