ArcGIS Server zeichnet Benutzeraktivitäten und am System vorgenommene Änderungen in Überwachungsprotokollen auf. Überwachungsprotokolle sind ein Werkzeug für die Überwachung und Problembehandlung bei kritischen oder grundlegenden Änderungen. Zudem werden sie verwendet, um Mitglieder und Prozesse in der Organisation zu identifizieren, die diese Änderungen vorgenommen haben, und um die Auswirkungen auf das System sowie den Zeitpunkt dieser Ereignisse zu ermitteln.
Überwachungsprotokolle können von SIEM-Werkzeugen (Security Information and Event Management) verarbeitet werden, um einen Überwachungspfad zu generieren, Trends bei Benutzeraktivitäten zu verfolgen sowie Sicherheitsrisiken und Schwachstellen zu überwachen und zu behandeln.
Überwachungsprotokolle erfassen Informationen zu den folgenden Ereignistypen:
- Erstellen, Löschen und Aktualisieren von Mitgliedskonten
- Aktualisieren von Eigenschaften gehosteter Feature-Services
ArcGIS Server zeichnet mit der folgenden JSON-Syntax alle Ereignisse in Überwachungsprotokollen auf:{
"version": "Audit record version number",
"loggedby": "ArcGIS for Server [version number]",
"timeStamp": "Epoch time value",
"eventId": "Unique audit record identifier",
"event": "Event Name",
"eventLevel": "Event level",
"status": "Success/Failure indicator",
"statusCode": "Status code value",
"actor": "username",
"actorId": "user id",
"actorRole": "User's role",
"sourceIp": "Source IP address",
"destinationIp": "Destination IP address",
"destinationHost": "Destination host name",
"resource": "Resource URI",
"data": {
"data_attribute1": "attribute value",
"data_attribute2": "attribute value"
},
"userAgent": "user agent information",
"message": "Any corresponding message if applicable"
}
Zugriff auf Überwachungsprotokolle
Standardmäßig kann auf die Überwachungsprotokolle in folgendem Verzeichnis zugegriffen werden: <Portal for ArcGIS installation directory>/usr/arcgisserver/logs/<machine name>/audit.
Ändern der Einstellungen für Überwachungsprotokolle
Einstellungen für Überwachungsprotokolle, wie die Protokollaufbewahrung und das Standardverzeichnis für die Protokolle, werden von den Protokollen der Serveranwendungen übernommen. Um die Einstellungen für Überwachungsprotokolle zu ändern, müssen Sie die Einstellungen für die Serverprotokolle in ArcGIS Server Manager ändern.
Löschen von Überwachungsprotokollen
Führen Sie die folgenden Schritte aus, um Überwachungsprotokolle zu löschen:
- Melden Sie sich bei ArcGIS Server Manager als Administrator an.
- Klicken Sie auf Protokolle > Protokolle löschen.
Alle Anwendungs- und Überwachungsprotokolldateien werden von allen Servern in Ihrer Site gelöscht.