收集 Salesforce 記錄

總覽

這個剖析器會處理 LEEF、CSV 和 JSON 格式的 Salesforce 記錄。這項功能會擷取欄位、執行格式專屬處理作業 (處理 LEEF 鍵/值組合、CSV 欄和 JSON 結構)、將欄位對應至 UDM，並使用中繼資料和衍生欄位擴充資料。剖析器也會處理各種 Salesforce 事件類型，針對登入、登出和其他動作套用特定邏輯、分類事件，並設定適當的 UDM 事件類型。

事前準備

請確認您已完成下列事前準備事項：

• Google SecOps 執行個體。
• AWS IAM、S3 和 AppFlow 的特殊權限存取權。

設定 Amazon S3 儲存貯體

1. 按照這份使用者指南建立 Amazon S3 值區：建立值區
2. 儲存 bucket 的「Name」(名稱) 和「Region」(區域)，以供日後參考。
3. 請按照這份使用者指南建立使用者：建立 IAM 使用者。
4. 選取建立的「使用者」。
5. 選取「安全憑證」分頁標籤。
6. 在「Access Keys」部分中，按一下「Create Access Key」。
7. 選取「第三方服務」做為「用途」。
8. 點選「下一步」。
9. 選用：新增說明標記。
10. 按一下「建立存取金鑰」。
11. 按一下「下載 .csv 檔案」。(請儲存「存取金鑰」和「存取密鑰」，以供日後參考)。
12. 按一下 [完成]。
13. 選取 [權限] 分頁標籤。
14. 在「權限政策」部分，按一下「新增權限」。
15. 選取「新增權限」。
16. 選取「直接附加政策」。
17. 搜尋 AmazonS3FullAccess 政策。
18. 選取政策。
19. 點選「下一步」。
20. 按一下「新增權限」。

設定 Amazon AppFlow

1. 建立 Amazon AppFlow 流程：
   • 流程名稱：新增流程名稱，然後按一下「下一步」。
   • 資料來源：選擇「Salesforce」做為資料來源。
   • 建立新連線。
   • 系統會顯示 Salesforce 登入視窗。使用 Salesforce 憑證登入。
   • 選取物件名稱 (選擇要從 Salesforce 轉移至 S3 值區的資料)。
   • 選取「Amazon S3」做為資料目的地。
   • 選取「排程」做為流程觸發條件。
   • 在「選擇來源欄位」中，您可以直接對應所有欄位，也可以指定要對應的欄位。
2. 驗證設定：
   • 在 Amazon AppFlow 中選取您建立的流程，然後按一下「執行流程」，從 Salesforce 擷取資料。
   • 記錄檔現在應該會位於 S3 bucket 中。

設定動態饋給

在 Google SecOps 平台中，有兩種不同的進入點可設定動態饋給：

• 「SIEM 設定」>「動態消息」
• 內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」，設定動態饋給

如要設定動態消息，請按照下列步驟操作：

1. 依序前往「SIEM 設定」>「動態消息」。
2. 按一下「新增動態消息」。
3. 在下一個頁面中，按一下「設定單一動態饋給」。
4. 在「動態饋給名稱」欄位中，輸入動態饋給的名稱，例如「Salesforce Logs」。
5. 選取「Amazon S3」做為「來源類型」。
6. 選取「Salesforce」做為「記錄類型」。
7. 點選「下一步」。

8. 指定下列輸入參數的值：

   • 區域：Amazon S3 值區所在的區域。
   • S3 URI：值區 URI。s3:/BUCKET_NAME 取代下列項目：
     • BUCKET_NAME：值區名稱。
   • URI 為：根據 S3 串流設定選取 URI 類型：Single file | Directory | Directory which includes subdirectories。
   • 來源刪除選項：根據偏好設定選取刪除選項。
   • 存取金鑰 ID：具有 S3 bucket 存取權的使用者存取金鑰。
   • 存取密鑰：具有 S3 bucket 存取權的使用者私密金鑰。

9. 點選「下一步」。

10. 在「Finalize」畫面上檢查新的動態饋給設定，然後按一下「Submit」。

從內容中心設定動態饋給

為下列欄位指定值：

• 區域：Amazon S3 值區所在的區域。
• S3 URI：值區 URI。s3:/BUCKET_NAME 取代下列項目：
  • BUCKET_NAME：值區名稱。
• URI 為：根據 S3 串流設定選取 URI 類型：Single file | Directory | Directory which includes subdirectories。
• 來源刪除選項：根據偏好設定選取刪除選項。

• 存取金鑰 ID：具有 S3 bucket 存取權的使用者存取金鑰。
• 存取密鑰：具有 S3 bucket 存取權的使用者私密金鑰。

進階選項

• 動態饋給名稱：系統預先填入的值，用於識別動態饋給。
• 來源類型：將記錄收集到 Google SecOps 的方法。
• 資產命名空間：與動態饋給相關聯的命名空間。
• 擷取標籤：套用至這個動態饋給所有事件的標籤。

UDM 對應表

記錄欄位	UDM 對應	邏輯
Account.Name	target.resource.name	原始記錄中的 Account.Name 值。
AccountId	target.resource.id	原始記錄中的 AccountId 值。
Action	security_result.description	原始記錄中的 Action 值。
AdditionalInfo	-	未對應至 IDM 物件。
ApiType	target.application	原始記錄中的 ApiType 值。
ApiVersion	-	未對應至 IDM 物件。
Application	principal.application	原始記錄中的 Application 值；如果是 LoginAsEvent，則為「Browser」；如果是 LoginEvent，則為「Integration JWT Token」；如果是 LoginHistory (objecttype 為 LoginHistory)，則為「SfdcSiqActivityPlatform」；如果是 ApiEvent，則為「N/A」；如果是 LoginAsEventStream，則為「Browser」。
attributes.url	target.url	原始記錄中的 attributes.url 值，或是原始記錄中各種事件類型的特定網址。
attributes.type	metadata.product_event_type	原始記錄中的 attributes.type 值。
AuthSessionId	network.session_id	原始記錄中的 AuthSessionId 值。
Browser	principal.resource.name	原始記錄中的 Browser 值，如果原始記錄中沒有 Browser，且 Application 為「洞察」，則為「Unknown」；如果 LoginHistory 的 ApiType 為「SOAP Partner」，則為「Java (Salesforce.com)」；如果 LoginHistory 的 Application 為「SfdcSiqActivityPlatform」，則為「Unknown」；如果為 LoginAsEventStream，則為 data.properties.Browser.str。
Case.Subject	target.resource.name	原始記錄中的 Case.Subject 值。
CaseId	target.resource.id	原始記錄中的 CaseId 值。
cat	metadata.product_event_type	原始記錄中的 cat 值。
City	principal.location.city	原始記錄中的 City 值，或 LoginHistory 中的 LoginGeo.City 值。
Client	principal.labels	原始記錄中的 Client 值，格式為標籤。
CLIENT_IP	principal.ip、principal.asset.ip	原始記錄中的 CLIENT_IP 值。
ClientVersion	-	未對應至 IDM 物件。
CipherSuite	network.tls.cipher	原始記錄中的 CipherSuite 值。
ColumnHeaders	principal.labels	原始記錄中的 ColumnHeaders 值，格式為標籤。
ConnectedAppId	principal.labels	原始記錄中的 ConnectedAppId 值，格式為標籤。
Contact.Name	target.resource.name	原始記錄中的 Contact.Name 值。
ContactId	target.resource.id	原始記錄中的 ContactId 值。
Country	principal.location.country_or_region	原始記錄中的 Country 值，或 LoginHistory 的 LoginGeo.Country 值。
CreatedByContext	principal.user.userid	原始記錄中的 CreatedByContext 值。
CreatedById	principal.resource.attribute.labels	原始記錄中的 CreatedById 值，格式為標籤。
CreatedDate	metadata.collected_timestamp	原始記錄中的 CreatedDate 值，如果沒有，則為目前的時間戳記。
CPU_TIME	target.resource.attribute.labels	原始記錄中的 CPU_TIME 值，格式為標籤。
data	-	內含各種欄位，可個別擷取及對應。
DATASET_IDS	target.resource.name	原始記錄中的 DATASET_IDS 值。
DelegatedOrganizationId	target.administrative_domain	原始記錄中的 DelegatedOrganizationId 值。
DelegatedUsername	observer.user.userid	原始記錄中的 DelegatedUsername 值。
Description	metadata.description	原始記錄中的 Description 值。
DevicePlatform	principal.resource.type	原始記錄中的 DevicePlatform 值，經過剖析後會擷取資源類型。
Display	metadata.description	原始記錄中的 Display 值。
DOWNLOAD_FORMAT	target.resource.attribute.labels	原始記錄中的 DOWNLOAD_FORMAT 值，格式為標籤。
Duration	target.resource.attribute.labels	原始記錄中的 Duration 值，格式為標籤。
ENTITY_NAME	target.resource.attribute.labels	原始記錄中的 ENTITY_NAME 值，格式為標籤。
ErrorCode	security_result.action	原始記錄中的 ErrorCode 值，轉換為 ALLOW 或 BLOCK。
EventDate	timestamp	原始記錄中的 EventDate 值，或 data.properties.TIMESTAMP_DERIVED.str (如適用)，或 data.properties.TIMESTAMP_DERIVED_FIRST.str (如適用)，或 @timestamp (如適用)，或 created_date (如適用)，或 timestamp (如適用)，或 LoginHistory 的 LoginTime。
EventIdentifier	metadata.product_log_id	原始記錄中的 EventIdentifier 值。
EventType	metadata.product_event_type	原始記錄中的 EventType 值。
Id	principal.user.userid	原始記錄中的 Id 值，或 SetupAuditTrail 和其他事件的 metadata.product_log_id 值。
IdentityUsed	principal.user.email_addresses	原始記錄中的 IdentityUsed 值。
Lead.Name	target.resource.name	原始記錄中的 Lead.Name 值。
LeadId	target.resource.id	原始記錄中的 LeadId 值。
LoginAsCategory	-	未對應至 IDM 物件。
LoginGeo.Country	principal.location.country_or_region	原始記錄中的 LoginGeo.Country 值。
LoginHistoryId	-	未對應至 IDM 物件。
LoginKey	principal.user.userid、network.session_id	原始記錄中的 LoginKey 值，或 SetupAuditTrail 的 CreatedByContext 值。
LoginTime	timestamp	原始記錄中的 LoginTime 值。
LoginType	security_result.description	原始記錄中的 LoginType 值；如果 LoginHistory 的「SOAP Partner」為 ApiType，則為「Other Apex API」；如果 LoginHistory 的「SfdcSiqActivityPlatform」為 Application，則為「Remote Access 2.0」。
LoginUrl	target.url、principal.url	原始記錄中的 LoginUrl 值。
LogFile	principal.resource.attribute.labels	原始記錄中的 LogFile 值，格式為標籤。
LogFileContentType	principal.resource.attribute.labels	原始記錄中的 LogFileContentType 值，格式為標籤。
LogFileLength	principal.resource.attribute.labels	原始記錄中的 LogFileLength 值，格式為標籤。
Message	-	未對應至 IDM 物件。
METHOD	network.http.method	原始記錄中的 METHOD 值。
Name	target.application	原始記錄中的 Name 值。
NewValue	-	與 OldValue 搭配使用，產生 security_result.summary。
NUMBER_FIELDS	target.resource.attribute.labels	原始記錄中的 NUMBER_FIELDS 值，格式為標籤。
OldValue	-	與 NewValue 搭配使用，產生 security_result.summary。
Operation	security_result.description、target.resource.attribute.labels	原始記錄中的 Operation 值，或 SetupAuditTrail 的 Display 值。
OperationStatus	security_result.action	原始記錄中的 OperationStatus 值，轉換為 ALLOW 或 BLOCK。
ORGANIZATION_ID	target.administrative_domain	原始記錄中的 ORGANIZATION_ID 值。
OsName	principal.platform	原始記錄中的 OsName 值。
OsVersion	principal.platform_version	原始記錄中的 OsVersion 值。
Platform	principal.platform	原始記錄中的 Platform 值，或是 LightningUriEventStream 中的 data.properties.OsName.str 值，或是 LoginEventStream 中的 data.properties.OsName.str 值。
QueriedEntities	target.resource.name、principal.labels	原始記錄中的 QueriedEntities 值，或 UriEvent 和 ApiEvent 的 component_name。
Query	target.process.command_line、principal.labels	原始記錄中的 Query 值。
RecordId	target.resource.id	原始記錄中的 RecordId 值。
Records	principal.labels	原始記錄中的 Records 值，格式為標籤。
REQUEST_ID	metadata.product_log_id、target.resource.product_object_id	原始記錄中的 REQUEST_ID 值。
REQUEST_SIZE	network.sent_bytes	原始記錄中的 REQUEST_SIZE 值。
REQUEST_STATUS	security_result.summary	原始記錄中的 REQUEST_STATUS 值。
RESPONSE_SIZE	network.received_bytes	原始記錄中的 RESPONSE_SIZE 值。
RowsProcessed	target.resource.attribute.labels	原始記錄中的 RowsProcessed 值，格式為標籤。
RUN_TIME	target.resource.attribute.labels	原始記錄中的 RUN_TIME 值，格式為標籤。
SamlEntityUrl	-	未對應至 IDM 物件。
SdkAppType	-	未對應至 IDM 物件。
SdkAppVersion	-	未對應至 IDM 物件。
SdkVersion	-	未對應至 IDM 物件。
Section	security_result.summary	原始記錄中的 Section 值。
SessionKey	network.session_id	原始記錄中的 SessionKey 值。
SessionLevel	target.resource.attribute.labels	原始記錄中的 SessionLevel 值，格式為標籤。
SourceIp	principal.ip、principal.asset.ip	原始記錄中的 SourceIp 值。
src	principal.ip、principal.asset.ip	原始記錄中的 src 值。
SsoType	target.resource.attribute.labels	原始記錄中的 SsoType 值，格式為標籤。
STATUS_CODE	network.http.response_code	原始記錄中的 STATUS_CODE 值。
Status	security_result.action、security_result.action_details	原始記錄中的 Status 值，轉換為 ALLOW 或 BLOCK，或做為 LoginEventStream 的動作詳細資料。
Subject	target.resource.name	原始記錄中的 Subject 值。
TargetUrl	-	未對應至 IDM 物件。
TIMESTAMP	metadata.collected_timestamp	原始記錄中的 TIMESTAMP 值。
TIMESTAMP_DERIVED	timestamp	原始記錄中的 TIMESTAMP_DERIVED 值。
TlsProtocol	network.tls.version_protocol	原始記錄中的 TlsProtocol 值。
URI	target.url	原始記錄中的 URI 值。
USER_AGENT	network.http.user_agent	原始記錄中的 USER_AGENT 值。
USER_ID	principal.user.userid	原始記錄中的 USER_ID 值。
USER_ID_DERIVED	principal.user.product_object_id、target.resource.attribute.labels	原始記錄中的 USER_ID_DERIVED 值。
UserId	principal.user.userid	原始記錄中的 UserId 值。
USER_TYPE	target.resource.attribute.labels	原始記錄中的 USER_TYPE 值，格式為標籤。
Username	principal.user.userid、principal.user.email_addresses、target.user.email_addresses	原始記錄中的 Username 值，或是各種事件的 src_email 值，或是 IdentityProviderEventStore 的 IdentityUsed 值，或是 Search 和 SearchAlert 的 data.properties.Email.str 值，或是 LoginAsEventStream 和 LoginEventStream 的 data.properties.Username.str 值。
UserType	target.resource.attribute.labels	原始記錄中的 UserType 值，格式為標籤。
usrName	principal.user.userid、principal.user.email_addresses、target.user.email_addresses	原始記錄中的 usrName 值。
VerificationMethod	target.resource.attribute.labels	原始記錄中的 VerificationMethod 值，格式為標籤。
剖析器邏輯	metadata.event_type	根據 event_id 和 operation 欄位衍生，或針對 LoginEventStream 設為「USER_LOGIN」，針對 Logout 和 LogoutEvent 設為「USER_LOGOUT」，針對各種事件設為「USER_RESOURCE_UPDATE_CONTENT」，針對 PlatformEncryption 設為「USER_RESOURCE_UPDATE_PERMISSIONS」，針對 QueuedExecution、ApexExecution、LightningInteraction、LightningPerformance、LightningPageView、URI、RestApi、API、AuraRequest、ApexCallout、OneCommerceUsage、Sites、MetadataApiOperation、OneCommerceUsage、VisualforceRequest、Dashboard、Search、ListViewEvent 設為「RESOURCE_READ」，針對 UriEvent 和 TimeBasedWorkflow (Operation 為「Create」或「INSERT」) 設為「RESOURCE_CREATION」，針對 UriEvent 和 LightningUriEvent (Operation 為「Update」) 設為「RESOURCE_WRITTEN」，針對 UriEvent (Operation 為「Delete」或「ROLLBACK」) 設為「RESOURCE_DELETION」，針對 SetupAuditTrail 和 AuditTrail 設為「USER_UNCATEGORIZED」，針對 SetupAuditTrail (operation 為「namedCredentialEncryptedFieldChange」) 設為「USER_CHANGE_PASSWORD」，針對 ApiEventStream 和 LightningUriEventStream 設為「GENERIC_EVENT」，或根據網路和主體狀態設定。
剖析器邏輯	metadata.ingestion_labels	標籤，指出事件來源為「事件記錄檔」、「即時事件監控」或「SetupAuditTrail」。
剖析器邏輯	metadata.log_type	一律設為「SALESFORCE」。
剖析器邏輯	metadata.product_name	一律設為「SALESFORCE」。
剖析器邏輯	metadata.vendor_name	一律設為「SALESFORCE」。
剖析器邏輯	metadata.url_back_to_product	由 LoginUrl、attributes.url、data.properties.PageUrl.str、data.properties.LoginUrl.str 等各種欄位建構而成。
剖析器邏輯	network.application_protocol	如果 uri 欄位開頭為「http」，請設為「HTTPS」。
剖析器邏輯	network.http.referral_url	如果 user_agent 欄位包含「Referer=」，則會從該欄位擷取。
剖析器邏輯	network.http.response_code	衍生自 request_status，適用於各種活動。
剖析器邏輯	network.http.user_agent	原始記錄中的 user_agent 值，或是 ApiEventStream 和 LoginEventStream 的 data.properties.UserAgent.str 值，或是 Sites 事件中的值，或是 Sites 事件中的「User-Agent」。
剖析器邏輯	network.session_id	原始記錄中的 session_key 或 SESSION_KEY 值，或從其他欄位 (例如 LoginKey 或 AuthSessionId) 建構的值。
剖析器邏輯	network.tls.version	原始記錄中的 tls_protocol 值，或 LoginEventStream 中的 data.properties.TlsProtocol.str 值。
剖析器邏輯	principal.application	原始記錄中的 application 值；如果是「登入：成功」事件，則為「Salesforce for Outlook」；如果是沒有應用程式的「登入：成功」事件，則為「Insights」；如果是 Lightning 事件，則從 device_platform 擷取。
剖析器邏輯	principal.asset.hostname	如果是主機名稱，則為 client_ip 的值。
剖析器邏輯	principal.asset.ip	如果是 IP 位址，值為 client_ip、src_ip、SourceIp 或 CLIENT_IP。
剖析器邏輯	principal.hostname	如果是主機名稱，則為 client_ip 的值。
剖析器邏輯	principal.ip	如果是 IP 位址，值為 client_ip、src_ip、SourceIp 或 CLIENT_IP。
剖析器邏輯	principal.labels	標籤由各種欄位建構而成，例如 FederationIdentifier、ApiType、OrgId、channel。
剖析器邏輯	principal.location.city	原始記錄中的 geoip_src.city_name、City 或 LoginGeo.City 值。
剖析器邏輯	principal.location.country_or_region	原始記錄中的 geoip_src.country_name、Country、LoginGeo.Country 或 client_geo 值。
剖析器邏輯	principal.location.region_latitude	原始記錄中的 data.properties.LoginLatitude.number 值。
剖析器邏輯	principal.location.region_longitude	原始記錄中的 data.properties.LoginLongitude.number 值。
剖析器邏輯	principal.location.state	原始記錄中的 geoip_src.region_name 值。
剖析器邏輯	principal.platform	原始記錄中的 Platform、OsName 或 os_name 值，或是 LoginEventStream 的「WINDOWS」(如果 Platform 包含「Windows」)。
剖析器邏輯	principal.platform_version	原始記錄中的 OsVersion 或 os_version 值，或從 Platform 擷取的值 (適用於含有「Windows」的 LoginEventStream Platform)。
剖析器邏輯	principal.resource.attribute.labels	標籤由 CreatedById、ApiVersion、LogFile、LogFileContentType、LogFileLength 等各種欄位建構而成。
剖析器邏輯	principal.resource.name	原始記錄中的 Browser 或 browser_name 值，或是「Java (Salesforce.com)」，適用於 ApiType 為「SOAP Partner」的 LoginHistory。
剖析器邏輯	principal.resource.type	從 Lightning 事件中擷取，或是 LoginAsEvent 和 LoginAsEventStream 的「Browser」。device_platform
剖析器邏輯	principal.url	原始記錄中的 LoginUrl 值。
剖析器邏輯	principal.user.email_addresses	原始記錄中的 usrName、Username、src_email、IdentityUsed、data.properties.Username.str 或 data.properties.Email.str 值。
剖析器邏輯	principal.user.product_object_id	原始記錄中的 attrs.USER_ID_DERIVED 或 data.properties.USER_ID_DERIVED.str 值。
剖析器邏輯	principal.user.userid	原始記錄中的 usrName、Username、user_id、UserId、USER_ID、Id、LoginKey、CreatedByContext、data.properties.Username.str、data.properties.USER_ID.str 或 data.properties.LoginKey.str 值。
剖析器邏輯	security_result.action	衍生自原始記錄中的 Status、OperationStatus、ErrorCode、action 或 operation_status，並轉換為 ALLOW 或 BLOCK。
剖析器邏輯	security_result.action_details	LoginEventStream 原始記錄中的 Status 值。
剖析器邏輯	security_result.description	原始記錄中的 LoginType、logintype、Operation、Action 或 Display 值。
剖析器邏輯	security_result.rule_name	原始記錄中的 Policy 或 rule_name 值。
剖析器邏輯	security_result.summary	由原始記錄中的 NewValue 和 OldValue、REQUEST_STATUS、Section 或 forecastcategory 構成。
剖析器邏輯	target.administrative_domain	原始記錄中的 ORGANIZATION_ID、DelegatedOrganizationId、organization_id 或 data.properties.OrgName.str 值。
剖析器邏輯	target.application	原始記錄中的 Application、app_name、ApiType、Name 或 data.properties.Application.str 值。
剖析器邏輯	target.asset.hostname	從 uri 欄位擷取的 target_hostname 值。
剖析器邏輯	target.asset.ip	原始記錄中的 data.properties.CLIENT_IP.str 值。
剖析器邏輯	target.asset_id	由 device_id 或 REQUEST_ID 建構。
剖析器邏輯	target.file.mime_type	原始記錄中的 file_type 值。
剖析器邏輯	target.file.size	原始記錄中的 size_bytes 值。
剖析器邏輯	target.hostname	從 uri 欄位擷取的 target_hostname 值。
剖析器邏輯	target.process.command_line	原始記錄中的 query_exec、Query 或 data.properties.Query.str 值。
剖析器邏輯	target.process.pid	原始記錄中的 job_id 值。
剖析器邏輯	target.resource.attribute.labels	標籤是由各種欄位建構而成，例如 CPU_TIME、RUN_TIME、USER_TYPE、DB_TOTAL_TIME、MEDIA_TYPE、ROWS_PROCESSED、NUMBER_FIELDS、DB_BLOCKS、DB_CPU_TIME、ENTITY_NAME、EXCEPTION_MESSAGE、USER_ID_DERIVED、DOWNLOAD_FORMAT、USER_TYPE、CPU_TIME、RUN_TIME、WAVE_SESSION_ID、SessionLevel、verification_method、cpu_time、run_time、db_total_time、db_cpu_time、exec_time、callout_time、number_soql_queries、duration、user_type、entry_point、operation、session_level、rows_processed、sso_type、dashboard_type、Operation、SessionLevel。
剖析器邏輯	target.resource.id	原始記錄中的 REQUEST_ID、RecordId、caseid、leadid、contactid、opportunityid 或 accountid 值。
剖析器邏輯	target.resource.name	原始記錄中的 QueriedEntities、resource_name、component_name、DATASET_IDS、field、StageName 或 Subject 值。
剖析器邏輯	target.resource.product_object_id	原始記錄中的 REQUEST_ID 值。
剖析器邏輯	target.resource.resource_type	如果是 ApexCallout 和 PlatformEncryption，請設為「ACCESS_POLICY」；如果是 ApexTrigger，請設為「DATABASE」；如果是 ContentTransfer，請設為「FILE」；如果是 ApiEvent，請設為「TABLE」。
剖析器邏輯	target.resource.type	針對 QueuedExecution 和 ApexExecution 設為「BATCH」，針對 ContentTransfer 設為「FILE」，針對 ApexTrigger 設為「DATABASE_TRIGGER」，或根據相應 ID 欄位的存在與否設為「Case」、「Lead」、「Contact」、「Opportunity」、「Account」。
剖析器邏輯	target.url	原始記錄中的 LoginUrl、URI、attributes.url、login_url 或 uri 值。
剖析器邏輯	target.user.email_addresses	原始記錄中的 Username、attrs.usrName 或 email_address 值。
剖析器邏輯	target.user.user_display_name	原始記錄中的 target_user_display_name、user_name 或 username 值。
剖析器邏輯	target.user.userid	原始記錄中的 target_user_name、data.properties.UserId.str 或 data.properties.CreatedById.str 值。
剖析器邏輯	extensions.auth.auth_details	如果 Status 不是「Success」，請設為「ACTIVE」，否則請設為「UNKNOWN_AUTHENTICATION_STATUS」。
剖析器邏輯	extensions.auth.mechanism	如果登入事件含有「Remote」或「USERNAME_PASSWORD」(適用於 LoginEventStream)，請將這個欄位設為「REMOTE」；如果事件含有 login_url，請設為「MECHANISM_OTHER」；如果登入成功和登出事件含有「AUTHTYPE_UNSPECIFIED」，請設為「AUTHTYPE_UNSPECIFIED」。logintype
剖析器邏輯	extensions.auth.type	如果 LoginType 為「SAML Sfdc Initiated SSO」，請將 Login、Logout、LogoutEvent、LoginAs、IdentityProviderEventStore、LoginHistory、LoginAsEvent 設為「SSO」；如果 LoginType 為「Application」，請將 Login: Success、Logout、LoginAsEvent 設為「AUTHTYPE_UNSPECIFIED」。

異動

2024-06-04

• 新增對新擷取記錄的支援。

2024-03-06

• 將「ID」欄位的對應從「metadata.product_log_id」變更為「principal.user.userid」。
• 將「CreatedById」欄位的對應從「principal.user.userid」變更為「principal.resource.attribute.labels」。
• 已將「IsDeleted」對應至「principal.resource.attribute.labels」。
• 已將「LogFileLength」對應至「principal.resource.attribute.labels」。
• 將「LogFileContentType」對應至「principal.resource.attribute.labels」。
• 已將「ApiVersion」對應至「principal.resource.attribute.labels」。
• 已將「LogFile」對應至「principal.resource.attribute.labels」。

2023-02-24

• Enhancement-
• 如果動作是「LOGIN_NO_ERROR」，則「security_result.action」會對應至 ALLOW，而非 BLOCK。
• 「登入」事件：
• 「action」對應至「security_result.action」。
• 「target_user_name」對應至「target.user.userid」。
• 「tls_protocol」對應至「network.tls.version_protocol」。
• 「cipher_suite」對應至「network.tls.cipher」。
• 已為「OsVersion」和「date」區塊新增「on_error」檢查。

2022-12-13

• Enhancement-
• 將「LoginType」對應至「security_result.description」。
• 已將「LoginUrl」對應至「principal.url」。
• 針對「ApiType」和「LoginGeo.City」新增空白檢查。

2022-09-02

• Enhancement-
• 已將自訂剖析器遷移至預設剖析器。

2022-07-04

• Enhancement-
• 強化剖析器，可剖析 event_type 為「LoginHistory」的記錄。
• 新增條件，可剖析不同格式的時間戳記。
• 新增 event_type「USER_UNCATEGORIZED」的條件，其中「user_id」、「UserId」或「target_user_name」不得為空值。
• 新增剖析 src_ip 的驗證。

2022-04-18

• 將 DOWNLOAD_FORMAT 的對應項目從「metadata.ingestion_labels」修改為「target.resource.attribute.labels」。

2022-03-30

• 改善項目：將「LoginEventStream」的 event_type 變更為 USER_LOGIN。
• 修正 DOWNLOAD_FORMAT 和 ConnectedAppId 欄位的對應。
• 如果記錄類型為 LoginEventStream、WaveDownload、ApiEventStream，則新增特定欄位的對應。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。