Impostare il log attività
Il log attività contiene eventi dettagliati per la distribuzione di Tableau che puoi utilizzare per la conformità, il monitoraggio e il controllo. È necessario completare i seguenti passaggi per utilizzare il log attività.
Prerequisiti
Per utilizzare lo strumento del log attività, devi disporre di tutti gli elementi seguenti:
Tableau Cloud con Advanced Management
Account Amazon Web Services (AWS)
- Per completare questa procedura, ti serve l’account AWS.
- Nella fase 3 ti servirà anche il numero di account AWS per Tableau (
061095916136
) per ricevere il log attività nel tuo bucket Amazon Simple Storage Service (S3).
Bucket Amazon Simple Storage Service (S3) per la ricezione dei dati
Creerai un bucket Amazon S3 come parte del processo di configurazione. Amazon S3 è attualmente l’unica opzione di consegna dei dati supportata.
Devi creare il bucket Amazon S3 nella stessa regione AWS in cui il tuo sito Tableau Cloud è ospitato. Per ulteriori informazioni sulle posizioni dei dati, vedere Sicurezza nel cloud(Il collegamento viene aperto in una nuova finestra) e Indirizzi IP di Tableau Cloud per l’autorizzazione del provider di dati(Il collegamento viene aperto in una nuova finestra).
Importante: i pod nella regione Europa - Irlanda vengono spostati nella regione Europa - Germania nell'ambito della migrazione di Tableau Cloud verso Hyperforce. Se il tuo sito risiede in un pod Europa - Irlanda, dovrai riconfigurare il log attività per utilizzare un bucket AWS S3 nella nuova regione, Europa - Germania. Per maggiori informazioni, consulta Cambiamento della regione AWS per i siti nei pod Europa-Irlanda riportato di seguito.
Chiave AWS - Chiave KMS (Key Management Service) valida per una singola regione per il bucket Amazon S3 creata durante la configurazione.
Fase 1. Creare un account AWS
Se non disponi già di un account Amazon Web Services (AWS), puoi registrarti per un account AWS(Il collegamento viene aperto in una nuova finestra) sul sito Web di AWS.
Crea un bucket Amazon S3 per ricevere i tuoi dati dei log. Per maggiori informazioni, consulta Creare un bucket(Il collegamento viene aperto in una nuova finestra) sul sito Web di AWS.
Configura il bucket Amazon S3 con le seguenti impostazioni:
In Proprietà oggetto, seleziona ACL disabilitati (consigliato). Ciò garantisce che il proprietario del bucket sia il proprietario di tutti gli oggetti scritti su di esso.
In Controllo delle versioni del bucket, seleziona Abilita. Il controllo delle versioni del bucket deve essere abilitato per replicare gli oggetti.
In Crittografia predefinita, seleziona Abilita.
Scegli AWS Key Management Service (SSE-KMS).
Scegli Inserisci l’ARN della chiave AWS KMS.
Fai clic sul pulsante Crea chiave visualizzato per creare una nuova chiave AWS Key Management Service (KMS).
Nota: le chiavi KMS per più regioni non sono supportate.
Seleziona il tipo Chiave simmetrica e Crittografa e decrittografa l’utilizzo della chiave .
Assegna un nome alla chiave con un alias, quindi fai clic fino alla pagina Verifica.
Aggiungi la seguente istruzione all’elenco delle istruzioni all’interno del criterio della chiave, per consentire a Tableau di accedere alla crittografia degli oggetti nel bucket S3.
Nota: questa istruzione consente al ruolo IAM di Tableau di crittografare gli oggetti inseriti nel bucket Amazon S3. "kms:GenerateDataKey" viene utilizzato per generare una chiave dati per crittografare le repliche di oggetti. "kms:Encrypt" viene utilizzato per crittografare le repliche di oggetti create nel bucket S3 di destinazione. "Risorsa": "*" concede l’autorizzazione per la chiave KMS solo al ruolo di replica e non consente al ruolo di elevare le proprie autorizzazioni. Per ulteriori informazioni, consulta Protezione dei dati utilizzando la crittografia lato server con AWS Key Management Service (SSE-KMS)(Il collegamento viene aperto in una nuova finestra) sul sito Web di AWS.
{
"Sid": "AllowTableauS3ReplicationSourceRoleToUseTheKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::061095916136:role/prod-replication-rule-role"
},
"Action": [
"kms:GenerateDataKey",
"kms:Encrypt"
],
"Resource": "*"
}
Fai clic su Fine per creare la chiave KMS.
Fai clic su Crea bucket per creare il bucket Amazon S3.
Aggiorna le autorizzazioni sul criterio del bucket Amazon S3.
Apri il bucket Amazon S3 e fai clic sulla scheda Autorizzazioni.
Individua la sezione relativa al criterio del bucket e fai clic su Modifica.
Aggiungi quanto segue all’elenco delle istruzioni nel criterio del bucket. Sostituisci S3-BUCKET-NAME con il nome del bucket.
Nota: questa istruzione consente al ruolo IAM di Tableau di replicare gli oggetti nel bucket. Usando "*" e "<path>/*" viene concesso l’accesso a tutti i prefissi nel bucket e nel percorso specificati nel bucket, rispettivamente. Le autorizzazioni "s3:ReplicateObject" e "s3:ReplicateDelete" sono le autorizzazioni minime richieste per replicare correttamente gli oggetti ed eliminare gli indicatori. Consulta Concessione di autorizzazioni quando i bucket di origine e di destinazione sono di proprietà di Account AWS diversi(Il collegamento viene aperto in una nuova finestra) sul sito Web di AWS.
Facoltativo. Se il tuo bucket di destinazione dispone di un criterio che limita l’accesso tramite un endpoint VPC (Amazon Virtual Private Cloud), devi modificare il criterio del bucket oltre a TableauS3ReplicationRoleAccess che hai appena aggiunto. Per ulteriori informazioni, consulta How can I restrict access to my Amazon S3 bucket using specific VPC endpoints or IP addresses?(Il collegamento viene aperto in una nuova finestra) sul sito Web AWS.
Se il criterio del bucket corrente contiene una restrizione VPC come questa:
{
"Sid": "Restricted VPC Access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:",
"Resource": [
"arn:aws:s3:::<S3-BUCKET-NAME>",
"arn:aws:s3:::<S3-BUCKET-NAME>/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "vpc-<ID>"
}
}
}
Modifica l’elenco "Condizione" per includere quanto segue:
"StringNotLike": {
"aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]
}
Nota: devi utilizzare il RoleId "AROAQ4OMZWJUBZG3DRFW5" per il ruolo IAM di Tableau.
Il criterio modificato viene aggiornato per apparire in questo modo:
{
"Sid": "Restricted VPC Access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:",
"Resource": [
"arn:aws:s3:::<S3-BUCKET-NAME>",
"arn:aws:s3:::<S3-BUCKET-NAME>/*"
],
"Condition": {
"StringNotLike": {
"aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]
},
"StringNotEquals": {
"aws:SourceVpc": "vpc-<ID>"
}
}
}
Questo criterio consente esplicitamente al ruolo IAM di Tableau di eseguire ReplicateObject e ReplicateDelete ed esclude inoltre il ruolo dall’istruzione VPC deny esplicita esistente.
Fai clic su Salva modifiche.
{
"Sid": "TableauS3ReplicationRoleAccess",
"Effect": "Allow",
"Principal": {
"AWS":
"arn:aws:iam::061095916136:role/prod-replication-rule-role"
},
"Action": [
"s3:ReplicateObject",
"s3:ReplicateDelete"
],
"Resource": [
"arn:aws:s3:::S3-BUCKET-NAME",
"arn:aws:s3:::S3-BUCKET-NAME/*"
]
}
Tableau Cloud
Fase 3. ConfigurareAccedi al tuo sito Tableau.
Nella pagina Impostazioni seleziona la scheda Integrazioni.
Nella sezione Log attività , seleziona il pulsante Abilita .
Nella finestra di dialogo Configura connessione, immetti le seguenti informazioni:
Nella casella del numero di account AWS, immetti il numero di account AWS a 12 cifre. Questo è il numero di account AWS associato alla posizione del bucket Amazon S3.
Nella casella del nome del bucket S3, immetti il nome del bucket Amazon S3 dove verranno recapitati i file dei log di attività. Questo è il bucket Amazon S3 che hai creato nella Fase 2. Creare un bucket Amazon S3 e impostare le autorizzazioni. Deve essere un nome valido in base ai requisiti del nome del bucket AWS.
Nella casella ARN della chiave KMS, immetti l’Amazon Resource Name (ARN) della chiave KMS creato nella Fase 2. Creare un bucket Amazon S3 e impostare le autorizzazioni.Fase 2. Creare un bucket Amazon S3 e impostare le autorizzazioni. Il numero di account nell’ARN deve corrispondere al numero di account AWS fornito ed essere di formato valido (ad esempio arn:aws:kms:<region>:<account-id>:key/<key-id>).
Fai clic su Invia .
Nella colonna dello stato della connessione verrà visualizzato In corso mentre il sistema tenta di replicare un file di testo nel bucket Amazon S3 di destinazione per testare la connessione.
Dopo che il file è stato replicato correttamente nel bucket Amazon S3 di destinazione, la colonna dello stato della connessione indicherà Verifica in sospeso e visualizzerà un widget per inserire il "Contenuto file di test". Potrebbe essere necessario aggiornare la pagina per visualizzare gli aggiornamenti.
Verificare la replica dei file di sicurezza
Vai al bucket Amazon S3 di destinazione e trova la cartella che inizia con siteLuid (il resto del nome è l’identificatore univoco del sito).
Trova il file di testo denominato
SECURITY_VERIFICATION_FILE.txt
.Scarica e apri il file di testo.
Copia il contenuto del testo all’interno del file.
Torna alla pagina Impostazioni e incolla il contenuto del testo nel campo di input Contenuto del file di testo, quindi fai clic su Invia .
Se il contenuto inviato è corretto, lo stato della connessione cambia in Attivo. Il log attività ora è abilitato e i dati inizieranno a replicarsi nel bucket Amazon S3 di destinazione.
Se il contenuto inviato non è corretto, verrà visualizzato un messaggio di errore. Verifica che il contenuto sia stato copiato correttamente senza caratteri o spazi aggiuntivi.
Risoluzione dei problemi
Il file di verifica della sicurezza non viene visualizzato?
La visualizzazione del file nel bucket Amazon S3 di destinazione potrebbe richiedere fino a 15 minuti a causa delle limitazioni di Amazon S3.
Se lo stato della connessione dice "In corso", è ancora in corso il tentativo di replica del file. Per maggiori informazioni, consulta Risoluzione dei problemi nella replica(Il collegamento viene aperto in una nuova finestra) sul sito Web di AWS.
Uno stato di connessione Non riuscito significa che il file non è stato replicato correttamente.
Verifica che le autorizzazioni sul criterio del bucket Amazon S3 e sul criterio delle chiavi AWS Key Management Service (KMS) contengano le istruzioni appropriate. Per maggiori informazioni, consulta i seguenti argomenti sul sito Web di AWS:
- Risoluzione dei problemi nella replica(Il collegamento viene aperto in una nuova finestra)
- Configurazione della replica quando i bucket di origine e di destinazione sono di proprietà di account diversi(Il collegamento viene aperto in una nuova finestra)
- Ho configurato la replica tra i miei bucket, ma i nuovi oggetti non vengono replicati. Come posso risolvere questo problema?(Il collegamento viene aperto in una nuova finestra)
Altre impostazioni necessarie affinché i file di log raggiungano il bucket Amazon S3
Il bucket Amazon S3 ha il controllo delle versioni del bucket abilitato (in Proprietà > Controllo delle versioni del bucket ).
Il bucket Amazon S3 ha il blocco di tutti gli accessi pubblici abilitato (in Autorizzazioni > Blocca l’accesso pubblico (impostazioni del bucket) ).
Il bucket Amazon S3 dispone delle seguenti autorizzazioni ACL solo per il "proprietario del bucket" (in Autorizzazioni > Elenchi di controllo degli accessi (ACL)):
Oggetti: elenco, scrittura
Bucket ACL: lettura, scrittura
Il criterio di autorizzazione della chiave KMS contiene l’istruzione nella Fase 2. Creare un bucket Amazon S3 e impostare le autorizzazioni, fase 2. i. (in Proprietà > Crittografia predefinita, fare clic sull’ARN in ARN della chiave AWS KMS per accedere al criterio della chiave KMS).
Il bucket Amazon S3 ha la crittografia predefinita abilitata e la chiave del bucket abilitata (in Proprietà > Crittografia predefinita).
Il criterio delle autorizzazioni del bucket Amazon S3 (in Autorizzazioni > Criterio del bucket) corrisponde esattamente a quello nelle istruzioni. Assicurati di aver sostituito il valore di esempio "S3-BUCKET-NAME" con il bucket Amazon S3 appena creato.
Cambiamento della regione AWS per i siti nei pod Europa-Irlanda
Da agosto a dicembre 2024, i pod di Tableau Cloud migreranno a Salesforce Hyperforce(Il collegamento viene aperto in una nuova finestra). Nell'ambito della migrazione, i pod nella regione Europa-Irlanda vengono spostati nella regione Europa-Germania. Se il tuo sito risiede in un pod Europa - Irlanda, dovrai riconfigurare il log attività per utilizzare un bucket AWS S3 nella nuova regione, Europa - Germania.
Per maggiori informazioni sulla migrazione e la data di spostamento dei pod Europa - Irlanda, consulta l'articolo della Knowledge Base Tableau Cloud Migration to Hyperforce(Il collegamento viene aperto in una nuova finestra).