共用方式為

Azure 虛擬桌面工作負載的監視考慮

  • 發行項

本文討論 Azure 虛擬桌面工作負載的監視設計區域。 開始使用適用於 Azure 虛擬桌面的 Azure 監視器之前,您需要採取下列步驟:

  • 至少設定一個Log Analytics工作區。 使用 Azure 虛擬桌面會話主機的指定 Log Analytics 工作區,協助確保只從 Azure 虛擬桌面部署中的會話主機收集性能計數器和事件。
  • 為 Log Analytics 工作區的下列專案啟用資料收集:
    • 來自 Azure 虛擬桌面環境的診斷
    • Azure 虛擬桌面工作階段主機建議的效能計數器
    • 來自 Azure 虛擬桌面會話主機的建議 Windows 事件記錄

下列各節提供監視 Azure 虛擬桌面環境的考慮,並使其保持良好。

重要

本文是 Azure Well-Architected Framework Azure 虛擬桌面工作負載 系列的一部分。 如果您不熟悉此系列,建議您從 什麼是 Azure 虛擬桌面工作負載開始?

健康情況和可用性監視

影響:營運卓越、可靠性

Azure 提供數項服務,例如 Azure 服務健康狀態和 Azure 資源健康狀態,讓您知道雲端資源的健康情況。

服務健康狀態

您應該使用服務健康狀態來檢視您使用的 Azure 服務和區域的健康情況。 服務健康情況是尋找影響您服務之事件的相關通知的最佳位置,例如中斷和計劃性維護活動。 服務健康狀態也會提供對 Azure 虛擬桌面環境和相關訂用帳戶影響的其他健康情況諮詢。 最主動的方法是設定服務健康情況警示。 您可以透過慣用的通道接收這些警示。 警示會在服務問題、計劃性維護或其他變更可能會影響您的 Azure 虛擬桌面資源時通知您。 如需詳細資訊,請參閱 設定服務警示

資源健全狀況

資源健康狀態 可協助您診斷並取得影響 Azure 資源之服務問題的支援。 資源目前和過去健康情況的相關信息會在 資源健康狀態 中報告。 請務必設定主動式警示,通知您任何不想要的資源健康狀態。 您可以監視下列資源類型的資源健康情況狀態:

  • 適用於 Azure 虛擬桌面 FSLogix 和應用程式連結的 Azure 記憶體解決方案
  • (VM) 工作話主機或虛擬機
建議
  • 使用服務健康狀態隨時掌握您使用之 Azure 服務和區域的健康情況。
  • 設定服務健康狀態警示,讓您隨時瞭解服務問題、計劃性維護或其他可能會影響 Azure 虛擬桌面資源的變更。
  • 使用 資源健康狀態 來監視 VM 和記憶體解決方案。
  • 設定 資源健康狀態 警示。

效能監控

影響:效能效率、卓越營運

若要取得可見度和監視效能,您需要監視 Azure 虛擬桌面環境的重要元件。

組態建議

若要協助確保您從 Azure 虛擬桌面實體擷取關鍵效能指標和必要的記錄,請設定下列診斷數據以傳送至 Log Analytics:

  • Azure 虛擬桌面主機集區記錄
  • Azure 虛擬桌面工作區診斷
  • Azure 虛擬桌面應用程式群組診斷
  • 儲存體診斷
  • 來自監視代理程式或 Log Analytics 代理程式之工作階段主機的相關數據
  • 根據監視器或Log Analytics代理程式數據收集規則收集的效能和事件記錄數據
  • Azure VM 深入解析數據

設定選項

有數個選項可用來設定診斷設定:

  • Azure 虛擬桌面深入解析設定活頁簿。 Azure 虛擬桌面深入解析是建置在監視活頁簿上的儀錶板,可協助您瞭解 Azure 虛擬桌面環境。 Azure 虛擬桌面深入解析提供可用來:

    • 設定主機集區和工作區診斷。
    • 在您的工作階段主機上啟用監視代理程式。
    • 設定建議的性能計數器和事件記錄檔,以監視您的 Azure 虛擬桌面環境。

    您可以藉由設定 Log Analytics 工作區的代理程式設定來收集其他關鍵效能指標。

  • Azure 原則。 您可以使用 Azure 原則,協助確保監視代理程式已安裝在您的 VM 上。 Azure 原則 支援監視代理程式和 Microsoft 監視代理程式。

  • 部署組態和範本。 您可以使用 Azure 入口網站 或宣告式部署解決方案,例如 Azure Resource Manager 範本, (ARM 範本) 、BICEP 或 Terraform 來部署 Azure 虛擬桌面。 確定診斷設定已部署為 Azure 虛擬桌面部署組態的一部分。 如果您透過 Azure 入口網站 部署 Azure 虛擬桌面,請確定已啟用診斷設定。 針對宣告式部署模型,請確定已啟用診斷設定來部署主機集區、工作區或應用程式群組。 也請確定 VM 是使用 Microsoft 監視代理程式或監視代理程式擴充功能來部署。

會話主機效能

性能計數器會記錄系統資源的使用方式。 效能計數器資料擷取取決於您的環境大小和使用方式。 請務必瞭解每個性能計數器都會以特定頻率傳送數據。 在 Azure 虛擬桌面深入解析設定活頁簿中,您可以調整每分鐘的預設取樣率。 您也可以在設定中編輯此速率。 套用至此速率的乘積因素取決於計數器。

下列清單顯示效能計量的類別,以及您可以在每個類別中設定的性能計數器:

  • 邏輯磁碟
    • Free Space
    • Avg. Disk Queue Length
    • Avg. Disk sec/Transfer
    • Current Disk Queue Length
  • Memory
    • % Committed Bytes in Use
    • Available Mbytes
    • Page Faults/sec
    • Pages/sec
  • 實體磁碟
    • Avg. Disk Queue Length
    • Avg. Disk sec/Read
    • Avg. Disk sec/Transfer
    • Avg. Disk sec/Write
  • 處理器資訊
    • % Processor Time
    • RemoteFX network
    • Current TCP RTT
    • Current UDP Bandwidth
    • Terminal Services
    • Active Sessions
    • Inactive Sessions
    • Total Sessions
  • 每個進程的使用者輸入延遲
    • Max Input Delay
  • 每個工作階段的使用者輸入延遲
    • Max Input Delay

您可以使用 Log Analytics 中的診斷資料表來查詢和分析 Azure 虛擬桌面連線的網路資訊。 數據 WVDConnectionNetworkData 報含對應至特定 Azure 虛擬桌面連線的相互關聯標識碼。 針對每個會話,您可以看到重要的效能數據,例如預估的來回時間,以毫秒為單位,以及 KBps 中預估的可用頻寬。

Windows 事件記錄檔是 Log Analytics 代理程式在 Windows VM 上收集的數據源。 您可以從標準記錄收集事件,例如系統和應用程式記錄。 您也可以從需要監視的應用程式所建立的自訂記錄收集事件。 根據預設,會針對監視器中的 Azure 虛擬桌面收集下列 Windows 事件類型的記錄:

  • Application
  • Microsoft-Windows-TerminalServices-RemoteConnectionManager/Admin
  • Microsoft-Windows-TerminalServices-LocalSessionManager/Operational
  • System
  • Microsoft-FSLogix-Apps/Operational
  • Microsoft-FSLogix-Apps/Admin

每當符合環境中的事件條款時,就會觸發 Windows 事件。 處於狀況良好狀態的機器會傳送比處於狀況不良狀態的電腦少的事件。

請務必監視事件記錄檔中是否有可能隨附於 Azure 虛擬桌面代理程式的連線問題。 如需詳細資訊,請參閱 針對常見的 Azure 虛擬桌面代理程式問題進行疑難解答

記憶體效能閾值和監視

您應該監視用於裝載 FSLogix 設定檔或應用程式連結共用的 Azure 記憶體解決方案。 請務必監視配置檔儲存位置,以協助確保不會超過閾值,這可能會對用戶體驗造成負面影響。 針對記憶體,您應該監視檔案共用容量,以確保檔案共用配額無法達到最大容量。 您也應該監視檔案共用交易,以協助確保交易位於定義的閾值內。

服務限制

Azure 虛擬桌面有服務限制,您應該在部署的設計階段考慮。 您也必須留意這些服務限制在生產環境中,您應該主動報告這些限制。 這些限制相當大。 但在較大型的部署中,在更容易達到這些限制的情況下,監視這些限制是不可或缺的。 如需詳細資訊,請參閱 Azure 虛擬桌面限制

建議
  • 設定要傳送至Log Analytics的診斷數據。
  • 從各種選項中選取以設定診斷設定,例如 Azure 虛擬桌面深入解析設定活頁簿、Azure 原則、Azure 入口網站 或範本。
  • 設定性能計數器,讓您可以記錄系統資源的使用方式。
  • 使用 Log Analytics 中的診斷數據表來查詢和分析 Azure 虛擬桌面連線的網路資訊。
  • 監視事件記錄檔中是否有 Azure 虛擬桌面代理程式的連線問題。
  • 監視您用來裝載 FSLogix 設定檔或應用程式連結共用的 Azure 記憶體解決方案。
  • 監視服務使用量,以確定您的工作負載未超過限制。

安全性監視

影響:安全性

下列各節說明數個您可以採取的監視措施,以改善工作負載的安全性。

適用於雲端和 Microsoft Sentinel 的 Microsoft Defender

請確定您部署的訂用帳戶和 Azure 虛擬桌面工作階段主機上已啟用雲端增強式安全性功能的 Microsoft Defender。 適用於雲端的Defender提供雲端工作負載保護平臺和雲端安全性狀態管理。 您可以使用適用於雲端的Defender來管理弱點,以及評估付款卡產業 (PCI) 和ISO27001等常見架構的合規性。 您也可以使用適用於雲端的 Defender 來強化環境的整體安全性狀態。 適用於雲端的Defender使用 Microsoft監視代理程式或監視代理程式。

Microsoft Entra ID 驗證和稽核記錄

無論用戶端使用哪一種連線方法,Microsoft Entra ID 都是 Azure 虛擬桌面的第一行驗證解決方案。 因此,請務必收集 Microsoft Entra ID 驗證和稽核記錄。 您可以透過下列方式收集這些記錄:

  • 在您的診斷設定中,設定要傳送至 Log Analytics 的稽核記錄和登入記錄,您可以在其中查詢數據併發出警示。
  • 使用 Microsoft Sentinel 中的連接器從 Microsoft Entra ID 收集數據,並將它串流至 Microsoft Sentinel。

安全性事件記錄檔

您應該從 Azure 虛擬桌面工作階段主機收集安全性事件記錄檔。 最好將這些記錄新增至集中式存放庫,以取得涉及 Azure 虛擬桌面主機的安全性事件。 您可以使用存放庫來儲存和查詢記錄。 您可以使用下列其中一個選項來收集記錄:

  • 使用監視代理程序數據收集規則來收集安全性事件記錄檔。 這是建議選項。
  • 使用 Microsoft 監視代理程式來收集 Microsoft Sentinel 的記錄,或使用舊版代理程式連接器來收集安全性事件。
  • 使用 Microsoft 監視代理程式來收集適用於雲端的 Defender 安全性事件。

維護合規性

每月安全性更新對於 Azure 虛擬桌面環境的整體健康情況和安全性至關重要。 請確定您定期更新 Azure 虛擬桌面環境,方法是安裝新的映像或使用更新管理工具。 最好是針對環境的整體更新合規性進行每月合規性報告和監視。 此做法有助於確保您的 Azure 虛擬桌面系統管理員和安全性小組持續瞭解環境的整體安全性合規性狀態。

建議
  • 使用適用於雲端的 Defender 來管理弱點,以及評估常見架構的合規性。
  • 使用適用於雲端的Defender來強化環境的整體安全性狀態。
  • 收集 Microsoft Entra ID 驗證和稽核記錄。
  • 將來自 Azure 虛擬桌面工作階段主機的安全性事件記錄儲存在存放庫中。
  • 定期更新您的 Azure 虛擬桌面環境。
  • 進行每月合規性報告。

報表

影響:營運卓越

Azure 虛擬桌面報告提供多個選項:

  • Azure 虛擬桌面深入解析。 此儀錶板提供您了解及監視 Azure 虛擬桌面環境所需的許多必要見解和視覺效果。
  • 活頁簿和外部報表工具。 在某些情況下,擁有自定義活頁簿和儀錶板會很有説明。 您可以使用 Log Analytics 數據表和 Azure Resource Graph 查詢結果作為數據源來建立自己的報表或活頁簿。 Resource Graph 是一項服務,可用來報告 Azure 虛擬桌面物件,例如主機集區、工作區、計算元件和記憶體解決方案。 只有在您開啟 Azure 虛擬桌面對象的診斷,以及使用支援的監視代理程式來收集效能和事件記錄數據時,才會在自定義解決方案中填入數據。 下列 Log Analytics 數據表可作為數據源使用:
    • Azure 虛擬桌面 Log Analytics 數據表
      • WVDAgentHealthStatus
      • WVDCheckpoints
      • WVDConnectionGraphicsDataPreview
      • WVDConnectionNetworkData
      • WVDConnections
      • WVDErrors
      • WVDFeeds
      • WVDHostRegistrations
      • WVDManagement
    • 效能計數器資料表
      • Perf
      • InsightMetrics 只有在 VM 深入解析功能已啟用) 時,才 (
    • 事件數據表
      • Event
建議
  • 請考慮使用 Azure 虛擬桌面深入解析進行報告。
  • 當您建立自定義儀錶板時,請使用Log Analytics資料表和 Resource Graph查詢結果作為數據源。

警示

影響:效能效率、營運卓越

使用監視警示架構或對等的監視解決方案,隨時掌握 Azure 虛擬桌面的效能和安全性。 您可以針對下列類型的 Azure 虛擬桌面事件、診斷和資源設定自訂警示:

  • VM 效能
  • 重大事件,例如標識碼為 3702 或 3703 的應用程式事件,適用於會話主機上無法使用的狀態問題
  • 服務健康情況
  • 資源健全狀況
  • Azure 虛擬桌面診斷數據
  • 配置檔和應用程式附加套件
  • 適用於雲端的 Defender
建議
  • 使用警示來掌握 Azure 虛擬桌面的效能和安全性。
  • 設定各種 Azure 虛擬桌面事件的警示、診斷和資源。

下一步

既然您已瞭解 Azure 虛擬桌面中的可觀察性最佳做法,請探索可用來進一步保護 Azure 虛擬桌面工作負載的機制、工具和周邊。

IAM) 的安全性與身分識別和存取管理 (

使用評定工具來評估您的設計選擇。

評量