下载并可视化事件日志文件
学习目标
完成本单元后,您将能够:
- 下载事件日志文件。
- 描述事件日志文件的结构。
- 解释如何使用 cURL 或 Python 脚本下载数据。
- 确定可视化事件日志文件数据的选项。
下载事件日志文件
您可以使用 Developer Console 查看组织中的事件并根据条件筛选事件。但是因为您通过应用程序编程接口 (API) 访问数据,您还可以使用其他工具,以便更轻松地处理事件日志文件。要最大限度地发挥事件监控的优势,请从 Salesforce 下载您的事件日志文件,以便跟踪这些文件随时间的变化。
您可以通过多种方式下载事件日志文件,包括:
- 通过事件日志文件 (ELF) 浏览器应用程序直接下载
- cURL 脚本
- Python 脚本
让我们了解一下每种方法。
从浏览器下载日志
使用 ELF 浏览器应用程序是下载组织的事件监控数据的最直接的方法。让我们来看看。
- 前往设置中的 Event Log File Browser(事件日志文件浏览器)。选择一个日期范围。
- 从事件日志文件旁边的下拉列表中,选择 Download as CSV File(下载为 CSV 文件)。
列表显示的是您在查询 EventLogFile 对象时看到的相同事件日志文件。您无法在浏览器应用程序中打开文件,但可以直接下载文件或使用脚本。
让我们看看直接下载的方法。
- 单击 按钮以将日志下载至逗号分隔值 (.csv) 文件。每个文件包含过去 24 小时内贵组织中发生的所有特定类型的事件,对于事件监控客户则包含每小时发生的所有特定类型的事件。
- 下载 ReportExport 日志文件。在电子表格中打开该日志文件,让我们看看里面有哪些东西。
这看起来好多了!现在我们终于可以弄清楚这些机密信息是如何泄露的了。假设我们的潜在客户报表 ID 是 00O30000008a3De。URI 字段包含所导出报表的 ID,USER_ID 字段包含导出该报表的用户的ID。所有这些信息都有助于您找出泄密人员。
用户 ID 和报表 ID 相匹配!现在您有足够的证据来证实是 Rob Burgle 导出了这份报表。现在该伸张正义了!
使用 cURL 下载事件日志文件
我们知道您对成功破获第一个案子感到兴奋,但这个胜利只是您作为 Salesforce 管理员/侦探辉煌职业生涯的开始。每种事件类型都有一个 按钮,用于下载 cURL 脚本,而您可以在计算机的命令行中运行该脚本。cURL 是众多命令行工具中的一个,您可以使用这些工具下载组织中的数据。该脚本下载的 .csv 文件与您在上一步中下载的完全相同。那么,为什么要使用 cURL 而不是直接下载工具呢?
尽管与第一种方法相比使用 cURL 更为复杂,但它在处理事件日志文件时能带来更大的灵活性。无需再手动下载日志文件,您可以设置好何时运行脚本,以便一直能查看组织最新的事件日志文件。您还可以将数据转换为您需要的格式。如果您的组织有一个集成专家,则可以通过这些脚本来启动自动化工作。
使用 cURL 脚本下载事件日志文件需要满足以下条件。
- 提供 Salesforce 凭据
- 使用 Oauth 登录并获取访问令牌
- 使用 REST 查询以指定要查找的日志
- 分析查询结果,这样您就可以执行“创建一个基于日期的文件结构”这类操作——您可以根据需要自由转换数据。
使用 Python 下载事件日志文件
如果您需要通过一种更加程序化的方式来下载组织的事件日志文件,可以使用 Python 脚本。与 cURL 脚本相比,使用 Python 脚本的一大优点是它更便于 Windows 用户使用,但也适用于 Mac 和 Linux 用户。
Python 很容易理解,即便您不是一位经验丰富的程序员。需要进行一些设置,但之后您便能轻松地运行下载脚本。
可视化事件日志文件数据
现在,您已经花时间了解了事件日志文件以及如何从 Salesforce 下载它们,现在该学习下可视化数据的相关知识了。在包含成千上万行数据的电子表格中搜索特定信息,就像在大海里捞针一样。大多数时候,查找报表导出或用户登录的单个实例并没有太大用处。您可能对发现异常行为更感兴趣。为了即时了解组织内部的运作情况,您可以定期下载事件日志文件并创建数据的视觉表征。
事件监控功能随 Event Monitoring Analytics 应用程序提供,这一种用于日志数据的可视化工具。您还可以使用其他工具来美化数据。一些工具专门支持事件日志文件,而其他工具则需要进一步设置。我们不会详细介绍每个平台,但可以查看这个列表以获取一些想法。
Event Monitoring Analytics 应用程序:这个分析应用程序帮助您在不离开 Salesforce 平台的情况下深入了解事件监控数据。您的数据会自动从 Salesforce 上传到应用程序中,因此您始终能够以令人惊叹的可视化方式了解组织的最新情况。该应用程序提供了一系列使用预先集成的事件数据的仪表板,因此这是开始接触事件监控功能的好方式。
Splunk App for Salesforce:该应用程序帮助您分析和可视化组织对 Salesforce 的使用情况,并深入了解安全性、性能和用户行为。Salesforce 的 Splunk 加载项使 Splunk 软件管理员能够使用 REST API 从 Salesforce 收集不同类型的数据。它还提供了可与其他 Splunk 应用程序(如 Splunk Enterprise Security)一同使用的输入。
FairWarning:这个用户活动监控解决方案专门用于跨事件监控、实时流、引用对象和更改数据捕获 (CDC) 事件转换和关联 Salesforce 日志文件。为此,它可以提供以用户为中心的见解,并对异常行为进行实时警报。这有助于您主动识别威胁并降低 Salesforce 数据的风险。FairWarning 可以在单个视图中支持多个组织,存储超过 30 天的数据,并且可以在 48 小时内启用监测,快速实现价值。FairWarning Insights 还可用于使用、采纳和性能用例,以支持事件监控和 Salesforce 的正向投资回报。可通过 AppExchange 获取。
New Relic Insights:这个 Salesforce 解决方案更便于您理解软件性能对端到端业务的影响。自动将您的事件监控数据导入 Insights,以帮助您轻松构建仪表板,并立即在用户界面中查询数据。
现在您已经对事件监控能为您的组织做些什么有了一个概念。您已经通过事件日志文件破解了一个案件,并看到了下载和可视化组织事件的许多可能性。现在,您拥有了调查、保护和改进组织所需的工具。侦探,祝您好运。
资源
-
Salesforce 开发人员:通过 REST 使用 cURL 下载大型事件日志文件
-
外部站点:Salesforce Hacker:使用脚本下载事件日志文件
-
外部站点:Salesforce Hacker:ElfPy—一个用于在多个平台上下载事件日志文件的美妙小脚本
-
Saleforce 帮助:事件日志文件浏览器
-
Salesforce 帮助:Event Monitoring Analytics 应用程序
-
外部站点:Splunk App for Salesforce
-
外部站点:New Relic
-
Salesforce App Exchange:FairWarning for Salesforce App