Konfigurera aktivitetsloggen
Aktivitetsloggen innehåller detaljerade händelser för Tableau-driftsättningen som du kan använda för regelefterlevnad, övervakning och granskning. Du måste slutföra följande steg för att kunna använda aktivitetsloggen.
Förutsättningar
Du måste ha följande för att kunna använda aktivitetsloggen:
Tableau Cloud med Advanced Management
AWS-konto (Amazon Web Services)
- Du måste ha ett eget AWS-konto för att slutföra de här stegen.
- Du måste också ha Tableaus AWS-kontonummer (
061095916136
) i steg 3 nedan för att få aktivitetsloggen i din Amazon S3-bucket (Simple Storage Service).
Amazon S3-bucket (Simple Storage Service) för att ta emot data
Du skapar en Amazon S3-bucket som en del av installationsprocessen. Amazon S3 är för närvarande det enda alternativet för dataleverans som stöds.
Du måste skapa Amazon S3-bucketen i samma AWS-region där din Tableau Cloud-plats finns. Mer information om dataplatser finns i Säkerhet i molnet(Länken öppnas i ett nytt fönster) och IP-adresser i Tableau Cloud för auktorisering av dataleverantörer(Länken öppnas i ett nytt fönster).
Viktigt: Datacenter i regionen Europa–Irland flyttar till regionen Europa–Tyskland som en del av Tableau Clouds migrering till Hyperforce. Om din plats finns i ett datacenter i Europa–Irland måste du konfigurera om aktivitetsloggen att använda en AWS S3-bucket i den nya regionen, Europa–Tyskland. Du hittar mer information i Ändrad AWS-region för platser i regionen Europa–Irland nedan.
Regionsbegränsad nyckel med tjänsten AWS Key Management (Key Management Service) för Amazon S3-bucketen som du skapade under installationen.
Steg 1. Skapa ett AWS-konto
Om du inte redan har ett AWS-konto (Amazon Web Services) kan du registrera dig för ett AWS-konto(Länken öppnas i ett nytt fönster) på AWS-webbplatsen.
Skapa en Amazon S3-bucket för att ta emot loggdata. Mer information finns i Creating a bucket(Länken öppnas i ett nytt fönster) (på engelska) på AWS-webbplatsen.
Konfigurera Amazon S3-bucketen med följande inställningar:
Under Object Ownership (Objektägarskap) väljer du ACLs disabled (Åtkomstkontrollistor inaktiverade) (rekommenderas). Detta säkerställer att bucket-ägaren är ägare till alla objekt som skrivs till den.
Under Granskningshistorik för bucket väljer du Aktivera. Granskningshistorik för bucket måste vara aktiverad för att replikera objekt.
Under Standardkryptering väljer du Aktivera.
Välj AWS Key Management Service (SSE-KMS).
Välj Ange AWS KMS-nyckel ARN.
Klicka på knappen Skapa nyckel som visas för att skapa en ny AWS KMS-nyckel (Key Management Service).
Obs! KMS-nycklar för flera regioner stöds inte.
Välj typen Symmetrisk nyckel och Kryptera och dekryptera nyckelanvändning.
Namnge nyckeln med ett alias och klicka sedan fram till sidan Granska.
Lägg till följande instruktion till listan Instruktioner i nyckelpolicyn för att ge Tableau åtkomst till kryptering av objekt i S3-bucketen.
Obs! Denna instruktion gör det möjligt för Tableau IAM-rollen att kryptera objekten som placeras i Amazon S3-bucketen. ”kms:GenerateDataKey” används för att generera en datanyckel för att kryptera objektrepliker. ”kms:Encrypt” används för att kryptera objektrepliker som skapats i S3-bucketen. ”Resource”: ”*” ger behörighet för KMS-nyckeln endast till replikeringsrollen och tillåter inte rollen att höja sina behörigheter. Mer information finns i Protecting data using server-side encryption with AWS Key Management Service (SSE-KMS)(Länken öppnas i ett nytt fönster) (på engelska) på AWS-webbplatsen.
{
"Sid": "AllowTableauS3ReplicationSourceRoleToUseTheKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::061095916136:role/prod-replication-rule-role"
},
"Action": [
"kms:GenerateDataKey",
"kms:Encrypt"
],
"Resource": "*"
}
Klicka på Slutför för att skapa KMS-nyckeln.
Klicka på Skapa bucket för att skapa Amazon S3-bucketen.
Uppdatera behörigheter i policyn för Amazon S3-bucketen.
Öppna Amazon S3-bucketen och klicka på fliken Behörigheter.
Leta upp avsnittet Bucket-policy och klicka på Redigera.
Lägg till följande till listan Instruktioner i bucket-policyn. Ersätt S3-BUCKET-NAME med namnet på denna bucket.
Obs! Denna instruktion gör det möjligt för Tableau IAM-rollen att replikera objekt i bucketen. Använd ”*” och ”<path> /*” för att ge åtkomst till alla prefix i den angivna bucketen och sökvägen i bucketen. Behörigheterna ”s3:ReplicateObject” och ”s3:ReplicateDelete” är de minsta behörigheterna som krävs för att kunna replikera objekt och ta bort markörer. Läs mer i Granting permissions when the source and destination buckets are owned by different AWS accounts(Länken öppnas i ett nytt fönster) (på engelska) på AWS-webbplatsen.
Valfritt. Om din mål-bucket har en policy som begränsar åtkomst via en Amazon Virtual Private Cloud (VPC)-slutpunkt måste dess policy ändras utöver TableauS3ReplicationRoleAccess som du just lade till. Läs mer i Hur kan jag begränsa åtkomsten till min Amazon S3-bucket med specifika VPC-slutpunkter eller IP-adresser?(Länken öppnas i ett nytt fönster) på AWS-webbplatsen.
Om den aktuella bucket-policyn innehåller en VPC-begränsning såsom följer:
{
"Sid": "Restricted VPC Access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:",
"Resource": [
"arn:aws:s3:::<S3-BUCKET-NAME>",
"arn:aws:s3:::<S3-BUCKET-NAME>/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "vpc-<ID>"
}
}
}
Redigera sedan listan ”villkor” till att innehålla följande:
"StringNotLike": {
"aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]
}
Obs! Du måste använda roll-ID:t ”AROAQ4OMZWJUBZG3DRFW5” för Tableau IAM-rollen.
Den redigerade policyn bör se ut såsom följer:
{
"Sid": "Restricted VPC Access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:",
"Resource": [
"arn:aws:s3:::<S3-BUCKET-NAME>",
"arn:aws:s3:::<S3-BUCKET-NAME>/*"
],
"Condition": {
"StringNotLike": {
"aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]
},
"StringNotEquals": {
"aws:SourceVpc": "vpc-<ID>"
}
}
}
Den här policyn tillåter uttryckligen att Tableau IAM-rollen använder ReplicateObject och ReplicateDelete samt utesluter även rollen från den befintliga explicita VPC deny-satsen.
Klicka på Spara ändringar.
{
"Sid": "TableauS3ReplicationRoleAccess",
"Effect": "Allow",
"Principal": {
"AWS":
"arn:aws:iam::061095916136:role/prod-replication-rule-role"
},
"Action": [
"s3:ReplicateObject",
"s3:ReplicateDelete"
],
"Resource": [
"arn:aws:s3:::S3-BUCKET-NAME",
"arn:aws:s3:::S3-BUCKET-NAME/*"
]
}
Tableau Cloud
Steg 3. KonfigureraNavigera till din Tableau-plats.
På sidan Inställningar väljer du fliken Integrationer.
I avsnittet Aktivitetslogg väljer du knappen Aktivera.
I dialogrutan Konfigurera anslutning anger du följande information:
I rutan AWS-kontonummer ska du ange det tolvsiffriga AWS-kontonumret. Detta är det AWS-kontonummer som är kopplat till platsen för Amazon S3-bucketen.
I rutan S3-bucketnamn anger du namnet på den Amazon S3-bucket dit aktivitetsloggens filer skickas. Det här är den Amazon S3-bucket som skapades i Steg 2. Skapa en Amazon S3-bucket och konfigurera behörigheter.Steg 2. Skapa en Amazon S3-bucket och konfigurera behörigheter. Detta måste vara ett giltigt namn enligt kraven på AWS-bucketnamn.
I rutan KMS-nyckel ARN ska du ange KMS-nyckelns Amazon Resource Name (ARN) som skapades i Steg 2. Skapa en Amazon S3-bucket och konfigurera behörigheter.Steg 2. Skapa en Amazon S3-bucket och konfigurera behörigheter. Kontonumret i ARN måste matcha det angivna AWS-kontonumret och ha ett giltigt format (dvs. arn:aws:kms:<region>:<account-id>:key/<key-id>).
Klicka på Skicka.
I kolumnen för anslutningsstatus visas Pågår när systemet försöker replikera en textfil till Amazon S3-bucketen för att testa anslutningen.
När filen har replikerats till Amazon S3-bucketen visas Väntar på verifiering i kolumnen för anslutningsstatus samt en widget för inmatning av ”Testfilinnehåll”. Du kan behöva uppdatera sidan för att se uppdateringar.
Verifiera replikering av säkerhetsfil
Gå till Amazon S3-bucketen och leta upp mappen som börjar med siteLuid (resten av namnet är platsens unika identifierare).
Leta upp textfilen med namnet
SECURITY_VERIFICATION_FILE.txt
.Ladda ner och öppna textfilen.
Kopiera textinnehållet i filen.
Gå tillbaka till sidan Inställningar och klistra in textinnehållet i inmatningsfältet Textfilens innehåll och klicka sedan på Skicka.
Om det inskickade innehållet är korrekt ändras anslutningsstatusen till Aktiv. Aktivitetsloggen är nu aktiverad och data kommer att börja replikeras till Amazon S3-bucketen.
Om det inskickade innehållet är felaktigt visas ett felmeddelande. Kontrollera att innehållet har kopierats korrekt utan extra tecken eller blanksteg.
Felsökning
Visas inte säkerhetsverifieringsfilen?
Det kan ta upp till 15 minuter innan filen visas i Amazon S3-bucketen på grund av Amazon S3-begränsningar.
Om anslutningsstatusen är ”Pågående” försöker filen fortfarande replikeras. Mer information finns i Troubleshooting replication(Länken öppnas i ett nytt fönster) (på engelska) på AWS-webbplatsen.
Anslutningsstatusen Misslyckades betyder att filen inte kunde replikeras.
Bekräfta att behörigheterna i policyn för Amazon S3-bucketen och AWS KMS-nyckeln (Key Management Service) innehåller lämpliga instruktioner. Mer information finns i följande avsnitt på AWS-webbplatsen:
- Troubleshooting replication(Länken öppnas i ett nytt fönster)
- Configuring replication when source and destination buckets are owned by different accounts(Länken öppnas i ett nytt fönster)
- I set up replication between my buckets, but new objects aren’t replicating. How can I troubleshoot this?(Länken öppnas i ett nytt fönster)
Andra inställningar som krävs för att loggfiler ska nå Amazon S3-bucketen
Amazon S3-buckete har Bucket-granskningshistorik aktiverad (under Egenskaper > Bucket-granskningshistorik ).
Amazon S3-bucketen har Blockera all offentlig åtkomst aktiverad (under Behörigheter > Blockera offentlig åtkomst (bucket-inställningar) ).
Amazon S3-bucketen har följande ACL-behörigheter endast för ”Bucket-ägare” (under Behörigheter > Kontrollista för åtkomst (ACL)):
Objekt: lista, skriva
Bucket ACL: läsa, skriva
Behörighetspolicyn för KMS-nycklar innehåller satsen i Steg 2. Skapa en Amazon S3-bucket och konfigurera behörigheter i steg 2 (under Egenskaper > Standardkryptering och klicka på ARN under AWS KMS-nyckel ARN för att öppna KMS-nyckelpolicyn).
Amazon S3-bucketen har standardkryptering aktiverad och bucket-nyckeln aktiverad (under Egenskaper > Standardkryptering).
Behörighetspolicyn för Amazon S3-bucketen (under Behörigheter > Bucket-policy) matchar den som finns i instruktionerna. Se till att du har ersatt exempelvärdet ”S3-BUCKET-NAME” med den Amazon S3-bucket som precis skapades.
Ändrad AWS-region för platser i regionen Europa–Irland
Från augusti till december 2024 migreras Tableau Cloud till Salesforces Hyperforce(Länken öppnas i ett nytt fönster), ett datacenter i taget. Som en del av migreringen flyttar datacenter i regionen Europa–Irland till regionen Europa–Tyskland. Om din plats finns i ett datacenter i Europa–Irland måste du konfigurera om aktivitetsloggen att använda en AWS S3-bucket i den nya regionen, Europa–Tyskland.
Mer information om migreringen och när datacenter i regionen Europa–Irland flyttar finns i kunskapsartikeln Tableau Cloud-migration till Hyperforce(Länken öppnas i ett nytt fönster).