您可能正在使用Splunk专为Salesforce开发的应用和插件来管理您的Salesforce环境,并借助REST API收集不同类型的Salesforce数据。这一应用及插件在功能方面如此强大,其收集的事件数据可以让您非常清楚地了解用户与Salesforce之间的互动情况,并且这些事件数据覆盖范围之广,从Apex执行到页面浏览不一而足。您可以通过Lightning Platform REST 和 SOAP API来访问这些事件日志。但是有一点,这些事件数据只能以天或小时为单位进行呈现,存储时间为30天,如果您想对这些事件数据进行实时处理,可能不太现实。
近日,Salesforce推出一款全新流式API,因为是作为Salesforce强大事件监控功能的一部分而推出,用户可以不用另付费用便可获得。对于组织来说,要想在第一时间识别和应对那些来自内部和外部的针对敏感数据威胁或是系统的性能瓶颈,实时事件数据发挥着至关重要的作用。如果一个组织拥有众多的Salesforce用户,使用实时数据进行各类分析比使用那种等上若干个小时的批量上传日志要容易得多。
以上只是Salesforce 全新流式API的优势之一。借助该流式API,Salesforce对事件数据进行了重构,将更多类型事件和更加丰富的事件上下文数据纳入其中。当某个会话劫持攻击、撞库攻击、异常用户行为以及移动安全行为、权限设置行为(当前处于试点阶段)被Salesforce检测到时,便有相关的机器学习驱动的事件数据生成,此类数据便属于这些上下文数据范畴。
Splunk很高兴宣布已经将集成范围扩展至Salesforce流式API ,如此一来用户可以借助Splunk的SFDC Streaming API 插件来实时收集日志和事件信息。
插件安装后,Splunk可借助Salesforce的流式API和实时事件监控对象(Real-Time Event Monitoring Objects) 来摄取上述实时流式事件数据。流式API使用推送技术来实现事件数据传递,其所提供的订阅机制能够以近实时的速度来实现事件数据的接收。该订阅机制可支持多种事件类型,包括PushTopic事件、普通事件、平台事件以及变化数据捕获 (Change Data Capture)事件。
这一机制可以帮助我们实时形成更加深入的洞察,其中包括:
➧谁在何时浏览了何种数据
➧这些数据是在何处被访问的
➧用户借助UI来变更记录发生在何时
➧谁在何处登录系统
➧组织内的谁在开展与平台加密管理相关的行动
➧哪位管理员在以另一名用户的身份登录,以用户身份登陆后这位管理员执行了何种动作
➧加载Lightning 页面需要多长时间
➧组织中检测到的威胁,如用户在浏览或报告导出过程中的异常行为,以及会话劫持攻击、撞库攻击等
➧实时警报以匹配增强事务安全策略 (Enhanced Transaction Security Policies)
以下示例为实时生成的登陆事件,具体内容为因密码不匹配导致的失效登陆企图。与REST API 端点生成的事件相比,实时生成事件包含了更多信息,如username, location, web client details等字段。
下图为另一示例,显示当某个用户在短时间内导出大量报表的时候,您该如何借助实时事件报表功能生成警报的全过程。
该插件简单易用,如果您想访问以上全部功能,只需下载并安装该插件到您的Splunk环境中,然后使用OAuth凭证实现与Salesforce环境的连接并针对任意流式实时对象建立数据输入。该插件适用于Splunk Enterprise以及Splunk Cloud,也可和现有Salesforce及插件一起在同一Splunk实例中运行。
文章来源Splunk大数据