ログサーバーのインストールと構成

ログサーバーは、個別のLinuxまたはWindowsサーバーにセットアップすることも、Citrix Connector Applianceでホストして常時更新を活用することもできます。各オプションのインストールおよび構成手順については、関連セクションを参照してください。

インストールに関する注意

• セキュリティ強化のため、展開ではHTTPSを推奨します。

• 選択したポートが既に使用されていないことを確認してください。

• 管理者またはシステムレベルの権限が必要な特権ポート（0～1023）の使用は避けてください。

• ファイアウォールルールが選択したポートでのトラフィックを許可していることを確認してください。

• 有効な範囲（0～65535）内のポート番号を使用しますが、競合を避けるためにシステムサービスで一般的に使用されるポートは避けてください。

• Citrix Connector Applianceを使用してログサーバーを展開する場合は、ポート443のみが構成されていることを確認してください。

• 例で使用されているポート番号（HTTPの場合は8080、HTTPSの場合は8443）は参照用です。これらのポートを厳密に使用する必要はありません。環境に基づいて適切なポート番号を選択し、AOTログサーバーを構成する際には、上記のインストールガイドラインに従ってください。

シトリックス コネクタ アプライアンス を使用したログサーバーのインストール

ログサーバーはCitrix Connector Appliance内に展開できます。このアプローチにより、ホストVMを展開および管理したり、イメージを手動でダウンロードしたり、コンテナコマンドを実行したりする必要がなくなります。ログサーバーは、Connector Applianceのアップグレード中に自動的にオンボーディングされ、継続的なコネクタ更新を通じて最新の状態に保たれるため、常に最新バージョンを使用できます。詳細については、「Connector Applianceの更新」を参照してください。

Citrix Connector Appliance を使用してログサーバーを展開する手順

1. 環境にConnector Applianceがまだない場合は、ハイパーバイザーまたはパブリッククラウドマーケットプレイスからアプライアンスを展開します。必要なCitrix Connector Applianceの最小バージョンは11.4.1.444です。インポート後、アプライアンスをCitrix Cloudに登録します。詳細については、「Connector Applianceの入手」を参照してください。

2. デフォルトでは、Connector Applianceには2つのvCPUと4GBのメモリが搭載されています。ログサーバーの要求を処理するには、リソースを少なくとも4つのvCPUと16GBのメモリに増やしてください。

3. Cloud Monitor は、リソースの場所にあるサポートされている Windows Cloud Connector で実行されている Monitor Connector サービスを介して AOT ログを取得します。Log Server が Citrix Connector Appliance に展開されている場合、サポートされている Windows Cloud Connector も同じリソースの場所に存在する必要があります。Connector Appliance だけでは、Cloud Monitor が AOT トレースを取得するのに十分ではありません。Cloud Connector は、バージョン 6.141.0.13739 (または 4.420.0.13739) 以降を実行している必要があります。以前のバージョンでは、GetAotTraces API 呼び出しが失敗し、Monitor で HTTP 500 エラーが発生します。

4. Connector Appliance は、Connector Appliance 管理ページに接続するブラウザに提供される自己署名証明書を提供します。HTTPs 経由でログサーバーに接続できるようにするには、この自己署名証明書を、組織によって署名された、または組織の信頼チェーンを使用して生成された独自の証明書に置き換えることができます。詳細については、証明書の管理 または サーバー証明書の置き換え を参照してください。

5. アップグレードが完了したら、https://<connector-appliance-FQDN-or-IP>/?enable=logserver の Connector Appliance UI にログインし、「?enable=logserver」があることを確認して、ログサーバー UI を表示できるようにします。新しい Log Server タブには、ストレージと認証キー管理のオプションが表示されます。

   

6. Connector Appliance のブートディスクの容量は 20GB です。ログサーバーでの効率的なログストレージをサポートするために、ハイパーバイザーまたはクラウド管理プラットフォームを使用して、別の仮想ディスクを Connector Appliance に追加する必要があります。この追加ディスクには、ログストレージのニーズを満たすのに十分なスペースが必要です (前のセクションで説明したとおり)。以下の XenServer のスクリーンショットは、追加ディスクが構成された Connector Appliance の例を示しています。

   

   注:

   VMware ESXi の既知の要件: ユーザーは、追加のデータディスクをルートディスクで使用されているものとは異なる SCSI コントローラーに接続する必要があります。

7. キーディスクを追加すると、ログサーバー UI がそれを自動的に検出し、Connector Appliance 上のログサーバーコンテナにフォーマットしてマウントできるようになります。

   

8. 「ディスクの接続」ボタンをクリックすると、ディスクはログサーバーコンテナにマウントされます。

   

9. メインページには、ディスクサイズと、使用されているスペースの量、残りのスペースの量に関する情報が表示されます。

   

10. ディスクが接続されたら、ping エンドポイント https://<connector-appliance-FQDN>/ctxlogserver/Ping を呼び出して、Log Server が実行されていることを確認します。pong 応答は、Log Server が正常に起動したことを確認します。

11. 「キーの生成」をクリックし、ロール名を入力して、認証キーをコピーまたはダウンロードします。ウィンドウを閉じると、キーは再度表示されません。

    

    

Linuxへのインストール

1. ログサーバーのDockerコンテナイメージをCitrixダウンロードからダウンロードします。
2. ダウンロードしたファイルを同じディレクトリに配置します。
3. ターミナル (Linux) またはコマンドプロンプト (Windows) を使用して、そのディレクトリでインストーラーを実行し、指示に従います。

chmod +x ./InstallLogServer

#Install with https mode with port 8443 with default path
./InstallLogServer --https --cert </path/your_private_cert_key.pfx> --port 8443

#Install with http mode, with port 8080 with default path
./InstallLogServer --port 8080

#Command to change the config path and data path of your choice with https mode
./InstallLogServer --https --cert </path/your_private_cert_key.pfx> --port 8443 --config /Path/LogServer/Config --database /Path/LogServer/Data

#Command to change the config path and data path of your choice with http mode
./InstallLogServer --port 8080 --config /Path/LogServer/Config --database /Path/LogServer/Data

#To support CWA client uploading AOT logs, some additional parameters need to be added after the install log server command.
--sta-server http://STA_SERVER_FQDN:port --log-server LOG_SERVER_FQDN:PORT
<!--NeedCopy-->

ここで、

• STA_SERVER_FQDNはSTAサーバーのホスト名またはIPアドレスです（オンプレミスインストールでは、STAサーバーは通常DDCとともにインストールされます）。

• LOG_SERVER_FQDNとPORTは、ログサーバー自体のホスト名と、指定されたポート（8080、8443、またはインストールパラメーターの–port値）です。

• ログサーバー証明書 your_private_cert_key.pfx は、AOTクライアントがログをアップロードするためにTLS接続を使用する他のCitrixコンポーネントによって信頼されている必要があります。

STA_SERVERアドレスを使用すると、Log Serverは、StoreFrontが再接続STAチケットを提供できない場合（セッションタイムアウト後など）に、Citrix Workspaceアプリ（CWA）クライアントに再接続STAチケットを発行できます。これにより、接続が切断された場合でも、CWAクライアントはLog Serverと直接接続を再確立できます。

LOG_SERVERアドレスは、Log Serverが構成済みのSTAサーバーからSTAチケットを要求するときに使用されます。STAサーバーは、Log Serverエンドポイントへの接続を特別に承認するチケットを返します。

CWAクライアントが再接続STAチケットを必要としない場合、またはゲートウェイなしでLogServerに直接接続する場合は、これらのパラメーターはオプションです。

Linuxでのインストール後

インストール後、いくつかの便利なスクリプトファイルが生成されます。

# In Linux, sh scripts will be generated
DownloadLogsByTime.sh
DownloadLogsByWords.sh
GetAuthKey.sh
ListMachines.sh
StartLogServer.sh
<!--NeedCopy-->

LogServerが正常に起動したことを確認するには、./StartLogServer.sh to start the server. Check your configpath/weblogs.txtを使用します。

LogServerが正常に起動した場合、weblogsファイルに以下のメッセージが表示されます。ポート5000は、選択されたhttpまたはhttpsプロトコルで、LogServerによってDockerコンテナ内で内部的に使用されます。

Now listening on https://[::]:5000
<!--NeedCopy-->

ログサーバーがHTTPモードでインストールされた場合、成功したログには以下が表示されます。

Now listening on http://[::]:5000
<!--NeedCopy-->

LogServerがHTTPSを使用する場合、AOTログをアップロードするすべてのマシンでその証明書が信頼されていることを確認してください。

注:

• インストール手順で構成されたポート（8080、8443、または指定された任意のポート）は、DDC、Storefront、VDAなどでLogServerのURLを構成する際に使用する必要があります。

• 通常、Linuxでの起動には30秒から60秒かかります。

Windowsへのインストール

1. Citrix downloadsからログサーバーのDockerコンテナイメージをダウンロードします。
2. ダウンロードしたファイルを同じディレクトリに配置します。
3. ターミナル（Linux）またはコマンドプロンプト（Windows）を使用して、そのディレクトリでインストーラーを実行し、指示に従います。

ステップ1

ログサーバーVMにWindows用Docker Desktop（サブスクリプションが必要な場合があります）をインストールします。WSL 2に依存するWindowsシステムでDocker Desktopが正しくインストールされ、起動することを確認するには、以下の手順に従ってください。

1. Docker Desktopの設定でメモリ制限を12 GB以上に設定します。

2. Docker Desktop には以下の Windows 機能が必要です。これらの機能が有効になっていることを確認してください。

   • ハイパーV
   • 仮想マシン プラットフォーム
   • ウィンドウズ用リナックスサブシステム (WSL)

3. 不足している機能がある場合は、それらをインストールし、VM を再起動して変更を適用してください。

4. システム再起動後、PowerShell を開き (管理者として実行)、コマンド wsl --update を実行して WSL を更新します。

5. Docker Desktop には WSL 2 が必要です。コマンド wsl --set-default-version 2 を実行して、これを既定として構成します。

6. WSL が更新され、必要な Windows 機能が有効になると、Docker Desktop Engine は正常に起動するはずです。

ステップ 2

インストールを続行するには、以下のコマンドを実行します。

注:

Config および Database (Data) フォルダーの既定の場所は C:\Users<username>\LogServer に作成されます。これらは以下のコマンドで変更できます。

#Install with https mode with port 8443 with default path
InstallLogServer.exe --https --cert <c:\path\cert.pfx> --port 8443

#Install with http mode, with port 8080 with default path
InstallLogServer.exe --port 8080

#Command to change the config path and data path of your choice with https mode
InstallLogServer.exe --https --cert <c:\path\cert.pfx> --port 8443 --config C:\LogServer\Config --database C:\LogServer\Datacmd

#Install with specific config path and data path
InstallLogServer.exe --port 8080 --config C:\LogServer\Config --database C:\LogServer\Datacmd

#To support CWA client uploading AOT logs, some additional parameters need to be added after the install log server command.
--sta-server http://STA_SERVER_FQDN:port --log-server LOG_SERVER_FQDN:PORT
<!--NeedCopy-->

ここで、

• STA_SERVER_FQDN は STA サーバーのホスト名または IP アドレスです (オンプレミスインストールでは、STA サーバーは通常 DDC とともにインストールされます)。

• LOG_SERVER_FQDN と PORT はログサーバー自体のホスト名と、指定されたポート (8080、8443、またはインストールパラメーターの –port 値) です。

• ログサーバー証明書 your_private_cert_key.pfx は、AOT クライアントがログをアップロードするために TLS 接続を使用する他の Citrix コンポーネントによって信頼されている必要があります。

STA_SERVER アドレスにより、セッションタイムアウトのために StoreFront が再接続 STA チケットを提供できない場合でも、LogServer が CWA クライアントに再接続 STA チケットを供給できるようになります。その結果、接続障害が発生した場合、CWA クライアントは LogServer から直接再接続チケットを取得できます。

LOG_SERVER アドレスは、ログサーバーが STA_SERVER から STA チケットを要求する際に利用されます。STA_SERVER は、LOG_SERVER アドレスへの接続のみを承認する STA チケットを発行します。

CWA クライアントが再接続 STA チケットを必要としない場合、またはゲートウェイなしで LogServer に直接接続する場合は、これらのパラメーターはオプションです。

Windows でのインストール後

インストール後、インストーラーファイルを保存したのと同じディレクトリに、いくつかの便利なスクリプトファイルが生成されます。

注:

これらのファイルは別の場所に移動できます。ただし、ログサーバーを構成する際に再度必要となるため、新しい場所を覚えておいてください。

#In Windows, bat scripts will be generated in the same directory where you saved the installer files.
DownloadLogsByTime.bat
DownloadLogsByWords.bat
GetAuthKey.bat
ListMachines.bat
StartLogServer.bat
<!--NeedCopy-->

ログサーバーを起動するには StartLogServer.bat を使用します。

LogServer が正常に起動したことを確認するには、configpath\weblogs.txt を確認してください。

ログに以下が表示された場合、ログサーバーが正常に起動したことを意味します。LogServer が正常に起動すると、weblogs ファイルに以下のメッセージが表示されます。ポート 5000 は、LogServer が Docker コンテナ内で選択された HTTP または HTTPS プロトコルで使用するために内部的に使用されます。

Now listening on: https://[::]:5000
<!--NeedCopy-->

ログサーバーが HTTP モードでインストールされた場合、成功したログには以下が表示されるはずです。

Now listening on: http://[::]:5000
<!--NeedCopy-->

LogServer が HTTPS を使用する場合、その証明書が AOT ログをアップロードするすべてのマシンで信頼されていることを確認してください。

注:

• インストール手順で構成されたポート (8080 または 8443、または指定された任意のポート) は、DDC、Storefront、VDA などでログサーバー URL を構成する際に使用する必要があります。

• 通常、Windowsのハードウェアによって1～10分かかります。

相互TLS認証（オプション）

相互TLS (mTLS) は、ログサーバーとクライアント (VDA、DDC、StoreFront、CWA) の間にセキュリティの追加レイヤーを提供します。mTLSが有効な場合、クライアントとサーバーの両方が、エンタープライズPKIによって発行された証明書を使用して相互に認証します。

mTLSは、次のような環境で役立ちます。

• ネットワークセグメントが信頼されていないか、共有されている
• ログサーバーだけでなく、各AOTログクライアントも認証する必要がある
• 顧客が不正なシステムからのログデータの送信を防止したい
• 規制またはコンプライアンスポリシーにより、証明書ベースの認証が必要である。

mTLSはオプションですが、信頼できるCitrixコンポーネントのみがログサーバーと通信できるようにし、ログサーバーがテレメトリデータを受け入れる前にすべての着信接続を検証できるようにすることで、セキュリティを強化します。

証明書の要件

mTLSを構成するには、次の証明書を生成する必要があります。

• aotclient.pfx – Certificate used by AOT log clients (VDA, DDC, StoreFront, CWA)
• logserver.pfx – ログサーバーで使用される証明書
• enterprise-ca.cer – 両方の.pfxファイルに署名するために使用されるルートまたは中間証明書

注

• Citrix Connector Applianceを使用している場合、サポートされていないため、この相互TLSセクションはスキップしてください。

• enterprise-ca.cerファイルは、ログサーバーとテレメトリクライアントの両方の信頼されたルート証明機関ストアにインポートする必要があります。

• aotclient.pfxおよびlogserver.pfx証明書はパスワードで保護しないでください。

• aotclient.pfxのサブジェクトはCitrixAOTClientである必要があり、これによりテレメトリクライアントは実行時に証明書を自動的に見つけることができます。

mTLSを有効にするには、ログサーバーのインストールコマンドに–caパラメーターを含めます。 このパラメーターは、enterprise-ca.cer証明書へのパスを指定します。

# with default path
./InstallLogServer --https --cert logserver.pfx --ca enterprise-ca.cer --port 8443

# with customized path
./InstallLogServer --config /YourPath/LogServer/Config --database /YourPath/LogServer/Data --cert /YourPath/logserver.pfx --ca /YourPath/enterprise-ca.cer --port 8443

# delete temp certificate logserver.pfx in current install directory
sudo rm -rf /YourPath/logserver.pfx

# keep logserver.pfx accessed only by the container process user 'ubuntu'.
sudo chmod 400 LogServer/Config/logserver.pfx
sudo chown ubuntu:ubuntu LogServer/Config/logserver.pfx
<!--NeedCopy-->

相互TLS認証が必要な場合は、管理者権限でDDC、Storefront、VDA、およびその他のCVADコンポーネントで次のPowerShellコマンドを実行します。

# import client cert at the machine aot client
Import-PfxCertificate -CertStoreLocation Cert:\LocalMachine\My\ -FilePath c:\aotclient.pfx

# Verify successful import
Get-ChildItem Cert:\LocalMachine\My | Where-Object { $_.Subject -like "*AOTclient*" }

# delete temp certificate aotclient.pfx
Remove-Item -Path "C:\aotclient.pfx" -Force
# Ensure LogServer’s certificate is trusted on all machines uploading AOT logs.
<!--NeedCopy-->

注:

テレメトリサービスは「ネットワークサービス」アカウントで実行されているため、certlm.mscグラフィカルインターフェイスを使用して、CitrixAOTClient証明書の秘密キーに対するNETWORK SERVICEのフルコントロールを手動で付与する必要があります。

1. Win + Rを押し、certlm.mscと入力してEnterキーを押し、証明書（ローカルコンピューター）コンソールを開きます。

2. 証明書（ローカルコンピューター）>個人>証明書を展開します。

3. 右側のペインで、CitrixAOTClientに発行された証明書を見つけます。

4. 「秘密キーの管理」を開きます。

5. 証明書を右クリックし、「すべてのタスク」>「秘密キーの管理」を選択します。

6. 権限ダイアログで「追加」を選択し、「NETWORK SERVICE」と入力して「名前の確認」をクリックします（NT AUTHORITY\NETWORK SERVICEに解決されるはずです）。

7. 「OK」をクリックして権限を適用します。

顧客が自己署名証明書を提供する場合、次のようにします。

• ログサーバー側では、logserver.pfx と aotclient.cer が前述のとおりインストールされます。aotclient.cer は enterprise-ca.cer の役割を果たします。
• クライアント側では、aotclient.pfx と logserver.cer が前述のとおりインポートされます。logserver.cer は enterprise-ca.cer の役割を果たします。
• 詳細については、「新しい証明書の作成」を参照してください。(/ja-jp/citrix-virtual-apps-desktops/secure/certificates.html#create-a-new-certificate)

ログサーバーの検証

ログサーバー、VDA、またはDDCでブラウザを開き、http://YourLogServerFQDN:8080/Ping にアクセスします。

ブラウザに「Pong UTC:08/19/2025 01:03:29 Version: 2511.1.6」という応答文字列が表示されます。UTC時刻はログサーバーのUTC時刻である必要があります。バージョン文字列にはリリース名とビルド番号が含まれます。

注:

デフォルトポートを使用していない場合はポート8080を構成済みのポートに変更し、HTTPSモードでインストールした場合はhttpをhttpsに変更します。

ログサーバーの検証に失敗した場合は、以下のログを確認してください。

• docker logs logserver を実行して、ドッカーログを確認します。
• Linuxの場合 - $HOME/LogServer/Config/weblogs.txt ($HOME/LogServer をデフォルトを使用していない場合は実際のインストールパスに変更してください)
• Windowsの場合 - C:\Users\YourUserName\LogServer\Config\weblogs.txt (YourUserName を実際のユーザー名に変更してください。C:\Users\YourUserName\LogServer をデフォルトを使用していない場合は実際のインストールパスに変更してください)

ログサーバーの詳細設定

リナックスまたはウィンドウズで

logserverを停止するにはdocker stop logserverを実行します。

既定では、ログサーバーは以下の値で構成されています。変更を行うには、StartLogServer.shを編集するか、Windowsにインストールされている場合はStartLogServer.batを編集します。

-e MAX_RESERVE_DAYS=7
-e MAX_DISK_USAGE_PERCENTAGE=85
-e LOCAL_DOWN_ONLY=true
-e OPENSEARCH_JAVA_OPTS="-Xms2G -Xmx2G"
<!--NeedCopy-->

Linuxで./StartLogServer.shを実行し、変更が更新されたことを確認します。

WindowsでStartLogServer.batを実行して、変更が更新されているか確認します。

シトリックス コネクタ アプライアンス上

以下は、ローカルAPIを介してCitrix Connector Appliance上のログサーバーの詳細設定を構成する手順です。

これはPostman、Curl、またはPowerShellのいずれかで実行できます。以下はPostmanで実行された手順の例です。

1. 認証: JWTの生成

すべてのAPI呼び出しは、JSON Web Token (JWT) を使用して認証する必要があります。まずトークンを生成し、そのトークンを後続のリクエストのヘッダーに含める必要があります。

ステップ1.1: トークンの生成

トークンを生成するには、$loginエンドポイントにPOSTリクエストを実行します。

• エンドポイントは POST https://[ip]/$login です。

• 本文: 認証に必要なJSONペイロード（例: ユーザー名とパスワード）を含める必要があります。 資格情報が正しい場合、APIはトークンを返します。

このトークン値をコピーして、次のステップで使用します。

ステップ1.2: API呼び出しの認証

生成されたトークンを、後続のすべてのAPI呼び出しのAuthorizationヘッダーに含めます。トークンには「Bearer」をプレフィックスとして付ける必要があります。

Authorization: Bearer abCD.efGH.ijKL

有効なトークンはAPI呼び出しの続行を許可します。無効または期限切れのトークンは、エラーメッセージとともに拒否されます。

1. 詳細設定の追加

認証されると、ログサーバーのようなターゲットコンテナの設定を構成できます。MAX_RESERVE_DAYSを構成する

このアクションは、ログサーバーのMAX_RESERVE_DAYSを構成します。

• Endpoint: https://[ip]/providers/logserver-provider/environment
• メソッド: PATCH

リクエストボディ

{ “MAX_RESERVE_DAYS”: “7” }

フィールド

• MAX_RESERVE_DAYS (文字列、必須): デフォルト値は7日です。ログサーバーは、TimeStampフィールドに基づいてログエントリを最大日数保存します。7日前に挿入されたログは削除されます。10分ごとに確認します。

この例では、10日に変更しています。

応答内容

✅ 成功 (204 OK) 設定が適切に構成されていることを示します

同様に、最大ディスク使用率をデフォルトの85から調整することもできます。ここでは90に変更します。ディスク使用率が90%に達すると、新しいログのためのスペースを確保するために古いログが削除されます。

応答

✅ 成功 (204 OK) 設定が適切に構成されていることを示します