安装和配置日志服务器

日志服务器可以设置在单独的 Linux 或 Windows 服务器上，也可以托管在 Citrix 连接器设备上并利用常青更新。有关每个选项的安装和配置步骤，请参阅相关部分。

安装注意事项

• 为增强安全性，建议在部署中使用 HTTPS。

• 确保所选端口尚未被其他程序占用。

• 避免使用特权端口 (0–1023)，因为它们需要管理员或系统级权限。

• 验证防火墙规则是否允许所选端口上的流量。

• 使用有效范围内的端口号 (0–65535)，但避免使用系统服务常用的端口，以防止冲突。

• 如果您使用 Citrix 连接器设备部署日志服务器，请确保仅配置端口 443。

• 示例中使用的端口号（HTTP 为 8080，HTTPS 为 8443）仅供参考。您无需使用这些确切的端口。请根据您的环境选择合适的端口号，并在配置 AOT 日志服务器时遵循上述安装指南。

通过 Citrix 连接器设备安装日志服务器

日志服务器可以部署在 Citrix 连接器设备中。这种方法无需部署和管理主机 VM，也无需手动下载映像或运行容器命令。日志服务器在连接器设备升级期间会自动加入，并通过持续的连接器更新保持最新，确保您始终拥有最新版本。有关详细信息，请参阅连接器设备更新

通过 Citrix 连接器设备部署日志服务器的步骤

1. 如果您的环境尚未有连接器设备，请将设备部署到您的虚拟机管理程序或从您的公共云市场部署。所需的最低 Citrix 连接器设备版本为 11.4.1.444。导入后，将设备注册到 Citrix Cloud。有关详细信息，请参阅获取连接器设备

2. 默认情况下，连接器设备具有 2 个 vCPU 和 4GB 内存；请将资源增加到至少 4 个 vCPU 和 16GB 内存，以处理日志服务器请求。

3. 云监控通过资源位置中在受支持的 Windows 云连接器上运行的监控连接器服务检索 AOT 日志。如果日志服务器部署在 Citrix 连接器设备上，则同一资源位置中也必须存在一个受支持的 Windows 云连接器。仅凭连接器设备本身不足以让云监控检索 AOT 跟踪。云连接器必须运行版本 6.141.0.13739（或 4.420.0.13739）或更高版本。较早的版本将导致 GetAotTraces API 调用失败，从而在监控中产生 HTTP 500 错误。

4. Connector Appliance 提供自签名证书，该证书提供给连接到 Connector Appliance 管理页面的浏览器。为了能够通过 HTTPS 连接到日志服务器，您可以将此自签名证书替换为由您的组织签名或使用您的组织信任链生成的证书，更多详细信息请参阅管理证书 或 替换服务器证书。

5. 升级完成后，登录到 https://<connector-appliance-FQDN-or-IP>/?enable=logserver 处的 Connector Appliance UI，确保包含“?enable=logserver”才能看到日志服务器 UI。新的“日志服务器”选项卡现在显示存储和身份验证密钥管理选项。

   

6. 连接器设备启动磁盘的容量为 20GB。为了支持日志服务器上的高效日志存储，您应该使用您的虚拟机管理程序或云管理平台向连接器设备添加另一个虚拟磁盘。此附加磁盘应有足够的空间来满足您的日志存储需求（如上一节所述）。

   下面的 XenServer 屏幕截图显示了一个配置了额外磁盘的连接器设备示例。

   

   注意：

   VMware ESXi 的已知要求：用户必须将附加数据磁盘连接到与根磁盘所用 SCSI 控制器不同的 SCSI 控制器。

7. 添加密钥磁盘后，日志服务器 UI 将自动检测到它，允许您将其格式化并挂载到连接器设备上的日志服务器容器。

   

8. 单击“附加磁盘”按钮后，磁盘将挂载到日志服务器容器。

   

9. 主页将显示磁盘大小，以及关于已用空间量和剩余空间量的信息。

   

10. 磁盘附加后，通过调用 ping 端点验证日志服务器是否正在运行：https://<connector-appliance-FQDN>/ctxlogserver/Ping。pong 响应确认日志服务器已成功启动。

11. 单击“生成密钥”，输入角色名称，然后复制或下载身份验证密钥。关闭窗口后，密钥将不再显示。

    

    

Linux 系统安装

1. 从 Citrix 下载 下载日志服务器 Docker 容器映像。
2. 将下载的文件放置在同一目录中。
3. 在包含安装程序的目录中，使用终端 (Linux) 或命令提示符 (Windows) 运行安装程序，并按照说明操作：

chmod +x ./InstallLogServer

#Install with https mode with port 8443 with default path
./InstallLogServer --https --cert </path/your_private_cert_key.pfx> --port 8443

#Install with http mode, with port 8080 with default path
./InstallLogServer --port 8080

#Command to change the config path and data path of your choice with https mode
./InstallLogServer --https --cert </path/your_private_cert_key.pfx> --port 8443 --config /Path/LogServer/Config --database /Path/LogServer/Data

#Command to change the config path and data path of your choice with http mode
./InstallLogServer --port 8080 --config /Path/LogServer/Config --database /Path/LogServer/Data

#To support CWA client uploading AOT logs, some additional parameters need to be added after the install log server command.
--sta-server http://STA_SERVER_FQDN:port --log-server LOG_SERVER_FQDN:PORT
<!--NeedCopy-->

其中，

• STA_SERVER_FQDN 是 STA 服务器的主机名或 IP 地址（在本地部署中，STA 服务器通常与 DDC 一起安装）。

• LOG_SERVER_FQDN 和 PORT 是日志服务器本身的主机名，以及指定的端口（8080、8443 或安装参数中的 –port 值）。

• 日志服务器证书 your_private_cert_key.pfx 必须受到其他 Citrix 组件的信任，AOT 客户端将使用 TLS 连接上传日志。

STA_SERVER 地址允许日志服务器在 StoreFront 无法提供重新连接 STA 票证时（例如在会话超时后）向 Citrix Workspace 应用程序 (CWA) 客户端颁发重新连接 STA 票证。这使得 CWA 客户端能够在连接中断时直接与日志服务器重新建立连接。

当日志服务器从配置的 STA 服务器请求 STA 票证时，将使用 LOG_SERVER 地址。STA 服务器返回一个票证，该票证专门授权连接到日志服务器端点。

如果 CWA 客户端不需要重新连接 STA 票证或无需网关即可直接连接到 LogServer，则这些参数是可选的。

Linux 系统安装后

安装后，会生成一些有用的脚本文件：

# In Linux, sh scripts will be generated
DownloadLogsByTime.sh
DownloadLogsByWords.sh
GetAuthKey.sh
ListMachines.sh
StartLogServer.sh
<!--NeedCopy-->

使用 ./StartLogServer.sh to start the server. Check your configpath/weblogs.txt 确认 LogServer 已成功启动。

如果 LogServer 成功启动，我们可以在 weblogs 文件中看到以下消息。端口 5000 由 LogServer 在 Docker 容器内部使用，并选择 http 或 https 协议。

Now listening on https://[::]:5000
<!--NeedCopy-->

如果日志服务器以 HTTP 模式安装，则成功日志应显示以下内容：

Now listening on http://[::]:5000
<!--NeedCopy-->

如果 LogServer 使用 HTTPS，请确保其证书在所有上传 AOT 日志的计算机上都受信任

注意：

• 在 DDC、Storefront、VDA 等中配置 LogServer URL 时，应使用安装步骤中配置的端口（8080 或 8443 或任何指定的端口）。

• 通常，在 Linux 上启动需要 30 到 60 秒。

Windows 操作系统安装

1. 从 Citrix 下载 下载日志服务器 Docker 容器映像。
2. 将下载的文件放在同一目录中。
3. 在包含终端（Linux）或命令提示符（Windows）的目录中运行安装程序，并按照说明进行操作：

步骤 1

在日志服务器 VM 上为 Windows 安装 Docker Desktop（可能需要订阅）。按照以下步骤操作，以确保 Docker Desktop 在依赖 WSL 2 的 Windows 系统上正确安装和启动。

1. 在 Docker Desktop 设置中将内存限制设置为 >= 12 GB

2. Docker Desktop 需要以下 Windows 功能，请确保验证这些功能已启用。

   • Hyper-V 虚拟化技术
   • 虚拟机平台功能
   • 适用于林纳克斯的视窗子系统 (WSL)

3. 如果缺少任何功能，请安装它们并重新启动虚拟机以使其生效。

4. 系统重启后，打开 PowerShell（以管理员身份运行）并通过执行命令 wsl --update 更新 WSL

5. Docker Desktop 需要 WSL 2。通过执行命令 wsl --set-default-version 2 将其配置为默认值

6. WSL 更新且所需的 Windows 功能启用后，Docker Desktop 引擎应能成功启动。

步骤 2

请运行以下命令，以继续安装过程。

注意：

配置和数据库 (数据) 文件夹的默认位置在 C:\Users<username>\LogServer 下创建。您可以使用以下命令更改它们

#Install with https mode with port 8443 with default path
InstallLogServer.exe --https --cert <c:\path\cert.pfx> --port 8443

#Install with http mode, with port 8080 with default path
InstallLogServer.exe --port 8080

#Command to change the config path and data path of your choice with https mode
InstallLogServer.exe --https --cert <c:\path\cert.pfx> --port 8443 --config C:\LogServer\Config --database C:\LogServer\Datacmd

#Install with specific config path and data path
InstallLogServer.exe --port 8080 --config C:\LogServer\Config --database C:\LogServer\Datacmd

#To support CWA client uploading AOT logs, some additional parameters need to be added after the install log server command.
--sta-server http://STA_SERVER_FQDN:port --log-server LOG_SERVER_FQDN:PORT
<!--NeedCopy-->

其中，

• STA_SERVER_FQDN 是 STA 服务器的主机名或 IP 地址（在本地部署中，STA 服务器通常与 DDC 一起安装。）

• LOG_SERVER_FQDN 和 PORT 分别是日志服务器本身的主机名，以及指定的端口（8080、8443 或安装参数中的 –port 值）。

• 日志服务器证书 your_private_cert_key.pfx 必须受到其他 Citrix 组件的信任，AOT 客户端将使用 TLS 连接上传日志。

当 StoreFront 因会话超时而无法提供重新连接 STA 票证时，STA_SERVER 地址使 LogServer 能够向 CWA 客户端提供重新连接 STA 票证。因此，在连接失败时，CWA 客户端可以直接从 LogServer 获取重新连接票证。

当日志服务器从 STA_SERVER 请求 STA 票证时，会使用 LOG_SERVER 地址。STA_SERVER 颁发的 STA 票证专门授权连接到 LOG_SERVER 地址。

如果 CWA 客户端不需要重新连接 STA 票证或无需网关即可直接连接到 LogServer，则这些参数是可选的。

Windows 安装后的配置

安装后，会在您保存安装程序文件的同一目录中生成一些有用的脚本文件。

注意：

您可以将这些文件移动到其他位置。但是，请记住新位置，因为在配置日志服务器时将再次需要它们。

#In Windows, bat scripts will be generated in the same directory where you saved the installer files.
DownloadLogsByTime.bat
DownloadLogsByWords.bat
GetAuthKey.bat
ListMachines.bat
StartLogServer.bat
<!--NeedCopy-->

使用 StartLogServer.bat 启动日志服务器。

检查您的 configpath\weblogs.txt 以确认 LogServer 已成功启动

当日志显示以下内容时，表示日志服务器已成功启动。如果 LogServer 成功启动，您将在 weblogs 文件中看到以下消息。LogServer 在 Docker 容器内部使用端口 5000，并选择 http 或 https 协议。

Now listening on: https://[::]:5000
<!--NeedCopy-->

如果日志服务器以 HTTP 模式安装，则成功日志应显示以下内容：

Now listening on: http://[::]:5000
<!--NeedCopy-->

如果 LogServer 使用 HTTPS，请确保其证书在所有上传 AOT 日志的计算机上都受信任。

注意：

• 在安装步骤中配置的端口（8080 或 8443 或任何指定的端口）应在 DDC、Storefront、VDA 等中配置日志服务器 URL 时使用。

• 通常，在 Windows 中，这需要 1~10 分钟，具体取决于硬件。

相互 TLS 身份验证（可选）

相互 TLS (mTLS) 在日志服务器和客户端（VDA、DDC、StoreFront、CWA）之间提供额外的安全层。启用 mTLS 后，客户端和服务器都使用企业 PKI 颁发的证书相互进行身份验证。

mTLS 在以下环境中很有用：

• 网络段不受信任或共享
• 不仅需要对日志服务器进行身份验证，还需要对每个 AOT 日志客户端进行身份验证
• 客户希望防止未经授权的系统发送日志数据
• 法规或合规性策略要求基于证书的身份验证。

尽管 mTLS 是可选的，但它通过确保只有受信任的 Citrix 组件才能与日志服务器通信，并且日志服务器在接受遥测数据之前可以验证每个传入连接来增强安全性。

证书相关要求

要配置 mTLS，必须生成以下证书：

• aotclient.pfx – 供 AOT 日志客户端（虚拟桌面代理、交付控制器、StoreFront 访问界面、Citrix Workspace 应用程序）使用的证书
• logserver.pfx – 日志服务器使用的证书
• enterprise-ca.cer – 用于签署两个 .pfx 文件的根证书或中间证书

注意

• 如果您使用 Citrix Connector Appliance，请跳过此相互 TLS 部分，因为它不受支持。

• 必须将 enterprise-ca.cer 文件导入到日志服务器和遥测客户端上的“受信任的根证书颁发机构”存储中。

• aotclient.pfx 和 logserver.pfx 这两个证书不应使用密码进行保护。

• aotclient.pfx 的主题必须是 CitrixAOTClient，以便遥测客户端在运行时自动定位证书。

要启用 mTLS，请在日志服务器安装命令中包含 –ca 参数。 此参数指定 enterprise-ca.cer 证书的路径。

# with default path
./InstallLogServer --https --cert logserver.pfx --ca enterprise-ca.cer --port 8443

# with customized path
./InstallLogServer --config /YourPath/LogServer/Config --database /YourPath/LogServer/Data --cert /YourPath/logserver.pfx --ca /YourPath/enterprise-ca.cer --port 8443

# delete temp certificate logserver.pfx in current install directory
sudo rm -rf /YourPath/logserver.pfx

# keep logserver.pfx accessed only by the container process user 'ubuntu'.
sudo chmod 400 LogServer/Config/logserver.pfx
sudo chown ubuntu:ubuntu LogServer/Config/logserver.pfx
<!--NeedCopy-->

如果需要相互 TLS 身份验证，请在 DDC、Storefront、VDA 和其他 CVAD 组件中以管理员权限运行以下 PowerShell 命令。

# import client cert at the machine aot client
Import-PfxCertificate -CertStoreLocation Cert:\LocalMachine\My\ -FilePath c:\aotclient.pfx

# Verify successful import
Get-ChildItem Cert:\LocalMachine\My | Where-Object { $_.Subject -like "*AOTclient*" }

# delete temp certificate aotclient.pfx
Remove-Item -Path "C:\aotclient.pfx" -Force
# Ensure LogServer’s certificate is trusted on all machines uploading AOT logs.
<!--NeedCopy-->

注意：

遥测服务在“网络服务”帐户中运行，因此需要使用 certlm.msc 图形界面手动授予 NETWORK SERVICE 对 CitrixAOTClient 证书私钥的完全控制权限。

1. 按 Win + R，键入 certlm.msc，然后按 Enter 键打开“证书（本地计算机）”控制台。

2. 展开“证书（本地计算机）”>“个人”>“证书”。

3. 在右侧窗格中，找到颁发给 CitrixAOTClient 的证书。

4. 打开“管理私钥”

5. 右键单击证书，然后选择“所有任务”>“管理私钥”

6. 在权限对话框中，选择“添加”，键入 NETWORK SERVICE，然后单击“检查名称”（它应解析为 NT AUTHORITY\NETWORK SERVICE）。

7. 单击确定以应用权限。

如果客户提供自签名证书，请执行以下操作：

• On the logserver side, logserver.pfx and aotclient.cer are installed as previously described. The aotclient.cer serves the role of enterprise-ca.cer.
• On the client side, aotclient.pfx and logserver.cer are imported as previously described. The logserver.cer serves the role of enterprise-ca.cer.
• 有关详细信息，请参阅创建新证书

验证日志服务器

在日志服务器、虚拟投递代理或交付控制器上打开浏览器，访问 http://YourLogServerFQDN:8080/Ping

浏览器中将显示响应字符串“Pong UTC:08/19/2025 01:03:29 Version: 2511.1.6”。UTC 时间应为日志服务器的 UTC 时间。版本字符串包含发布名称和构建器编号。

注意：

如果未使用默认端口，请将端口 8080 更改为配置的端口；如果以 HTTPS 模式安装，请将 http 更改为 https。

如果日志服务器验证失败，请检查以下日志：

• 运行 docker logs 日志服务器 以检查 Docker 日志。
• 对于 Linux - $HOME/LogServer/Config/weblogs.txt（如果未使用默认路径，请将 $HOME/LogServer 更改为您的实际安装路径）
• 对于 Windows - C:\Users\YourUserName\LogServer\Config\weblogs.txt（将 YourUserName 更改为实际用户名。如果未使用默认路径，请将 C:\Users\YourUserName\LogServer 更改为您的实际安装路径）

日志服务器的高级配置

在 Linux 或 视窗 上

运行 docker stop logserver 以停止日志服务器

默认情况下，日志服务器配置了以下值。要进行更改，请编辑 StartLogServer.sh 或 StartLogServer.bat（如果安装在 Windows 中）。

-e MAX_RESERVE_DAYS=7
-e MAX_DISK_USAGE_PERCENTAGE=85
-e LOCAL_DOWN_ONLY=true
-e OPENSEARCH_JAVA_OPTS="-Xms2G -Xmx2G"
<!--NeedCopy-->

在 Linux 上运行./StartLogServer.sh以验证更改是否已更新。

在 Windows 上运行 StartLogServer.bat 以验证更改是否已更新。

在 Citrix 连接器设备上

以下是在 Citrix Connector Appliance 上通过本地 API 配置日志服务器高级设置的步骤。

您可以在 Postman、Curl 或 PowerShell 上执行此操作。以下是在 Postman 上执行的说明示例：

1. 身份验证：生成 JWT

所有 API 调用都必须使用 JSON Web Token (JWT) 进行身份验证。您必须首先生成一个令牌，然后将其包含在后续请求的标头中。

步骤 1.1：生成令牌

要生成令牌，请向 $login 端点发送 POST 请求。

• Endpoint: POST https://[ip]/$login

• 正文：您需要包含用于身份验证的必要 JSON 有效负载（例如，用户名和密码）。 如果凭据正确，API 将返回一个令牌。

复制此令牌值以用于后续步骤。

步骤 1.2：授权 API 调用

将生成的令牌包含在所有后续 API 调用的 Authorization 标头中。令牌必须以 Bearer 为前缀。

Authorization: Bearer abCD.efGH.ijKL

有效令牌将允许 API 调用继续。无效或过期的令牌将被错误消息拒绝。

1. 添加高级设置

身份验证成功后，您可以为目标容器（如日志服务器）配置设置 配置 MAX_RESERVE_DAYS

此操作配置日志服务器的 MAX_RESERVE_DAYS。

• Endpoint: https://[ip]/providers/logserver-provider/environment
• 方法: 修补

请求正文

{ “MAX_RESERVE_DAYS”: “7” }

字段

• MAX_RESERVE_DAYS (字符串，必需): 默认值为 7 天。日志服务器根据 TimeStamp 字段存储日志条目的最大天数。7 天前插入的日志将被删除。每 10 分钟检查一次。

在此示例中，我们将其更改为 10 天。

字段 2(/zh-cn/citrix-virtual-apps-desktops/2511/media/aot-install4.png)

响应内容

✅ 成功 (204 OK) 表示设置已正确配置

同样，我们还可以将最大磁盘使用率从默认值 85 调整。我们在此将其更改为 90。当磁盘使用率达到 90% 时，旧日志将被删除以腾出空间给新日志。

响应

✅ 成功 (204 OK) 表示设置已正确配置