Azure Virtual Desktop ワークロードの監視に関する考慮事項
この記事では、Azure Virtual Desktop ワークロードの監視設計領域について説明します。 Azure Monitor for Azure Virtual Desktop の使用を開始する前に、次の手順を実行する必要があります。
- 少なくとも 1 つの Log Analytics ワークスペースを構成します。 Azure Virtual Desktop セッション ホスト用に指定された Log Analytics ワークスペースを使用して、パフォーマンス カウンターとイベントが Azure Virtual Desktop デプロイのセッション ホストからのみ収集されるようにします。
- Log Analytics ワークスペースの次の項目のデータ収集を有効にします。
- Azure Virtual Desktop 環境からの診断
- Azure Virtual Desktop セッション ホストからの推奨されるパフォーマンス カウンター
- Azure Virtual Desktop セッション ホストからの推奨 Windows イベント ログ
次のセクションでは、Azure Virtual Desktop 環境を監視し、正常な状態を維持するための考慮事項について説明します。
重要
この記事は、 Azure Well-Architected Framework Azure Virtual Desktop ワークロード シリーズの一部です。 このシリーズに慣れていない場合 は、「Azure Virtual Desktop ワークロードとは」から開始することをお勧めします。
正常性と可用性の監視
影響: オペレーショナル エクセレンス、信頼性
Azure には、Azure Service Health や Azure Resource Health など、クラウド リソースの正常性に関する情報を常に把握できるサービスがいくつか用意されています。
Service Health
Service Health を使用して、使用する Azure サービスとリージョンの正常性のビューを提供する必要があります。 Service Health は、サービスに影響を与えるイベント (停止や計画メンテナンス アクティビティなど) に関する通知を検索するのに最適な場所です。 Service Health には、Azure Virtual Desktop 環境と関連するサブスクリプションへの影響に関するその他の正常性アドバイザリも用意されています。 最もプロアクティブなアプローチは、Service Health アラートを設定することです。 これらのアラートは、優先する通信チャネルを介して受信できます。 このアラートは、サービスの問題、計画メンテナンス、またはその他の変更が Azure Virtual Desktop リソースに影響を与える可能性がある場合に通知します。 詳細については、「 サービス アラートを設定する」を参照してください。
リソース正常性
Resource Healthは、Azure リソースに影響を与えるサービスの問題を診断してサポートを受けるのに役立ちます。 リソースの現在および過去の正常性に関する情報は、Resource Healthで報告されます。 望ましくないリソース正常性状態について通知するように、事前アラートを設定してください。 リソースの正常性状態については、次のリソースの種類を監視できます。
- Azure Virtual Desktop FSLogix とアプリアタッチ用の Azure Storage ソリューション
- セッション ホスト、または仮想マシン (VM)
Recommendations
- Service Health を使用して、使用する Azure サービスとリージョンの正常性に関する情報を常に把握します。
- サービス正常性アラートを設定して、サービスの問題、計画メンテナンス、または Azure Virtual Desktop リソースに影響する可能性があるその他の変更を把握できるようにします。
- Resource Healthを使用して、VM とストレージ ソリューションを監視します。
- Resource Healthアラートを設定します。
パフォーマンスの監視
影響: パフォーマンス効率、オペレーショナル エクセレンス
可視性を高め、パフォーマンスを監視するには、Azure Virtual Desktop 環境の重要なコンポーネントを監視する必要があります。
構成に関する推奨事項
Azure Virtual Desktop エンティティから主要業績評価指標と必要なログを確実に取得できるようにするには、Log Analytics に送信される次の診断 データを構成します。
- Azure Virtual Desktop ホスト プールのログ
- Azure Virtual Desktop ワークスペースの診断
- Azure Virtual Desktop アプリケーション グループの診断
- ストレージ診断
- モニター エージェントまたは Log Analytics エージェントからのセッション ホストに関するデータ
- モニターまたは Log Analytics エージェントのデータ収集規則に従って収集されるパフォーマンスとイベント ログ のデータ
- Azure VM の分析情報データ
構成オプション
診断設定を構成するには、いくつかのオプションを使用できます。
Azure Virtual Desktop Insights 構成ブック。 Azure Virtual Desktop Insights は、Azure Virtual Desktop 環境を理解するのに役立つ Monitor ブックに基づいて構築されたダッシュボードです。 Azure Virtual Desktop Insights には、次の用途に使用できる構成ブックが用意されています。
- ホスト プールとワークスペースの診断を構成します。
- セッション ホストで監視エージェントを有効にします。
- Azure Virtual Desktop 環境を監視するために、推奨されるパフォーマンス カウンターとイベント ログを構成します。
Log Analytics ワークスペースのエージェント設定を構成することで、他の主要業績評価指標を収集できます。
Azure Policy。 Azure Policyを使用して、監視エージェントが VM にインストールされていることを確認できます。 Azure Policyでは、モニター エージェントと Microsoft 監視エージェントがサポートされます。
デプロイの構成とテンプレート。 Azure portalまたは Azure Resource Manager テンプレート (ARM テンプレート)、BICEP、Terraform などの宣言型デプロイ ソリューションを使用して、Azure Virtual Desktop をデプロイできます。 診断設定が Azure Virtual Desktop デプロイ構成の一部としてデプロイされていることを確認します。 Azure portalを使用して Azure Virtual Desktop をデプロイする場合は、診断設定が有効になっていることを確認します。 宣言型デプロイ モデルの場合は、診断設定が有効になっている状態でホスト プール、ワークスペース、またはアプリケーション グループがデプロイされていることを確認します。 また、VM が Microsoft 監視エージェントまたはモニター エージェント拡張機能と共にデプロイされていることを確認します。
セッション ホストのパフォーマンス
パフォーマンス カウンターは、システム リソースの使用方法を記録します。 パフォーマンス カウンターのデータ インジェストは、環境のサイズと使用状況によって異なります。 各パフォーマンス カウンターは、特定の頻度でデータを送信することを理解することが重要です。 Azure Virtual Desktop Insights 構成ブックでは、1 分あたりの既定のサンプルレートを調整できます。 設定でこのレートを編集することもできます。 このレートに適用される乗算係数は、カウンターによって異なります。
次の一覧は、パフォーマンス メトリックのカテゴリと、各カテゴリで構成できるパフォーマンス カウンターを示しています。
- 論理ディスク
Free Space
Avg. Disk Queue Length
Avg. Disk sec/Transfer
Current Disk Queue Length
- メモリ
% Committed Bytes in Use
Available Mbytes
Page Faults/sec
Pages/sec
- 物理ディスク
Avg. Disk Queue Length
Avg. Disk sec/Read
Avg. Disk sec/Transfer
Avg. Disk sec/Write
- プロセッサ情報
% Processor Time
RemoteFX network
Current TCP RTT
Current UDP Bandwidth
Terminal Services
Active Sessions
Inactive Sessions
Total Sessions
- プロセスごとのユーザー入力遅延
Max Input Delay
- セッションごとのユーザー入力の遅延
Max Input Delay
Log Analytics の診断 テーブルを使用して、Azure Virtual Desktop 接続のネットワーク情報のクエリと分析を行うことができます。 データには WVDConnectionNetworkData
、特定の Azure Virtual Desktop 接続にマップされる関連付け ID が含まれています。 セッションごとに、推定ラウンドトリップ時間 (ミリ秒単位)、使用可能な推定帯域幅 (KBps) など、重要なパフォーマンス データを確認できます。
Windows イベント ログは、Log Analytics エージェントが Windows VM で収集するデータ ソースです。 システム ログやアプリケーション ログなどの標準ログからイベントを収集できます。 監視する必要があるアプリケーションによって作成されたカスタム ログからイベントを収集することもできます。 既定では、次の種類の Windows イベントのログは、モニターで Azure Virtual Desktop 用に収集されます。
Application
Microsoft-Windows-TerminalServices-RemoteConnectionManager/Admin
Microsoft-Windows-TerminalServices-LocalSessionManager/Operational
System
Microsoft-FSLogix-Apps/Operational
Microsoft-FSLogix-Apps/Admin
Windows イベントは、環境でイベントの条件が満たされるたびにトリガーされます。 正常な状態のマシンは、異常な状態のマシンよりも送信されるイベントが少なくなります。
Azure Virtual Desktop エージェントで発生する可能性がある接続の問題がないか、イベント ログを監視することが重要です。 詳細については、「 Azure Virtual Desktop エージェントの一般的な問題のトラブルシューティング」を参照してください。
ストレージ パフォーマンスのしきい値と監視
FSLogix プロファイルまたはアプリアタッチ共有をホストするために使用する Azure ストレージ ソリューションを監視する必要があります。 プロファイルストレージの場所を監視して、しきい値を超えないようにすることが重要です。これにより、ユーザー エクスペリエンスに悪影響を及ぼす可能性があります。 Storage の場合は、ファイル共有の容量を監視して、ファイル共有クォータが最大容量に達しないようにする必要があります。 また、ファイル共有トランザクションを監視して、トランザクションが定義されたしきい値内にあることを確認する必要もあります。
サービスの制限
Azure Virtual Desktop には、デプロイの設計フェーズで考慮する必要があるサービス制限があります。 運用環境でもこれらのサービス制限に注意する必要があり、これらの制限について事前に報告する必要があります。 制限は比較的大きくなります。 ただし、これらの制限に簡単に到達できる大規模なデプロイでは、それらを監視することが不可欠です。 詳細については、「 Azure Virtual Desktop の制限事項」を参照してください。
Recommendations
- Log Analytics に送信診断データを構成します。
- Azure Virtual Desktop Insights 構成ブック、Azure Policy、Azure portal、テンプレートなど、診断設定を構成するためのさまざまなオプションから選択します。
- システム リソースの使用方法を記録できるように、パフォーマンス カウンターを構成します。
- Log Analytics の 診断 テーブルを使用して、Azure Virtual Desktop 接続のネットワーク情報のクエリと分析を行います。
- Azure Virtual Desktop エージェントに関する接続の問題がないか、イベント ログを監視します。
- FSLogix プロファイルまたはアプリアタッチ共有をホストするために使用する Azure ストレージ ソリューションを監視します。
- サービスの使用状況を監視して、ワークロードが制限を超えないようにします。
セキュリティの監視
影響: セキュリティ
次のセクションでは、ワークロードのセキュリティを向上させるために実行できるいくつかの監視対策について説明します。
Cloud と Microsoft Sentinel のMicrosoft Defender
デプロイするサブスクリプションと Azure Virtual Desktop セッション ホストで、クラウド強化セキュリティ機能のMicrosoft Defenderが有効になっていることを確認します。 Defender for Cloud には、クラウド ワークロード保護プラットフォームとクラウド セキュリティ態勢管理が用意されています。 Defender for Cloud を使用して脆弱性を管理し、Payment Card Industry (PCI) や ISO27001 などの一般的なフレームワークへのコンプライアンスを評価できます。 Defender for Cloud を使用して、環境の全体的なセキュリティ体制を強化することもできます。 Defender for Cloud では、Microsoft 監視エージェントまたは Monitor エージェントが使用されます。
認証ログと監査ログのMicrosoft Entra ID
Microsoft Entra IDは、クライアントが使用する接続方法に関係なく、Azure Virtual Desktop の最初の行認証ソリューションです。 その結果、Microsoft Entra ID認証ログと監査ログを収集することが重要になります。 これらのログは、次の方法で収集できます。
- 診断設定で、Log Analytics に送信される監査ログとサインイン ログを構成します。ここで、データに対してクエリを実行してアラートを送信できます。
- Microsoft Sentinel のコネクタを使用して、Microsoft Entra IDからデータを収集し、Microsoft Sentinel にストリーミングします。
セキュリティ イベント ログ
Azure Virtual Desktop セッション ホストからセキュリティ イベント ログを収集する必要があります。 Azure Virtual Desktop ホストを含むセキュリティ イベント用の一元化されたリポジトリにこれらのログを追加することをお勧めします。 リポジトリを使用して、ログの格納とクエリを実行できます。 次のいずれかのオプションを使用してログを収集できます。
- セキュリティ イベント ログを収集するために、Monitor エージェント データ収集ルールを使用します。 このオプションが推奨されています。
- Microsoft 監視エージェントを使用して Microsoft Sentinel のログを収集するか、レガシ エージェント コネクタを使用してセキュリティ イベントを収集します。
- Microsoft 監視エージェントを使用して、Defender for Cloud のセキュリティ イベントを収集します。
コンプライアンスを維持する
毎月のセキュリティ更新プログラムは、Azure Virtual Desktop 環境の全体的な正常性とセキュリティに不可欠です。 新しいイメージをインストールするか、更新管理ツールを使用して、Azure Virtual Desktop 環境を定期的に更新してください。 環境の全体的な更新プログラムのコンプライアンスに関する毎月のコンプライアンス レポートと監視を行うことをお勧めします。 このプラクティスは、Azure Virtual Desktop の管理者とセキュリティ チームが、環境の全体的なセキュリティ コンプライアンスの状態を把握するのに役立ちます。
Recommendations
- Defender for Cloud を使用して脆弱性を管理し、一般的なフレームワークへのコンプライアンスを評価します。
- Defender for Cloud を使用して、環境の全体的なセキュリティ体制を強化します。
- Microsoft Entra ID認証ログと監査ログを収集します。
- Azure Virtual Desktop セッション ホストのセキュリティ イベント ログをリポジトリに格納します。
- Azure Virtual Desktop 環境を定期的に更新します。
- 毎月のコンプライアンス レポートを実施します。
レポート
影響: オペレーショナル エクセレンス
Azure Virtual Desktop レポートでは、複数のオプションを使用できます。
- Azure Virtual Desktop Insights。 このダッシュボードには、Azure Virtual Desktop 環境を理解して監視するために必要な多くの必要な分析情報と視覚化が用意されています。
- ブックと外部レポート ツール。 シナリオによっては、カスタム ブックとダッシュボードを作成すると便利です。 Log Analytics テーブルと Azure Resource Graph クエリ結果をデータ ソースとして使用して、独自のレポートまたはブックを作成できます。 Resource Graphは、ホスト プール、ワークスペース、コンピューティング コンポーネント、ストレージ ソリューションなどの Azure Virtual Desktop オブジェクトに関するレポートに使用できるサービスです。 データは、Azure Virtual Desktop オブジェクトの診断を有効にし、サポートされている監視エージェントを使用してパフォーマンスとイベント ログ データを収集する場合にのみ、カスタム ソリューションにデータが設定されます。 次の Log Analytics テーブルをデータ ソースとして使用できます。
- Azure Virtual Desktop Log Analytics テーブル
WVDAgentHealthStatus
WVDCheckpoints
WVDConnectionGraphicsDataPreview
WVDConnectionNetworkData
WVDConnections
WVDErrors
WVDFeeds
WVDHostRegistrations
WVDManagement
- パフォーマンス カウンター テーブル
Perf
-
InsightMetrics
(VM Insights 機能が有効になっている場合のみ)
- イベント テーブル
Event
- Azure Virtual Desktop Log Analytics テーブル
Recommendations
- レポートには Azure Virtual Desktop Insights を使用することを検討してください。
- Log Analytics テーブルを使用し、カスタム ダッシュボードを作成するときにデータ ソースとしてクエリ結果をResource Graphします。
アラート
影響: パフォーマンス効率、オペレーショナル エクセレンス
アラートの監視フレームワークまたは同等の監視ソリューションを使用して、Azure Virtual Desktop のパフォーマンスとセキュリティに関する情報を常に把握します。 次の種類の Azure Virtual Desktop イベント、診断、リソースに対してカスタム アラートを構成できます。
- VM のパフォーマンス
- セッション ホストで使用できない状態の問題に対する ID 3702 または 3703 を持つアプリケーション イベントなど、重大なイベント
- サービス正常性
- リソース正常性
- Azure Virtual Desktop の診断データ
- プロファイルパッケージとアプリアタッチパッケージ
- Defender for Cloud
Recommendations
- アラートを使用して、Azure Virtual Desktop のパフォーマンスとセキュリティに関する情報を把握します。
- さまざまな Azure Virtual Desktop イベント、診断、リソースのアラートを構成します。
次の手順
Azure Virtual Desktop の監視のベスト プラクティスを確認したので、Azure Virtual Desktop ワークロードをさらにセキュリティで保護するために使用できるメカニズム、ツール、境界について説明します。
評価ツールを使用して、設計の選択を評価します。