Portal for ArcGIS enregistre l’activité de l’utilisateur et tout changement survenant sur le système dans des journaux d’audit. Les journaux d’audit constituent un outil essentiel pour surveiller les modifications critiques ou importantes et résoudre les problèmes qu’elles peuvent engendrer. Ils permettent également d’identifier les membres ou les traitements de l’organisation à l’origine de ces modifications ainsi que les effets des modifications sur le système, et de déterminer à quel moment ces événements se sont produits.
Les journaux d’audit peuvent être traités par les outils SIEM (Security Information and Event Management, gestion des événements et des informations de sécurité) pour générer une piste d’audit, effectuer un suivi des tendances de l’activité de l’utilisateur et surveiller et traiter les éventuelles menaces de sécurité ou vulnérabilités.
Les journaux d’audit capturent des informations pour les événements suivants :
- Accès au site du portail de l’organisation
- Création, suppression, mise à jour et désactivation de comptes de membres
- Création et mise à jour des rôles d’utilisateur
- Ajout et configuration de groupes
- Ajout et suppression de membres dans un groupe
- Partage des éléments
- Modification de la propriété d’un élément
- Ajout, mise à jour, déplacement et suppression d’éléments
Accès aux journaux d’audit
Le répertoire par défaut dans lequel le portail enregistre les journaux d’audit est C:\arcgisportal\logs\<machine name>\audit. Vous pouvez changer l’emplacement des journaux d’audit à tout moment à l’aide d’ArcGIS Portal Administrator Directory.
Changer les paramètres des journaux d’audit
Les paramètres des journaux d’audit, comme la politique de conservation des journaux et le répertoire par défaut des journaux, sont hérités des journaux du portail. Pour changer les paramètres des journaux d’audit, vous devez changer les paramètres des journaux du portail à l’aide d’ArcGIS Portal Administrator Directory. Pour la procédure à suivre, reportez-vous à la rubrique Spécifier les paramètres des journaux du portail.
Supprimer les journaux d’audit
Pour supprimer les journaux d’audit, procédez comme suit :
- Ouvrez le répertoire administrateur du portail et connectez-vous en tant qu’administrateur.
L’URL est généralement disponible à l’adresse suivante : https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Cliquez sur Logs (Journaux) > Clean (Effacer).
- Sélectionnez le format en sortie dans la liste déroulante Format.
- Cliquez sur Clean logs (Effacer les journaux).
Tous les fichiers journaux sont supprimés de la machine de portail.
Syntaxe des journaux d’audit
Portal for ArcGIS enregistre chaque événement dans le journal d’audit en utilisant la syntaxe JSON suivante :
{
"version": "Audit record version number",
"timeStamp": "Epoch time value",
"eventId": "Unique audit record identifier",
"event": "Event Name",
"eventLevel": "Event level",
"status": "Success/Failure indicator",
"statusCode": "Status code value",
"actor": "username",
"actorId": "user id",
"actorRole": "User's role",
"sourceIp": "Source IP address",
"destinationIp": "Destination IP address",
"destinationHost": "Destination host name",
"resource": "Resource URI",
"data": {
"data_attribute1": "attribute value",
"data_attribute2": "attribute value"
},
"userAgent": "user agent information",
"message": "Any corresponding message if applicable"
}Vous avez un commentaire à formuler concernant cette rubrique ?