此页面由 Cloud Translation API 翻译。

收集 Salesforce 日志

支持的语言：

Google SecOps SIEM

概览

此解析器可处理 LEEF、CSV 和 JSON 格式的 Salesforce 日志。它会提取字段，执行特定于格式的处理（处理 LEEF 键值对、CSV 列和 JSON 结构），将它们映射到 UDM，并使用元数据和派生字段丰富数据。解析器还会处理各种 Salesforce 事件类型，针对登录、退出和其他操作应用特定逻辑，对事件进行分类，并设置适当的 UDM 事件类型。

准备工作

确保您满足以下前提条件：

Google SecOps 实例。
对 AWS IAM、S3 和 AppFlow 的特权访问权限。

配置 Amazon S3 存储桶

按照以下用户指南创建 Amazon S3 存储桶：创建存储桶
保存相应存储桶的名称和区域，以供日后参考。
按照以下用户指南创建用户：创建 IAM 用户。
选择创建的用户。
选择安全凭据标签页。
在访问密钥部分中，点击创建访问密钥。
选择第三方服务作为使用情形。
点击下一步。
可选：添加说明标记。
点击创建访问密钥。
点击下载 .csv 文件。（保存访问密钥和私有访问密钥以供日后参考）。
点击完成。
选择权限标签页。
在权限政策部分中，点击添加权限。
选择添加权限。
选择直接附加政策。
搜索 AmazonS3FullAccess 政策。
选择相应政策。
点击下一步。
点击添加权限。

配置 Amazon AppFlow

创建 Amazon AppFlow 流：
- 流程名称：添加流程名称，然后点击下一步。
- 数据源：选择 Salesforce 作为数据源。
- 创建新连接。
- 系统会显示 Salesforce 登录窗口。使用您的 Salesforce 凭据登录。
- 选择对象名称（选择要从 Salesforce 转移到 S3 存储桶的数据）。
- 选择 Amazon S3 作为数据目的地。
- 选择时间表作为 flow 触发器。
- 在选择源字段中，您可以直接映射所有字段，也可以指定要映射的字段。
验证配置：
- 在 Amazon AppFlow 中，选择您创建的流，然后点击运行流以从 Salesforce 中提取数据。
- 日志现在应已位于您的 S3 存储桶中。

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed：

SIEM 设置 > Feed
内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

如需配置 Feed，请按以下步骤操作：

依次前往 SIEM 设置 > Feed。
点击添加新 Feed。
在下一页上，点击配置单个 Feed。
在 Feed 名称字段中，输入 Feed 的名称，例如 Salesforce 日志。
选择 Amazon S3 作为来源类型。
选择 Salesforce 作为日志类型。
点击下一步。
为以下输入参数指定值：
- 区域：Amazon S3 存储桶所在的区域。
- S3 URI：存储桶 URI。s3:/BUCKET_NAME 替换以下内容：
  - BUCKET_NAME：相应存储桶的名称。
- URI 是：根据 S3 流配置选择 URI 类型：Single file | Directory | Directory which includes subdirectories。
- 来源删除选项：根据您的偏好设置选择删除选项。
注意：如果您选择 Delete transferred files 或 Delete transferred files and empty directories 选项，请确保您已向服务账号授予适当的权限。
- 访问密钥 ID：具有 S3 存储桶访问权限的用户访问密钥。
- 私有访问密钥：有权访问 S3 存储桶的用户私有密钥。
点击下一步。
在最终确定界面中查看新的 Feed 配置，然后点击提交。

设置来自内容中心的 Feed

为以下字段指定值：

区域：Amazon S3 存储桶所在的区域。
S3 URI：存储桶 URI。 s3:/BUCKET_NAME 替换以下内容：
- BUCKET_NAME：相应存储桶的名称。
URI 是：根据 S3 流配置选择 URI 类型：Single file | Directory | Directory which includes subdirectories。
来源删除选项：根据您的偏好设置选择删除选项。

访问密钥 ID：具有 S3 存储桶访问权限的用户访问密钥。
私有访问密钥：有权访问 S3 存储桶的用户私有密钥。

高级选项

Feed 名称：用于标识 Feed 的预填充值。
来源类型：用于将日志收集到 Google SecOps 中的方法。
资源命名空间：与 Feed 关联的命名空间。
提取标签：应用于相应 Feed 中所有事件的标签。

UDM 映射表

日志字段	UDM 映射	逻辑
`Account.Name`	`target.resource.name`	原始日志中的 `Account.Name` 值。
`AccountId`	`target.resource.id`	原始日志中的 `AccountId` 值。
`Action`	`security_result.description`	原始日志中的 `Action` 值。
`AdditionalInfo`	-	未映射到 IDM 对象。
`ApiType`	`target.application`	原始日志中的 `ApiType` 值。
`ApiVersion`	-	未映射到 IDM 对象。
`Application`	`principal.application`	原始日志中的 `Application` 值，对于 LoginAsEvent 为“浏览器”，对于 LoginEvent 为“集成 JWT 令牌”，对于具有对象类型 LoginHistory 的 LoginHistory 为“SfdcSiqActivityPlatform”，对于 ApiEvent 为“N/A”，对于 LoginAsEventStream 为“浏览器”。
`attributes.url`	`target.url`	原始日志中的 `attributes.url` 值，或原始日志中各种事件类型的特定网址。
`attributes.type`	`metadata.product_event_type`	原始日志中的 `attributes.type` 值。
`AuthSessionId`	`network.session_id`	原始日志中的 `AuthSessionId` 值。
`Browser`	`principal.resource.name`	原始日志中的 `Browser` 值；如果原始日志中没有 `Browser` 且 `Application` 为“Insights”，则为“Unknown”；如果 LoginHistory 的 `ApiType` 为“SOAP Partner”，则为“Java (Salesforce.com)”；如果 LoginHistory 的 `Application` 为“SfdcSiqActivityPlatform”，则为“Unknown”；对于 LoginAsEventStream，则为 data.properties.Browser.str。
`Case.Subject`	`target.resource.name`	原始日志中的 `Case.Subject` 值。
`CaseId`	`target.resource.id`	原始日志中的 `CaseId` 值。
`cat`	`metadata.product_event_type`	原始日志中的 `cat` 值。
`City`	`principal.location.city`	原始日志中的 `City` 值，或 LoginHistory 中的 `LoginGeo.City` 值。
`Client`	`principal.labels`	原始日志中的 `Client` 值，格式为标签。
`CLIENT_IP`	`principal.ip`，`principal.asset.ip`	原始日志中的 `CLIENT_IP` 值。
`ClientVersion`	-	未映射到 IDM 对象。
`CipherSuite`	`network.tls.cipher`	原始日志中的 `CipherSuite` 值。
`ColumnHeaders`	`principal.labels`	原始日志中的 `ColumnHeaders` 值，格式为标签。
`ConnectedAppId`	`principal.labels`	原始日志中的 `ConnectedAppId` 值，格式为标签。
`Contact.Name`	`target.resource.name`	原始日志中的 `Contact.Name` 值。
`ContactId`	`target.resource.id`	原始日志中的 `ContactId` 值。
`Country`	`principal.location.country_or_region`	原始日志中的 `Country` 值，或 LoginHistory 的 `LoginGeo.Country`。
`CreatedByContext`	`principal.user.userid`	原始日志中的 `CreatedByContext` 值。
`CreatedById`	`principal.resource.attribute.labels`	原始日志中的 `CreatedById` 值，格式为标签。
`CreatedDate`	`metadata.collected_timestamp`	原始日志中的 `CreatedDate` 值，如果未提供，则为当前时间戳。
`CPU_TIME`	`target.resource.attribute.labels`	原始日志中的 `CPU_TIME` 值，格式为标签。
`data`	-	包含单独提取和映射的各种字段。
`DATASET_IDS`	`target.resource.name`	原始日志中的 `DATASET_IDS` 值。
`DelegatedOrganizationId`	`target.administrative_domain`	原始日志中的 `DelegatedOrganizationId` 值。
`DelegatedUsername`	`observer.user.userid`	原始日志中的 `DelegatedUsername` 值。
`Description`	`metadata.description`	原始日志中的 `Description` 值。
`DevicePlatform`	`principal.resource.type`	原始日志中的 `DevicePlatform` 值，经过解析以提取资源类型。
`Display`	`metadata.description`	原始日志中的 `Display` 值。
`DOWNLOAD_FORMAT`	`target.resource.attribute.labels`	原始日志中的 `DOWNLOAD_FORMAT` 值，格式为标签。
`Duration`	`target.resource.attribute.labels`	原始日志中的 `Duration` 值，格式为标签。
`ENTITY_NAME`	`target.resource.attribute.labels`	原始日志中的 `ENTITY_NAME` 值，格式为标签。
`ErrorCode`	`security_result.action`	原始日志中的 `ErrorCode` 值，转换为 ALLOW 或 BLOCK。
`EventDate`	`timestamp`	原始日志中的 `EventDate` 值，如果可用，则为 `data.properties.TIMESTAMP_DERIVED.str`；如果可用，则为 `data.properties.TIMESTAMP_DERIVED_FIRST.str`；如果可用，则为 `@timestamp`；如果可用，则为 `created_date`；如果可用，则为 `timestamp`；对于 LoginHistory，则为 `LoginTime`。
`EventIdentifier`	`metadata.product_log_id`	原始日志中的 `EventIdentifier` 值。
`EventType`	`metadata.product_event_type`	原始日志中的 `EventType` 值。
`Id`	`principal.user.userid`	原始日志中的 `Id` 值，或 SetupAuditTrail 和其他事件的 `metadata.product_log_id` 值。
`IdentityUsed`	`principal.user.email_addresses`	原始日志中的 `IdentityUsed` 值。
`Lead.Name`	`target.resource.name`	原始日志中的 `Lead.Name` 值。
`LeadId`	`target.resource.id`	原始日志中的 `LeadId` 值。
`LoginAsCategory`	-	未映射到 IDM 对象。
`LoginGeo.Country`	`principal.location.country_or_region`	原始日志中的 `LoginGeo.Country` 值。
`LoginHistoryId`	-	未映射到 IDM 对象。
`LoginKey`	`principal.user.userid`，`network.session_id`	原始日志中的 `LoginKey` 值，或 SetupAuditTrail 的 `CreatedByContext` 值。
`LoginTime`	`timestamp`	原始日志中的 `LoginTime` 值。
`LoginType`	`security_result.description`	原始日志中的 `LoginType` 值；如果 LoginHistory 的 `ApiType` 为“SOAP Partner”，则为“Other Apex API”；如果 LoginHistory 的 `Application` 为“SfdcSiqActivityPlatform”，则为“Remote Access 2.0”。
`LoginUrl`	`target.url`，`principal.url`	原始日志中的 `LoginUrl` 值。
`LogFile`	`principal.resource.attribute.labels`	原始日志中的 `LogFile` 值，格式为标签。
`LogFileContentType`	`principal.resource.attribute.labels`	原始日志中的 `LogFileContentType` 值，格式为标签。
`LogFileLength`	`principal.resource.attribute.labels`	原始日志中的 `LogFileLength` 值，格式为标签。
`Message`	-	未映射到 IDM 对象。
`METHOD`	`network.http.method`	原始日志中的 `METHOD` 值。
`Name`	`target.application`	原始日志中的 `Name` 值。
`NewValue`	-	与 `OldValue` 结合使用以生成 `security_result.summary`。
`NUMBER_FIELDS`	`target.resource.attribute.labels`	原始日志中的 `NUMBER_FIELDS` 值，格式为标签。
`OldValue`	-	与 `NewValue` 结合使用以生成 `security_result.summary`。
`Operation`	`security_result.description`，`target.resource.attribute.labels`	原始日志中的 `Operation` 值，或 SetupAuditTrail 的 `Display` 值。
`OperationStatus`	`security_result.action`	原始日志中的 `OperationStatus` 值，转换为 ALLOW 或 BLOCK。
`ORGANIZATION_ID`	`target.administrative_domain`	原始日志中的 `ORGANIZATION_ID` 值。
`OsName`	`principal.platform`	原始日志中的 `OsName` 值。
`OsVersion`	`principal.platform_version`	原始日志中的 `OsVersion` 值。
`Platform`	`principal.platform`	原始日志中的 `Platform` 值，或 LightningUriEventStream 中的 `data.properties.OsName.str` 值，或 LoginEventStream 中的 `data.properties.OsName.str` 值。
`QueriedEntities`	`target.resource.name`，`principal.labels`	原始日志中的 `QueriedEntities` 值，或 UriEvent 和 ApiEvent 的 `component_name`。
`Query`	`target.process.command_line`，`principal.labels`	原始日志中的 `Query` 值。
`RecordId`	`target.resource.id`	原始日志中的 `RecordId` 值。
`Records`	`principal.labels`	原始日志中的 `Records` 值，格式为标签。
`REQUEST_ID`	`metadata.product_log_id`，`target.resource.product_object_id`	原始日志中的 `REQUEST_ID` 值。
`REQUEST_SIZE`	`network.sent_bytes`	原始日志中的 `REQUEST_SIZE` 值。
`REQUEST_STATUS`	`security_result.summary`	原始日志中的 `REQUEST_STATUS` 值。
`RESPONSE_SIZE`	`network.received_bytes`	原始日志中的 `RESPONSE_SIZE` 值。
`RowsProcessed`	`target.resource.attribute.labels`	原始日志中的 `RowsProcessed` 值，格式为标签。
`RUN_TIME`	`target.resource.attribute.labels`	原始日志中的 `RUN_TIME` 值，格式为标签。
`SamlEntityUrl`	-	未映射到 IDM 对象。
`SdkAppType`	-	未映射到 IDM 对象。
`SdkAppVersion`	-	未映射到 IDM 对象。
`SdkVersion`	-	未映射到 IDM 对象。
`Section`	`security_result.summary`	原始日志中的 `Section` 值。
`SessionKey`	`network.session_id`	原始日志中的 `SessionKey` 值。
`SessionLevel`	`target.resource.attribute.labels`	原始日志中的 `SessionLevel` 值，格式为标签。
`SourceIp`	`principal.ip`，`principal.asset.ip`	原始日志中的 `SourceIp` 值。
`src`	`principal.ip`，`principal.asset.ip`	原始日志中的 `src` 值。
`SsoType`	`target.resource.attribute.labels`	原始日志中的 `SsoType` 值，格式为标签。
`STATUS_CODE`	`network.http.response_code`	原始日志中的 `STATUS_CODE` 值。
`Status`	`security_result.action`，`security_result.action_details`	原始日志中的 `Status` 值，转换为 ALLOW 或 BLOCK，或用作 LoginEventStream 的操作详细信息。
`Subject`	`target.resource.name`	原始日志中的 `Subject` 值。
`TargetUrl`	-	未映射到 IDM 对象。
`TIMESTAMP`	`metadata.collected_timestamp`	原始日志中的 `TIMESTAMP` 值。
`TIMESTAMP_DERIVED`	`timestamp`	原始日志中的 `TIMESTAMP_DERIVED` 值。
`TlsProtocol`	`network.tls.version_protocol`	原始日志中的 `TlsProtocol` 值。
`URI`	`target.url`	原始日志中的 `URI` 值。
`USER_AGENT`	`network.http.user_agent`	原始日志中的 `USER_AGENT` 值。
`USER_ID`	`principal.user.userid`	原始日志中的 `USER_ID` 值。
`USER_ID_DERIVED`	`principal.user.product_object_id`，`target.resource.attribute.labels`	原始日志中的 `USER_ID_DERIVED` 值。
`UserId`	`principal.user.userid`	原始日志中的 `UserId` 值。
`USER_TYPE`	`target.resource.attribute.labels`	原始日志中的 `USER_TYPE` 值，格式为标签。
`Username`	`principal.user.userid`、`principal.user.email_addresses`、`target.user.email_addresses`	原始日志中的 `Username` 值，或各种事件的 `src_email` 值，或 IdentityProviderEventStore 的 `IdentityUsed` 值，或 Search 和 SearchAlert 的 `data.properties.Email.str` 值，或 LoginAsEventStream 和 LoginEventStream 的 `data.properties.Username.str` 值。
`UserType`	`target.resource.attribute.labels`	原始日志中的 `UserType` 值，格式为标签。
`usrName`	`principal.user.userid`、`principal.user.email_addresses`、`target.user.email_addresses`	原始日志中的 `usrName` 值。
`VerificationMethod`	`target.resource.attribute.labels`	原始日志中的 `VerificationMethod` 值，格式为标签。
解析器逻辑	`metadata.event_type`	根据 `event_id` 和 `operation` 字段派生，或针对 LoginEventStream 设置为“USER_LOGIN”，针对 Logout 和 LogoutEvent 设置为“USER_LOGOUT”，针对各种事件设置为“USER_RESOURCE_UPDATE_CONTENT”，针对 PlatformEncryption 设置为“USER_RESOURCE_UPDATE_PERMISSIONS”，针对 QueuedExecution、ApexExecution、LightningInteraction、LightningPerformance、LightningPageView、URI、RestApi、API、AuraRequest、ApexCallout、OneCommerceUsage、Sites、MetadataApiOperation、OneCommerceUsage、VisualforceRequest、Dashboard、Search、ListViewEvent 设置为“RESOURCE_READ”，针对 `Operation` 为“Create”或“INSERT”的 UriEvent 和 TimeBasedWorkflow 设置为“RESOURCE_CREATION”，针对 `Operation` 为“Update”的 UriEvent 和 LightningUriEvent 设置为“RESOURCE_WRITTEN”，针对 `Operation` 为“Delete”或“ROLLBACK”的 UriEvent 设置为“RESOURCE_DELETION”，针对 SetupAuditTrail 和 AuditTrail 设置为“USER_UNCATEGORIZED”，针对 `operation` 为“namedCredentialEncryptedFieldChange”的 SetupAuditTrail 设置为“USER_CHANGE_PASSWORD”，针对 ApiEventStream 和 LightningUriEventStream 设置为“GENERIC_EVENT”，或根据网络和正文存在情况派生。
解析器逻辑	`metadata.ingestion_labels`	用于指明事件来源的标签，可以是“事件日志文件”“实时事件监控”或“SetupAuditTrail”。
解析器逻辑	`metadata.log_type`	始终设置为“SALESFORCE”。
解析器逻辑	`metadata.product_name`	始终设置为“SALESFORCE”。
解析器逻辑	`metadata.vendor_name`	始终设置为“SALESFORCE”。
解析器逻辑	`metadata.url_back_to_product`	由各种字段（例如 `LoginUrl`、`attributes.url`、`data.properties.PageUrl.str`、`data.properties.LoginUrl.str`）构建而成。
解析器逻辑	`network.application_protocol`	如果 `uri` 字段以“http”开头，则设置为“HTTPS”。
解析器逻辑	`network.http.referral_url`	如果 `user_agent` 字段包含“Referer=”，则从中提取。
解析器逻辑	`network.http.response_code`	派生自 `request_status`，用于各种事件。
解析器逻辑	`network.http.user_agent`	原始日志中的 `user_agent` 值，或 ApiEventStream 和 LoginEventStream 中的 `data.properties.UserAgent.str` 值，或 `Sites` 事件中的值，或 `Sites` 事件中的“User-Agent”。
解析器逻辑	`network.session_id`	原始日志中的 `session_key` 或 `SESSION_KEY` 值，或通过其他字段（例如 `LoginKey` 或 `AuthSessionId`）构建的值。
解析器逻辑	`network.tls.version`	原始日志中的 `tls_protocol` 值，或 LoginEventStream 中的 `data.properties.TlsProtocol.str` 值。
解析器逻辑	`principal.application`	原始日志中的 `application` 值，对于“登录：成功”事件，该值为“Salesforce for Outlook”；对于没有应用的“登录：成功”事件，该值为“Insights”；对于 Lightning 事件，该值从 `device_platform` 中提取。
解析器逻辑	`principal.asset.hostname`	如果 `client_ip` 是主机名，则返回该值。
解析器逻辑	`principal.asset.ip`	如果值为 IP 地址，则为 `client_ip` 或 `src_ip` 或 `SourceIp` 或 `CLIENT_IP` 的值。
解析器逻辑	`principal.hostname`	如果 `client_ip` 是主机名，则返回该值。
解析器逻辑	`principal.ip`	如果值为 IP 地址，则为 `client_ip` 或 `src_ip` 或 `SourceIp` 或 `CLIENT_IP` 的值。
解析器逻辑	`principal.labels`	根据各种字段（例如 `FederationIdentifier`、`ApiType`、`OrgId`、`channel`）构建的标签。
解析器逻辑	`principal.location.city`	原始日志中的 `geoip_src.city_name` 或 `City` 或 `LoginGeo.City` 的值。
解析器逻辑	`principal.location.country_or_region`	原始日志中的 `geoip_src.country_name` 或 `Country` 或 `LoginGeo.Country` 或 `client_geo` 的值。
解析器逻辑	`principal.location.region_latitude`	原始日志中的 `data.properties.LoginLatitude.number` 值。
解析器逻辑	`principal.location.region_longitude`	原始日志中的 `data.properties.LoginLongitude.number` 值。
解析器逻辑	`principal.location.state`	原始日志中的 `geoip_src.region_name` 值。
解析器逻辑	`principal.platform`	原始日志中的 `Platform` 或 `OsName` 或 `os_name` 的值；对于 `Platform` 包含“Windows”的 LoginEventStream，该值为“WINDOWS”。
解析器逻辑	`principal.platform_version`	原始日志中的 `OsVersion` 或 `os_version` 的值，或者从 `Platform` 中提取的 LoginEventStream 的值（如果 `Platform` 包含“Windows”）。
解析器逻辑	`principal.resource.attribute.labels`	根据各种字段（例如 `CreatedById`、`ApiVersion`、`LogFile`、`LogFileContentType`、`LogFileLength`）构建的标签。
解析器逻辑	`principal.resource.name`	原始日志中的 `Browser` 或 `browser_name` 值，或者对于 `ApiType` 为“SOAP Partner”的 LoginHistory，该值为“Java (Salesforce.com)”。
解析器逻辑	`principal.resource.type`	对于 Lightning 事件，该值为从 `device_platform` 中提取的值；对于 LoginAsEvent 和 LoginAsEventStream，该值为“浏览器”。
解析器逻辑	`principal.url`	原始日志中的 `LoginUrl` 值。
解析器逻辑	`principal.user.email_addresses`	原始日志中的 `usrName` 或 `Username` 或 `src_email` 或 `IdentityUsed` 或 `data.properties.Username.str` 或 `data.properties.Email.str` 的值。
解析器逻辑	`principal.user.product_object_id`	原始日志中的 `attrs.USER_ID_DERIVED` 或 `data.properties.USER_ID_DERIVED.str` 值。
解析器逻辑	`principal.user.userid`	原始日志中的 `usrName` 或 `Username` 或 `user_id` 或 `UserId` 或 `USER_ID` 或 `Id` 或 `LoginKey` 或 `CreatedByContext` 或 `data.properties.Username.str` 或 `data.properties.USER_ID.str` 或 `data.properties.LoginKey.str` 的值。
解析器逻辑	`security_result.action`	从原始日志中的 `Status` 或 `OperationStatus` 或 `ErrorCode` 或 `action` 或 `operation_status` 派生而来，转换为 ALLOW 或 BLOCK。
解析器逻辑	`security_result.action_details`	LoginEventStream 的原始日志中的 `Status` 值。
解析器逻辑	`security_result.description`	原始日志中的 `LoginType` 或 `logintype` 或 `Operation` 或 `Action` 或 `Display` 的值。
解析器逻辑	`security_result.rule_name`	原始日志中的 `Policy` 或 `rule_name` 值。
解析器逻辑	`security_result.summary`	根据原始日志中的 `NewValue` 和 `OldValue` 或 `REQUEST_STATUS` 或 `Section` 或 `forecastcategory` 构建。
解析器逻辑	`target.administrative_domain`	原始日志中的 `ORGANIZATION_ID` 或 `DelegatedOrganizationId` 或 `organization_id` 或 `data.properties.OrgName.str` 的值。
解析器逻辑	`target.application`	原始日志中的 `Application` 或 `app_name` 或 `ApiType` 或 `Name` 或 `data.properties.Application.str` 的值。
解析器逻辑	`target.asset.hostname`	从 `uri` 字段提取的 `target_hostname` 值。
解析器逻辑	`target.asset.ip`	原始日志中的 `data.properties.CLIENT_IP.str` 值。
解析器逻辑	`target.asset_id`	由 `device_id` 或 `REQUEST_ID` 构造而成。
解析器逻辑	`target.file.mime_type`	原始日志中的 `file_type` 值。
解析器逻辑	`target.file.size`	原始日志中的 `size_bytes` 值。
解析器逻辑	`target.hostname`	从 `uri` 字段提取的 `target_hostname` 值。
解析器逻辑	`target.process.command_line`	原始日志中的 `query_exec` 或 `Query` 或 `data.properties.Query.str` 的值。
解析器逻辑	`target.process.pid`	原始日志中的 `job_id` 值。
解析器逻辑	`target.resource.attribute.labels`	由各种字段（例如 `CPU_TIME`、`RUN_TIME`、`USER_TYPE`、`DB_TOTAL_TIME`、`MEDIA_TYPE`、`ROWS_PROCESSED`、`NUMBER_FIELDS`、`DB_BLOCKS`、`DB_CPU_TIME`、`ENTITY_NAME`、`EXCEPTION_MESSAGE`、`USER_ID_DERIVED`、`DOWNLOAD_FORMAT`、`USER_TYPE`、`CPU_TIME`、`RUN_TIME`、`WAVE_SESSION_ID`、`SessionLevel`、`verification_method`、`cpu_time`、`run_time`、`db_total_time`、`db_cpu_time`、`exec_time`、`callout_time`、`number_soql_queries`、`duration`、`user_type`、`entry_point`、`operation`、`session_level`、`rows_processed`、`sso_type`、`dashboard_type`、`Operation`、`SessionLevel`）构建的标签。
解析器逻辑	`target.resource.id`	原始日志中的 `REQUEST_ID` 或 `RecordId` 或 `caseid` 或 `leadid` 或 `contactid` 或 `opportunityid` 或 `accountid` 的值。
解析器逻辑	`target.resource.name`	原始日志中的 `QueriedEntities` 或 `resource_name` 或 `component_name` 或 `DATASET_IDS` 或 `field` 或 `StageName` 或 `Subject` 的值。
解析器逻辑	`target.resource.product_object_id`	原始日志中的 `REQUEST_ID` 值。
解析器逻辑	`target.resource.resource_type`	对于 ApexCallout 和 PlatformEncryption，设置为“ACCESS_POLICY”；对于 ApexTrigger，设置为“DATABASE”；对于 ContentTransfer，设置为“FILE”；对于 ApiEvent，设置为“TABLE”。
解析器逻辑	`target.resource.type`	对于 QueuedExecution 和 ApexExecution，设置为“BATCH”；对于 ContentTransfer，设置为“FILE”；对于 ApexTrigger，设置为“DATABASE_TRIGGER”；对于“业务机会”“潜在客户”“联系人”“客户”和“业务机会”，则根据是否存在相应的 ID 字段来设置。
解析器逻辑	`target.url`	原始日志中的 `LoginUrl` 或 `URI` 或 `attributes.url` 或 `login_url` 或 `uri` 的值。
解析器逻辑	`target.user.email_addresses`	原始日志中的 `Username` 或 `attrs.usrName` 或 `email_address` 的值。
解析器逻辑	`target.user.user_display_name`	原始日志中的 `target_user_display_name` 或 `user_name` 或 `username` 的值。
解析器逻辑	`target.user.userid`	原始日志中的 `target_user_name` 或 `data.properties.UserId.str` 或 `data.properties.CreatedById.str` 的值。
解析器逻辑	`extensions.auth.auth_details`	如果 `Status` 不是“成功”，则设置为“有效”，否则设置为“UNKNOWN_AUTHENTICATION_STATUS”。
解析器逻辑	`extensions.auth.mechanism`	对于登录成功和登录事件，如果 `logintype` 包含“Remote”，则设置为“REMOTE”；对于 LoginEventStream，设置为“USERNAME_PASSWORD”；对于包含 `login_url` 的事件，设置为“MECHANISM_OTHER”；对于登录成功和注销事件，设置为“AUTHTYPE_UNSPECIFIED”。
解析器逻辑	`extensions.auth.type`	对于登录、注销、LogoutEvent、LoginAs、IdentityProviderEventStore、LoginHistory、LoginAsEvent（如果 LoginType 为“SAML Sfdc Initiated SSO”），设置为“SSO”；对于登录：成功、注销、LoginAsEvent（如果 LoginType 为“Application”），设置为“AUTHTYPE_UNSPECIFIED”。