Portal for ArcGIS 可将用户活动以及系统发生的任何变化记录到审计日志中。 审计日志是一项重要的工具,用于监控和排除关键或重大更改故障以及识别进行这些更改的组织成员或流程、这些更改对系统的影响以及这些事件发生的时间。
安全信息和事件管理 (SIEM) 工具可以对审计日志进行处理以生成审计追踪、追踪用户活动趋势以及监控并解决任何安全威胁或漏洞。
审计日志将捕获以下事件的信息:
- 访问组织门户站点
- 创建、删除、更新和禁用成员账户
- 创建和更新用户角色
- 添加和配置群组
- 在群组中添加和移除成员
- 共享项目
- 更改项目所有权
- 添加、更新、移动和删除项目
审计日志访问权限
门户写入审计日志的默认目录为 C:\arcgisportal\logs\<machine name>\audit。 可以随时使用 Portal Administrator Directory 更改审计日志位置。
更改审计日志设置
审计日志设置(例如日志保留策略和日志的默认目录)继承自门户日志。 要更改审计日志设置,必须使用 Portal Administrator Directory 更改门户日志设置。 有关说明,请参阅指定门户日志设置。
删除审计日志
要删除审计日志,请完成以下步骤:
- 打开 Portal Administrator Directory 并以管理员身份进行登录。
URL 通常为 https://webadaptorhost.domain.com/webadaptorname/portaladmin。
- 单击日志 > 清除。
- 从格式下拉列表中选择输出格式。
- 单击清除日志。
将从门户计算机中删除所有日志文件。
审核日志语法
Portal for ArcGIS 将使用以下 JSON 语法在审计日志中记录每个事件:
{
"version": "Audit record version number",
"timeStamp": "Epoch time value",
"eventId": "Unique audit record identifier",
"event": "Event Name",
"eventLevel": "Event level",
"status": "Success/Failure indicator",
"statusCode": "Status code value",
"actor": "username",
"actorId": "user id",
"actorRole": "User's role",
"sourceIp": "Source IP address",
"destinationIp": "Destination IP address",
"destinationHost": "Destination host name",
"resource": "Resource URI",
"data": {
"data_attribute1": "attribute value",
"data_attribute2": "attribute value"
},
"userAgent": "user agent information",
"message": "Any corresponding message if applicable"
}