Collecter les journaux Salesforce

Compatible avec :

Présentation

Ce parseur gère les journaux Salesforce aux formats LEEF, CSV et JSON. Il extrait les champs, effectue un traitement spécifique au format (gestion des paires clé/valeur LEEF, des colonnes CSV et des structures JSON), les mappe à l'UDM et enrichit les données avec des métadonnées et des champs dérivés. Le parseur gère également différents types d'événements Salesforce, en appliquant une logique spécifique aux connexions, aux déconnexions et à d'autres actions, en catégorisant les événements et en définissant les types d'événements UDM appropriés.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Instance Google SecOps.
  • Accès privilégié à AWS IAM, S3 et AppFlow.

Configurer le bucket Amazon S3

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket.
  2. Enregistrez le nom et la région du bucket pour référence ultérieure.
  3. Créez un utilisateur en suivant ce guide de l'utilisateur : Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Informations d'identification de sécurité.
  6. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
  7. Sélectionnez Service tiers comme Cas d'utilisation.
  8. Cliquez sur Suivant.
  9. Facultatif : Ajoutez un tag de description.
  10. Cliquez sur Créer une clé d'accès.
  11. Cliquez sur Télécharger le fichier .csv. (Enregistrez la clé d'accès et la clé d'accès secrète pour référence ultérieure.)
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Autorisations.
  14. Cliquez sur Ajouter des autorisations dans la section Règles d'autorisation.
  15. Sélectionnez Ajouter des autorisations.
  16. Sélectionnez Joindre directement des règles.
  17. Recherchez la règle AmazonS3FullAccess.
  18. Sélectionnez la règle.
  19. Cliquez sur Suivant.
  20. Cliquez sur Ajouter des autorisations.

Configurer Amazon AppFlow

  1. Créez un flux Amazon AppFlow :
    • Nom du flux : ajoutez un nom de flux, puis cliquez sur Suivant.
    • Source de données : sélectionnez Salesforce comme source de données.
    • Créez une connexion.
    • Une fenêtre de connexion Salesforce s'affiche. Connectez-vous avec vos identifiants Salesforce.
    • Sélectionnez le nom de l'objet (choisissez les données que vous souhaitez transférer de Salesforce vers le bucket S3).
    • Sélectionnez Amazon S3 comme destination des données.
    • Sélectionnez Planifier comme déclencheur de flux.
    • Dans Choisir les champs sources, vous pouvez mapper tous les champs directement ou spécifier les champs à mapper.
  2. Validez la configuration :
    • Dans Amazon AppFlow, sélectionnez le flux que vous avez créé, puis cliquez sur Run flow (Exécuter le flux) pour extraire les données de Salesforce.
    • Les journaux devraient maintenant se trouver dans votre bucket S3.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

  • Paramètres SIEM> Flux
  • Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer un flux, procédez comme suit :

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux Salesforce).
  5. Sélectionnez Amazon S3 comme Type de source.
  6. Sélectionnez Salesforce comme Type de journal.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants :

    • Région : région dans laquelle se trouve le bucket Amazon S3.
    • URI S3 : URI du bucket. s3:/BUCKET_NAME Remplacez les éléments suivants :
      • BUCKET_NAME : nom du bucket.
    • L'URI est un : sélectionnez le TYPE d'URI en fonction de la configuration du flux S3 : Single file | Directory | Directory which includes subdirectories.
    • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
    • ID de clé d'accès : clé d'accès utilisateur ayant accès au bucket S3.
    • Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3.

  9. Cliquez sur Suivant.

  10. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

  • Région : région dans laquelle se trouve le bucket Amazon S3.
  • URI S3 : URI du bucket. s3:/BUCKET_NAME Remplacez les éléments suivants :
    • BUCKET_NAME : nom du bucket.
  • L'URI est un : sélectionnez le TYPE d'URI en fonction de la configuration du flux S3 : Single file | Directory | Directory which includes subdirectories.
  • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
  • ID de clé d'accès : clé d'accès utilisateur ayant accès au bucket S3.
  • Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3.

Options avancées

  • Nom du flux : valeur préremplie qui identifie le flux.
  • Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
  • Espace de noms de l'élément : espace de noms associé au flux.
  • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Table de mappage UDM

Champ de journal Mappage UDM Logique
Account.Name target.resource.name Valeur de Account.Name à partir du journal brut.
AccountId target.resource.id Valeur de AccountId à partir du journal brut.
Action security_result.description Valeur de Action à partir du journal brut.
AdditionalInfo - Non mappé à l'objet IDM.
ApiType target.application Valeur de ApiType à partir du journal brut.
ApiVersion - Non mappé à l'objet IDM.
Application principal.application Valeur de Application à partir du journal brut, ou "Navigateur" pour LoginAsEvent, ou "Jeton JWT d'intégration" pour LoginEvent, ou "SfdcSiqActivityPlatform" pour LoginHistory avec le type d'objet LoginHistory, ou "N/A" pour ApiEvent, ou "Navigateur" pour LoginAsEventStream.
attributes.url target.url La valeur de attributes.url à partir du journal brut ou des URL spécifiques pour différents types d'événements à partir du journal brut.
attributes.type metadata.product_event_type Valeur de attributes.type à partir du journal brut.
AuthSessionId network.session_id Valeur de AuthSessionId à partir du journal brut.
Browser principal.resource.name Valeur de Browser à partir du journal brut, ou "Inconnu" si Browser n'est pas disponible dans le journal brut et que Application est défini sur "Insights", ou "Java (Salesforce.com)" pour LoginHistory avec ApiType défini sur "SOAP Partner", ou "Inconnu" pour LoginHistory avec Application défini sur "SfdcSiqActivityPlatform", ou à partir de data.properties.Browser.str pour LoginAsEventStream.
Case.Subject target.resource.name Valeur de Case.Subject à partir du journal brut.
CaseId target.resource.id Valeur de CaseId à partir du journal brut.
cat metadata.product_event_type Valeur de cat à partir du journal brut.
City principal.location.city La valeur de City à partir du journal brut ou de LoginGeo.City pour LoginHistory.
Client principal.labels Valeur de Client du journal brut, mise en forme en tant que libellé.
CLIENT_IP principal.ip, principal.asset.ip Valeur de CLIENT_IP à partir du journal brut.
ClientVersion - Non mappé à l'objet IDM.
CipherSuite network.tls.cipher Valeur de CipherSuite à partir du journal brut.
ColumnHeaders principal.labels Valeur de ColumnHeaders du journal brut, mise en forme en tant que libellé.
ConnectedAppId principal.labels Valeur de ConnectedAppId du journal brut, mise en forme en tant que libellé.
Contact.Name target.resource.name Valeur de Contact.Name à partir du journal brut.
ContactId target.resource.id Valeur de ContactId à partir du journal brut.
Country principal.location.country_or_region La valeur de Country à partir du journal brut ou LoginGeo.Country pour LoginHistory.
CreatedByContext principal.user.userid Valeur de CreatedByContext à partir du journal brut.
CreatedById principal.resource.attribute.labels Valeur de CreatedById du journal brut, mise en forme en tant que libellé.
CreatedDate metadata.collected_timestamp Valeur de CreatedDate à partir du journal brut ou code temporel actuel si la valeur n'est pas disponible.
CPU_TIME target.resource.attribute.labels Valeur de CPU_TIME du journal brut, mise en forme en tant que libellé.
data - Contient différents champs qui sont extraits et mappés individuellement.
DATASET_IDS target.resource.name Valeur de DATASET_IDS à partir du journal brut.
DelegatedOrganizationId target.administrative_domain Valeur de DelegatedOrganizationId à partir du journal brut.
DelegatedUsername observer.user.userid Valeur de DelegatedUsername à partir du journal brut.
Description metadata.description Valeur de Description à partir du journal brut.
DevicePlatform principal.resource.type Valeur de DevicePlatform du journal brut, analysée pour extraire le type de ressource.
Display metadata.description Valeur de Display à partir du journal brut.
DOWNLOAD_FORMAT target.resource.attribute.labels Valeur de DOWNLOAD_FORMAT du journal brut, mise en forme en tant que libellé.
Duration target.resource.attribute.labels Valeur de Duration du journal brut, mise en forme en tant que libellé.
ENTITY_NAME target.resource.attribute.labels Valeur de ENTITY_NAME du journal brut, mise en forme en tant que libellé.
ErrorCode security_result.action Valeur de ErrorCode du journal brut, transformée en ALLOW ou BLOCK.
EventDate timestamp Valeur de EventDate à partir du journal brut, ou data.properties.TIMESTAMP_DERIVED.str si disponible, ou data.properties.TIMESTAMP_DERIVED_FIRST.str si disponible, ou @timestamp si disponible, ou created_date si disponible, ou timestamp si disponible, ou LoginTime pour LoginHistory.
EventIdentifier metadata.product_log_id Valeur de EventIdentifier à partir du journal brut.
EventType metadata.product_event_type Valeur de EventType à partir du journal brut.
Id principal.user.userid Valeur de Id à partir du journal brut ou metadata.product_log_id pour SetupAuditTrail et d'autres événements.
IdentityUsed principal.user.email_addresses Valeur de IdentityUsed à partir du journal brut.
Lead.Name target.resource.name Valeur de Lead.Name à partir du journal brut.
LeadId target.resource.id Valeur de LeadId à partir du journal brut.
LoginAsCategory - Non mappé à l'objet IDM.
LoginGeo.Country principal.location.country_or_region Valeur de LoginGeo.Country à partir du journal brut.
LoginHistoryId - Non mappé à l'objet IDM.
LoginKey principal.user.userid, network.session_id Valeur de LoginKey à partir du journal brut ou CreatedByContext pour SetupAuditTrail.
LoginTime timestamp Valeur de LoginTime à partir du journal brut.
LoginType security_result.description Valeur de LoginType à partir du journal brut, ou "Autre API Apex" pour LoginHistory avec ApiType en tant que "Partenaire SOAP", ou "Accès à distance 2.0" pour LoginHistory avec Application en tant que "SfdcSiqActivityPlatform".
LoginUrl target.url, principal.url Valeur de LoginUrl à partir du journal brut.
LogFile principal.resource.attribute.labels Valeur de LogFile du journal brut, mise en forme en tant que libellé.
LogFileContentType principal.resource.attribute.labels Valeur de LogFileContentType du journal brut, mise en forme en tant que libellé.
LogFileLength principal.resource.attribute.labels Valeur de LogFileLength du journal brut, mise en forme en tant que libellé.
Message - Non mappé à l'objet IDM.
METHOD network.http.method Valeur de METHOD à partir du journal brut.
Name target.application Valeur de Name à partir du journal brut.
NewValue - Utilisé conjointement avec OldValue pour générer security_result.summary.
NUMBER_FIELDS target.resource.attribute.labels Valeur de NUMBER_FIELDS du journal brut, mise en forme en tant que libellé.
OldValue - Utilisé conjointement avec NewValue pour générer security_result.summary.
Operation security_result.description, target.resource.attribute.labels Valeur de Operation à partir du journal brut ou Display pour SetupAuditTrail.
OperationStatus security_result.action Valeur de OperationStatus du journal brut, transformée en ALLOW ou BLOCK.
ORGANIZATION_ID target.administrative_domain Valeur de ORGANIZATION_ID à partir du journal brut.
OsName principal.platform Valeur de OsName à partir du journal brut.
OsVersion principal.platform_version Valeur de OsVersion à partir du journal brut.
Platform principal.platform La valeur de Platform à partir du journal brut, ou de data.properties.OsName.str pour LightningUriEventStream, ou de data.properties.OsName.str pour LoginEventStream.
QueriedEntities target.resource.name, principal.labels La valeur de QueriedEntities à partir du journal brut, ou component_name pour UriEvent et ApiEvent.
Query target.process.command_line, principal.labels Valeur de Query à partir du journal brut.
RecordId target.resource.id Valeur de RecordId à partir du journal brut.
Records principal.labels Valeur de Records du journal brut, mise en forme en tant que libellé.
REQUEST_ID metadata.product_log_id, target.resource.product_object_id Valeur de REQUEST_ID à partir du journal brut.
REQUEST_SIZE network.sent_bytes Valeur de REQUEST_SIZE à partir du journal brut.
REQUEST_STATUS security_result.summary Valeur de REQUEST_STATUS à partir du journal brut.
RESPONSE_SIZE network.received_bytes Valeur de RESPONSE_SIZE à partir du journal brut.
RowsProcessed target.resource.attribute.labels Valeur de RowsProcessed du journal brut, mise en forme en tant que libellé.
RUN_TIME target.resource.attribute.labels Valeur de RUN_TIME du journal brut, mise en forme en tant que libellé.
SamlEntityUrl - Non mappé à l'objet IDM.
SdkAppType - Non mappé à l'objet IDM.
SdkAppVersion - Non mappé à l'objet IDM.
SdkVersion - Non mappé à l'objet IDM.
Section security_result.summary Valeur de Section à partir du journal brut.
SessionKey network.session_id Valeur de SessionKey à partir du journal brut.
SessionLevel target.resource.attribute.labels Valeur de SessionLevel du journal brut, mise en forme en tant que libellé.
SourceIp principal.ip, principal.asset.ip Valeur de SourceIp à partir du journal brut.
src principal.ip, principal.asset.ip Valeur de src à partir du journal brut.
SsoType target.resource.attribute.labels Valeur de SsoType du journal brut, mise en forme en tant que libellé.
STATUS_CODE network.http.response_code Valeur de STATUS_CODE à partir du journal brut.
Status security_result.action, security_result.action_details Valeur de Status du journal brut, transformée en ALLOW ou BLOCK, ou utilisée comme détails d'action pour LoginEventStream.
Subject target.resource.name Valeur de Subject à partir du journal brut.
TargetUrl - Non mappé à l'objet IDM.
TIMESTAMP metadata.collected_timestamp Valeur de TIMESTAMP à partir du journal brut.
TIMESTAMP_DERIVED timestamp Valeur de TIMESTAMP_DERIVED à partir du journal brut.
TlsProtocol network.tls.version_protocol Valeur de TlsProtocol à partir du journal brut.
URI target.url Valeur de URI à partir du journal brut.
USER_AGENT network.http.user_agent Valeur de USER_AGENT à partir du journal brut.
USER_ID principal.user.userid Valeur de USER_ID à partir du journal brut.
USER_ID_DERIVED principal.user.product_object_id, target.resource.attribute.labels Valeur de USER_ID_DERIVED à partir du journal brut.
UserId principal.user.userid Valeur de UserId à partir du journal brut.
USER_TYPE target.resource.attribute.labels Valeur de USER_TYPE du journal brut, mise en forme en tant que libellé.
Username principal.user.userid, principal.user.email_addresses, target.user.email_addresses Valeur de Username à partir du journal brut, ou src_email pour différents événements, ou IdentityUsed pour IdentityProviderEventStore, ou data.properties.Email.str pour Search et SearchAlert, ou data.properties.Username.str pour LoginAsEventStream et LoginEventStream.
UserType target.resource.attribute.labels Valeur de UserType du journal brut, mise en forme en tant que libellé.
usrName principal.user.userid, principal.user.email_addresses, target.user.email_addresses Valeur de usrName à partir du journal brut.
VerificationMethod target.resource.attribute.labels Valeur de VerificationMethod du journal brut, mise en forme en tant que libellé.
Logique de l'analyseur metadata.event_type Dérivé des champs event_id et operation, ou défini sur "USER_LOGIN" pour LoginEventStream, "USER_LOGOUT" pour Logout et LogoutEvent, "USER_RESOURCE_UPDATE_CONTENT" pour divers événements, "USER_RESOURCE_UPDATE_PERMISSIONS" pour PlatformEncryption, "RESOURCE_READ" pour QueuedExecution, ApexExecution, LightningInteraction, LightningPerformance, LightningPageView, URI, RestApi, API, AuraRequest, ApexCallout, OneCommerceUsage, Sites, MetadataApiOperation, OneCommerceUsage, VisualforceRequest, Dashboard, Search, ListViewEvent, "RESOURCE_CREATION" pour UriEvent et TimeBasedWorkflow avec Operation défini sur "Create" ou "INSERT", "RESOURCE_WRITTEN" pour UriEvent et LightningUriEvent avec Operation défini sur "Update", "RESOURCE_DELETION" pour UriEvent avec Operation défini sur "Delete" ou "ROLLBACK", "USER_UNCATEGORIZED" pour SetupAuditTrail et AuditTrail, "USER_CHANGE_PASSWORD" pour SetupAuditTrail avec operation défini sur "namedCredentialEncryptedFieldChange", "GENERIC_EVENT" pour ApiEventStream et LightningUriEventStream, ou en fonction de la présence du réseau et du principal.
Logique de l'analyseur metadata.ingestion_labels Libellés indiquant la source de l'événement : "Fichier journal des événements", "Surveillance des événements en temps réel" ou "SetupAuditTrail".
Logique de l'analyseur metadata.log_type Toujours défini sur "SALESFORCE".
Logique de l'analyseur metadata.product_name Toujours défini sur "SALESFORCE".
Logique de l'analyseur metadata.vendor_name Toujours défini sur "SALESFORCE".
Logique de l'analyseur metadata.url_back_to_product Construit à partir de différents champs tels que LoginUrl, attributes.url, data.properties.PageUrl.str et data.properties.LoginUrl.str.
Logique de l'analyseur network.application_protocol Définissez la valeur sur "HTTPS" si le champ uri commence par "http".
Logique de l'analyseur network.http.referral_url Extrait du champ user_agent s'il contient "Referer=".
Logique de l'analyseur network.http.response_code Dérivé de request_status pour divers événements.
Logique de l'analyseur network.http.user_agent Valeur de user_agent à partir du journal brut, ou de data.properties.UserAgent.str pour ApiEventStream et LoginEventStream, ou des événements Sites, ou "User-Agent" des événements Sites.
Logique de l'analyseur network.session_id Valeur de session_key ou SESSION_KEY à partir du journal brut, ou construite à partir d'autres champs tels que LoginKey ou AuthSessionId.
Logique de l'analyseur network.tls.version Valeur de tls_protocol à partir du journal brut ou de data.properties.TlsProtocol.str pour LoginEventStream.
Logique de l'analyseur principal.application Valeur de application à partir du journal brut, ou "Salesforce pour Outlook" pour les événements "Connexion : succès", ou "Insights" pour les événements "Connexion : succès" sans application, ou extraite de device_platform pour les événements Lightning.
Logique de l'analyseur principal.asset.hostname Valeur de client_ip s'il s'agit d'un nom d'hôte.
Logique de l'analyseur principal.asset.ip La valeur de client_ip, src_ip, SourceIp ou CLIENT_IP s'il s'agit d'une adresse IP.
Logique de l'analyseur principal.hostname Valeur de client_ip s'il s'agit d'un nom d'hôte.
Logique de l'analyseur principal.ip La valeur de client_ip, src_ip, SourceIp ou CLIENT_IP s'il s'agit d'une adresse IP.
Logique de l'analyseur principal.labels Libellés construits à partir de différents champs tels que FederationIdentifier, ApiType, OrgId, channel.
Logique de l'analyseur principal.location.city Valeur de geoip_src.city_name, City ou LoginGeo.City à partir du journal brut.
Logique de l'analyseur principal.location.country_or_region Valeur de geoip_src.country_name, Country, LoginGeo.Country ou client_geo du journal brut.
Logique de l'analyseur principal.location.region_latitude Valeur de data.properties.LoginLatitude.number à partir du journal brut.
Logique de l'analyseur principal.location.region_longitude Valeur de data.properties.LoginLongitude.number à partir du journal brut.
Logique de l'analyseur principal.location.state Valeur de geoip_src.region_name à partir du journal brut.
Logique de l'analyseur principal.platform Valeur de Platform, OsName ou os_name du journal brut, ou "WINDOWS" pour LoginEventStream avec Platform contenant "Windows".
Logique de l'analyseur principal.platform_version Valeur de OsVersion ou os_version à partir du journal brut, ou extraite de Platform pour LoginEventStream avec Platform contenant "Windows".
Logique de l'analyseur principal.resource.attribute.labels Libellés construits à partir de différents champs tels que CreatedById, ApiVersion, LogFile, LogFileContentType, LogFileLength.
Logique de l'analyseur principal.resource.name Valeur de Browser ou browser_name à partir du journal brut, ou "Java (Salesforce.com)" pour LoginHistory avec ApiType en tant que "SOAP Partner".
Logique de l'analyseur principal.resource.type Extrait de device_platform pour les événements Lightning, ou "Navigateur" pour LoginAsEvent et LoginAsEventStream.
Logique de l'analyseur principal.url Valeur de LoginUrl à partir du journal brut.
Logique de l'analyseur principal.user.email_addresses Valeur usrName, Username, src_email, IdentityUsed, data.properties.Username.str ou data.properties.Email.str du journal brut.
Logique de l'analyseur principal.user.product_object_id Valeur attrs.USER_ID_DERIVED ou data.properties.USER_ID_DERIVED.str du journal brut.
Logique de l'analyseur principal.user.userid Valeur usrName, Username, user_id, UserId, USER_ID, Id, LoginKey, CreatedByContext, data.properties.Username.str, data.properties.USER_ID.str ou data.properties.LoginKey.str du journal brut.
Logique de l'analyseur security_result.action Dérivé de Status, OperationStatus, ErrorCode, action ou operation_status du journal brut, transformé en ALLOW ou BLOCK.
Logique de l'analyseur security_result.action_details Valeur de Status à partir du journal brut pour LoginEventStream.
Logique de l'analyseur security_result.description Valeur de LoginType, logintype, Operation, Action ou Display du journal brut.
Logique de l'analyseur security_result.rule_name Valeur Policy ou rule_name du journal brut.
Logique de l'analyseur security_result.summary Construit à partir de NewValue et OldValue ou REQUEST_STATUS ou Section ou forecastcategory à partir du journal brut.
Logique de l'analyseur target.administrative_domain Valeur de ORGANIZATION_ID, DelegatedOrganizationId, organization_id ou data.properties.OrgName.str du journal brut.
Logique de l'analyseur target.application Valeur de Application, app_name, ApiType, Name ou data.properties.Application.str du journal brut.
Logique de l'analyseur target.asset.hostname Valeur de target_hostname extraite du champ uri.
Logique de l'analyseur target.asset.ip Valeur de data.properties.CLIENT_IP.str à partir du journal brut.
Logique de l'analyseur target.asset_id Construit à partir de device_id ou REQUEST_ID.
Logique de l'analyseur target.file.mime_type Valeur de file_type à partir du journal brut.
Logique de l'analyseur target.file.size Valeur de size_bytes à partir du journal brut.
Logique de l'analyseur target.hostname Valeur de target_hostname extraite du champ uri.
Logique de l'analyseur target.process.command_line Valeur de query_exec, Query ou data.properties.Query.str à partir du journal brut.
Logique de l'analyseur target.process.pid Valeur de job_id à partir du journal brut.
Logique de l'analyseur target.resource.attribute.labels Libellés construits à partir de différents champs tels que CPU_TIME, RUN_TIME, USER_TYPE, DB_TOTAL_TIME, MEDIA_TYPE, ROWS_PROCESSED, NUMBER_FIELDS, DB_BLOCKS, DB_CPU_TIME, ENTITY_NAME, EXCEPTION_MESSAGE, USER_ID_DERIVED, DOWNLOAD_FORMAT, USER_TYPE, CPU_TIME, RUN_TIME, WAVE_SESSION_ID, SessionLevel, verification_method, cpu_time, run_time, db_total_time, db_cpu_time, exec_time, callout_time, number_soql_queries, duration, user_type, entry_point, operation, session_level, rows_processed, sso_type, dashboard_type, Operation et SessionLevel.
Logique de l'analyseur target.resource.id Valeur REQUEST_ID, RecordId, caseid, leadid, contactid, opportunityid ou accountid du journal brut.
Logique de l'analyseur target.resource.name Valeur QueriedEntities, resource_name, component_name, DATASET_IDS, field, StageName ou Subject du journal brut.
Logique de l'analyseur target.resource.product_object_id Valeur de REQUEST_ID à partir du journal brut.
Logique de l'analyseur target.resource.resource_type Définissez sur "ACCESS_POLICY" pour ApexCallout et PlatformEncryption, sur "DATABASE" pour ApexTrigger, sur "FILE" pour ContentTransfer ou sur "TABLE" pour ApiEvent.
Logique de l'analyseur target.resource.type Défini sur "BATCH" pour QueuedExecution et ApexExecution, sur "FILE" pour ContentTransfer, sur "DATABASE_TRIGGER" pour ApexTrigger, ou sur "Case", "Lead", "Contact", "Opportunity" ou "Account" en fonction de la présence des champs d'ID correspondants.
Logique de l'analyseur target.url Valeur de LoginUrl, URI, attributes.url, login_url ou uri du journal brut.
Logique de l'analyseur target.user.email_addresses Valeur de Username, attrs.usrName ou email_address à partir du journal brut.
Logique de l'analyseur target.user.user_display_name Valeur de target_user_display_name, user_name ou username à partir du journal brut.
Logique de l'analyseur target.user.userid Valeur de target_user_name, data.properties.UserId.str ou data.properties.CreatedById.str à partir du journal brut.
Logique de l'analyseur extensions.auth.auth_details Définissez la valeur sur "ACTIVE" si Status n'est pas "Success". Sinon, définissez-la sur "UNKNOWN_AUTHENTICATION_STATUS".
Logique de l'analyseur extensions.auth.mechanism Définissez la valeur sur "REMOTE" pour les événements "Connexion : Réussie" et "Connexion" avec logintype contenant "Remote", ou sur "USERNAME_PASSWORD" pour LoginEventStream, ou sur "MECHANISM_OTHER" pour les événements avec login_url, ou sur "AUTHTYPE_UNSPECIFIED" pour les événements "Connexion : Réussie" et "Déconnexion".
Logique de l'analyseur extensions.auth.type Défini sur "SSO" pour Login, Logout, LogoutEvent, LoginAs, IdentityProviderEventStore, LoginHistory, LoginAsEvent avec LoginType défini sur "SAML Sfdc Initiated SSO", ou "AUTHTYPE_UNSPECIFIED" pour Login: Success, Logout, LoginAsEvent avec LoginType défini sur "Application".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.