Salesforce-Protokolle erfassen

Unterstützt in:

Übersicht

Dieser Parser verarbeitet Salesforce-Protokolle im LEEF-, CSV- und JSON-Format. Es extrahiert Felder, führt formatspezifische Verarbeitungen durch (z. B. LEEF-Schlüssel/Wert-Paare, CSV-Spalten und JSON-Strukturen), ordnet sie dem UDM zu und ergänzt die Daten um Metadaten und abgeleitete Felder. Der Parser verarbeitet auch verschiedene Salesforce-Ereignistypen. Dabei wird eine spezielle Logik für Anmeldungen, Abmeldungen und andere Aktionen angewendet, Ereignisse kategorisiert und die entsprechenden UDM-Ereignistypen festgelegt.

Hinweis

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen erhöhte Zugriffsrechte für AWS IAM, S3 und AppFlow.

Amazon S3-Bucket konfigurieren

  1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu dieser Anleitung: Bucket erstellen.
  2. Notieren Sie sich den Namen und die Region des Buckets für später.
  3. Erstellen Sie einen Nutzer. Folgen Sie dazu der Anleitung unter IAM-Nutzer erstellen.
  4. Wählen Sie den erstellten Nutzer aus.
  5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
  6. Klicken Sie im Bereich Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
  7. Wählen Sie als Anwendungsfall Drittanbieterdienst aus.
  8. Klicken Sie auf Weiter.
  9. Optional: Fügen Sie ein Beschreibungs-Tag hinzu.
  10. Klicken Sie auf Zugriffsschlüssel erstellen.
  11. Klicken Sie auf CSV-Datei herunterladen. Speichern Sie den Zugriffsschlüssel und den geheimen Zugriffsschlüssel für später.
  12. Klicken Sie auf Fertig.
  13. Wählen Sie den Tab Berechtigungen aus.
  14. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
  15. Wählen Sie Berechtigungen hinzufügen aus.
  16. Wählen Sie Richtlinien direkt anhängen aus.
  17. Suchen Sie nach der Richtlinie AmazonS3FullAccess.
  18. Wählen Sie die Richtlinie aus.
  19. Klicken Sie auf Weiter.
  20. Klicken Sie auf Berechtigungen hinzufügen.

Amazon AppFlow konfigurieren

  1. So erstellen Sie einen Amazon AppFlow-Workflow:
    • Ablaufname: Geben Sie einen Ablaufnamen ein und klicken Sie auf Weiter.
    • Datenquelle: Wählen Sie Salesforce als Datenquelle aus.
    • Erstellen Sie eine neue Verbindung.
    • Das Salesforce-Anmeldefenster wird angezeigt. Melden Sie sich mit Ihren Salesforce-Anmeldedaten an.
    • Wählen Sie den Objektnamen aus (die Daten, die Sie von Salesforce in den S3-Bucket übertragen möchten).
    • Wählen Sie Amazon S3 als Datenziel aus.
    • Wählen Sie als Ablauftrigger Planen aus.
    • Unter Quellfelder auswählen können Sie entweder alle Felder direkt zuordnen oder angeben, welche Felder zugeordnet werden sollen.
  2. Konfiguration prüfen:
    • Wählen Sie in Amazon AppFlow den von Ihnen erstellten Ablauf aus und klicken Sie auf Ablauf ausführen, um Daten aus Salesforce abzurufen.
    • Die Protokolle sollten jetzt in Ihrem S3-Bucket sein.

Feed in Google SecOps für die Aufnahme von Salesforce-Logs konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Salesforce-Protokolle.
  4. Wählen Sie als Quelltyp Amazon S3 aus.
  5. Wählen Sie Salesforce als Protokolltyp aus.
  6. Klicken Sie auf Weiter.
  7. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Region: die Region, in der sich der Amazon S3-Bucket befindet.
    • S3-URI: der Bucket-URI. s3:/BUCKET_NAME Ersetzen Sie Folgendes:
      • BUCKET_NAME: der Name des Buckets.
    • URI ist: Wählen Sie den URI-TYP gemäß der S3-Streamkonfiguration aus: Single file | Directory | Directory which includes subdirectories.
    • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.
    • Access Key ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
    • Secret Access Key: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
  8. Klicken Sie auf Weiter.

  9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Account.Name target.resource.name Der Wert von Account.Name aus dem Rohprotokoll.
AccountId target.resource.id Der Wert von AccountId aus dem Rohprotokoll.
Action security_result.description Der Wert von Action aus dem Rohprotokoll.
AdditionalInfo - Nicht dem IDM-Objekt zugeordnet.
ApiType target.application Der Wert von ApiType aus dem Rohprotokoll.
ApiVersion - Nicht dem IDM-Objekt zugeordnet.
Application principal.application Der Wert von Application aus dem Rohprotokoll oder „Browser“ für LoginAsEvent oder „Integration JWT Token“ für LoginEvent oder „SfdcSiqActivityPlatform“ für LoginHistory mit dem Objekttyp „LoginHistory“ oder „–“ für ApiEvent oder „Browser“ für LoginAsEventStream.
attributes.url target.url Der Wert von attributes.url aus dem Rohprotokoll oder bestimmte URLs für verschiedene Ereignistypen aus dem Rohprotokoll.
attributes.type metadata.product_event_type Der Wert von attributes.type aus dem Rohprotokoll.
AuthSessionId network.session_id Der Wert von AuthSessionId aus dem Rohprotokoll.
Browser principal.resource.name Der Wert von Browser aus dem Rohprotokoll oder „Unbekannt“, wenn Browser im Rohprotokoll nicht verfügbar ist und Application „Insights“ ist, oder „Java (Salesforce.com)“ für „LoginHistory“ mit ApiType als „SOAP-Partner“, oder „Unbekannt“ für „LoginHistory“ mit Application als „SfdcSiqActivityPlatform“ oder aus „data.properties.Browser.str“ für „LoginAsEventStream“.
Case.Subject target.resource.name Der Wert von Case.Subject aus dem Rohprotokoll.
CaseId target.resource.id Der Wert von CaseId aus dem Rohprotokoll.
cat metadata.product_event_type Der Wert von cat aus dem Rohprotokoll.
City principal.location.city Der Wert von City aus dem Rohprotokoll oder von LoginGeo.City für „LoginHistory“.
Client principal.labels Der Wert von Client aus dem Rohprotokoll, als Label formatiert.
CLIENT_IP principal.ip, principal.asset.ip Der Wert von CLIENT_IP aus dem Rohprotokoll.
ClientVersion - Nicht dem IDM-Objekt zugeordnet.
CipherSuite network.tls.cipher Der Wert von CipherSuite aus dem Rohprotokoll.
ColumnHeaders principal.labels Der Wert von ColumnHeaders aus dem Rohprotokoll, als Label formatiert.
ConnectedAppId principal.labels Der Wert von ConnectedAppId aus dem Rohprotokoll, als Label formatiert.
Contact.Name target.resource.name Der Wert von Contact.Name aus dem Rohprotokoll.
ContactId target.resource.id Der Wert von ContactId aus dem Rohprotokoll.
Country principal.location.country_or_region Der Wert von Country aus dem Rohprotokoll oder LoginGeo.Country für „LoginHistory“.
CreatedByContext principal.user.userid Der Wert von CreatedByContext aus dem Rohprotokoll.
CreatedById principal.resource.attribute.labels Der Wert von CreatedById aus dem Rohprotokoll, als Label formatiert.
CreatedDate metadata.collected_timestamp Der Wert von CreatedDate aus dem Rohprotokoll oder der aktuelle Zeitstempel, falls nicht verfügbar.
CPU_TIME target.resource.attribute.labels Der Wert von CPU_TIME aus dem Rohprotokoll, als Label formatiert.
data - Enthält verschiedene Felder, die einzeln extrahiert und zugeordnet werden.
DATASET_IDS target.resource.name Der Wert von DATASET_IDS aus dem Rohprotokoll.
DelegatedOrganizationId target.administrative_domain Der Wert von DelegatedOrganizationId aus dem Rohprotokoll.
DelegatedUsername observer.user.userid Der Wert von DelegatedUsername aus dem Rohprotokoll.
Description metadata.description Der Wert von Description aus dem Rohprotokoll.
DevicePlatform principal.resource.type Der Wert von DevicePlatform aus dem Rohprotokoll, der analysiert wurde, um den Ressourcentyp zu extrahieren.
Display metadata.description Der Wert von Display aus dem Rohprotokoll.
DOWNLOAD_FORMAT target.resource.attribute.labels Der Wert von DOWNLOAD_FORMAT aus dem Rohprotokoll, als Label formatiert.
Duration target.resource.attribute.labels Der Wert von Duration aus dem Rohprotokoll, als Label formatiert.
ENTITY_NAME target.resource.attribute.labels Der Wert von ENTITY_NAME aus dem Rohprotokoll, als Label formatiert.
ErrorCode security_result.action Der Wert von ErrorCode aus dem Rohprotokoll, der in „ZULASSEN“ oder „BLOCKIEREN“ umgewandelt wurde.
EventDate timestamp Der Wert von EventDate aus dem Rohprotokoll oder data.properties.TIMESTAMP_DERIVED.str, falls verfügbar, oder data.properties.TIMESTAMP_DERIVED_FIRST.str, falls verfügbar, oder @timestamp, falls verfügbar, oder created_date, falls verfügbar, oder timestamp, falls verfügbar, oder LoginTime für „LoginHistory“.
EventIdentifier metadata.product_log_id Der Wert von EventIdentifier aus dem Rohprotokoll.
EventType metadata.product_event_type Der Wert von EventType aus dem Rohprotokoll.
Id principal.user.userid Der Wert von Id aus dem Rohprotokoll oder metadata.product_log_id für SetupAuditTrail und andere Ereignisse.
IdentityUsed principal.user.email_addresses Der Wert von IdentityUsed aus dem Rohprotokoll.
Lead.Name target.resource.name Der Wert von Lead.Name aus dem Rohprotokoll.
LeadId target.resource.id Der Wert von LeadId aus dem Rohprotokoll.
LoginAsCategory - Nicht dem IDM-Objekt zugeordnet.
LoginGeo.Country principal.location.country_or_region Der Wert von LoginGeo.Country aus dem Rohprotokoll.
LoginHistoryId - Nicht dem IDM-Objekt zugeordnet.
LoginKey principal.user.userid, network.session_id Der Wert von LoginKey aus dem Rohprotokoll oder CreatedByContext für SetupAuditTrail.
LoginTime timestamp Der Wert von LoginTime aus dem Rohprotokoll.
LoginType security_result.description Der Wert von LoginType aus dem Rohprotokoll oder „Andere Apex API“ für „LoginHistory“ mit ApiType als „SOAP-Partner“ oder „Remote Access 2.0“ für „LoginHistory“ mit Application als „SfdcSiqActivityPlatform“.
LoginUrl target.url, principal.url Der Wert von LoginUrl aus dem Rohprotokoll.
LogFile principal.resource.attribute.labels Der Wert von LogFile aus dem Rohprotokoll, als Label formatiert.
LogFileContentType principal.resource.attribute.labels Der Wert von LogFileContentType aus dem Rohprotokoll, als Label formatiert.
LogFileLength principal.resource.attribute.labels Der Wert von LogFileLength aus dem Rohprotokoll, als Label formatiert.
Message - Nicht dem IDM-Objekt zugeordnet.
METHOD network.http.method Der Wert von METHOD aus dem Rohprotokoll.
Name target.application Der Wert von Name aus dem Rohprotokoll.
NewValue - Wird in Verbindung mit OldValue verwendet, um security_result.summary zu generieren.
NUMBER_FIELDS target.resource.attribute.labels Der Wert von NUMBER_FIELDS aus dem Rohprotokoll, als Label formatiert.
OldValue - Wird in Verbindung mit NewValue verwendet, um security_result.summary zu generieren.
Operation security_result.description, target.resource.attribute.labels Der Wert von Operation aus dem Rohprotokoll oder Display für SetupAuditTrail.
OperationStatus security_result.action Der Wert von OperationStatus aus dem Rohprotokoll, der in „ZULASSEN“ oder „BLOCKIEREN“ umgewandelt wurde.
ORGANIZATION_ID target.administrative_domain Der Wert von ORGANIZATION_ID aus dem Rohprotokoll.
OsName principal.platform Der Wert von OsName aus dem Rohprotokoll.
OsVersion principal.platform_version Der Wert von OsVersion aus dem Rohprotokoll.
Platform principal.platform Der Wert von Platform aus dem Rohprotokoll oder aus data.properties.OsName.str für LightningUriEventStream oder aus data.properties.OsName.str für LoginEventStream.
QueriedEntities target.resource.name, principal.labels Der Wert von QueriedEntities aus dem Rohprotokoll oder component_name für UriEvent und ApiEvent.
Query target.process.command_line, principal.labels Der Wert von Query aus dem Rohprotokoll.
RecordId target.resource.id Der Wert von RecordId aus dem Rohprotokoll.
Records principal.labels Der Wert von Records aus dem Rohprotokoll, als Label formatiert.
REQUEST_ID metadata.product_log_id, target.resource.product_object_id Der Wert von REQUEST_ID aus dem Rohprotokoll.
REQUEST_SIZE network.sent_bytes Der Wert von REQUEST_SIZE aus dem Rohprotokoll.
REQUEST_STATUS security_result.summary Der Wert von REQUEST_STATUS aus dem Rohprotokoll.
RESPONSE_SIZE network.received_bytes Der Wert von RESPONSE_SIZE aus dem Rohprotokoll.
RowsProcessed target.resource.attribute.labels Der Wert von RowsProcessed aus dem Rohprotokoll, als Label formatiert.
RUN_TIME target.resource.attribute.labels Der Wert von RUN_TIME aus dem Rohprotokoll, als Label formatiert.
SamlEntityUrl - Nicht dem IDM-Objekt zugeordnet.
SdkAppType - Nicht dem IDM-Objekt zugeordnet.
SdkAppVersion - Nicht dem IDM-Objekt zugeordnet.
SdkVersion - Nicht dem IDM-Objekt zugeordnet.
Section security_result.summary Der Wert von Section aus dem Rohprotokoll.
SessionKey network.session_id Der Wert von SessionKey aus dem Rohprotokoll.
SessionLevel target.resource.attribute.labels Der Wert von SessionLevel aus dem Rohprotokoll, als Label formatiert.
SourceIp principal.ip, principal.asset.ip Der Wert von SourceIp aus dem Rohprotokoll.
src principal.ip, principal.asset.ip Der Wert von src aus dem Rohprotokoll.
SsoType target.resource.attribute.labels Der Wert von SsoType aus dem Rohprotokoll, als Label formatiert.
STATUS_CODE network.http.response_code Der Wert von STATUS_CODE aus dem Rohprotokoll.
Status security_result.action, security_result.action_details Der Wert von Status aus dem Rohprotokoll, der in „ALLOW“ oder „BLOCK“ umgewandelt oder als Aktionsdetails für „LoginEventStream“ verwendet wird.
Subject target.resource.name Der Wert von Subject aus dem Rohprotokoll.
TargetUrl - Nicht dem IDM-Objekt zugeordnet.
TIMESTAMP metadata.collected_timestamp Der Wert von TIMESTAMP aus dem Rohprotokoll.
TIMESTAMP_DERIVED timestamp Der Wert von TIMESTAMP_DERIVED aus dem Rohprotokoll.
TlsProtocol network.tls.version_protocol Der Wert von TlsProtocol aus dem Rohprotokoll.
URI target.url Der Wert von URI aus dem Rohprotokoll.
USER_AGENT network.http.user_agent Der Wert von USER_AGENT aus dem Rohprotokoll.
USER_ID principal.user.userid Der Wert von USER_ID aus dem Rohprotokoll.
USER_ID_DERIVED principal.user.product_object_id, target.resource.attribute.labels Der Wert von USER_ID_DERIVED aus dem Rohprotokoll.
UserId principal.user.userid Der Wert von UserId aus dem Rohprotokoll.
USER_TYPE target.resource.attribute.labels Der Wert von USER_TYPE aus dem Rohprotokoll, als Label formatiert.
Username principal.user.userid, principal.user.email_addresses, target.user.email_addresses Der Wert von Username aus dem Rohprotokoll oder src_email für verschiedene Ereignisse oder IdentityUsed für IdentityProviderEventStore oder data.properties.Email.str für Search und SearchAlert oder data.properties.Username.str für LoginAsEventStream und LoginEventStream.
UserType target.resource.attribute.labels Der Wert von UserType aus dem Rohprotokoll, als Label formatiert.
usrName principal.user.userid, principal.user.email_addresses, target.user.email_addresses Der Wert von usrName aus dem Rohprotokoll.
VerificationMethod target.resource.attribute.labels Der Wert von VerificationMethod aus dem Rohprotokoll, als Label formatiert.
Parserlogik metadata.event_type Abgeleitet aus den Feldern event_id und operation oder festgelegt auf „USER_LOGIN“ für LoginEventStream, „USER_LOGOUT“ für Logout und LogoutEvent, „USER_RESOURCE_UPDATE_CONTENT“ für verschiedene Ereignisse, „USER_RESOURCE_UPDATE_PERMISSIONS“ für PlatformEncryption, „RESOURCE_READ“ für QueuedExecution, ApexExecution, LightningInteraction, LightningPerformance, LightningPageView, URI, RestApi, API, AuraRequest, ApexCallout, OneCommerceUsage, Sites, MetadataApiOperation, OneCommerceUsage, VisualforceRequest, Dashboard, Search, ListViewEvent, „RESOURCE_CREATION“ für UriEvent und TimeBasedWorkflow mit Operation als „Create“ oder „INSERT“, „RESOURCE_WRITTEN“ für UriEvent und LightningUriEvent mit Operation als „Update“, „RESOURCE_DELETION“ für UriEvent mit Operation als „Delete“ oder „ROLLBACK“, „USER_UNCATEGORIZED“ für SetupAuditTrail und AuditTrail, „USER_CHANGE_PASSWORD“ für SetupAuditTrail mit operation als „namedCredentialEncryptedFieldChange“, „GENERIC_EVENT“ für ApiEventStream und LightningUriEventStream oder basierend auf Netzwerk- und Hauptnutzerpräsenz.
Parserlogik metadata.ingestion_labels Labels, die die Quelle des Ereignisses angeben, entweder „Ereignisprotokolldatei“, „Echtzeit-Ereignisüberwachung“ oder „SetupAuditTrail“.
Parserlogik metadata.log_type Muss immer auf „SALESFORCE“ festgelegt sein.
Parserlogik metadata.product_name Muss immer auf „SALESFORCE“ festgelegt sein.
Parserlogik metadata.vendor_name Muss immer auf „SALESFORCE“ festgelegt sein.
Parserlogik metadata.url_back_to_product Er wird aus verschiedenen Feldern wie LoginUrl, attributes.url, data.properties.PageUrl.str und data.properties.LoginUrl.str erstellt.
Parserlogik network.application_protocol Legen Sie „HTTPS“ fest, wenn das Feld uri mit „http“ beginnt.
Parserlogik network.http.referral_url Wird aus dem Feld user_agent extrahiert, wenn es „Referer=" enthält.
Parserlogik network.http.response_code Abgeleitet von request_status für verschiedene Ereignisse.
Parserlogik network.http.user_agent Der Wert von user_agent aus dem Rohprotokoll oder von data.properties.UserAgent.str für ApiEventStream und LoginEventStream oder aus Sites-Ereignissen oder „User-Agent“ aus Sites-Ereignissen.
Parserlogik network.session_id Der Wert von session_key oder SESSION_KEY aus dem Rohprotokoll oder aus anderen Feldern wie LoginKey oder AuthSessionId.
Parserlogik network.tls.version Der Wert von tls_protocol aus dem Rohprotokoll oder von data.properties.TlsProtocol.str für LoginEventStream.
Parserlogik principal.application Der Wert von application aus dem Rohprotokoll oder „Salesforce for Outlook“ für „Anmeldung: Erfolg“-Ereignisse oder „Statistiken“ für „Anmeldung: Erfolg“-Ereignisse ohne Anwendung oder aus device_platform für Lightning-Ereignisse.
Parserlogik principal.asset.hostname Der Wert von client_ip, wenn es sich um einen Hostnamen handelt.
Parserlogik principal.asset.ip Der Wert client_ip oder src_ip oder SourceIp oder CLIENT_IP, wenn es sich um eine IP-Adresse handelt.
Parserlogik principal.hostname Der Wert von client_ip, wenn es sich um einen Hostnamen handelt.
Parserlogik principal.ip Der Wert client_ip oder src_ip oder SourceIp oder CLIENT_IP, wenn es sich um eine IP-Adresse handelt.
Parserlogik principal.labels Labels, die aus verschiedenen Feldern wie FederationIdentifier, ApiType, OrgId und channel erstellt wurden.
Parserlogik principal.location.city Der Wert geoip_src.city_name, City oder LoginGeo.City aus dem Rohprotokoll.
Parserlogik principal.location.country_or_region Der Wert geoip_src.country_name, Country, LoginGeo.Country oder client_geo aus dem Rohprotokoll.
Parserlogik principal.location.region_latitude Der Wert von data.properties.LoginLatitude.number aus dem Rohprotokoll.
Parserlogik principal.location.region_longitude Der Wert von data.properties.LoginLongitude.number aus dem Rohprotokoll.
Parserlogik principal.location.state Der Wert von geoip_src.region_name aus dem Rohprotokoll.
Parserlogik principal.platform Der Wert von Platform, OsName oder os_name aus dem Rohprotokoll oder „WINDOWS“ für LoginEventStream, wenn Platform „Windows“ enthält.
Parserlogik principal.platform_version Der Wert von OsVersion oder os_version aus dem Rohprotokoll oder aus Platform für LoginEventStream, wobei Platform „Windows“ enthält.
Parserlogik principal.resource.attribute.labels Labels, die aus verschiedenen Feldern wie CreatedById, ApiVersion, LogFile, LogFileContentType und LogFileLength erstellt wurden.
Parserlogik principal.resource.name Der Wert von Browser oder browser_name aus dem Rohprotokoll oder „Java (Salesforce.com)“ für „LoginHistory“ mit ApiType als „SOAP-Partner“.
Parserlogik principal.resource.type Für Lightning-Ereignisse aus device_platform oder „Browser“ für LoginAsEvent und LoginAsEventStream extrahiert.
Parserlogik principal.url Der Wert von LoginUrl aus dem Rohprotokoll.
Parserlogik principal.user.email_addresses Der Wert usrName, Username, src_email, IdentityUsed, data.properties.Username.str oder data.properties.Email.str aus dem Rohprotokoll.
Parserlogik principal.user.product_object_id Der Wert von attrs.USER_ID_DERIVED oder data.properties.USER_ID_DERIVED.str aus dem Rohprotokoll.
Parserlogik principal.user.userid Der Wert usrName, Username, user_id, UserId, USER_ID, Id, LoginKey, CreatedByContext, data.properties.Username.str, data.properties.USER_ID.str oder data.properties.LoginKey.str aus dem Rohprotokoll.
Parserlogik security_result.action Abgeleitet von Status, OperationStatus, ErrorCode, action oder operation_status aus dem Rohprotokoll, in „ZULASSEN“ oder „BLOCKIEREN“ umgewandelt.
Parserlogik security_result.action_details Der Wert von Status aus dem Rohprotokoll für „LoginEventStream“.
Parserlogik security_result.description Der Wert LoginType, logintype, Operation, Action oder Display aus dem Rohprotokoll.
Parserlogik security_result.rule_name Der Wert von Policy oder rule_name aus dem Rohprotokoll.
Parserlogik security_result.summary Erstellt aus NewValue und OldValue oder REQUEST_STATUS oder Section oder forecastcategory aus dem Rohprotokoll.
Parserlogik target.administrative_domain Der Wert ORGANIZATION_ID, DelegatedOrganizationId, organization_id oder data.properties.OrgName.str aus dem Rohprotokoll.
Parserlogik target.application Der Wert Application, app_name, ApiType, Name oder data.properties.Application.str aus dem Rohprotokoll.
Parserlogik target.asset.hostname Der aus dem Feld uri extrahierte Wert target_hostname.
Parserlogik target.asset.ip Der Wert von data.properties.CLIENT_IP.str aus dem Rohprotokoll.
Parserlogik target.asset_id Erstellt aus device_id oder REQUEST_ID
Parserlogik target.file.mime_type Der Wert von file_type aus dem Rohprotokoll.
Parserlogik target.file.size Der Wert von size_bytes aus dem Rohprotokoll.
Parserlogik target.hostname Der aus dem Feld uri extrahierte Wert target_hostname.
Parserlogik target.process.command_line Der Wert query_exec, Query oder data.properties.Query.str aus dem Rohprotokoll.
Parserlogik target.process.pid Der Wert von job_id aus dem Rohprotokoll.
Parserlogik target.resource.attribute.labels Labels, die aus verschiedenen Feldern wie CPU_TIME, RUN_TIME, USER_TYPE, DB_TOTAL_TIME, MEDIA_TYPE, ROWS_PROCESSED, NUMBER_FIELDS, DB_BLOCKS, DB_CPU_TIME, ENTITY_NAME, EXCEPTION_MESSAGE, USER_ID_DERIVED, DOWNLOAD_FORMAT, USER_TYPE, CPU_TIME, RUN_TIME, WAVE_SESSION_ID, SessionLevel, verification_method, cpu_time, run_time, db_total_time, db_cpu_time, exec_time, callout_time, number_soql_queries, duration, user_type, entry_point, operation, session_level, rows_processed, sso_type, dashboard_type, Operation, SessionLevel erstellt wurden.
Parserlogik target.resource.id Der Wert REQUEST_ID, RecordId, caseid, leadid, contactid, opportunityid oder accountid aus dem Rohprotokoll.
Parserlogik target.resource.name Der Wert QueriedEntities, resource_name, component_name, DATASET_IDS, field, StageName oder Subject aus dem Rohprotokoll.
Parserlogik target.resource.product_object_id Der Wert von REQUEST_ID aus dem Rohprotokoll.
Parserlogik target.resource.resource_type Legen Sie für ApexCallout und PlatformEncryption „ACCESS_POLICY“, für ApexTrigger „DATABASE“, für ContentTransfer „FILE“ und für ApiEvent „TABLE“ fest.
Parserlogik target.resource.type Legen Sie „BATCH“ für QueuedExecution und ApexExecution, „FILE“ für ContentTransfer, „DATABASE_TRIGGER“ für ApexTrigger oder „Case“, „Lead“, „Contact“, „Opportunity“ oder „Account“ fest, je nachdem, ob entsprechende ID-Felder vorhanden sind.
Parserlogik target.url Der Wert LoginUrl, URI, attributes.url, login_url oder uri aus dem Rohprotokoll.
Parserlogik target.user.email_addresses Der Wert Username, attrs.usrName oder email_address aus dem Rohprotokoll.
Parserlogik target.user.user_display_name Der Wert target_user_display_name, user_name oder username aus dem Rohprotokoll.
Parserlogik target.user.userid Der Wert target_user_name, data.properties.UserId.str oder data.properties.CreatedById.str aus dem Rohprotokoll.
Parserlogik extensions.auth.auth_details Legen Sie „AKTIV“ fest, wenn Status nicht „Erfolg“ lautet. Andernfalls „UNKNOWN_AUTHENTICATION_STATUS“.
Parserlogik extensions.auth.mechanism Legen Sie „REMOTE“ für „Anmeldung: Erfolg“ und „Anmeldung“ fest, wenn logintype „Remote“ enthält, oder „USERNAME_PASSWORD“ für „LoginEventStream“, oder „MECHANISM_OTHER“ für Ereignisse, bei denen login_url vorhanden ist, oder „AUTHTYPE_UNSPECIFIED“ für „Anmeldung: Erfolg“ und „Abmeldung“.
Parserlogik extensions.auth.type Legen Sie „SSO“ für „Login“, „Logout“, „LogoutEvent“, „LoginAs“, „IdentityProviderEventStore“, „LoginHistory“ und „LoginAsEvent“ mit „SAML Sfdc Initiated SSO“ als „LoginType“ fest oder „AUTHTYPE_UNSPECIFIED“ für „Login: Success“, „Logout“ und „LoginAsEvent“ mit „Application“ als „LoginType“.

Änderungen

2024-06-04

  • Unterstützung für neu aufgenommene Protokolle hinzugefügt.

2024-03-06

  • Die Zuordnung des Felds „Id“ wurde von „metadata.product_log_id“ zu „principal.user.userid“ geändert.
  • Die Zuordnung des Felds „CreatedById“ wurde von „principal.user.userid“ zu „principal.resource.attribute.labels“ geändert.
  • „IsDeleted“ wurde auf „principal.resource.attribute.labels“ zugeordnet.
  • „LogFileLength“ wurde auf „principal.resource.attribute.labels“ zugeordnet.
  • „LogFileContentType“ wurde auf „principal.resource.attribute.labels“ zugeordnet.
  • „ApiVersion“ wurde auf „principal.resource.attribute.labels“ zugeordnet.
  • „LogFile“ wurde auf „principal.resource.attribute.labels“ zugeordnet.

2023-02-24

  • Enhancement-
  • „security_result.action“ wird auf „ALLOW“ statt „BLOCK“ zugeordnet, wenn die Aktion „LOGIN_NO_ERROR“ ist.
  • Für „Log-in“-Ereignisse :
  • „action“ wurde auf „security_result.action“ zugeordnet.
  • „target_user_name“ wurde in „target.user.userid“ umgewandelt.
  • „tls_protocol“ wurde in „network.tls.version_protocol“ geändert.
  • „cipher_suite“ wurde auf „network.tls.cipher“ zugeordnet.
  • „on_error“-Prüfung für „OsVersion“ und „date“-Block hinzugefügt.

2022-12-13

  • Enhancement-
  • „LoginType“ wurde auf „security_result.description“ zugeordnet.
  • „LoginUrl“ wurde mit „principal.url“ verknüpft.
  • Leere Prüfung für „ApiType“ und „LoginGeo.City“ hinzugefügt.

2022-09-02

  • Enhancement-
  • Die benutzerdefinierten Parser wurden in den Standardparser migriert.

2022-07-04

  • Enhancement-
  • Der Parser wurde so erweitert, dass er Logs mit dem Ereignistyp „LoginHistory“ verarbeiten kann.
  • Bedingung zum Parsen verschiedener Zeitstempelformate hinzugefügt
  • Bedingung für den Ereignistyp „USER_UNCATEGORIZED“ hinzugefügt, bei der „user_id“, „UserId“ oder „target_user_name“ nicht null ist.
  • Validierung für das Parsen von „src_ip“ hinzugefügt.

2022-04-18

  • Die Zuordnung für DOWNLOAD_FORMAT wurde von „metadata.ingestion_labels“ zu „target.resource.attribute.labels“ geändert.

2022-03-30

  • Verbesserung: Der Ereignistyp für „LoginEventStream“ wurde in „USER_LOGIN“ geändert.
  • Korrigierte Zuordnung für die Felder DOWNLOAD_FORMAT und ConnectedAppId.
  • Es wurden Zuordnungen für bestimmte Felder hinzugefügt, wenn das Protokoll vom Typ „LoginEventStream“, „WaveDownload“ oder „ApiEventStream“ ist.