Portal for ArcGIS zeichnet Benutzeraktivitäten und am System vorgenommene Änderungen in Überwachungsprotokollen auf. Überwachungsprotokolle sind ein wichtiges Werkzeug für die Überwachung und Problembehandlung bei kritischen oder grundlegenden Änderungen. Zudem werden sie verwendet, um Mitglieder und Prozesse in der Organisation zu identifizieren, die diese Änderungen vorgenommen haben, und um die Auswirkungen auf das System sowie den Zeitpunkt dieser Ereignisse zu ermitteln.
Überwachungsprotokolle können von SIEM-Werkzeugen (Security Information and Event Management) verarbeitet werden, um einen Überwachungspfad zu generieren, Trends bei Benutzeraktivitäten zu verfolgen sowie Sicherheitsrisiken und Schwachstellen zu überwachen und zu behandeln.
Überwachungsprotokolle erfassen Informationen zu den folgenden Ereignissen:
- Zugreifen auf die Portal-Site der Organisation
- Erstellen, Löschen, Aktualisieren und Deaktivieren von Mitgliedskonten
- Erstellen und Aktualisieren von Benutzerrollen
- Hinzufügen und Konfigurieren von Gruppen
- Hinzufügen und Entfernen von Mitgliedern zu bzw. aus einer Gruppe
- Freigeben von Elementen
- Ändern des Besitzes von Elementen
- Hinzufügen, Aktualisieren, Verschieben und Löschen von Elementen
Zugreifen auf Überwachungsprotokolle
Das Standardverzeichnis, in das die Überwachungsprotokolle vom Portal geschrieben werden, ist C:\arcgisportal\logs\<machine name>\audit. Sie können den Speicherort der Überwachungsprotokolle jederzeit über das Portal-Administratorverzeichnis ändern.
Ändern der Einstellungen für Überwachungsprotokolle
Einstellungen für Überwachungsprotokolle, wie die Richtlinie für die Protokollaufbewahrung und das Standardverzeichnis für die Protokolle, werden von Portal-Protokollen übernommen. Um die Einstellungen für Überwachungsprotokolle zu ändern, müssen Sie die Einstellungen für Portal-Protokolle über das Portal-Administratorverzeichnis ändern. Anweisungen finden Sie unter Festlegen von Portal-Protokolleinstellungen.
Löschen von Überwachungsprotokollen
Führen Sie die folgenden Schritte aus, um Überwachungsprotokolle zu löschen:
- Öffnen Sie das Portal-Administratorverzeichnis, und melden Sie sich als Administrator an.
Die URL ist normalerweise unter https://webadaptorhost.domain.com/webadaptorname/portaladmin verfügbar.
- Klicken Sie auf Protokolle > Bereinigen.
- Wählen Sie in der Dropdown-Liste Format das Ausgabeformat aus.
- Klicken Sie auf Protokolle bereinigen.
Alle Protokolldateien werden vom Portal-Computer gelöscht.
Syntax von Überwachungsprotokollen
Portal for ArcGIS zeichnet mit der folgenden JSON-Syntax alle Ereignisse in Überwachungsprotokollen auf:
{
"version": "Audit record version number",
"timeStamp": "Epoch time value",
"eventId": "Unique audit record identifier",
"event": "Event Name",
"eventLevel": "Event level",
"status": "Success/Failure indicator",
"statusCode": "Status code value",
"actor": "username",
"actorId": "user id",
"actorRole": "User's role",
"sourceIp": "Source IP address",
"destinationIp": "Destination IP address",
"destinationHost": "Destination host name",
"resource": "Resource URI",
"data": {
"data_attribute1": "attribute value",
"data_attribute2": "attribute value"
},
"userAgent": "user agent information",
"message": "Any corresponding message if applicable"
}