安装和配置日志服务器

日志服务器可以安装在单独的 Linux 或 Windows 服务器上，也可以托管在 Citrix 连接器设备上并利用常青更新。有关每个选项的安装和配置步骤，请参阅相关部分。

安装注意事项

• 为增强安全性，建议在部署中使用 HTTPS。

• 确保所选端口还没有被占用。

• 避免使用特权端口 (0–1023)，因为它们需要管理员或系统级权限。

• 验证防火墙规则是否允许所选端口上的流量。

• 使用有效范围内的端口号 (0–65535)，但要避免使用系统服务常用的端口，以防止冲突。

• 如果您使用 Citrix 连接器设备部署日志服务器，请确保仅配置端口 443。

• 示例中使用的端口号（HTTP 为 8080，HTTPS 为 8443）仅供参考。您无需使用这些确切的端口。请根据您的环境选择合适的端口号，并在配置 AOT 日志服务器时遵循上述安装指南。

通过 Citrix 连接器设备安装日志服务器

日志服务器可以部署在 Citrix 连接器设备中。这种方法消除了部署和管理主机 VM 以及手动下载映像或运行容器命令的需要。日志服务器在连接器设备升级期间会自动载入，并通过持续的连接器更新保持最新，确保您始终拥有最新版本。有关更多信息，请参阅连接器设备更新

通过 Citrix 连接器设备部署日志服务器的步骤

1. 如果您的环境中尚未有连接器设备，请将设备部署到您的虚拟机管理程序或从您的公共云市场部署。所需的最低 Citrix 连接器设备版本为 11.4.1.444。导入后，将设备注册到 Citrix Cloud。有关更多信息，请参阅获取连接器设备

2. 默认情况下，连接器设备具有 2 个 vCPU 和 4GB 内存；请将资源增加到至少 4 个 vCPU 和 16GB 内存，以处理日志服务器请求。

3. 云监视器通过在资源位置中运行在受支持的 Windows Cloud Connector 上的监视器连接器服务检索 AOT 日志。如果日志服务器部署在 Citrix Connector Appliance 上，则同一资源位置中也必须存在受支持的 Windows Cloud Connector。仅 Connector Appliance 不足以供云监视器检索 AOT 跟踪。Cloud Connector 必须运行版本 6.141.0.13739（或 4.420.0.13739）或更高版本。早期版本将导致 GetAotTraces API 调用失败，从而在监视器中出现 HTTP 500 错误。

4. Connector Appliance 提供自签名证书，该证书提供给连接到 Connector Appliance 管理页面的浏览器。为了能够通过 HTTPS 连接到日志服务器，您可以将此自签名证书替换为您自己的、由您的组织签名或使用您的组织信任链生成的证书，有关更多详细信息，请参阅管理证书或替换服务器证书。

5. 升级完成后，登录到 https://<connector-appliance-FQDN-or-IP>/?enable=logserver 处的 Connector Appliance UI，请确保包含“?enable=logserver”才能看到日志服务器 UI。新的“日志服务器”选项卡现在显示存储和身份验证密钥管理选项。

   

6. Connector Appliance 启动磁盘的容量为 20GB。为了支持日志服务器上的高效日志存储，您应该使用您的管理程序或云管理平台向 Connector Appliance 添加另一个虚拟磁盘。此附加磁盘应有足够的空间以满足您的日志存储需求（如上一节所述）。下面的 XenServer 屏幕截图显示了配置了额外磁盘的 Connector Appliance 示例。

   

   注意：

   VMware ESXi 的已知要求：用户必须将附加数据磁盘连接到与根磁盘使用的 SCSI 控制器不同的 SCSI 控制器。

7. 添加密钥磁盘后，日志服务器 UI 将自动检测到它，允许您将其格式化并挂载到 Connector Appliance 上的日志服务器容器。

   

8. 单击“附加磁盘”按钮后，磁盘将挂载到日志服务器容器。

   

9. 主页将显示磁盘的总大小，并提供关于已用空间和可用剩余空间的详细信息。

   

10. 附加磁盘后，通过调用 ping 端点：https://<connector-appliance-FQDN>/ctxlogserver/Ping 验证日志服务器是否正在运行。pong 响应确认日志服务器已成功启动。

11. 点击“生成密钥”，输入角色名称，然后复制或下载身份验证密钥。关闭窗口后，密钥将不再显示。

    

    

Linux 平台上的安装

1. 从 Citrix 下载 下载日志服务器 Docker 容器镜像。
2. 将下载的文件放在同一目录中。
3. 在包含安装程序的目录中，使用终端 (Linux) 或命令提示符 (Windows) 运行安装程序并按照说明操作：

chmod +x ./InstallLogServer

#Install with https mode with port 8443 with default path
./InstallLogServer --https --cert </path/your_private_cert_key.pfx> --port 8443

#Install with http mode, with port 8080 with default path
./InstallLogServer --port 8080

#Command to change the config path and data path of your choice with https mode
./InstallLogServer --https --cert </path/your_private_cert_key.pfx> --port 8443 --config /Path/LogServer/Config --database /Path/LogServer/Data

#Command to change the config path and data path of your choice with http mode
./InstallLogServer --port 8080 --config /Path/LogServer/Config --database /Path/LogServer/Data

#To support CWA client uploading AOT logs, some additional parameters need to be added after the install log server command.
--sta-server http://STA_SERVER_FQDN:port --log-server LOG_SERVER_FQDN:PORT
<!--NeedCopy-->

其中，

• STA_SERVER_FQDN 是 STA 服务器的主机名或 IP 地址（在本地部署中，STA 服务器通常与 DDC 一起安装）。

• LOG_SERVER_FQDN 和 PORT 是日志服务器本身的主机名以及指定的端口（8080、8443 或安装参数中的 –port 值）。

• 日志服务器证书 your_private_cert_key.pfx 必须受到其他 Citrix 组件的信任，AOT 客户端将使用 TLS 连接上传日志。

STA_SERVER 地址允许日志服务器在 StoreFront 无法提供重新连接 STA 票证时（例如在会话超时后）向 Citrix Workspace 应用程序 (CWA) 客户端颁发重新连接 STA 票证。这使得 CWA 客户端能够在连接中断时直接与日志服务器重新建立连接。

当日志服务器从配置的 STA 服务器请求 STA 票证时，将使用 LOG_SERVER 地址。STA 服务器返回一个票证，专门授权连接到日志服务器端点。

如果 CWA 客户端不需要重新连接 STA 票证或无需网关即可直接连接到 LogServer，则这些参数是可选的。

Linux 安装后配置

安装完成后，会生成一些有用的脚本文件：

# In Linux, sh scripts will be generated
DownloadLogsByTime.sh
DownloadLogsByWords.sh
GetAuthKey.sh
ListMachines.sh
StartLogServer.sh
<!--NeedCopy-->

使用 ./StartLogServer.sh to start the server. Check your configpath/weblogs.txt 确认 LogServer 已成功启动。

如果 LogServer 成功启动，我们可以在 weblogs 文件中看到以下消息。LogServer 在 Docker 容器内部使用端口 5000，并选择 http 或 https 协议。

Now listening on https://[::]:5000
<!--NeedCopy-->

如果日志服务器以 HTTP 模式安装，成功日志应显示如下：

Now listening on http://[::]:5000
<!--NeedCopy-->

如果 LogServer 使用 HTTPS，请确保其证书在所有上传 AOT 日志的计算机上都受信任。

注意：

• 在 DDC、Storefront、VDA 等中配置 LogServer URL 时，应使用安装步骤中配置的端口（8080 或 8443 或任何指定的端口）。

• 通常，在 Linux 上启动需要 30 到 60 秒。

Windows 平台上的安装

1. 从 Citrix 下载 下载日志服务器 Docker 容器镜像。
2. 将下载的文件放在同一目录中。
3. 在该目录中通过终端 (Linux) 或命令提示符 (Windows) 运行安装程序，并按照说明操作：

步骤 1

在日志服务器 VM 上为 Windows 安装 Docker Desktop（可能需要订阅）。请按照以下步骤操作，以确保 Docker Desktop 在依赖 WSL 2 的 Windows 系统上正确安装和启动。

1. 在 Docker Desktop 设置中将内存限制设置为 >= 12 GB。

2. Docker Desktop 需要以下 Windows 功能，请确保这些功能已启用。

   • Hyper-V 虚拟化平台
   • 虚拟机平台功能
   • 适用于 Linux 的 视窗 子系统 (WSL)

3. 如果缺少任何功能，请安装它们并重新启动虚拟机以使其生效。

4. 系统重启后，打开 PowerShell（以管理员身份运行）并通过执行命令 wsl --update 更新 WSL。

5. Docker Desktop 需要 WSL 2。通过执行命令 wsl --set-default-version 2 将其配置为默认值。

6. WSL 更新且所需的 视窗 功能启用后，Docker Desktop Engine 应能成功启动。

步骤 2

请运行以下命令以继续进行安装。

注意：

Config 和 Database (Data) 文件夹的默认位置是在 C:\Users<username>\LogServer 路径下创建的。您可以通过以下命令进行修改。

#Install with https mode with port 8443 with default path
InstallLogServer.exe --https --cert <c:\path\cert.pfx> --port 8443

#Install with http mode, with port 8080 with default path
InstallLogServer.exe --port 8080

#Command to change the config path and data path of your choice with https mode
InstallLogServer.exe --https --cert <c:\path\cert.pfx> --port 8443 --config C:\LogServer\Config --database C:\LogServer\Datacmd

#Install with specific config path and data path
InstallLogServer.exe --port 8080 --config C:\LogServer\Config --database C:\LogServer\Datacmd

#To support CWA client uploading AOT logs, some additional parameters need to be added after the install log server command.
--sta-server http://STA_SERVER_FQDN:port --log-server LOG_SERVER_FQDN:PORT
<!--NeedCopy-->

其中，

• STA_SERVER_FQDN 是 STA 服务器的主机名或 IP 地址（在本地部署中，STA 服务器通常与 DDC 一起安装）。

• LOG_SERVER_FQDN 和 PORT 是日志服务器本身的主机名，以及指定的端口（8080、8443 或安装参数中的 –port 值）。

• 日志服务器证书 your_private_cert_key.pfx 必须受到其他 Citrix 组件的信任，AOT 客户端将使用 TLS 连接上传日志。

当 StoreFront 因会话超时而无法提供重新连接的 STA 票证时，STA_SERVER 地址使 LogServer 能够向 CWA 客户端提供这些票证。因此，当连接失败时，CWA 客户端可以直接从 LogServer 获取重新连接票证。

当日志服务器从 STA_SERVER 请求 STA 票证时，会使用 LOG_SERVER 地址。STA_SERVER 会颁发一个 STA 票证，该票证专门授权连接到 LOG_SERVER 地址。

如果 CWA 客户端不需要重新连接的 STA 票证或无需网关即可直接连接到 LogServer，则这些参数是可选的。

Windows 上的安装后配置

安装完成后，会在您保存安装程序文件的同一目录中生成一些有用的脚本文件。

注意：

您可以将这些文件移动到其他位置。但是，请记住新位置，因为在配置日志服务器时将再次需要它们。

#In Windows, bat scripts will be generated in the same directory where you saved the installer files.
DownloadLogsByTime.bat
DownloadLogsByWords.bat
GetAuthKey.bat
ListMachines.bat
StartLogServer.bat
<!--NeedCopy-->

使用 StartLogServer.bat 启动日志服务器。

检查您的 configpath\weblogs.txt 以确认 LogServer 已成功启动

当日志显示以下内容时，表示日志服务器已成功启动。如果 LogServer 成功启动，您将在 weblogs 文件中看到以下消息。LogServer 在 Docker 容器内部使用端口 5000，并选择 http 或 https 协议。

Now listening on: https://[::]:5000
<!--NeedCopy-->

如果日志服务器以 HTTP 模式安装，则成功日志应显示以下内容：

Now listening on: http://[::]:5000
<!--NeedCopy-->

如果 LogServer 使用 HTTPS，请确保其证书在所有上传 AOT 日志的计算机上都受信任。

注意：

• 在 DDC、Storefront、VDA 等中配置日志服务器 URL 时，应使用安装步骤中配置的端口（8080 或 8443 或任何指定的端口）。

• 通常，在 Windows 中，这需要 1~10 分钟，具体取决于硬件。

双向 TLS 身份验证（可选）

双向 TLS (mTLS) 在日志服务器和客户端（VDA、DDC、StoreFront、CWA）之间提供额外的安全层。启用 mTLS 后，客户端和服务器使用您的企业 PKI 颁发的证书相互进行身份验证。

mTLS 在以下环境中非常有用：

• 网络段不受信任或共享
• 不仅需要对日志服务器进行身份验证，还需要对每个 AOT 日志客户端进行身份验证
• 客户希望防止未经授权的系统发送日志数据
• 法规或合规性策略要求基于证书的身份验证。

尽管 mTLS 是可选的，但它通过确保只有受信任的 Citrix 组件才能与日志服务器通信，并且日志服务器可以在接受遥测数据之前验证每个传入连接来增强安全性。

证书的各项要求

要配置 mTLS，必须生成以下证书：

• aotclient.pfx – 此证书专门用于始终在线跟踪日志客户端，这些客户端包括 VDA、DDC、StoreFront 和 CWA 等组件。
• logserver.pfx – 日志服务器使用的证书
• enterprise-ca.cer – 用于签署两个 .pfx 文件的根证书或中间证书

注意

• 如果您使用 Citrix Connector Appliance，请跳过此相互 TLS 部分，因为它不受支持。

• 必须将 enterprise-ca.cer 文件导入到日志服务器和遥测客户端上的“受信任的根证书颁发机构”存储中。

• aotclient.pfx 和 logserver.pfx 这两个证书在任何情况下都不应受到密码的保护。

• aotclient.pfx 的主题必须是 CitrixAOTClient，以便遥测客户端在运行时自动定位证书。

要启用 mTLS，请在日志服务器安装命令中包含 –ca 参数。 此参数指定 enterprise-ca.cer 证书的路径。

# with default path
./InstallLogServer --https --cert logserver.pfx --ca enterprise-ca.cer --port 8443

# with customized path
./InstallLogServer --config /YourPath/LogServer/Config --database /YourPath/LogServer/Data --cert /YourPath/logserver.pfx --ca /YourPath/enterprise-ca.cer --port 8443

# delete temp certificate logserver.pfx in current install directory
sudo rm -rf /YourPath/logserver.pfx

# keep logserver.pfx accessed only by the container process user 'ubuntu'.
sudo chmod 400 LogServer/Config/logserver.pfx
sudo chown ubuntu:ubuntu LogServer/Config/logserver.pfx
<!--NeedCopy-->

如果需要相互 TLS 身份验证，请在 DDC、Storefront、VDA 和其他 CVAD 组件中以管理员权限运行以下 PowerShell 命令。

# import client cert at the machine aot client
Import-PfxCertificate -CertStoreLocation Cert:\LocalMachine\My\ -FilePath c:\aotclient.pfx

# Verify successful import
Get-ChildItem Cert:\LocalMachine\My | Where-Object { $_.Subject -like "*AOTclient*" }

# delete temp certificate aotclient.pfx
Remove-Item -Path "C:\aotclient.pfx" -Force
# Ensure LogServer’s certificate is trusted on all machines uploading AOT logs.
<!--NeedCopy-->

注意：

遥测服务在“网络服务”帐户中运行，因此需要使用 certlm.msc 图形界面手动授予 NETWORK SERVICE 对 CitrixAOTClient 证书私钥的完全控制权限。

1. 按 Win + R，键入 certlm.msc，然后按 Enter 键打开“证书 (本地计算机)”控制台。

2. 展开“证书 (本地计算机)”>“个人”>“证书”。

3. 在右侧窗格中，找到颁发给 CitrixAOTClient 的证书。

4. 打开“管理私钥”

5. 右键单击证书，然后选择“所有任务”>“管理私钥”

6. 在权限对话框中，选择“添加”，键入 NETWORK SERVICE，然后单击“检查名称”（它应解析为 NT AUTHORITY\NETWORK SERVICE）。

7. 单击“确定”以应用权限。

如果客户提供自签名证书，请执行以下操作：

• On the logserver side, logserver.pfx and aotclient.cer are installed as previously described. The aotclient.cer serves the role of enterprise-ca.cer.
• On the client side, aotclient.pfx and logserver.cer are imported as previously described. The logserver.cer serves the role of enterprise-ca.cer.
• 有关详细信息，请参阅创建新证书

验证日志服务器

Open your browser on Log Server or VDA or DDC, visit http://YourLogServerFQDN:8080/Ping

浏览器中将显示响应字符串“Pong UTC:08/19/2025 01:03:29 Version: 2511.1.6”。UTC 时间应为日志服务器的 UTC 时间。版本字符串包含发布名称和构建器编号。

注意：

如果未使用默认端口，请将端口 8080 更改为配置的端口；如果以 HTTPS 模式安装，请将 http 更改为 https。

如果日志服务器验证失败，请检查以下日志：

• Run docker logs logserver to check docker logs.
• 对于 Linux - $HOME/LogServer/Config/weblogs.txt（如果未使用默认路径，请将 $HOME/LogServer 更改为您的实际安装路径）
• 对于 Windows - C:\Users\YourUserName\LogServer\Config\weblogs.txt（将 YourUserName 更改为实际用户名。如果未使用默认路径，请将 C:\Users\YourUserName\LogServer 更改为您的实际安装路径）

日志服务器的高级配置

在 林纳克斯 或 视窗 上

运行 docker stop logserver 以停止日志服务器

默认情况下，日志服务器配置了以下值。要进行更改，请编辑 StartLogServer.sh 或 StartLogServer.bat（如果安装在 Windows 中）。

-e MAX_RESERVE_DAYS=7
-e MAX_DISK_USAGE_PERCENTAGE=85
-e LOCAL_DOWN_ONLY=true
-e OPENSEARCH_JAVA_OPTS="-Xms2G -Xmx2G"
<!--NeedCopy-->

在 Linux 上运行./StartLogServer.sh以验证更改是否已更新。

在 Windows 上运行 StartLogServer.bat 以验证更改是否已更新。

在 Citrix 连接器设备 上

以下是通过本地 API 在 Citrix Connector Appliance 上配置日志服务器高级设置的步骤。

您可以在 Postman、Curl 或 PowerShell 上执行此操作。以下是在 Postman 上执行的说明示例：

1. 身份验证：生成 JWT

所有 API 调用都必须使用 JSON Web Token (JWT) 进行身份验证。您必须首先生成一个令牌，然后将其包含在后续请求的标头中。

步骤 1.1：生成令牌

要生成令牌，请向 $login 端点运行 POST 请求。

• Endpoint: POST https://[ip]/$login

• 正文：您需要包含身份验证所需的 JSON 有效负载（例如，用户名和密码）。 如果凭据正确，API 将返回一个令牌。

复制此令牌值，以用于后续步骤。

步骤 1.2：授权 API 调用

将生成的令牌包含在所有后续 API 调用的授权标头中。令牌必须以 Bearer 为前缀。

Authorization: Bearer abCD.efGH.ijKL

有效的令牌将允许 API 调用继续。无效或过期的令牌将被拒绝并显示错误消息。

1. 添加高级设置

通过身份验证后，您可以为日志服务器等目标容器配置设置 配置 MAX_RESERVE_DAYS

此操作配置日志服务器的 MAX_RESERVE_DAYS。

• Endpoint: https://[ip]/providers/logserver-provider/environment
• Method: PATCH

请求正文

{ “MAX_RESERVE_DAYS”: “7” }

字段

• MAX_RESERVE_DAYS (字符串，必需): 默认值为 7 天。日志服务器根据 TimeStamp 字段存储日志条目的最大天数。7 天前插入的日志将被删除。每 10 分钟检查一次。

在此示例中，我们将其更改为 10 天。

字段 2(/zh-cn/citrix-virtual-apps-desktops/2507-ltsr/media/aot-install4.png)

字段 2(/zh-cn/citrix-virtual-apps-desktops/2507-ltsr/media/aot-install5.png)

字段 3(/zh-cn/citrix-virtual-apps-desktops/2507-ltsr/media/aot-install6.png)

响应结果

✅ 成功 (204 OK) 表示设置已正确配置

响应 1(/zh-cn/citrix-virtual-apps-desktops/2507-ltsr/media/aot-install7.png)

同样，我们也可以将最大磁盘使用率从默认的 85% 调整。我们在此将其更改为 90%。当磁盘使用率达到 90% 时，旧日志将被删除以腾出空间给新日志。

响应 2(/zh-cn/citrix-virtual-apps-desktops/2507-ltsr/media/aot-install8.png)

响应

✅ 成功 (204 OK) 表示设置已正确配置