コラム詳細
はじめに
セラクCCCのSalesforce推進部のNです。Salesforceを複数人で運用する場合、さまざまな人がログインします。その場合、いつどこでどのような変更が行われたか、どのデータが閲覧されたのかなどを把握しておかなければセキュリティに関する問題に気が付かない可能性があります。不正利用や異常をすばやく検知し、セキュリティインシデントの予防には、ログの監視、分析が重要です。しかし、Salesforceで詳細なログを確認するには、イベントモニタリングに加入し、権限を変更してから設定を行わなければなりません。本記事では、Salesforceでログを最大限活用するために必要な知識についてご紹介します。
Salesforceで取得できるログ
Salesforceで閲覧できるログは、通常ログイン履歴のみです。管理者であれば、誰がいつどこでログインしたのか「ログイン履歴」ページから閲覧できます。これにより、どのアカウントがいつログインしたのかが把握可能です。
Salesforceではこのようなログイン履歴に加え、セキュリティインシデントの発生ログ、イベント発生、エラー、パフォーマンス分析用のログなど、さらに詳細なログまで記録されています。
細かなログまで分析すれば詳細にエラーやインシデントの発生状況を把握できるようになり、セキュリティ対策がより万全になるでしょう。ただし、イベントログを閲覧するためには別途有償のアドオンの追加が必要です。
Salesforceでログを活用するにはイベントモニタリングが必要
イベントログまで確認したいのであれば、有償のセキュリティアドオンツールである「イベントモニタリング」の導入が必要です。
Salesforceのイベントとは組織内のユーザアクティビティのことで、イベントログを閲覧できれば、通常のログイン記録よりもより細部まで確認できます。異常なイベントを検知し、不正ログイン、不正なデータ改ざんなどをブロックするためにはイベントログの確認が必要です。
イベントモニタリングとは
Salesforceで詳細なログを確認するために必要なイベントモニタリング。このイベントモニタリングには、リアルタイムイベントモニタリング、イベントモニタリングの2種類があります。この2種類の相違点は、記録するログの種類や記録されるタイミングなどです。それぞれどのようなものか解説します。
リアルタイムイベントモニタリング
リアルタイムイベントモニタリングの目的は、セキュリティインシデントの発生ログ、レコードのアクセスログの記録と分析です。具体的に得られる情報は以下のとおりです。
- ・データのアクセス履歴(誰が、いつ、どこからデータにアクセスしたか)
- ・レコードの変更履歴(変更したアカウント、出力項目など)
- ・ログインした場所
- ・誰が暗号化管理に関するアクションを実行しているのか
- ・どのシステム管理者がどのようなアクションを実行したか
- など
これらはリアルタイムに記録され、タイプによって半年もしくは10年間保存できます。ログタイプの種類によってはストリーミング配信も可能です。リアルタイムでログを確認できることから、セキュリティインシデントが起きたときにすぐに対応できます。
イベントモニタリング
イベントモニタリングでは、イベントの発生、エラーの有無、パフォーマンス分析用のログを記録しています。リアルタイムイベントモニタリングと異なり、記録はリアルタイムではなく、1時間、24時間ごとに記録されています。保管される期間も30日間と、リアルタイムイベントより短い期間です。
イベントモニタリングが監視しているのは、次のような情報です。
- ・ログイン状況
- ・イベントの発生状況
- ・URI
- ・レポート
- ・SQL
- ・Apexの実行状況
- ・APIコール
- など
これらを監視することにより、イベントがどれくらい発生しているのか、パフォーマンスはどのようになっているのかについて分析可能です。細部までユーザの行動を確認できるため、何か異常な行動が起きたときに、データ保護やアクセスブロックなどの対策をとれます。
リアルタイムイベントモニタリングのログを取得する方法
リアルタイムイベントモニタリングのログ(リアルタイムログ)は、ストリーミングは「Platform Evdent」、ストレージは「Big Object」に格納されています。このログを取得するためには、まず権限の設定が必要です。権限の設定方法とログの取得方法をご紹介します。
権限を設定する
リアルタイムログを取得するためには以下の手順で設定を行ってください。
- まずは、「設定」画面に移行し、以下のいずれかを実行します。
- ・「クイック検索」ボックスで「権限セット」と入力し、「権限セット」を選択
- ・「クイック検索」ボックスで「プロファイル」と入力し、「プロファイル」を選択
権限セットを使用する場合
- 1.「設定の検索」で「リアルタイムイベントモニタリングデータの表示」と入力
- 2.「編集」をクリックし、オプションを選択
- 3.「保存」をクリック
プロファイルを使用する場合
- 1.プロファイル名を選択後、「編集」をクリック
- 2.(トランザクションセキュリティポリシーを作成する予定の場合)「リアルタイムイベントモニタリングデータを表示」と「アプリケーションのカスタマイズ」を選択
- 3.「保存」をクリック
その後、リアルタイムイベントモニタリングを有効にし、リアルタイムイベントオブジェクトに対するユーザ権限を設定します。
リアルタイムログを取得する
リアルタイムログはストリーミングとストレージで取得方法が異なります。
ストリーミング
- 1.「Streaming Monitor(無償で利用できるパッケージ)」をインストール
- 2.「Subscribe to a channel」、「Monitoring events」、「確認したいイベント」の順にクリック(確認したいイベントが複数あるときは、この作業を繰り返す)
- 3.「Subscriptions」部分にイベントログが表示される
ストレージ
ストレージに格納されているデータは大量であるため、データローダを使用してダウンロードします。
- 1.データローダを開く
- 2.「Export」をクリック(アーカイブや削除されたレコードも出力するときは「Export All」をクリック)
- 3.IDとパスワードを入力してログインし、「次へ」をクリック
- 4.該当のオブジェクトを選択
- 5.データをエクスポートするCSVファイルを選択または新規作成し、「次へ」をクリック
- 6.データエクスポートのためのSOQLクエリを作成し、「完了」、「はい」をクリック
- 7.「View Extraction」をクリックするとCSVファイルが表示される
イベントモニタリングのログを確認する方法
イベントモニタリングのログ(イベントログ)は、リアルタイムログとは別のEventLogFileに格納されています。イベントログも、ログファイルを取得する前に権限の設定が必要です。どのような設定が必要か、ダウンロードするまでの手順についてご説明します。
権限を設定する
リアルタイムログと同じく、まずは権限セットとプロファイルのどちらかを選択します。
権限セット
- 1.権限セットか拡張プロファイルユーザインターフェースのどちらかを使用し、権限を選択(もしくは新規作成)
- 2.「設定の検索」ダイアログボックスに「イベントログファイルを参照」と入力
- 3.「編集」をクリックし、オプションを選択してから「保存」をクリック
APIの有効化も必要です。上記の手順を繰り返し、APIを有効化してください。
プロファイル
- 1.プロファイルインターフェースでプロファイル名を選択
- 2.「編集」をクリック後「イベントログファイルを参照」と「API の有効化」を選択
- 3.「保存」をクリック
イベントログをダウンロードする
イベントログのダウンロードには、ELFブラウザアプリケーション(ELFアプリ)から直接ダウンロードする方法と、URLスクリプト、Pythonスクリプトからダウンロードする方法があります。ただ、スクリプトを利用するよりもELFアプリからダウンロードするほうが簡単でしょう。ここではELFアプリからダウンロードする方法について解説します。
- 1.ログイン後ELFアプリに移動
- 2.「Production Login」をクリック
- 3.検索したい日付範囲や間隔、イベント種別を入力
- 4.「Apply」を選択
ここまで作業するとイベントログが表示されますが、直接開くためにはダウンロードやスクリプト使用が必要です。ダウンロードをするためには、左端の緑色のアイコンをクリックしてください。
まとめ
Salesforceの詳細なログ記録は有償のアドオンツールである「イベントモニタリング」が役立つといえます。イベントモニタリングのログ記録閲覧や分析により、セキュリティインシデントの早期検知および対策が可能です。しかし企業によってはイベントモニタリングを活用するのが難しいといったお悩みもあるでしょう。このような場合は当社にご相談ください。当社には300名(23年5月時点)を超える専門コンサルタントが在籍し、お客様側の視点からSalesforceのサポートサービスを行っています。効率的なSalesforceの活用を、当社のカスタマーサクセスチームがサポートいたします。お気軽に無料相談 からお問い合わせください。
Salesforceでお悩みなら、
まずはお気軽に
お問い合わせください