在 Salesforce 中，了解用户行为、系统变更与安全事件的发生，是确保数据安全和业务连续性的关键。通过操作日志与系统记录，管理员可以追踪关键事件、识别异常操作，并辅助问题排查。本文将介绍如何在 Salesforce 查看和使用这些日志数据。

一、操作日志与系统记录的主要类型

1. 审计（Audit Trail）

审计功能提供关键配置信息的变更历史，例如权限设置、页面布局调整、工作流更改等。虽然审计本身不提供防护功能，但它是检测误操作或恶意更改的重要工具。

操作路径：

• Setup > Quick Find 输入“View Setup Audit Trail” > 点击进入。

内容包括：

• 操作人（用户）
• 操作时间戳
• 变更类型（创建、更新、删除）
• 受影响对象与具体字段

2. 控制中心日志（Audit Login Control Center）

控制中心显示的日志条目可帮助追踪登录行为和系统活动。

功能包括：

• 登录时间与 IP 地址；
• 操作类型（如导出、更新记录）；
• 具体操作对象与执行人；
• 可展开查看字段级变更详情。

3. 网络活动审计（Experience Cloud）

用于监控 Experience Cloud（社区站点）的使用行为，例如文件下载、页面浏览等。

权限要求：

• 必须拥有“Modify All Data”（修改所有数据）权限；
• 或具有“管理体验文件/提要”、“查看所有数据”等角色。

报告方式：

• 可在报告生成器中查看审计对象字段，如用户、时间、访问行为等。

二、导出系统日志到本地或外部系统

? 使用 Windows 事件查看器（适用于本地 Salesforce 连接器）

若 Salesforce 与本地服务集成（如 MuleSoft、Outlook 插件等），Windows 事件日志可用于辅助排查。

操作步骤：

• 打开“开始”菜单，输入 eventvwr；
• 展开“事件查看器 > Windows 日志”；
• 右键“应用程序” > 另存为“应用程序.evtx”；
• 同样导出“安全”、“系统”日志；
• 存档用于审计或技术支持排查。

? 转发审核日志至第三方日志服务（如 Splunk）

Salesforce 原生并不直接支持将日志发送至外部系统，但可使用 Audit Log REST API 实现集成。

实现建议：

• 搭建中间服务，定期调用 Salesforce 审核日志 API；
• 将获取的数据写入 Splunk、ELK 或其他日志管理平台；
• 实现统一安全日志审计与告警系统。

三、常见用途与使用建议