Event Monitoring Analyticsの主要なダッシュボード

この記事で学べることイベントモニタリングに含まれる2種類のログのうち、Event Monitoring Analyticsは、イベントモニタリングを分析対象としていることEvent Monitoring Analyticsで提供される主要なダッシュボードの使い方イベントモニタリングに含まれる2種類のログの違いイベントモニタリングライセンスには、以下2種類のログが含まれます。リアルタイムイベントモニタリング：セキュリティインシデントの発生ログとレコードへのアクセスログイベントモニタリング：イベント発生 / エラー / パフォーマンス分析用のイベントログこの2種類のログの違いの詳細については、以下の記事をご参照ください。イベントモニタリングとはEvent Monitoring Analyticsでは、イベントモニタリングのログからさまざまなダッシュボードが提供されています。Event Monitoring Analyticsで提供される主要なダッシュボードここでは特にセキュリティ観点で優先的に確認することが好ましいと考えられるダッシュボードのついて記載をしています。​１．Login不審なログイン傾向を把握するために確認します。Who Logs In the Most 折れ線グラフで不審な傾向（不自然なスパイク等）を評価 します。不審なログインがあった場合、どういったユーザの動きであったか確認します。​以降のダッシュボードについては是非お手持ちの環境で画面を操作しながら確認をいただけます様お願いいたします。​２．Reports および Report Downloadsレポートの使用やエクスポートの傾向を把握するために確認します。Reportsダッシュボードの Report Trend by User折れ線グラフで不審な傾向を評価します。不審なユーザがあった場合、ユーザ名やアクセスしたレポートを確認します。グラフ左上の [▼ボタン] | [調査] から [条件タブ] を開き、ORIGINやRENDERING_TYPEの値からどのようにレポートにアクセスされたかフィルタをかける事ができます。値の意味についてはディベロッパーサイトを確認します。レポートのエクスポートに特化して評価する際にはReport Downloads を利用します​３．Filesファイルがどの様な取り扱いをされたか傾向を把握するために確認します。How Many File Transactions Are Occurring in My Org? 折れ線グラフで不審な傾向を評価します。値の意味については ディベロッパーサイトを確認します。不審なトランザクションがあった場合、どういったファイルへのトランザクションがあったか、誰がトランザクションを発生させていたかを調査していきます。​４．Page View（URIs）ユーザがどのIPからどのページへアクセスしたか傾向を把握するために確認します。Page View Trends By User 折れ線グラフで不審な傾向を評価 します。不審なユーザの傾向があった場合、どにIPアドレスアクセスされたかをShared IPs By Userグラフから、どのページを見ていたかをPage Views By Userから確認します。​上記で代表的なダッシュボードの紹介をしてきましたが ２．Reports および Report Downloadsでも紹介した通り各グラフの左上に表示される ▼ボタン] | [調査] を選択することでより絞り込んだ条件で分析をすることができます。​そしてより絞り込んだ条件で表示されたグラフから、詳細を確認したい領域を選択した上で、画面左上の [テーブルモード] | [値テーブル] を選択することでデータセットの値を確認することもできます。​上記、確認観点や方法をご案内いたしました。ここで紹介した内容は一般的に必要と考えられる内容を記載したものですので、貴社において必要と考えられる観点がありましたら、積極的に調査観点を追加していただきたく存じます。まとめ不審な傾向を把握するためには通常の傾向を把握しておくことが重要です。定期的にダッシュボードを確認し組織の動きの傾向把握をぜひとも実施くださいます様お願いいたします。

Event Monitoring Analyticsの利用開始

この記事で学べることイベントモニタリングをご利用いただいているお客様にはEvent Monitoring Analyticsという分析を目的としたアプリケーションをご利用いただけます。本記事はEvent Monitoring Analytics を利用開始するまでの手順を紹介します。活用については別途、以下の記事もご確認をお願いします。Event Monitoring Analyticsの主要なダッシュボードイベントモニタリングに含まれる2種類のログの違いイベントモニタリングライセンスには、以下2種類のログが含まれます。リアルタイムイベントモニタリング：セキュリティインシデントの発生ログとレコードへのアクセスログイベントモニタリング：イベント発生 / エラー / パフォーマンス分析用のイベントログこの2種類のログの違いの詳細については、以下の記事をご参照ください。イベントモニタリングとはEvent Monitoring Analyticsは、この2種類のログの中で、イベントモニタリングのログを対象に分析するツールです。Event Monitoring AnalyticsとはEvent Monitoring Analytics アプリケーションは、イベントモニタリングログからユーザや組織の動作に関するインサイトを提供します。アプリケーションの作成は簡単で、事前作成済みのダッシュボードやデータセットが付属しているため、すぐに探索を開始できます。このアプリケーションを使用することにより、組織のデータの詳細を調べ、不審な行動、ページのパフォーマンスの低下、ユーザ導入の低下などをすばやく特定できます。Event Monitoring Analyticsの利用開始方法１．CRM Analyticsとイベントモニタリングの有効化​注：CRM Analyticsの有効化を行うユーザには、先に「Event Monitoring Analytics 管理者」権限セットの割り当てが必要ですSalesforce の [設定] メニューの [管理] で、[機能設定] | [分析] | [Analytics Cloud] | [始めましょう] を選択し、[分析の有効化] をクリックします。​[設定] 画面の [クイック検索] ボックスに「イベント」と入力し、[イベントモニタリング設定] を選択し、[Analytics アプリケーションでイベントログデータを表示] を有効にします。​２．Event Monitoring Analytics アプリケーション権限設定と権限セットの割当Event Monitoring Analyticsを利用するユーザに割り当てられたプロファイルの設定で、割り当てられたアプリケーションからAnalytics Studio (standard__Insights)の参照可能にチェックが付いている事を確認します。もしチェックが無い場合、カスタムプロファイルまたは、権限セットの割り当てられたアプリケーションから本権限を付与します。​次にEvent Monitoring Analyticsを利用するユーザに「 Event Monitoring Analytics ユーザ」又は「Event Monitoring Analytics 管理者 」の権限セットのどちらかを割り当てます。ダッシュボードやデータセットを表示するユーザには「 Event Monitoring Analytics ユーザ」権限セットを、アプリケーション、ダッシュボード、データセットの作成や、Event Monitoring アプリケーション操作環境のカスタマイズを行うユーザには「Event Monitoring Analytics 管理者」権限セットを割り当てます。​３．Event Monitoring Analytics アプリケーションの作成と共有Analytics Studioを開きます。アプリケーションランチャーから[Analytics Studio]を選択します。​アプリケーションを作成します。Analytics Studio ホーム画面の右上の[作成]ボタンから[アプリケーション]を選択します。​​新規アプリケーションを作成ウィンドウのすべてのテンプレートから[Event Monitoring Analytics App]を選択し、ウィンドウ右下にある[次へ]をクリックします。​ステップ１からステップ６までは、作成したいデータセットと何日分のデータを格納するかを入力するガイダンスが表示されるのですべての質問に“Yes”と入力し追加表示されるオプションにはすべて“30”と入力していきます。作成されたダッシュボードが少ない、また見れるデータが少ないと問い合わせを多く受けますが、原因は、こちらですべての項目が入力されていないためです。​ステップ７ではチェックを入れずに[次へ]をクリックします。チェックを入れてこの機能を有効にすると、ネットワークの負荷が軽減され、大規模なデータセットのデータフロージョブを高速化できます。この機能の検証を希望する場合はチェックを入れて[次へ]をクリックします。この機能は2023年6月時点でベータ機能のため、この機能をオンにしてアプリケーションを作成された場合、Salesforceサポートでの調査を実施させていただけない場合がございます。​任意のアプリケーション名を入力します。ログレベルはデフォルトのままで構いません。こちらのオプションは、今回のアプリケーション作成ログに関するもので、イベントモニタリングのログとは関係ありません。ガイダンスへの入力が全ステップ完了すると作成中の画面に切り替わります。作成が完了するとメールが届きます。​​データマネージャーを開きます。アプリケーションの作成が完了したらAnalytics Studioのホーム画面下にある[データマネージャ]をクリックします。​開いた画面の左ペインの下側にある[データフローを管理]をクリックします。​​データフローからスケジュールを設定します。左ペインから[データフローとレシピ]を選択します。​​開いた画面から[データフロー]を選択します。​開いた画面から、作成した[アプリケーション名_AppendDataflow]があるので右側の▼ボタンから[スケジュール]を選択します。​アプリケーションに最新データが取り込まれ、更新による中断を最小限に抑えるには、イベントログファイルが生成されてから数時間後にデータフローが実行されるようにスケジュールする必要があります。そのため推奨の時刻はAM6:00～AM7:00程度となります。スケジュールを設定したら[保存]をクリックします。​​また古いバージョンの画面ではありますが、動画の説明資料もありますのでご確認をお願いします。動画 - イベントモニタリング設定動画_応用編①（Event Monitoring Analytics）​4．Event Monitoring Analytics アプリケーションのアップグレード画面に新しバージョンのリリースを案内するバナーが表示されることがあります。その際に[現在のアプリケーションをアップグレード] と[新規アプリケーションを作成] を選択することができます。ただし、 [現在のアプリケーションをアップグレード] を選択した場合、カスタマイズが削除されるので実施には注意が必要です。学習ツールHelp - Event Monitoring Analytics の日次データフローのスケジュールHelp - 1 時間ごとのイベントログと 24 時間のイベントログの違いTrailhead - Event Monitoring Analytics アプリケーション 動画 - イベントモニタリング設定動画_応用編①（Event Monitoring Analytics）まとめ適切な権限設定を行い、分析を有効化した上で、 すべてのログの取り込みを“Yes”にした上でアプリケーションの作成と共有を行えば、Event Monitoring Analyticsをお使いいただく事ができます。

ログの記録開始

この記事で学べることイベントモニタリングに含まれる2種類のログの違いリアルタイムイベントモニタリングの取得開始方法ストリーミングとストレージの違いイベントモニタリングに含まれる2種類のログの違いイベントモニタリングライセンスには、以下2種類のログが含まれます。リアルタイムイベントモニタリング：セキュリティインシデントの発生ログとレコードへのアクセスログイベントモニタリング：イベント発生 / エラー / パフォーマンス分析用のイベントログこの2種類のログの違いの詳細については、以下の記事をご参照ください。イベントモニタリングとはこのうち、イベントモニタリングのログは組織へイベントモニタリングライセンスが付与されたタイミングから自動的に生成が開始されるようになっており、お客様側でログ取得を開始するための設定は必要ありません。一方で、リアルタイムイベントモニタリングのログについては、組織へライセンスが付与された後に管理者の方がログの取得開始設定を行う必要がございます。そのため、Salesforce組織にイベントモニタリングが初めて導入された際には、以下の手順を参考にしてリアルタイムイベントモニタリングのログ取得設定を行ってください。リアルタイムイベントモニタリングの取得開始方法リアルタイムイベントモニタリングのログを取得開始するためには、「アプリケーションのカスタマイズ」および「設定の参照」権限が必要となります（システム管理者の方であれば、初めから権限が付与されています）その後、権限を持つユーザにより、以下の手順にてリアルタイムイベントモニタリングの各ログを有効化していきます。[設定] から、[クイック検索] ボックスに「イベント」と入力し、[イベントマネージャ] を選択します。有効化するイベントの横にあるドロップダウンメニューをクリックします。イベントの [ストレージ を有効化] および [ストリーミング を有効化] を選択します。有効化したいログ種類分だけ、手順2,3を繰り返します。(特段の要件がなければ、全て有効化しておくことを推奨します)ログ取得設定の有効化後、組織に蓄積されたログへアクセスする方法については以下の記事をご参照ください。ログの取得方法ストリーミングとストレージの違いリアルタイムイベントモニタリングには、ストリーミング と ストレージ の2種類があります。ログインやレポートへのアクセスなど、一つの操作からストリーミングとストレージの両者に対して同一内容のログ(※)が生成されます。(※) 厳密にはログのレコードIDなどが異なります。以下の図は、Salesforce組織のレコードアクセス時に記録されるLightningUriイベントの生成例です。ストリーミングログは、ストリーミング API を用いて対象のイベントをリッスンしているクライアントに対し、イベント内容をプッシュします。そのため、イベントを受信する専用のクライアントがあり、ログ監視などSalesforceのイベントチャネルと接続しておくことで即時性を持ってイベントデータを受け取りたい用途がある場合に利用します。ストリーミングログは、最大3日間保持されます。​ストレージログは、ログデータをBig Objectに配置することで、過去6か月分のリアルタイムイベントモニタリングログを組織に保管することができます。過去6か月(認証系のログは10年)までのログデータの保全や、SOQLを用いた特定の条件に絞ったログの検索に利用します。また6か月以上のログの長期保存などでイベントログをお客様側の環境へダウンロードする際にも、ストレージログを参照します。学習ツールHelp - リアルタイムイベントモニタリングイベントの管理動画 - イベントモニタリング設定動画_基礎編（ログの有効化と取得）まとめイベントモニタリングには、リアルタイムイベントモニタリング と イベントモニタリング の2種類のログが存在します。このうち、リアルタイムイベントモニタリングのログはライセンスが付与されただけではログの取得が開始されないため、管理者の方が組織の設定画面からログ取得の有効化作業を行って頂く必要があります。