Instalación y configuración del servidor de registros

El servidor de registros se puede configurar en servidores individuales Linux o Windows, o alojarse en el dispositivo conector de Citrix y aprovechar las actualizaciones permanentes. Consulte la sección correspondiente para conocer los pasos de instalación y configuración de cada opción.

Nota para la instalación

• Para mejorar la seguridad, se recomienda HTTPS en la implementación.

• Asegúrese de que el puerto seleccionado no esté ya en uso.

• Evite usar puertos privilegiados (0-1023), ya que requieren permisos de administrador o de nivel de sistema.

• Verifique que las reglas del firewall permitan el tráfico en el puerto elegido.

• Utilice un número de puerto dentro del rango válido (0-65535), pero evite los puertos comúnmente utilizados por los servicios del sistema para evitar conflictos.

• Si utiliza el dispositivo conector de Citrix para implementar el servidor de registros, asegúrese de que solo el puerto 443 esté configurado.

• Los números de puerto utilizados en los ejemplos (8080 para HTTP y 8443 para HTTPS) son solo de referencia. No es necesario que utilice estos puertos exactos. Seleccione los números de puerto adecuados según su entorno y siga las directrices de instalación descritas anteriormente al configurar el servidor de registros AOT.

Instalación del servidor de registros mediante el dispositivo conector de Citrix

El servidor de registros se puede implementar dentro del dispositivo conector de Citrix. Este enfoque elimina la necesidad de implementar y administrar una VM de host y de descargar imágenes o ejecutar comandos de contenedor manualmente. El servidor de registros se incorpora automáticamente durante la actualización del dispositivo conector y se mantiene actualizado mediante las actualizaciones continuas del conector, lo que garantiza que siempre tenga la última versión. Para obtener más información, consulte Actualizaciones del dispositivo conector

Pasos para implementar el servidor de registros mediante el dispositivo conector de Citrix

1. Si su entorno aún no tiene un dispositivo conector, implemente el dispositivo en su hipervisor o desde su mercado de nube pública. El dispositivo conector de Citrix mínimo requerido es 11.4.1.444. Después de la importación, registre el dispositivo con Citrix Cloud. Para obtener más información, consulte Obtener el dispositivo conector

2. De forma predeterminada, el dispositivo conector tiene 2 vCPU y 4 GB de memoria; aumente los recursos a al menos 4 vCPU y 16 GB de memoria para gestionar las solicitudes del servidor de registros.

3. Cloud Monitor recupera los registros de AOT a través del servicio Monitor Connector que se ejecuta en un Cloud Connector de Windows compatible en la ubicación de recursos. Si el servidor de registros se implementa en Citrix Connector Appliance, también debe haber un Cloud Connector de Windows compatible en la misma ubicación de recursos. El Connector Appliance por sí solo no es suficiente para que Cloud Monitor recupere los seguimientos de AOT. El Cloud Connector debe ejecutar la versión 6.141.0.13739 (o 4.420.0.13739) o posterior. Las versiones anteriores harán que la llamada a la API GetAotTraces falle, lo que resultará en un error HTTP 500 en Monitor.

4. El Connector Appliance proporciona un certificado autofirmado que se entrega a un explorador que se conecta a la página de administración del Connector Appliance. Para poder conectarse al servidor de registros a través de HTTPS, puede reemplazar este certificado autofirmado por uno propio firmado por su organización o generado mediante la cadena de confianza de su organización. Para obtener más detalles, consulte Administrar certificados o Reemplazar certificado de servidor.

5. Una vez completada la actualización, inicie sesión en la interfaz de usuario de Connector Appliance en https://<connector-appliance-FQDN-or-IP>/?enable=logserver, asegúrese de tener “?enable=logserver” para poder ver la interfaz de usuario del servidor de registros. La nueva ficha Servidor de registros ahora muestra las opciones de almacenamiento y administración de claves de autenticación.

   

6. El disco de arranque del dispositivo conector tiene una capacidad de 20 GB. Para admitir un almacenamiento de registros eficiente en el servidor de registros, debe agregar otro disco virtual al dispositivo conector mediante su hipervisor o plataforma de administración en la nube. Este disco adicional debe tener suficiente espacio para satisfacer sus necesidades de almacenamiento de registros (como se explica en la sección anterior). La siguiente captura de pantalla de XenServer muestra un ejemplo de un dispositivo conector con un disco adicional configurado.

   

   Nota:

   Un requisito conocido para VMware ESXi: Los usuarios deben conectar el disco de datos adicional a un controlador SCSI diferente al utilizado por el disco raíz.

7. Después de agregar el disco de clave, la interfaz de usuario del servidor de registros lo detectará automáticamente, lo que le permitirá formatearlo y montarlo en el contenedor del servidor de registros del dispositivo conector.

   

8. Una vez que haga clic en el botón “Adjuntar disco”, el disco se montará en el contenedor del servidor de registros.

   

9. La página principal mostrará el tamaño del disco junto con información sobre cuánto espacio se utiliza y cuánto queda.

   

10. Una vez conectado el disco, verifique que el servidor de registros esté en ejecución llamando al punto final de ping: https://<connector-appliance-FQDN>/ctxlogserver/Ping. Una respuesta de pong confirma que el servidor de registros se ha iniciado correctamente.

11. Haga clic en «Generar clave», introduzca el nombre del rol y, a continuación, copie o descargue la clave de autenticación. La clave no se volverá a mostrar después de cerrar la ventana.

    

    

Instalación en Linux

1. Descargue la imagen del contenedor de Docker del servidor de registros de Descargas de Citrix.
2. Coloque los archivos descargados en el mismo directorio.
3. Ejecute el instalador en el directorio con el terminal (Linux) o el símbolo del sistema (Windows) y siga las instrucciones:

chmod +x ./InstallLogServer

#Install with https mode with port 8443 with default path
./InstallLogServer --https --cert </path/your_private_cert_key.pfx> --port 8443

#Install with http mode, with port 8080 with default path
./InstallLogServer --port 8080

#Command to change the config path and data path of your choice with https mode
./InstallLogServer --https --cert </path/your_private_cert_key.pfx> --port 8443 --config /Path/LogServer/Config --database /Path/LogServer/Data

#Command to change the config path and data path of your choice with http mode
./InstallLogServer --port 8080 --config /Path/LogServer/Config --database /Path/LogServer/Data

#To support CWA client uploading AOT logs, some additional parameters need to be added after the install log server command.
--sta-server http://STA_SERVER_FQDN:port --log-server LOG_SERVER_FQDN:PORT
<!--NeedCopy-->

Donde,

• STA_SERVER_FQDN es el nombre de host o la dirección IP del servidor STA (en la instalación local, el servidor STA suele instalarse junto con DDC).

• LOG_SERVER_FQDN y PORT son el nombre de host del propio servidor de registros y el puerto especificado (8080, 8443 o el valor de –port en el parámetro de instalación).

• El certificado del servidor de registros your_private_cert_key.pfx debe ser de confianza para otros componentes de Citrix, donde el cliente AOT utilizará la conexión TLS para cargar los registros.

La dirección STA_SERVER permite al servidor de registros emitir tickets STA de reconexión a los clientes de la aplicación Citrix Workspace (CWA) cuando StoreFront no puede proporcionarlos, por ejemplo, después de un tiempo de espera de la sesión. Esto permite a los clientes de CWA restablecer la conexión directamente con el servidor de registros si se produce una interrupción de la conexión.

La dirección LOG_SERVER se utiliza cuando el servidor de registros solicita un ticket STA al servidor STA configurado. El servidor STA devuelve un ticket que autoriza las conexiones específicamente al punto final del servidor de registros.

Estos parámetros son opcionales si los clientes de CWA no necesitan tickets STA de reconexión o se conectan directamente a LogServer sin una puerta de enlace.

Postinstalación en Linux

Después de la instalación, se generan algunos archivos de script útiles:

# In Linux, sh scripts will be generated
DownloadLogsByTime.sh
DownloadLogsByWords.sh
GetAuthKey.sh
ListMachines.sh
StartLogServer.sh
<!--NeedCopy-->

Utilice ./StartLogServer.sh to start the server. Check your configpath/weblogs.txt para confirmar que LogServer se ha iniciado correctamente.

Si LogServer se inicia correctamente, podemos ver el siguiente mensaje en el archivo weblogs. El puerto 5000 es utilizado por LogServer internamente en contenedores Docker con el protocolo HTTP o HTTPS seleccionado.

Now listening on https://[::]:5000
<!--NeedCopy-->

Si el servidor de registros se instaló en modo HTTP, los registros correctos deberían mostrar lo siguiente:

Now listening on http://[::]:5000
<!--NeedCopy-->

Si LogServer utiliza HTTPS, asegúrese de que su certificado sea de confianza en todas las máquinas que cargan registros AOT.

Nota:

• El puerto configurado en el paso de instalación (8080 o 8443 o cualquier puerto especificado) debe usarse al configurar la URL de LogServer en DDC, Storefront, VDA, etc.

• Normalmente, tarda entre 30 y 60 segundos en iniciarse en Linux.

Instalación en Windows

1. Descargue la imagen del contenedor Docker del servidor de registros desde Descargas de Citrix.
2. Coloque los archivos descargados en el mismo directorio.
3. Ejecute el instalador en el directorio con el terminal (Linux) o el símbolo del sistema (Windows) y siga las instrucciones:

Paso 1

Instale Docker Desktop (puede requerir suscripción) para Windows en la VM del servidor de registros. Siga los pasos a continuación para asegurarse de que Docker Desktop se instale y se inicie correctamente en sistemas Windows que dependen de WSL 2.

1. Establezca el límite de memoria >= 12 GB en la configuración de Docker Desktop.

2. Docker Desktop requiere las siguientes características de Windows; asegúrese de verificar que estas características estén habilitadas.

   • Hyper-V
   • Plataforma de máquina virtual
   • Subsistema de Windows para Linux (WSL)

3. Si falta alguna característica, instálela y reinicie la VM para que surta efecto.

4. Después de que el sistema se reinicie, abra PowerShell (Ejecutar como administrador) y actualice WSL ejecutando el comando wsl --update

5. Docker Desktop requiere WSL 2. Configúrelo como predeterminado ejecutando el comando wsl --set-default-version 2

6. Una vez que WSL esté actualizado y las características de Windows requeridas estén habilitadas, el motor de Docker Desktop debería iniciarse correctamente.

Paso 2

Ejecute los comandos siguientes para continuar con la instalación.

Nota:

La ubicación predeterminada de las carpetas de Configuración y Base de datos (Datos) se crea en C:\Users<username>\LogServer. Puede cambiarlas con los comandos siguientes

#Install with https mode with port 8443 with default path
InstallLogServer.exe --https --cert <c:\path\cert.pfx> --port 8443

#Install with http mode, with port 8080 with default path
InstallLogServer.exe --port 8080

#Command to change the config path and data path of your choice with https mode
InstallLogServer.exe --https --cert <c:\path\cert.pfx> --port 8443 --config C:\LogServer\Config --database C:\LogServer\Datacmd

#Install with specific config path and data path
InstallLogServer.exe --port 8080 --config C:\LogServer\Config --database C:\LogServer\Datacmd

#To support CWA client uploading AOT logs, some additional parameters need to be added after the install log server command.
--sta-server http://STA_SERVER_FQDN:port --log-server LOG_SERVER_FQDN:PORT
<!--NeedCopy-->

Donde,

• STA_SERVER_FQDN es el nombre de host o la dirección IP del servidor STA (en una instalación local, el servidor STA suele instalarse junto con DDC).

• LOG_SERVER_FQDN y PORT son el nombre de host del propio servidor de registros y el puerto especificado (8080, 8443 o el valor –port en el parámetro de instalación).

• El certificado del servidor de registros your_private_cert_key.pfx debe ser de confianza para otros componentes de Citrix, donde el cliente AOT utilizará la conexión TLS para cargar los registros.

La dirección STA_SERVER permite a LogServer suministrar tickets STA de reconexión a los clientes CWA cuando StoreFront no puede proporcionarlos debido a un tiempo de espera de sesión. Como resultado, los clientes CWA pueden obtener tickets de reconexión directamente de LogServer en caso de fallos de conexión.

La dirección LOG_SERVER se utiliza cuando el servidor de registros solicita un ticket STA al STA_SERVER. El STA_SERVER emite un ticket STA que autoriza exclusivamente las conexiones a la dirección LOG_SERVER.

Estos parámetros son opcionales si los clientes CWA no necesitan tickets STA de reconexión o se conectan a LogServer directamente sin una puerta de enlace.

Postinstalación en Windows

Después de la instalación, se generan algunos archivos de script útiles en el mismo directorio donde guardó los archivos del instalador.

Nota:

Puede mover estos archivos a una ubicación diferente. Sin embargo, recuerde la nueva ubicación, ya que se necesitarán de nuevo al configurar el servidor de registros.

#In Windows, bat scripts will be generated in the same directory where you saved the installer files.
DownloadLogsByTime.bat
DownloadLogsByWords.bat
GetAuthKey.bat
ListMachines.bat
StartLogServer.bat
<!--NeedCopy-->

Utilice StartLogServer.bat para iniciar el servidor de registros.

Compruebe su configpath\weblogs.txt para confirmar que LogServer se inició correctamente

Cuando los registros muestran lo siguiente, significa que el servidor de registros se ha iniciado correctamente. Si LogServer se inicia correctamente, verá el siguiente mensaje en el archivo weblogs. El puerto 5000 es utilizado por LogServer internamente en contenedores Docker con el protocolo http o https seleccionado.

Now listening on: https://[::]:5000
<!--NeedCopy-->

Si el servidor de registros se instaló en modo HTTP, los registros correctos deberían mostrar lo siguiente:

Now listening on: http://[::]:5000
<!--NeedCopy-->

Si LogServer utiliza HTTPS, asegúrese de que su certificado sea de confianza en todas las máquinas que cargan registros AOT.

Nota:

• El puerto configurado en el paso de instalación (8080 o 8443 o cualquier puerto especificado) debe utilizarse al configurar la URL del servidor de registros en DDC, Storefront, VDA, etc.

• Normalmente, tarda de 1 a 10 minutos, dependiendo del hardware en Windows.

Autenticación TLS mutua (opcional)

TLS mutua (mTLS) proporciona una capa adicional de seguridad entre el servidor de registros y los clientes (VDA, DDC, StoreFront, CWA). Cuando mTLS está habilitada, tanto el cliente como el servidor se autentican mutuamente mediante certificados emitidos por la PKI de su empresa.

mTLS es útil en entornos donde:

• Los segmentos de red no son de confianza o son compartidos
• Existe el requisito de autenticar no solo el servidor de registros, sino también cada cliente de registros AOT
• Los clientes quieren evitar que los sistemas no autorizados envíen datos de registro
• Las políticas normativas o de cumplimiento requieren autenticación basada en certificados.

Aunque mTLS es opcional, mejora la seguridad al garantizar que solo los componentes de Citrix de confianza puedan comunicarse con el servidor de registros y que el servidor de registros pueda verificar cada conexión entrante antes de aceptar los datos de telemetría.

Requisitos de los certificados

Para configurar mTLS, se deben generar los siguientes certificados:

• aotclient.pfx – Certificado utilizado por los clientes de registros AOT (VDA, DDC, StoreFront, CWA)
• logserver.pfx – Certificado utilizado por el servidor de registros
• enterprise-ca.cer – El certificado raíz o intermedio utilizado para firmar ambos archivos .pfx

Nota

• Omita esta sección de TLS mutuo si utiliza Citrix Connector Appliance, ya que no es compatible.

• El archivo enterprise-ca.cer debe importarse en el almacén de Entidades de certificación raíz de confianza tanto en el servidor de registros (Log Server) como en los clientes de telemetría.

• Los certificados aotclient.pfx y logserver.pfx no deben estar protegidos con contraseña.

• El asunto de aotclient.pfx debe ser CitrixAOTClient, lo que permite al cliente de telemetría localizar automáticamente el certificado durante el tiempo de ejecución.

Para habilitar mTLS, incluya el parámetro –ca en el comando de instalación del servidor de registros (Log Server). Este parámetro especifica la ruta al certificado enterprise-ca.cer.

# with default path
./InstallLogServer --https --cert logserver.pfx --ca enterprise-ca.cer --port 8443

# with customized path
./InstallLogServer --config /YourPath/LogServer/Config --database /YourPath/LogServer/Data --cert /YourPath/logserver.pfx --ca /YourPath/enterprise-ca.cer --port 8443

# delete temp certificate logserver.pfx in current install directory
sudo rm -rf /YourPath/logserver.pfx

# keep logserver.pfx accessed only by the container process user 'ubuntu'.
sudo chmod 400 LogServer/Config/logserver.pfx
sudo chown ubuntu:ubuntu LogServer/Config/logserver.pfx
<!--NeedCopy-->

Si se requiere autenticación TLS mutua, ejecute el siguiente comando de PowerShell en DDC, Storefront, VDA y otros componentes de CVAD con privilegios de administrador.

# import client cert at the machine aot client
Import-PfxCertificate -CertStoreLocation Cert:\LocalMachine\My\ -FilePath c:\aotclient.pfx

# Verify successful import
Get-ChildItem Cert:\LocalMachine\My | Where-Object { $_.Subject -like "*AOTclient*" }

# delete temp certificate aotclient.pfx
Remove-Item -Path "C:\aotclient.pfx" -Force
# Ensure LogServer’s certificate is trusted on all machines uploading AOT logs.
<!--NeedCopy-->

Nota:

El servicio de telemetría se ejecuta en la cuenta “network service”, por lo que es necesario conceder manualmente a NETWORK SERVICE control total sobre la clave privada del certificado CitrixAOTClient, utilizando la interfaz gráfica certlm.msc.

1. Pulse Win + R, escriba certlm.msc y pulse Intro para abrir la consola Certificados (equipo local).

2. Expanda Certificados (equipo local) > Personal > Certificados.

3. En el panel derecho, localice el certificado emitido para CitrixAOTClient.

4. Abra “Administrar claves privadas”

5. Haga clic con el botón derecho en el certificado y seleccione Todas las tareas > Administrar claves privadas

6. En el cuadro de diálogo de permisos, seleccione Agregar, escriba NETWORK SERVICE y haga clic en Comprobar nombres (debería resolverse en NT AUTHORITY\NETWORK SERVICE).

7. Haga clic en Aceptar para aplicar los permisos.

Si el cliente proporciona certificados autofirmados, haga lo siguiente:

• En el lado del servidor de registros (logserver), logserver.pfx y aotclient.cer se instalan como se describió anteriormente. El aotclient.cer cumple la función de enterprise-ca.cer.
• En el lado del cliente, aotclient.pfx y logserver.cer se importan como se describió anteriormente. El logserver.cer cumple la función de enterprise-ca.cer.
• Para obtener más información, consulte (/es-es/citrix-virtual-apps-desktops/secure/certificates.html#create-a-new-certificate)

Verificar el servidor de registros

Abra su navegador en el servidor de registros (Log Server), VDA o DDC, y visite http://YourLogServerFQDN:8080/Ping

En el navegador se mostrará una cadena de respuesta “Pong UTC:08/19/2025 01:03:29 Version: 2511.1.6”. La hora UTC debe ser la hora UTC del servidor de registros (LogServer). La cadena de versión contiene el nombre de la versión y el número de compilación.

Nota:

Cambie el puerto 8080 por el puerto configurado si no utiliza el puerto predeterminado, y cambie http a https si se instaló en modo HTTPS.

Si la verificación del servidor de registros falla, compruebe los siguientes registros:

• Ejecute docker logs logserver para comprobar los registros de Docker.
• Para Linux - $HOME/LogServer/Config/weblogs.txt (cambie $HOME/LogServer a su ruta de instalación real si no utiliza la predeterminada)
• Para Windows - C:\Users\YourUserName\LogServer\Config\weblogs.txt (cambie YourUserName por el nombre de usuario real. Cambie C:\Users\YourUserName\LogServer a su ruta de instalación real si no utiliza la predeterminada)

Configuración avanzada del servidor de registros

En Linux o Windows

Ejecute docker stop logserver para detener el servidor de registros.

De forma predeterminada, el servidor de registros está configurado con los valores siguientes. Para realizar los cambios, edite el StartLogServer.sh o StartLogServer.bat si está instalado en Windows.

-e MAX_RESERVE_DAYS=7
-e MAX_DISK_USAGE_PERCENTAGE=85
-e LOCAL_DOWN_ONLY=true
-e OPENSEARCH_JAVA_OPTS="-Xms2G -Xmx2G"
<!--NeedCopy-->

Ejecute./StartLogServer.sh en Linux para verificar si los cambios se han actualizado.

Ejecute StartLogServer.bat en Windows para verificar si los cambios se han actualizado.

En Citrix Connector Appliance

A continuación, se indican los pasos para configurar los ajustes avanzados del servidor de registros en el dispositivo conector de Citrix a través de la API local.

Puede ejecutar esto en Postman, Curl o PowerShell. A continuación, se muestra un ejemplo de instrucciones ejecutadas en Postman:

1. Autenticación: Generación de un JWT

Todas las llamadas a la API deben autenticarse mediante un token web JSON (JWT). Primero debe generar un token que luego se incluirá en el encabezado de las solicitudes posteriores.

Paso 1.1: Generar el token

Para generar el token, ejecute una solicitud POST al punto de conexión $login.

• Punto de conexión: POST https://[ip]/$login

• Cuerpo: Deberá incluir la carga útil JSON necesaria para la autenticación (por ejemplo, nombre de usuario y contraseña). Si las credenciales son correctas, la API devolverá un token.

Copie este valor de token para usarlo en los siguientes pasos.

Paso 1.2: Autorizar llamadas a la API

Incluya el token generado en el encabezado de autorización para todas las llamadas a la API posteriores. El token debe ir precedido de Bearer.

Autorización: Bearer abCD.efGH.ijKL

Un token válido permitirá que la llamada a la API continúe. Un token no válido o caducado será rechazado con un mensaje de error.

1. Adición de configuraciones avanzadas

Una vez autenticado, puede configurar los ajustes para un contenedor de destino como logserver Configurar MAX_RESERVE_DAYS

Esta acción configura el MAX_RESERVE_DAYS para el logserver.

• Punto de conexión: https://[ip]/providers/logserver-provider/environment
• Método: PATCH

Cuerpo de la solicitud

{ “MAX_RESERVE_DAYS”: “7” }

Campos

• MAX_RESERVE_DAYS (cadena, obligatorio): El valor predeterminado es 7 días. El servidor de registros almacena las entradas de registro durante un máximo de días basándose en el campo TimeStamp. Los registros insertados hace 7 días se eliminarán. Se comprueba cada 10 minutos.

En este ejemplo, lo cambiamos a 10 días.

Respuestas

✅ Éxito (204 OK) Indica que la configuración es correcta

De forma similar, también podemos ajustar el porcentaje máximo de uso de disco desde su valor predeterminado de 85. Aquí lo estamos cambiando a 90. Cuando el uso del disco alcanza el 90%, se eliminan los registros antiguos para dejar espacio a los nuevos.

Respuesta

✅ Éxito (204 OK) Indica que la configuración es correcta