下载并可视化事件日志文件

学习目标

完成本单元后，您将能够：

• 下载事件日志文件。
  
• 描述事件日志文件的结构。
  
• 识别用于下载事件日志文件而不使用事件日志文件 (ELF) 浏览器编写代码的应用程序。
  
• 解释如何使用 cURL 或 Python 脚本下载数据。
  
• 确定可视化事件日志文件数据的选项。
  

下载事件日志文件

您可以使用 Developer Console 查看组织中的事件并根据条件筛选事件。但是因为您通过应用程序编程接口 (API) 访问数据，您还可以使用其他工具，以便更轻松地处理事件日志文件。要最大限度地发挥事件监控的优势，请从 Salesforce 下载您的事件日志文件，以便跟踪这些文件随时间的变化。

您可以通过多种方式下载事件日志文件，包括：

• 通过事件日志文件 (ELF) 浏览器应用程序直接下载
  
• cURL 脚本
  
• Python 脚本
  

让我们了解一下每种方法。

从浏览器下载日志

使用 ELF 浏览器应用程序是下载组织的事件监控数据的最直接的方法。让我们来看看。

Salesforce ELF 浏览器不是 Salesforce 的官方产品。我们对项目或所部署应用程序的安全性、保密性或可维护性不作任何保证。

1. 登录到您的组织。
   
2. 导航至 ELF 浏览器应用程序。
   
3. 单击 Production Login（生产登录）。
   
4. 输入搜索的日期范围。
   
5. 输入搜索的事件类型。
   
6. 输入间隔（每天或每小时）。
   
7. 单击 Apply（应用）。
   
   

如果您的组织在指定的日期范围或类型中没有任何事件，则页面将显示错误消息。

列表显示的是您在查询 EventLogFile 对象时看到的相同事件日志文件。您无法在浏览器应用程序中打开文件，但可以直接下载文件或使用脚本。 

让我们看看直接下载的方法。

1. 单击  按钮以将日志下载至逗号分隔值 (.csv) 文件。每个文件都包含过去 24 小时内您的组织中发生的所有特定类型事件。
   
2. 下载 ReportExport 日志文件。在电子表格中打开该日志文件，让我们看看里面有哪些东西。
   

如果您没有任何报表导出事件，请下载另一类型的事件日志文件或导出报表，然后明天再重试此步骤。事件发生后至少 24 小时才会显示在日志文件中。

这看起来好多了！现在我们终于可以弄清楚这些机密信息是如何泄露的了。假设我们的潜在客户报表 ID 是 00O30000008a3De。URI 字段包含所导出报表的 ID，USER_ID 字段包含导出该报表的用户的ID。所有这些信息都有助于您找出泄密人员。

用户 ID 和报表 ID 相匹配！现在您有足够的证据来证实是 Rob Burgle 导出了这份报表。现在该伸张正义了！

使用 cURL 下载事件日志文件

我们知道您对成功破获第一个案子感到兴奋，但这个胜利只是您作为 Salesforce 管理员/侦探辉煌职业生涯的开始。每种事件类型都有一个  按钮，用于下载 cURL 脚本，而您可以在计算机的命令行中运行该脚本。cURL 是众多命令行工具中的一个，您可以使用这些工具下载组织中的数据。该脚本下载的 .csv 文件与您在上一步中下载的完全相同。那么，为什么要使用 cURL 而不是直接下载工具呢？

尽管与第一种方法相比使用 cURL 更为复杂，但它在处理事件日志文件时能带来更大的灵活性。无需再手动下载日志文件，您可以设置好何时运行脚本，以便一直能查看组织最新的事件日志文件。您还可以将数据转换为您需要的格式。如果您的组织有一个集成专家，则可以通过这些脚本来启动自动化工作。

cURL 最适合 Mac 和 Linux 用户。也可以在 Windows 上使用它，但需要另外进行配置。

使用 cURL 脚本下载事件日志文件需要满足以下条件。

1. 提供 Salesforce 凭据
   
2. 使用 Oauth 登录并获取访问令牌
   
3. 使用 REST 查询以指定要查找的日志
   

如果您正在计划定期下载，则此步骤非常重要。您可以使用与此查询相似的方法筛选当日的事件。

       4.分析查询结果，这样您就可以执行“创建一个基于日期的文件结构”这类操作——您可以根据需要自由转换数据。

使用 Python 下载事件日志文件

如果您需要通过一种更加程序化的方式来下载组织的事件日志文件，可以使用 Python 脚本。与 cURL 脚本相比，使用 Python 脚本的一大优点是它更便于 Windows 用户使用，但也适用于 Mac 和 Linux 用户。

Python 很容易理解，即便您不是一位经验丰富的程序员。需要进行一些设置，但之后您便能轻松地运行下载脚本。 

可视化事件日志文件数据

现在，您已经花时间了解了事件日志文件以及如何从 Salesforce 下载它们，现在该学习下可视化数据的相关知识了。在包含成千上万行数据的电子表格中搜索特定信息，就像在大海里捞针一样。大多数时候，查找报表导出或用户登录的单个实例并没有太大用处。您可能对发现异常行为更感兴趣。为了即时了解组织内部的运作情况，您可以定期下载事件日志文件并创建数据的视觉表征。

事件监控功能随 Event Monitoring Analytics 应用程序提供，这一种用于日志数据的可视化工具。您还可以使用其他工具来美化数据。一些工具专门支持事件日志文件，而其他工具则需要进一步设置。我们不会详细介绍每个平台，但可以查看这个列表以获取一些想法。

Event Monitoring Analytics 应用程序：这个分析应用程序帮助您在不离开 Salesforce 平台的情况下深入了解事件监控数据。您的数据会自动从 Salesforce 上传到应用程序中，因此您始终能够以令人惊叹的可视化方式了解组织的最新情况。该应用程序提供了一系列使用预先集成的事件数据的仪表板，因此这是开始接触事件监控功能的好方式。

作为事件监控的一部分，您还可以获得 Event Monitoring Analytics 应用程序。仅能使用此应用程序上传和访问作为订阅的内容提供给您的数据。请阻止您的用户使用该应用程序上传或访问任何其他数据。Salesforce 有时会监控此类使用情况。Event Monitoring Analytics 应用程序只有英文版本。请通过本单元“资源”部分中的链接了解更多信息。

Splunk App for Salesforce：该应用程序帮助您分析和可视化组织对 Salesforce 的使用情况，并深入了解安全性、性能和用户行为。Salesforce 的 Splunk 加载项使 Splunk 软件管理员能够使用 REST API 从 Salesforce 收集不同类型的数据。它还提供了可与其他 Splunk 应用程序（如 Splunk Enterprise Security）一同使用的输入。

FairWarning：这个用户活动监控解决方案专门用于跨事件监控、实时流、引用对象和更改数据捕获 (CDC) 事件转换和关联 Salesforce 日志文件。为此，它可以提供以用户为中心的见解，并对异常行为进行实时警报。这有助于您主动识别威胁并降低 Salesforce 数据的风险。FairWarning 可以在单个视图中支持多个组织，存储超过 30 天的数据，并且可以在 48 小时内启用监测，快速实现价值。FairWarning Insights 还可用于使用、采纳和性能用例，以支持事件监控和 Salesforce 的正向投资回报。可通过 AppExchange 获取。

New Relic Insights：这个 Salesforce 解决方案更便于您理解软件性能对端到端业务的影响。自动将您的事件监控数据导入 Insights，以帮助您轻松构建仪表板，并立即在用户界面中查询数据。

现在您已经对事件监控能为您的组织做些什么有了一个概念。您已经通过事件日志文件破解了一个案件，并看到了下载和可视化组织事件的许多可能性。现在，您拥有了调查、保护和改进组织所需的工具。侦探，祝您好运。

资源

• Salesforce 开发人员：通过 REST 使用 cURL 下载大型事件日志文件
  
• 外部站点：Salesforce Hacker：使用脚本下载事件日志文件
  
• 外部站点：Salesforce Hacker：ElfPy—一个用于在多个平台上下载事件日志文件的美妙小脚本
  
• Salesforce：事件日志文件浏览器应用程序
  
• Salesforce 帮助：Event Monitoring Analytics 应用程序
  
• Salesforce：Salesforce 帮助：Event Monitoring Analytics 应用程序
  
• 外部站点：Splunk App for Salesforce
  
• 外部站点：New Relic
  
• Salesforce App Exchange：FairWarning for Salesforce App