查询事件日志文件

学习目标

完成本单元后，您将能够：

• 使用 Developer Console 查询 EventLogFile 对象。
  
• 在 Salesforce 事件日志文件 (ELF) 浏览器中查看事件。
  
• 了解 EventLogFile 事件类型。
  

能否掌握本单元中的内容取决于您对 Salesforce Developer Console 和事件日志文件 (ELF) 浏览器的了解。要了解更多信息，请单击本单元“资源”部分中的链接。

在本模块中，我们假设您是一名 Salesforce 管理员，有合法的权限启用事件监控。如果您不是 Salesforce 管理员，也没关系。继续看下去，了解您的管理员如何在生产组织中采取这些步骤。您也可以使用 Trailhead Playground 进行操作，但事件需要 24 小时才能显示在日志文件中。

在 Salesforce 事件日志文件浏览器中查看事件

Salesforce 事件日志文件 (ELF) 浏览器是一个与 Salesforce 连接的 Web 应用程序，可以快速访问事件日志文件。通过 ELF 浏览器，您可以轻松查找和下载发生在不同时间段的事件，而无需编写任何代码。还可以使用 Tableau CRM 对从浏览器获取的文件中的数据进行可视化。

Salesforce ELF 浏览器不是 Salesforce 的官方产品。我们对项目或所部署应用程序的安全性、保密性或可维护性不作任何保证。

确保 ELF 浏览器中存在现有数据——如果没有，则首先生成一些用户活动。在这个阶段这样做则可以在进入第 3 单元时看到一些数据。另外，请注意，这里提供了事件类型和日期等一般信息，但在该日期（LogFile 字段）发生的所有事件在 Developer Console 中都不可见。

如果在过去的 24 小时内未从您的组织导出任何报表，则 totalSize 字段的值为零。请记住，事件需要 24 小时后才变为可用。您可以从您的组织导出报表，并在第二天再次尝试。

1. 登录到您的组织。
   
2. 单击以下链接导航至 ELF 浏览器应用程序：https://salesforce-elf.herokuapp.com。
   
3. 单击 Production Login（生产登录）。
   
4. 设置开始日期。
   
5. 选择搜索的事件类型，或将事件类型设置为“所有”。
   
6. 单击应用。
   

在 Developer Console 中查询事件日志文件

我们来思考一个例子：一位名叫 Rob Burgle 的销售代表几周前离职了，并到了主要竞争对手公司上班。突然之间，您的公司与其他公司之间的交易开始遭遇失败。您怀疑 Rob 下载了一份包含机密潜在客户信息的报表，并将其与他的新雇主共享。通常情况下，您无法证实您的怀疑。但是通过事件监控，您可以收集所有需要的证据来澄清事实。让我们看看这个过程是如何进行的。 

只需点击几下鼠标即可从 Lightning Experience 打开 Developer Console。Developer Console 是一个集成开发环境，提供一系列工具，帮助您在 Salesforce 组织中创建、调试和测试应用程序。

要从 Lightning Experience 打开 Developer Console：

1. 单击 。
   
2. 单击 Developer Console。
   

现在，我们已准备好打开 EventLogFile 来查询信息。

1. 单击文件 | 打开。
   
2. 在“实体类型”项下，选择对象。
   
3. 在存储库字段 Filter（筛选）中，键入 EventLogFile。
   
4. 选择“实体”项下的 EventLogFile。
   
5. 单击打开。
   

接下来，选择查询字段，然后单击查询按钮。

在继续下一步之前，请检查以确保组织中存在事件数据。如果没有数据，请运行并导出至少一个报表，并等待 24 小时后显示数据。 

最后，单击执行按钮以完成查询。

您可以使用 Developer Console 中的查询编辑器来执行 Salesforce 对象查询语言 (SOQL) 查询。“历史记录”窗格显示您最近的 10 次查询，以便快速重用。结果显示在 Query Results（查询结果）网格中。

Query Results（查询结果）网格将每条记录显示为一行。只要不离开 Developer Console 即可打开、创建、更新和删除记录。

事件类型的事件日志文件文档

EventLogFile 对象中的 EventType 字段支持事件。每种事件类型都记录在 Salesforce Object Reference（Salesforce 对象参考）中。在其中，您可以看到字段及其描述，以及要使用的示例查询。 

例如，对于 DB_TOTAL_TIME 字段，事件类型的数量是数据库往返行程的时间，以纳秒为单位，包括在 JDBC 驱动程序中耗费的时间、从网络到数据库的时间以及 DB_CPU_TIME。作为管理员，您可以将此字段与 CPU_TIME 进行比较，以确定性能问题是发生在数据库层还是您自己写的代码中。

报表事件包含有关用户运行报表时发生的情况的信息，例如日期和时间、报表名称、报表中引用的记录、行数和列数，以及发端用户等等。

您还可以使用 REST API 与事件监控日志进行交互；事件监控借由 EventLogFile 对象通过 Lightning 平台 SOAP API和 REST API 进行访问。因此，您可以将日志数据与自己的后端存储和数据集市集成在一起，以关联来自多个组织和不同系统的数据。

在下一单元中，我们将探讨如何下载和可视化事件日志文件，以进一步了解通过事件监控产生的恶意用户行为。

资源

• Salesforce 开发人员文档：EventLogFile
  
• Salesforce 开发人员文档：EventLogFile 支持的事件类型
  
• Salesforce 帮助：Developer Console
  
• Salesforce 帮助：查询结果网格
  
• Salesforce：ELF 浏览器
  
• Salesforce 开发人员文档：命令行界面 (CLI)
  
• Salesforce 开发人员文档：VS 代码扩展