Hochladen der AOT-Protokolle von CVAD-Kernkomponenten

Ab CVAD 2507 CU1 und CVAD 2511 werden AOT-Protokolle von allen anwendbaren Komponenten gesammelt. Zu den unterstützten Komponenten gehören DDC, StoreFront, Citrix Director, Windows VDA, Linux VDA, Mac VDA, Lizenzserver, FAS, Cloud Connector, PVS, WEM, Session Recording, Citrix Workspace UI und Citrix Gateway.

Zentrale Protokollweiterleitungskonfiguration über Citrix Web Studio für CVAD On-Prem

Citrix Web Studio bietet einen zentralen Ort für die Konfiguration der Always-on Tracing (AOT)-Protokollweiterleitung über die gesamte Site hinweg. Diese Einstellung definiert, wohin AOT-Protokolle gesendet werden, und verbreitet die Konfiguration automatisch an relevante Komponenten in der Umgebung.

Wenn Sie den Protokollserver in Web Studio konfigurieren:

• Die Konfiguration wird in die Sitedatenbank geschrieben.
• Delivery Controller rufen die aktualisierten Einstellungen ab und verteilen sie an die VDAs in den ausgewählten Bereitstellungsgruppen.
• VDAs verwenden die empfangene Konfiguration, um ihre AOT-Protokolle an den angegebenen Protokollserver weiterzuleiten.
• StoreFront, das an der AOT-Protokollierung teilnimmt, erhält die notwendigen Details über denselben zentralisierten Mechanismus.
• Director verwendet den bereitgestellten AuthKey und die Protokollserverdetails, um AOT-Protokolle zur Überwachung und Fehlerbehebung abzufragen und anzuzeigen.

Dieser zentralisierte Ansatz macht es überflüssig, jede Komponente einzeln zu konfigurieren. Sie richten die Protokollserverdetails einmal in Web Studio ein, und Citrix verbreitet die Konfiguration automatisch über die gesamte Site.

Nachfolgend finden Sie die Liste der Komponenten, die die Protokollserverdetails erhalten, sobald diese in Web Studio festgelegt wurden:

• Citrix Director/Monitor
• Citrix Delivery Controller
• Windows VDA
• Linux VDA
• Mac VDA
• StoreFront
• Session Recording Agent
• CWAs

So konfigurieren Sie die Protokollservereinstellungen für die lokale Umgebung

1. Melden Sie sich bei Web Studio an und wählen Sie im linken Bereich Einstellungen aus.
2. Wählen Sie in der Kachel Protokollserver die Option Hinzufügen, wenn kein Protokollserver konfiguriert ist.
3. Aktivieren Sie auf der Seite Protokollserver die Option Protokollweiterleitung an Protokollserver aktivieren.

4. Geben Sie die Protokollserveradresse und den Port ein. VDAs und Delivery Controller verwenden diese Informationen, um AOT-Protokolle weiterzuleiten.

   Hinweis:

   1. Wenn Sie die Citrix Connector Appliance zum Bereitstellen des Protokollservers verwenden, stellen Sie sicher, dass nur Port 443 konfiguriert ist.

   2. Das Aktualisieren der Protokollserveradresse und des Ports in Citrix Studio funktioniert zunächst, aber wenn Sie die Einstellungen erneut aufrufen und die Protokollserverdetails ändern, ohne den Authentifizierungsschlüssel erneut einzugeben, wird der Platzhalter für den Authentifizierungsschlüssel nach dem Speichern leer, obwohl der Vorgang erfolgreich zu sein scheint. Dies führt zu einer fehlenden oder ungültigen Konfiguration in Director und Monitor. Als Problemumgehung geben Sie den Authentifizierungsschlüssel immer erneut ein und validieren ihn, wenn Sie die Protokollservereinstellungen ändern, bis dieses Problem behoben ist.

5. Wählen Sie aus, welche Komponenten Protokolle weiterleiten sollen:

   1. Delivery Controller einschließen: Sendet AOT-Protokolle von allen Delivery Controllern.

   2. Bereitstellungsgruppen auswählen: Sendet Protokolle von VDAs in ausgewählten Bereitstellungsgruppen.

      • Alle Bereitstellungsgruppen: Sendet Protokolle von allen VDAs.
      • Bestimmte Bereitstellungsgruppen auswählen: Wählen Sie einzelne Bereitstellungsgruppen aus, die eingeschlossen werden sollen.
6. Geben Sie den auf dem Protokollserver generierten AuthKey ein. Der dDirector verwendet diesen Schlüssel zur Authentifizierung und zum Abrufen von Protokollen.
7. Wählen Sie Speichern, um die Konfiguration zu übernehmen.

So bearbeiten Sie eine vorhandene Konfiguration

Um den Protokollserver zu aktualisieren oder den Protokollierungsbereich zu ändern, wechseln Sie zu Einstellungen > Protokollserver und wählen Sie Bearbeiten.

Konfigurieren Sie die Protokollservereinstellungen für die Citrix DaaS/Cloud-Umgebung über die DaaS-Einstellungen

Always On Tracing (AOT) wird sowohl für lokale (CVAD) als auch für Citrix DaaS (Cloud)-Bereitstellungen unterstützt. Das Verhalten der Protokollsammlung unterscheidet sich jedoch je nachdem, wo die Komponenten gehostet werden.

Nach der Installation und Konfiguration des AOT-Protokollservers (unter Linux, Windows oder Connector Appliance) führen Sie die folgenden Schritte aus, um die Protokollweiterleitung an den Protokollserver in den Citrix DaaS-Einstellungen für Cloud-Bereitstellungen zu aktivieren:

Citrix Web Studio für DaaS (DaaS-Einstellungen) bietet einen zentralen Ort zum Konfigurieren der Always-on Tracing (AOT)-Protokollweiterleitung für Cloud-verwaltete Sites. Diese Konfiguration bestimmt, wohin AOT-Protokolle gesendet werden, und steuert, welche VDAs an der Protokollweiterleitung teilnehmen. Monitor verwendet diese Einstellungen, um Protokolle zur Fehlerbehebung abzurufen und anzuzeigen.

1. Melden Sie sich bei Web Studio für DaaS (DaaS-Einstellungen) an und wählen Sie im linken Bereich Einstellungen aus.
2. Wählen Sie in der Kachel Protokollserver Hinzufügen, wenn derzeit kein Protokollserver konfiguriert ist.
3. Geben Sie auf der Seite Logserver die Logserver-Adresse und den Port ein. VDAs verwenden diese Informationen, um AOT-Protokolle an den Server weiterzuleiten.

4. Definieren Sie, welche VDAs Protokolle weiterleiten sollen:

   1. Wählen Sie Bereitstellungsgruppen auswählen, um den Umfang zu steuern.
   2. Alle Bereitstellungsgruppen (Standard) leitet Protokolle von allen VDAs am Standort weiter.
   3. Um bestimmte VDAs anzusprechen, wählen Sie Bestimmte Bereitstellungsgruppen auswählen und wählen Sie die Bereitstellungsgruppen aus, die Sie einschließen möchten.

   Hinweis:

   Wenn Sie die Citrix Connector Appliance verwenden, um den Logserver bereitzustellen, stellen Sie sicher, dass nur Port 443 konfiguriert ist.

5. Wählen Sie die Zone (Ressourcenstandort) aus, in der der Logserver bereitgestellt wird.
6. Geben Sie den vom Logserver generierten Authkey ein. Monitor verwendet diesen Schlüssel zur Authentifizierung und zum Abrufen von Protokollen zur Anzeige.
7. Wählen Sie Speichern, um die Konfiguration zu übernehmen.

Protokollweiterleitungskonfiguration für andere Komponenten

AOT-Protokoll-Upload für den Session Recording Server konfigurieren

Sie können den Session Recording Server so konfigurieren, dass er AOT-Protokolle auf einen zentralen Logserver hochlädt, indem Sie den folgenden PowerShell-Befehl auf dem Session Recording Server ausführen:

#Enable - run following command in Session Recording Server PowerShell
Enable-CitrixAOTUpload -AotDataStoreEndpoint <server address>:<server port> -Role SessionRecording

#Disable - run following command in Session Recording Server PowerShell
Disable-CitrixAOTUpload
<!--NeedCopy-->

AOT-Protokoll-Upload für FAS konfigurieren

Sie können FAS so konfigurieren, dass es AOT-Protokolle auf einen zentralen Logserver hochlädt, indem Sie den folgenden PowerShell-Befehl auf dem FAS-Server ausführen:

#Enable - run following command in FAS PowerShell
Enable-CitrixAOTUpload -AotDataStoreEndpoint <server address>:<server port> -Role FAS

#Disable - run following command in FAS PowerShell
Disable-CitrixAOTUpload
<!--NeedCopy-->

AOT-Protokoll-Upload für PVS konfigurieren

Sie können PVS so konfigurieren, dass AOT-Protokolle auf einen zentralen Protokollserver hochgeladen werden, indem Sie den folgenden PowerShell-Befehl auf dem PVS-Server ausführen:

#Enable - run following command in PVS PowerShell
Enable-CitrixAOTUpload -AotDataStoreEndpoint <server address>:<server port> -Role PVS

#Disable - run following command in PVS PowerShell
Disable-CitrixAOTUpload
<!--NeedCopy-->

Hinweis:

Wenn Sie mehrere PVS-Server haben, führen Sie den Befehl auf jedem Server aus, um den AOT-Protokoll-Upload zu aktivieren oder zu deaktivieren.

AOT-Protokolle für den Lizenzserver hochladen

• Die Logserver-URL muss in der SLS-Konfigurationsdatei aktualisiert werden, die sich unter „C:\Program Files (x86)\Citrix\Licensing\WebServicesForLicensing\SimpleLicenseServiceConfig.xml“ mit dem XML-Tag „AotServerURL“ befindet.

Beispiel:

<AotServerURL>https://10.110.249.168:8443/ctxlogserver/UploadCitrixLogStream</AotServerURL>
<!--NeedCopy-->

• Der Lizenzserver lädt die Protokolle automatisch und regelmäßig auf den AOT-Server hoch.

AOT-Protokoll-Upload für Citrix Connector konfigurieren

Um Cloud Connector-Protokolle im AOT-Protokollserver zu sammeln, gelten die folgenden Anforderungen:

• Cloud Connector muss Version 6.157.0.19398 oder höher sein.

• Bei Cloud DDC-Bereitstellungen werden die Konfigurationsdetails des Protokollservers automatisch mit dem Mai-Release (DDC 128) mit der Registrierung synchronisiert, und es ist keine manuelle Konfiguration erforderlich.

• Bei Hybridbereitstellungen (lokaler DDC) ist eine manuelle Registrierungskonfiguration erforderlich, um die Protokollsammlung zu aktivieren. Erstellen Sie die folgenden Registrierungseinträge auf dem Cloud Connector-Computer:

Pfad: HKLM\Software\Citrix\ConfigSyncService

Einträge:

• LogServerEnabled (REG_DWORD) = 1

• LogServerEndpoint (REG_SZ) = <https://<logserver-fqdn>:<port>>

Konfigurieren des AOT-Protokoll-Uploads für Citrix Workspace-Apps

Citrix ermöglicht es Citrix Workspace-App-Clients, Diagnoseprotokolle automatisch auf den zentralen Protokollserver hochzuladen. Diese Funktion verbessert die Effizienz der Fehlerbehebung, indem sie Administratoren sofortigen Zugriff auf clientseitige Diagnoseinformationen bietet, ohne dass eine manuelle Protokollsammlung erforderlich ist. Die clientseitigen AOTs werden automatisch hochgeladen, und dies wird ausgelöst, wenn die AOT-Funktion in der gesamten CVAD-Umgebung aktiviert ist und wenn ein Benutzer eine Ressource startet.

Systemanforderungen

• Citrix Virtual Apps and Desktops 2511 oder CVAD 2507 CU1 und spätere Versionen
• Citrix Workspace-App 2511 oder CWA 2507.1 CU1 und spätere Versionen
• Stellen Sie sicher, dass die erforderliche Version der ausgewählten Citrix Workspace-App (CWA) installiert ist. Weitere Informationen finden Sie unter Unterstützte Versionen

Konfigurieren des AOT-Protokoll-Uploads für NetScaler

• Stellen Sie eine SSH-Verbindung zur NetScaler CLI her und wechseln Sie dann zur NetScaler-Shell, indem Sie den Befehl „shell“ ausführen.

• Wechseln Sie in das Verzeichnis /var/analytics_conf

  cd /var/analytics_conf
  <!--NeedCopy-->
  

• Generieren Sie die Schemadatei, indem Sie ein interaktives Python-Skript „python {auditlog_schema_generator_for_hec_export.py}“ ausführen. Die Schemadatei definiert die HTTP-Header (Auth-token, User-Agent usw.) und Payload-Attribute (Rolle, Maschinen-IP usw.).

Ausschnitt der von diesem Skript generierten Ausgabe

root@Raju-adc2# python auditlog_schema_generator_for_hec_export.py
Schema Builder: Follow the prompts to define your schema.
Include 'Auth-Token'? (Y/n):
Enter the display name (alias) for 'Auth-Token' (press Enter to keep as is): Authkey
'Auth-Token' can only go in 'header'. Automatically selected.
Include 'HostName'? (Y/n): n
Include 'Content-type'? (Y/n): y
Enter the display name (alias) for 'Content-type' (press Enter to keep as is):
'Content-type' can only go in 'header'. Automatically selected.
Default value for 'Content-type' is 'application/json'.
Do you want to change it? (y/N):
Include 'User-agent'? (Y/n):
Enter the display name (alias) for 'User-agent' (press Enter to keep as is):
'User-agent' can only go in 'header'. Automatically selected.
Default value for 'User-agent' is 'AUDITLOGS/1.0'.
Do you want to change it? (y/N):
Include 'Role'? (Y/n): y
Enter the display name (alias) for 'Role' (press Enter to keep as is):
Where should 'Role' be included? (HEADER/payload): HEADER
Default value for 'Role' is 'GW'.
Do you want to change it? (y/N): y
Enter new default value for 'Role': Gateway
<!--NeedCopy-->

Generierte Beispiel-Schemadatei

{
     "Header": {
         "Auth-Token": {
             "name": "AuthKey"
         },
         "Content-type": {
             "name": "Content-type",
             "value": "application/json"
         },
         "User-agent": {
             "name": "User-agent",
             "value": "AUDITLOGS/1.0"
         },
         "Role": {
             "name": "Role",
             "value": "Gateway"
         },
         "MachineIP": {
             "name": "MachineIP"
         },
         "MachineName": {
             "name": "MachineName"
         }
     },
     "Payload": {
         "LogLevel": "Level",
         "MessageContent": "Message",
         "ModuleName": "Module",
         "Time": "TimeStamp"
     },
     "Format": {
         "delimiter": ""
     }
 }
<!--NeedCopy-->

• Verlassen Sie die Shell und kehren Sie zur NetScaler CLI zurück
• Erstellen Sie eine Syslog-Aktion, die den Syslog-Server, die Ports und die Schemadatei (die im vorherigen Schritt erstellt wurde) usw. definiert.

add audit syslogAction {Action Name} {AOT Server IP/FQDN} -serverPort {Destination Port} -logLevel {Log Level} -transport HTTP -httpAuthToken {Authentication Token generated on the AOT sever} -httpEndpointUrl {AOT Server URL where logs will be sent} -httpSchemaFile {Schema File created in Previous Step}
<!--NeedCopy-->

Beispiel:

add audit syslogAction act1 10.102.154.196 -serverPort 8088 -logLevel ALL -transport HTTP -httpAuthToken fbb94d5b234d86a6cb155e3f808dd33c9698a0d1a866e814573b1909e4c9e56896f433da1071e3276bd133269fd69203d8f29166816f4d427e709773ceb9d41d531043331f7f76 -httpEndpointUrl "/services/collector/event" -httpSchemaFile sample.json
<!--NeedCopy-->

• Binden Sie die syslogAction an die Audit-Syslog-Richtlinie.

add audit syslogPolicy {PolicyName} True {Name of the Syslog Action}
<!--NeedCopy-->

Beispiel:

add audit syslogPolicy pol1 true act1
<!--NeedCopy-->