Freigeben über

Überwachungsüberlegungen für Azure Virtual Desktop-Workloads

  • Artikel

In diesem Artikel wird der Entwurfsbereich für die Überwachung einer Azure Virtual Desktop-Workload erläutert. Bevor Sie Azure Monitor für Azure Virtual Desktop verwenden, müssen Sie die folgenden Schritte ausführen:

  • Konfigurieren Sie mindestens einen Log Analytics-Arbeitsbereich. Verwenden Sie einen festgelegten Log Analytics-Arbeitsbereich für Ihre Azure Virtual Desktop-Sitzungshosts, um sicherzustellen, dass Leistungsindikatoren und Ereignisse nur von Sitzungshosts in Ihrer Azure Virtual Desktop-Bereitstellung erfasst werden.
  • Aktivieren Sie die Datensammlung für die folgenden Elemente Ihres Log Analytics-Arbeitsbereichs:
    • Diagnose aus Ihrer Azure Virtual Desktop-Umgebung
    • Empfohlene Leistungsindikatoren von Ihren Azure Virtual Desktop-Sitzungshosts
    • Empfohlene Windows-Ereignisprotokolle von Ihren Azure Virtual Desktop-Sitzungshosts

In den folgenden Abschnitten finden Sie Überlegungen zur Überwachung Ihrer Azure Virtual Desktop-Umgebung und zur Aufrechterhaltung ihrer Integrität.

Wichtig

Dieser Artikel ist Teil der Azure Well-Architected Framework Azure Virtual Desktop-Workloadreihe . Wenn Sie mit dieser Reihe nicht vertraut sind, empfehlen wir Ihnen, mit Was ist eine Azure Virtual Desktop-Workload zu beginnen.

Integritäts- und Verfügbarkeitsüberwachung

Auswirkung: Operational Excellence, Zuverlässigkeit

Azure bietet mehrere Dienste wie Azure Service Health und Azure Resource Health, die Sie über die Integrität Ihrer Cloudressourcen auf dem Laufenden halten.

Service Health

Sie sollten Service Health verwenden, um einen Überblick über die Integrität der von Ihnen verwendeten Azure-Dienste und -Regionen bereitzustellen. Dienstintegrität ist der beste Ort, um nach Benachrichtigungen zu Ereignissen zu suchen, die sich auf Ihren Dienst auswirken, z. B. Ausfälle und geplante Wartungsaktivitäten. Service Health bietet auch weitere Integritätshinweise zu Auswirkungen auf Ihre Azure Virtual Desktop-Umgebung und das zugehörige Abonnement. Der proaktivste Ansatz besteht darin, Service Health-Warnungen einzurichten. Sie können diese Warnungen über Ihre bevorzugten Kommunikationskanäle empfangen. Die Warnungen benachrichtigen Sie, wenn Dienstprobleme, geplante Wartungen oder andere Änderungen sich auf Ihre Azure Virtual Desktop-Ressourcen auswirken können. Weitere Informationen finden Sie unter Einrichten von Dienstwarnungen.

Resource Health

Resource Health hilft Ihnen bei der Diagnose und beim Abrufen von Support für Dienstprobleme, die sich auf Ihre Azure-Ressourcen auswirken. Informationen zur aktuellen und früheren Integrität Ihrer Ressourcen werden in Resource Health gemeldet. Stellen Sie sicher, dass Sie proaktive Warnungen einrichten, um Sie über unerwünschte Ressourcenintegritätsstatus zu informieren. Sie können die folgenden Ressourcentypen auf Ressourcenintegrität status überwachen:

  • Azure Storage-Lösungen für Azure Virtual Desktop FSLogix und App Attach
  • Sitzungshosts oder virtuelle Computer (VMs)
Empfehlungen
  • Verwenden Sie Service Health, um über die Integrität der von Ihnen verwendeten Azure-Dienste und Regionen auf dem Laufenden zu bleiben.
  • Richten Sie Service Health-Warnungen ein, damit Sie über Dienstprobleme, geplante Wartungen oder andere Änderungen informiert bleiben, die sich möglicherweise auf Ihre Azure Virtual Desktop-Ressourcen auswirken.
  • Verwenden Sie Resource Health, um Ihre VMs und Speicherlösungen zu überwachen.
  • Richten Sie Resource Health Warnungen ein.

Leistungsüberwachung

Auswirkung: Leistungseffizienz, operative Exzellenz

Um Transparenz zu erhalten und die Leistung zu überwachen, müssen Sie wichtige Komponenten Ihrer Azure Virtual Desktop-Umgebung überwachen.

Konfigurationsempfehlungen

Um sicherzustellen, dass Sie wichtige Leistungsindikatoren und die erforderlichen Protokolle aus Ihren Azure Virtual Desktop-Entitäten abrufen, konfigurieren Sie die folgenden Diagnose Daten, die an Log Analytics gesendet werden sollen:

  • Azure Virtual Desktop-Hostpoolprotokolle
  • Azure Virtual Desktop-Arbeitsbereich Diagnose
  • Diagnose der Azure Virtual Desktop-Anwendungsgruppe
  • Speicherdiagnose
  • Daten zu Sitzungshosts aus einem Monitor-Agent oder Log Analytics-Agent
  • Leistungs- und Ereignisprotokolldaten, die gemäß den Datensammlungsregeln des Monitor- oder Log Analytics-Agents erfasst werden
  • Azure VM Insights-Daten

Konfigurationsoptionen

Zum Konfigurieren von Diagnoseeinstellungen stehen mehrere Optionen zur Verfügung:

  • Eine Azure Virtual Desktop Insights-Konfigurationsarbeitsmappe. Azure Virtual Desktop Insights ist eine Dashboard, die auf Monitor-Arbeitsmappen basiert und Ihnen hilft, Ihre Azure Virtual Desktop-Umgebung zu verstehen. Azure Virtual Desktop Insights stellt eine Konfigurationsarbeitsmappe bereit, die Sie für Folgendes verwenden können:

    • Konfigurieren Sie hostpool- und arbeitsbereichsbasierte Diagnose.
    • Aktivieren Sie Überwachungs-Agents auf Ihren Sitzungshosts.
    • Konfigurieren Sie empfohlene Leistungsindikatoren und Ereignisprotokolle für die Überwachung Ihrer Azure Virtual Desktop-Umgebung.

    Sie können weitere wichtige Leistungsindikatoren erfassen, indem Sie die Agenteinstellungen Ihres Log Analytics-Arbeitsbereichs konfigurieren.

  • Azure Policy. Sie können Azure Policy verwenden, um sicherzustellen, dass Überwachungs-Agents auf Ihren VMs installiert sind. Azure Policy unterstützt Monitor-Agents und Microsoft-Überwachungs-Agents.

  • Bereitstellungskonfiguration und -vorlagen. Sie können die Azure-Portal oder eine deklarative Bereitstellungslösung wie Azure Resource Manager-Vorlagen (ARM-Vorlagen), BICEP oder Terraform verwenden, um Azure Virtual Desktop bereitzustellen. Stellen Sie sicher, dass Diagnoseeinstellungen als Teil Ihrer Azure Virtual Desktop-Bereitstellungskonfiguration bereitgestellt werden. Wenn Sie Azure Virtual Desktop über die Azure-Portal bereitstellen, stellen Sie sicher, dass diagnoseeinstellungen aktiviert sind. Stellen Sie für die deklarativen Bereitstellungsmodelle sicher, dass Hostpools, Arbeitsbereiche oder Anwendungsgruppen mit aktivierten Diagnoseeinstellungen bereitgestellt werden. Stellen Sie außerdem sicher, dass VMs mit Microsoft Monitoring Agent- oder Monitor-Agent-Erweiterungen bereitgestellt werden.

Leistung des Sitzungshosts

Leistungsindikatoren erfassen, wie Ihre Systemressourcen verwendet werden. Der Leistungszähler für die Datenaufnahme hängt von der Größe und Nutzung Ihrer Umgebung ab. Es ist wichtig zu verstehen, dass jeder Leistungsindikator Daten mit einer bestimmten Häufigkeit sendet. In Ihrer Azure Virtual Desktop Insights-Konfigurationsarbeitsmappe können Sie Ihre Standard-Abtastrate pro Minute anpassen. Sie können diese Rate auch in Ihren Einstellungen bearbeiten. Der multiplizierte Faktor, der auf diese Rate angewendet wird, hängt vom Zähler ab.

Die folgende Liste zeigt die Kategorien von Leistungsmetriken und die Leistungsindikatoren, die Sie in jeder Kategorie konfigurieren können:

  • Logischer Datenträger
    • Free Space
    • Avg. Disk Queue Length
    • Avg. Disk sec/Transfer
    • Current Disk Queue Length
  • Arbeitsspeicher
    • % Committed Bytes in Use
    • Available Mbytes
    • Page Faults/sec
    • Pages/sec
  • Physikalischer Datenträger
    • Avg. Disk Queue Length
    • Avg. Disk sec/Read
    • Avg. Disk sec/Transfer
    • Avg. Disk sec/Write
  • Prozessorinformationen
    • % Processor Time
    • RemoteFX network
    • Current TCP RTT
    • Current UDP Bandwidth
    • Terminal Services
    • Active Sessions
    • Inactive Sessions
    • Total Sessions
  • Benutzereingabeverzögerung pro Prozess
    • Max Input Delay
  • Benutzereingabeverzögerung pro Sitzung
    • Max Input Delay

Sie können Diagnose Tabellen in Log Analytics verwenden, um Netzwerkinformationen für Azure Virtual Desktop-Verbindungen abzufragen und zu analysieren. Die WVDConnectionNetworkData Daten enthalten eine Korrelations-ID, die einer bestimmten Azure Virtual Desktop-Verbindung zugeordnet ist. Für jede Sitzung können Sie wichtige Leistungsdaten wie die geschätzte Roundtripzeit in Millisekunden und die geschätzte verfügbare Bandbreite in KBps anzeigen.

Windows-Ereignisprotokolle sind Datenquellen, die Log Analytics-Agents auf Windows-VMs sammeln. Sie können Ereignisse aus Standardprotokollen wie System- und Anwendungsprotokollen erfassen. Sie können auch Ereignisse aus benutzerdefinierten Protokollen sammeln, die von Anwendungen erstellt werden, die Sie überwachen müssen. Standardmäßig werden Protokolle der folgenden Windows-Ereignistypen für Azure Virtual Desktop in Monitor gesammelt:

  • Application
  • Microsoft-Windows-TerminalServices-RemoteConnectionManager/Admin
  • Microsoft-Windows-TerminalServices-LocalSessionManager/Operational
  • System
  • Microsoft-FSLogix-Apps/Operational
  • Microsoft-FSLogix-Apps/Admin

Ein Windows-Ereignis wird ausgelöst, wenn die Bedingungen des Ereignisses in der Umgebung erfüllt werden. Computer in fehlerfreien Zuständen senden weniger Ereignisse als Computer in fehlerhaften Zuständen.

Es ist wichtig, die Ereignisprotokolle auf Verbindungsprobleme zu überwachen, die mit dem Azure Virtual Desktop-Agent auftreten können. Weitere Informationen finden Sie unter Behandeln allgemeiner Probleme mit dem Azure Virtual Desktop-Agent.

Speicherleistungsschwellenwerte und Überwachung

Sie sollten die Azure-Speicherlösung überwachen, die Sie zum Hosten von FSLogix-Profilen oder App Attach-Freigaben verwenden. Es ist wichtig, die Profilspeicherorte zu überwachen, um sicherzustellen, dass Schwellenwerte nicht überschritten werden, was sich negativ auf Die Benutzerfreundlichkeit auswirken kann. Für Storage sollten Sie die Dateifreigabekapazität überwachen, um sicherzustellen, dass Dateifreigabekontingente nicht die maximale Kapazität erreichen. Sie sollten auch die Dateifreigabetransaktionen überwachen, um sicherzustellen, dass Transaktionen innerhalb definierter Schwellenwerte liegen.

Diensteinschränkungen

Azure Virtual Desktop verfügt über Dienstlimits, die Sie während der Entwurfsphase Ihrer Bereitstellung berücksichtigen sollten. Sie müssen diese Dienstgrenzwerte auch in Produktionsumgebungen kennen, und Sie sollten proaktiv über diese Grenzwerte berichten. Die Grenzwerte sind relativ groß. In größeren Bereitstellungen, in denen es einfacher ist, diese Grenzwerte zu erreichen, ist es jedoch wichtig, sie zu überwachen. Weitere Informationen finden Sie unter Einschränkungen von Azure Virtual Desktop.

Empfehlungen
  • Konfigurieren Sie Diagnose Daten, die an Log Analytics gesendet werden sollen.
  • Wählen Sie verschiedene Optionen zum Konfigurieren Diagnose Einstellungen aus, z. B. eine Azure Virtual Desktop Insights-Konfigurationsmappe, Azure Policy, das Azure-Portal oder eine Vorlage.
  • Konfigurieren Sie Leistungsindikatoren so, dass Sie einen Datensatz darüber haben, wie Ihre Systemressourcen verwendet werden.
  • Verwenden Sie Diagnose Tabellen in Log Analytics, um Netzwerkinformationen für Azure Virtual Desktop-Verbindungen abzufragen und zu analysieren.
  • Überwachen Sie Ereignisprotokolle auf Verbindungsprobleme mit dem Azure Virtual Desktop-Agent.
  • Überwachen Sie die Azure-Speicherlösung, die Sie zum Hosten von FSLogix-Profilen oder App Attach-Freigaben verwenden.
  • Überwachen Sie die Dienstnutzung, um sicherzustellen, dass Ihre Workload die Grenzwerte nicht überschreitet.

Sicherheitsüberwachung

Auswirkung: Sicherheit

In den folgenden Abschnitten werden mehrere Überwachungsmaßnahmen beschrieben, die Sie ergreifen können, um die Sicherheit Ihrer Workload zu verbessern.

Microsoft Defender für Cloud und Microsoft Sentinel

Stellen Sie sicher, dass Microsoft Defender für Cloud erweiterte Sicherheitsfeatures auf den von Ihnen bereitgestellten Abonnement- und Azure Virtual Desktop-Sitzungshosts aktiviert sind. Defender für Cloud bietet eine Plattform zum Schutz von Cloudworkloads und cloud security posture management. Sie können Defender für Cloud verwenden, um Sicherheitsrisiken zu verwalten und die Konformität mit gängigen Frameworks wie Payment Card Industry (PCI) und ISO27001 zu bewerten. Sie können Defender für Cloud auch verwenden, um den Sicherheitsstatus Ihrer Umgebung insgesamt zu verbessern. Defender für Cloud verwendet den Microsoft-Überwachungs-Agent oder den Monitor-Agent.

Microsoft Entra ID Authentifizierungs- und Überwachungsprotokolle

Microsoft Entra ID ist die First-Line-Authentifizierungslösung für Azure Virtual Desktop, unabhängig davon, welche Verbindungsmethode ein Client verwendet. Daher ist es wichtig, Microsoft Entra ID Authentifizierungs- und Überwachungsprotokolle zu sammeln. Sie können diese Protokolle auf folgende Weise sammeln:

  • Konfigurieren Sie in Ihren Diagnose Einstellungen Überwachungsprotokolle und Anmeldeprotokolle, die an Log Analytics gesendet werden sollen, wo die Daten abgefragt und benachrichtigt werden können.
  • Verwenden Sie einen Connector in Microsoft Sentinel, um Daten aus Microsoft Entra ID zu sammeln und in Microsoft Sentinel zu streamen.

Sicherheitsereignisprotokolle

Sie sollten Sicherheitsereignisprotokolle von Ihren Azure Virtual Desktop-Sitzungshosts sammeln. Es empfiehlt sich, diese Protokolle einem zentralen Repository für Sicherheitsereignisse hinzuzufügen, die Ihre Azure Virtual Desktop-Hosts betreffen. Sie können das Repository zum Speichern und Abfragen der Protokolle verwenden. Sie können eine der folgenden Optionen verwenden, um die Protokolle zu erfassen:

  • Verwenden Sie eine Monitor-Agent-Datensammlungsregel zum Sammeln von Sicherheitsereignisprotokollen. Diese Option wird empfohlen.
  • Verwenden Sie einen Microsoft-Überwachungs-Agent, um die Protokolle für Microsoft Sentinel zu sammeln, oder verwenden Sie einen Legacy-Agent-Connector, um Sicherheitsereignisse zu sammeln.
  • Verwenden Sie einen Microsoft-Überwachungs-Agent, um Sicherheitsereignisse für Defender für Cloud zu sammeln.

Aufrechterhalten von Compliance

Monatliche Sicherheitsupdates sind für die allgemeine Integrität und Sicherheit Ihrer Azure Virtual Desktop-Umgebung von entscheidender Bedeutung. Stellen Sie sicher, dass Sie Ihre Azure Virtual Desktop-Umgebung regelmäßig aktualisieren, indem Sie neue Images installieren oder ein Updateverwaltungstool verwenden. Es ist am besten, monatliche Konformitätsberichte und Überwachung der gesamten Updatekonformität Ihrer Umgebung durchzuführen. Diese Vorgehensweise trägt dazu bei, dass Ihre Azure Virtual Desktop-Administratoren und das Sicherheitsteam über die allgemeine Sicherheitskonformität status Ihrer Umgebung informiert sind.

Empfehlungen
  • Verwenden Sie Defender für Cloud, um Sicherheitsrisiken zu verwalten und die Konformität mit gängigen Frameworks zu bewerten.
  • Verwenden Sie Defender für Cloud, um den Sicherheitsstatus Ihrer Umgebung insgesamt zu stärken.
  • Sammeln Sie Microsoft Entra ID Authentifizierungs- und Überwachungsprotokolle.
  • Speichern Sie Sicherheitsereignisprotokolle von Ihren Azure Virtual Desktop-Sitzungshosts in einem Repository.
  • Aktualisieren Sie Ihre Azure Virtual Desktop-Umgebung regelmäßig.
  • Führen Sie monatliche Konformitätsberichte durch.

Berichterstellung

Auswirkung: Operational Excellence

Für die Azure Virtual Desktop-Berichterstellung stehen mehrere Optionen zur Verfügung:

  • Azure Virtual Desktop Insights. Diese Dashboard bietet viele der erforderlichen Erkenntnisse und Visualisierungen, die Sie benötigen, um Ihre Azure Virtual Desktop-Umgebung zu verstehen und zu überwachen.
  • Arbeitsmappen und externe Berichterstellungstools. In einigen Szenarien ist es hilfreich, eine benutzerdefinierte Arbeitsmappe und Dashboard zu haben. Sie können Ihre eigenen Berichte oder Arbeitsmappen erstellen, indem Sie Log Analytics-Tabellen und Azure Resource Graph Abfrageergebnisse als Datenquellen verwenden. Resource Graph ist ein Dienst, mit dem Sie Azure Virtual Desktop-Objekte wie Hostpools, Arbeitsbereiche, Computekomponenten und Speicherlösungen melden können. Daten werden nur in benutzerdefinierten Lösungen aufgefüllt, wenn Sie Diagnose für Azure Virtual Desktop-Objekte aktivieren und einen unterstützten Überwachungs-Agent zum Sammeln von Leistungs- und Ereignisprotokolldaten verwenden. Die folgenden Log Analytics-Tabellen sind als Datenquellen verfügbar:
    • Log Analytics-Tabellen in Azure Virtual Desktop
      • WVDAgentHealthStatus
      • WVDCheckpoints
      • WVDConnectionGraphicsDataPreview
      • WVDConnectionNetworkData
      • WVDConnections
      • WVDErrors
      • WVDFeeds
      • WVDHostRegistrations
      • WVDManagement
    • Tabelle „Leistungsindikatoren“
      • Perf
      • InsightMetrics (nur, wenn die VM Insights-Funktion aktiviert ist)
    • Ereignistabellen
      • Event
Empfehlungen
  • Erwägen Sie die Verwendung von Azure Virtual Desktop Insights für die Berichterstellung.
  • Verwenden Sie Log Analytics-Tabellen und Resource Graph Abfrageergebnisse als Datenquellen, wenn Sie benutzerdefinierte Dashboards erstellen.

Warnungen

Auswirkung: Leistungseffizienz, operative Exzellenz

Verwenden Sie das Überwachungswarnungsframework oder eine entsprechende Überwachungslösung, um über die Leistung und Sicherheit von Azure Virtual Desktop auf dem Laufenden zu bleiben. Sie können benutzerdefinierte Warnungen für die folgenden Arten von Azure Virtual Desktop-Ereignissen, Diagnose und Ressourcen konfigurieren:

  • VM-Leistung
  • Kritische Ereignisse, z. B. Anwendungsereignisse mit IDs 3702 oder 3703 für Probleme mit nicht verfügbarem Zustand auf Sitzungshosts
  • Dienstintegrität
  • Resource Health
  • Azure Virtual Desktop-Diagnosedaten
  • Pakete zum Anfügen von Profilen und App
  • Defender für Cloud
Empfehlungen
  • Verwenden Sie Warnungen, um über Leistung und Sicherheit von Azure Virtual Desktop auf dem Laufenden zu bleiben.
  • Konfigurieren Sie Warnungen für verschiedene Azure Virtual Desktop-Ereignisse, Diagnose und Ressourcen.

Nächste Schritte

Nachdem Sie nun die bewährten Methoden für die Beobachtbarkeit in Azure Virtual Desktop untersucht haben, erkunden Sie Mechanismen, Tools und Umkreise, mit denen Sie Ihre Azure Virtual Desktop-Workloads weiter schützen können.

Sicherheits- und Identitäts- und Zugriffsverwaltung (IAM)

Verwenden Sie das Bewertungstool, um Ihre Entwurfsentscheidungen auszuwerten.

Bewertung