Herunterladen und Visualisieren von Ereignisprotokolldateien
Lernziele
Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:
- Herunterladen einer Ereignisprotokolldatei
- Beschreiben der Struktur von Ereignisprotokolldateien
- Erläutern, wie Daten mithilfe eines cURL- oder Python-Skripts heruntergeladen werden
- Bestimmen von Optionen zum Visualisieren von Daten in Ereignisprotokolldateien
Herunterladen von Ereignisprotokolldateien
Sie können in der Entwicklerkonsole die Ereignisse in Ihrer Organisation überprüfen und anhand von Kriterien filtern. Da Sie aber über die API (Anwendungsprogrammierschnittstelle) auf die Daten zugreifen, können Sie auch andere Tools einsetzen, die Ihnen das Arbeiten mit Ereignisprotokolldateien erleichtern. Um die Vorteile der Ereignisüberwachung optimal zu nutzen, sollten Sie Ihre Ereignisprotokolldateien aus Salesforce herunterladen, damit Sie sie im Zeitverlauf nachverfolgen können.
Zum Herunterladen von Ereignisprotokolldateien gibt es mehrere Möglichkeiten, wie etwa:
- Direktes Herunterladen über den Browser für Ereignisprotokolldateien
- cURL-Skript
- Python-Skript
Diese Methoden sehen wir uns jetzt im Einzelnen an.
Herunterladen von Protokolldateien im Browser
Der Browser für Ereignisprotokolldateien ist die einfachste Methode zum Herunterladen der Ereignisüberwachungsdaten Ihrer Organisation. Lassen Sie uns das ausprobieren.
- Wechseln Sie in Setup zu "Event log File Browser (Browser für Ereignisprotokolldateien). Wählen Sie einen Datumsbereich aus.
- Wählen Sie aus der Dropdown-Liste neben der Ereignisprotokolldatei "Download as CSV File (Als CSV-Datei herunterladen)" aus.
Die Liste enthält dieselben Ereignisprotokolldateien, die angezeigt werden, wenn Sie das Objekt EventLogFile abfragen. Sie können die Dateien nicht im Browser öffnen, sie jedoch entweder direkt oder mithilfe eines Skripts herunterladen.
Sehen wir uns die Methode für das direkte Herunterladen näher an.
- Klicken Sie auf die Schaltfläche , um ein Protokoll in eine Datei mit durch Komma getrennten Werten (CSV) herunterzuladen. Jede Datei enthält alle Ereignisse eines bestimmten Typs, die in den letzten 24 Stunden in Ihrer Organisation (bzw. bei Ereignisüberwachungs-Kunden jede Stunde) aufgetreten sind.
- Laden Sie die Protokolldatei "ReportExport" herunter. Öffnen Sie die Datei in einem Tabellenblatt, sodass wir sie zusammen untersuchen können.
Das sieht doch viel besser aus! Jetzt können wir endlich feststellen, wie vertrauliche Informationen durchsickern konnten. Angenommen die ID Ihres Leadberichts lautet 00O30000008a3De. Das Feld "URI" enthält die ID des exportierten Berichts. Das Feld USER_ID enthält die ID des Benutzers, der den Bericht exportiert hat. Mit diesen Informationen können Sie den Schuldigen identifizieren.
Die Benutzer-ID und die Berichts-ID stimmen überein! Sie können jetzt beweisen, dass Rob Burgle den Bericht exportiert hat. Es ist also an der Zeit, die Justiz einzuschalten.
Herunterladen von Ereignisprotokolldateien mit cURL
Sie sind sicherlich noch ganz aufgeregt, weil Sie Ihren ersten Fall gelöst haben, doch dieser Erfolg ist erst der Anfang Ihrer illustren Karriere als Salesforce-Administrator/-Detektiv. Zu jedem Ereignistyp gehört auch die Schaltfläche zum Herunterladen eines cURL-Skripts, das Sie über die Befehlszeile Ihres Computers ausführen. cURL ist eines der vielen Befehlszeilen-Tools, das Sie zum Herunterladen von Daten aus Ihrer Organisation verwenden können. Das Skript lädt eine CSV-Datei herunter, die mit der Datei identisch ist, die Sie im vorherigen Schritt heruntergeladen haben. Warum sollten Sie also cURL anstatt des Tools für direktes Herunterladen verwenden?
Die Verwendung von cURL ist zwar komplizierter als die erste Methode, doch sie bietet zusätzliche Flexibilität bei der Arbeit mit Ereignisprotokolldateien. Anstatt Dateien manuell herunterzuladen, können Sie planen, wann das Skript ausgeführt werden soll, damit Sie immer über die aktuellsten Ereignisprotokolldateien für Ihre Organisation verfügen. Zudem können Sie Ihre Daten so umwandeln, dass sie im gewünschten Format vorliegen. Wenn Ihre Organisation über einen Integrationsspezialisten verfügt, können Sie diese Skripts an ihn weitergeben, um eine Automatisierung in die Wege zu leiten.
Wenn Sie ein cURL-Skript zum Herunterladen Ihrer Ereignisprotokolldateien verwenden möchten, ist Folgendes erforderlich:
- Angeben Ihrer Salesforce-Anmeldeinformationen
- Anmelden mit oAuth und Abrufen eines Zugriffs-Tokens
- Angeben der zu suchenden Protokolle über eine REST-Abfrage
- Analysieren der Abfrageergebnisse, damit Sie beispielsweise eine datumsbasierte Dateistruktur erstellen können. Sie können beliebige Transformationen auf Ihre Daten anwenden.
Herunterladen von Ereignisprotokolldateien mit Python
Wenn Sie das Herunterladen der Ereignisprotokolldateien Ihrer Organisation eher programmgesteuert durchführen möchten, verwenden Sie Python-Skripts. Ein Vorteil bei der Verwendung eines Python-Skripts gegenüber einem cURL-Skript besteht darin, dass die Verwendung für Windows-Benutzer einfach ist (wobei Python-Skripts auch für Mac- und Linux-Benutzer geeignet sind).
Python ist simpel und verständlich, selbst wenn Sie kein erfahrener Programmierer sind. Sie müssen bestimmte Einrichtungsschritte durchführen, können dann Ihr Herunterlade-Skript aber ganz einfach ausführen.
Visualisieren von Ereignisprotokolldateidaten
Sie haben sich über Ereignisprotokolldateien informiert und gelernt, wie Sie diese aus Salesforce herunterladen. Nun ist es Zeit für die Visualisierung Ihrer Daten. Wenn Sie in Tausenden von Zeilen in einem Tabellenblatt nach einer bestimmten Information suchen, ist dies wie die sprichwörtliche Suche nach der Nadel im Heuhaufen. Es ist meistens nicht sinnvoll, nach einem einzelnen Vorkommen eines Berichtsexports oder einer Benutzeranmeldung zu suchen. Wahrscheinlich sind Sie eher auf der Suche nach Verhalten, das nicht der Norm entspricht. Um sich unmittelbare Einblicke in die internen Abläufe Ihrer Organisation zu verschaffen, laden Sie regelmäßig die Ereignisprotokolldateien herunter und erstellen visuelle Darstellungen der Daten.
Die Ereignisüberwachung wird von Event Monitoring Analytics bereitgestellt, einer Anwendung zur Visualisierung Ihrer Protokolldaten. Sie können auch andere Tools verwenden, um Ihre Daten aufzubereiten. Manche Tools bieten spezielle Unterstützung für Ereignisprotokolldateien, während andere erst entsprechend konfiguriert werden müssen. Die folgende Liste enthält keine Details zu den einzelnen Plattformen, sondern einige hilfreiche Anregungen.
Die Event Monitoring Analytics-Anwendung: Mit dieser Analyseanwendung können Sie sich Einblicke in Ihre Ereignisüberwachungsdaten verschaffen, ohne die Salesforce-Plattform verlassen zu müssen. Ihre Daten werden automatisch aus Salesforce in die Anwendung geladen, sodass Sie immer die aktuellste (und natürlich beeindruckendste) Visualisierung der Abläufe in Ihrer Organisation bekommen. Die Anwendung bietet eine Reihe von Dashboards, die vorintegrierte Ereignisdaten verwenden, und stellt daher auch einen großartigen Einstieg in die Ereignisüberwachung dar.
Splunk App for Salesforce: Mit dieser Anwendung können Sie die Salesforce-Nutzung Ihrer Organisation analysieren und visualisieren sowie Erkenntnisse zu Sicherheit, Leistung und Benutzerverhalten gewinnen. Mit dem Add-On für Splunk für Salesforce kann ein Administrator von Splunk-Software mithilfe von REST-APIs verschiedene Arten von Daten aus Salesforce abrufen. Außerdem bietet es die Eingaben für die Nutzung mit anderen Splunk-Anwendungen, wie z. B. Splunk Enterprise Security.
FairWarning: Diese Lösung zur Überwachung der Benutzeraktivität wurde speziell für die Übersetzung und Korrelation von Salesforce-Protokolldateien in den Bereichen Ereignisüberwachung, Echtzeitdatenströme, Referenzobjekte und für Ereignisse bei der Datenänderungserfassung entwickelt. Auf diese Weise können sie benutzerbezogene Einblicke und Warnmeldungen in Echtzeit bei anormalem Verhalten bereitstellen. Auf diese Weise können Sie Bedrohungen aktiv erkennen und Risiken für Ihre Salesforce-Daten entschärfen. FairWarning unterstützt mehrere Organisationen in einer zentralen Übersicht, speichert Daten länger als 30 Tage und bietet dadurch schnell einen Nutzen, dass die Überwachung innerhalb von 48 Stunden in Gang gesetzt werden kann. Mit FairWarning gewonnene Erkenntnisse können auch für Anwendungsfälle in den Bereichen Nutzung, Akzeptanz und Leistung herangezogen werden, um einen positiven ROI für Ereignisüberwachung und Salesforce zu erzielen. In AppExchange verfügbar.
New Relic Insights: Diese Lösung für Salesforce macht es einfach, die gesamten geschäftlichen Auswirkungen der Leistung Ihrer Software zu verstehen. Importieren Sie die Ereignisüberwachungsdaten automatisch in Insights, damit die leicht zu erstellenden Dashboards "gefüttert" werden und Sie Ihre Daten sofort in der Benutzeroberfläche abfragen können.
Sie haben jetzt eine Vorstellung davon, welchen Nutzen die Ereignisüberwachung für Ihre Organisation haben kann. Sie haben Ereignisprotokolldateien zum Lösen eines Falls verwendet und die vielen Möglichkeiten zum Herunterladen und Visualisieren von Ereignisse in Ihrer Organisation kennen gelernt. Jetzt verfügen Sie über die notwendigen Tools, mit denen Sie Ihre Organisation untersuchen, schützen und verbessern können. Viel Erfolg bei der Detektivarbeit.
Ressourcen
-
Salesforce-Entwicklerdokumentation: Download Large Event Log Files Using cURL with REST
-
Externe Website: Salesforce Hacker: Downloading Event Log Files Using a Script
-
Externe Website: Salesforce Hacker: ElfPy—A Tasty Little Script for Downloading Event Log Files on Multiple Platforms
-
Salesforce-Hilfe: Browser für Ereignisprotokolldateien
-
Salesforce-Hilfe: Event Monitoring Analytics App
-
Externe Website: Splunk App for Salesforce
-
Externe Website: New Relic
-
Salesforce App Exchange: FairWarning for Salesforce App