您在此处:
启用“生成事件日志文件”
基础设置,用于激活生成详细的事件日志文件 (ELF),捕获整个组织的全面用户和系统活动,以便进行安全监控、合规性和取证分析。
控件名称
Event Monitoring 设置(启用“生成事件日志文件”)
控制概览
基础设置,用于激活生成详细的事件日志文件 (ELF),捕获整个组织的全面用户和系统活动,以便进行安全监控、合规性和取证分析。
描述
在“设置>事件监控设置”中启用时,Salesforce 会开始将 50 多种事件类型(URI、API、LoginGeo、ReportEvent、BulkDataServicesEvent 等)记录到大对象,保留时间最多为 1-24 个月;这是分析、流和外部 SIEM 集成的先决条件。
推荐配置
作为任何 Event Monitoring 部署的第一步,启用“生成事件日志文件”(需要 Shield/Event Monitoring 加载项许可证)。
安全影响
提供对所有用户操作、数据访问模式和系统事件的完整可见性,能够检测内部威胁、暴力攻击、异常导出和配置滥用。
业务影响
建立组织范围的安全遥测基础,支持 SIEM 集成、UEBA、合规报告和运营分析,无需第三方数据导出。
安全风险(如果未配置)
禁用为组织生成安全事件日志会降低用户行为监控和事件响应的主要检测能力。
威胁场景
恶意内部活动、权限滥用、通过报表/API 的数据泄露、客户泄露指示器和侦测模式的完整盲点;攻击者操作时未检测到。
估计的 CVSS 得分范围
关键 (9.0–10.0)。
风险影响注意事项
缓解措施无法替代 ELF。影响会随着用户计数、外部访问和受监管的数据呈指数增长;存储成本可控,违反和合规失败成本。
高风险
启用外部用户和入口网站、高价值数据(PHI、PII、财务)、API 密集型集成或需要取证重建的安全事件历史。
低风险
单个小型内部管理员团队,没有外部访问权限,配置简单;即使如此,仍建议使用基准可见性。
业务和集成注意事项
在获取 Event Monitoring 许可证时立即启用。在激活前,计划大对象存储和下游使用者权限。
安全健康审查指导
一定是
谁受到影响
所有 Salesforce 用户(内部和外部)、安全操作、合规团队、审计员和任何通过 API/导出使用事件数据的系统。
