第28章 触发源

到……这不是普通测试。”

周砚把笔在便签上划出三列：工单字段、触发字段、凭据字段。然后问：“触发端资产MKT-WS-0417，你们知道是谁的电脑吗？”

陈屿点头：“那个资产编号属于市场部的一台电脑。正常来说，市场部电脑不该作为跳板去唤醒公用设备。除非有人用市场部电脑登录了跳板机，或者有人远程接入了市场部电脑。”

“谁能远程接入？”周砚问。

“能远程接入的人很多。”陈屿摇头，“但远程接入也要走会话系统，会话系统会记日志。那天你们拿到的摘要里，SourceAsset就是MKT-WS-0417，说明至少在日志层面，触发端确实是那台市场部电脑。”

周砚的笔尖停了一下，写下：SourceAsset=市场部资产，异常。然后问：“你能提供两样东西吗？一是INC工单的完整导出；二是svc_rpa凭据库调用记录在那个时段的条目。”

陈屿沉默几秒，眼神闪烁：“工单导出我可以给，但凭据库调用记录……权限在网络安全组，不在我们服务台。我能做的是——把你说的请求写成工单补充，挂到INC下面，要求网络安全组按事故处理流程提供。”

“可以。”周砚没有要求他越权，“你只要把请求挂上去，字段写清，我就能在流程里追。”

陈屿点头：“那我今天上午就挂。”

周砚把便签翻到空白面，开始写“事实备忘”摘要，像写审计底稿一样简洁：

1）INC-202X-0919-1736，标题《302会议室设备唤醒测试（紧急）》；请求人=王XX；备注含“领导要求当晚完成预检/影响项目直播/加急”；时间约18:40；

2）工单附“领导已知悉”截图（疑似阿远IM确认）；服务台按截图视为授权；

3）svc_rpa为服务账号，制度要求工单授权+限定人员使用；当晚A组值班有人可调用凭据库；

4）SourceAsset=MKT-WS-0417为市场部资产，作为触发端异常；需追溯是否远程会话/跳板机登录；

5）建议补证：工单完整导出、svc_rpa凭据库调用记录、会话系统原始日志（含触发账号/触发端IP/命令列表）。

他把便签推到陈屿面前：“你只确认这五条有没有事实错误。没有的话，你点头，我就归档。你不用签名。”

陈屿逐条看完，喉咙发紧，最后点头：“都对。唯一不确定的是‘疑似阿远’，因为我没核验截图真伪。但截图确实存在。”

周砚立刻把那一条改成：“工单附领导确认截图（未核验真伪）”。把“推断”剥掉，只留下“存在”。

陈屿看着修改后的句子，像终于松了一口气：“这样就行。”

09:28，周砚回到工位，第一件事不是发群消息，而是把刚才的“事实备忘”整理成文档，标题写得像检索字段：  《事实备忘-302唤醒测试工单INC-202X-0919-1736（字段确认版）》。导出PDF，生成哈希，归档共享盘“合规记录/302追溯/交叉证据/工单线索”目录。

做完归档，他才给梁总发了一条极短的IM：“svc_rpa触发源已出现：INC工单编号+请求人字段+领导确认截图存在；已形成字段备忘并归档。10点前发你一页问询树。”

梁总回：“发。”

09:41，周砚打开文档模板，写“一页问询树”。他不写长篇推理，只写问法，确保对方无法用一句“系统自动化”糊过去：

——问询树（svc_rpa触发源）

Q1：svc_rpa服务账号的持有人与授权范围？（限定人员名单/部门/权限清单/审批人）

Q2：涉事时段凭据库调用记录（调用时间/调用人账号/调用端IP/调用用途/关联工单号）

Q3：涉事时段会话系统原始日志（会话发起账号/SourceAsset/目标终端MAC/命令列表/会话认证链）

Q4：关联工单INC-202X-0919-1736完整导出（请求人/附件截图/审批链/处理人/操作记录）

Q5：SourceAsset=MKT-WS-0417的当晚使用情况（登录用户/远程接入