Erfassen Sie Ihre Fortschritte
Trailhead-Startseite
Trailhead-Startseite

Herunterladen und Visualisieren von Ereignisprotokolldateien

Lernziele

Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:
  • Herunterladen einer Ereignisprotokolldatei
  • Beschreiben der Struktur von Ereignisprotokolldateien
  • Benennen einer Anwendung zum Herunterladen von Ereignisprotokolldateien ohne Code zu schreiben
  • Definieren einer Rolle, die ein cURL- oder Python-Skript zum Herunterladen von Daten verwenden könnte
  • Benennen von Optionen für das Visualisieren von Ereignisprotokolldateidaten

Herunterladen von Ereignisprotokolldateien

Mit Workbench können Sie neuesten Ereignisse Ihrer Organisation überprüfen und nach bestimmten Kriterien filtern. Da Sie jedoch über die API auf die Daten zugreifen, können Sie auch andere Tools verwenden, die die Arbeit mit Ereignisprotokolldateien noch einfacher machen. Damit Sie die Vorteile der Ereignisüberwachung optimal nutzen, sollten Sie Ihre Ereignisprotokolldateien aus Salesforce herunterladen, damit Sie sie im Zeitverlauf nachverfolgen können.

Zum Herunterladen von Ereignisprotokolldateien gibt es mehrere Möglichkeiten, wie etwa:
  • Direktes Herunterladen über den Browser für Ereignisprotokolldateien
  • Verwendung eines cURL-Skripts
  • Verwendung eines Python-Skripts

Diese Methoden sehen wir uns jetzt im Einzelnen an.

Herunterladen Protokolldateien mit dem Browser

Die Verwendung des Browsers für Ereignisprotokolldateien ist die einfachste Methode zum Herunterladen der Ereignisüberwachungsdaten für Ihre Organisation. Versuchen wir es.
  1. Melden Sie sich bei Ihrer Developer Edition-Organisation für Trailhead an.
  2. Wechseln Sie zum Browser für Ereignisprotokolldateien.
  3. Klicken Sie auf Production Login (Anmeldung Produktion).
  4. Geben Sie einen Datumsbereich für Ihre Suche ein.
  5. Geben Sie einen Ereignistyp für Ihre Suche ein.
  6. Geben Sie ein Intervall (täglich oder stündlich) ein.
  7. Klicken Sie auf Apply (Übernehmen).
Die Anzeige sollte etwa wie folgt aussehen:
Die Browserseite für Ereignisprotokolldateien.
Hinweis

Hinweis

Liegen für Ihre Organisation keine Ereignisse für den angegebenen Datumsbereich oder mit dem festgelegten Typ vor, zeigt die Seite einen Fehler an.

Die Liste enthält dieselben Ereignisprotokolldateien, die angezeigt werden, wenn Sie das Objekt "EventLogFile" mit dem REST Explorer in Workbench abfragen. Sie können die Dateien nicht im Browser öffnen, sie jedoch entweder direkt oder mithilfe eines Skripts herunterladen. Sehen wir uns die Methode für das direkte Herunterladen näher an.

Klicken Sie auf die Schaltfläche Die Schaltfläche für direktes Herunterladen, um ein Protokoll in eine Datei mit kommagetrennten Werten (CSV) herunterzuladen. Die unleserliche Textzeichenfolge aus dem REST Explorer wird in ein gut lesbares Format in einem Tabellenkalkulationsprogramm wie Microsoft Excel oder Google Sheets umgewandelt. Jede Datei enthält alle Ereignisse eines bestimmten Typs, die in den letzten 24 Stunden in Ihrer Organisation aufgetreten sind.

Laden Sie die Protokolldatei "ReportExport" herunter. Öffnen Sie die Datei in einem Tabellenblatt, sodass wir sie zusammen untersuchen können.
Hinweis

Hinweis

Wenn keine Berichtsexportereignisse vorliegen, laden Sie eine Art von Ereignisprotokolldatei herunter oder exportieren einen Bericht und wiederholen diesen Schritt dann morgen. Ereignisse tauchen erst mindestens 24 Stunden nach ihrem Auftreten in der Protokolldatei auf.

Das direkt heruntergeladene CSV-Format der Ereignisprotokolldatei

Das sieht doch viel besser aus! Jetzt können wir endlich feststellen, wie vertrauliche Informationen durchsickern konnten. Angenommen die ID Ihres Leadberichts lautet 00O30000008a3De. Das Feld URI enthält die ID des exportierten Berichts, und das Feld USER_ID enthält die ID des Benutzers, der den Bericht exportiert hat. Mit diesen Informationen können Sie den Schuldigen identifizieren.

Die Benutzer-ID und die Berichts-ID aus der Ereignisprotokolldatei stimmen mit der unseres Verdächtigen bzw. mit der des betreffenden Berichts überein.

Die Benutzer-ID und die Berichts-ID stimmen überein! Sie können jetzt beweisen, dass Rob Burgle den Bericht exportiert hat. Es ist also an der Zeit, die Justiz einzuschalten.

Herunterladen von Ereignisprotokolldateien mit cURL

Sie sind sicherlich noch ganz aufgeregt, weil Sie Ihren ersten Fall gelöst haben, doch dieser Sieg ist erst der Anfang Ihrer illustren Karriere als Salesforce-Administrator/-Detektiv. Zu jedem Ereignistyp gibt es auch eine Schaltfläche Die Schaltfläche für das Herunterladen des Skriptszum Herunterladen eines cURL-Skripts, das Sie über die Befehlszeile Ihres Computers ausführen. cURL ist eines der vielen Befehlszeilen-Tools, das Sie zum Herunterladen von Daten aus Ihrer Organisation verwenden können. Das Skript lädt eine CSV-Datei herunter, die mit der Datei identisch ist, die Sie im vorherigen Schritt heruntergeladen haben. Warum sollten Sie also cURL anstatt des Tools für direktes Herunterladen verwenden?

Die Verwendung von cURL ist zwar komplizierter als die erste Methode, doch sie bietet zusätzliche Flexibilität bei der Arbeit mit Ereignisprotokolldateien. Anstatt Dateien manuell herunterzuladen, können Sie planen, wann das Skript ausgeführt werden soll, damit Sie immer über die aktuellsten Ereignisprotokolldateien für Ihre Organisation verfügen. Zudem können Sie Ihre Daten so umwandeln, dass sie im gewünschten Format vorliegen. Falls Ihre Organisation über einen Integrationsspezialisten verfügt, können Sie diese Skripts weitergeben und ihre automatisierte Ausführung anregen.
Hinweis

Hinweis

cURL ist bestens für Mac- und Linux-Benutzer geeignet. Es kann unter Windows verwendet werden, erfordert dann aber zusätzliche Konfigurationseinstellungen.

Wenn Sie ein cURL-Skript zum Herunterladen Ihrer Ereignisprotokolldateien verwenden möchten, benötigen Sie Folgendes:
  1. Angabe Ihrer Salesforce-Anmeldeinformationen
  2. Anmelden mit oAuth und Abrufen eines Zugriffs-Tokens
  3. Verwenden einer REST-Abfrage, um anzugeben, nach welchen Protokolldateien Sie suchen
    Hinweis

    Hinweis

    Wenn Sie einen wiederkehrenden Herunterladevorgang planen, ist dieser Schritt wichtig. Sie können beispielsweise eine solche Abfrage verwenden, um Ereignisse nach dem aktuellen Tag zu filtern.

    https://${instance}.salesforce.com/services/data/v34.0/query?q=Select+Id+,+EventType+,+LogDate+From+EventLogFile+Where+LogDate+=+${day}
  4. Parsen der Abfrageergebnisse, damit Sie beispielsweise eine datumsbasierte Dateistruktur erstellen können. Sie können beliebige Transformationen mit Ihren Daten durchführen.

Weitere Informationen über die Verwendung von cURL mit Ereignisprotokolldateien finden Sie in diesem Post.

Herunterladen von Ereignisprotokolldateien mit Python

Wenn Sie das Herunterladen der Ereignisprotokolldateien Ihrer Organisation eher programmgesteuert durchführen möchten, verwenden Sie Python-Skripts. Ein Vorteil bei der Verwendung eines Python-Skripts gegenüber einem cURL-Skript besteht darin, dass die Verwendung für Windows-Benutzer einfach ist (wobei Python-Skripts auch für Mac- und Linux-Benutzer geeignet sind).

Python ist simpel und verständlich, selbst wenn Sie kein erfahrener Programmierer sind. Sie müssen bestimmte Einrichtungsschritte durchführen, können dann Ihr Herunterlade-Skript aber ganz einfach ausführen. Weitere Informationen dazu und zum Herunterladen des Codes finden Sie in diesem Post.

Visualisieren von Ereignisprotokolldateidaten

Sie haben sich über Ereignisprotokolldateien informiert und gelernt, wie Sie diese aus Salesforce herunterladen. Nun ist es Zeit für die Visualisierung. Wenn Sie in Tausenden von Zeilen in einem Tabellenblatt nach einer bestimmten Information suchen, ist dies wie die sprichwörtliche Suche nach der Nadel im Heuhaufen. Es ist meistens nicht sinnvoll, nach einem einzelnen Vorkommen eines Berichtsexports oder einer Benutzeranmeldung zu suchen. Wahrscheinlich sind Sie eher auf der Suche nach Verhalten, das nicht der Norm entspricht. Um sich unmittelbare Einblicke in die internen Abläufe Ihrer Organisation zu verschaffen, laden Sie regelmäßig die Ereignisprotokolldateien herunter und erstellen visuelle Darstellungen der Daten.

Die Ereignisüberwachung ist in der Event Monitoring Analytics-Anwendung enthalten. Diese Anwendung ist ein Visualisierungstool für Ihre Protokolldaten. Sie können auch andere Tools verwenden, um Ihre Daten aufzubereiten. Manche Tools bieten spezielle Unterstützung für Ereignisprotokolldateien, während andere erst entsprechend konfiguriert werden müssen. Die folgende Liste enthält keine Details zu den einzelnen Plattformen, sondern einige hilfreiche Anregungen.
  • Anwendung "Event Monitoring Analytics": Diese Analyseanwendung stellt eine Möglichkeit dar, Einblicke in Ihre Ereignisüberwachungsdaten zu bekommen, ohne die Salesforce-Plattform zu verlassen. Ihre Daten werden automatisch aus Salesforce in die Anwendung geladen, sodass Sie immer die aktuellste (und natürlich beeindruckendste) Visualisierung der Abläufe in Ihrer Organisation bekommen. Die Anwendung bietet eine Reihe von Dashboards, die vorintegrierte Ereignisdaten verwenden, und stellt daher auch einen großartigen Einstieg in die Ereignisüberwachung dar.
    Ein Dashboard mit Daten zu Anmeldeereignissen
    Hinweis

    Hinweis

    Zusammen mit Event Monitoring erhalten Sie auch die Event Monitoring Analytics-Anwendung. Verwenden Sie diese Anwendung, um nur die Daten hochzuladen, die Ihnen im Rahmen Ihren Abonnements bereitgestellt wurden, und darauf zuzugreifen . Achten Sie darauf, dass Ihre Benutzer die Anwendung nicht verwenden, um andere Daten hochzuladen oder darauf zuzugreifen. Salesforce kontrolliert bisweilen eine solche Nutzung. Die Event Monitoring Analytics-Anwendung ist nur in Englisch verfügbar. Erfahren Sie mehr in der Salesforce-Hilfe: Event Monitoring Analytics App und Trailhead: Event Monitoring Analytics App.

  • Splunk App for Salesforce: Mit dieser Anwendung können Sie die Salesforce-Nutzung Ihrer Organisation analysieren und visualisieren sowie Erkenntnisse zu Sicherheit, Leistung und Benutzerverhalten gewinnen. Mit dem Splunk-Add-On für Salesforce kann ein Splunk-Software-Administrator mithilfe von REST-APIs verschiedene Arten von Daten aus Salesforce abrufen. Außerdem bietet es die Eingaben für die Verwendung mit anderen Splunk-Anwendungen, wie z.B. Splunk Enterprise Security.
  • FairWarning: Dies ist eine zu einem bestimmten Zweck erstellte Anwendung, mit der Sie Salesforce überwachen und vor Datendiebstahl schützen können. Die Anwendung lässt sich auch von vielbeschäftigten Personen leicht einsetzen und verstehen. FairWarning bietet eine kontinuierliche Überwachung der Benutzeraktivitäten und proaktive Warnmeldungen bei anormalen Verhaltensweisen. Die Lösung unterstützt mehrere Organisationen, kann Ihre Daten über Jahre speichern und gibt Ihnen die beruhigende Gewissheit, dass die sensiblesten Informationen Ihres Unternehmens sicher sind. Verfügbar in AppExchange. FairWarning-Seite mit Benutzerdaten aus einem Dashboard
  • CloudLock und CloudLock Viewer: Von Cisco CloudLock, einem Anbieter für Cloud-Sicherheit, ist CloudLock für Salesforce erhältlich, mit dem Unternehmen sensible Daten innerhalb ihrer gesamten Salesforce-Umgebung erkennen und schützen können. Der CloudLock Event Monitoring Viewer ist ein kostenloses Visualisierungstool, das Sichtbarkeit bei Salesforce-Ereignisprotokolldateien ermöglicht. Verfügbar in AppExchange. Anzeige der CloudLock-Karte mit Ereignisstandorten in der Salesforce-Organisation
  • New Relic Insights: Diese Lösung für Salesforce macht die Interpretation der unternehmerischen End-to-End-Auswirkungen Ihrer Software-Performance einfach. Importieren Sie die Ereignisüberwachungsdaten automatisch in Insights, damit die leicht zu erstellenden Dashboards "gefüttert" werden und Sie Ihre Daten sofort in der Benutzeroberfläche abfragen können.

Sie haben jetzt wahrscheinlich eine Vorstellung davon, welchen Nutzen die Ereignisüberwachung für Ihre Organisation haben kann. Sie haben Ereignisprotokolldateien zum Lösen eines Falls verwendet und die vielen Möglichkeiten zum Herunterladen und Visualisieren von Ereignisse in Ihrer Organisation kennen gelernt. Jetzt verfügen Sie über die notwendigen Tools, mit denen Sie Ihre Organisation untersuchen, schützen und verbessern können. Viel Erfolg bei der Detektivarbeit.