Diese Seite wurde von der Cloud Translation API übersetzt.

Salesforce-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

Übersicht

Dieser Parser verarbeitet Salesforce-Protokolle im LEEF-, CSV- und JSON-Format. Es extrahiert Felder, führt formatspezifische Verarbeitungen durch (z. B. LEEF-Schlüssel/Wert-Paare, CSV-Spalten und JSON-Strukturen), ordnet sie dem UDM zu und ergänzt die Daten um Metadaten und abgeleitete Felder. Der Parser verarbeitet auch verschiedene Salesforce-Ereignistypen. Dabei wird eine spezielle Logik für Anmeldungen, Abmeldungen und andere Aktionen angewendet, Ereignisse kategorisiert und die entsprechenden UDM-Ereignistypen festgelegt.

Hinweise

Sie benötigen eine Google SecOps-Instanz.
Sie benötigen erhöhte Zugriffsrechte für AWS IAM, S3 und AppFlow.

Amazon S3-Bucket konfigurieren

Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu dieser Anleitung: Bucket erstellen.
Notieren Sie sich den Namen und die Region des Buckets für später.
Erstellen Sie einen Nutzer. Folgen Sie dazu der Anleitung unter IAM-Nutzer erstellen.
Wählen Sie den erstellten Nutzer aus.
Wählen Sie den Tab Sicherheitsanmeldedaten aus.
Klicken Sie im Bereich Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
Wählen Sie als Anwendungsfall Drittanbieterdienst aus.
Klicken Sie auf Weiter.
Optional: Fügen Sie ein Beschreibungs-Tag hinzu.
Klicken Sie auf Zugriffsschlüssel erstellen.
Klicken Sie auf CSV-Datei herunterladen. Speichern Sie den Zugriffsschlüssel und den geheimen Zugriffsschlüssel für später.
Klicken Sie auf Fertig.
Wählen Sie den Tab Berechtigungen aus.
Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
Wählen Sie Berechtigungen hinzufügen aus.
Wählen Sie Richtlinien direkt anhängen aus.
Suchen Sie nach der Richtlinie AmazonS3FullAccess.
Wählen Sie die Richtlinie aus.
Klicken Sie auf Weiter.
Klicken Sie auf Berechtigungen hinzufügen.

Amazon AppFlow konfigurieren

So erstellen Sie einen Amazon AppFlow-Workflow:
- Ablaufname: Geben Sie einen Ablaufnamen ein und klicken Sie auf Weiter.
- Datenquelle: Wählen Sie Salesforce als Datenquelle aus.
- Erstellen Sie eine neue Verbindung.
- Das Salesforce-Anmeldefenster wird angezeigt. Melden Sie sich mit Ihren Salesforce-Anmeldedaten an.
- Wählen Sie den Objektnamen aus (die Daten, die Sie von Salesforce in den S3-Bucket übertragen möchten).
- Wählen Sie Amazon S3 als Datenziel aus.
- Wählen Sie als Ablauftrigger Planen aus.
- Unter Quellfelder auswählen können Sie entweder alle Felder direkt zuordnen oder angeben, welche Felder zugeordnet werden sollen.
Konfiguration prüfen:
- Wählen Sie in Amazon AppFlow den von Ihnen erstellten Ablauf aus und klicken Sie auf Ablauf ausführen, um Daten aus Salesforce abzurufen.
- Die Protokolle sollten jetzt in Ihrem S3-Bucket sein.

Feed in Google SecOps für die Aufnahme von Salesforce-Logs konfigurieren

Gehen Sie zu SIEM-Einstellungen > Feeds.
Klicken Sie auf Neu hinzufügen.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Salesforce-Protokolle.
Wählen Sie als Quelltyp Amazon S3 aus.
Wählen Sie Salesforce als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Region: die Region, in der sich der Amazon S3-Bucket befindet.
- S3-URI: der Bucket-URI. s3:/BUCKET_NAME Ersetzen Sie Folgendes:
  - BUCKET_NAME: der Name des Buckets.
- URI ist: Wählen Sie den URI-TYP gemäß der S3-Streamkonfiguration aus: Single file | Directory | Directory which includes subdirectories.
- Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.
Hinweis: Wenn Sie die Option Delete transferred files oder Delete transferred files and empty directories auswählen, müssen Sie dem Dienstkonto die entsprechenden Berechtigungen erteilen.
- Access Key ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
- Secret Access Key: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
- Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`Account.Name`	`target.resource.name`	Der Wert von `Account.Name` aus dem Rohprotokoll.
`AccountId`	`target.resource.id`	Der Wert von `AccountId` aus dem Rohprotokoll.
`Action`	`security_result.description`	Der Wert von `Action` aus dem Rohprotokoll.
`AdditionalInfo`	-	Nicht dem IDM-Objekt zugeordnet.
`ApiType`	`target.application`	Der Wert von `ApiType` aus dem Rohprotokoll.
`ApiVersion`	-	Nicht dem IDM-Objekt zugeordnet.
`Application`	`principal.application`	Der Wert von `Application` aus dem Rohprotokoll oder „Browser“ für LoginAsEvent oder „Integration JWT Token“ für LoginEvent oder „SfdcSiqActivityPlatform“ für LoginHistory mit dem Objekttyp „LoginHistory“ oder „–“ für ApiEvent oder „Browser“ für LoginAsEventStream.
`attributes.url`	`target.url`	Der Wert von `attributes.url` aus dem Rohprotokoll oder bestimmte URLs für verschiedene Ereignistypen aus dem Rohprotokoll.
`attributes.type`	`metadata.product_event_type`	Der Wert von `attributes.type` aus dem Rohprotokoll.
`AuthSessionId`	`network.session_id`	Der Wert von `AuthSessionId` aus dem Rohprotokoll.
`Browser`	`principal.resource.name`	Der Wert von `Browser` aus dem Rohprotokoll oder „Unbekannt“, wenn `Browser` im Rohprotokoll nicht verfügbar ist und `Application` „Insights“ ist, oder „Java (Salesforce.com)“ für „LoginHistory“ mit `ApiType` als „SOAP-Partner“, oder „Unbekannt“ für „LoginHistory“ mit `Application` als „SfdcSiqActivityPlatform“ oder aus „data.properties.Browser.str“ für „LoginAsEventStream“.
`Case.Subject`	`target.resource.name`	Der Wert von `Case.Subject` aus dem Rohprotokoll.
`CaseId`	`target.resource.id`	Der Wert von `CaseId` aus dem Rohprotokoll.
`cat`	`metadata.product_event_type`	Der Wert von `cat` aus dem Rohprotokoll.
`City`	`principal.location.city`	Der Wert von `City` aus dem Rohprotokoll oder von `LoginGeo.City` für „LoginHistory“.
`Client`	`principal.labels`	Der Wert von `Client` aus dem Rohprotokoll, als Label formatiert.
`CLIENT_IP`	`principal.ip`, `principal.asset.ip`	Der Wert von `CLIENT_IP` aus dem Rohprotokoll.
`ClientVersion`	-	Nicht dem IDM-Objekt zugeordnet.
`CipherSuite`	`network.tls.cipher`	Der Wert von `CipherSuite` aus dem Rohprotokoll.
`ColumnHeaders`	`principal.labels`	Der Wert von `ColumnHeaders` aus dem Rohprotokoll, als Label formatiert.
`ConnectedAppId`	`principal.labels`	Der Wert von `ConnectedAppId` aus dem Rohprotokoll, als Label formatiert.
`Contact.Name`	`target.resource.name`	Der Wert von `Contact.Name` aus dem Rohprotokoll.
`ContactId`	`target.resource.id`	Der Wert von `ContactId` aus dem Rohprotokoll.
`Country`	`principal.location.country_or_region`	Der Wert von `Country` aus dem Rohprotokoll oder `LoginGeo.Country` für „LoginHistory“.
`CreatedByContext`	`principal.user.userid`	Der Wert von `CreatedByContext` aus dem Rohprotokoll.
`CreatedById`	`principal.resource.attribute.labels`	Der Wert von `CreatedById` aus dem Rohprotokoll, als Label formatiert.
`CreatedDate`	`metadata.collected_timestamp`	Der Wert von `CreatedDate` aus dem Rohprotokoll oder der aktuelle Zeitstempel, falls nicht verfügbar.
`CPU_TIME`	`target.resource.attribute.labels`	Der Wert von `CPU_TIME` aus dem Rohprotokoll, als Label formatiert.
`data`	-	Enthält verschiedene Felder, die einzeln extrahiert und zugeordnet werden.
`DATASET_IDS`	`target.resource.name`	Der Wert von `DATASET_IDS` aus dem Rohprotokoll.
`DelegatedOrganizationId`	`target.administrative_domain`	Der Wert von `DelegatedOrganizationId` aus dem Rohprotokoll.
`DelegatedUsername`	`observer.user.userid`	Der Wert von `DelegatedUsername` aus dem Rohprotokoll.
`Description`	`metadata.description`	Der Wert von `Description` aus dem Rohprotokoll.
`DevicePlatform`	`principal.resource.type`	Der Wert von `DevicePlatform` aus dem Rohprotokoll, der analysiert wurde, um den Ressourcentyp zu extrahieren.
`Display`	`metadata.description`	Der Wert von `Display` aus dem Rohprotokoll.
`DOWNLOAD_FORMAT`	`target.resource.attribute.labels`	Der Wert von `DOWNLOAD_FORMAT` aus dem Rohprotokoll, als Label formatiert.
`Duration`	`target.resource.attribute.labels`	Der Wert von `Duration` aus dem Rohprotokoll, als Label formatiert.
`ENTITY_NAME`	`target.resource.attribute.labels`	Der Wert von `ENTITY_NAME` aus dem Rohprotokoll, als Label formatiert.
`ErrorCode`	`security_result.action`	Der Wert von `ErrorCode` aus dem Rohprotokoll, der in „ZULASSEN“ oder „BLOCKIEREN“ umgewandelt wurde.
`EventDate`	`timestamp`	Der Wert von `EventDate` aus dem Rohprotokoll oder `data.properties.TIMESTAMP_DERIVED.str`, falls verfügbar, oder `data.properties.TIMESTAMP_DERIVED_FIRST.str`, falls verfügbar, oder `@timestamp`, falls verfügbar, oder `created_date`, falls verfügbar, oder `timestamp`, falls verfügbar, oder `LoginTime` für „LoginHistory“.
`EventIdentifier`	`metadata.product_log_id`	Der Wert von `EventIdentifier` aus dem Rohprotokoll.
`EventType`	`metadata.product_event_type`	Der Wert von `EventType` aus dem Rohprotokoll.
`Id`	`principal.user.userid`	Der Wert von `Id` aus dem Rohprotokoll oder `metadata.product_log_id` für SetupAuditTrail und andere Ereignisse.
`IdentityUsed`	`principal.user.email_addresses`	Der Wert von `IdentityUsed` aus dem Rohprotokoll.
`Lead.Name`	`target.resource.name`	Der Wert von `Lead.Name` aus dem Rohprotokoll.
`LeadId`	`target.resource.id`	Der Wert von `LeadId` aus dem Rohprotokoll.
`LoginAsCategory`	-	Nicht dem IDM-Objekt zugeordnet.
`LoginGeo.Country`	`principal.location.country_or_region`	Der Wert von `LoginGeo.Country` aus dem Rohprotokoll.
`LoginHistoryId`	-	Nicht dem IDM-Objekt zugeordnet.
`LoginKey`	`principal.user.userid`, `network.session_id`	Der Wert von `LoginKey` aus dem Rohprotokoll oder `CreatedByContext` für SetupAuditTrail.
`LoginTime`	`timestamp`	Der Wert von `LoginTime` aus dem Rohprotokoll.
`LoginType`	`security_result.description`	Der Wert von `LoginType` aus dem Rohprotokoll oder „Andere Apex API“ für „LoginHistory“ mit `ApiType` als „SOAP-Partner“ oder „Remote Access 2.0“ für „LoginHistory“ mit `Application` als „SfdcSiqActivityPlatform“.
`LoginUrl`	`target.url`, `principal.url`	Der Wert von `LoginUrl` aus dem Rohprotokoll.
`LogFile`	`principal.resource.attribute.labels`	Der Wert von `LogFile` aus dem Rohprotokoll, als Label formatiert.
`LogFileContentType`	`principal.resource.attribute.labels`	Der Wert von `LogFileContentType` aus dem Rohprotokoll, als Label formatiert.
`LogFileLength`	`principal.resource.attribute.labels`	Der Wert von `LogFileLength` aus dem Rohprotokoll, als Label formatiert.
`Message`	-	Nicht dem IDM-Objekt zugeordnet.
`METHOD`	`network.http.method`	Der Wert von `METHOD` aus dem Rohprotokoll.
`Name`	`target.application`	Der Wert von `Name` aus dem Rohprotokoll.
`NewValue`	-	Wird in Verbindung mit `OldValue` verwendet, um `security_result.summary` zu generieren.
`NUMBER_FIELDS`	`target.resource.attribute.labels`	Der Wert von `NUMBER_FIELDS` aus dem Rohprotokoll, als Label formatiert.
`OldValue`	-	Wird in Verbindung mit `NewValue` verwendet, um `security_result.summary` zu generieren.
`Operation`	`security_result.description`, `target.resource.attribute.labels`	Der Wert von `Operation` aus dem Rohprotokoll oder `Display` für SetupAuditTrail.
`OperationStatus`	`security_result.action`	Der Wert von `OperationStatus` aus dem Rohprotokoll, der in „ZULASSEN“ oder „BLOCKIEREN“ umgewandelt wurde.
`ORGANIZATION_ID`	`target.administrative_domain`	Der Wert von `ORGANIZATION_ID` aus dem Rohprotokoll.
`OsName`	`principal.platform`	Der Wert von `OsName` aus dem Rohprotokoll.
`OsVersion`	`principal.platform_version`	Der Wert von `OsVersion` aus dem Rohprotokoll.
`Platform`	`principal.platform`	Der Wert von `Platform` aus dem Rohprotokoll oder aus `data.properties.OsName.str` für LightningUriEventStream oder aus `data.properties.OsName.str` für LoginEventStream.
`QueriedEntities`	`target.resource.name`, `principal.labels`	Der Wert von `QueriedEntities` aus dem Rohprotokoll oder `component_name` für UriEvent und ApiEvent.
`Query`	`target.process.command_line`, `principal.labels`	Der Wert von `Query` aus dem Rohprotokoll.
`RecordId`	`target.resource.id`	Der Wert von `RecordId` aus dem Rohprotokoll.
`Records`	`principal.labels`	Der Wert von `Records` aus dem Rohprotokoll, als Label formatiert.
`REQUEST_ID`	`metadata.product_log_id`, `target.resource.product_object_id`	Der Wert von `REQUEST_ID` aus dem Rohprotokoll.
`REQUEST_SIZE`	`network.sent_bytes`	Der Wert von `REQUEST_SIZE` aus dem Rohprotokoll.
`REQUEST_STATUS`	`security_result.summary`	Der Wert von `REQUEST_STATUS` aus dem Rohprotokoll.
`RESPONSE_SIZE`	`network.received_bytes`	Der Wert von `RESPONSE_SIZE` aus dem Rohprotokoll.
`RowsProcessed`	`target.resource.attribute.labels`	Der Wert von `RowsProcessed` aus dem Rohprotokoll, als Label formatiert.
`RUN_TIME`	`target.resource.attribute.labels`	Der Wert von `RUN_TIME` aus dem Rohprotokoll, als Label formatiert.
`SamlEntityUrl`	-	Nicht dem IDM-Objekt zugeordnet.
`SdkAppType`	-	Nicht dem IDM-Objekt zugeordnet.
`SdkAppVersion`	-	Nicht dem IDM-Objekt zugeordnet.
`SdkVersion`	-	Nicht dem IDM-Objekt zugeordnet.
`Section`	`security_result.summary`	Der Wert von `Section` aus dem Rohprotokoll.
`SessionKey`	`network.session_id`	Der Wert von `SessionKey` aus dem Rohprotokoll.
`SessionLevel`	`target.resource.attribute.labels`	Der Wert von `SessionLevel` aus dem Rohprotokoll, als Label formatiert.
`SourceIp`	`principal.ip`, `principal.asset.ip`	Der Wert von `SourceIp` aus dem Rohprotokoll.
`src`	`principal.ip`, `principal.asset.ip`	Der Wert von `src` aus dem Rohprotokoll.
`SsoType`	`target.resource.attribute.labels`	Der Wert von `SsoType` aus dem Rohprotokoll, als Label formatiert.
`STATUS_CODE`	`network.http.response_code`	Der Wert von `STATUS_CODE` aus dem Rohprotokoll.
`Status`	`security_result.action`, `security_result.action_details`	Der Wert von `Status` aus dem Rohprotokoll, der in „ALLOW“ oder „BLOCK“ umgewandelt oder als Aktionsdetails für „LoginEventStream“ verwendet wird.
`Subject`	`target.resource.name`	Der Wert von `Subject` aus dem Rohprotokoll.
`TargetUrl`	-	Nicht dem IDM-Objekt zugeordnet.
`TIMESTAMP`	`metadata.collected_timestamp`	Der Wert von `TIMESTAMP` aus dem Rohprotokoll.
`TIMESTAMP_DERIVED`	`timestamp`	Der Wert von `TIMESTAMP_DERIVED` aus dem Rohprotokoll.
`TlsProtocol`	`network.tls.version_protocol`	Der Wert von `TlsProtocol` aus dem Rohprotokoll.
`URI`	`target.url`	Der Wert von `URI` aus dem Rohprotokoll.
`USER_AGENT`	`network.http.user_agent`	Der Wert von `USER_AGENT` aus dem Rohprotokoll.
`USER_ID`	`principal.user.userid`	Der Wert von `USER_ID` aus dem Rohprotokoll.
`USER_ID_DERIVED`	`principal.user.product_object_id`, `target.resource.attribute.labels`	Der Wert von `USER_ID_DERIVED` aus dem Rohprotokoll.
`UserId`	`principal.user.userid`	Der Wert von `UserId` aus dem Rohprotokoll.
`USER_TYPE`	`target.resource.attribute.labels`	Der Wert von `USER_TYPE` aus dem Rohprotokoll, als Label formatiert.
`Username`	`principal.user.userid`, `principal.user.email_addresses`, `target.user.email_addresses`	Der Wert von `Username` aus dem Rohprotokoll oder `src_email` für verschiedene Ereignisse oder `IdentityUsed` für IdentityProviderEventStore oder `data.properties.Email.str` für „Suchen“ und „Suchen mit Benachrichtigung“ oder `data.properties.Username.str` für „LoginAsEventStream“ und „LoginEventStream“.
`UserType`	`target.resource.attribute.labels`	Der Wert von `UserType` aus dem Rohprotokoll, als Label formatiert.
`usrName`	`principal.user.userid`, `principal.user.email_addresses`, `target.user.email_addresses`	Der Wert von `usrName` aus dem Rohprotokoll.
`VerificationMethod`	`target.resource.attribute.labels`	Der Wert von `VerificationMethod` aus dem Rohprotokoll, als Label formatiert.
Parserlogik	`metadata.event_type`	Abgeleitet aus den Feldern `event_id` und `operation` oder festgelegt auf „USER_LOGIN“ für LoginEventStream, „USER_LOGOUT“ für Logout und LogoutEvent, „USER_RESOURCE_UPDATE_CONTENT“ für verschiedene Ereignisse, „USER_RESOURCE_UPDATE_PERMISSIONS“ für PlatformEncryption, „RESOURCE_READ“ für QueuedExecution, ApexExecution, LightningInteraction, LightningPerformance, LightningPageView, URI, RestApi, API, AuraRequest, ApexCallout, OneCommerceUsage, Sites, MetadataApiOperation, OneCommerceUsage, VisualforceRequest, Dashboard, Search, ListViewEvent, „RESOURCE_CREATION“ für UriEvent und TimeBasedWorkflow mit `Operation` als „Create“ oder „INSERT“, „RESOURCE_WRITTEN“ für UriEvent und LightningUriEvent mit `Operation` als „Update“, „RESOURCE_DELETION“ für UriEvent mit `Operation` als „Delete“ oder „ROLLBACK“, „USER_UNCATEGORIZED“ für SetupAuditTrail und AuditTrail, „USER_CHANGE_PASSWORD“ für SetupAuditTrail mit `operation` als „namedCredentialEncryptedFieldChange“, „GENERIC_EVENT“ für ApiEventStream und LightningUriEventStream oder basierend auf Netzwerk- und Hauptnutzerpräsenz.
Parserlogik	`metadata.ingestion_labels`	Labels, die die Quelle des Ereignisses angeben, entweder „Ereignisprotokolldatei“, „Echtzeit-Ereignisüberwachung“ oder „SetupAuditTrail“.
Parserlogik	`metadata.log_type`	Muss immer auf „SALESFORCE“ festgelegt sein.
Parserlogik	`metadata.product_name`	Muss immer auf „SALESFORCE“ festgelegt sein.
Parserlogik	`metadata.vendor_name`	Muss immer auf „SALESFORCE“ festgelegt sein.
Parserlogik	`metadata.url_back_to_product`	Er wird aus verschiedenen Feldern wie `LoginUrl`, `attributes.url`, `data.properties.PageUrl.str` und `data.properties.LoginUrl.str` erstellt.
Parserlogik	`network.application_protocol`	Legen Sie „HTTPS“ fest, wenn das Feld `uri` mit „http“ beginnt.
Parserlogik	`network.http.referral_url`	Wird aus dem Feld `user_agent` extrahiert, wenn es „Referer=" enthält.
Parserlogik	`network.http.response_code`	Abgeleitet von `request_status` für verschiedene Ereignisse.
Parserlogik	`network.http.user_agent`	Der Wert von `user_agent` aus dem Rohprotokoll oder von `data.properties.UserAgent.str` für ApiEventStream und LoginEventStream oder aus `Sites`-Ereignissen oder „User-Agent“ aus `Sites`-Ereignissen.
Parserlogik	`network.session_id`	Der Wert von `session_key` oder `SESSION_KEY` aus dem Rohprotokoll oder aus anderen Feldern wie `LoginKey` oder `AuthSessionId`.
Parserlogik	`network.tls.version`	Der Wert von `tls_protocol` aus dem Rohprotokoll oder von `data.properties.TlsProtocol.str` für LoginEventStream.
Parserlogik	`principal.application`	Der Wert von `application` aus dem Rohprotokoll oder „Salesforce for Outlook“ für „Anmeldung: Erfolg“-Ereignisse oder „Statistiken“ für „Anmeldung: Erfolg“-Ereignisse ohne Anwendung oder aus `device_platform` für Lightning-Ereignisse.
Parserlogik	`principal.asset.hostname`	Der Wert von `client_ip`, wenn es sich um einen Hostnamen handelt.
Parserlogik	`principal.asset.ip`	Der Wert `client_ip`, `src_ip`, `SourceIp` oder `CLIENT_IP`, wenn es sich um eine IP-Adresse handelt.
Parserlogik	`principal.hostname`	Der Wert von `client_ip`, wenn es sich um einen Hostnamen handelt.
Parserlogik	`principal.ip`	Der Wert `client_ip`, `src_ip`, `SourceIp` oder `CLIENT_IP`, wenn es sich um eine IP-Adresse handelt.
Parserlogik	`principal.labels`	Labels, die aus verschiedenen Feldern wie `FederationIdentifier`, `ApiType`, `OrgId` und `channel` erstellt wurden.
Parserlogik	`principal.location.city`	Der Wert `geoip_src.city_name`, `City` oder `LoginGeo.City` aus dem Rohprotokoll.
Parserlogik	`principal.location.country_or_region`	Der Wert `geoip_src.country_name`, `Country`, `LoginGeo.Country` oder `client_geo` aus dem Rohprotokoll.
Parserlogik	`principal.location.region_latitude`	Der Wert von `data.properties.LoginLatitude.number` aus dem Rohprotokoll.
Parserlogik	`principal.location.region_longitude`	Der Wert von `data.properties.LoginLongitude.number` aus dem Rohprotokoll.
Parserlogik	`principal.location.state`	Der Wert von `geoip_src.region_name` aus dem Rohprotokoll.
Parserlogik	`principal.platform`	Der Wert von `Platform`, `OsName` oder `os_name` aus dem Rohprotokoll oder „WINDOWS“ für LoginEventStream, wenn `Platform` „Windows“ enthält.
Parserlogik	`principal.platform_version`	Der Wert von `OsVersion` oder `os_version` aus dem Rohprotokoll oder aus `Platform` für LoginEventStream, wobei `Platform` „Windows“ enthält.
Parserlogik	`principal.resource.attribute.labels`	Labels, die aus verschiedenen Feldern wie `CreatedById`, `ApiVersion`, `LogFile`, `LogFileContentType` und `LogFileLength` erstellt wurden.
Parserlogik	`principal.resource.name`	Der Wert von `Browser` oder `browser_name` aus dem Rohprotokoll oder „Java (Salesforce.com)“ für „LoginHistory“ mit `ApiType` als „SOAP-Partner“.
Parserlogik	`principal.resource.type`	Für Lightning-Ereignisse aus `device_platform` oder „Browser“ für LoginAsEvent und LoginAsEventStream extrahiert.
Parserlogik	`principal.url`	Der Wert von `LoginUrl` aus dem Rohprotokoll.
Parserlogik	`principal.user.email_addresses`	Der Wert `usrName`, `Username`, `src_email`, `IdentityUsed`, `data.properties.Username.str` oder `data.properties.Email.str` aus dem Rohprotokoll.
Parserlogik	`principal.user.product_object_id`	Der Wert von `attrs.USER_ID_DERIVED` oder `data.properties.USER_ID_DERIVED.str` aus dem Rohprotokoll.
Parserlogik	`principal.user.userid`	Der Wert `usrName`, `Username`, `user_id`, `UserId`, `USER_ID`, `Id`, `LoginKey`, `CreatedByContext`, `data.properties.Username.str`, `data.properties.USER_ID.str` oder `data.properties.LoginKey.str` aus dem Rohprotokoll.
Parserlogik	`security_result.action`	Abgeleitet von `Status`, `OperationStatus`, `ErrorCode`, `action` oder `operation_status` aus dem Rohprotokoll und in „ZULASSEN“ oder „BLOCKIEREN“ umgewandelt.
Parserlogik	`security_result.action_details`	Der Wert von `Status` aus dem Rohprotokoll für „LoginEventStream“.
Parserlogik	`security_result.description`	Der Wert `LoginType`, `logintype`, `Operation`, `Action` oder `Display` aus dem Rohprotokoll.
Parserlogik	`security_result.rule_name`	Der Wert von `Policy` oder `rule_name` aus dem Rohprotokoll.
Parserlogik	`security_result.summary`	Erstellt aus `NewValue` und `OldValue` oder `REQUEST_STATUS` oder `Section` oder `forecastcategory` aus dem Rohprotokoll.
Parserlogik	`target.administrative_domain`	Der Wert `ORGANIZATION_ID`, `DelegatedOrganizationId`, `organization_id` oder `data.properties.OrgName.str` aus dem Rohprotokoll.
Parserlogik	`target.application`	Der Wert `Application`, `app_name`, `ApiType`, `Name` oder `data.properties.Application.str` aus dem Rohprotokoll.
Parserlogik	`target.asset.hostname`	Der aus dem Feld `uri` extrahierte Wert `target_hostname`.
Parserlogik	`target.asset.ip`	Der Wert von `data.properties.CLIENT_IP.str` aus dem Rohprotokoll.
Parserlogik	`target.asset_id`	Erstellt aus `device_id` oder `REQUEST_ID`
Parserlogik	`target.file.mime_type`	Der Wert von `file_type` aus dem Rohprotokoll.
Parserlogik	`target.file.size`	Der Wert von `size_bytes` aus dem Rohprotokoll.
Parserlogik	`target.hostname`	Der aus dem Feld `uri` extrahierte Wert `target_hostname`.
Parserlogik	`target.process.command_line`	Der Wert `query_exec`, `Query` oder `data.properties.Query.str` aus dem Rohprotokoll.
Parserlogik	`target.process.pid`	Der Wert von `job_id` aus dem Rohprotokoll.
Parserlogik	`target.resource.attribute.labels`	Labels, die aus verschiedenen Feldern wie `CPU_TIME`, `RUN_TIME`, `USER_TYPE`, `DB_TOTAL_TIME`, `MEDIA_TYPE`, `ROWS_PROCESSED`, `NUMBER_FIELDS`, `DB_BLOCKS`, `DB_CPU_TIME`, `ENTITY_NAME`, `EXCEPTION_MESSAGE`, `USER_ID_DERIVED`, `DOWNLOAD_FORMAT`, `USER_TYPE`, `CPU_TIME`, `RUN_TIME`, `WAVE_SESSION_ID`, `SessionLevel`, `verification_method`, `cpu_time`, `run_time`, `db_total_time`, `db_cpu_time`, `exec_time`, `callout_time`, `number_soql_queries`, `duration`, `user_type`, `entry_point`, `operation`, `session_level`, `rows_processed`, `sso_type`, `dashboard_type`, `Operation`, `SessionLevel` erstellt wurden.
Parserlogik	`target.resource.id`	Der Wert `REQUEST_ID`, `RecordId`, `caseid`, `leadid`, `contactid`, `opportunityid` oder `accountid` aus dem Rohprotokoll.
Parserlogik	`target.resource.name`	Der Wert `QueriedEntities`, `resource_name`, `component_name`, `DATASET_IDS`, `field`, `StageName` oder `Subject` aus dem Rohprotokoll.
Parserlogik	`target.resource.product_object_id`	Der Wert von `REQUEST_ID` aus dem Rohprotokoll.
Parserlogik	`target.resource.resource_type`	Legen Sie für ApexCallout und PlatformEncryption „ACCESS_POLICY“, für ApexTrigger „DATABASE“, für ContentTransfer „FILE“ und für ApiEvent „TABLE“ fest.
Parserlogik	`target.resource.type`	Legen Sie „BATCH“ für QueuedExecution und ApexExecution, „FILE“ für ContentTransfer, „DATABASE_TRIGGER“ für ApexTrigger oder „Case“, „Lead“, „Contact“, „Opportunity“ oder „Account“ fest, je nachdem, ob entsprechende ID-Felder vorhanden sind.
Parserlogik	`target.url`	Der Wert `LoginUrl`, `URI`, `attributes.url`, `login_url` oder `uri` aus dem Rohprotokoll.
Parserlogik	`target.user.email_addresses`	Der Wert `Username`, `attrs.usrName` oder `email_address` aus dem Rohprotokoll.
Parserlogik	`target.user.user_display_name`	Der Wert `target_user_display_name`, `user_name` oder `username` aus dem Rohprotokoll.
Parserlogik	`target.user.userid`	Der Wert `target_user_name`, `data.properties.UserId.str` oder `data.properties.CreatedById.str` aus dem Rohprotokoll.
Parserlogik	`extensions.auth.auth_details`	Legen Sie „AKTIV“ fest, wenn `Status` nicht „Erfolg“ lautet. Andernfalls „UNKNOWN_AUTHENTICATION_STATUS“.
Parserlogik	`extensions.auth.mechanism`	Legen Sie „REMOTE“ für „Anmeldung: Erfolg“ und „Anmeldung“ fest, wenn `logintype` „Remote“ enthält, oder „USERNAME_PASSWORD“ für „LoginEventStream“, oder „MECHANISM_OTHER“ für Ereignisse, bei denen `login_url` vorhanden ist, oder „AUTHTYPE_UNSPECIFIED“ für „Anmeldung: Erfolg“ und „Abmeldung“.
Parserlogik	`extensions.auth.type`	Legen Sie „SSO“ für „Login“, „Logout“, „LogoutEvent“, „LoginAs“, „IdentityProviderEventStore“, „LoginHistory“ und „LoginAsEvent“ mit „SAML Sfdc Initiated SSO“ als „LoginType“ fest oder „AUTHTYPE_UNSPECIFIED“ für „Login: Success“, „Logout“ und „LoginAsEvent“ mit „Application“ als „LoginType“.

Änderungen

2024-06-04

Unterstützung für neu aufgenommene Protokolle hinzugefügt.

2024-03-06

Die Zuordnung des Felds „Id“ wurde von „metadata.product_log_id“ zu „principal.user.userid“ geändert.
Die Zuordnung des Felds „CreatedById“ wurde von „principal.user.userid“ zu „principal.resource.attribute.labels“ geändert.
„IsDeleted“ wurde auf „principal.resource.attribute.labels“ zugeordnet.
„LogFileLength“ wurde auf „principal.resource.attribute.labels“ zugeordnet.
„LogFileContentType“ wurde auf „principal.resource.attribute.labels“ zugeordnet.
„ApiVersion“ wurde auf „principal.resource.attribute.labels“ zugeordnet.
„LogFile“ wurde auf „principal.resource.attribute.labels“ zugeordnet.

2023-02-24

Verbesserungen:
„security_result.action“ wird auf „ALLOW“ statt „BLOCK“ zugeordnet, wenn die Aktion „LOGIN_NO_ERROR“ ist.
Für „Log-in“-Ereignisse :
„action“ wurde auf „security_result.action“ zugeordnet.
„target_user_name“ wurde in „target.user.userid“ umgewandelt.
„tls_protocol“ wurde in „network.tls.version_protocol“ geändert.
„cipher_suite“ wurde auf „network.tls.cipher“ zugeordnet.
„on_error“-Prüfung für „OsVersion“ und „date“-Block hinzugefügt.

2022-12-13

Verbesserungen:
„LoginType“ wurde auf „security_result.description“ zugeordnet.
„LoginUrl“ wurde mit „principal.url“ verknüpft.
Leere Prüfung für „ApiType“ und „LoginGeo.City“ hinzugefügt.

2022-09-02

Verbesserungen:
Die benutzerdefinierten Parser wurden in den Standardparser migriert.

2022-07-04

Verbesserungen:
Der Parser wurde so erweitert, dass er Logs mit dem Ereignistyp „LoginHistory“ verarbeiten kann.
Bedingung zum Parsen verschiedener Zeitstempelformate hinzugefügt
Bedingung für den Ereignistyp „USER_UNCATEGORIZED“ hinzugefügt, bei der „user_id“, „UserId“ oder „target_user_name“ nicht null ist.
Validierung für das Parsen von „src_ip“ hinzugefügt.

2022-04-18

Die Zuordnung für DOWNLOAD_FORMAT wurde von „metadata.ingestion_labels“ zu „target.resource.attribute.labels“ geändert.

2022-03-30

Verbesserung: Der Ereignistyp für „LoginEventStream“ wurde in „USER_LOGIN“ geändert.
Korrigierte Zuordnung für die Felder DOWNLOAD_FORMAT und ConnectedAppId.
Es wurden Zuordnungen für bestimmte Felder hinzugefügt, wenn das Protokoll vom Typ „LoginEventStream“, „WaveDownload“ oder „ApiEventStream“ ist.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten