查询事件日志文件
学习目标
完成本单元后,您将能够:
- 使用 Developer Console 查询 EventLogFile 对象。
- 在 Salesforce 事件日志文件 (ELF) 浏览器中查看事件。
- 了解 EventLogFile 事件类型。
能否掌握本单元中的内容取决于您对 Salesforce Developer Console 和事件日志文件 (ELF) 浏览器的了解。要了解更多信息,请单击本单元“资源”部分中的链接。
在本模块中,我们假设您是一名 Salesforce 管理员,有合法的权限启用事件监控。如果您不是 Salesforce 管理员,也没关系。继续看下去,了解您的管理员如何在生产组织中采取这些步骤。您也可以使用 Trailhead Playground 进行操作,但事件需要 24 小时才能显示在日志文件中。
在 Salesforce 事件日志文件浏览器中查看事件
Salesforce 事件日志文件 (ELF) 浏览器可以快速访问事件日志文件。通过 ELF 浏览器,您可以轻松查找和下载发生在不同时间段的事件,而无需编写任何代码。
要访问事件日志文件浏览器:
- 转到“设置”。
- 在 Quick Find(快速查找)框中输入
Event Log File Browser(事件日志文件浏览器)。
- 选择 Event Log File Browser(事件日志文件浏览器)。
在 Developer Console 中查询事件日志文件
我们来思考一个例子:一位名叫 Rob Burgle 的销售代表几周前离职了,并到了主要竞争对手公司上班。突然之间,您的公司与其他公司之间的交易开始遭遇失败。您怀疑 Rob 下载了一份包含机密潜在客户信息的报表,并将其与他的新雇主共享。通常情况下,您无法证实您的怀疑。但是通过事件监控,您可以收集所有需要的证据来澄清事实。让我们看看这个过程是如何进行的。
只需点击几下鼠标即可从 Lightning Experience 打开 Developer Console。Developer Console 是一个集成开发环境,提供一系列工具,帮助您在 Salesforce 组织中创建、调试和测试应用程序。
要从 Lightning Experience 打开 Developer Console:
- 单击
。
- 单击 Developer Console。
现在,我们已准备好打开 EventLogFile 来查询信息。
- 单击文件 | 打开。
- 在“实体类型”项下,选择对象。
- 在存储库字段 Filter(筛选)中,键入
EventLogFile。
- 选择“实体”项下的 EventLogFile。
- 单击打开。
- 选择查询的字段并单击 Query(查询)按钮。
在继续下一步之前,请检查以确保组织中存在事件数据。如果没有数据,请运行并导出至少一个报表,并等待 24 小时后显示数据。
- 单击 Execute(执行)按钮以完成查询。
您可以使用 Developer Console 中的查询编辑器来执行 Salesforce 对象查询语言 (SOQL) 查询。“历史记录”窗格显示您最近的 10 次查询,以便快速重用。结果显示在 Query Results(查询结果)网格中。
Query Results(查询结果)网格将每条记录显示为一行。只要不离开 Developer Console 即可打开、创建、更新和删除记录。
事件类型的事件日志文件文档
EventLogFile 对象中的 EventType 字段支持事件。每种事件类型都记录在 Salesforce Object Reference(Salesforce 对象参考)中。在其中,您可以看到字段及其描述,以及要使用的示例查询。
例如,对于 DB_TOTAL_TIME 字段,事件类型的数量是数据库往返行程的时间,以纳秒为单位,包括在 JDBC 驱动程序中耗费的时间、从网络到数据库的时间以及 DB_CPU_TIME。作为管理员,您可以将此字段与 CPU_TIME 进行比较,以确定性能问题是发生在数据库层还是您自己写的代码中。
报表事件包含有关用户运行报表时发生的情况的信息,例如日期和时间、报表名称、报表中引用的记录、行数和列数,以及发端用户等等。
您还可以使用 REST API 与事件监控日志进行交互;事件监控借由 EventLogFile 对象通过 Lightning 平台 SOAP API和 REST API 进行访问。因此,您可以将日志数据与自己的后端存储和 SEIM 集成在一起,以关联来自多个组织和不同系统的数据。
在下一单元中,我们将探讨如何下载和可视化事件日志文件,以进一步了解通过事件监控产生的恶意用户行为。