Instalando e Configurando o Servidor de Log
O Servidor de Log pode ser configurado em servidores Linux ou Windows individuais ou hospedado no appliance conector Citrix e aproveitar as atualizações contínuas. Consulte a seção relevante para obter as etapas de instalação e configuração para cada opção.
Observação para Instalação
Para segurança aprimorada, o HTTPS é recomendado na implantação.
Certifique-se de que a porta selecionada não esteja em uso.
Evite usar portas privilegiadas (0–1023), pois elas exigem permissões de administrador ou de nível de sistema.
Verifique se as regras do firewall permitem tráfego na porta escolhida.
Use um número de porta dentro do intervalo válido (0–65535), mas evite portas comumente usadas por serviços do sistema para evitar conflitos.
Se você estiver usando o Citrix Connector Appliance para implantar o Servidor de Log, certifique-se de que apenas a porta 443 esteja configurada.
Os números de porta usados nos exemplos (8080 para HTTP e 8443 para HTTPS) são apenas para referência. Você não é obrigado a usar essas portas exatas. Selecione números de porta apropriados com base no seu ambiente e siga as diretrizes de instalação descritas acima ao configurar o Servidor de Log AOT.
Instalando o Servidor de Log via Citrix Connector Appliance
O Servidor de Log pode ser implantado dentro do Citrix Connector Appliance. Essa abordagem elimina a necessidade de implantar e gerenciar uma VM host e baixar imagens manualmente ou executar comandos de contêiner. O Servidor de Log é automaticamente integrado durante a atualização do Connector Appliance e permanece atualizado por meio de atualizações contínuas do conector, garantindo que você sempre tenha a versão mais recente. Para obter mais informações, consulte Atualizações do appliance conector
Etapas para Implantar o Servidor de Log via Citrix Connector Appliance
-
Se o seu ambiente ainda não possui um Connector Appliance, implante o appliance em seu hypervisor ou a partir do seu marketplace de nuvem pública. O Citrix Connector Appliance mínimo necessário é 11.4.1.444. Após a importação, registre o appliance no Citrix Cloud. Para obter mais informações, consulte Obter o appliance conector
-
Por padrão, o Connector Appliance possui 2 vCPUs e 4GB de memória; aumente os recursos para pelo menos 4 vCPUs e 16GB de memória para lidar com as solicitações do servidor de log.
-
O Cloud Monitor recupera logs AOT através do serviço Monitor Connector em execução em um Cloud Connector Windows compatível no Local do Recurso. Se o Log Server for implantado no Citrix Connector Appliance, um Cloud Connector Windows compatível também deve estar presente no mesmo Local do Recurso. O Connector Appliance sozinho não é suficiente para o Cloud Monitor recuperar rastreamentos AOT. O Cloud Connector deve estar executando a versão 6.141.0.13739 (ou 4.420.0.13739) ou posterior. Versões anteriores farão com que a chamada de API
GetAotTracesfalhe, resultando em um erro HTTP 500 no Monitor. -
O Connector Appliance fornece um certificado autoassinado que é servido a um navegador que se conecta à página de administração do Connector Appliance. Para poder se conectar ao logserver via HTTPS, você pode substituir este certificado autoassinado por um de sua própria autoria, assinado por sua organização ou gerado usando a cadeia de confiança de sua organização. Para mais detalhes, consulte Gerenciando Certificados ou Substituir Certificado do Servidor.
-
Após a conclusão da atualização, faça login na UI do Connector Appliance em
https://<connector-appliance-FQDN-or-IP>/?enable=logserver, certifique-se de ter o “?enable=logserver” para poder ver a UI do logserver. A nova guia Log Server agora mostra as opções de gerenciamento de armazenamento e chave de autenticação.
-
O disco de inicialização do Connector Appliance tem uma capacidade de 20 GB. Para suportar o armazenamento eficiente de logs no logserver, você deve adicionar outro disco virtual ao Connector Appliance usando seu hipervisor ou plataforma de gerenciamento de nuvem. Este disco adicional deve ter espaço suficiente para atender às suas necessidades de armazenamento de logs (conforme explicado na seção anterior). A captura de tela do XenServer abaixo mostra um exemplo de um Connector Appliance com um disco extra configurado.
Nota:
Um requisito conhecido para VMware ESXi: Os usuários devem anexar o disco de dados adicional a um controlador SCSI diferente daquele usado pelo disco raiz.
-
Após adicionar o disco de chave, a UI do logserver o detectará automaticamente, permitindo que você o formate e o monte no contêiner do logserver no Connector Appliance.
-
Depois de clicar no botão “Anexar disco”, o disco será montado no contêiner do logserver.
-
A página principal exibirá o tamanho do disco, juntamente com informações sobre quanto espaço é usado e quanto resta.
-
Após o disco ser anexado, verifique se o Log Server está em execução chamando o endpoint de ping:
https://<connector-appliance-FQDN>/ctxlogserver/Ping. Uma resposta ‘pong’ confirma que o Log Server foi iniciado com sucesso. -
Clique em “Gerar chave”, insira o nome da função e, em seguida, copie ou baixe a chave de autenticação. A chave não será exibida novamente depois que você fechar a janela.
Instalação no Linux
- Baixe a imagem do contêiner Docker do servidor de log em downloads da Citrix.
- Coloque os arquivos baixados no mesmo diretório.
- Execute o instalador no diretório com o terminal (Linux) ou prompt de comando (Windows) e siga as instruções:
chmod +x ./InstallLogServer
#Install with https mode with port 8443 with default path
./InstallLogServer --https --cert </path/your_private_cert_key.pfx> --port 8443
#Install with http mode, with port 8080 with default path
./InstallLogServer --port 8080
#Command to change the config path and data path of your choice with https mode
./InstallLogServer --https --cert </path/your_private_cert_key.pfx> --port 8443 --config /Path/LogServer/Config --database /Path/LogServer/Data
#Command to change the config path and data path of your choice with http mode
./InstallLogServer --port 8080 --config /Path/LogServer/Config --database /Path/LogServer/Data
#To support CWA client uploading AOT logs, some additional parameters need to be added after the install log server command.
--sta-server http://STA_SERVER_FQDN:port --log-server LOG_SERVER_FQDN:PORT
<!--NeedCopy-->
Onde,
-
STA_SERVER_FQDN é o nome do host ou endereço IP do servidor STA (Em instalações locais, o servidor STA geralmente é instalado junto com o DDC.)
-
LOG_SERVER_FQDN e PORT são o nome do host do próprio servidor de log e a porta especificada (8080, 8443 ou o valor –port no parâmetro de instalação).
-
O certificado do servidor de log your_private_cert_key.pfx deve ser confiável para outros componentes Citrix, onde o cliente AOT usará a conexão TLS para carregar logs.
O endereço STA_SERVER permite que o Servidor de Log emita tíquetes STA de reconexão para clientes do aplicativo Citrix Workspace (CWA) quando o StoreFront não puder fornecê-los — como após um tempo limite de sessão. Isso permite que os clientes CWA restabeleçam a conexão diretamente com o Servidor de Log se ocorrer uma interrupção de conexão.
O endereço LOG_SERVER é usado quando o Servidor de Log solicita um tíquete STA do servidor STA configurado. O servidor STA retorna um tíquete que autoriza conexões especificamente para o endpoint do Servidor de Log.
Esses parâmetros são opcionais se os clientes CWA não precisarem de tíquetes STA de reconexão ou se conectarem ao LogServer diretamente sem um gateway.
Pós-instalação no Linux
Após a instalação, alguns arquivos de script úteis são gerados:
# In Linux, sh scripts will be generated
DownloadLogsByTime.sh
DownloadLogsByWords.sh
GetAuthKey.sh
ListMachines.sh
StartLogServer.sh
<!--NeedCopy-->
Use ./StartLogServer.sh to start the server. Check your configpath/weblogs.txt para confirmar que o LogServer foi iniciado com sucesso.
Se o LogServer iniciar com sucesso, podemos ver a mensagem abaixo no arquivo weblogs. A porta 5000 é usada pelo LogServer internamente em contêineres Docker com o protocolo http ou https selecionado.
Now listening on https://[::]:5000
<!--NeedCopy-->
Se o servidor de log foi instalado no modo HTTP, os logs bem-sucedidos devem mostrar o seguinte:
Now listening on http://[::]:5000
<!--NeedCopy-->
Se o LogServer usar HTTPS, certifique-se de que seu certificado seja confiável em todas as máquinas que carregam logs AOT
Nota:
A porta configurada na etapa de instalação (8080 ou 8443 ou qualquer porta especificada) deve ser usada ao configurar a URL do LogServer em DDC, Storefront, VDA, etc.
Geralmente, leva de 30s a 60s para iniciar no Linux.
Instalação no Windows
- Baixe a imagem do contêiner Docker do servidor de log em Downloads da Citrix.
- Coloque os arquivos baixados no mesmo diretório.
- Execute o instalador no diretório com o terminal (Linux) ou prompt de comando (Windows) e siga as instruções:
Etapa 1
Instale o Docker Desktop (pode ser necessária uma assinatura) para Windows na VM do servidor de log. Siga as etapas abaixo para garantir que o Docker Desktop seja instalado e iniciado corretamente em sistemas Windows que dependem do WSL 2.
-
Defina o limite de memória >= 12 GB nas configurações do Docker Desktop
-
O Docker Desktop requer os seguintes recursos do Windows; certifique-se de verificar se esses recursos estão habilitados.
- Hyper-V
- Plataforma de Máquina Virtual
- Subsistema Windows para Linux (WSL)
-
Se algum recurso estiver faltando, instale-o e reinicie a VM para que as alterações entrem em vigor.
-
Após a reinicialização do sistema, abra o PowerShell (Executar como Administrador) e atualize o WSL executando o comando
wsl --update -
O Docker Desktop requer o WSL 2. Configure-o como padrão executando o comando
wsl --set-default-version 2 -
Assim que o WSL for atualizado e os recursos necessários do Windows estiverem habilitados, o Docker Desktop Engine deverá iniciar com sucesso.
Etapa 2
Execute os comandos abaixo para continuar a instalação.
Observação:
O local padrão das pastas Config e Database (Dados) é criado em C:\Users<username>\LogServer. Você pode alterá-las com os comandos abaixo
#Install with https mode with port 8443 with default path
InstallLogServer.exe --https --cert <c:\path\cert.pfx> --port 8443
#Install with http mode, with port 8080 with default path
InstallLogServer.exe --port 8080
#Command to change the config path and data path of your choice with https mode
InstallLogServer.exe --https --cert <c:\path\cert.pfx> --port 8443 --config C:\LogServer\Config --database C:\LogServer\Datacmd
#Install with specific config path and data path
InstallLogServer.exe --port 8080 --config C:\LogServer\Config --database C:\LogServer\Datacmd
#To support CWA client uploading AOT logs, some additional parameters need to be added after the install log server command.
--sta-server http://STA_SERVER_FQDN:port --log-server LOG_SERVER_FQDN:PORT
<!--NeedCopy-->
Onde,
-
STA_SERVER_FQDN é o nome do host ou endereço IP do servidor STA (Em instalações locais, o servidor STA geralmente é instalado junto com o DDC).
-
LOG_SERVER_FQDN e PORT são o nome do host do próprio servidor de log e a porta especificada (8080, 8443 ou o valor –port no parâmetro de instalação).
-
O certificado do servidor de log your_private_cert_key.pfx deve ser confiável para outros componentes Citrix, onde o cliente AOT usará a conexão TLS para carregar logs.
O endereço STA_SERVER permite que o LogServer forneça tickets STA de reconexão aos clientes CWA quando o StoreFront não puder fornecê-los devido ao tempo limite da sessão. Como resultado, os clientes CWA podem obter tickets de reconexão diretamente do LogServer em caso de falhas de conexão.
O endereço LOG_SERVER é utilizado quando o servidor de log solicita um ticket STA do STA_SERVER. O STA_SERVER emite um ticket STA que autoriza exclusivamente conexões para o endereço LOG_SERVER.
Esses parâmetros são opcionais se os clientes CWA não precisarem de tickets STA de reconexão ou se conectarem ao LogServer diretamente sem um gateway.
Pós-instalação no Windows
Após a instalação, alguns arquivos de script úteis são gerados no mesmo diretório onde você salvou os arquivos do instalador.
Nota:
Você pode mover esses arquivos para um local diferente. No entanto, lembre-se do novo local, pois eles serão necessários novamente ao configurar o Servidor de Log.
#In Windows, bat scripts will be generated in the same directory where you saved the installer files.
DownloadLogsByTime.bat
DownloadLogsByWords.bat
GetAuthKey.bat
ListMachines.bat
StartLogServer.bat
<!--NeedCopy-->
Use StartLogServer.bat para iniciar o servidor de log.
Verifique seu configpath\weblogs.txt para confirmar que o LogServer foi iniciado com sucesso
Quando os logs mostrarem o que está abaixo, significa que o Servidor de Log foi iniciado com sucesso. Se o LogServer for iniciado com sucesso, você verá a mensagem abaixo no arquivo de weblogs. A porta 5000 é usada pelo LogServer internamente em contêineres Docker com o protocolo http ou https selecionado.
Now listening on: https://[::]:5000
<!--NeedCopy-->
Se o servidor de log foi instalado no modo HTTP, os logs bem-sucedidos devem mostrar o seguinte:
Now listening on: http://[::]:5000
<!--NeedCopy-->
Se o LogServer usar HTTPS, certifique-se de que seu certificado seja confiável em todas as máquinas que carregam logs AOT.
Nota:
A porta configurada na etapa de instalação (8080 ou 8443 ou qualquer porta especificada) deve ser usada ao configurar a URL do servidor de log em DDC, Storefront, VDA, etc.
Geralmente, leva de 1 a 10 minutos, dependendo do hardware no Windows.
Autenticação TLS mútua (opcional)
O TLS mútuo (mTLS) fornece uma camada adicional de segurança entre o Servidor de Log e os clientes (VDA, DDC, StoreFront, CWA). Quando o mTLS está ativado, tanto o cliente quanto o servidor se autenticam mutuamente usando certificados emitidos pela sua PKI corporativa.
O mTLS é útil em ambientes onde:
- Segmentos de rede não são confiáveis ou são compartilhados
- Há um requisito para autenticar não apenas o Servidor de Log, mas também cada cliente de log AOT
- Os clientes desejam impedir que sistemas não autorizados enviem dados de log
- Políticas regulatórias ou de conformidade exigem autenticação baseada em certificado.
Embora o mTLS seja opcional, ele aprimora a segurança garantindo que apenas componentes Citrix confiáveis possam se comunicar com o Servidor de Log, e que o servidor de log possa verificar cada conexão de entrada antes de aceitar dados de telemetria.
Requisitos de certificado
Para configurar o mTLS, os seguintes certificados devem ser gerados:
- aotclient.pfx – Certificado usado pelos clientes de log AOT (VDA, DDC, StoreFront, CWA)
- logserver.pfx – Certificado usado pelo Servidor de Log
- enterprise-ca.cer – O certificado raiz ou intermediário usado para assinar ambos os arquivos .pfx
Nota
Ignore esta seção de TLS Mútuo se você usar o Citrix Connector Appliance, pois não é suportado.
O arquivo enterprise-ca.cer deve ser importado para o armazenamento de Autoridades de Certificação Raiz Confiáveis (Trusted Root Certification Authorities) tanto no Log Server quanto nos clientes de telemetria.
Os certificados aotclient.pfx e logserver.pfx não devem ser protegidos por senha.
O assunto de aotclient.pfx deve ser CitrixAOTClient, permitindo que o cliente de telemetria localize automaticamente o certificado durante o tempo de execução.
Para habilitar o mTLS, inclua o parâmetro –ca no comando de instalação do Log Server. Este parâmetro especifica o caminho para o certificado enterprise-ca.cer.
# with default path
./InstallLogServer --https --cert logserver.pfx --ca enterprise-ca.cer --port 8443
# with customized path
./InstallLogServer --config /YourPath/LogServer/Config --database /YourPath/LogServer/Data --cert /YourPath/logserver.pfx --ca /YourPath/enterprise-ca.cer --port 8443
# delete temp certificate logserver.pfx in current install directory
sudo rm -rf /YourPath/logserver.pfx
# keep logserver.pfx accessed only by the container process user 'ubuntu'.
sudo chmod 400 LogServer/Config/logserver.pfx
sudo chown ubuntu:ubuntu LogServer/Config/logserver.pfx
<!--NeedCopy-->
Se a autenticação mútua TLS for necessária, execute o seguinte comando PowerShell em DDC, Storefront, VDA e outros componentes CVAD com privilégios de administrador.
# import client cert at the machine aot client
Import-PfxCertificate -CertStoreLocation Cert:\LocalMachine\My\ -FilePath c:\aotclient.pfx
# Verify successful import
Get-ChildItem Cert:\LocalMachine\My | Where-Object { $_.Subject -like "*AOTclient*" }
# delete temp certificate aotclient.pfx
Remove-Item -Path "C:\aotclient.pfx" -Force
# Ensure LogServer’s certificate is trusted on all machines uploading AOT logs.
<!--NeedCopy-->
Nota:
O serviço de telemetria está sendo executado na conta “serviço de rede”, portanto, é necessário conceder manualmente ao SERVIÇO DE REDE controle total sobre a chave privada do certificado CitrixAOTClient, usando a interface gráfica certlm.msc.
Pressione Win + R, digite certlm.msc e pressione Enter para abrir o console Certificados (Computador Local).
Expanda Certificados (Computador Local) > Pessoal > Certificados.
No painel direito, localize o certificado emitido para CitrixAOTClient.
Abra “Gerenciar Chaves Privadas”
Clique com o botão direito do mouse no certificado e selecione Todas as Tarefas > Gerenciar Chaves Privadas
Na caixa de diálogo de permissões, selecione Adicionar, digite NETWORK SERVICE e clique em Verificar Nomes (deve resolver para NT AUTHORITY\NETWORK SERVICE).
Clique em OK para aplicar as permissões.
Se o cliente fornecer certificados autoassinados, faça o seguinte:
- No lado do logserver, logserver.pfx e aotclient.cer são instalados conforme descrito anteriormente. O aotclient.cer desempenha o papel de enterprise-ca.cer.
- No lado do cliente, aotclient.pfx e logserver.cer são importados conforme descrito anteriormente. O logserver.cer desempenha o papel de enterprise-ca.cer.
- Para obter mais informações, consulte Criar um novo certificado
Verificar o Servidor de Log
Abra seu navegador no Servidor de Log ou VDA ou DDC, visite http://YourLogServerFQDN:8080/Ping
Uma string de resposta “Pong UTC:08/19/2025 01:03:29 Version: 2511.1.6 será exibida no navegador. A hora UTC deve ser a hora UTC do LogServer. A string de versão contém o nome da versão e o número do build.
Nota:
Altere a porta 8080 para a porta configurada, se não estiver usando a porta padrão, e altere http para https se instalado com o modo HTTPS.
Se a verificação do servidor de log falhar, verifique os seguintes logs:
- Execute docker logs logserver para verificar os logs do docker.
- Para Linux -
$HOME/LogServer/Config/weblogs.txt(altere $HOME/LogServer para o seu caminho de instalação real, se não estiver usando o padrão) - Para Windows -
C:\Users\YourUserName\LogServer\Config\weblogs.txt(Altere YourUserName para o nome de usuário real. Altere C:\Users\YourUserName\LogServer para o seu caminho de instalação real, se não estiver usando o padrão)
Configuração Avançada do Servidor de Log
No Linux ou Windows
Execute docker stop logserver para parar o servidor de log
Por padrão, o servidor de log é configurado com os valores abaixo. Para fazer as alterações, edite o StartLogServer.sh ou StartLogServer.bat se instalado no Windows.
-e MAX_RESERVE_DAYS=7
-e MAX_DISK_USAGE_PERCENTAGE=85
-e LOCAL_DOWN_ONLY=true
-e OPENSEARCH_JAVA_OPTS="-Xms2G -Xmx2G"
<!--NeedCopy-->
| Opções de Configuração do Servidor de Log | Valor Padrão | Intervalo de Valores | Descrição |
|---|---|---|---|
| LOG_LEVEL | 2 | 0-4 | 0=Rastreamento, 1=Depuração, 2=Informação, 3=Aviso, 4=Erro |
| CORS_ORIGINS | “Url” ou “url1;url2;url3” | Modifique este valor para permitir que o cliente CWA H5/Chrome faça upload de logs AOT. Suporta múltiplas URLs separadas por “;” | |
| MAX_RESERVE_DAYS | 7 | 1~30 | O Log Server armazena entradas de log por um número máximo de dias com base no campo TimeStamp. Logs inseridos há 7 dias serão excluídos. Verificação a cada 10 minutos. |
| MAX_DISK_USAGE_PERCENTAGE | 85 | 10~90 | O Log Server monitora a porcentagem de uso do armazenamento de dados. Se a porcentagem de uso for superior a 90%, o Log Server excluirá logs antigos dia a dia até que a porcentagem de uso seja inferior a 90%. Verificação a cada 10 minutos. |
| LOCAL_DOWN_ONLY | verdadeiro | true/false | Se true, apenas a máquina onde o Log Server está instalado pode acessar as /Download/APIs. Se false, outras máquinas com AuthKey podem acessar as /Download/ APIs. |
| OPENSEARCH_JAVA_OPTS | “-Xms2G -Xmx2G” | 2G ~ MaxMem/2 | Configurações de memória do Opensearch. Forneça mais memória se houver muitas máquinas enviando logs para o Log Server. Ex., 0~999 máquinas: 2GB 1000~1999 máquinas: 4GB 2000~9999 máquinas: 6GB |
Execute ./StartLogServer.sh no Linux para verificar se as alterações foram atualizadas.
Execute StartLogServer.bat no Windows para verificar se as alterações foram atualizadas.
No Citrix Connector Appliance
Abaixo estão as etapas para configurar as configurações avançadas do servidor de log no Citrix Connector Appliance via API local.
Você pode executar isso no Postman, Curl ou PowerShell. Abaixo está um exemplo de instruções executadas no Postman:
- Autenticação: Gerando um JWT
Todas as chamadas de API devem ser autenticadas usando um JSON Web Token (JWT). Você deve primeiro gerar um token que será incluído no cabeçalho das solicitações subsequentes.
Etapa 1.1: Gerar o Token
Para gerar o token, execute uma solicitação POST para o endpoint $login.
-
Endpoint: POST https://[ip]/$login
-
Corpo: Você precisará incluir o payload JSON necessário para autenticação (por exemplo, nome de usuário e senha). Se as credenciais estiverem corretas, a API retornará um token.
Copie este valor de token para usar nas próximas etapas.
Etapa 1.2: Autorizar Chamadas de API
Inclua o token gerado no cabeçalho Authorization para todas as chamadas de API subsequentes. O token deve ser prefixado com Bearer.
Autorização: Bearer abCD.efGH.ijKL
Um token válido permitirá que a chamada da API prossiga. Um token inválido ou expirado será rejeitado com uma mensagem de erro.
- Adicionando configurações avançadas
Uma vez autenticado, você pode configurar as definições para um contêiner de destino como o logserver Configurar o MAX_RESERVE_DAYS
Esta ação configura o MAX_RESERVE_DAYS para o logserver.
- Ponto de extremidade: https://[ip]/providers/logserver-provider/environment
- Método: PATCH
Corpo da Requisição
{ “MAX_RESERVE_DAYS”: “7” }
Campos
- MAX_RESERVE_DAYS (string, obrigatório): O valor padrão é 7 dias. O Log Server armazena entradas de log por no máximo dias com base no campo TimeStamp. Logs que foram inseridos há 7 dias serão excluídos. Verificação a cada 10 minutos.
Neste exemplo, estamos alterando para 10 dias.
Respostas
✅ Sucesso (204 OK) Indica que a configuração está configurada corretamente
Da mesma forma, também podemos ajustar a Porcentagem Máxima de Uso do Disco de seu padrão de 85. Estamos alterando para 90 aqui. Quando o uso do disco atinge 90%, os logs antigos são excluídos para abrir espaço para novos.
Resposta
✅ Sucesso (204 OK) Indica que a configuração está configurada corretamente