Loading
设置和维护 Salesforce 组织
目录
筛选条件: (0)添加
选择筛选器

          没有结果
          没有结果
          以下是一些搜索提示

          检查关键字的拼写。
          使用更普遍的搜索词。
          选择更少的筛选器,并扩大搜索范围。

            搜索所有 Salesforce 帮助
            搜索所有 Salesforce 帮助
            快速入门:事件监视

            您在此处:

            1. Salesforce 帮助
            2. 文档
            3. 设置和维护 Salesforce 组织

            快速入门:事件监视

            如果您是 Event Monitoring 的新用户,本快速入门指南将指导您完成最直接的设置。Event Monitoring 允许您访问所有 Salesforce 应用程序的详细性能、安全性和使用数据。

            所需的 Edition

            适用于 Salesforce Classic(并非在所有组织中可用)和 Lightning Experience。

            EnterprisePerformanceUnlimitedDeveloper Edition

            需要 Salesforce Shield 或 Salesforce Event Monitoring 加载项订阅。
            所需用户权限
            设置和使用 Event Monitoring: Event Monitoring 用户权限集

            本指南包含:

            • 分配 Event Monitoring 权限
            • 打开 Event Monitoring
            • 打开实时 Event Monitoring Storage
            • 设置事件日志对象仪表板
            • 查询和可视化事件日志对象
            • 创建事务安全性策略
            • 设置威胁检测
            • 查看威胁检测详细信息并提供反馈
            • 可选资源
            • 第三方集成

            分配 Event Monitoring 权限

            使用一个权限设置 Event Monitoring。Event Monitoring 用户权限允许您访问事件日志文件 (ELF)、事件日志对象 (ELO)、实时事件和威胁检测应用程序。

            1. 从“设置”中,在快速查找框中输入权限,然后单击权限集
            2. 单击 Event Monitoring 用户 | 管理分配
            3. 选择用户,然后单击添加分配

            打开 Event Monitoring

            打开关键 ELF 设置。

            1. 从“设置”中,在快速查找框中输入事件监控,然后选择事件监控设置
            2. 打开:
              1. 查看 Analytics 应用程序中的事件日志数据 — 在 CRM Analytics 中显示 ELF 数据。
              2. 生成事件日志文件 — 生成 70 多种不同的 ELF 类型。默认情况下,为 Shield 和 Event Monitoring 客户启用生成事件日志文件。
              3. 保留事件日志文件 — 将 ELF 数据存储一年。
                备注
                备注 如果需要,备份和恢复可以将 ELF 数据保留一年以上。
              4. (可选)删除事件监控数据 - 允许手动删除 ELF 数据,这有时是满足监管和隐私要求(例如 GDPR)所必需的。
              5. (可选)启用 Lightning Logger — 使用自定义组件仪表 API 将可观察性添加到 Lightning Web 组件 (LWC)。使用 Lightning Logger 手动检测贵组织的 LWC。Lightning Logger生成的日志通过 Lightning Logger 事件类型发布。
              实时 Event Monitoring 的设置

            打开实时 Event Monitoring 存储和流

            实时 Event Monitoring (RTEM) 近乎实时地发布用户事件。您可以在 Salesforce 大对象中存储和查询 RTE 数据,以用于审计和报告目的。

            存储在 Salesforce 中的 RTEM 事件不计入数据存储限制。许多存储事件是 Salesforce 大对象,非常适合存储大量数据。请参阅实时 Event Monitoring 数据存储

            备注
            备注 我们建议为所有实时事件打开存储。

            您可以订阅 Salesforce 发布的实时事件,以监控贵组织的活动。请参阅实时 Event Monitoring 数据流

            备注
            备注 仅当您计划使用 CometD 或发布/订阅 API 设置订阅者时,才打开流。
            1. 从“设置”中,在快速查找框中输入事件管理器,然后单击事件管理器
            2. 从事件旁边的下拉列表中,单击启用存储启用流

            设置事件日志对象 Analytics

            在使用事件日志对象 (ELO) 分析转换日志数据时,深入了解平台性能、安全威胁和用户行为。可操作的见解有助于您主动识别和解决潜在的系统瓶颈,并在安全异常影响生产环境之前检测到它们。

            在设置 ELO Analytics 之前,请确认您拥有:

            • Event Monitoring 用户权限集已分配
            • Event Monitoring Analytics 管理员或 Event Monitoring Analytics 用户权限集许可证已分配
            • 启用 CRM Analytics
            1. 从应用程序启动程序中,查找并选择 Analytics Studio
            2. 单击创建,然后选择应用程序
            3. 在搜索栏中,输入 Event Monitoring Event Log Objects Analytics
            4. 单击事件监控事件日志对象 Analytics 模板,然后单击继续
            5. 命名应用程序,并单击创建
              威胁和访问的 ELO 分析

            查询和可视化事件日志对象

            快速访问和分析可视日志数据,以便更早地检测安全和性能事件。

            1. 从“设置”中,在快速查找框中输入 Analytics Studio,然后选择 Analytics Studio
            2. 要创建仪表板,单击创建,然后从下拉列表中选择仪表板
            3. 图表选项拖到仪表板。
            4. 要选择数据源,请单击新图表。
            5. 在数据源窗口中,转到 Salesforce 对象选项卡。
            6. 要查看所有事件日志对象,请搜索事件日志
            7. 选择要可视化的事件日志对象数据。请参阅使用图表可视化数据。
            8. 您可以使用 Salesforce Direct 以各种图表类型可视化您的数据。限制仪表板上的面板数量,以避免任何超时。请参阅 Salesforce 直接数据查询
              事件日志对象仪表板

            创建事务安全性策略

            使用事务安全条件生成器创建事务安全策略 (TSP),当用户在 Salesforce 中采取潜在的恶意或风险操作时,这些策略可以通知您或阻止操作。

            备注
            备注 与您的 InfoSec 或安全团队合作,选择合适的事件并正确配置事务安全策略。让安全利益相关者参与进来有助于将 Event Monitoring 与您的整体安全战略和合规目标结合起来。

            有关包含的 TSP、示例和为高级用例使用 Apex 的信息,请参阅增强安全状况的基本交易安全政策。

            此示例创建的策略会在有人下载包含超过 10,000 条记录的报表时通知您。

            1. 从“设置”中,在快速查找框中,输入事务安全性,然后选择事务安全性策略
            2. 单击新建,然后选择条件生成器
            3. 单击下一步
            4. 选择或输入:
              1. 事件:Report Event
              2. 条件逻辑:满足所有条件 (AND)
              3. 条件:操作等于报表导出
              4. 条件:处理的行数大于 10000
            5. 单击下一步
            6. 选择或输入:
              1. 操作:
              2. 通知:电子邮件通知
              3. 收件人:选择您自己
              4. 名称:输入名称
              5. 状态:已启用
            7. 单击完成

            设置威胁检测

            在您可以查看 Salesforce 中的威胁检测事件并提供反馈之前,您必须使应用程序对用户可见。您还可以指定哪些选项卡对不同的用户简档可见。

            备注
            备注 我们建议创建事务安全性策略,以便在发布威胁检测事件时通知您。

            请确认您拥有包含查看威胁检测事件的事件监控用户权限集

            1. 使用事件管理器为威胁检测事件启用流和存储:ReportAnomalyEvent、SessionHijackingEvent、GuestUserAnomalyEvent、LoginAnomalyEvent 和 CredentialStuffingEvent。创建与 Salesforce 许可证关联的权限集。
            2. 编辑使用威胁检测应用程序的每个用户简档的选项卡设置,并指定选项卡的可见性。这些选项卡被命名为“报告异常事件存储”、“会话劫持事件存储”、“凭据填充事件存储”和“威胁检测反馈”。
              例如,系统管理员通常访问 UI 中的所有内容,因此,对于系统管理员简档,将所有选项卡的可见性设置为默认打开。如果您创建了威胁检测管理员简档,请设置相同的可见性。如果不希望标准用户查看反馈,请将标准用户简档的威胁检测反馈的可见性设置为“隐藏选项卡”。
            3. 从“设置”中,在快速查找框中输入应用程序管理器。
            4. 通过在应用程序右侧的下拉列表中选择编辑来编辑威胁检测应用程序。
              突出显示威胁检测应用的 Lightning Experience 应用程序管理器
            5. 在“分配给简档”部分,选择威胁检测应用程序可见的简档。
              应用程序管理器中威胁检测应用程序的“分配给简档”部分,在可见性列中选择了系统管理员、威胁检测管理员和标准用户。
            6. 保存更改。

            查看威胁检测详细信息并提供反馈

            威胁检测使用统计和机器学习方法来检测对您的 Salesforce 组织的威胁,并在实时事件对象中捕获该数据。使用 Salesforce UI 中的威胁检测应用程序查看最近或所有威胁检测事件。

            1. 从应用程序启动程序中,查找并选择威胁检测
            2. 单击选项卡,查看存储在威胁检测对象中的最近或所有事件的列表视图。
            3. 要查看事件详细信息,请单击事件。
              有关如何读取威胁事件详细信息的信息,请参阅威胁检测
            4. 要查看与事件关联的反馈,请单击相关

            查看威胁事件后,单击反馈。您的反馈有助于 Salesforce 训练机器学习和 AI 模型,以更准确地分类威胁严重性。

            可选资源

            现在,您已拥有 Event Monitoring 功能的访问权限,请了解有关您还能做什么的更多信息。

            资源 描述 链接
            学习导图 获取 Event Monitoring 相关文档和 Trailhead 内容的综合视图。 请查看签到数据(以及谁在使用数据)学习地图的监控事件选项卡。
            支持的事件类型 查看不同事件的模式。
            Salesforce 帮助 查看 Event Monitoring 的深入内容和选项。 事件监视
            Trailhead 在 Trailhead 中实践使用 Event Monitoring、ELF 和事件数据。
            开源仪表板 在设置 Event Monitoring Analytics 应用程序后,充分利用社区支持的 Event Monitoring 仪表板。
            • Event Monitoring Plus github 存储库包含 CRM Analytics 仪表板的轻量级集合,可帮助您更好地了解 Event Monitoring 数据。
            • Value Analytics 应用程序包含预构建的仪表板,适用于:
              • 销售、服务和潜在客户 Value Analytics
              • Apex Performance
              • Apex 错误
              • 技术债务
              • Lightning 性能
              Value Analytics 需要完整的 CRM Analytics 许可证。

            第三方集成

            大多数安全信息和事件管理 (SIEM) 和可观察性解决方案可以通过 API 导入 Event Monitoring 数据。这些合作伙伴和 SIEM 解决方案支持连接,可轻松导入 Event Monitoring 数据。

            Salesforce Event Monitoring 合作伙伴连接器
            合作伙伴名 ELF 连接器 RTEM 连接器 链接/引用
            全名 应用程序交换列表
            AWS 应用程序结构 AppFabric
            好雲 博客帖子
            Coralogix 文档
            Datadog 博客帖子
            动态跟踪 Salesforce 串流 API
            强制执行 强制执行 + EM App Exchange 列表
            外梁 不可用。可通过自定义实施。
            公平警告 应用程序交换列表
            IBM - Qradar Qradar 文档
            Microsoft Sentinel 支持 ELF
            New Relic New Relic PDF
            Rapid7 快速 7
            Securonix Securonix
            狂暴 ELF 加载项;适用于 Salesforce 串流 API 的 Splunk 加载项
            相扑逻辑 相撲邏輯
            瓦罗尼斯 不可用
            Wazuh SIEM/XDR 通过弹性 ELK Wazuh 可以使用 Elastic ELK filebeat 连接器来接收 EM ELF 或 RTEM 数据。
             
            正在加载
            Salesforce Help | Article