Event Monitoring Analyticsの主要なダッシュボード

この記事で学べることイベントモニタリングに含まれる2種類のログのうち、Event Monitoring Analyticsは、イベントモニタリングを分析対象としていることEvent Monitoring Analyticsで提供される主要なダッシュボードの使い方イベントモニタリングに含まれる2種類のログの違いイベントモニタリングライセンスには、以下2種類のログが含まれます。リアルタイムイベントモニタリング：セキュリティインシデントの発生ログとレコードへのアクセスログイベントモニタリング：イベント発生 / エラー / パフォーマンス分析用のイベントログこの2種類のログの違いの詳細については、以下の記事をご参照ください。イベントモニタリングとはEvent Monitoring Analyticsでは、イベントモニタリングのログからさまざまなダッシュボードが提供されています。Event Monitoring Analyticsで提供される主要なダッシュボードここでは特にセキュリティ観点で優先的に確認することが好ましいと考えられるダッシュボードのついて記載をしています。１．Login不審なログイン傾向を把握するために確認します。Who Logs In the Most 折れ線グラフで不審な傾向（不自然なスパイク等）を評価 します。不審なログインがあった場合、どういったユーザの動きであったか確認します。以降のダッシュボードについては是非お手持ちの環境で画面を操作しながら確認をいただけます様お願いいたします。２．Reports および Report Downloadsレポートの使用やエクスポートの傾向を把握するために確認します。Reportsダッシュボードの Report Trend by User折れ線グラフで不審な傾向を評価します。不審なユーザがあった場合、ユーザ名やアクセスしたレポートを確認します。グラフ左上の [▼ボタン] | [調査] から [条件タブ] を開き、ORIGINやRENDERING_TYPEの値からどのようにレポートにアクセスされたかフィルタをかける事ができます。値の意味についてはディベロッパーサイトを確認します。レポートのエクスポートに特化して評価する際にはReport Downloads を利用します３．Filesファイルがどの様な取り扱いをされたか傾向を把握するために確認します。How Many File Transactions Are Occurring in My Org? 折れ線グラフで不審な傾向を評価します。値の意味については ディベロッパーサイトを確認します。不審なトランザクションがあった場合、どういったファイルへのトランザクションがあったか、誰がトランザクションを発生させていたかを調査していきます。４．Page View（URIs）ユーザがどのIPからどのページへアクセスしたか傾向を把握するために確認します。Page View Trends By User 折れ線グラフで不審な傾向を評価 します。不審なユーザの傾向があった場合、どにIPアドレスアクセスされたかをShared IPs By Userグラフから、どのページを見ていたかをPage Views By Userから確認します。上記で代表的なダッシュボードの紹介をしてきましたが ２．Reports および Report Downloadsでも紹介した通り各グラフの左上に表示される ▼ボタン] | [調査] を選択することでより絞り込んだ条件で分析をすることができます。そしてより絞り込んだ条件で表示されたグラフから、詳細を確認したい領域を選択した上で、画面左上の [テーブルモード] | [値テーブル] を選択することでデータセットの値を確認することもできます。上記、確認観点や方法をご案内いたしました。ここで紹介した内容は一般的に必要と考えられる内容を記載したものですので、貴社において必要と考えられる観点がありましたら、積極的に調査観点を追加していただきたく存じます。まとめ不審な傾向を把握するためには通常の傾向を把握しておくことが重要です。定期的にダッシュボードを確認し組織の動きの傾向把握をぜひとも実施くださいます様お願いいたします。

Event Monitoring Analyticsの利用開始

Event Monitoring Analyticsを利用する方へ。アプリケーションの設定手順と活用方法を解説します。適切な権限設定が成功の鍵です。

ログの記録開始

この記事で学べることイベントモニタリングに含まれる2種類のログの違いリアルタイムイベントモニタリングの取得開始方法ストリーミングとストレージの違いイベントモニタリングに含まれる2種類のログの違いイベントモニタリングライセンスには、以下2種類のログが含まれます。リアルタイムイベントモニタリング：セキュリティインシデントの発生ログとレコードへのアクセスログイベントモニタリング：イベント発生 / エラー / パフォーマンス分析用のイベントログこの2種類のログの違いの詳細については、以下の記事をご参照ください。イベントモニタリングとはこのうち、イベントモニタリングのログは組織へイベントモニタリングライセンスが付与されたタイミングから自動的に生成が開始されるようになっており、お客様側でログ取得を開始するための設定は必要ありません。一方で、リアルタイムイベントモニタリングのログについては、組織へライセンスが付与された後に管理者の方がログの取得開始設定を行う必要がございます。そのため、Salesforce組織にイベントモニタリングが初めて導入された際には、以下の手順を参考にしてリアルタイムイベントモニタリングのログ取得設定を行ってください。リアルタイムイベントモニタリングの取得開始方法リアルタイムイベントモニタリングのログを取得開始するためには、「アプリケーションのカスタマイズ」および「設定の参照」権限が必要となります（システム管理者の方であれば、初めから権限が付与されています）その後、権限を持つユーザにより、以下の手順にてリアルタイムイベントモニタリングの各ログを有効化していきます。[設定] から、[クイック検索] ボックスに「イベント」と入力し、[イベントマネージャ] を選択します。有効化するイベントの横にあるドロップダウンメニューをクリックします。イベントの [ストレージ を有効化] および [ストリーミング を有効化] を選択します。有効化したいログ種類分だけ、手順2,3を繰り返します。(特段の要件がなければ、全て有効化しておくことを推奨します)ログ取得設定の有効化後、組織に蓄積されたログへアクセスする方法については以下の記事をご参照ください。ログの取得方法ストリーミングとストレージの違いリアルタイムイベントモニタリングには、ストリーミング と ストレージ の2種類があります。ログインやレポートへのアクセスなど、一つの操作からストリーミングとストレージの両者に対して同一内容のログ(※)が生成されます。(※) 厳密にはログのレコードIDなどが異なります。以下の図は、Salesforce組織のレコードアクセス時に記録されるLightningUriイベントの生成例です。ストリーミングログは、ストリーミング API を用いて対象のイベントをリッスンしているクライアントに対し、イベント内容をプッシュします。そのため、イベントを受信する専用のクライアントがあり、ログ監視などSalesforceのイベントチャネルと接続しておくことで即時性を持ってイベントデータを受け取りたい用途がある場合に利用します。ストリーミングログは、最大3日間保持されます。ストレージログは、ログデータをBig Objectに配置することで、過去6か月分のリアルタイムイベントモニタリングログを組織に保管することができます。過去6か月(認証系のログは10年)までのログデータの保全や、SOQLを用いた特定の条件に絞ったログの検索に利用します。また6か月以上のログの長期保存などでイベントログをお客様側の環境へダウンロードする際にも、ストレージログを参照します。学習ツールHelp - リアルタイムイベントモニタリングイベントの管理動画 - イベントモニタリング設定動画_基礎編（ログの有効化と取得）まとめイベントモニタリングには、リアルタイムイベントモニタリング と イベントモニタリング の2種類のログが存在します。このうち、リアルタイムイベントモニタリングのログはライセンスが付与されただけではログの取得が開始されないため、管理者の方が組織の設定画面からログ取得の有効化作業を行って頂く必要があります。