Salesforce のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、サードパーティ API を使用して Google Security Operations フィードを設定し、Salesforce ログを収集する方法について説明します。

Salesforce は、販売、サービス、マーケティング、分析用のツールを提供するクラウドベースの顧客管理（CRM）プラットフォームです。Salesforce ログは、プラットフォーム全体にわたるユーザーアクティビティ、セキュリティイベント、システム変更、API 使用状況をキャプチャします。

始める前に

次の前提条件を満たしていることを確認します。

Google SecOps インスタンス
Salesforce Enterprise Edition 以上（API アクセスが有効になっている）
Salesforce システム管理者権限
OpenSSL がインストールされている（証明書生成用）

RSA 鍵ペアと証明書を生成する

JWT 署名用の RSA 秘密鍵と自己署名 X.509 証明書を生成します。

秘密鍵を生成する

```bash
openssl genrsa -out salesforce_private.key 2048
```

自己署名証明書を生成する

```bash
openssl req -new -x509 -key salesforce_private.key -out salesforce_certificate.crt -days 365
```

プロンプトが表示されたら、証明書の詳細を入力します。

Country Name: 2 文字の国コードを入力します（例: US）。
State or Province Name: 都道府県を入力します（例: California）。
Locality Name: 市区町村を入力します（例: San Francisco）。
組織名: 組織名を入力します（例: Acme Corp）。
組織部門名: 部門を入力します（例: IT Security）。
共通名: わかりやすい名前を入力します（例: Chronicle Integration）。
メールアドレス: 連絡先のメールアドレスを入力します。

Salesforce 外部クライアントアプリを作成する

外部クライアントアプリは、Salesforce（Spring '26 以降）で OAuth 認証を行うための推奨される方法です。

Salesforce にログインします。
[設定]（右上の歯車アイコン）に移動します。
[クイック検索] ボックスに「External Client Apps」と入力します。
[外部クライアントアプリマネージャー] をクリックします。
[新しい外部クライアントアプリ] をクリックします。

基本情報を構成する

次の構成の詳細を入力します。
- 外部クライアントアプリ名: わかりやすい名前を入力します（例: Google SecOps Integration）。
- API Name: アプリ名に基づいて自動入力されます。デフォルトのままにするか、カスタマイズします。
- 連絡先メールアドレス: メールアドレスを入力します。
- Distribution State: [Local] を選択します。
[続行] をクリックします。

OAuth 設定を有効にする

[OAuth を有効にする] チェックボックスをオンにします。
次の構成の詳細を入力します。
- コールバック URL: 「https://login.salesforce.com/services/oauth2/callback」と入力します。

[OAuth スコープ] セクションで、次のスコープを [使用可能な OAuth スコープ] から [選択した OAuth スコープ] に移動します。
- API（api）でユーザーデータを管理する
- リクエストを随時自動的に実行する（refresh_token、offline_access）

JWT Bearer フローを有効にして証明書をアップロードする

[Flow Enablement] セクションで、[Enable JWT Bearer Flow] チェックボックスをオンにします。
[証明書のアップロード] セクションが表示されます。
[ファイルをアップロード] をクリックするか、証明書ファイルをドラッグ＆ドロップします。
先ほど生成した salesforce_certificate.crt ファイルを選択します。
アップロードが完了するまで待ちます。アップロードボタンの下に証明書のファイル名が表示されます。

OAuth ポリシーを構成する

[OAuth ポリシー] セクションで、次の操作を行います。
- 許可されているユーザー: [管理者が承認したユーザーは事前承認済み] を選択します。
[保存] をクリックします。

コンシューマキーを取得する

外部クライアントアプリを作成したら、Chronicle 構成用のコンシューマーキーを取得します。

[外部クライアントアプリマネージャー] で、アプリ名（例: Google SecOps Integration）をクリックします。
[設定] タブに移動します。
[OAuth 設定] セクションで、[コンシューマキーとシークレット] をクリックします。
[Consumer Key] の値をコピーして保存します。

コンシューマーキーの形式の例:

```
3MVG9IKcPoNiNVBIPjdw4z.pcfRjTFBp7xC8x9k4U8jZ0HlLQdPqX5bKjR8yNzQ9_YvY.8xD3F2W6nXb5YgNx
```

外部クライアントアプリを事前承認する

Salesforce では、JWT Bearer フローの事前承認が必要です。権限セットを使用して外部クライアントアプリをユーザーに割り当てることで、事前承認を行います。

権限セットを作成する

[設定] > [ユーザー] > [権限セット] に移動します。
[New] をクリックします。
次の構成の詳細を入力します。
- ラベル: Chronicle Integration Users（例）と入力します。
- API Name: ラベルに基づいて自動入力されます。
[保存] をクリックします。

外部クライアントアプリに権限セットを割り当てる

[設定] > [外部クライアントアプリマネージャ] に移動します。
外部クライアントアプリ（Google SecOps Integration など）をクリックします。
[ポリシー] タブをクリックします。
[アプリポリシー] セクションの [権限セットを選択] で、次の操作を行います。
1. 権限セット（Chronicle Integration Users など）を [使用可能な権限セット] から [選択された権限セット] に移動します。
[保存] をクリックします。

ユーザーに権限セットを割り当てる

権限セットの詳細ページで、[割り当てを管理] をクリックします。
[割り当てを追加] をクリックします。
Chronicle の統合に使用するユーザーアカウント（integration@acme.com など）の横にあるチェックボックスをオンにします。
[割り当て] をクリックします。
[完了] をクリックします。

Salesforce のログを取り込むように Google SecOps でフィードを構成する

[SIEM 設定] > [フィード] に移動します。
[Add New Feed] をクリックします。
次のページで [単一フィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Salesforce EventLogFile）。
[ソースタイプ] として [サードパーティ API] を選択します。
[ログタイプ] として [SALESFORCE] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- API Hostname: Salesforce インスタンスのホスト名（例: acme.my.salesforce.com）を入力します。

* **OAuth JWT Endpoint**: Enter the OAuth token endpoint URL:
    - Production orgs: `https://login.salesforce.com/services/oauth2/token`
    - Sandbox orgs: `https://test.salesforce.com/services/oauth2/token`
    - My Domain: `https://acme.my.salesforce.com/services/oauth2/token`
* **JWT Claims Issuer**: Enter the Consumer Key from the External Client App.
* **JWT Claims Subject**: Enter the Salesforce username of the pre-authorized user (for example, `integration@acme.com`).
* **JWT Claims Audience**: Enter the authorization server URL:
    - Production orgs: `https://login.salesforce.com`
    - Sandbox orgs: `https://test.salesforce.com`
    - My Domain: `https://acme.my.salesforce.com`
* **RSA Private Key**: Paste the complete private key contents including `-----BEGIN PRIVATE KEY-----` and `-----END PRIVATE KEY-----` markers.

秘密鍵のコンテンツを取得するには:

```bash
cat salesforce_private.key
```

ヘッダー行とフッター行を含む出力全体をコピーします。

* **Asset namespace**: The [asset namespace](/chronicle/docs/investigation/asset-namespaces).
* **Ingestion labels**: The label to be applied to the events from this feed.

[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

Salesforce インスタンスタイプの参照

OAuth JWT エンドポイントとオーディエンスの値は、Salesforce インスタンスのタイプによって異なります。

| Instance Type       | OAuth JWT Endpoint                                      | JWT Claims Audience              | API Hostname Format                    |
| ------------------- | ------------------------------------------------------- | -------------------------------- | -------------------------------------- |
| **Production**      | `https://login.salesforce.com/services/oauth2/token`    | `https://login.salesforce.com`   | `company.my.salesforce.com`            |
| **Sandbox**         | `https://test.salesforce.com/services/oauth2/token`     | `https://test.salesforce.com`    | `company--sandbox.sandbox.my.salesforce.com` |
| **My Domain**       | `https://domain.my.salesforce.com/services/oauth2/token`| `https://domain.my.salesforce.com` | `domain.my.salesforce.com`           |

Note: "My Domain" is recommended for production deployments. "My Domain" provides a custom, branded login URL and is required for certain Salesforce features.

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`Account.Name`	`target.resource.name`	未加工ログの `Account.Name` の値。
`AccountId`	`target.resource.id`	未加工ログの `AccountId` の値。
`Action`	`security_result.description`	未加工ログの `Action` の値。
`AdditionalInfo`	-	IDM オブジェクトにはマッピングされません。
`ApiType`	`target.application`	未加工ログの `ApiType` の値。
`ApiVersion`	-	IDM オブジェクトにはマッピングされません。
`Application`	`principal.application`	未加工ログの `Application` の値。LoginAsEvent の場合は「Browser」、LoginEvent の場合は「Integration JWT Token」、objecttype が LoginHistory の LoginHistory の場合は「SfdcSiqActivityPlatform」、ApiEvent の場合は「N/A」、LoginAsEventStream の場合は「Browser」。
`attributes.url`	`target.url`	未加工ログの `attributes.url` の値、または未加工ログのさまざまなイベントタイプの特定の URL。
`attributes.type`	`metadata.product_event_type`	未加工ログの `attributes.type` の値。
`AuthSessionId`	`network.session_id`	未加工ログの `AuthSessionId` の値。
`Browser`	`principal.resource.name`	未加工ログの `Browser` の値。`Browser` が未加工ログで使用できず、`Application` が「Insights」の場合は「Unknown」。`ApiType` が「SOAP Partner」の LoginHistory の場合は「Java (Salesforce.com)」。`Application` が「SfdcSiqActivityPlatform」の LoginHistory の場合は「Unknown」。LoginAsEventStream の場合は data.properties.Browser.str。
`Case.Subject`	`target.resource.name`	未加工ログの `Case.Subject` の値。
`CaseId`	`target.resource.id`	未加工ログの `CaseId` の値。
`cat`	`metadata.product_event_type`	未加工ログの `cat` の値。
`City`	`principal.location.city`	未加工ログの `City` の値。LoginHistory の場合は `LoginGeo.City` の値。
`Client`	`principal.labels`	未加工ログの `Client` の値。ラベルとして書式設定されます。
`CLIENT_IP`	`principal.ip`、`principal.asset.ip`	未加工ログの `CLIENT_IP` の値。
`ClientVersion`	-	IDM オブジェクトにはマッピングされません。
`CipherSuite`	`network.tls.cipher`	未加工ログの `CipherSuite` の値。
`ColumnHeaders`	`principal.labels`	未加工ログの `ColumnHeaders` の値。ラベルとして書式設定されます。
`ConnectedAppId`	`principal.labels`	未加工ログの `ConnectedAppId` の値。ラベルとして書式設定されます。
`Contact.Name`	`target.resource.name`	未加工ログの `Contact.Name` の値。
`ContactId`	`target.resource.id`	未加工ログの `ContactId` の値。
`Country`	`principal.location.country_or_region`	未加工ログの `Country` の値、または LoginHistory の `LoginGeo.Country`。
`CreatedByContext`	`principal.user.userid`	未加工ログの `CreatedByContext` の値。
`CreatedById`	`principal.resource.attribute.labels`	未加工ログの `CreatedById` の値。ラベルとして書式設定されます。
`CreatedDate`	`metadata.collected_timestamp`	未加工ログの `CreatedDate` の値。検出されない場合は現在のタイムスタンプ。
`CPU_TIME`	`target.resource.attribute.labels`	未加工ログの `CPU_TIME` の値。ラベルとして書式設定されます。
`data`	-	個別に抽出およびマッピングされるさまざまなフィールドが含まれています。
`DATASET_IDS`	`target.resource.name`	未加工ログの `DATASET_IDS` の値。
`DelegatedOrganizationId`	`target.administrative_domain`	未加工ログの `DelegatedOrganizationId` の値。
`DelegatedUsername`	`observer.user.userid`	未加工ログの `DelegatedUsername` の値。
`Description`	`metadata.description`	未加工ログの `Description` の値。
`DevicePlatform`	`principal.resource.type`	未加工ログの `DevicePlatform` の値。リソースタイプを抽出するために解析されます。
`Display`	`metadata.description`	未加工ログの `Display` の値。
`DOWNLOAD_FORMAT`	`target.resource.attribute.labels`	未加工ログの `DOWNLOAD_FORMAT` の値。ラベルとして書式設定されます。
`Duration`	`target.resource.attribute.labels`	未加工ログの `Duration` の値。ラベルとして書式設定されます。
`ENTITY_NAME`	`target.resource.attribute.labels`	未加工ログの `ENTITY_NAME` の値。ラベルとして書式設定されます。
`ErrorCode`	`security_result.action`	未加工ログの `ErrorCode` の値。ALLOW または BLOCK に変換されます。
`EventDate`	`timestamp`	元のログの `EventDate` の値。`data.properties.TIMESTAMP_DERIVED.str` が利用可能な場合は `data.properties.TIMESTAMP_DERIVED.str`、`data.properties.TIMESTAMP_DERIVED_FIRST.str` が利用可能な場合は `data.properties.TIMESTAMP_DERIVED_FIRST.str`、`@timestamp` が利用可能な場合は `@timestamp`、`created_date` が利用可能な場合は `created_date`、`timestamp` が利用可能な場合は `timestamp`、LoginHistory の場合は `LoginTime`。
`EventIdentifier`	`metadata.product_log_id`	未加工ログの `EventIdentifier` の値。
`EventType`	`metadata.product_event_type`	未加工ログの `EventType` の値。
`Id`	`principal.user.userid`	未加工ログの `Id` の値。SetupAuditTrail などのイベントの場合は `metadata.product_log_id`。
`IdentityUsed`	`principal.user.email_addresses`	未加工ログの `IdentityUsed` の値。
`Lead.Name`	`target.resource.name`	未加工ログの `Lead.Name` の値。
`LeadId`	`target.resource.id`	未加工ログの `LeadId` の値。
`LoginAsCategory`	-	IDM オブジェクトにはマッピングされません。
`LoginGeo.Country`	`principal.location.country_or_region`	未加工ログの `LoginGeo.Country` の値。
`LoginHistoryId`	-	IDM オブジェクトにはマッピングされません。
`LoginKey`	`principal.user.userid`、`network.session_id`	未加工ログの `LoginKey` の値、または SetupAuditTrail の `CreatedByContext`。
`LoginTime`	`timestamp`	未加工ログの `LoginTime` の値。
`LoginType`	`security_result.description`	未加工ログの `LoginType` の値。または、`ApiType` が「SOAP Partner」の LoginHistory の場合は「Other Apex API」、`Application` が「SfdcSiqActivityPlatform」の LoginHistory の場合は「Remote Access 2.0」。
`LoginUrl`	`target.url`、`principal.url`	未加工ログの `LoginUrl` の値。
`LogFile`	`principal.resource.attribute.labels`	未加工ログの `LogFile` の値。ラベルとして書式設定されます。
`LogFileContentType`	`principal.resource.attribute.labels`	未加工ログの `LogFileContentType` の値。ラベルとして書式設定されます。
`LogFileLength`	`principal.resource.attribute.labels`	未加工ログの `LogFileLength` の値。ラベルとして書式設定されます。
`Message`	-	IDM オブジェクトにはマッピングされません。
`METHOD`	`network.http.method`	未加工ログの `METHOD` の値。
`Name`	`target.application`	未加工ログの `Name` の値。
`NewValue`	-	`OldValue` と組み合わせて `security_result.summary` を生成します。
`NUMBER_FIELDS`	`target.resource.attribute.labels`	未加工ログの `NUMBER_FIELDS` の値。ラベルとして書式設定されます。
`OldValue`	-	`NewValue` と組み合わせて `security_result.summary` を生成します。
`Operation`	`security_result.description`、`target.resource.attribute.labels`	未加工ログの `Operation` の値、または SetupAuditTrail の `Display`。
`OperationStatus`	`security_result.action`	未加工ログの `OperationStatus` の値。ALLOW または BLOCK に変換されます。
`ORGANIZATION_ID`	`target.administrative_domain`	未加工ログの `ORGANIZATION_ID` の値。
`OsName`	`principal.platform`	未加工ログの `OsName` の値。
`OsVersion`	`principal.platform_version`	未加工ログの `OsVersion` の値。
`Platform`	`principal.platform`	未加工ログの `Platform` の値、LightningUriEventStream の場合は `data.properties.OsName.str` の値、LoginEventStream の場合は `data.properties.OsName.str` の値。
`QueriedEntities`	`target.resource.name`、`principal.labels`	未加工ログの `QueriedEntities` の値。UriEvent と ApiEvent の場合は `component_name`。
`Query`	`target.process.command_line`、`principal.labels`	未加工ログの `Query` の値。
`RecordId`	`target.resource.id`	未加工ログの `RecordId` の値。
`Records`	`principal.labels`	未加工ログの `Records` の値。ラベルとして書式設定されます。
`REQUEST_ID`	`metadata.product_log_id`、`target.resource.product_object_id`	未加工ログの `REQUEST_ID` の値。
`REQUEST_SIZE`	`network.sent_bytes`	未加工ログの `REQUEST_SIZE` の値。
`REQUEST_STATUS`	`security_result.summary`	未加工ログの `REQUEST_STATUS` の値。
`RESPONSE_SIZE`	`network.received_bytes`	未加工ログの `RESPONSE_SIZE` の値。
`RowsProcessed`	`target.resource.attribute.labels`	未加工ログの `RowsProcessed` の値。ラベルとして書式設定されます。
`RUN_TIME`	`target.resource.attribute.labels`	未加工ログの `RUN_TIME` の値。ラベルとして書式設定されます。
`SamlEntityUrl`	-	IDM オブジェクトにはマッピングされません。
`SdkAppType`	-	IDM オブジェクトにはマッピングされません。
`SdkAppVersion`	-	IDM オブジェクトにはマッピングされません。
`SdkVersion`	-	IDM オブジェクトにはマッピングされません。
`Section`	`security_result.summary`	未加工ログの `Section` の値。
`SessionKey`	`network.session_id`	未加工ログの `SessionKey` の値。
`SessionLevel`	`target.resource.attribute.labels`	未加工ログの `SessionLevel` の値。ラベルとして書式設定されます。
`SourceIp`	`principal.ip`、`principal.asset.ip`	未加工ログの `SourceIp` の値。
`src`	`principal.ip`、`principal.asset.ip`	未加工ログの `src` の値。
`SsoType`	`target.resource.attribute.labels`	未加工ログの `SsoType` の値。ラベルとして書式設定されます。
`STATUS_CODE`	`network.http.response_code`	未加工ログの `STATUS_CODE` の値。
`Status`	`security_result.action`、`security_result.action_details`	未加工ログの `Status` の値。ALLOW または BLOCK に変換されるか、LoginEventStream のアクションの詳細として使用されます。
`Subject`	`target.resource.name`	未加工ログの `Subject` の値。
`TargetUrl`	-	IDM オブジェクトにはマッピングされません。
`TIMESTAMP`	`metadata.collected_timestamp`	未加工ログの `TIMESTAMP` の値。
`TIMESTAMP_DERIVED`	`timestamp`	未加工ログの `TIMESTAMP_DERIVED` の値。
`TlsProtocol`	`network.tls.version_protocol`	未加工ログの `TlsProtocol` の値。
`URI`	`target.url`	未加工ログの `URI` の値。
`USER_AGENT`	`network.http.user_agent`	未加工ログの `USER_AGENT` の値。
`USER_ID`	`principal.user.userid`	未加工ログの `USER_ID` の値。
`USER_ID_DERIVED`	`principal.user.product_object_id`、`target.resource.attribute.labels`	未加工ログの `USER_ID_DERIVED` の値。
`UserId`	`principal.user.userid`	未加工ログの `UserId` の値。
`USER_TYPE`	`target.resource.attribute.labels`	未加工ログの `USER_TYPE` の値。ラベルとして書式設定されます。
`Username`	`principal.user.userid`、`principal.user.email_addresses`、`target.user.email_addresses`	未加工ログの `Username` の値、またはさまざまなイベントの `src_email`、または IdentityProviderEventStore の `IdentityUsed`、または Search と SearchAlert の `data.properties.Email.str`、または LoginAsEventStream と LoginEventStream の `data.properties.Username.str`。
`UserType`	`target.resource.attribute.labels`	未加工ログの `UserType` の値。ラベルとして書式設定されます。
`usrName`	`principal.user.userid`、`principal.user.email_addresses`、`target.user.email_addresses`	未加工ログの `usrName` の値。
`VerificationMethod`	`target.resource.attribute.labels`	未加工ログの `VerificationMethod` の値。ラベルとして書式設定されます。
パーサーロジック	`metadata.event_type`	`event_id` フィールドと `operation` フィールドに基づいて派生します。または、LoginEventStream の場合は「USER_LOGIN」、Logout と LogoutEvent の場合は「USER_LOGOUT」、さまざまなイベントの場合は「USER_RESOURCE_UPDATE_CONTENT」、PlatformEncryption の場合は「USER_RESOURCE_UPDATE_PERMISSIONS」、QueuedExecution、ApexExecution、LightningInteraction、LightningPerformance、LightningPageView、URI、RestApi、API、AuraRequest、ApexCallout、OneCommerceUsage、Sites、MetadataApiOperation、OneCommerceUsage、VisualforceRequest、Dashboard、Search、ListViewEvent の場合は「RESOURCE_READ」、UriEvent と TimeBasedWorkflow で `Operation` が「Create」または「INSERT」の場合は「RESOURCE_CREATION」、UriEvent と LightningUriEvent で `Operation` が「Update」の場合は「RESOURCE_WRITTEN」、UriEvent で `Operation` が「Delete」または「ROLLBACK」の場合は「RESOURCE_DELETION」、SetupAuditTrail と AuditTrail の場合は「USER_UNCATEGORIZED」、SetupAuditTrail で `operation` が「namedCredentialEncryptedFieldChange」の場合は「USER_CHANGE_PASSWORD」、ApiEventStream と LightningUriEventStream の場合は「GENERIC_EVENT」、またはネットワークとプリンシパルの有無に基づいて派生します。
パーサーロジック	`metadata.ingestion_labels`	イベントのソースを示すラベル（「Event Log File」、「Real-Time Event Monitoring」、「SetupAuditTrail」のいずれか）。
パーサーロジック	`metadata.log_type`	常に「SALESFORCE」に設定されます。
パーサーロジック	`metadata.product_name`	常に「SALESFORCE」に設定されます。
パーサーロジック	`metadata.vendor_name`	常に「SALESFORCE」に設定されます。
パーサーロジック	`metadata.url_back_to_product`	`LoginUrl`、`attributes.url`、`data.properties.PageUrl.str`、`data.properties.LoginUrl.str` などのさまざまなフィールドから構築されます。
パーサーロジック	`network.application_protocol`	`uri` フィールドが「http」で始まる場合、「HTTPS」に設定します。
パーサーロジック	`network.http.referral_url`	「Referer=」が含まれている場合は `user_agent` フィールドから抽出されます。
パーサーロジック	`network.http.response_code`	さまざまなイベントの `request_status` から派生します。
パーサーロジック	`network.http.user_agent`	未加工ログの `user_agent` の値、または ApiEventStream と LoginEventStream の `data.properties.UserAgent.str` の値、または `Sites` イベントの値、または `Sites` イベントの「User-Agent」。
パーサーロジック	`network.session_id`	未加工ログの `session_key` または `SESSION_KEY` の値。または、`LoginKey` や `AuthSessionId` などの他のフィールドから構築された値。
パーサーロジック	`network.tls.version`	未加工ログの `tls_protocol` の値。LoginEventStream の場合は `data.properties.TlsProtocol.str` の値。
パーサーロジック	`principal.application`	未加工のログの `application` の値。ログイン: 成功イベントの場合は「Salesforce for Outlook」、アプリケーションがないログイン: 成功イベントの場合は「Insights」、Lightning イベントの場合は `device_platform` から抽出された値。
パーサーロジック	`principal.asset.hostname`	`client_ip` がホスト名の場合の値。
パーサーロジック	`principal.asset.ip`	IP アドレスの場合の `client_ip`、`src_ip`、`SourceIp`、`CLIENT_IP` の値。
パーサーロジック	`principal.hostname`	`client_ip` がホスト名の場合の値。
パーサーロジック	`principal.ip`	IP アドレスの場合の `client_ip`、`src_ip`、`SourceIp`、`CLIENT_IP` の値。
パーサーロジック	`principal.labels`	`FederationIdentifier`、`ApiType`、`OrgId`、`channel` などのさまざまなフィールドから構築されたラベル。
パーサーロジック	`principal.location.city`	未加工ログの `geoip_src.city_name`、`City`、または `LoginGeo.City` の値。
パーサーロジック	`principal.location.country_or_region`	未加工ログの `geoip_src.country_name`、`Country`、`LoginGeo.Country`、`client_geo` の値。
パーサーロジック	`principal.location.region_latitude`	未加工ログの `data.properties.LoginLatitude.number` の値。
パーサーロジック	`principal.location.region_longitude`	未加工ログの `data.properties.LoginLongitude.number` の値。
パーサーロジック	`principal.location.state`	未加工ログの `geoip_src.region_name` の値。
パーサーロジック	`principal.platform`	未加工ログの `Platform`、`OsName`、`os_name` の値。または、`Platform` に「Windows」が含まれている LoginEventStream の場合は「WINDOWS」。
パーサーロジック	`principal.platform_version`	未加工ログの `OsVersion` または `os_version` の値。または、`Platform` に「Windows」が含まれている LoginEventStream の `Platform` から抽出された値。
パーサーロジック	`principal.resource.attribute.labels`	`CreatedById`、`ApiVersion`、`LogFile`、`LogFileContentType`、`LogFileLength` などのさまざまなフィールドから構築されたラベル。
パーサーロジック	`principal.resource.name`	未加工ログの `Browser` または `browser_name` の値。または、`ApiType` が「SOAP Partner」の LoginHistory の場合は「Java (Salesforce.com)」。
パーサーロジック	`principal.resource.type`	Lightning イベントの場合は `device_platform` から、LoginAsEvent と LoginAsEventStream の場合は「Browser」から抽出されます。
パーサーロジック	`principal.url`	未加工ログの `LoginUrl` の値。
パーサーロジック	`principal.user.email_addresses`	未加工ログの `usrName`、`Username`、`src_email`、`IdentityUsed`、`data.properties.Username.str`、`data.properties.Email.str` の値。
パーサーロジック	`principal.user.product_object_id`	未加工ログの `attrs.USER_ID_DERIVED` または `data.properties.USER_ID_DERIVED.str` の値。
パーサーロジック	`principal.user.userid`	未加工ログの `usrName`、`Username`、`user_id`、`UserId`、`USER_ID`、`Id`、`LoginKey`、`CreatedByContext`、`data.properties.Username.str`、`data.properties.USER_ID.str`、`data.properties.LoginKey.str` の値。
パーサーロジック	`security_result.action`	未加工ログの `Status`、`OperationStatus`、`ErrorCode`、`action`、`operation_status` から取得され、ALLOW または BLOCK に変換されます。
パーサーロジック	`security_result.action_details`	LoginEventStream の未加工ログの `Status` の値。
パーサーロジック	`security_result.description`	未加工ログの `LoginType`、`logintype`、`Operation`、`Action`、`Display` の値。
パーサーロジック	`security_result.rule_name`	未加工ログの `Policy` または `rule_name` の値。
パーサーロジック	`security_result.summary`	未加工ログの `NewValue`、`OldValue`、`REQUEST_STATUS`、`Section`、`forecastcategory` から構築されます。
パーサーロジック	`target.administrative_domain`	未加工ログの `ORGANIZATION_ID`、`DelegatedOrganizationId`、`organization_id`、`data.properties.OrgName.str` の値。
パーサーロジック	`target.application`	未加工ログの `Application`、`app_name`、`ApiType`、`Name`、`data.properties.Application.str` の値。
パーサーロジック	`target.asset.hostname`	`uri` フィールドから抽出された `target_hostname` の値。
パーサーロジック	`target.asset.ip`	未加工ログの `data.properties.CLIENT_IP.str` の値。
パーサーロジック	`target.asset_id`	`device_id` または `REQUEST_ID` から構築されます。
パーサーロジック	`target.file.mime_type`	未加工ログの `file_type` の値。
パーサーロジック	`target.file.size`	未加工ログの `size_bytes` の値。
パーサーロジック	`target.hostname`	`uri` フィールドから抽出された `target_hostname` の値。
パーサーロジック	`target.process.command_line`	未加工ログの `query_exec`、`Query`、または `data.properties.Query.str` の値。
パーサーロジック	`target.process.pid`	未加工ログの `job_id` の値。
パーサーロジック	`target.resource.attribute.labels`	`CPU_TIME`、`RUN_TIME`、`USER_TYPE`、`DB_TOTAL_TIME`、`MEDIA_TYPE`、`ROWS_PROCESSED`、`NUMBER_FIELDS`、`DB_BLOCKS`、`DB_CPU_TIME`、`ENTITY_NAME`、`EXCEPTION_MESSAGE`、`USER_ID_DERIVED`、`DOWNLOAD_FORMAT`、`USER_TYPE`、`CPU_TIME`、`RUN_TIME`、`WAVE_SESSION_ID`、`SessionLevel`、`verification_method`、`cpu_time`、`run_time`、`db_total_time`、`db_cpu_time`、`exec_time`、`callout_time`、`number_soql_queries`、`duration`、`user_type`、`entry_point`、`operation`、`session_level`、`rows_processed`、`sso_type`、`dashboard_type`、`Operation`、`SessionLevel` などのさまざまなフィールドから構築されたラベル。
パーサーロジック	`target.resource.id`	未加工ログの `REQUEST_ID`、`RecordId`、`caseid`、`leadid`、`contactid`、`opportunityid`、`accountid` の値。
パーサーロジック	`target.resource.name`	未加工ログの `QueriedEntities`、`resource_name`、`component_name`、`DATASET_IDS`、`field`、`StageName`、`Subject` の値。
パーサーロジック	`target.resource.product_object_id`	未加工ログの `REQUEST_ID` の値。
パーサーロジック	`target.resource.resource_type`	ApexCallout と PlatformEncryption の場合は「ACCESS_POLICY」、ApexTrigger の場合は「DATABASE」、ContentTransfer の場合は「FILE」、ApiEvent の場合は「TABLE」に設定します。
パーサーロジック	`target.resource.type`	QueuedExecution と ApexExecution の場合は「BATCH」、ContentTransfer の場合は「FILE」、ApexTrigger の場合は「DATABASE_TRIGGER」、対応する ID フィールドが存在する場合は「Case」、「Lead」、「Contact」、「Opportunity」、「Account」に設定します。
パーサーロジック	`target.url`	未加工ログの `LoginUrl`、`URI`、`attributes.url`、`login_url`、`uri` の値。
パーサーロジック	`target.user.email_addresses`	未加工ログの `Username`、`attrs.usrName`、または `email_address` の値。
パーサーロジック	`target.user.user_display_name`	未加工ログの `target_user_display_name`、`user_name`、または `username` の値。
パーサーロジック	`target.user.userid`	未加工ログの `target_user_name`、`data.properties.UserId.str`、または `data.properties.CreatedById.str` の値。
パーサーロジック	`extensions.auth.auth_details`	`Status` が「Success」でない場合は「ACTIVE」に設定し、それ以外の場合は「UNKNOWN_AUTHENTICATION_STATUS」に設定します。
パーサーロジック	`extensions.auth.mechanism`	`logintype` に「Remote」が含まれるログイン: 成功イベントとログインイベントの場合は「REMOTE」、LoginEventStream の場合は「USERNAME_PASSWORD」、`login_url` が存在するイベントの場合は「MECHANISM_OTHER」、ログイン: 成功イベントとログアウトイベントの場合は「AUTHTYPE_UNSPECIFIED」に設定します。
パーサーロジック	`extensions.auth.type`	LoginType が「SAML Sfdc Initiated SSO」の Login、Logout、LogoutEvent、LoginAs、IdentityProviderEventStore、LoginHistory、LoginAsEvent の場合は「SSO」に、LoginType が「Application」の Login: Success、Logout、LoginAsEvent の場合は「AUTHTYPE_UNSPECIFIED」に設定します。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。