構成ロギング

構成ログは、サイトの構成変更と管理アクティビティをデータベースに記録する機能です。この機能はデフォルトで有効になっています。記録されたコンテンツは、次の目的で使用できます。

• 構成変更後に発生した問題を診断し、トラブルシューティングを行います。ログは追跡記録を提供します。
• 変更管理を支援し、構成を追跡します。
• 管理アクティビティを報告します。

Citrix Studioから、構成ログ設定の指定、構成ログの表示、HTMLおよびCSVレポートの生成を行うことができます。構成ログの表示は、日付範囲や全文検索結果でフィルターできます。必須ログが有効になっている場合、ログに記録できない構成変更は行えません。適切な権限があれば、構成ログからエントリを削除できます。構成ログ機能を使用してログコンテンツを編集することはできません。

構成ログは、PowerShell SDKと構成ログサービスを使用します。構成ログサービスは、サイト内のすべてのControllerで実行されます。いずれかのControllerが失敗した場合、別のController上のサービスが自動的にログ要求を処理します。

デフォルトでは、構成ログ機能は有効になっており、サイト作成時に作成されるデータベース（サイト構成データベース）を使用します。データベースの別の場所を指定することもできます。構成ログデータベースは、サイト構成データベースと同じ高可用性機能をサポートしています。

構成ログへのアクセスは、委任管理を通じて、「ログ設定の編集」および「構成ログの表示」の権限によって制御されます。

構成ログは作成時にローカライズされます。たとえば、英語で作成されたログは、閲覧者のロケールに関係なく英語で読み取られます。

ログに記録される内容

Studio、Director、およびPowerShellスクリプトから開始された構成変更と管理アクティビティがログに記録されます。ログに記録される構成変更の例には、以下に関する作業（作成、編集、削除、割り当て）が含まれます。

• マシンカタログ
• デリバリーグループ（電源管理設定の変更を含む）
• 管理者ロールとスコープ
• ホストリソースと接続
• シトリックスポリシーをスタジオ経由で

ログに記録される管理変更の例は次のとおりです。

• 仮想マシンまたはユーザーデスクトップの電源管理
• Studio または Director がユーザーにメッセージを送信する

次の操作はログに記録されません。

• 仮想マシンのプール管理による電源投入などの自律的な操作。
• グループポリシー管理コンソール (GPMC) を介して実装されたポリシーアクション。これらのアクションのログを表示するには、Microsoft ツールを使用してください。
• レジストリ、データベースへの直接アクセス、または Studio、Director、PowerShell 以外のソースを介して行われた変更。
• 展開が初期化されると、最初の構成ログサービスインスタンスが構成サービスに登録されたときに構成ログが利用可能になります。したがって、構成の初期段階 (たとえば、データベーススキーマが取得および適用されるとき、ハイパーバイザーが初期化されるとき) はログに記録されません。

構成ログの管理

デフォルトでは、構成ログはサイト作成時に作成されるデータベース (サイト構成データベースとも呼ばれます) を使用します。Citrix は、次の理由から、構成ログデータベース (および監視データベース) には別の場所を使用することを推奨します。

• 構成ログデータベースのバックアップ戦略は、サイト構成データベースのバックアップ戦略とは異なる可能性があります。
• 構成ログ (および監視サービス) のために収集されるデータ量が多いと、サイト構成データベースで利用可能な領域に悪影響を及ぼす可能性があります。
• これにより、3つのデータベースの単一障害点が分割されます。

構成ログをサポートしない製品エディションには、Studioにログノードがありません。

構成ログと強制ログの有効化と無効化

デフォルトでは、構成ログは有効になっており、強制ログは無効になっています。

1. Web Studioにサインインし、左ペインでログを選択します。
2. アクションバーで設定を選択します。構成ログダイアログボックスには、データベース情報が含まれており、構成ログと強制ログが有効になっているか無効になっているかを示します。

3. 目的のアクションを選択します。

   構成ログを有効にするには、有効にするを選択します。これはデフォルト設定です。データベースに書き込めない場合、ログ情報は破棄されますが、操作は続行されます。

   構成ログを無効にするには、無効にするを選択します。以前にログが有効になっていた場合、既存のログはPowerShell SDKで読み取り可能です。

   強制ログを有効にするには、データベースが利用できない場合にサイト構成の変更を防止するを選択します。通常ログに記録される構成変更または管理アクティビティは、構成ログデータベースに書き込める場合にのみ許可されます。強制ログは、構成ログが有効になっている場合（有効にするが選択されている場合）にのみ有効にできます。構成ログサービスが失敗し、高可用性が使用されていない場合、強制ログが想定されます。そのような場合、通常ログに記録される操作は実行されません。

   強制ログを無効にするには、データベースが利用できない場合にサイト構成の変更を許可するを選択します。構成ログデータベースにアクセスできない場合でも、構成変更と管理アクティビティが許可されます。これはデフォルト設定です。

構成ログデータベースの場所を変更する

強制ログが有効になっている場合、データベースの場所を変更することはできません。これは、場所の変更にはログに記録できない短い切断間隔が含まれるためです。

1. サポートされているSQL Serverバージョンを使用して、データベースサーバーを作成します。
2. Web Studioにサインインし、左ペインでログを選択します。
3. アクションバーで設定を選択します。
4. 「ログ設定」ダイアログボックスで、「ログデータベースの変更」を選択します。
5. 「ログデータベースの変更」ダイアログボックスで、新しいデータベースサーバーを含むサーバーの場所を指定します。有効な形式については、「データベースアドレス形式」を参照してください。
6. Studioでデータベースを作成するには、OKをクリックします。プロンプトが表示されたらOKをクリックすると、データベースが自動的に作成されます。Studioは、現在のStudioユーザーの資格情報を使用してデータベースへのアクセスを試行します。失敗した場合は、データベースユーザーの資格情報の入力を求められます。その後、Studioはデータベーススキーマをデータベースにアップロードします。（資格情報はデータベース作成中のみ保持されます。）
7. データベースを手動で作成するには、データベーススクリプトの生成をクリックします。生成されたスクリプトには、データベースを手動で作成するための手順が含まれています。スキーマをアップロードする前に、データベースが空であり、少なくとも1人のユーザーがデータベースにアクセスして変更する権限を持っていることを確認してください。

以前のデータベースの構成ログデータは、新しいデータベースにはインポートされません。ログを取得する際に、両方のデータベースからログを集約することはできません。新しい構成ログデータベースの最初のログエントリは、データベースの変更が発生したことを示しますが、以前のデータベースを特定するものではありません。

構成ログコンテンツの表示

構成変更や管理アクティビティを開始すると、StudioとDirectorによって作成された高レベル操作がStudioの上部中央ペインに表示されます。高レベル操作は、1つ以上のサービスおよびSDK呼び出し（低レベル操作）をもたらします。上部ペインで高レベル操作を選択すると、下部ペインに低レベル操作が表示されます。

操作が完了する前に失敗した場合、ログ操作がデータベースで完了しないことがあります。たとえば、開始レコードに対応する停止レコードがない場合があります。このような場合、ログには情報が不足していることが示されます。時間範囲に基づいてログを表示すると、ログ内のデータが条件に一致する場合、不完全なログが表示されます。たとえば、過去5日間のすべてのログが要求され、過去5日間に開始時刻があるが終了時刻がないログが存在する場合、それは含まれます。

PowerShellコマンドレットを呼び出すスクリプトを使用する場合、親の高レベル操作を指定せずに低レベル操作を作成すると、構成ログは代理の高レベル操作を作成します。

構成ログコンテンツを表示するには、Studioナビゲーションペインでログを選択します。デフォルトでは、中央ペインにはログコンテンツが日付ごとに区切られ、時系列順（最新のエントリが最初）に表示されます。次のことができます。

• 列ヘッダーで表示を並べ替えます。
• 日付間隔を指定するか、検索ボックスにテキストを入力して表示をフィルターします。検索を使用した後に標準表示に戻るには、検索ボックスのテキストをクリアします。
• テーブルの右上隅にある表示する列アイコンを選択して、表示する列を選択します。たとえば、管理者がWeb Studioにアクセスするために使用するIPアドレスを表示するには、アイコンをクリックしてクライアントIP列を追加します。

レポートの生成

構成ログデータを含むCSVおよびHTMLレポートを生成できます。

• CSVレポートには、指定された時間間隔のすべてのログデータが含まれています。データベース内の階層データは、単一のCSVテーブルにフラット化されます。ファイル内のデータに優先順位はありません。フォーマットは使用されず、人間が読みやすいことは想定されていません。ファイル（MyReportという名前）には、普遍的に利用可能な形式でデータが含まれています。CSVファイルは、データのアーカイブや、Microsoft Excelなどのレポート作成ツールやデータ操作ツールのデータソースとしてよく使用されます。
• HTMLレポートは、指定された時間間隔のログデータを人間が読みやすい形式で提供します。変更を確認するための構造化されたナビゲート可能なビューを提供します。HTMLレポートは、SummaryとDetailsという2つのファイルで構成されます。Summaryには、各操作がいつ、誰によって行われ、どのような結果になったかなど、高レベルの操作が一覧表示されます。各操作の横にある詳細リンクをクリックすると、Detailsファイル内の低レベルの操作に移動し、追加情報が提供されます。

構成ログレポートを生成するには、Studioナビゲーションペインでログを選択し、アクションバーでカスタムレポートの作成を選択します。

• レポートの日付範囲を選択します。
• レポート形式（CSV、HTML、または両方）を選択します。
• レポートを保存する場所を参照します。

構成ログコンテンツの削除

構成ログを削除するには、特定の委任管理権限とSQL Serverデータベース権限が必要です。

• 委任管理: 展開構成の読み取りを許可する委任管理の役割が必要です。フル管理者役割にはこの権限があります。カスタム役割には、その他の権限カテゴリで読み取り専用または管理が選択されている必要があります。

  構成ログデータを削除する前にバックアップを作成するには、カスタム役割にログ権限カテゴリで読み取り専用または管理が選択されている必要もあります。

• SQL Serverデータベース: データベースからレコードを削除する権限を持つSQL Serverログインが必要です。これを行うには2つの方法があります。

  • データベースサーバーで任意のアクティビティを実行できるsysadminサーバー役割を持つSQL Serverデータベースログインを使用します。あるいは、serveradminまたはsetupadminサーバー役割を使用すると、削除操作を実行できます。

  • 展開でより高いセキュリティが必要な場合は、データベースからレコードを削除する権限を持つデータベースユーザーにマッピングされた非sysadminデータベースログインを使用します。

    1. SQLサーバーマネジメントスタジオで、「sysadmin」以外のサーバーロールを持つSQLサーバーログインを作成します。
    2. ログインをデータベース内のユーザーにマッピングします。SQL Serverは、ログインと同じ名前でデータベース内にユーザーを自動的に作成します。
    3. データベースロールメンバーシップで、データベースユーザーのロールメンバーの少なくとも1つを指定します: ConfigurationLoggingSchema_ROLE または dbowner。

    詳細については、SQL Server Management Studioのドキュメントを参照してください。

構成ログを削除するには:

1. Web Studioにサインインし、左ペインでログを選択します。
2. アクションバーでログの削除を選択します。
3. ログが削除される前にバックアップを作成するかどうかを尋ねられます。バックアップを作成することを選択した場合は、バックアップアーカイブが保存される場所に移動します。バックアップはCSVファイルとして作成されます。

構成ログがクリアされた後、ログの削除は、空のログに投稿される最初のアクティビティです。そのエントリには、誰がいつログを削除したかに関する詳細が記載されています。

エーピーアイおよびパワーシェルログの表示

現在のセッション中に行われたAPIリクエストを監視するには、APIタブをクリックします。Web Studioからサインアウトすると、APIログはクリアされます。

その日に行ったUIアクションに対応するPowerShellコマンドを表示するには、PowerShellタブをクリックします。

構成ログにメタデータを関連付ける

ログレコードにMetadataMapと呼ばれるname-valueペアを関連付けることで、構成ログにメタデータを添付できます。

注:

• メタデータは高レベルの操作オブジェクトにのみ添付できます。
• メタデータは実行時に既存のレコードに関連付けられます。

メタデータを設定する

PowerShellコマンド Set-LogHighLevelOperationMetadata を実行して、ログレコードを MetadataMap に関連付けます。 Set-LogHighLevelOperationMetadata は次のパラメーターを受け取ります。

• Id: 高レベル操作のID。
• InputObject: メタデータを追加する高レベル操作。これは、高レベル操作オブジェクトまたはオブジェクトのリストがPowerShellコマンドに渡される Id パラメーターの代替です。

• Name: 追加するメタデータのプロパティ名。指定された高レベル操作に対して、プロパティは一意である必要があります。プロパティには、次の文字 ()\/;:#.*?=<>

  []”’ を含めることはできません。

• Value: プロパティの値。
• Map: プロパティの (名前、値) ペアの辞書。これは、-Name および -Value パラメーターを使用してメタデータを設定する代替手段です。

例えば、Id 40 のすべての高レベルログレコードにメタデータを添付するには、次のPowerShellコマンドを実行します。

Get-LogHighLevelOperation – Id 40 | Set-LogHighLevelOperationMetadata -Name A -Value B

ユーザー abc@example.com を持つ高レベルレコードにメタデータを添付するには、次のPowerShellコマンドを実行します。

Get-LogHighLevelOperation – User `abc@example.com` | Set-LogHighLevelOperationMetadata -Name C -Value D

メタデータを使用して取得する

関連付けられたメタデータを使用してログレコードを取得するには、次のPowerShellコマンドを実行します。

• キーと値で検索:

  Get-LogHighLevelOperation -Metadata "Key:Value"

• 値で任意のキーを検索:

  Get-LogHighLevelOperation -Metadata "*:Value"

• キーと任意の値で検索:

  Get-LogHighLevelOperation -Metadata "Key:*"

メタデータを削除する

関連付けられたメタデータを削除するには、PowerShell コマンド Remove-LogHighLevelOperationMetadata を実行します。 Remove-LogHighLevelOperationMetadata は次のパラメーターを受け入れます:

• Id: 高レベル操作のID。
• InputObject: メタデータを追加する高レベル操作。これは、高レベル操作オブジェクトまたはオブジェクトのリストがPowerShellコマンドに渡される Id パラメーターの代替です。
• Name: 削除するメタデータのプロパティ名。指定されたオブジェクトのすべてのメタデータを削除するには、$null に設定します。
• Map: プロパティの (名前、値) ペアの辞書。これは、ハッシュテーブル (@{“name1” = “val1”; “name2” = “val2”} で作成) または文字列辞書 (new-object “System.Collections.Generic.Dictionary[String, String]” で作成) のいずれかです。マップ内のキーと名前が一致するプロパティは削除されます。