Salesforce-Protokolle erfassen
Unterstützt in:
Google SecOps
SIEM
Übersicht
Dieser Parser verarbeitet Salesforce-Protokolle im LEEF-, CSV- und JSON-Format. Es extrahiert Felder, führt formatspezifische Verarbeitungen durch (z. B. LEEF-Schlüssel/Wert-Paare, CSV-Spalten und JSON-Strukturen), ordnet sie dem UDM zu und ergänzt die Daten um Metadaten und abgeleitete Felder. Der Parser verarbeitet auch verschiedene Salesforce-Ereignistypen. Dabei wird eine spezielle Logik für Anmeldungen, Abmeldungen und andere Aktionen angewendet, Ereignisse kategorisiert und die entsprechenden UDM-Ereignistypen festgelegt.
Hinweis
- Sie benötigen eine Google SecOps-Instanz.
- Sie benötigen erhöhte Zugriffsrechte für AWS IAM, S3 und AppFlow.
Amazon S3-Bucket konfigurieren
- Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu dieser Anleitung: Bucket erstellen.
- Notieren Sie sich den Namen und die Region des Buckets für später.
- Erstellen Sie einen Nutzer. Folgen Sie dazu der Anleitung unter IAM-Nutzer erstellen.
- Wählen Sie den erstellten Nutzer aus.
- Wählen Sie den Tab Sicherheitsanmeldedaten aus.
- Klicken Sie im Bereich Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
- Wählen Sie als Anwendungsfall Drittanbieterdienst aus.
- Klicken Sie auf Weiter.
- Optional: Fügen Sie ein Beschreibungs-Tag hinzu.
- Klicken Sie auf Zugriffsschlüssel erstellen.
- Klicken Sie auf CSV-Datei herunterladen. Speichern Sie den Zugriffsschlüssel und den geheimen Zugriffsschlüssel für später.
- Klicken Sie auf Fertig.
- Wählen Sie den Tab Berechtigungen aus.
- Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
- Wählen Sie Berechtigungen hinzufügen aus.
- Wählen Sie Richtlinien direkt anhängen aus.
- Suchen Sie nach der Richtlinie AmazonS3FullAccess.
- Wählen Sie die Richtlinie aus.
- Klicken Sie auf Weiter.
- Klicken Sie auf Berechtigungen hinzufügen.
Amazon AppFlow konfigurieren
- So erstellen Sie einen Amazon AppFlow-Workflow:
- Ablaufname: Geben Sie einen Ablaufnamen ein und klicken Sie auf Weiter.
- Datenquelle: Wählen Sie Salesforce als Datenquelle aus.
- Erstellen Sie eine neue Verbindung.
- Das Salesforce-Anmeldefenster wird angezeigt. Melden Sie sich mit Ihren Salesforce-Anmeldedaten an.
- Wählen Sie den Objektnamen aus (die Daten, die Sie von Salesforce in den S3-Bucket übertragen möchten).
- Wählen Sie Amazon S3 als Datenziel aus.
- Wählen Sie als Ablauftrigger Planen aus.
- Unter Quellfelder auswählen können Sie entweder alle Felder direkt zuordnen oder angeben, welche Felder zugeordnet werden sollen.
- Konfiguration prüfen:
- Wählen Sie in Amazon AppFlow den von Ihnen erstellten Ablauf aus und klicken Sie auf Ablauf ausführen, um Daten aus Salesforce abzurufen.
- Die Protokolle sollten jetzt in Ihrem S3-Bucket sein.
Feed in Google SecOps für die Aufnahme von Salesforce-Logs konfigurieren
- Gehen Sie zu SIEM-Einstellungen > Feeds.
- Klicken Sie auf Neu hinzufügen.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Salesforce-Protokolle.
- Wählen Sie als Quelltyp Amazon S3 aus.
- Wählen Sie Salesforce als Protokolltyp aus.
- Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Region: die Region, in der sich der Amazon S3-Bucket befindet.
- S3-URI: der Bucket-URI.
s3:/BUCKET_NAMEErsetzen Sie Folgendes:BUCKET_NAME: der Name des Buckets.
- URI ist: Wählen Sie den URI-TYP gemäß der S3-Streamkonfiguration aus:
Single file|Directory|Directory which includes subdirectories. - Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.
- Access Key ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
- Secret Access Key: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
- Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
Account.Name |
target.resource.name |
Der Wert von Account.Name aus dem Rohprotokoll. |
AccountId |
target.resource.id |
Der Wert von AccountId aus dem Rohprotokoll. |
Action |
security_result.description |
Der Wert von Action aus dem Rohprotokoll. |
AdditionalInfo |
- | Nicht dem IDM-Objekt zugeordnet. |
ApiType |
target.application |
Der Wert von ApiType aus dem Rohprotokoll. |
ApiVersion |
- | Nicht dem IDM-Objekt zugeordnet. |
Application |
principal.application |
Der Wert von Application aus dem Rohprotokoll oder „Browser“ für LoginAsEvent oder „Integration JWT Token“ für LoginEvent oder „SfdcSiqActivityPlatform“ für LoginHistory mit dem Objekttyp „LoginHistory“ oder „–“ für ApiEvent oder „Browser“ für LoginAsEventStream. |
attributes.url |
target.url |
Der Wert von attributes.url aus dem Rohprotokoll oder bestimmte URLs für verschiedene Ereignistypen aus dem Rohprotokoll. |
attributes.type |
metadata.product_event_type |
Der Wert von attributes.type aus dem Rohprotokoll. |
AuthSessionId |
network.session_id |
Der Wert von AuthSessionId aus dem Rohprotokoll. |
Browser |
principal.resource.name |
Der Wert von Browser aus dem Rohprotokoll oder „Unbekannt“, wenn Browser im Rohprotokoll nicht verfügbar ist und Application „Insights“ ist, oder „Java (Salesforce.com)“ für „LoginHistory“ mit ApiType als „SOAP-Partner“, oder „Unbekannt“ für „LoginHistory“ mit Application als „SfdcSiqActivityPlatform“ oder aus „data.properties.Browser.str“ für „LoginAsEventStream“. |
Case.Subject |
target.resource.name |
Der Wert von Case.Subject aus dem Rohprotokoll. |
CaseId |
target.resource.id |
Der Wert von CaseId aus dem Rohprotokoll. |
cat |
metadata.product_event_type |
Der Wert von cat aus dem Rohprotokoll. |
City |
principal.location.city |
Der Wert von City aus dem Rohprotokoll oder von LoginGeo.City für „LoginHistory“. |
Client |
principal.labels |
Der Wert von Client aus dem Rohprotokoll, als Label formatiert. |
CLIENT_IP |
principal.ip, principal.asset.ip |
Der Wert von CLIENT_IP aus dem Rohprotokoll. |
ClientVersion |
- | Nicht dem IDM-Objekt zugeordnet. |
CipherSuite |
network.tls.cipher |
Der Wert von CipherSuite aus dem Rohprotokoll. |
ColumnHeaders |
principal.labels |
Der Wert von ColumnHeaders aus dem Rohprotokoll, als Label formatiert. |
ConnectedAppId |
principal.labels |
Der Wert von ConnectedAppId aus dem Rohprotokoll, als Label formatiert. |
Contact.Name |
target.resource.name |
Der Wert von Contact.Name aus dem Rohprotokoll. |
ContactId |
target.resource.id |
Der Wert von ContactId aus dem Rohprotokoll. |
Country |
principal.location.country_or_region |
Der Wert von Country aus dem Rohprotokoll oder LoginGeo.Country für „LoginHistory“. |
CreatedByContext |
principal.user.userid |
Der Wert von CreatedByContext aus dem Rohprotokoll. |
CreatedById |
principal.resource.attribute.labels |
Der Wert von CreatedById aus dem Rohprotokoll, als Label formatiert. |
CreatedDate |
metadata.collected_timestamp |
Der Wert von CreatedDate aus dem Rohprotokoll oder der aktuelle Zeitstempel, falls nicht verfügbar. |
CPU_TIME |
target.resource.attribute.labels |
Der Wert von CPU_TIME aus dem Rohprotokoll, als Label formatiert. |
data |
- | Enthält verschiedene Felder, die einzeln extrahiert und zugeordnet werden. |
DATASET_IDS |
target.resource.name |
Der Wert von DATASET_IDS aus dem Rohprotokoll. |
DelegatedOrganizationId |
target.administrative_domain |
Der Wert von DelegatedOrganizationId aus dem Rohprotokoll. |
DelegatedUsername |
observer.user.userid |
Der Wert von DelegatedUsername aus dem Rohprotokoll. |
Description |
metadata.description |
Der Wert von Description aus dem Rohprotokoll. |
DevicePlatform |
principal.resource.type |
Der Wert von DevicePlatform aus dem Rohprotokoll, der analysiert wurde, um den Ressourcentyp zu extrahieren. |
Display |
metadata.description |
Der Wert von Display aus dem Rohprotokoll. |
DOWNLOAD_FORMAT |
target.resource.attribute.labels |
Der Wert von DOWNLOAD_FORMAT aus dem Rohprotokoll, als Label formatiert. |
Duration |
target.resource.attribute.labels |
Der Wert von Duration aus dem Rohprotokoll, als Label formatiert. |
ENTITY_NAME |
target.resource.attribute.labels |
Der Wert von ENTITY_NAME aus dem Rohprotokoll, als Label formatiert. |
ErrorCode |
security_result.action |
Der Wert von ErrorCode aus dem Rohprotokoll, der in „ZULASSEN“ oder „BLOCKIEREN“ umgewandelt wurde. |
EventDate |
timestamp |
Der Wert von EventDate aus dem Rohprotokoll oder data.properties.TIMESTAMP_DERIVED.str, falls verfügbar, oder data.properties.TIMESTAMP_DERIVED_FIRST.str, falls verfügbar, oder @timestamp, falls verfügbar, oder created_date, falls verfügbar, oder timestamp, falls verfügbar, oder LoginTime für „LoginHistory“. |
EventIdentifier |
metadata.product_log_id |
Der Wert von EventIdentifier aus dem Rohprotokoll. |
EventType |
metadata.product_event_type |
Der Wert von EventType aus dem Rohprotokoll. |
Id |
principal.user.userid |
Der Wert von Id aus dem Rohprotokoll oder metadata.product_log_id für SetupAuditTrail und andere Ereignisse. |
IdentityUsed |
principal.user.email_addresses |
Der Wert von IdentityUsed aus dem Rohprotokoll. |
Lead.Name |
target.resource.name |
Der Wert von Lead.Name aus dem Rohprotokoll. |
LeadId |
target.resource.id |
Der Wert von LeadId aus dem Rohprotokoll. |
LoginAsCategory |
- | Nicht dem IDM-Objekt zugeordnet. |
LoginGeo.Country |
principal.location.country_or_region |
Der Wert von LoginGeo.Country aus dem Rohprotokoll. |
LoginHistoryId |
- | Nicht dem IDM-Objekt zugeordnet. |
LoginKey |
principal.user.userid, network.session_id |
Der Wert von LoginKey aus dem Rohprotokoll oder CreatedByContext für SetupAuditTrail. |
LoginTime |
timestamp |
Der Wert von LoginTime aus dem Rohprotokoll. |
LoginType |
security_result.description |
Der Wert von LoginType aus dem Rohprotokoll oder „Andere Apex API“ für „LoginHistory“ mit ApiType als „SOAP-Partner“ oder „Remote Access 2.0“ für „LoginHistory“ mit Application als „SfdcSiqActivityPlatform“. |
LoginUrl |
target.url, principal.url |
Der Wert von LoginUrl aus dem Rohprotokoll. |
LogFile |
principal.resource.attribute.labels |
Der Wert von LogFile aus dem Rohprotokoll, als Label formatiert. |
LogFileContentType |
principal.resource.attribute.labels |
Der Wert von LogFileContentType aus dem Rohprotokoll, als Label formatiert. |
LogFileLength |
principal.resource.attribute.labels |
Der Wert von LogFileLength aus dem Rohprotokoll, als Label formatiert. |
Message |
- | Nicht dem IDM-Objekt zugeordnet. |
METHOD |
network.http.method |
Der Wert von METHOD aus dem Rohprotokoll. |
Name |
target.application |
Der Wert von Name aus dem Rohprotokoll. |
NewValue |
- | Wird in Verbindung mit OldValue verwendet, um security_result.summary zu generieren. |
NUMBER_FIELDS |
target.resource.attribute.labels |
Der Wert von NUMBER_FIELDS aus dem Rohprotokoll, als Label formatiert. |
OldValue |
- | Wird in Verbindung mit NewValue verwendet, um security_result.summary zu generieren. |
Operation |
security_result.description, target.resource.attribute.labels |
Der Wert von Operation aus dem Rohprotokoll oder Display für SetupAuditTrail. |
OperationStatus |
security_result.action |
Der Wert von OperationStatus aus dem Rohprotokoll, der in „ZULASSEN“ oder „BLOCKIEREN“ umgewandelt wurde. |
ORGANIZATION_ID |
target.administrative_domain |
Der Wert von ORGANIZATION_ID aus dem Rohprotokoll. |
OsName |
principal.platform |
Der Wert von OsName aus dem Rohprotokoll. |
OsVersion |
principal.platform_version |
Der Wert von OsVersion aus dem Rohprotokoll. |
Platform |
principal.platform |
Der Wert von Platform aus dem Rohprotokoll oder aus data.properties.OsName.str für LightningUriEventStream oder aus data.properties.OsName.str für LoginEventStream. |
QueriedEntities |
target.resource.name, principal.labels |
Der Wert von QueriedEntities aus dem Rohprotokoll oder component_name für UriEvent und ApiEvent. |
Query |
target.process.command_line, principal.labels |
Der Wert von Query aus dem Rohprotokoll. |
RecordId |
target.resource.id |
Der Wert von RecordId aus dem Rohprotokoll. |
Records |
principal.labels |
Der Wert von Records aus dem Rohprotokoll, als Label formatiert. |
REQUEST_ID |
metadata.product_log_id, target.resource.product_object_id |
Der Wert von REQUEST_ID aus dem Rohprotokoll. |
REQUEST_SIZE |
network.sent_bytes |
Der Wert von REQUEST_SIZE aus dem Rohprotokoll. |
REQUEST_STATUS |
security_result.summary |
Der Wert von REQUEST_STATUS aus dem Rohprotokoll. |
RESPONSE_SIZE |
network.received_bytes |
Der Wert von RESPONSE_SIZE aus dem Rohprotokoll. |
RowsProcessed |
target.resource.attribute.labels |
Der Wert von RowsProcessed aus dem Rohprotokoll, als Label formatiert. |
RUN_TIME |
target.resource.attribute.labels |
Der Wert von RUN_TIME aus dem Rohprotokoll, als Label formatiert. |
SamlEntityUrl |
- | Nicht dem IDM-Objekt zugeordnet. |
SdkAppType |
- | Nicht dem IDM-Objekt zugeordnet. |
SdkAppVersion |
- | Nicht dem IDM-Objekt zugeordnet. |
SdkVersion |
- | Nicht dem IDM-Objekt zugeordnet. |
Section |
security_result.summary |
Der Wert von Section aus dem Rohprotokoll. |
SessionKey |
network.session_id |
Der Wert von SessionKey aus dem Rohprotokoll. |
SessionLevel |
target.resource.attribute.labels |
Der Wert von SessionLevel aus dem Rohprotokoll, als Label formatiert. |
SourceIp |
principal.ip, principal.asset.ip |
Der Wert von SourceIp aus dem Rohprotokoll. |
src |
principal.ip, principal.asset.ip |
Der Wert von src aus dem Rohprotokoll. |
SsoType |
target.resource.attribute.labels |
Der Wert von SsoType aus dem Rohprotokoll, als Label formatiert. |
STATUS_CODE |
network.http.response_code |
Der Wert von STATUS_CODE aus dem Rohprotokoll. |
Status |
security_result.action, security_result.action_details |
Der Wert von Status aus dem Rohprotokoll, der in „ALLOW“ oder „BLOCK“ umgewandelt oder als Aktionsdetails für „LoginEventStream“ verwendet wird. |
Subject |
target.resource.name |
Der Wert von Subject aus dem Rohprotokoll. |
TargetUrl |
- | Nicht dem IDM-Objekt zugeordnet. |
TIMESTAMP |
metadata.collected_timestamp |
Der Wert von TIMESTAMP aus dem Rohprotokoll. |
TIMESTAMP_DERIVED |
timestamp |
Der Wert von TIMESTAMP_DERIVED aus dem Rohprotokoll. |
TlsProtocol |
network.tls.version_protocol |
Der Wert von TlsProtocol aus dem Rohprotokoll. |
URI |
target.url |
Der Wert von URI aus dem Rohprotokoll. |
USER_AGENT |
network.http.user_agent |
Der Wert von USER_AGENT aus dem Rohprotokoll. |
USER_ID |
principal.user.userid |
Der Wert von USER_ID aus dem Rohprotokoll. |
USER_ID_DERIVED |
principal.user.product_object_id, target.resource.attribute.labels |
Der Wert von USER_ID_DERIVED aus dem Rohprotokoll. |
UserId |
principal.user.userid |
Der Wert von UserId aus dem Rohprotokoll. |
USER_TYPE |
target.resource.attribute.labels |
Der Wert von USER_TYPE aus dem Rohprotokoll, als Label formatiert. |
Username |
principal.user.userid, principal.user.email_addresses, target.user.email_addresses |
Der Wert von Username aus dem Rohprotokoll oder src_email für verschiedene Ereignisse oder IdentityUsed für IdentityProviderEventStore oder data.properties.Email.str für Search und SearchAlert oder data.properties.Username.str für LoginAsEventStream und LoginEventStream. |
UserType |
target.resource.attribute.labels |
Der Wert von UserType aus dem Rohprotokoll, als Label formatiert. |
usrName |
principal.user.userid, principal.user.email_addresses, target.user.email_addresses |
Der Wert von usrName aus dem Rohprotokoll. |
VerificationMethod |
target.resource.attribute.labels |
Der Wert von VerificationMethod aus dem Rohprotokoll, als Label formatiert. |
| Parserlogik | metadata.event_type |
Abgeleitet aus den Feldern event_id und operation oder festgelegt auf „USER_LOGIN“ für LoginEventStream, „USER_LOGOUT“ für Logout und LogoutEvent, „USER_RESOURCE_UPDATE_CONTENT“ für verschiedene Ereignisse, „USER_RESOURCE_UPDATE_PERMISSIONS“ für PlatformEncryption, „RESOURCE_READ“ für QueuedExecution, ApexExecution, LightningInteraction, LightningPerformance, LightningPageView, URI, RestApi, API, AuraRequest, ApexCallout, OneCommerceUsage, Sites, MetadataApiOperation, OneCommerceUsage, VisualforceRequest, Dashboard, Search, ListViewEvent, „RESOURCE_CREATION“ für UriEvent und TimeBasedWorkflow mit Operation als „Create“ oder „INSERT“, „RESOURCE_WRITTEN“ für UriEvent und LightningUriEvent mit Operation als „Update“, „RESOURCE_DELETION“ für UriEvent mit Operation als „Delete“ oder „ROLLBACK“, „USER_UNCATEGORIZED“ für SetupAuditTrail und AuditTrail, „USER_CHANGE_PASSWORD“ für SetupAuditTrail mit operation als „namedCredentialEncryptedFieldChange“, „GENERIC_EVENT“ für ApiEventStream und LightningUriEventStream oder basierend auf Netzwerk- und Hauptnutzerpräsenz. |
| Parserlogik | metadata.ingestion_labels |
Labels, die die Quelle des Ereignisses angeben, entweder „Ereignisprotokolldatei“, „Echtzeit-Ereignisüberwachung“ oder „SetupAuditTrail“. |
| Parserlogik | metadata.log_type |
Muss immer auf „SALESFORCE“ festgelegt sein. |
| Parserlogik | metadata.product_name |
Muss immer auf „SALESFORCE“ festgelegt sein. |
| Parserlogik | metadata.vendor_name |
Muss immer auf „SALESFORCE“ festgelegt sein. |
| Parserlogik | metadata.url_back_to_product |
Er wird aus verschiedenen Feldern wie LoginUrl, attributes.url, data.properties.PageUrl.str und data.properties.LoginUrl.str erstellt. |
| Parserlogik | network.application_protocol |
Legen Sie „HTTPS“ fest, wenn das Feld uri mit „http“ beginnt. |
| Parserlogik | network.http.referral_url |
Wird aus dem Feld user_agent extrahiert, wenn es „Referer=" enthält. |
| Parserlogik | network.http.response_code |
Abgeleitet von request_status für verschiedene Ereignisse. |
| Parserlogik | network.http.user_agent |
Der Wert von user_agent aus dem Rohprotokoll oder von data.properties.UserAgent.str für ApiEventStream und LoginEventStream oder aus Sites-Ereignissen oder „User-Agent“ aus Sites-Ereignissen. |
| Parserlogik | network.session_id |
Der Wert von session_key oder SESSION_KEY aus dem Rohprotokoll oder aus anderen Feldern wie LoginKey oder AuthSessionId. |
| Parserlogik | network.tls.version |
Der Wert von tls_protocol aus dem Rohprotokoll oder von data.properties.TlsProtocol.str für LoginEventStream. |
| Parserlogik | principal.application |
Der Wert von application aus dem Rohprotokoll oder „Salesforce for Outlook“ für „Anmeldung: Erfolg“-Ereignisse oder „Statistiken“ für „Anmeldung: Erfolg“-Ereignisse ohne Anwendung oder aus device_platform für Lightning-Ereignisse. |
| Parserlogik | principal.asset.hostname |
Der Wert von client_ip, wenn es sich um einen Hostnamen handelt. |
| Parserlogik | principal.asset.ip |
Der Wert client_ip oder src_ip oder SourceIp oder CLIENT_IP, wenn es sich um eine IP-Adresse handelt. |
| Parserlogik | principal.hostname |
Der Wert von client_ip, wenn es sich um einen Hostnamen handelt. |
| Parserlogik | principal.ip |
Der Wert client_ip oder src_ip oder SourceIp oder CLIENT_IP, wenn es sich um eine IP-Adresse handelt. |
| Parserlogik | principal.labels |
Labels, die aus verschiedenen Feldern wie FederationIdentifier, ApiType, OrgId und channel erstellt wurden. |
| Parserlogik | principal.location.city |
Der Wert geoip_src.city_name, City oder LoginGeo.City aus dem Rohprotokoll. |
| Parserlogik | principal.location.country_or_region |
Der Wert geoip_src.country_name, Country, LoginGeo.Country oder client_geo aus dem Rohprotokoll. |
| Parserlogik | principal.location.region_latitude |
Der Wert von data.properties.LoginLatitude.number aus dem Rohprotokoll. |
| Parserlogik | principal.location.region_longitude |
Der Wert von data.properties.LoginLongitude.number aus dem Rohprotokoll. |
| Parserlogik | principal.location.state |
Der Wert von geoip_src.region_name aus dem Rohprotokoll. |
| Parserlogik | principal.platform |
Der Wert von Platform, OsName oder os_name aus dem Rohprotokoll oder „WINDOWS“ für LoginEventStream, wenn Platform „Windows“ enthält. |
| Parserlogik | principal.platform_version |
Der Wert von OsVersion oder os_version aus dem Rohprotokoll oder aus Platform für LoginEventStream, wobei Platform „Windows“ enthält. |
| Parserlogik | principal.resource.attribute.labels |
Labels, die aus verschiedenen Feldern wie CreatedById, ApiVersion, LogFile, LogFileContentType und LogFileLength erstellt wurden. |
| Parserlogik | principal.resource.name |
Der Wert von Browser oder browser_name aus dem Rohprotokoll oder „Java (Salesforce.com)“ für „LoginHistory“ mit ApiType als „SOAP-Partner“. |
| Parserlogik | principal.resource.type |
Für Lightning-Ereignisse aus device_platform oder „Browser“ für LoginAsEvent und LoginAsEventStream extrahiert. |
| Parserlogik | principal.url |
Der Wert von LoginUrl aus dem Rohprotokoll. |
| Parserlogik | principal.user.email_addresses |
Der Wert usrName, Username, src_email, IdentityUsed, data.properties.Username.str oder data.properties.Email.str aus dem Rohprotokoll. |
| Parserlogik | principal.user.product_object_id |
Der Wert von attrs.USER_ID_DERIVED oder data.properties.USER_ID_DERIVED.str aus dem Rohprotokoll. |
| Parserlogik | principal.user.userid |
Der Wert usrName, Username, user_id, UserId, USER_ID, Id, LoginKey, CreatedByContext, data.properties.Username.str, data.properties.USER_ID.str oder data.properties.LoginKey.str aus dem Rohprotokoll. |
| Parserlogik | security_result.action |
Abgeleitet von Status, OperationStatus, ErrorCode, action oder operation_status aus dem Rohprotokoll, in „ZULASSEN“ oder „BLOCKIEREN“ umgewandelt. |
| Parserlogik | security_result.action_details |
Der Wert von Status aus dem Rohprotokoll für „LoginEventStream“. |
| Parserlogik | security_result.description |
Der Wert LoginType, logintype, Operation, Action oder Display aus dem Rohprotokoll. |
| Parserlogik | security_result.rule_name |
Der Wert von Policy oder rule_name aus dem Rohprotokoll. |
| Parserlogik | security_result.summary |
Erstellt aus NewValue und OldValue oder REQUEST_STATUS oder Section oder forecastcategory aus dem Rohprotokoll. |
| Parserlogik | target.administrative_domain |
Der Wert ORGANIZATION_ID, DelegatedOrganizationId, organization_id oder data.properties.OrgName.str aus dem Rohprotokoll. |
| Parserlogik | target.application |
Der Wert Application, app_name, ApiType, Name oder data.properties.Application.str aus dem Rohprotokoll. |
| Parserlogik | target.asset.hostname |
Der aus dem Feld uri extrahierte Wert target_hostname. |
| Parserlogik | target.asset.ip |
Der Wert von data.properties.CLIENT_IP.str aus dem Rohprotokoll. |
| Parserlogik | target.asset_id |
Erstellt aus device_id oder REQUEST_ID |
| Parserlogik | target.file.mime_type |
Der Wert von file_type aus dem Rohprotokoll. |
| Parserlogik | target.file.size |
Der Wert von size_bytes aus dem Rohprotokoll. |
| Parserlogik | target.hostname |
Der aus dem Feld uri extrahierte Wert target_hostname. |
| Parserlogik | target.process.command_line |
Der Wert query_exec, Query oder data.properties.Query.str aus dem Rohprotokoll. |
| Parserlogik | target.process.pid |
Der Wert von job_id aus dem Rohprotokoll. |
| Parserlogik | target.resource.attribute.labels |
Labels, die aus verschiedenen Feldern wie CPU_TIME, RUN_TIME, USER_TYPE, DB_TOTAL_TIME, MEDIA_TYPE, ROWS_PROCESSED, NUMBER_FIELDS, DB_BLOCKS, DB_CPU_TIME, ENTITY_NAME, EXCEPTION_MESSAGE, USER_ID_DERIVED, DOWNLOAD_FORMAT, USER_TYPE, CPU_TIME, RUN_TIME, WAVE_SESSION_ID, SessionLevel, verification_method, cpu_time, run_time, db_total_time, db_cpu_time, exec_time, callout_time, number_soql_queries, duration, user_type, entry_point, operation, session_level, rows_processed, sso_type, dashboard_type, Operation, SessionLevel erstellt wurden. |
| Parserlogik | target.resource.id |
Der Wert REQUEST_ID, RecordId, caseid, leadid, contactid, opportunityid oder accountid aus dem Rohprotokoll. |
| Parserlogik | target.resource.name |
Der Wert QueriedEntities, resource_name, component_name, DATASET_IDS, field, StageName oder Subject aus dem Rohprotokoll. |
| Parserlogik | target.resource.product_object_id |
Der Wert von REQUEST_ID aus dem Rohprotokoll. |
| Parserlogik | target.resource.resource_type |
Legen Sie für ApexCallout und PlatformEncryption „ACCESS_POLICY“, für ApexTrigger „DATABASE“, für ContentTransfer „FILE“ und für ApiEvent „TABLE“ fest. |
| Parserlogik | target.resource.type |
Legen Sie „BATCH“ für QueuedExecution und ApexExecution, „FILE“ für ContentTransfer, „DATABASE_TRIGGER“ für ApexTrigger oder „Case“, „Lead“, „Contact“, „Opportunity“ oder „Account“ fest, je nachdem, ob entsprechende ID-Felder vorhanden sind. |
| Parserlogik | target.url |
Der Wert LoginUrl, URI, attributes.url, login_url oder uri aus dem Rohprotokoll. |
| Parserlogik | target.user.email_addresses |
Der Wert Username, attrs.usrName oder email_address aus dem Rohprotokoll. |
| Parserlogik | target.user.user_display_name |
Der Wert target_user_display_name, user_name oder username aus dem Rohprotokoll. |
| Parserlogik | target.user.userid |
Der Wert target_user_name, data.properties.UserId.str oder data.properties.CreatedById.str aus dem Rohprotokoll. |
| Parserlogik | extensions.auth.auth_details |
Legen Sie „AKTIV“ fest, wenn Status nicht „Erfolg“ lautet. Andernfalls „UNKNOWN_AUTHENTICATION_STATUS“. |
| Parserlogik | extensions.auth.mechanism |
Legen Sie „REMOTE“ für „Anmeldung: Erfolg“ und „Anmeldung“ fest, wenn logintype „Remote“ enthält, oder „USERNAME_PASSWORD“ für „LoginEventStream“, oder „MECHANISM_OTHER“ für Ereignisse, bei denen login_url vorhanden ist, oder „AUTHTYPE_UNSPECIFIED“ für „Anmeldung: Erfolg“ und „Abmeldung“. |
| Parserlogik | extensions.auth.type |
Legen Sie „SSO“ für „Login“, „Logout“, „LogoutEvent“, „LoginAs“, „IdentityProviderEventStore“, „LoginHistory“ und „LoginAsEvent“ mit „SAML Sfdc Initiated SSO“ als „LoginType“ fest oder „AUTHTYPE_UNSPECIFIED“ für „Login: Success“, „Logout“ und „LoginAsEvent“ mit „Application“ als „LoginType“. |
Änderungen
2024-06-04
- Unterstützung für neu aufgenommene Protokolle hinzugefügt.
2024-03-06
- Die Zuordnung des Felds „Id“ wurde von „metadata.product_log_id“ zu „principal.user.userid“ geändert.
- Die Zuordnung des Felds „CreatedById“ wurde von „principal.user.userid“ zu „principal.resource.attribute.labels“ geändert.
- „IsDeleted“ wurde auf „principal.resource.attribute.labels“ zugeordnet.
- „LogFileLength“ wurde auf „principal.resource.attribute.labels“ zugeordnet.
- „LogFileContentType“ wurde auf „principal.resource.attribute.labels“ zugeordnet.
- „ApiVersion“ wurde auf „principal.resource.attribute.labels“ zugeordnet.
- „LogFile“ wurde auf „principal.resource.attribute.labels“ zugeordnet.
2023-02-24
- Enhancement-
- „security_result.action“ wird auf „ALLOW“ statt „BLOCK“ zugeordnet, wenn die Aktion „LOGIN_NO_ERROR“ ist.
- Für „Log-in“-Ereignisse :
- „action“ wurde auf „security_result.action“ zugeordnet.
- „target_user_name“ wurde in „target.user.userid“ umgewandelt.
- „tls_protocol“ wurde in „network.tls.version_protocol“ geändert.
- „cipher_suite“ wurde auf „network.tls.cipher“ zugeordnet.
- „on_error“-Prüfung für „OsVersion“ und „date“-Block hinzugefügt.
2022-12-13
- Enhancement-
- „LoginType“ wurde auf „security_result.description“ zugeordnet.
- „LoginUrl“ wurde mit „principal.url“ verknüpft.
- Leere Prüfung für „ApiType“ und „LoginGeo.City“ hinzugefügt.
2022-09-02
- Enhancement-
- Die benutzerdefinierten Parser wurden in den Standardparser migriert.
2022-07-04
- Enhancement-
- Der Parser wurde so erweitert, dass er Logs mit dem Ereignistyp „LoginHistory“ verarbeiten kann.
- Bedingung zum Parsen verschiedener Zeitstempelformate hinzugefügt
- Bedingung für den Ereignistyp „USER_UNCATEGORIZED“ hinzugefügt, bei der „user_id“, „UserId“ oder „target_user_name“ nicht null ist.
- Validierung für das Parsen von „src_ip“ hinzugefügt.
2022-04-18
- Die Zuordnung für DOWNLOAD_FORMAT wurde von „metadata.ingestion_labels“ zu „target.resource.attribute.labels“ geändert.
2022-03-30
- Verbesserung: Der Ereignistyp für „LoginEventStream“ wurde in „USER_LOGIN“ geändert.
- Korrigierte Zuordnung für die Felder DOWNLOAD_FORMAT und ConnectedAppId.
- Es wurden Zuordnungen für bestimmte Felder hinzugefügt, wenn das Protokoll vom Typ „LoginEventStream“, „WaveDownload“ oder „ApiEventStream“ ist.