收集 Salesforce 日志
支持的平台:
Google SecOps
SIEM
概览
此解析器可处理 LEEF、CSV 和 JSON 格式的 Salesforce 日志。它会提取字段、执行格式专用处理(处理 LEEF 键值对、CSV 列和 JSON 结构),将其映射到 UDM,并使用元数据和派生字段丰富数据。该解析器还会处理各种 Salesforce 事件类型,为登录、退出登录和其他操作应用特定逻辑、对事件进行分类以及设置适当的 UDM 事件类型。
准备工作
- 确保您拥有 Google SecOps 实例。
- 确保您拥有对 AWS IAM、S3 和 AppFlow 的超级用户访问权限。
配置 Amazon S3 存储分区
- 按照以下用户指南创建 Amazon S3 存储分区:创建存储分区
- 保存存储分区的名称和区域,以备日后参考。
- 按照以下用户指南创建用户:创建 IAM 用户。
- 选择创建的用户。
- 选择安全凭据标签页。
- 点击访问密钥部分中的创建访问密钥。
- 选择第三方服务作为用例。
- 点击下一步。
- 可选:添加说明标记。
- 点击创建访问密钥。
- 点击下载 .csv 文件。(请保存访问密钥和私有访问密钥,以备日后参考)。
- 点击完成。
- 选择权限标签页。
- 在权限政策部分中,点击添加权限。
- 选择添加权限。
- 选择直接附加政策。
- 搜索 AmazonS3FullAccess 政策。
- 选择相应政策。
- 点击下一步。
- 点击添加权限。
配置 Amazon AppFlow
- 创建 Amazon AppFlow 流程:
- 流程名称:添加流程名称,然后点击下一步。
- 数据源:选择 Salesforce 作为数据源。
- 创建新连接。
- 系统随即会显示 Salesforce 登录窗口。使用您的 Salesforce 凭据登录。
- 选择对象名称(选择要从 Salesforce 传输到 S3 存储分区的数据)。
- 选择 Amazon S3 作为数据目标位置。
- 选择安排作为数据流触发器。
- 在选择来源字段中,您可以直接映射所有字段,也可以指定要映射的字段。
- 验证配置:
- 在 Amazon AppFlow 中,选择您创建的流程,然后点击运行流程以从 Salesforce 提取数据。
- 日志现在应该位于您的 S3 存储分区中。
在 Google SecOps 中配置 Feed 以提取 Salesforce 日志
- 依次前往 SIEM 设置 > Feed。
- 点击新增。
- 在 Feed 名称字段中,输入 Feed 的名称(例如 Salesforce 日志)。
- 选择 Amazon S3 作为来源类型。
- 选择 Salesforce 作为日志类型。
- 点击下一步。
为以下输入参数指定值:
- 区域:Amazon S3 存储分区所在的区域。
- S3 URI:存储分区 URI。
s3:/BUCKET_NAME替换以下内容:BUCKET_NAME:存储分区的名称。
- URI 是:根据 S3 数据流配置选择 URI 类型:
Single file|Directory|Directory which includes subdirectories。 - 来源删除选项:根据您的偏好选择删除选项。
- 访问密钥 ID:有权访问 S3 存储分区的用户访问密钥。
- 私有访问密钥:有权访问 S3 存储分区的用户私钥。
- 资源命名空间:资源命名空间。
- 提取标签:要应用于此 Feed 中的事件的标签。
点击下一步。
在最终确定界面中查看新的 Feed 配置,然后点击提交。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
Account.Name |
target.resource.name |
原始日志中的 Account.Name 值。 |
AccountId |
target.resource.id |
原始日志中的 AccountId 值。 |
Action |
security_result.description |
原始日志中的 Action 值。 |
AdditionalInfo |
- | 未映射到 IDM 对象。 |
ApiType |
target.application |
原始日志中的 ApiType 值。 |
ApiVersion |
- | 未映射到 IDM 对象。 |
Application |
principal.application |
原始日志中的 Application 的值,或者“Browser”(LoginAsEvent),或者“Integration JWT Token”(LoginEvent),或者“SfdcSiqActivityPlatform”(对象类型为 LoginHistory 的 LoginHistory),或者“N/A”(ApiEvent),或者“Browser”(LoginAsEventStream)。 |
attributes.url |
target.url |
原始日志中的 attributes.url 值,或原始日志中各种事件类型的具体网址。 |
attributes.type |
metadata.product_event_type |
原始日志中的 attributes.type 值。 |
AuthSessionId |
network.session_id |
原始日志中的 AuthSessionId 值。 |
Browser |
principal.resource.name |
原始日志中的 Browser 的值;如果原始日志中不提供 Browser 且 Application 为“Insights”,则为“Unknown”;如果是 LoginHistory,则为“Java (Salesforce.com)”,其中 ApiType 为“SOAP Partner”;如果是 LoginHistory,则为“Unknown”,其中 Application 为“SfdcSiqActivityPlatform”;如果是 LoginAsEventStream,则为 data.properties.Browser.str 中的值。 |
Case.Subject |
target.resource.name |
原始日志中的 Case.Subject 值。 |
CaseId |
target.resource.id |
原始日志中的 CaseId 值。 |
cat |
metadata.product_event_type |
原始日志中的 cat 值。 |
City |
principal.location.city |
原始日志中的 City 值,或 LoginHistory 的 LoginGeo.City 中的值。 |
Client |
principal.labels |
原始日志中的 Client 值,采用标签格式。 |
CLIENT_IP |
principal.ip,principal.asset.ip |
原始日志中的 CLIENT_IP 值。 |
ClientVersion |
- | 未映射到 IDM 对象。 |
CipherSuite |
network.tls.cipher |
原始日志中的 CipherSuite 值。 |
ColumnHeaders |
principal.labels |
原始日志中的 ColumnHeaders 值,采用标签格式。 |
ConnectedAppId |
principal.labels |
原始日志中的 ConnectedAppId 值,采用标签格式。 |
Contact.Name |
target.resource.name |
原始日志中的 Contact.Name 值。 |
ContactId |
target.resource.id |
原始日志中的 ContactId 值。 |
Country |
principal.location.country_or_region |
原始日志中的 Country 的值,对于 LoginHistory,则为 LoginGeo.Country。 |
CreatedByContext |
principal.user.userid |
原始日志中的 CreatedByContext 值。 |
CreatedById |
principal.resource.attribute.labels |
原始日志中的 CreatedById 值,采用标签格式。 |
CreatedDate |
metadata.collected_timestamp |
原始日志中的 CreatedDate 的值,如果未提供,则为当前时间戳。 |
CPU_TIME |
target.resource.attribute.labels |
原始日志中的 CPU_TIME 值,采用标签格式。 |
data |
- | 包含单独提取和映射的各种字段。 |
DATASET_IDS |
target.resource.name |
原始日志中的 DATASET_IDS 值。 |
DelegatedOrganizationId |
target.administrative_domain |
原始日志中的 DelegatedOrganizationId 值。 |
DelegatedUsername |
observer.user.userid |
原始日志中的 DelegatedUsername 值。 |
Description |
metadata.description |
原始日志中的 Description 值。 |
DevicePlatform |
principal.resource.type |
原始日志中的 DevicePlatform 值,系统会对其进行解析以提取资源类型。 |
Display |
metadata.description |
原始日志中的 Display 值。 |
DOWNLOAD_FORMAT |
target.resource.attribute.labels |
原始日志中的 DOWNLOAD_FORMAT 值,采用标签格式。 |
Duration |
target.resource.attribute.labels |
原始日志中的 Duration 值,采用标签格式。 |
ENTITY_NAME |
target.resource.attribute.labels |
原始日志中的 ENTITY_NAME 值,采用标签格式。 |
ErrorCode |
security_result.action |
原始日志中的 ErrorCode 值,转换为“允许”或“屏蔽”。 |
EventDate |
timestamp |
原始日志中的 EventDate 的值,或 data.properties.TIMESTAMP_DERIVED.str(如果有)、data.properties.TIMESTAMP_DERIVED_FIRST.str(如果有)、@timestamp(如果有)、created_date(如果有)、timestamp(如果有),对于 LoginHistory,则为 LoginTime。 |
EventIdentifier |
metadata.product_log_id |
原始日志中的 EventIdentifier 值。 |
EventType |
metadata.product_event_type |
原始日志中的 EventType 值。 |
Id |
principal.user.userid |
原始日志中的 Id 值,对于 SetupAuditTrail 和其他事件,则为 metadata.product_log_id。 |
IdentityUsed |
principal.user.email_addresses |
原始日志中的 IdentityUsed 值。 |
Lead.Name |
target.resource.name |
原始日志中的 Lead.Name 值。 |
LeadId |
target.resource.id |
原始日志中的 LeadId 值。 |
LoginAsCategory |
- | 未映射到 IDM 对象。 |
LoginGeo.Country |
principal.location.country_or_region |
原始日志中的 LoginGeo.Country 值。 |
LoginHistoryId |
- | 未映射到 IDM 对象。 |
LoginKey |
principal.user.userid,network.session_id |
原始日志中的 LoginKey 的值,或 SetupAuditTrail 的 CreatedByContext。 |
LoginTime |
timestamp |
原始日志中的 LoginTime 值。 |
LoginType |
security_result.description |
原始日志中的 LoginType 的值;如果是 LoginHistory,则为“其他 Apex API”(将 ApiType 设为“SOAP 合作伙伴”);如果是 LoginHistory,则为“远程访问 2.0”(将 Application 设为“SfdcSiqActivityPlatform”)。 |
LoginUrl |
target.url,principal.url |
原始日志中的 LoginUrl 值。 |
LogFile |
principal.resource.attribute.labels |
原始日志中的 LogFile 值,采用标签格式。 |
LogFileContentType |
principal.resource.attribute.labels |
原始日志中的 LogFileContentType 值,采用标签格式。 |
LogFileLength |
principal.resource.attribute.labels |
原始日志中的 LogFileLength 值,采用标签格式。 |
Message |
- | 未映射到 IDM 对象。 |
METHOD |
network.http.method |
原始日志中的 METHOD 值。 |
Name |
target.application |
原始日志中的 Name 值。 |
NewValue |
- | 与 OldValue 结合使用以生成 security_result.summary。 |
NUMBER_FIELDS |
target.resource.attribute.labels |
原始日志中的 NUMBER_FIELDS 值,采用标签格式。 |
OldValue |
- | 与 NewValue 结合使用以生成 security_result.summary。 |
Operation |
security_result.description,target.resource.attribute.labels |
原始日志中的 Operation 的值,或 SetupAuditTrail 的 Display。 |
OperationStatus |
security_result.action |
原始日志中的 OperationStatus 值,转换为“允许”或“屏蔽”。 |
ORGANIZATION_ID |
target.administrative_domain |
原始日志中的 ORGANIZATION_ID 值。 |
OsName |
principal.platform |
原始日志中的 OsName 值。 |
OsVersion |
principal.platform_version |
原始日志中的 OsVersion 值。 |
Platform |
principal.platform |
原始日志中的 Platform 的值,或 LightningUriEventStream 中的 data.properties.OsName.str 的值,或 LoginEventStream 中的 data.properties.OsName.str 的值。 |
QueriedEntities |
target.resource.name,principal.labels |
原始日志中的 QueriedEntities 值,对于 UriEvent 和 ApiEvent,则为 component_name。 |
Query |
target.process.command_line,principal.labels |
原始日志中的 Query 值。 |
RecordId |
target.resource.id |
原始日志中的 RecordId 值。 |
Records |
principal.labels |
原始日志中的 Records 值,采用标签格式。 |
REQUEST_ID |
metadata.product_log_id,target.resource.product_object_id |
原始日志中的 REQUEST_ID 值。 |
REQUEST_SIZE |
network.sent_bytes |
原始日志中的 REQUEST_SIZE 值。 |
REQUEST_STATUS |
security_result.summary |
原始日志中的 REQUEST_STATUS 值。 |
RESPONSE_SIZE |
network.received_bytes |
原始日志中的 RESPONSE_SIZE 值。 |
RowsProcessed |
target.resource.attribute.labels |
原始日志中的 RowsProcessed 值,采用标签格式。 |
RUN_TIME |
target.resource.attribute.labels |
原始日志中的 RUN_TIME 值,采用标签格式。 |
SamlEntityUrl |
- | 未映射到 IDM 对象。 |
SdkAppType |
- | 未映射到 IDM 对象。 |
SdkAppVersion |
- | 未映射到 IDM 对象。 |
SdkVersion |
- | 未映射到 IDM 对象。 |
Section |
security_result.summary |
原始日志中的 Section 值。 |
SessionKey |
network.session_id |
原始日志中的 SessionKey 值。 |
SessionLevel |
target.resource.attribute.labels |
原始日志中的 SessionLevel 值,采用标签格式。 |
SourceIp |
principal.ip,principal.asset.ip |
原始日志中的 SourceIp 值。 |
src |
principal.ip,principal.asset.ip |
原始日志中的 src 值。 |
SsoType |
target.resource.attribute.labels |
原始日志中的 SsoType 值,采用标签格式。 |
STATUS_CODE |
network.http.response_code |
原始日志中的 STATUS_CODE 值。 |
Status |
security_result.action,security_result.action_details |
原始日志中的 Status 值,会转换为“允许”或“屏蔽”,或用作 LoginEventStream 的操作详情。 |
Subject |
target.resource.name |
原始日志中的 Subject 值。 |
TargetUrl |
- | 未映射到 IDM 对象。 |
TIMESTAMP |
metadata.collected_timestamp |
原始日志中的 TIMESTAMP 值。 |
TIMESTAMP_DERIVED |
timestamp |
原始日志中的 TIMESTAMP_DERIVED 值。 |
TlsProtocol |
network.tls.version_protocol |
原始日志中的 TlsProtocol 值。 |
URI |
target.url |
原始日志中的 URI 值。 |
USER_AGENT |
network.http.user_agent |
原始日志中的 USER_AGENT 值。 |
USER_ID |
principal.user.userid |
原始日志中的 USER_ID 值。 |
USER_ID_DERIVED |
principal.user.product_object_id,target.resource.attribute.labels |
原始日志中的 USER_ID_DERIVED 值。 |
UserId |
principal.user.userid |
原始日志中的 UserId 值。 |
USER_TYPE |
target.resource.attribute.labels |
原始日志中的 USER_TYPE 值,采用标签格式。 |
Username |
principal.user.userid、principal.user.email_addresses、target.user.email_addresses |
原始日志中的 Username 值,或各种事件的 src_email 值,或 IdentityProviderEventStore 的 IdentityUsed 值,或 Search 和 SearchAlert 的 data.properties.Email.str 值,或 LoginAsEventStream 和 LoginEventStream 的 data.properties.Username.str 值。 |
UserType |
target.resource.attribute.labels |
原始日志中的 UserType 值,采用标签格式。 |
usrName |
principal.user.userid、principal.user.email_addresses、target.user.email_addresses |
原始日志中的 usrName 值。 |
VerificationMethod |
target.resource.attribute.labels |
原始日志中的 VerificationMethod 值,采用标签格式。 |
| 解析器逻辑 | metadata.event_type |
根据 event_id 和 operation 字段派生,或将其设置为:对于 LoginEventStream,设置为“USER_LOGIN”;对于 Logout 和 LogoutEvent,设置为“USER_LOGOUT”;对于各种事件,设置为“USER_RESOURCE_UPDATE_CONTENT”;对于 PlatformEncryption,设置为“USER_RESOURCE_UPDATE_PERMISSIONS”;对于 QueuedExecution、ApexExecution、LightningInteraction、LightningPerformance、LightningPageView、URI、RestApi、API、AuraRequest、ApexCallout、OneCommerceUsage、Sites、MetadataApiOperation、OneCommerceUsage、VisualforceRequest、Dashboard、Search、ListViewEvent,设置为“RESOURCE_READ”;对于 UriEvent 和 TimeBasedWorkflow,将 Operation 设置为“Create”或“INSERT”,设置为“RESOURCE_CREATION”;对于 UriEvent 和 LightningUriEvent,将 Operation 设置为“Update”,设置为“RESOURCE_WRITTEN”;对于 UriEvent,将 Operation 设置为“Delete”或“ROLLBACK”,设置为“RESOURCE_DELETION”;对于 SetupAuditTrail 和 AuditTrail,设置为“USER_UNCATEGORIZED”;对于 SetupAuditTrail,将 operation 设置为“namedCredentialEncryptedFieldChange”,设置为“USER_CHANGE_PASSWORD”;对于 ApiEventStream 和 LightningUriEventStream,设置为“GENERIC_EVENT”,或根据网络和正文存在情况进行设置。 |
| 解析器逻辑 | metadata.ingestion_labels |
用于指明事件来源的标签,可以是“事件日志文件”“实时事件监控”或“SetupAuditTrail”。 |
| 解析器逻辑 | metadata.log_type |
始终设置为“SALESFORCE”。 |
| 解析器逻辑 | metadata.product_name |
始终设置为“SALESFORCE”。 |
| 解析器逻辑 | metadata.vendor_name |
始终设置为“SALESFORCE”。 |
| 解析器逻辑 | metadata.url_back_to_product |
由 LoginUrl、attributes.url、data.properties.PageUrl.str、data.properties.LoginUrl.str 等各种字段构建而成。 |
| 解析器逻辑 | network.application_protocol |
如果 uri 字段以“http”开头,请将其设置为“HTTPS”。 |
| 解析器逻辑 | network.http.referral_url |
如果 user_agent 字段包含“Referer=",则从该字段中提取。 |
| 解析器逻辑 | network.http.response_code |
派生自 request_status,用于各种事件。 |
| 解析器逻辑 | network.http.user_agent |
原始日志中的 user_agent 的值,或 ApiEventStream 和 LoginEventStream 的 data.properties.UserAgent.str 的值,或 Sites 事件中的值,或 Sites 事件中的“User-Agent”。 |
| 解析器逻辑 | network.session_id |
原始日志中的 session_key 或 SESSION_KEY 的值,或通过其他字段(例如 LoginKey 或 AuthSessionId)构建的值。 |
| 解析器逻辑 | network.tls.version |
原始日志中的 tls_protocol 的值,对于 LoginEventStream,则为 data.properties.TlsProtocol.str 中的值。 |
| 解析器逻辑 | principal.application |
原始日志中的 application 的值,对于“登录:成功”事件,为“Salesforce for Outlook”;对于没有“应用”的“登录:成功”事件,为“数据分析”;对于 Lightning 事件,为从 device_platform 中提取的值。 |
| 解析器逻辑 | principal.asset.hostname |
如果 client_ip 是主机名,则为其值。 |
| 解析器逻辑 | principal.asset.ip |
如果是 IP 地址,则为 client_ip、src_ip、SourceIp 或 CLIENT_IP 的值。 |
| 解析器逻辑 | principal.hostname |
如果 client_ip 是主机名,则为其值。 |
| 解析器逻辑 | principal.ip |
如果是 IP 地址,则为 client_ip、src_ip、SourceIp 或 CLIENT_IP 的值。 |
| 解析器逻辑 | principal.labels |
由 FederationIdentifier、ApiType、OrgId、channel 等各种字段构建的标签。 |
| 解析器逻辑 | principal.location.city |
原始日志中的 geoip_src.city_name、City 或 LoginGeo.City 的值。 |
| 解析器逻辑 | principal.location.country_or_region |
原始日志中的 geoip_src.country_name、Country、LoginGeo.Country 或 client_geo 的值。 |
| 解析器逻辑 | principal.location.region_latitude |
原始日志中的 data.properties.LoginLatitude.number 值。 |
| 解析器逻辑 | principal.location.region_longitude |
原始日志中的 data.properties.LoginLongitude.number 值。 |
| 解析器逻辑 | principal.location.state |
原始日志中的 geoip_src.region_name 值。 |
| 解析器逻辑 | principal.platform |
原始日志中的 Platform、OsName 或 os_name 的值,对于 LoginEventStream,如果 Platform 包含“Windows”,则为“WINDOWS”。 |
| 解析器逻辑 | principal.platform_version |
原始日志中的 OsVersion 或 os_version 的值,或从 Platform 中提取的 LoginEventStream 的值(其中 Platform 包含“Windows”)。 |
| 解析器逻辑 | principal.resource.attribute.labels |
由各种字段(例如 CreatedById、ApiVersion、LogFile、LogFileContentType、LogFileLength)构建的标签。 |
| 解析器逻辑 | principal.resource.name |
原始日志中的 Browser 或 browser_name 的值,或者 LoginHistory 的“Java (Salesforce.com)”,其中 ApiType 为“SOAP 合作伙伴”。 |
| 解析器逻辑 | principal.resource.type |
对于 Lightning 事件,从 device_platform 中提取;对于 LoginAsEvent 和 LoginAsEventStream,则为“浏览器”。 |
| 解析器逻辑 | principal.url |
原始日志中的 LoginUrl 值。 |
| 解析器逻辑 | principal.user.email_addresses |
原始日志中的 usrName、Username、src_email、IdentityUsed、data.properties.Username.str 或 data.properties.Email.str 的值。 |
| 解析器逻辑 | principal.user.product_object_id |
原始日志中的 attrs.USER_ID_DERIVED 或 data.properties.USER_ID_DERIVED.str 的值。 |
| 解析器逻辑 | principal.user.userid |
原始日志中的 usrName、Username、user_id、UserId、USER_ID、Id、LoginKey、CreatedByContext、data.properties.Username.str、data.properties.USER_ID.str 或 data.properties.LoginKey.str 的值。 |
| 解析器逻辑 | security_result.action |
从原始日志中的 Status、OperationStatus、ErrorCode、action 或 operation_status 派生而来,转换为“允许”或“屏蔽”。 |
| 解析器逻辑 | security_result.action_details |
LoginEventStream 的原始日志中的 Status 值。 |
| 解析器逻辑 | security_result.description |
原始日志中的 LoginType、logintype、Operation、Action 或 Display 的值。 |
| 解析器逻辑 | security_result.rule_name |
原始日志中的 Policy 或 rule_name 的值。 |
| 解析器逻辑 | security_result.summary |
由原始日志中的 NewValue 和 OldValue 或 REQUEST_STATUS 或 Section 或 forecastcategory 构建而成。 |
| 解析器逻辑 | target.administrative_domain |
原始日志中的 ORGANIZATION_ID、DelegatedOrganizationId、organization_id 或 data.properties.OrgName.str 的值。 |
| 解析器逻辑 | target.application |
原始日志中的 Application、app_name、ApiType、Name 或 data.properties.Application.str 的值。 |
| 解析器逻辑 | target.asset.hostname |
从 uri 字段中提取的 target_hostname 的值。 |
| 解析器逻辑 | target.asset.ip |
原始日志中的 data.properties.CLIENT_IP.str 值。 |
| 解析器逻辑 | target.asset_id |
由 device_id 或 REQUEST_ID 构建而成。 |
| 解析器逻辑 | target.file.mime_type |
原始日志中的 file_type 值。 |
| 解析器逻辑 | target.file.size |
原始日志中的 size_bytes 值。 |
| 解析器逻辑 | target.hostname |
从 uri 字段中提取的 target_hostname 的值。 |
| 解析器逻辑 | target.process.command_line |
原始日志中的 query_exec、Query 或 data.properties.Query.str 的值。 |
| 解析器逻辑 | target.process.pid |
原始日志中的 job_id 值。 |
| 解析器逻辑 | target.resource.attribute.labels |
从各种字段构建的标签,例如 CPU_TIME、RUN_TIME、USER_TYPE、DB_TOTAL_TIME、MEDIA_TYPE、ROWS_PROCESSED、NUMBER_FIELDS、DB_BLOCKS、DB_CPU_TIME、ENTITY_NAME、EXCEPTION_MESSAGE、USER_ID_DERIVED、DOWNLOAD_FORMAT、USER_TYPE、CPU_TIME、RUN_TIME、WAVE_SESSION_ID、SessionLevel、verification_method、cpu_time、run_time、db_total_time、db_cpu_time、exec_time、callout_time、number_soql_queries、duration、user_type、entry_point、operation、session_level、rows_processed、sso_type、dashboard_type、Operation、SessionLevel。 |
| 解析器逻辑 | target.resource.id |
原始日志中的 REQUEST_ID、RecordId、caseid、leadid、contactid、opportunityid 或 accountid 的值。 |
| 解析器逻辑 | target.resource.name |
原始日志中的 QueriedEntities、resource_name、component_name、DATASET_IDS、field、StageName 或 Subject 的值。 |
| 解析器逻辑 | target.resource.product_object_id |
原始日志中的 REQUEST_ID 值。 |
| 解析器逻辑 | target.resource.resource_type |
对于 ApexCallout 和 PlatformEncryption,请将其设置为“ACCESS_POLICY”;对于 ApexTrigger,请将其设置为“DATABASE”;对于 ContentTransfer,请将其设置为“FILE”;对于 ApiEvent,请将其设置为“TABLE”。 |
| 解析器逻辑 | target.resource.type |
请根据是否存在相应的 ID 字段,将其设置为“BATCH”(对于 QueuedExecution 和 ApexExecution)、“FILE”(对于 ContentTransfer)、“DATABASE_TRIGGER”(对于 ApexTrigger),或“Case”“Lead”“Contact”“Opportunity”“Account”。 |
| 解析器逻辑 | target.url |
原始日志中的 LoginUrl、URI、attributes.url、login_url 或 uri 的值。 |
| 解析器逻辑 | target.user.email_addresses |
原始日志中的 Username、attrs.usrName 或 email_address 的值。 |
| 解析器逻辑 | target.user.user_display_name |
原始日志中的 target_user_display_name、user_name 或 username 的值。 |
| 解析器逻辑 | target.user.userid |
原始日志中的 target_user_name、data.properties.UserId.str 或 data.properties.CreatedById.str 的值。 |
| 解析器逻辑 | extensions.auth.auth_details |
如果 Status 不是“成功”,则设置为“有效”,否则设置为“UNKNOWN_AUTHENTICATION_STATUS”。 |
| 解析器逻辑 | extensions.auth.mechanism |
对于 logintype 包含“Remote”的“登录:成功”和“登录”事件,请将其设置为“REMOTE”;对于 LoginEventStream,请将其设置为“USERNAME_PASSWORD”;对于包含 login_url 的事件,请将其设置为“MECHANISM_OTHER”;对于“登录:成功”和“退出”事件,请将其设置为“AUTHTYPE_UNSPECIFIED”。 |
| 解析器逻辑 | extensions.auth.type |
对于登录、退出、LogoutEvent、LoginAs、IdentityProviderEventStore、LoginHistory、LoginAsEvent(LoginType 为“SAML Sfdc Initiated SSO”)设置为“SSO”,对于登录:成功、退出、LoginAsEvent(LoginType 为“Application”)设置为“AUTHTYPE_UNSPECIFIED”。 |
更改
2024-06-04
- 添加了对新提取的日志的支持。
2024-03-06
- 将“Id”字段的映射从“metadata.product_log_id”更改为“principal.user.userid”。
- 将“CreatedById”字段的映射从“principal.user.userid”更改为“principal.resource.attribute.labels”。
- 将“IsDeleted”映射到“principal.resource.attribute.labels”。
- 将“LogFileLength”映射到“principal.resource.attribute.labels”。
- 将“LogFileContentType”映射到“principal.resource.attribute.labels”。
- 将“ApiVersion”映射到“principal.resource.attribute.labels”。
- 将“LogFile”映射到“principal.resource.attribute.labels”。
2023-02-24
- 增强功能-
- 如果操作为“LOGIN_NO_ERROR”,则“security_result.action”会映射到 ALLOW,而不是 BLOCK。
- 对于“登录”事件:
- “action”已映射到“security_result.action”。
- “target_user_name”已映射到“target.user.userid”。
- “tls_protocol”已映射到“network.tls.version_protocol”。
- “cipher_suite”已映射到“network.tls.cipher”。
- 为“OsVersion”和“date”块添加了“on_error”检查。
2022-12-13
- 增强功能-
- 将“LoginType”映射到“security_result.description”。
- 将“LoginUrl”映射到“principal.url”。
- 添加了“ApiType”和“LoginGeo.City”的空值检查。
2022-09-02
- 增强功能-
- 将自定义解析器迁移到了默认解析器。
2022-07-04
- 增强功能-
- 增强了解析器,以解析 event_type 为“LoginHistory”的日志。
- 添加了用于解析不同格式时间戳的条件。
- 针对 event_type 为“USER_UNCATEGORIZED”且“user_id”“UserId”或“target_user_name”不为 null 的情况添加了条件。
- 添加了用于解析 src_ip 的验证。
2022-04-18
- 改进了 DOWNLOAD_FORMAT 的映射,将其从“metadata.ingestion_labels”改为“target.resource.attribute.labels”。
2022-03-30
- 增强功能 - 将“LoginEventStream”的 event_type 更改为 USER_LOGIN。
- 更正了 DOWNLOAD_FORMAT 和 ConnectedAppId 字段的映射。
- 添加了在日志类型为 LoginEventStream、WaveDownload、ApiEventStream 时针对特定字段的映射。