CVADコアコンポーネントからのAOTログのアップロード

CVAD 2507 CU1およびCVAD 2511以降、AOTログはすべての該当するコンポーネントから収集されます。サポートされているコンポーネントには、DDC、ストアフロント、Citrix Director、Windows VDA、Linux VDA、Mac VDA、ライセンスサーバー、FAS、クラウドコネクタ、PVS、WEM、セッションレコーディング、Citrix Workspace UI、およびCitrix Gatewayが含まれます。

CVADオンプレミス向けCitrix Web Studioによる集中型ログ転送構成

Citrix Web Studioは、サイト全体のAlways-on Tracing (AOT) ログ転送を構成するための集中管理場所を提供します。この設定は、AOTログの送信先を定義し、環境内の関連コンポーネントに構成を自動的に伝播します。

Web Studioでログサーバーを構成すると、次のようになります。

• 構成はサイトデータベースに書き込まれます。
• Delivery Controllerは更新された設定を取得し、選択されたデリバリーグループ内のVDAに配布します。
• VDAは受信した構成を使用して、AOTログを指定されたログサーバーに転送します。
• AOTログ記録に参加するStoreFrontは、同じ集中メカニズムを通じて必要な詳細情報を受け取ります。
• Directorは、提供されたAuthKeyとログサーバーの詳細を使用して、監視およびトラブルシューティングのためにAOTログをクエリして表示します。

この集中型アプローチにより、各コンポーネントを個別に構成する必要がなくなります。Web Studioでログサーバーの詳細を一度設定するだけで、Citrixがサイト全体に構成を自動的に伝播します。

Web Studioでログサーバーの詳細が設定されると、その詳細を受け取るコンポーネントのリストを以下に示します。

• シトリックス ディレクター/モニター
• Citrix デリバリーコントローラー
• ウィンドウズ VDA
• リナックス VDA
• マック VDA
• ストアフロント
• セッションレコーディングエージェント
• CWA

オンプレミス環境のログサーバー設定を構成するには

AOTログサーバー設定(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/aot-log-server-settings.png)

1. Web Studioにサインインし、左ペインで設定を選択します。
2. ログサーバータイルで、ログサーバーが構成されていない場合は追加を選択します。
3. ログサーバーページで、ログサーバーへのログ転送を有効にするをオンにします。

4. ログサーバーアドレスとポートを入力します。VDAとDelivery Controllerは、この情報を使用してAOTログを転送します。

   注：

   1. Citrix Connector Applianceを使用してログサーバーを展開している場合は、ポート443のみが構成されていることを確認してください。

   2. Citrix Studioでログサーバーのアドレスとポートを更新すると、最初は機能しますが、設定を再確認し、認証キーを再入力せずにログサーバーの詳細を変更すると、操作が成功したように見えても、保存後に認証キーのプレースホルダーが空になります。これにより、DirectorおよびMonitorで構成が欠落したり無効になったりします。この問題が解決されるまで、ログサーバー設定を変更する際は常に認証キーを再入力して検証してください。

5. ログを転送するコンポーネントを選択します。

   1. デリバリーコントローラーを含める：すべてのデリバリーコントローラーからAOTログを送信します。

   2. デリバリーグループを選択：選択したデリバリーグループ内のVDAからログを送信します。

      • すべてのデリバリーグループ：すべてのVDAからログを送信します。
      • 特定のデリバリーグループを選択：含める個々のデリバリーグループを選択します。
6. ログサーバーで生成されたAuthKeyを入力します。dDirectorはこのキーを使用してログを認証および取得します。
7. 構成を適用するには、保存を選択します。

既存の構成を編集するには

ログサーバーを更新するか、ログ記録スコープを変更するには、設定 > ログサーバーに移動し、編集を選択します。

DaaS設定を介してCitrix DaaS/Cloud環境のログサーバー設定を構成する

Always On Tracing (AOT) は、オンプレミス (CVAD) とCitrix DaaS (クラウド) の両方の展開でサポートされています。ただし、ログ収集の動作は、コンポーネントがホストされている場所によって異なります。

AOTログサーバー (Linux、Windows、またはConnector Appliance上) をインストールして構成した後、クラウド展開のCitrix DaaS設定でログサーバーへのログ転送を有効にするには、以下を完了します。

DaaS用Citrix Web Studio (DaaS設定) は、クラウド管理サイトのAlways-on Tracing (AOT) ログ転送を構成するための一元的な場所を提供します。この構成により、AOTログの送信先が決定され、どのVDAがログ転送に参加するかが制御されます。Monitorはこれらの設定を使用して、トラブルシューティングのためにログを取得および表示します。

1. DaaS用Web Studio (DaaS設定) にサインインし、左ペインで設定を選択します。
2. ログサーバータイルで、現在ログサーバーが構成されていない場合は、追加を選択します。
3. 「ログサーバー」ページで、「ログサーバーアドレス」と「ポート」を入力します。VDAは、この情報を使用してAOTログをサーバーに転送します。

4. どのVDAがログを転送するかを定義します。

   1. 範囲を制御するには、「デリバリーグループの選択」を選択します。
   2. 「すべてのデリバリーグループ」（デフォルト）は、サイト内のすべてのVDAからログを転送します。
   3. 特定のVDAをターゲットにするには、「特定のデリバリーグループの選択」を選択し、含めるデリバリーグループを選択します。

   注：

   Citrix Connector Applianceを使用してログサーバーを展開している場合は、ポート443のみが構成されていることを確認してください。

5. ログサーバーが展開されているゾーン（リソースの場所）を選択します。
6. ログサーバーによって生成されたAuthkeyを入力します。Monitorは、このキーを使用して認証を行い、表示用のログを取得します。
7. 構成を適用するには、「保存」を選択します。

その他のコンポーネントのログ転送構成

セッションレコーディングサーバーのAOTログアップロードを構成する

セッションレコーディングサーバーマシンで次のPowerShellコマンドを実行することで、セッションレコーディングサーバーがAOTログを中央ログサーバーにアップロードするように構成できます。

#Enable - run following command in Session Recording Server PowerShell
Enable-CitrixAOTUpload -AotDataStoreEndpoint <server address>:<server port> -Role SessionRecording

#Disable - run following command in Session Recording Server PowerShell
Disable-CitrixAOTUpload
<!--NeedCopy-->

FASのAOTログアップロードを構成する

FASサーバーで次のPowerShellコマンドを実行することで、FASがAOTログを中央ログサーバーにアップロードするように構成できます。

#Enable - run following command in FAS PowerShell
Enable-CitrixAOTUpload -AotDataStoreEndpoint <server address>:<server port> -Role FAS

#Disable - run following command in FAS PowerShell
Disable-CitrixAOTUpload
<!--NeedCopy-->

PVS の AOT ログアップロードを構成する

PVS Server で次の PowerShell コマンドを実行すると、PVS が AOT ログを中央ログサーバーにアップロードするように構成できます。

#Enable - run following command in PVS PowerShell
Enable-CitrixAOTUpload -AotDataStoreEndpoint <server address>:<server port> -Role PVS

#Disable - run following command in PVS PowerShell
Disable-CitrixAOTUpload
<!--NeedCopy-->

注:

複数の PVS サーバーがある場合は、それぞれのサーバーで AOT ログのアップロードを有効または無効にするコマンドを実行してください。

ライセンスサーバーの AOT ログのアップロード

• The Logserver URL needs to be updated inside SLS config file, which can be find at the location “C:\Program Files (x86)\Citrix\Licensing\WebServicesForLicensing\SimpleLicenseServiceConfig.xml” with XML tag “AotServerURL”

例:

<AotServerURL>https://10.110.249.168:8443/ctxlogserver/UploadCitrixLogStream</AotServerURL>
<!--NeedCopy-->

• ライセンスサーバーは、定期的にログを AOT サーバーに自動的にアップロードします。

Citrix Connector の AOT ログアップロードを構成する

AOT ログサーバーで Cloud Connector ログを収集するには、次の要件が適用されます。

• Cloud Connector は、バージョン 6.157.0.19398 以降である必要があります。

• Cloud DDC 展開では、ログサーバーの構成詳細は 5 月リリース (DDC 128) でレジストリに自動的に同期されるため、手動での構成は不要です。

• ハイブリッド展開 (オンプレミス DDC) では、ログ収集を有効にするために手動でのレジストリ構成が必要です。Cloud Connector マシンに次のレジストリエントリを作成します。

パス: HKLM\Software\Citrix\ConfigSyncService

エントリ:

• LogServerEnabled (REG_DWORD) = 1

• LogServerEndpoint (REG_SZ) = <https://<logserver-fqdn>:<port>>

Citrix WorkspaceアプリのAOTログアップロードを構成する

Citrixは、Citrix Workspaceアプリクライアントが診断ログを集中ログサーバーに自動的にアップロードできるようにします。この機能により、管理者は手動でのログ収集を必要とせずにクライアント側の診断情報に即座にアクセスできるため、トラブルシューティングの効率が向上します。クライアント側のAOTは自動的にアップロードされ、CVAD環境全体でAOT機能が有効になっている場合、およびユーザーがリソースを起動した場合にトリガーされます。

システム要件

• Citrix Virtual Apps and Desktops 2511 or CVAD 2507 CU1 and later versions
• Citrix ワークスペースアプリ 2511またはCWA 2507.1 CU1以降のバージョン
• 選択したCitrix Workspaceアプリ (CWA) の必要なバージョンがインストールされていることを確認してください。詳細については、「サポートされているバージョン」を参照してください。

NetScalerのAOTログアップロードを構成する

• NetScaler CLIにSSH接続し、「shell」コマンドを実行してNetScalerシェルに入ります。

• /var/analytics_confディレクトリに移動します。

  cd /var/analytics_conf
  <!--NeedCopy-->
  

• 対話型Pythonスクリプト「python {auditlog_schema_generator_for_hec_export.py}」を実行して、スキーマファイルを生成します。スキーマファイルは、HTTPヘッダー（認証トークン、ユーザーエージェントなど）とペイロード属性（ロール、マシンIPなど）を定義します。

このスクリプトによって生成された出力のスニペット

root@Raju-adc2# python auditlog_schema_generator_for_hec_export.py
Schema Builder: Follow the prompts to define your schema.
Include 'Auth-Token'? (Y/n):
Enter the display name (alias) for 'Auth-Token' (press Enter to keep as is): Authkey
'Auth-Token' can only go in 'header'. Automatically selected.
Include 'HostName'? (Y/n): n
Include 'Content-type'? (Y/n): y
Enter the display name (alias) for 'Content-type' (press Enter to keep as is):
'Content-type' can only go in 'header'. Automatically selected.
Default value for 'Content-type' is 'application/json'.
Do you want to change it? (y/N):
Include 'User-agent'? (Y/n):
Enter the display name (alias) for 'User-agent' (press Enter to keep as is):
'User-agent' can only go in 'header'. Automatically selected.
Default value for 'User-agent' is 'AUDITLOGS/1.0'.
Do you want to change it? (y/N):
Include 'Role'? (Y/n): y
Enter the display name (alias) for 'Role' (press Enter to keep as is):
Where should 'Role' be included? (HEADER/payload): HEADER
Default value for 'Role' is 'GW'.
Do you want to change it? (y/N): y
Enter new default value for 'Role': Gateway
<!--NeedCopy-->

生成されたスキーマファイルのサンプル

{
     "Header": {
         "Auth-Token": {
             "name": "AuthKey"
         },
         "Content-type": {
             "name": "Content-type",
             "value": "application/json"
         },
         "User-agent": {
             "name": "User-agent",
             "value": "AUDITLOGS/1.0"
         },
         "Role": {
             "name": "Role",
             "value": "Gateway"
         },
         "MachineIP": {
             "name": "MachineIP"
         },
         "MachineName": {
             "name": "MachineName"
         }
     },
     "Payload": {
         "LogLevel": "Level",
         "MessageContent": "Message",
         "ModuleName": "Module",
         "Time": "TimeStamp"
     },
     "Format": {
         "delimiter": ""
     }
 }
<!--NeedCopy-->

• シェルを終了し、NetScaler CLIに戻ります。
• Syslogサーバー、ポート、およびスキーマファイル（前の手順で作成）などを定義するsyslogアクションを作成します。

add audit syslogAction {Action Name} {AOT Server IP/FQDN} -serverPort {Destination Port} -logLevel {Log Level} -transport HTTP -httpAuthToken {Authentication Token generated on the AOT sever} -httpEndpointUrl {AOT Server URL where logs will be sent} -httpSchemaFile {Schema File created in Previous Step}
<!--NeedCopy-->

例:

add audit syslogAction act1 10.102.154.196 -serverPort 8088 -logLevel ALL -transport HTTP -httpAuthToken fbb94d5b234d86a6cb155e3f808dd33c9698a0d1a866e814573b1909e4c9e56896f433da1071e3276bd133269fd69203d8f29166816f4d427e709773ceb9d41d531043331f7f76 -httpEndpointUrl "/services/collector/event" -httpSchemaFile sample.json
<!--NeedCopy-->

• syslogActionを監査Syslogポリシーにバインドします。

add audit syslogPolicy {PolicyName} True {Name of the Syslog Action}
<!--NeedCopy-->

例:

add audit syslogPolicy pol1 true act1
<!--NeedCopy-->