ログサーバーのインストールと構成

ログサーバーは、個別のLinuxまたはWindowsサーバーにセットアップすることも、Citrix Connector Applianceでホストして常時最新の更新を活用することもできます。各オプションのインストールおよび構成手順については、関連セクションを参照してください。

インストールに関する注意

• セキュリティ強化のため、展開ではHTTPSを推奨します。

• 選択したポートがすでに使用されていないことを確認してください。

• 管理者またはシステムレベルの権限が必要なため、特権ポート（0～1023）の使用は避けてください。

• ファイアウォールルールが選択したポートでのトラフィックを許可していることを確認してください。

• 有効な範囲（0～65535）内のポート番号を使用しますが、競合を避けるため、システムサービスで一般的に使用されるポートは避けてください。

• Citrix Connector Applianceを使用してログサーバーを展開する場合は、ポート443のみが構成されていることを確認してください。

• 例で使用されているポート番号（HTTPの場合は8080、HTTPSの場合は8443）は参照用です。これらのポートを厳密に使用する必要はありません。環境に基づいて適切なポート番号を選択し、AOTログサーバーを構成する際には、上記のインストールガイドラインに従ってください。

Citrixコネクタアプライアンスを介したログサーバーのインストール

ログサーバーはCitrix Connector Appliance内に展開できます。このアプローチにより、ホストVMを展開および管理したり、手動でイメージをダウンロードしたり、コンテナコマンドを実行したりする必要がなくなります。ログサーバーは、Connector Applianceのアップグレード中に自動的にオンボーディングされ、継続的なコネクタアップデートによって常に最新の状態に保たれ、常に最新バージョンを使用できます。詳細については、「Connector appliance updates」を参照してください。

Citrixコネクタアプライアンスを介したログサーバーの展開手順

1. 環境にConnector Applianceがまだない場合は、ハイパーバイザーまたはパブリッククラウドマーケットプレイスにアプライアンスを展開します。必要なCitrix Connector Applianceの最小バージョンは11.4.1.444です。インポート後、アプライアンスをCitrix Cloudに登録します。詳細については、「Obtain the connector appliance」を参照してください。

2. デフォルトでは、Connector Applianceには2 vCPUと4GBメモリが搭載されています。ログサーバーのリクエストを処理するために、リソースを少なくとも4 vCPUと16GBメモリに増やしてください。

3. Cloud Monitorは、リソースロケーション内のサポートされているWindows Cloud Connectorで実行されているモニターコネクタサービスを介してAOTログを取得します。ログサーバーがCitrix Connector Applianceに展開されている場合、サポートされているWindows Cloud Connectorも同じリソースロケーションに存在する必要があります。Connector Applianceだけでは、Cloud MonitorがAOTトレースを取得するのに十分ではありません。Cloud Connectorはバージョン6.141.0.13739（または4.420.0.13739）以降を実行している必要があります。以前のバージョンでは、GetAotTraces API呼び出しが失敗し、モニターでHTTP 500エラーが発生します。

4. Connector Applianceは、Connector Appliance管理ページに接続するブラウザに提供される自己署名証明書を提供します。HTTPS経由でログサーバーに接続できるようにするには、この自己署名証明書を、組織によって署名された、または組織の信頼チェーンを使用して生成された独自の証明書に置き換えることができます。詳細については、証明書の管理またはサーバー証明書の置換を参照してください。

5. アップグレードが完了したら、https://<connector-appliance-FQDN-or-IP>/?enable=logserverでConnector Appliance UIにログインし、「?enable=logserver」があることを確認して、ログサーバーUIを表示できるようにします。新しいログサーバータブには、ストレージと認証キー管理オプションが表示されます。

   

6. コネクタアプライアンスのブートディスクの容量は20GBです。ログサーバーでの効率的なログストレージをサポートするために、ハイパーバイザーまたはクラウド管理プラットフォームを使用して、コネクタアプライアンスに別の仮想ディスクを追加する必要があります。この追加ディスクには、ログストレージのニーズを満たすのに十分なスペースが必要です（前のセクションで説明したとおり）。

   以下のXenServerのスクリーンショットは、追加ディスクが構成されたコネクタアプライアンスの例を示しています。

   

   注：

   VMware ESXiの既知の要件： ユーザーは、追加のデータディスクをルートディスクが使用するSCSIコントローラーとは異なるSCSIコントローラーに接続する必要があります。

7. 追加ディスクを追加すると、ログサーバーUIが自動的にそれを検出し、コネクタアプライアンス上のログサーバーコンテナにフォーマットしてマウントできるようになります。

   

8. 「ディスクの接続」ボタンをクリックすると、ディスクはログサーバーコンテナにマウントされます。

   

9. メインページには、ディスクサイズと、使用されているスペースの量、残りのスペースの量に関する情報が表示されます。

   

10. ディスクがアタッチされた後、pingエンドポイント https://<connector-appliance-FQDN>/ctxlogserver/Ping を呼び出してログサーバーが実行されていることを確認します。pong応答は、ログサーバーが正常に起動したことを確認します。

11. 「キーを生成」をクリックし、ロール名を入力して、認証キーをコピーまたはダウンロードします。ウィンドウを閉じると、キーは再度表示されません。

    認証キーの管理 (/ja-jp/citrix-virtual-apps-desktops/2511/media/aot-manage-authentication-keys.png)

    認証キーの生成 (/ja-jp/citrix-virtual-apps-desktops/2511/media/aot-generate-authentication-keys.png)

Linuxへのインストール

1. ログサーバーのDockerコンテナイメージをCitrixダウンロードからダウンロードします。
2. ダウンロードしたファイルを同じディレクトリに配置します。
3. ターミナル (Linux) またはコマンドプロンプト (Windows) を使用して、インストーラーをディレクトリで実行し、指示に従います。

chmod +x ./InstallLogServer

#Install with https mode with port 8443 with default path
./InstallLogServer --https --cert </path/your_private_cert_key.pfx> --port 8443

#Install with http mode, with port 8080 with default path
./InstallLogServer --port 8080

#Command to change the config path and data path of your choice with https mode
./InstallLogServer --https --cert </path/your_private_cert_key.pfx> --port 8443 --config /Path/LogServer/Config --database /Path/LogServer/Data

#Command to change the config path and data path of your choice with http mode
./InstallLogServer --port 8080 --config /Path/LogServer/Config --database /Path/LogServer/Data

#To support CWA client uploading AOT logs, some additional parameters need to be added after the install log server command.
--sta-server http://STA_SERVER_FQDN:port --log-server LOG_SERVER_FQDN:PORT
<!--NeedCopy-->

ここで、

• STA_SERVER_FQDN は、STAサーバーのホスト名またはIPアドレスです（オンプレミスインストールでは、STAサーバーは通常DDCと一緒にインストールされます）。

• LOG_SERVER_FQDN と PORT は、ログサーバー自体のホスト名と、指定されたポート（8080、8443、またはインストールパラメーターの –port 値）です。

• ログサーバー証明書 your_private_cert_key.pfx は、AOTクライアントがログをアップロードするためにTLS接続を使用する他のCitrixコンポーネントによって信頼されている必要があります。

STA_SERVER アドレスを使用すると、セッションタイムアウト後など、StoreFrontが再接続STAチケットを提供できない場合に、ログサーバーがCitrix Workspaceアプリ（CWA）クライアントに再接続STAチケットを発行できます。これにより、接続が切断された場合でも、CWAクライアントはログサーバーと直接接続を再確立できます。

LOG_SERVER アドレスは、ログサーバーが構成済みのSTAサーバーからSTAチケットを要求するときに使用されます。STAサーバーは、ログサーバーエンドポイントへの接続を特別に承認するチケットを返します。

CWAクライアントが再接続STAチケットを必要としない場合、またはゲートウェイなしでLogServerに直接接続する場合は、これらのパラメーターはオプションです。

Linuxでのインストール後

インストール後、いくつかの便利なスクリプトファイルが生成されます。

# In Linux, sh scripts will be generated
DownloadLogsByTime.sh
DownloadLogsByWords.sh
GetAuthKey.sh
ListMachines.sh
StartLogServer.sh
<!--NeedCopy-->

LogServerが正常に起動したことを確認するには、./StartLogServer.sh to start the server. Check your configpath/weblogs.txtを使用します。

LogServerが正常に起動した場合、weblogsファイルに以下のメッセージが表示されます。ポート5000は、選択されたHTTPまたはHTTPSプロトコルで、Dockerコンテナ内でLogServerによって内部的に使用されます。

Now listening on https://[::]:5000
<!--NeedCopy-->

ログサーバーがHTTPモードでインストールされた場合、成功したログには以下が表示されます。

Now listening on http://[::]:5000
<!--NeedCopy-->

LogServerがHTTPSを使用する場合、AOTログをアップロードするすべてのマシンでその証明書が信頼されていることを確認してください。

注:

• インストール手順で構成されたポート（8080、8443、または指定された任意のポート）は、DDC、Storefront、VDAなどでLogServer URLを構成する際に使用する必要があります。

• 通常、Linuxでの起動には30秒から60秒かかります。

Windowsへのインストール

1. ログサーバーのDockerコンテナイメージをCitrix downloadsからダウンロードします。
2. ダウンロードしたファイルを同じディレクトリに配置します。
3. ターミナル (Linux) またはコマンドプロンプト (Windows) を使用して、そのディレクトリでインストーラーを実行し、指示に従います。

ステップ1

ログサーバーVMにWindows用Docker Desktop（サブスクリプションが必要な場合があります）をインストールします。WSL 2に依存するWindowsシステムでDocker Desktopが正しくインストールされ、起動することを確認するには、以下の手順に従ってください。

1. Docker Desktopの設定でメモリ制限を12 GB以上に設定します。

2. Docker Desktopには以下のWindows機能が必要です。これらの機能が有効になっていることを確認してください。

   • ハイパーV
   • 仮想マシン プラットフォーム
   • ウィンドウズ用リナックスサブシステム (WSL)

3. いずれかの機能が不足している場合は、それらをインストールし、VMを再起動して変更を適用してください。

4. システムの再起動後、PowerShell (管理者として実行) を開き、コマンド wsl --update を実行してWSLを更新します。

5. Docker DesktopにはWSL 2が必要です。コマンド wsl --set-default-version 2 を実行して、これをデフォルトとして構成します。

6. WSLが更新され、必要なWindows機能が有効になると、Docker Desktop Engineは正常に起動するはずです。

ステップ2

インストールを続行するには、以下のコマンドを実行します。

注:

ConfigおよびDatabase (Data) フォルダーのデフォルトの場所は、C:\Users<username>\LogServerに作成されます。これらは以下のコマンドで変更できます。

#Install with https mode with port 8443 with default path
InstallLogServer.exe --https --cert <c:\path\cert.pfx> --port 8443

#Install with http mode, with port 8080 with default path
InstallLogServer.exe --port 8080

#Command to change the config path and data path of your choice with https mode
InstallLogServer.exe --https --cert <c:\path\cert.pfx> --port 8443 --config C:\LogServer\Config --database C:\LogServer\Datacmd

#Install with specific config path and data path
InstallLogServer.exe --port 8080 --config C:\LogServer\Config --database C:\LogServer\Datacmd

#To support CWA client uploading AOT logs, some additional parameters need to be added after the install log server command.
--sta-server http://STA_SERVER_FQDN:port --log-server LOG_SERVER_FQDN:PORT
<!--NeedCopy-->

ここで、

• STA_SERVER_FQDNは、STAサーバーのホスト名またはIPアドレスです（オンプレミスインストールでは、STAサーバーは通常DDCとともにインストールされます）。

• LOG_SERVER_FQDNとPORTは、ログサーバー自体のホスト名と、指定されたポート（8080、8443、またはインストールパラメーターの–port値）です。

• ログサーバー証明書 your_private_cert_key.pfx は、AOTクライアントがログをアップロードするためにTLS接続を使用する他のCitrixコンポーネントによって信頼されている必要があります。

STA_SERVERアドレスにより、セッションタイムアウトのためにStoreFrontが再接続STAチケットを提供できない場合でも、LogServerがCWAクライアントに再接続STAチケットを供給できるようになります。その結果、CWAクライアントは接続障害が発生した場合にLogServerから直接再接続チケットを取得できます。

LOG_SERVERアドレスは、ログサーバーがSTA_SERVERからSTAチケットを要求する際に利用されます。STA_SERVERは、LOG_SERVERアドレスへの接続のみを承認するSTAチケットを発行します。

CWAクライアントが再接続STAチケットを必要としない場合、またはゲートウェイなしでLogServerに直接接続する場合は、これらのパラメーターはオプションです。

Windowsでのインストール後

インストール後、インストーラーファイルを保存したのと同じディレクトリに、いくつかの便利なスクリプトファイルが生成されます。

注:

これらのファイルを別の場所に移動できます。ただし、ログサーバーを構成する際に再度必要になるため、新しい場所を覚えておいてください。

#In Windows, bat scripts will be generated in the same directory where you saved the installer files.
DownloadLogsByTime.bat
DownloadLogsByWords.bat
GetAuthKey.bat
ListMachines.bat
StartLogServer.bat
<!--NeedCopy-->

StartLogServer.batを使用してログサーバーを起動します。

LogServerが正常に起動したことを確認するには、configpath\weblogs.txtを確認してください。

ログに以下が表示されている場合、ログサーバーが正常に起動したことを意味します。LogServerが正常に起動すると、weblogsファイルに以下のメッセージが表示されます。ポート5000は、LogServerによってDockerコンテナ内で、選択されたHTTPまたはHTTPSプロトコルとともに内部的に使用されます。

Now listening on: https://[::]:5000
<!--NeedCopy-->

ログサーバーがHTTPモードでインストールされた場合、成功したログには以下が表示されるはずです。

Now listening on: http://[::]:5000
<!--NeedCopy-->

LogServerがHTTPSを使用する場合、AOTログをアップロードするすべてのマシンでその証明書が信頼されていることを確認してください。

注:

• インストール手順で設定されたポート (8080 または 8443、あるいは指定された任意のポート) は、DDC、Storefront、VDA などでログサーバーのURLを設定する際に使用する必要があります。

• 通常、Windowsではハードウェアによって1～10分かかります。

相互TLS認証（オプション）

相互TLS (mTLS) は、ログサーバーとクライアント (VDA、DDC、StoreFront、CWA) 間のセキュリティをさらに強化します。mTLSが有効な場合、クライアントとサーバーの両方が、エンタープライズPKIによって発行された証明書を使用して相互に認証します。

mTLSは、次のような環境で役立ちます。

• ネットワークセグメントが信頼されていない、または共有されている
• ログサーバーだけでなく、各AOTログクライアントも認証する必要がある
• 顧客が不正なシステムからのログデータ送信を防止したい
• 規制またはコンプライアンスポリシーにより、証明書ベースの認証が必要である。

mTLSはオプションですが、信頼できるCitrixコンポーネントのみがログサーバーと通信できるようにし、ログサーバーがテレメトリデータを受け入れる前にすべての着信接続を検証できるようにすることで、セキュリティを強化します。

証明書の要件

mTLSを構成するには、以下の証明書を生成する必要があります。

• aotclient.pfx – AOTログクライアント (VDA、DDC、ストアフロント、CWA) で使用される証明書
• logserver.pfx – ログサーバーで使用される証明書
• enterprise-ca.cer – 両方の.pfxファイルに署名するために使用されるルートまたは中間証明書

注

• Citrix Connector Applianceを使用している場合、サポートされていないため、この相互TLSセクションをスキップしてください。

• enterprise-ca.cerファイルは、ログサーバーとテレメトリクライアントの両方で、信頼されたルート証明機関ストアにインポートする必要があります。

• aotclient.pfxおよびlogserver.pfx証明書は、パスワードで保護しないでください。

• aotclient.pfxのサブジェクトはCitrixAOTClientである必要があります。これにより、テレメトリクライアントは実行時に証明書を自動的に見つけることができます。

mTLSを有効にするには、ログサーバーのインストールコマンドに–caパラメーターを含めます。 このパラメーターは、enterprise-ca.cer証明書へのパスを指定します。

# with default path
./InstallLogServer --https --cert logserver.pfx --ca enterprise-ca.cer --port 8443

# with customized path
./InstallLogServer --config /YourPath/LogServer/Config --database /YourPath/LogServer/Data --cert /YourPath/logserver.pfx --ca /YourPath/enterprise-ca.cer --port 8443

# delete temp certificate logserver.pfx in current install directory
sudo rm -rf /YourPath/logserver.pfx

# keep logserver.pfx accessed only by the container process user 'ubuntu'.
sudo chmod 400 LogServer/Config/logserver.pfx
sudo chown ubuntu:ubuntu LogServer/Config/logserver.pfx
<!--NeedCopy-->

相互TLS認証が必要な場合は、DDC、Storefront、VDA、およびその他のCVADコンポーネントで管理者権限で次のPowerShellコマンドを実行します。

# import client cert at the machine aot client
Import-PfxCertificate -CertStoreLocation Cert:\LocalMachine\My\ -FilePath c:\aotclient.pfx

# Verify successful import
Get-ChildItem Cert:\LocalMachine\My | Where-Object { $_.Subject -like "*AOTclient*" }

# delete temp certificate aotclient.pfx
Remove-Item -Path "C:\aotclient.pfx" -Force
# Ensure LogServer’s certificate is trusted on all machines uploading AOT logs.
<!--NeedCopy-->

注:

テレメトリサービスは「network service」アカウントで実行されているため、certlm.mscグラフィカルインターフェイスを使用して、CitrixAOTClient証明書の秘密キーに対してNETWORK SERVICEに手動でフルコントロールを付与する必要があります。

1. Win + Rを押して、certlm.mscと入力し、Enterキーを押して証明書（ローカルコンピューター）コンソールを開きます。

2. 証明書（ローカルコンピューター）> 個人 > 証明書を展開します。

3. 右側のペインで、CitrixAOTClientに発行された証明書を見つけます。

4. 「秘密キーの管理」を開きます

5. 証明書を右クリックし、「すべてのタスク」>「秘密キーの管理」を選択します

6. アクセス許可ダイアログで、「追加」を選択し、NETWORK SERVICEと入力し、「名前の確認」をクリックします（NT AUTHORITY\NETWORK SERVICEに解決されるはずです）。

7. 権限を適用するには、[OK] をクリックします。

お客様が自己署名証明書を提供する場合、次のようにします。

• ログサーバー側では、logserver.pfx と aotclient.cer が前述のとおりインストールされます。aotclient.cer は enterprise-ca.cer の役割を果たします。
• クライアント側では、aotclient.pfx と logserver.cer が前述のとおりインポートされます。logserver.cer は enterprise-ca.cer の役割を果たします。
• 詳細については、「新しい証明書の作成」を参照してください。

ログサーバーの検証

ログサーバー、VDA、またはDDCでブラウザを開き、http://YourLogServerFQDN:8080/Ping にアクセスします。

ブラウザに「Pong UTC:08/19/2025 01:03:29 Version: 2511.1.6」という応答文字列が表示されます。UTC時刻はLogServerのUTC時刻である必要があります。バージョン文字列には、リリース名とビルド番号が含まれます。

注：

デフォルトポートを使用していない場合はポート8080を構成済みのポートに変更し、HTTPSモードでインストールした場合はhttpをhttpsに変更します。

ログサーバーの検証に失敗した場合は、以下のログを確認してください。

• docker logs logserver を実行して、ドッカーログを確認します。
• Linuxの場合 - $HOME/LogServer/Config/weblogs.txt (デフォルトを使用していない場合は、$HOME/LogServer を実際のインストールパスに変更してください)
• Windowsの場合 - C:\Users\YourUserName\LogServer\Config\weblogs.txt (YourUserName を実際のユーザー名に変更してください。デフォルトを使用していない場合は、C:\Users\YourUserName\LogServer を実際のインストールパスに変更してください)

ログサーバーの詳細設定

リナックスまたはウィンドウズで

logserverを停止するにはdocker stop logserverを実行します。

デフォルトでは、ログサーバーは以下の値で構成されています。変更を行うには、StartLogServer.shを編集するか、Windowsにインストールされている場合はStartLogServer.batを編集します。

-e MAX_RESERVE_DAYS=7
-e MAX_DISK_USAGE_PERCENTAGE=85
-e LOCAL_DOWN_ONLY=true
-e OPENSEARCH_JAVA_OPTS="-Xms2G -Xmx2G"
<!--NeedCopy-->

Linuxで変更が更新されたかどうかを確認するには、./StartLogServer.shを実行します。

Windowsで変更が更新されたかどうかを確認するには、StartLogServer.batを実行します。

シトリックス コネクタ アプライアンス で

以下は、ローカルAPIを介してCitrix Connector Applianceでログサーバーの詳細設定を構成するための手順です。

これはPostman、Curl、またはPowerShellのいずれかで実行できます。以下はPostmanで実行された手順の例です。

1. 認証: JWTの生成

すべてのAPI呼び出しは、JSON Web Token (JWT) を使用して認証する必要があります。まずトークンを生成し、それを後続のリクエストのヘッダーに含める必要があります。

ステップ 1.1: トークンの生成

トークンを生成するには、$loginエンドポイントにPOSTリクエストを実行します。

• エンドポイント: ポスト https://[ip]/$login

• ボディ: 認証に必要なJSONペイロード（例: ユーザー名とパスワード）を含める必要があります。 資格情報が正しい場合、APIはトークンを返します。

このトークン値をコピーして、次のステップで使用します。

ステップ 1.2: API呼び出しの認証

生成されたトークンを、以降のすべてのAPI呼び出しのAuthorizationヘッダーに含めます。トークンにはBearerをプレフィックスとして付ける必要があります。

Authorization: Bearer abCD.efGH.ijKL

APIを認証(/ja-jp/citrix-virtual-apps-desktops/2511/media/aot-install3.png)

有効なトークンはAPI呼び出しの続行を許可します。無効なトークンまたは期限切れのトークンは、エラーメッセージとともに拒否されます。

1. 詳細設定の追加

認証されると、logserverのようなターゲットコンテナの設定を構成できます。MAX_RESERVE_DAYSを構成する

このアクションは、ログサーバーの MAX_RESERVE_DAYS を構成します。

• Endpoint: https://[ip]/providers/logserver-provider/environment
• メソッド: PATCH

リクエストボディ

{ “MAX_RESERVE_DAYS”: “7” }

フィールド

• MAX_RESERVE_DAYS (文字列、必須): デフォルト値は7日です。ログサーバーは、TimeStampフィールドに基づいてログエントリを最大日数保存します。7日前に挿入されたログは削除されます。10分ごとにチェックします。

この例では、10日に変更しています。

フィールド 2(/ja-jp/citrix-virtual-apps-desktops/2511/media/aot-install4.png)

レスポンス

✅ 成功 (204 OK) 設定が適切に構成されていることを示します

同様に、最大ディスク使用率をデフォルトの85から調整することもできます。ここでは90に変更しています。ディスク使用量が90%に達すると、新しいログのためのスペースを確保するために古いログが削除されます。

レスポンス

✅ 成功 (204 OK) 設定が適切に構成されていることを示します