Salesforce-Logs erfassen

Unterstützt in:

Übersicht

Dieser Parser verarbeitet Salesforce-Logs in den Formaten LEEF, CSV und JSON. Sie extrahiert Felder, führt formatspezifische Verarbeitungsschritte aus (LEEF-Schlüssel/Wert-Paare, CSV-Spalten und JSON-Strukturen werden verarbeitet), ordnet sie dem UDM zu und reichert die Daten mit Metadaten und abgeleiteten Feldern an. Der Parser verarbeitet auch verschiedene Salesforce-Ereignistypen, wendet spezifische Logik für Anmeldungen, Abmeldungen und andere Aktionen an, kategorisiert Ereignisse und legt geeignete UDM-Ereignistypen fest.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz.
  • Privilegierter Zugriff auf AWS IAM, S3 und AppFlow.

Amazon S3-Bucket konfigurieren

  1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu der Anleitung unter Bucket erstellen.
  2. Speichern Sie den Namen und die Region des Buckets zur späteren Verwendung.
  3. Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
  4. Wählen Sie den erstellten Nutzer aus.
  5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
  6. Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
  7. Wählen Sie als Anwendungsfall Drittanbieterdienst aus.
  8. Klicken Sie auf Weiter.
  9. Optional: Fügen Sie ein Beschreibungstag hinzu.
  10. Klicken Sie auf Zugriffsschlüssel erstellen.
  11. Klicken Sie auf CSV-Datei herunterladen. Speichern Sie den Zugriffsschlüssel und den geheimen Zugriffsschlüssel für die spätere Verwendung.
  12. Klicken Sie auf Fertig.
  13. Wählen Sie den Tab Berechtigungen aus.
  14. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
  15. Wählen Sie Berechtigungen hinzufügen aus.
  16. Wählen Sie Richtlinien direkt anhängen aus.
  17. Suchen Sie nach der Richtlinie AmazonS3FullAccess.
  18. Wählen Sie die Richtlinie aus.
  19. Klicken Sie auf Weiter.
  20. Klicken Sie auf Berechtigungen hinzufügen.

Amazon AppFlow konfigurieren

  1. Amazon AppFlow-Flow erstellen:
    • Ablaufname: Geben Sie einen Namen für den Ablauf ein und klicken Sie auf Weiter.
    • Datenquelle: Wählen Sie Salesforce als Datenquelle aus.
    • Neue Verbindung erstellen
    • Ein Salesforce-Anmeldefenster wird angezeigt. Melden Sie sich mit Ihren Salesforce-Anmeldedaten an.
    • Wählen Sie den Objektnamen aus (wählen Sie die Daten aus, die Sie von Salesforce in den S3-Bucket übertragen möchten).
    • Wählen Sie Amazon S3 als Datenziel aus.
    • Wählen Sie Planen als Flow-Trigger aus.
    • Unter Quellfelder auswählen können Sie entweder Alle Felder direkt zuordnen oder angeben, welche Felder zugeordnet werden sollen.
  2. Konfiguration validieren:
    • Wählen Sie in Amazon AppFlow den erstellten Flow aus und klicken Sie auf Run flow (Flow ausführen), um Daten aus Salesforce abzurufen.
    • Die Logs sollten sich jetzt in Ihrem S3-Bucket befinden.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Salesforce Logs (Salesforce-Protokolle).
  5. Wählen Sie Amazon S3 als Quelltyp aus.
  6. Wählen Sie Salesforce als Log-Typ aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Region: Die Region, in der sich der Amazon S3-Bucket befindet.
    • S3-URI: Der Bucket-URI. s3:/BUCKET_NAME Ersetzen Sie Folgendes:
      • BUCKET_NAME: der Name des Buckets.
    • URI is a (URI ist ein): Wählen Sie den URI-TYP entsprechend der S3-Streamkonfiguration aus: Single file | Directory | Directory which includes subdirectories.
    • Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option aus.
    • Zugriffsschlüssel-ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
    • Secret Access Key (Geheimer Zugriffsschlüssel): Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Region: Die Region, in der sich der Amazon S3-Bucket befindet.
  • S3-URI: Der Bucket-URI. s3:/BUCKET_NAME Ersetzen Sie Folgendes:
    • BUCKET_NAME: der Name des Buckets.
  • URI is a (URI ist ein): Wählen Sie den URI-TYP entsprechend der S3-Streamkonfiguration aus: Single file | Directory | Directory which includes subdirectories.
  • Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option aus.
  • Zugriffsschlüssel-ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
  • Secret Access Key (Geheimer Zugriffsschlüssel): Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Account.Name target.resource.name Der Wert von Account.Name aus dem Rohlog.
AccountId target.resource.id Der Wert von AccountId aus dem Rohlog.
Action security_result.description Der Wert von Action aus dem Rohlog.
AdditionalInfo - Nicht dem IDM-Objekt zugeordnet.
ApiType target.application Der Wert von ApiType aus dem Rohlog.
ApiVersion - Nicht dem IDM-Objekt zugeordnet.
Application principal.application Der Wert von Application aus dem Rohlog oder „Browser“ für LoginAsEvent, „Integration JWT Token“ für LoginEvent, „SfdcSiqActivityPlatform“ für LoginHistory mit dem Objekttyp LoginHistory, „N/A“ für ApiEvent oder „Browser“ für LoginAsEventStream.
attributes.url target.url Der Wert von attributes.url aus dem Rohlog oder bestimmte URLs für verschiedene Ereignistypen aus dem Rohlog.
attributes.type metadata.product_event_type Der Wert von attributes.type aus dem Rohlog.
AuthSessionId network.session_id Der Wert von AuthSessionId aus dem Rohlog.
Browser principal.resource.name Der Wert von Browser aus dem Rohlog oder „Unbekannt“, wenn Browser im Rohlog nicht verfügbar ist und Application „Insights“ ist, oder „Java (Salesforce.com)“ für LoginHistory mit ApiType als „SOAP Partner“ oder „Unbekannt“ für LoginHistory mit Application als „SfdcSiqActivityPlatform“ oder aus data.properties.Browser.str für LoginAsEventStream.
Case.Subject target.resource.name Der Wert von Case.Subject aus dem Rohlog.
CaseId target.resource.id Der Wert von CaseId aus dem Rohlog.
cat metadata.product_event_type Der Wert von cat aus dem Rohlog.
City principal.location.city Der Wert von City aus dem Rohlog oder aus LoginGeo.City für LoginHistory.
Client principal.labels Der Wert von Client aus dem Rohlog, als Label formatiert.
CLIENT_IP principal.ip, principal.asset.ip Der Wert von CLIENT_IP aus dem Rohlog.
ClientVersion - Nicht dem IDM-Objekt zugeordnet.
CipherSuite network.tls.cipher Der Wert von CipherSuite aus dem Rohlog.
ColumnHeaders principal.labels Der Wert von ColumnHeaders aus dem Rohlog, als Label formatiert.
ConnectedAppId principal.labels Der Wert von ConnectedAppId aus dem Rohlog, als Label formatiert.
Contact.Name target.resource.name Der Wert von Contact.Name aus dem Rohlog.
ContactId target.resource.id Der Wert von ContactId aus dem Rohlog.
Country principal.location.country_or_region Der Wert von Country aus dem Rohlog oder LoginGeo.Country für LoginHistory.
CreatedByContext principal.user.userid Der Wert von CreatedByContext aus dem Rohlog.
CreatedById principal.resource.attribute.labels Der Wert von CreatedById aus dem Rohlog, als Label formatiert.
CreatedDate metadata.collected_timestamp Der Wert von CreatedDate aus dem Rohlog oder der aktuelle Zeitstempel, falls nicht verfügbar.
CPU_TIME target.resource.attribute.labels Der Wert von CPU_TIME aus dem Rohlog, als Label formatiert.
data - Enthält verschiedene Felder, die einzeln extrahiert und zugeordnet werden.
DATASET_IDS target.resource.name Der Wert von DATASET_IDS aus dem Rohlog.
DelegatedOrganizationId target.administrative_domain Der Wert von DelegatedOrganizationId aus dem Rohlog.
DelegatedUsername observer.user.userid Der Wert von DelegatedUsername aus dem Rohlog.
Description metadata.description Der Wert von Description aus dem Rohlog.
DevicePlatform principal.resource.type Der Wert von DevicePlatform aus dem Rohlog, der zum Extrahieren des Ressourcentyps geparst wurde.
Display metadata.description Der Wert von Display aus dem Rohlog.
DOWNLOAD_FORMAT target.resource.attribute.labels Der Wert von DOWNLOAD_FORMAT aus dem Rohlog, als Label formatiert.
Duration target.resource.attribute.labels Der Wert von Duration aus dem Rohlog, als Label formatiert.
ENTITY_NAME target.resource.attribute.labels Der Wert von ENTITY_NAME aus dem Rohlog, als Label formatiert.
ErrorCode security_result.action Der Wert von ErrorCode aus dem Rohlog, der in ALLOW oder BLOCK umgewandelt wurde.
EventDate timestamp Der Wert von EventDate aus dem Rohlog oder data.properties.TIMESTAMP_DERIVED.str, falls verfügbar, oder data.properties.TIMESTAMP_DERIVED_FIRST.str, falls verfügbar, oder @timestamp, falls verfügbar, oder created_date, falls verfügbar, oder timestamp, falls verfügbar, oder LoginTime für LoginHistory.
EventIdentifier metadata.product_log_id Der Wert von EventIdentifier aus dem Rohlog.
EventType metadata.product_event_type Der Wert von EventType aus dem Rohlog.
Id principal.user.userid Der Wert von Id aus dem Rohlog oder metadata.product_log_id für SetupAuditTrail und andere Ereignisse.
IdentityUsed principal.user.email_addresses Der Wert von IdentityUsed aus dem Rohlog.
Lead.Name target.resource.name Der Wert von Lead.Name aus dem Rohlog.
LeadId target.resource.id Der Wert von LeadId aus dem Rohlog.
LoginAsCategory - Nicht dem IDM-Objekt zugeordnet.
LoginGeo.Country principal.location.country_or_region Der Wert von LoginGeo.Country aus dem Rohlog.
LoginHistoryId - Nicht dem IDM-Objekt zugeordnet.
LoginKey principal.user.userid, network.session_id Der Wert von LoginKey aus dem Rohlog oder CreatedByContext für SetupAuditTrail.
LoginTime timestamp Der Wert von LoginTime aus dem Rohlog.
LoginType security_result.description Der Wert von LoginType aus dem Rohprotokoll oder „Other Apex API“ (Andere Apex-API) für LoginHistory mit ApiType als „SOAP Partner“ (SOAP-Partner) oder „Remote Access 2.0“ (Remote Access 2.0) für LoginHistory mit Application als „SfdcSiqActivityPlatform“.
LoginUrl target.url, principal.url Der Wert von LoginUrl aus dem Rohlog.
LogFile principal.resource.attribute.labels Der Wert von LogFile aus dem Rohlog, als Label formatiert.
LogFileContentType principal.resource.attribute.labels Der Wert von LogFileContentType aus dem Rohlog, als Label formatiert.
LogFileLength principal.resource.attribute.labels Der Wert von LogFileLength aus dem Rohlog, als Label formatiert.
Message - Nicht dem IDM-Objekt zugeordnet.
METHOD network.http.method Der Wert von METHOD aus dem Rohlog.
Name target.application Der Wert von Name aus dem Rohlog.
NewValue - Wird in Verbindung mit OldValue verwendet, um security_result.summary zu generieren.
NUMBER_FIELDS target.resource.attribute.labels Der Wert von NUMBER_FIELDS aus dem Rohlog, als Label formatiert.
OldValue - Wird in Verbindung mit NewValue verwendet, um security_result.summary zu generieren.
Operation security_result.description, target.resource.attribute.labels Der Wert von Operation aus dem Rohlog oder Display für SetupAuditTrail.
OperationStatus security_result.action Der Wert von OperationStatus aus dem Rohlog, der in ALLOW oder BLOCK umgewandelt wurde.
ORGANIZATION_ID target.administrative_domain Der Wert von ORGANIZATION_ID aus dem Rohlog.
OsName principal.platform Der Wert von OsName aus dem Rohlog.
OsVersion principal.platform_version Der Wert von OsVersion aus dem Rohlog.
Platform principal.platform Der Wert von Platform aus dem Rohlog oder aus data.properties.OsName.str für LightningUriEventStream oder aus data.properties.OsName.str für LoginEventStream.
QueriedEntities target.resource.name, principal.labels Der Wert von QueriedEntities aus dem Rohlog oder component_name für UriEvent und ApiEvent.
Query target.process.command_line, principal.labels Der Wert von Query aus dem Rohlog.
RecordId target.resource.id Der Wert von RecordId aus dem Rohlog.
Records principal.labels Der Wert von Records aus dem Rohlog, als Label formatiert.
REQUEST_ID metadata.product_log_id, target.resource.product_object_id Der Wert von REQUEST_ID aus dem Rohlog.
REQUEST_SIZE network.sent_bytes Der Wert von REQUEST_SIZE aus dem Rohlog.
REQUEST_STATUS security_result.summary Der Wert von REQUEST_STATUS aus dem Rohlog.
RESPONSE_SIZE network.received_bytes Der Wert von RESPONSE_SIZE aus dem Rohlog.
RowsProcessed target.resource.attribute.labels Der Wert von RowsProcessed aus dem Rohlog, als Label formatiert.
RUN_TIME target.resource.attribute.labels Der Wert von RUN_TIME aus dem Rohlog, als Label formatiert.
SamlEntityUrl - Nicht dem IDM-Objekt zugeordnet.
SdkAppType - Nicht dem IDM-Objekt zugeordnet.
SdkAppVersion - Nicht dem IDM-Objekt zugeordnet.
SdkVersion - Nicht dem IDM-Objekt zugeordnet.
Section security_result.summary Der Wert von Section aus dem Rohlog.
SessionKey network.session_id Der Wert von SessionKey aus dem Rohlog.
SessionLevel target.resource.attribute.labels Der Wert von SessionLevel aus dem Rohlog, als Label formatiert.
SourceIp principal.ip, principal.asset.ip Der Wert von SourceIp aus dem Rohlog.
src principal.ip, principal.asset.ip Der Wert von src aus dem Rohlog.
SsoType target.resource.attribute.labels Der Wert von SsoType aus dem Rohlog, als Label formatiert.
STATUS_CODE network.http.response_code Der Wert von STATUS_CODE aus dem Rohlog.
Status security_result.action, security_result.action_details Der Wert von Status aus dem Rohlog, der in ALLOW oder BLOCK umgewandelt oder als Aktionsdetails für LoginEventStream verwendet wird.
Subject target.resource.name Der Wert von Subject aus dem Rohlog.
TargetUrl - Nicht dem IDM-Objekt zugeordnet.
TIMESTAMP metadata.collected_timestamp Der Wert von TIMESTAMP aus dem Rohlog.
TIMESTAMP_DERIVED timestamp Der Wert von TIMESTAMP_DERIVED aus dem Rohlog.
TlsProtocol network.tls.version_protocol Der Wert von TlsProtocol aus dem Rohlog.
URI target.url Der Wert von URI aus dem Rohlog.
USER_AGENT network.http.user_agent Der Wert von USER_AGENT aus dem Rohlog.
USER_ID principal.user.userid Der Wert von USER_ID aus dem Rohlog.
USER_ID_DERIVED principal.user.product_object_id, target.resource.attribute.labels Der Wert von USER_ID_DERIVED aus dem Rohlog.
UserId principal.user.userid Der Wert von UserId aus dem Rohlog.
USER_TYPE target.resource.attribute.labels Der Wert von USER_TYPE aus dem Rohlog, als Label formatiert.
Username principal.user.userid, principal.user.email_addresses, target.user.email_addresses Der Wert von Username aus dem Rohlog oder src_email für verschiedene Ereignisse oder IdentityUsed für IdentityProviderEventStore oder data.properties.Email.str für Search und SearchAlert oder data.properties.Username.str für LoginAsEventStream und LoginEventStream.
UserType target.resource.attribute.labels Der Wert von UserType aus dem Rohlog, als Label formatiert.
usrName principal.user.userid, principal.user.email_addresses, target.user.email_addresses Der Wert von usrName aus dem Rohlog.
VerificationMethod target.resource.attribute.labels Der Wert von VerificationMethod aus dem Rohlog, als Label formatiert.
Parser-Logik metadata.event_type Abgeleitet aus den Feldern event_id und operation oder auf „USER_LOGIN“ für LoginEventStream, „USER_LOGOUT“ für Logout und LogoutEvent, „USER_RESOURCE_UPDATE_CONTENT“ für verschiedene Ereignisse, „USER_RESOURCE_UPDATE_PERMISSIONS“ für PlatformEncryption, „RESOURCE_READ“ für QueuedExecution, ApexExecution, LightningInteraction, LightningPerformance, LightningPageView, URI, RestApi, API, AuraRequest, ApexCallout, OneCommerceUsage, Sites, MetadataApiOperation, OneCommerceUsage, VisualforceRequest, Dashboard, Search, ListViewEvent, „RESOURCE_CREATION“ für UriEvent und TimeBasedWorkflow mit Operation als „Create“ oder „INSERT“, „RESOURCE_WRITTEN“ für UriEvent und LightningUriEvent mit Operation als „Update“, „RESOURCE_DELETION“ für UriEvent mit Operation als „Delete“ oder „ROLLBACK“, „USER_UNCATEGORIZED“ für SetupAuditTrail und AuditTrail, „USER_CHANGE_PASSWORD“ für SetupAuditTrail mit operation als „namedCredentialEncryptedFieldChange“, „GENERIC_EVENT“ für ApiEventStream und LightningUriEventStream oder basierend auf Netzwerk- und Prinzipalpräsenz.
Parser-Logik metadata.ingestion_labels Labels, die die Quelle des Ereignisses angeben, entweder „Event Log File“ (Ereignisprotokolldatei), „Real-Time Event Monitoring“ (Echtzeit-Ereignisüberwachung) oder „SetupAuditTrail“ (Setup-Prüfpfad).
Parser-Logik metadata.log_type Immer auf „SALESFORCE“ festgelegt.
Parser-Logik metadata.product_name Immer auf „SALESFORCE“ festgelegt.
Parser-Logik metadata.vendor_name Immer auf „SALESFORCE“ festgelegt.
Parser-Logik metadata.url_back_to_product Wird aus verschiedenen Feldern wie LoginUrl, attributes.url, data.properties.PageUrl.str und data.properties.LoginUrl.str zusammengesetzt.
Parser-Logik network.application_protocol Auf „HTTPS“ festgelegt, wenn das Feld uri mit „http“ beginnt.
Parser-Logik network.http.referral_url Wird aus dem Feld user_agent extrahiert, wenn es „Referer=“ enthält.
Parser-Logik network.http.response_code Abgeleitet von request_status für verschiedene Ereignisse.
Parser-Logik network.http.user_agent Der Wert von user_agent aus dem Rohlog oder von data.properties.UserAgent.str für ApiEventStream und LoginEventStream oder von Sites-Ereignissen oder „User-Agent“ aus Sites-Ereignissen.
Parser-Logik network.session_id Der Wert von session_key oder SESSION_KEY aus dem Rohlog oder aus anderen Feldern wie LoginKey oder AuthSessionId.
Parser-Logik network.tls.version Der Wert von tls_protocol aus dem Rohlog oder aus data.properties.TlsProtocol.str für LoginEventStream.
Parser-Logik principal.application Der Wert von application aus dem Rohprotokoll oder „Salesforce for Outlook“ für „Anmeldung: Erfolgreich“-Ereignisse oder „Insights“ für „Anmeldung: Erfolgreich“-Ereignisse ohne Anwendung oder aus device_platform für Lightning-Ereignisse extrahiert.
Parser-Logik principal.asset.hostname Der Wert von client_ip, wenn es sich um einen Hostnamen handelt.
Parser-Logik principal.asset.ip Der Wert von client_ip, src_ip, SourceIp oder CLIENT_IP, wenn es sich um eine IP-Adresse handelt.
Parser-Logik principal.hostname Der Wert von client_ip, wenn es sich um einen Hostnamen handelt.
Parser-Logik principal.ip Der Wert von client_ip, src_ip, SourceIp oder CLIENT_IP, wenn es sich um eine IP-Adresse handelt.
Parser-Logik principal.labels Labels, die aus verschiedenen Feldern wie FederationIdentifier, ApiType, OrgId und channel erstellt werden.
Parser-Logik principal.location.city Der Wert von geoip_src.city_name, City oder LoginGeo.City aus dem Rohlog.
Parser-Logik principal.location.country_or_region Der Wert von geoip_src.country_name, Country, LoginGeo.Country oder client_geo aus dem Rohlog.
Parser-Logik principal.location.region_latitude Der Wert von data.properties.LoginLatitude.number aus dem Rohlog.
Parser-Logik principal.location.region_longitude Der Wert von data.properties.LoginLongitude.number aus dem Rohlog.
Parser-Logik principal.location.state Der Wert von geoip_src.region_name aus dem Rohlog.
Parser-Logik principal.platform Der Wert von Platform, OsName oder os_name aus dem Rohlog oder „WINDOWS“ für LoginEventStream mit Platform, das „Windows“ enthält.
Parser-Logik principal.platform_version Der Wert von OsVersion oder os_version aus dem Rohlog oder aus Platform für LoginEventStream extrahiert, wenn Platform „Windows“ enthält.
Parser-Logik principal.resource.attribute.labels Labels, die aus verschiedenen Feldern wie CreatedById, ApiVersion, LogFile, LogFileContentType und LogFileLength erstellt werden.
Parser-Logik principal.resource.name Der Wert von Browser oder browser_name aus dem Rohlog oder „Java (Salesforce.com)“ für LoginHistory mit ApiType als „SOAP Partner“.
Parser-Logik principal.resource.type Aus device_platform für Lightning-Ereignisse oder „Browser“ für LoginAsEvent und LoginAsEventStream extrahiert.
Parser-Logik principal.url Der Wert von LoginUrl aus dem Rohlog.
Parser-Logik principal.user.email_addresses Der Wert von usrName, Username, src_email, IdentityUsed, data.properties.Username.str oder data.properties.Email.str aus dem Rohlog.
Parser-Logik principal.user.product_object_id Der Wert von attrs.USER_ID_DERIVED oder data.properties.USER_ID_DERIVED.str aus dem Rohlog.
Parser-Logik principal.user.userid Der Wert von usrName oder Username oder user_id oder UserId oder USER_ID oder Id oder LoginKey oder CreatedByContext oder data.properties.Username.str oder data.properties.USER_ID.str oder data.properties.LoginKey.str aus dem Rohlog.
Parser-Logik security_result.action Abgeleitet von Status, OperationStatus, ErrorCode, action oder operation_status aus dem Rohlog, umgewandelt in ALLOW oder BLOCK.
Parser-Logik security_result.action_details Der Wert von Status aus dem Rohlog für LoginEventStream.
Parser-Logik security_result.description Der Wert von LoginType, logintype, Operation, Action oder Display aus dem Rohlog.
Parser-Logik security_result.rule_name Der Wert von Policy oder rule_name aus dem Rohlog.
Parser-Logik security_result.summary Aus NewValue und OldValue oder REQUEST_STATUS oder Section oder forecastcategory aus dem Rohlog erstellt.
Parser-Logik target.administrative_domain Der Wert von ORGANIZATION_ID, DelegatedOrganizationId, organization_id oder data.properties.OrgName.str aus dem Rohlog.
Parser-Logik target.application Der Wert von Application, app_name, ApiType, Name oder data.properties.Application.str aus dem Rohlog.
Parser-Logik target.asset.hostname Der Wert von target_hostname, der aus dem Feld uri extrahiert wurde.
Parser-Logik target.asset.ip Der Wert von data.properties.CLIENT_IP.str aus dem Rohlog.
Parser-Logik target.asset_id Erstellt aus Inhalten von device_id oder REQUEST_ID.
Parser-Logik target.file.mime_type Der Wert von file_type aus dem Rohlog.
Parser-Logik target.file.size Der Wert von size_bytes aus dem Rohlog.
Parser-Logik target.hostname Der Wert von target_hostname, der aus dem Feld uri extrahiert wurde.
Parser-Logik target.process.command_line Der Wert von query_exec, Query oder data.properties.Query.str aus dem Rohlog.
Parser-Logik target.process.pid Der Wert von job_id aus dem Rohlog.
Parser-Logik target.resource.attribute.labels Labels, die aus verschiedenen Feldern wie CPU_TIME, RUN_TIME, USER_TYPE, DB_TOTAL_TIME, MEDIA_TYPE, ROWS_PROCESSED, NUMBER_FIELDS, DB_BLOCKS, DB_CPU_TIME, ENTITY_NAME, EXCEPTION_MESSAGE, USER_ID_DERIVED, DOWNLOAD_FORMAT, USER_TYPE, CPU_TIME, RUN_TIME, WAVE_SESSION_ID, SessionLevel, verification_method, cpu_time, run_time, db_total_time, db_cpu_time, exec_time, callout_time, number_soql_queries, duration, user_type, entry_point, operation, session_level, rows_processed, sso_type, dashboard_type, Operation, SessionLevel erstellt werden.
Parser-Logik target.resource.id Der Wert von REQUEST_ID, RecordId, caseid, leadid, contactid, opportunityid oder accountid aus dem Rohlog.
Parser-Logik target.resource.name Der Wert von QueriedEntities, resource_name, component_name, DATASET_IDS, field, StageName oder Subject aus dem Rohlog.
Parser-Logik target.resource.product_object_id Der Wert von REQUEST_ID aus dem Rohlog.
Parser-Logik target.resource.resource_type Legen Sie für ApexCallout und PlatformEncryption „ACCESS_POLICY“ fest, für ApexTrigger „DATABASE“, für ContentTransfer „FILE“ und für ApiEvent „TABLE“.
Parser-Logik target.resource.type Auf „BATCH“ für QueuedExecution und ApexExecution, „FILE“ für ContentTransfer, „DATABASE_TRIGGER“ für ApexTrigger oder „Case“, „Lead“, „Contact“, „Opportunity“, „Account“ basierend auf dem Vorhandensein der entsprechenden ID-Felder festgelegt.
Parser-Logik target.url Der Wert von LoginUrl, URI, attributes.url, login_url oder uri aus dem Rohlog.
Parser-Logik target.user.email_addresses Der Wert von Username, attrs.usrName oder email_address aus dem Rohlog.
Parser-Logik target.user.user_display_name Der Wert von target_user_display_name, user_name oder username aus dem Rohlog.
Parser-Logik target.user.userid Der Wert von target_user_name, data.properties.UserId.str oder data.properties.CreatedById.str aus dem Rohlog.
Parser-Logik extensions.auth.auth_details Wird auf „ACTIVE“ gesetzt, wenn Status nicht „Success“ ist. Andernfalls wird „UNKNOWN_AUTHENTICATION_STATUS“ festgelegt.
Parser-Logik extensions.auth.mechanism Auf „REMOTE“ für „Login: Success“- und „Login“-Ereignisse mit logintype, die „Remote“ enthalten, oder „USERNAME_PASSWORD“ für „LoginEventStream“ oder „MECHANISM_OTHER“ für Ereignisse mit login_url oder „AUTHTYPE_UNSPECIFIED“ für „Login: Success“- und „Logout“-Ereignisse festgelegt.
Parser-Logik extensions.auth.type Auf „SSO“ für Login, Logout, LogoutEvent, LoginAs, IdentityProviderEventStore, LoginHistory, LoginAsEvent mit LoginType als „SAML Sfdc Initiated SSO“ oder „AUTHTYPE_UNSPECIFIED“ für Login: Success, Logout, LoginAsEvent mit LoginType als „Application“ gesetzt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten