Compartilhar via

Considerações de monitoramento para cargas de trabalho da Área de Trabalho Virtual do Azure

  • Artigo

Este artigo discute a área de design de monitoramento de uma carga de trabalho da Área de Trabalho Virtual do Azure. Antes de começar a usar o Azure Monitor para Área de Trabalho Virtual do Azure, você precisa executar as seguintes etapas:

  • Configure pelo menos um workspace do Log Analytics. Use um workspace designado do Log Analytics para seus hosts de sessão da Área de Trabalho Virtual do Azure para ajudar a garantir que contadores de desempenho e eventos sejam coletados somente de hosts de sessão em sua implantação da Área de Trabalho Virtual do Azure.
  • Habilite a coleta de dados para os seguintes itens do workspace do Log Analytics:
    • Diagnóstico do ambiente da Área de Trabalho Virtual do Azure
    • Contadores de desempenho recomendados de hosts da sessão da Área de Trabalho Virtual do Azure
    • Logs de eventos recomendados do Windows de seus hosts de sessão da Área de Trabalho Virtual do Azure

As seções a seguir fornecem considerações para monitorar seu ambiente da Área de Trabalho Virtual do Azure e mantê-lo íntegro.

Importante

Este artigo faz parte da série de cargas de trabalho da Área de Trabalho Virtual do Azure do Azure Well-Architected Framework . Se você não estiver familiarizado com esta série, recomendamos que comece com O que é uma carga de trabalho da Área de Trabalho Virtual do Azure?.

Monitoramento de integridade e disponibilidade

Impacto: Excelência Operacional, Confiabilidade

O Azure oferece vários serviços, como a Integridade do Serviço do Azure e o Azure Resource Health que o mantêm informado sobre a integridade dos recursos de nuvem.

Integridade do Serviço

Você deve usar a Integridade do Serviço para fornecer uma exibição da integridade dos serviços e regiões do Azure que você usa. A Integridade do Serviço é o melhor lugar para procurar notificações sobre eventos que afetam seu serviço, como interrupções e atividades de manutenção planejada. A Integridade do Serviço também fornece outros avisos de integridade sobre os impactos no ambiente da Área de Trabalho Virtual do Azure e na assinatura relacionada. A abordagem mais proativa é configurar alertas de Integridade do Serviço. Você pode receber esses alertas por meio de seus canais de comunicação preferenciais. Os alertas notificam quando problemas de serviço, manutenção planejada ou outras alterações podem afetar os recursos da Área de Trabalho Virtual do Azure. Para obter mais informações, consulte Configurar alertas de serviço.

Integridade de recursos

Resource Health ajuda a diagnosticar e obter suporte para problemas de serviço que afetam seus recursos do Azure. Informações sobre a integridade atual e passada de seus recursos são relatadas em Resource Health. Certifique-se de configurar alertas proativos para notificá-lo sobre quaisquer status de integridade de recursos indesejáveis. Você pode monitorar os seguintes tipos de recursos para status de integridade do recurso:

  • Soluções de Armazenamento do Azure para FSLogix da Área de Trabalho Virtual do Azure e Anexação de Aplicativo
  • Hosts de sessão ou VMs (máquinas virtuais)
Recomendações
  • Use a Integridade do Serviço para se manter informado sobre a integridade dos serviços e regiões do Azure que você usa.
  • Configure alertas de Integridade do Serviço para que você fique ciente de problemas de serviço, manutenção planejada ou outras alterações que possam afetar os recursos da Área de Trabalho Virtual do Azure.
  • Use Resource Health para monitorar suas VMs e soluções de armazenamento.
  • Configure Resource Health alertas.

Monitoramento de desempenho

Impacto: eficiência de desempenho, excelência operacional

Para obter visibilidade e monitorar o desempenho, você precisa monitorar componentes críticos do ambiente da Área de Trabalho Virtual do Azure.

Recomendações de configuração

Para ajudar a garantir que você recupere os principais indicadores de desempenho e os logs necessários de suas entidades da Área de Trabalho Virtual do Azure, configure os seguintes dados de diagnóstico a serem enviados ao Log Analytics:

  • Logs do pool de host da Área de Trabalho Virtual do Azure
  • Workspace da Área de Trabalho Virtual do Azure diagnóstico
  • Grupo de aplicativos da Área de Trabalho Virtual do Azure diagnóstico
  • Diagnóstico de armazenamento
  • Dados sobre hosts de sessão de um agente do Monitor ou do agente do Log Analytics
  • Dados de log de eventos e desempenho coletados de acordo com as regras de coleta de dados do agente do Monitor ou do Log Analytics
  • Dados de insights da VM do Azure

Opções de configuração

Várias opções estão disponíveis para definir as configurações de diagnóstico:

  • Uma pasta de trabalho de configuração do Insights da Área de Trabalho Virtual do Azure. Os Insights da Área de Trabalho Virtual do Azure são uma dashboard criada com base em pastas de trabalho do Monitor que ajudam você a entender seu ambiente da Área de Trabalho Virtual do Azure. O Insights da Área de Trabalho Virtual do Azure fornece uma pasta de trabalho de configuração que você pode usar para:

    • Configure o pool de host e o diagnóstico do workspace.
    • Habilite agentes de monitoramento em seus hosts de sessão.
    • Configure os contadores de desempenho e os logs de eventos recomendados para monitorar o ambiente da Área de Trabalho Virtual do Azure.

    Você pode coletar outros indicadores-chave de desempenho definindo as configurações do agente do workspace do Log Analytics.

  • Azure Policy. Você pode usar Azure Policy para ajudar a garantir que os agentes de monitoramento estejam instalados em suas VMs. Azure Policy dá suporte a agentes de monitor e agentes de monitoramento da Microsoft.

  • Configuração e modelos de implantação. Você pode usar o portal do Azure ou uma solução de implantação declarativa, como modelos do ARM (modelos do Azure Resource Manager), BICEP ou Terraform para implantar a Área de Trabalho Virtual do Azure. Verifique se as configurações de diagnóstico são implantadas como parte da configuração de implantação da Área de Trabalho Virtual do Azure. Se você implantar a Área de Trabalho Virtual do Azure por meio do portal do Azure, verifique se as configurações de diagnóstico estão habilitadas. Para os modelos de implantação declarativa, verifique se os pools de hosts, workspaces ou grupos de aplicativos estão implantados com as configurações de diagnóstico habilitadas. Verifique também se as VMs estão implantadas com o agente de monitoramento da Microsoft ou as extensões do agente monitor.

Desempenho do host de sessão

Os contadores de desempenho registram como os recursos do sistema são usados. A ingestão de dados do contador de desempenho depende do tamanho e do uso do ambiente. É importante entender que cada contador de desempenho envia dados em uma frequência específica. Na pasta de trabalho de configuração do Insights da Área de Trabalho Virtual do Azure, você pode ajustar sua taxa de amostragem padrão por minuto. Você também pode editar essa taxa em suas configurações. O fator multiplicador aplicado a essa taxa depende do contador.

A lista a seguir mostra as categorias de métricas de desempenho e os contadores de desempenho que você pode configurar em cada categoria:

  • Disco lógico
    • Free Space
    • Avg. Disk Queue Length
    • Avg. Disk sec/Transfer
    • Current Disk Queue Length
  • Memória
    • % Committed Bytes in Use
    • Available Mbytes
    • Page Faults/sec
    • Pages/sec
  • Disco físico
    • Avg. Disk Queue Length
    • Avg. Disk sec/Read
    • Avg. Disk sec/Transfer
    • Avg. Disk sec/Write
  • Informações do processador
    • % Processor Time
    • RemoteFX network
    • Current TCP RTT
    • Current UDP Bandwidth
    • Terminal Services
    • Active Sessions
    • Inactive Sessions
    • Total Sessions
  • Atraso de entrada do usuário por processo
    • Max Input Delay
  • Atraso de entrada do usuário por sessão
    • Max Input Delay

Você pode usar diagnóstico tabelas no Log Analytics para consultar e analisar informações de rede para conexões da Área de Trabalho Virtual do Azure. Os WVDConnectionNetworkData dados incluem uma ID de correlação que é mapeada para uma conexão específica da Área de Trabalho Virtual do Azure. Para cada sessão, você pode ver dados de desempenho críticos, como o tempo estimado de ida e volta em milissegundos e a largura de banda disponível estimada em KBps.

Os logs de eventos do Windows são fontes de dados que os agentes do Log Analytics coletam em VMs do Windows. Você pode coletar eventos de logs padrão, como logs do sistema e do aplicativo. Você também pode coletar eventos de logs personalizados criados por aplicativos que você precisa monitorar. Por padrão, os logs dos seguintes tipos de eventos do Windows são coletados para a Área de Trabalho Virtual do Azure no Monitor:

  • Application
  • Microsoft-Windows-TerminalServices-RemoteConnectionManager/Admin
  • Microsoft-Windows-TerminalServices-LocalSessionManager/Operational
  • System
  • Microsoft-FSLogix-Apps/Operational
  • Microsoft-FSLogix-Apps/Admin

Um evento do Windows é disparado sempre que os termos do evento são atendidos no ambiente. Computadores em estados íntegros enviam menos eventos do que computadores em estados não íntegros.

É importante monitorar os logs de eventos quanto a problemas de conexão que podem surgir com o agente da Área de Trabalho Virtual do Azure. Para obter mais informações, consulte Solucionar problemas comuns do agente da Área de Trabalho Virtual do Azure.

Limites de desempenho e monitoramento de armazenamento

Você deve monitorar a solução de armazenamento do Azure que você usa para hospedar perfis FSLogix ou compartilhamentos de Anexação de Aplicativo. É importante monitorar os locais de armazenamento de perfil para ajudar a garantir que os limites não sejam excedidos, o que pode ter um impacto negativo na experiência do usuário. Para Armazenamento, você deve monitorar a capacidade de compartilhamento de arquivos para ajudar a garantir que as cotas de compartilhamento de arquivos não atinjam a capacidade máxima. Você também deve monitorar as transações de compartilhamento de arquivos para ajudar a garantir que as transações estejam dentro dos limites definidos.

Limites de serviço

A Área de Trabalho Virtual do Azure tem limites de serviço que você deve considerar durante a fase de design da implantação. Você precisa estar ciente desses limites de serviço também em ambientes de produção e deve relatar proativamente esses limites. Os limites são relativamente grandes. Mas em implantações maiores, em que é mais fácil atingir esses limites, é essencial monitorá-los. Para obter mais informações, consulte Limitações da Área de Trabalho Virtual do Azure.

Recomendações
  • Configure diagnóstico dados a serem enviados ao Log Analytics.
  • Selecione entre várias opções para definir diagnóstico configurações, como uma pasta de trabalho de configuração do Azure Virtual Desktop Insights, Azure Policy, o portal do Azure ou um modelo.
  • Configure contadores de desempenho para que você tenha um registro de como os recursos do sistema são usados.
  • Use diagnóstico tabelas no Log Analytics para consultar e analisar informações de rede para conexões da Área de Trabalho Virtual do Azure.
  • Monitore os logs de eventos para problemas de conexão com o agente da Área de Trabalho Virtual do Azure.
  • Monitore a solução de armazenamento do Azure que você usa para hospedar perfis FSLogix ou compartilhamentos de Anexação de Aplicativos.
  • Monitore o uso do serviço para garantir que sua carga de trabalho não exceda os limites.

Monitoramento de segurança

Impacto: Segurança

As seções a seguir descrevem várias medidas de monitoramento que você pode tomar para melhorar a segurança em sua carga de trabalho.

Microsoft Defender para Nuvem e Microsoft Sentinel

Verifique se Microsoft Defender para recursos de segurança aprimorados na nuvem estão habilitados na assinatura e nos hosts de sessão da Área de Trabalho Virtual do Azure implantados. O Defender para Nuvem fornece uma plataforma de proteção de carga de trabalho de nuvem e o Cloud Security Posture Management. Você pode usar o Defender para Nuvem para gerenciar vulnerabilidades e avaliar a conformidade com estruturas comuns, como PCI (Setor de Cartões de Pagamento) e ISO27001. Você também pode usar o Defender para Nuvem para fortalecer a postura geral de segurança do seu ambiente. O Defender para Nuvem usa o agente de monitoramento da Microsoft ou o agente monitor.

Microsoft Entra ID logs de autenticação e auditoria

Microsoft Entra ID é a solução de autenticação de primeira linha para a Área de Trabalho Virtual do Azure, independentemente do método de conexão que um cliente usa. Como resultado, é importante coletar Microsoft Entra ID logs de autenticação e auditoria. Você pode coletar esses logs das seguintes maneiras:

  • Em suas configurações de diagnóstico, configure logs de auditoria e logs de entrada a serem enviados para o Log Analytics, no qual os dados podem ser consultados e alertados.
  • Use um conector no Microsoft Sentinel para coletar dados de Microsoft Entra ID e transmiti-los para o Microsoft Sentinel.

Logs de eventos de segurança

Você deve coletar logs de eventos de segurança dos hosts de sessão da Área de Trabalho Virtual do Azure. É uma boa ideia adicionar esses logs a um repositório centralizado para eventos de segurança que envolvem os hosts da Área de Trabalho Virtual do Azure. Você pode usar o repositório para armazenar e consultar os logs. Você pode usar uma das seguintes opções para coletar os logs:

  • Use uma regra de coleta de dados do agente monitor para coletar logs de eventos de segurança. Essa opção é a recomendada.
  • Use um agente de monitoramento da Microsoft para coletar os logs do Microsoft Sentinel ou use um conector de agente herdado para coletar eventos de segurança.
  • Use um agente de monitoramento da Microsoft para coletar eventos de segurança para o Defender para Nuvem.

Manter a conformidade

As atualizações de segurança mensais são essenciais para a integridade geral e a segurança do ambiente da Área de Trabalho Virtual do Azure. Certifique-se de atualizar regularmente seu ambiente da Área de Trabalho Virtual do Azure instalando novas imagens ou usando uma ferramenta de gerenciamento de atualizações. É melhor realizar relatórios mensais de conformidade e monitoramento da conformidade geral da atualização do seu ambiente. Essa prática ajuda a garantir que os administradores da Área de Trabalho Virtual do Azure e a equipe de segurança permaneçam cientes das status gerais de conformidade de segurança do seu ambiente.

Recomendações
  • Use o Defender para Nuvem para gerenciar vulnerabilidades e avaliar a conformidade com estruturas comuns.
  • Use o Defender para Nuvem para fortalecer a postura geral de segurança do seu ambiente.
  • Colete Microsoft Entra ID logs de autenticação e auditoria.
  • Armazene logs de eventos de segurança de seus hosts de sessão da Área de Trabalho Virtual do Azure em um repositório.
  • Atualize o ambiente da Área de Trabalho Virtual do Azure regularmente.
  • Realizar relatórios mensais de conformidade.

Relatórios

Impacto: Excelência Operacional

Várias opções estão disponíveis para relatórios da Área de Trabalho Virtual do Azure:

  • Insights da Área de Trabalho Virtual do Azure. Esse dashboard fornece muitos dos insights e visualizações necessários que você precisa para entender e monitorar o ambiente da Área de Trabalho Virtual do Azure.
  • Pastas de trabalho e ferramentas de relatório externas. Em alguns cenários, é útil ter uma pasta de trabalho personalizada e dashboard. Você pode criar seus próprios relatórios ou pastas de trabalho usando tabelas do Log Analytics e resultados de consulta do Azure Resource Graph como fontes de dados. Resource Graph é um serviço que você pode usar para relatar objetos da Área de Trabalho Virtual do Azure, como pools de hosts, workspaces, componentes de computação e soluções de armazenamento. Os dados só serão preenchidos em soluções personalizadas se você ativar diagnóstico para objetos da Área de Trabalho Virtual do Azure e se você usar um agente de monitoramento com suporte para coletar dados de log de eventos e desempenho. As seguintes tabelas do Log Analytics estão disponíveis como fontes de dados:
    • Tabelas do Log Analytics da Área de Trabalho Virtual do Azure
      • WVDAgentHealthStatus
      • WVDCheckpoints
      • WVDConnectionGraphicsDataPreview
      • WVDConnectionNetworkData
      • WVDConnections
      • WVDErrors
      • WVDFeeds
      • WVDHostRegistrations
      • WVDManagement
    • Tabela de contadores de desempenho
      • Perf
      • InsightMetrics (somente se o recurso de insights da VM estiver habilitado)
    • Tabelas de eventos
      • Event
Recomendações
  • Considere usar o Insights da Área de Trabalho Virtual do Azure para relatórios.
  • Use tabelas do Log Analytics e Resource Graph resultados da consulta como fontes de dados ao criar painéis personalizados.

Alertas

Impacto: eficiência de desempenho, excelência operacional

Use a estrutura Monitorar alertas ou uma solução de monitoramento equivalente para se manter informado sobre o desempenho e a segurança da Área de Trabalho Virtual do Azure. Você pode configurar alertas personalizados para os seguintes tipos de eventos, diagnóstico e recursos da Área de Trabalho Virtual do Azure:

  • Desempenho da VM
  • Eventos críticos, como eventos de aplicativo com IDs 3702 ou 3703 para problemas de estado indisponível em hosts de sessão
  • Integridade do Serviço
  • Integridade de recursos
  • Dados de diagnóstico da Área de Trabalho Virtual do Azure
  • Pacotes de Anexação de Perfil e Aplicativo
  • Defender para Nuvem
Recomendações
  • Use alertas para se manter informado sobre o desempenho e a segurança da Área de Trabalho Virtual do Azure.
  • Configure alertas para vários eventos, diagnóstico e recursos da Área de Trabalho Virtual do Azure.

Próximas etapas

Agora que você analisou as melhores práticas de observabilidade na Área de Trabalho Virtual do Azure, explore mecanismos, ferramentas e perímetros que você pode usar para proteger ainda mais suas cargas de trabalho da Área de Trabalho Virtual do Azure.

Gerenciamento de segurança e identidade e acesso (IAM)

Use a ferramenta de avaliação para avaliar suas opções de design.

Avaliação