ArcGIS Server 可将用户活动以及系统所做的任何变化记录到审计日志中。 审计日志工具用于监控和排除关键或重大更改故障以及识别进行这些更改的组织成员或流程、这些更改对系统的影响以及这些事件发生的时间。
安全信息和事件管理 (SEIM) 工具可以对审计日志进行处理以生成审计追踪、追踪用户活动趋势以及监控并解决安全威胁和漏洞。
审计日志将捕获以下事件类型的信息:
- 创建、删除和更新成员账户
- 更新托管要素服务的属性
ArcGIS Server 将使用以下 JSON 语法在审计日志中记录每个事件:{
"version": "Audit record version number",
"loggedby": "ArcGIS for Server [version number]",
"timeStamp": "Epoch time value",
"eventId": "Unique audit record identifier",
"event": "Event Name",
"eventLevel": "Event level",
"status": "Success/Failure indicator",
"statusCode": "Status code value",
"actor": "username",
"actorId": "user id",
"actorRole": "User's role",
"sourceIp": "Source IP address",
"destinationIp": "Destination IP address",
"destinationHost": "Destination host name",
"resource": "Resource URI",
"data": {
"data_attribute1": "attribute value",
"data_attribute2": "attribute value"
},
"userAgent": "user agent information",
"message": "Any corresponding message if applicable"
}
访问审计日志
默认情况下,可以在以下目录访问审计日志:C:\arcgisserver\logs\<machine name>\audit。
更改审计日志设置
审计日志设置(例如日志保留和默认日志目录)继承自服务器应用程序日志。 要更改审计日志设置,必须更改 ArcGIS Server Manager 中的服务器日志设置。
删除审计日志
要删除审计日志,请执行以下步骤:
- 以管理员身份登录到 ArcGIS Server Manager。
- 单击日志 > 删除日志。
所有应用程序和审计日志文件都将从站点的每个服务器中删除。