Salesforce ログを収集する

概要

このパーサーは、LEEF、CSV、JSON 形式の Salesforce ログを処理します。フィールドを抽出し、形式固有の処理（LEEF の Key-Value ペア、CSV 列、JSON 構造の処理）を行い、UDM にマッピングし、メタデータと派生フィールドでデータを拡充します。また、さまざまな Salesforce イベントタイプを処理し、ログイン、ログアウトなどのアクションに特定のロジックを適用し、イベントを分類して、適切な UDM イベントタイプを設定します。

始める前に

• Google SecOps インスタンスがあることを確認します。
• AWS IAM、S3、AppFlow への特権アクセス権があることを確認します。

Amazon S3 バケットを構成する

1. バケットを作成するのユーザーガイドに沿って、Amazon S3 バケットを作成します。
2. バケットの名前とリージョンを保存して、後で参照できるようにします。
3. IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
4. 作成したユーザーを選択します。
5. [セキュリティ認証情報] タブを選択します。
6. [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
7. [ユースケース] として [サードパーティ サービス] を選択します。
8. [次へ] をクリックします。
9. 省略可: 説明タグを追加します。
10. [Create access key] をクリックします。
11. [Download .csv file] をクリックします。（アクセスキーとシークレット アクセスキーを保存して、後で参照できるようにします）。
12. [完了] をクリックします。
13. [権限] タブを選択します。
14. [権限ポリシー] セクションで [権限を追加] をクリックします。
15. [権限を追加] を選択します。
16. [Attach policies directly] を選択します。
17. AmazonS3FullAccess ポリシーを検索します。
18. ポリシーを選択します。
19. [次へ] をクリックします。
20. [権限を追加] をクリックします。

Amazon AppFlow を構成する

1. Amazon AppFlow フローを作成します。
   • フロー名: フロー名を追加して [次へ] をクリックします。
   • データソース: データソースとして [Salesforce] を選択します。
   • 新しい接続を作成します。
   • Salesforce ログイン ウィンドウが表示されます。Salesforce の認証情報でログインします。
   • オブジェクト名を選択します（Salesforce から S3 バケットに転送するデータを選択します）。
   • データの宛先として [Amazon S3] を選択します。
   • フロー トリガーとして [スケジュール] を選択します。
   • [ソース フィールドを選択] で、すべてのフィールドを直接マッピングするか、マッピングするフィールドを指定します。
2. 構成を検証します。
   • Amazon AppFlow で作成したフローを選択し、[フローを実行] をクリックして Salesforce からデータを取得します。
   • これで、ログが S3 バケットに保存されます。

Salesforce ログを取り込むように Google SecOps でフィードを構成する

1. [SIEM 設定] > [フィード] に移動します。
2. [新しく追加] をクリックします。
3. [フィード名] フィールドに、フィードの名前を入力します（例: Salesforce ログ）。
4. [ソースタイプ] として [Amazon S3] を選択します。
5. [ログタイプ] として [Salesforce] を選択します。
6. [次へ] をクリックします。

7. 次の入力パラメータの値を指定します。

   • リージョン: Amazon S3 バケットが配置されているリージョン。
   • S3 URI: バケットの URI。s3:/BUCKET_NAME 次のように置き換えます。
     • BUCKET_NAME: バケットの名前。
   • URI は: S3 ストリームの構成に応じて URI TYPE を選択します。Single file | Directory | Directory which includes subdirectories。
   • ソース削除オプション: 必要に応じて削除オプションを選択します。
   • Access Key ID: s3 バケットにアクセスできるユーザー アクセスキー。
   • シークレット アクセスキー: s3 バケットにアクセスできるユーザーのシークレットの鍵。
   • アセットの名前空間: アセットの名前空間。
   • 取り込みラベル: このフィードのイベントに適用されるラベル。

8. [次へ] をクリックします。

9. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

UDM マッピング テーブル

ログフィールド	UDM マッピング	ロジック
Account.Name	target.resource.name	未加工ログの Account.Name の値。
AccountId	target.resource.id	未加工ログの AccountId の値。
Action	security_result.description	未加工ログの Action の値。
AdditionalInfo	-	IDM オブジェクトにマッピングされていません。
ApiType	target.application	未加工ログの ApiType の値。
ApiVersion	-	IDM オブジェクトにマッピングされていません。
Application	principal.application	未加工ログの Application の値、LoginAsEvent の場合は「Browser」、LoginEvent の場合は「Integration JWT Token」、objecttype が LoginHistory の LoginHistory の場合は「SfdcSiqActivityPlatform」、ApiEvent の場合は「N/A」、LoginAsEventStream の場合は「Browser」です。
attributes.url	target.url	元のログの attributes.url の値、または元のログのさまざまなイベントタイプの特定の URL。
attributes.type	metadata.product_event_type	未加工ログの attributes.type の値。
AuthSessionId	network.session_id	未加工ログの AuthSessionId の値。
Browser	principal.resource.name	元のログの Browser の値。元のログで Browser が利用できず、Application が「Insights」の場合は「不明」、ApiType が「SOAP Partner」の LoginHistory の場合は「Java（Salesforce.com）」、Application が「SfdcSiqActivityPlatform」の LoginHistory の場合は「不明」、LoginAsEventStream の場合は data.properties.Browser.str の値。
Case.Subject	target.resource.name	未加工ログの Case.Subject の値。
CaseId	target.resource.id	未加工ログの CaseId の値。
cat	metadata.product_event_type	未加工ログの cat の値。
City	principal.location.city	元のログの City の値、または LoginHistory の LoginGeo.City の値。
Client	principal.labels	未加工ログの Client の値（ラベルとしてフォーマット）。
CLIENT_IP	principal.ip、principal.asset.ip	未加工ログの CLIENT_IP の値。
ClientVersion	-	IDM オブジェクトにマッピングされていません。
CipherSuite	network.tls.cipher	未加工ログの CipherSuite の値。
ColumnHeaders	principal.labels	未加工ログの ColumnHeaders の値（ラベルとしてフォーマット）。
ConnectedAppId	principal.labels	未加工ログの ConnectedAppId の値（ラベルとしてフォーマット）。
Contact.Name	target.resource.name	未加工ログの Contact.Name の値。
ContactId	target.resource.id	未加工ログの ContactId の値。
Country	principal.location.country_or_region	未加工ログの Country の値、または LoginHistory の LoginGeo.Country の値。
CreatedByContext	principal.user.userid	未加工ログの CreatedByContext の値。
CreatedById	principal.resource.attribute.labels	未加工ログの CreatedById の値（ラベルとしてフォーマット）。
CreatedDate	metadata.collected_timestamp	未加工ログの CreatedDate の値。利用できない場合は現在のタイムスタンプ。
CPU_TIME	target.resource.attribute.labels	未加工ログの CPU_TIME の値（ラベルとしてフォーマット）。
data	-	抽出されて個別にマッピングされるさまざまなフィールドが含まれています。
DATASET_IDS	target.resource.name	未加工ログの DATASET_IDS の値。
DelegatedOrganizationId	target.administrative_domain	未加工ログの DelegatedOrganizationId の値。
DelegatedUsername	observer.user.userid	未加工ログの DelegatedUsername の値。
Description	metadata.description	未加工ログの Description の値。
DevicePlatform	principal.resource.type	リソースタイプを抽出するために解析された、未加工ログの DevicePlatform の値。
Display	metadata.description	未加工ログの Display の値。
DOWNLOAD_FORMAT	target.resource.attribute.labels	未加工ログの DOWNLOAD_FORMAT の値（ラベルとしてフォーマット）。
Duration	target.resource.attribute.labels	未加工ログの Duration の値（ラベルとしてフォーマット）。
ENTITY_NAME	target.resource.attribute.labels	未加工ログの ENTITY_NAME の値（ラベルとしてフォーマット）。
ErrorCode	security_result.action	未加工ログの ErrorCode の値。ALLOW または BLOCK に変換されます。
EventDate	timestamp	未加工ログの EventDate の値、または利用可能な場合は data.properties.TIMESTAMP_DERIVED.str、data.properties.TIMESTAMP_DERIVED_FIRST.str、@timestamp、created_date、timestamp、LoginHistory の場合は LoginTime の値。
EventIdentifier	metadata.product_log_id	未加工ログの EventIdentifier の値。
EventType	metadata.product_event_type	未加工ログの EventType の値。
Id	principal.user.userid	元のログの Id の値、または SetupAuditTrail などのイベントの場合は metadata.product_log_id の値。
IdentityUsed	principal.user.email_addresses	未加工ログの IdentityUsed の値。
Lead.Name	target.resource.name	未加工ログの Lead.Name の値。
LeadId	target.resource.id	未加工ログの LeadId の値。
LoginAsCategory	-	IDM オブジェクトにマッピングされていません。
LoginGeo.Country	principal.location.country_or_region	未加工ログの LoginGeo.Country の値。
LoginHistoryId	-	IDM オブジェクトにマッピングされていません。
LoginKey	principal.user.userid、network.session_id	未加工ログの LoginKey の値、または SetupAuditTrail の CreatedByContext の値。
LoginTime	timestamp	未加工ログの LoginTime の値。
LoginType	security_result.description	未加工ログの LoginType の値、または LoginHistory の ApiType が「SOAP Partner」の場合「Other Apex API」、Application が「SfdcSiqActivityPlatform」の場合「Remote Access 2.0」です。
LoginUrl	target.url、principal.url	未加工ログの LoginUrl の値。
LogFile	principal.resource.attribute.labels	未加工ログの LogFile の値（ラベルとしてフォーマット）。
LogFileContentType	principal.resource.attribute.labels	未加工ログの LogFileContentType の値（ラベルとしてフォーマット）。
LogFileLength	principal.resource.attribute.labels	未加工ログの LogFileLength の値（ラベルとしてフォーマット）。
Message	-	IDM オブジェクトにマッピングされていません。
METHOD	network.http.method	未加工ログの METHOD の値。
Name	target.application	未加工ログの Name の値。
NewValue	-	OldValue と組み合わせて使用し、security_result.summary を生成します。
NUMBER_FIELDS	target.resource.attribute.labels	未加工ログの NUMBER_FIELDS の値（ラベルとしてフォーマット）。
OldValue	-	NewValue と組み合わせて使用し、security_result.summary を生成します。
Operation	security_result.description、target.resource.attribute.labels	未加工ログの Operation の値、または SetupAuditTrail の Display の値。
OperationStatus	security_result.action	未加工ログの OperationStatus の値。ALLOW または BLOCK に変換されます。
ORGANIZATION_ID	target.administrative_domain	未加工ログの ORGANIZATION_ID の値。
OsName	principal.platform	未加工ログの OsName の値。
OsVersion	principal.platform_version	未加工ログの OsVersion の値。
Platform	principal.platform	元のログの Platform の値、LightningUriEventStream の場合は data.properties.OsName.str の値、LoginEventStream の場合は data.properties.OsName.str の値。
QueriedEntities	target.resource.name、principal.labels	元のログの QueriedEntities の値、または UriEvent と ApiEvent の component_name の値。
Query	target.process.command_line、principal.labels	未加工ログの Query の値。
RecordId	target.resource.id	未加工ログの RecordId の値。
Records	principal.labels	未加工ログの Records の値（ラベルとしてフォーマット）。
REQUEST_ID	metadata.product_log_id、target.resource.product_object_id	未加工ログの REQUEST_ID の値。
REQUEST_SIZE	network.sent_bytes	未加工ログの REQUEST_SIZE の値。
REQUEST_STATUS	security_result.summary	未加工ログの REQUEST_STATUS の値。
RESPONSE_SIZE	network.received_bytes	未加工ログの RESPONSE_SIZE の値。
RowsProcessed	target.resource.attribute.labels	未加工ログの RowsProcessed の値（ラベルとしてフォーマット）。
RUN_TIME	target.resource.attribute.labels	未加工ログの RUN_TIME の値（ラベルとしてフォーマット）。
SamlEntityUrl	-	IDM オブジェクトにマッピングされていません。
SdkAppType	-	IDM オブジェクトにマッピングされていません。
SdkAppVersion	-	IDM オブジェクトにマッピングされていません。
SdkVersion	-	IDM オブジェクトにマッピングされていません。
Section	security_result.summary	未加工ログの Section の値。
SessionKey	network.session_id	未加工ログの SessionKey の値。
SessionLevel	target.resource.attribute.labels	未加工ログの SessionLevel の値（ラベルとしてフォーマット）。
SourceIp	principal.ip、principal.asset.ip	未加工ログの SourceIp の値。
src	principal.ip、principal.asset.ip	未加工ログの src の値。
SsoType	target.resource.attribute.labels	未加工ログの SsoType の値（ラベルとしてフォーマット）。
STATUS_CODE	network.http.response_code	未加工ログの STATUS_CODE の値。
Status	security_result.action、security_result.action_details	元のログの Status の値。ALLOW または BLOCK に変換されるか、LoginEventStream のアクションの詳細として使用されます。
Subject	target.resource.name	未加工ログの Subject の値。
TargetUrl	-	IDM オブジェクトにマッピングされていません。
TIMESTAMP	metadata.collected_timestamp	未加工ログの TIMESTAMP の値。
TIMESTAMP_DERIVED	timestamp	未加工ログの TIMESTAMP_DERIVED の値。
TlsProtocol	network.tls.version_protocol	未加工ログの TlsProtocol の値。
URI	target.url	未加工ログの URI の値。
USER_AGENT	network.http.user_agent	未加工ログの USER_AGENT の値。
USER_ID	principal.user.userid	未加工ログの USER_ID の値。
USER_ID_DERIVED	principal.user.product_object_id、target.resource.attribute.labels	未加工ログの USER_ID_DERIVED の値。
UserId	principal.user.userid	未加工ログの UserId の値。
USER_TYPE	target.resource.attribute.labels	未加工ログの USER_TYPE の値（ラベルとしてフォーマット）。
Username	principal.user.userid、principal.user.email_addresses、target.user.email_addresses	元のログの Username の値、またはさまざまなイベントの src_email、IdentityProviderEventStore の IdentityUsed、Search と SearchAlert の data.properties.Email.str、LoginAsEventStream と LoginEventStream の data.properties.Username.str。
UserType	target.resource.attribute.labels	未加工ログの UserType の値（ラベルとしてフォーマット）。
usrName	principal.user.userid、principal.user.email_addresses、target.user.email_addresses	未加工ログの usrName の値。
VerificationMethod	target.resource.attribute.labels	未加工ログの VerificationMethod の値（ラベルとしてフォーマット）。
パーサー ロジック	metadata.event_type	event_id フィールドと operation フィールドに基づいて導出されます。または、LoginEventStream の場合は「USER_LOGIN」、Logout と LogoutEvent の場合は「USER_LOGOUT」、さまざまなイベントの場合は「USER_RESOURCE_UPDATE_CONTENT」、PlatformEncryption の場合は「USER_RESOURCE_UPDATE_PERMISSIONS」、QueuedExecution、ApexExecution、LightningInteraction、LightningPerformance、LightningPageView、URI、RestApi、API、AuraRequest、ApexCallout、OneCommerceUsage、Sites、MetadataApiOperation、OneCommerceUsage、VisualforceRequest、Dashboard、Search、ListViewEvent の場合は「RESOURCE_READ」、UriEvent と TimeBasedWorkflow の場合は Operation が「Create」または「INSERT」の場合に「RESOURCE_CREATION」、UriEvent と LightningUriEvent の場合は Operation が「Update」の場合に「RESOURCE_WRITTEN」、UriEvent の場合は Operation が「Delete」または「ROLLBACK」の場合に「RESOURCE_DELETION」、SetupAuditTrail と AuditTrail の場合は「USER_UNCATEGORIZED」、SetupAuditTrail の場合は operation が「namedCredentialEncryptedFieldChange」の場合に「USER_CHANGE_PASSWORD」、ApiEventStream と LightningUriEventStream の場合は「GENERIC_EVENT」、ネットワークとプリンシパルの存在に基づいて導出されます。
パーサー ロジック	metadata.ingestion_labels	イベントのソースを示すラベル（「イベントログ ファイル」、「リアルタイム イベント モニタリング」、「SetupAuditTrail」のいずれか）。
パーサー ロジック	metadata.log_type	常に「SALESFORCE」に設定します。
パーサー ロジック	metadata.product_name	常に「SALESFORCE」に設定します。
パーサー ロジック	metadata.vendor_name	常に「SALESFORCE」に設定します。
パーサー ロジック	metadata.url_back_to_product	LoginUrl、attributes.url、data.properties.PageUrl.str、data.properties.LoginUrl.str などのさまざまなフィールドから構成されます。
パーサー ロジック	network.application_protocol	uri フィールドが「http」で始まる場合は、「HTTPS」に設定します。
パーサー ロジック	network.http.referral_url	user_agent フィールドに「Referer="」が含まれている場合は、このフィールドから抽出されます。
パーサー ロジック	network.http.response_code	さまざまなイベントの request_status から派生します。
パーサー ロジック	network.http.user_agent	元のログの user_agent の値、ApiEventStream と LoginEventStream の data.properties.UserAgent.str の値、Sites イベントの値、Sites イベントの「User-Agent」の値。
パーサー ロジック	network.session_id	未加工ログの session_key または SESSION_KEY の値、または LoginKey や AuthSessionId などの他のフィールドから構築された値。
パーサー ロジック	network.tls.version	元のログの tls_protocol の値、または LoginEventStream の data.properties.TlsProtocol.str の値。
パーサー ロジック	principal.application	元のログの application の値、またはログイン: 成功イベントの場合は「Salesforce for Outlook」、アプリケーションのないログイン: 成功イベントの場合は「分析情報」、Lightning イベントの場合は device_platform から抽出された値。
パーサー ロジック	principal.asset.hostname	ホスト名の場合は client_ip の値。
パーサー ロジック	principal.asset.ip	値は client_ip、src_ip、SourceIp、CLIENT_IP（IP アドレスの場合）。
パーサー ロジック	principal.hostname	ホスト名の場合は client_ip の値。
パーサー ロジック	principal.ip	値は client_ip、src_ip、SourceIp、CLIENT_IP（IP アドレスの場合）。
パーサー ロジック	principal.labels	FederationIdentifier、ApiType、OrgId、channel などのさまざまなフィールドから構築されたラベル。
パーサー ロジック	principal.location.city	未加工ログの geoip_src.city_name、City、または LoginGeo.City の値。
パーサー ロジック	principal.location.country_or_region	未加工ログの geoip_src.country_name、Country、LoginGeo.Country、client_geo の値。
パーサー ロジック	principal.location.region_latitude	未加工ログの data.properties.LoginLatitude.number の値。
パーサー ロジック	principal.location.region_longitude	未加工ログの data.properties.LoginLongitude.number の値。
パーサー ロジック	principal.location.state	未加工ログの geoip_src.region_name の値。
パーサー ロジック	principal.platform	未加工ログの Platform、OsName、または os_name の値。または、Platform に「Windows」が含まれている LoginEventStream の場合は「WINDOWS」です。
パーサー ロジック	principal.platform_version	未加工ログの OsVersion または os_version の値、または Platform が「Windows」を含む LoginEventStream の Platform から抽出された値。
パーサー ロジック	principal.resource.attribute.labels	CreatedById、ApiVersion、LogFile、LogFileContentType、LogFileLength などのさまざまなフィールドから構成されるラベル。
パーサー ロジック	principal.resource.name	未加工ログの Browser または browser_name の値、または LoginHistory の「Java（Salesforce.com）」で、ApiType が「SOAP パートナー」の場合。
パーサー ロジック	principal.resource.type	Lightning イベントの場合は device_platform から、LoginAsEvent と LoginAsEventStream の場合は「ブラウザ」から抽出されます。
パーサー ロジック	principal.url	未加工ログの LoginUrl の値。
パーサー ロジック	principal.user.email_addresses	未加工ログの usrName、Username、src_email、IdentityUsed、data.properties.Username.str、data.properties.Email.str の値。
パーサー ロジック	principal.user.product_object_id	未加工ログの attrs.USER_ID_DERIVED または data.properties.USER_ID_DERIVED.str の値。
パーサー ロジック	principal.user.userid	未加工ログの usrName、Username、user_id、UserId、USER_ID、Id、LoginKey、CreatedByContext、data.properties.Username.str、data.properties.USER_ID.str、data.properties.LoginKey.str の値。
パーサー ロジック	security_result.action	未加工ログの Status、OperationStatus、ErrorCode、action、operation_status から派生し、ALLOW または BLOCK に変換されます。
パーサー ロジック	security_result.action_details	LoginEventStream の元のログの Status の値。
パーサー ロジック	security_result.description	未加工ログの LoginType、logintype、Operation、Action、Display の値。
パーサー ロジック	security_result.rule_name	未加工ログの Policy または rule_name の値。
パーサー ロジック	security_result.summary	未加工ログの NewValue と OldValue、または REQUEST_STATUS、Section、forecastcategory から作成されます。
パーサー ロジック	target.administrative_domain	未加工ログの ORGANIZATION_ID、DelegatedOrganizationId、organization_id、data.properties.OrgName.str の値。
パーサー ロジック	target.application	未加工ログの Application、app_name、ApiType、Name、data.properties.Application.str の値。
パーサー ロジック	target.asset.hostname	uri フィールドから抽出された target_hostname の値。
パーサー ロジック	target.asset.ip	未加工ログの data.properties.CLIENT_IP.str の値。
パーサー ロジック	target.asset_id	device_id または REQUEST_ID から作成されます。
パーサー ロジック	target.file.mime_type	未加工ログの file_type の値。
パーサー ロジック	target.file.size	未加工ログの size_bytes の値。
パーサー ロジック	target.hostname	uri フィールドから抽出された target_hostname の値。
パーサー ロジック	target.process.command_line	未加工ログの query_exec、Query、または data.properties.Query.str の値。
パーサー ロジック	target.process.pid	未加工ログの job_id の値。
パーサー ロジック	target.resource.attribute.labels	CPU_TIME、RUN_TIME、USER_TYPE、DB_TOTAL_TIME、MEDIA_TYPE、ROWS_PROCESSED、NUMBER_FIELDS、DB_BLOCKS、DB_CPU_TIME、ENTITY_NAME、EXCEPTION_MESSAGE、USER_ID_DERIVED、DOWNLOAD_FORMAT、USER_TYPE、CPU_TIME、RUN_TIME、WAVE_SESSION_ID、SessionLevel、verification_method、cpu_time、run_time、db_total_time、db_cpu_time、exec_time、callout_time、number_soql_queries、duration、user_type、entry_point、operation、session_level、rows_processed、sso_type、dashboard_type、Operation、SessionLevel などのさまざまなフィールドから構築されたラベル。
パーサー ロジック	target.resource.id	未加工ログの REQUEST_ID、RecordId、caseid、leadid、contactid、opportunityid、accountid の値。
パーサー ロジック	target.resource.name	未加工ログの QueriedEntities、resource_name、component_name、DATASET_IDS、field、StageName、Subject の値。
パーサー ロジック	target.resource.product_object_id	未加工ログの REQUEST_ID の値。
パーサー ロジック	target.resource.resource_type	ApexCallout と PlatformEncryption の場合は「ACCESS_POLICY」、ApexTrigger の場合は「DATABASE」、ContentTransfer の場合は「FILE」、ApiEvent の場合は「TABLE」に設定します。
パーサー ロジック	target.resource.type	対応する ID フィールドの有無に応じて、QueuedExecution と ApexExecution の場合は「BATCH」、ContentTransfer の場合は「FILE」、ApexTrigger の場合は「DATABASE_TRIGGER」、または「Case」、「Lead」、「Contact」、「Opportunity」、「Account」に設定します。
パーサー ロジック	target.url	未加工ログの LoginUrl、URI、attributes.url、login_url、uri の値。
パーサー ロジック	target.user.email_addresses	未加工ログの Username、attrs.usrName、または email_address の値。
パーサー ロジック	target.user.user_display_name	未加工ログの target_user_display_name、user_name、または username の値。
パーサー ロジック	target.user.userid	未加工ログの target_user_name、data.properties.UserId.str、または data.properties.CreatedById.str の値。
パーサー ロジック	extensions.auth.auth_details	Status が「Success」でない場合、「ACTIVE」に設定します。それ以外の場合は、「UNKNOWN_AUTHENTICATION_STATUS」に設定します。
パーサー ロジック	extensions.auth.mechanism	logintype に「Remote」が含まれているログイン: 成功イベントとログイン イベントの場合は「REMOTE」、LoginEventStream の場合は「USERNAME_PASSWORD」、login_url が存在するイベントの場合は「MECHANISM_OTHER」、ログイン: 成功イベントとログアウト イベントの場合は「AUTHTYPE_UNSPECIFIED」に設定します。
パーサー ロジック	extensions.auth.type	Login、Logout、LogoutEvent、LoginAs、IdentityProviderEventStore、LoginHistory、LoginAsEvent の場合は LoginType が「SAML Sfdc Initiated SSO」の場合は「SSO」に設定します。Login: Success、Logout、LoginAsEvent の場合は LoginType が「Application」の場合は「AUTHTYPE_UNSPECIFIED」に設定します。

変更点

2024-06-04

• 新しく取り込まれたログのサポートを追加しました。

2024-03-06

• フィールド「Id」のマッピングを「metadata.product_log_id」から「principal.user.userid」に変更しました。
• フィールド「CreatedById」のマッピングを「principal.user.userid」から「principal.resource.attribute.labels」に変更しました。
• 「IsDeleted」を「principal.resource.attribute.labels」にマッピングしました。
• 「LogFileLength」を「principal.resource.attribute.labels」にマッピングしました。
• 「LogFileContentType」を「principal.resource.attribute.labels」にマッピングしました。
• 「ApiVersion」を「principal.resource.attribute.labels」にマッピングしました。
• 「LogFile」を「principal.resource.attribute.labels」にマッピングしました。

2023-02-24

• Enhancement-
• アクションが「LOGIN_NO_ERROR」の場合、「security_result.action」を BLOCK ではなく ALLOW にマッピングしました。
• 「ログイン」イベントの場合 :
• 「action」は「security_result.action」にマッピングされます。
• 「target_user_name」は「target.user.userid」にマッピングされます。
• 「tls_protocol」を「network.tls.version_protocol」にマッピングしました。
• 「cipher_suite」を「network.tls.cipher」にマッピングしました。
• 「OsVersion」ブロックと「date」ブロックの「on_error」チェックを追加しました。

2022-12-13

• Enhancement-
• 「LoginType」を「security_result.description」にマッピングしました。
• 「LoginUrl」を「principal.url」にマッピングしました。
• 「ApiType」と「LoginGeo.City」の空チェックを追加しました。

2022-09-02

• Enhancement-
• カスタム パーサーをデフォルトのパーサーに移行しました。

2022-07-04

• Enhancement-
• パーサーを強化して、event_type が「LoginHistory」のログを解析できるようにしました。
• さまざまな形式のタイムスタンプを解析する条件を追加しました。
• event_type が「USER_UNCATEGORIZED」で、「user_id」、「UserId」、「target_user_name」が null ではない条件を追加しました。
• src_ip の解析の検証を追加しました。

2022-04-18

• 機能拡張 - DOWNLOAD_FORMAT のマッピングを「metadata.ingestion_labels」から「target.resource.attribute.labels」に変更しました。

2022-03-30

• 機能拡張 - 「LoginEventStream」の event_type を USER_LOGIN に変更しました。
• DOWNLOAD_FORMAT フィールドと ConnectedAppId フィールドのマッピングを修正しました。
• ログのタイプが LoginEventStream、WaveDownload、ApiEventStream の場合の特定のフィールドのマッピングを追加しました。