Considerazioni sul monitoraggio per i carichi di lavoro di Desktop virtuale Di Azure

Questo articolo illustra l'area di progettazione di monitoraggio di un carico di lavoro desktop virtuale di Azure. Prima di iniziare a usare Monitoraggio di Azure per Desktop virtuale Azure, è necessario seguire questa procedura:

• Configurare almeno un'area di lavoro Log Analytics. Usare un'area di lavoro Log Analytics designata per gli host di sessione di Desktop virtuale di Azure per garantire che i contatori delle prestazioni e gli eventi vengano raccolti solo dagli host di sessione nella distribuzione di Desktop virtuale di Azure.
• Abilitare la raccolta dati per gli elementi seguenti dell'area di lavoro Log Analytics:
  • Diagnostica dall'ambiente Desktop virtuale Azure
  • Contatori delle prestazioni consigliati dagli host di sessione di Desktop virtuale Azure
  • Log eventi Di Windows consigliati dagli host di sessione di Desktop virtuale Di Azure

Le sezioni seguenti forniscono considerazioni per il monitoraggio dell'ambiente Desktop virtuale di Azure e mantenere integro.

Monitoraggio dell'integrità e della disponibilità

Impatto: Eccellenza operativa, Affidabilità

Azure offre diversi servizi, ad esempio Integrità dei servizi di Azure e Azure Integrità risorse che consentono di informare l'integrità delle risorse cloud.

Integrità dei servizi

È consigliabile usare Integrità dei servizi per visualizzare l'integrità dei servizi e delle aree di Azure usate. Integrità dei servizi è il posto migliore per cercare notifiche sugli eventi che influisce sul servizio, ad esempio interruzioni e attività di manutenzione pianificata. Integrità dei servizi fornisce anche altri avvisi sull'integrità relativi all'impatto sull'ambiente Desktop virtuale di Azure e sulla sottoscrizione correlata. L'approccio più proattivo consiste nel configurare gli avvisi di integrità dei servizi. È possibile ricevere questi avvisi tramite i canali di comunicazione preferiti. Gli avvisi segnalano quando i problemi di servizio, la manutenzione pianificata o altre modifiche potrebbero influire sulle risorse di Desktop virtuale di Azure. Per altre informazioni, vedere Configurare gli avvisi del servizio.

Integrità delle risorse

Integrità risorse consente di diagnosticare e ottenere supporto per i problemi del servizio che influiscono sulle risorse di Azure. Le informazioni sull'integrità corrente e precedente delle risorse vengono segnalate in Integrità risorse. Assicurarsi di configurare l'avviso proattivo per notificare eventuali stati di integrità delle risorse indesiderati. È possibile monitorare i tipi di risorse seguenti per lo stato di integrità delle risorse:

• Soluzioni di archiviazione di Azure per Desktop virtuale Di Azure FSLogix e Collegamento app
• Host di sessione o macchine virtuali (VM)

Consigli

• Usare Integrità servizio per rimanere informati sull'integrità dei servizi e delle aree di Azure usate.
• Configurare gli avvisi di integrità dei servizi in modo che siano consapevoli dei problemi di servizio, della manutenzione pianificata o di altre modifiche che potrebbero influire sulle risorse di Desktop virtuale di Azure.
• Usare Integrità risorse per monitorare le macchine virtuali e le soluzioni di archiviazione.
• Configurare gli avvisi Integrità risorse.

Monitoraggio delle prestazioni

Impatto: Efficienza delle prestazioni, Eccellenza operativa

Per ottenere visibilità e monitorare le prestazioni, è necessario monitorare i componenti critici dell'ambiente Desktop virtuale di Azure.

Raccomandazioni per la configurazione

Per assicurarsi di recuperare gli indicatori di prestazioni chiave e i log necessari dalle entità di Desktop virtuale Di Azure, configurare i dati di diagnostica seguenti da inviare a Log Analytics:

• Log del pool host di Desktop virtuale di Azure
• Diagnostica dell'area di lavoro desktop virtuale di Azure
• Diagnostica del gruppo di applicazioni Desktop virtuale di Azure
• Diagnostica dell'archiviazione
• Dati sugli host di sessione da un agente di monitoraggio o da un agente di Log Analytics
• Dati dei log eventi e prestazioni raccolti in base alle regole di raccolta dati dell'agente Di Monitoraggio o Log Analytics
• Dati analitici delle macchine virtuali di Azure

Opzioni di configurazione

Sono disponibili diverse opzioni per la configurazione delle impostazioni di diagnostica:

• Cartella di lavoro di configurazione di Azure Virtual Desktop Insights. Azure Virtual Desktop Insights è un dashboard basato su Cartelle di lavoro di Monitoraggio che consentono di comprendere l'ambiente Desktop virtuale di Azure. Azure Virtual Desktop Insights offre una cartella di lavoro di configurazione che è possibile usare per:

  • Configurare la diagnostica del pool di host e dell'area di lavoro.
  • Abilitare gli agenti di monitoraggio sugli host di sessione.
  • Configurare i contatori delle prestazioni consigliati e i log eventi per il monitoraggio dell'ambiente Desktop virtuale di Azure.

  È possibile raccogliere altri indicatori di prestazioni chiave configurando le impostazioni dell'agente dell'area di lavoro Log Analytics.

• Criteri di Azure. È possibile usare Criteri di Azure per assicurarsi che gli agenti di monitoraggio siano installati nelle macchine virtuali. Criteri di Azure supporta gli agenti di monitoraggio e gli agenti di monitoraggio Microsoft.

• Configurazione e modelli di distribuzione. È possibile usare la portale di Azure o una soluzione di distribuzione dichiarativa, ad esempio modelli di Azure Resource Manager (modelli ARM), BICEP o Terraform per distribuire Desktop virtuale di Azure. Assicurarsi che le impostazioni di diagnostica vengano distribuite come parte della configurazione della distribuzione di Desktop virtuale Azure. Se si distribuisce Desktop virtuale Azure tramite il portale di Azure, assicurarsi che le impostazioni di diagnostica siano abilitate. Per i modelli di distribuzione dichiarativi, assicurarsi che i pool host, le aree di lavoro o i gruppi di applicazioni vengano distribuiti con impostazioni di diagnostica abilitate. Assicurarsi anche che le macchine virtuali vengano distribuite con l'agente di monitoraggio Microsoft o le estensioni dell'agente di monitoraggio.

Prestazioni host sessione

I contatori delle prestazioni registrano il modo in cui vengono usate le risorse di sistema. L'inserimento dei dati del contatore delle prestazioni dipende dalle dimensioni e dall'utilizzo dell'ambiente. È importante comprendere che ogni contatore delle prestazioni invia dati a una frequenza specifica. Nella cartella di lavoro di configurazione di Azure Virtual Desktop Insights è possibile modificare la frequenza di esempio predefinita per minuto. È anche possibile modificare questa frequenza nelle impostazioni. Il fattore di moltiplicazione applicato a questa frequenza dipende dal contatore.

L'elenco seguente mostra le categorie di metriche delle prestazioni e i contatori delle prestazioni che è possibile configurare in ogni categoria:

• Disco logico
  • Free Space
  • Avg. Disk Queue Length
  • Avg. Disk sec/Transfer
  • Current Disk Queue Length
• Memoria
  • % Committed Bytes in Use
  • Available Mbytes
  • Page Faults/sec
  • Pages/sec
• Disco fisico
  • Avg. Disk Queue Length
  • Avg. Disk sec/Read
  • Avg. Disk sec/Transfer
  • Avg. Disk sec/Write
• Informazioni sul processore
  • % Processor Time
  • RemoteFX network
  • Current TCP RTT
  • Current UDP Bandwidth
  • Terminal Services
  • Active Sessions
  • Inactive Sessions
  • Total Sessions
• Ritardo di input utente per processo
  • Max Input Delay
• Ritardo di input utente per sessione
  • Max Input Delay

È possibile usare tabelle di diagnostica in Log Analytics per eseguire query e analizzare le informazioni di rete per le connessioni desktop virtuale di Azure. I WVDConnectionNetworkData dati includono un ID di correlazione che esegue il mapping a una connessione desktop virtuale di Azure specifica. Per ogni sessione, è possibile visualizzare dati sulle prestazioni critici, ad esempio il tempo di round trip stimato in millisecondi e la larghezza di banda disponibile stimata in KBps.

I log eventi di Windows sono origini dati che gli agenti di Log Analytics raccolgono nelle macchine virtuali Windows. È possibile raccogliere eventi dai log standard, ad esempio i log di sistema e applicazioni. È anche possibile raccogliere eventi dai log personalizzati creati dalle applicazioni che è necessario monitorare. Per impostazione predefinita, i log dei tipi di eventi di Windows seguenti vengono raccolti per Desktop virtuale Di Azure in Monitoraggio:

• Application
• Microsoft-Windows-TerminalServices-RemoteConnectionManager/Admin
• Microsoft-Windows-TerminalServices-LocalSessionManager/Operational
• System
• Microsoft-FSLogix-Apps/Operational
• Microsoft-FSLogix-Apps/Admin

Un evento di Windows viene attivato ogni volta che vengono soddisfatte le condizioni dell'evento nell'ambiente. I computer in stati integri inviano meno eventi rispetto ai computer in stati non integri.

È importante monitorare i log eventi per i problemi di connessione che possono verificarsi con l'agente desktop virtuale di Azure. Per altre informazioni, vedere Risolvere i problemi comuni dell'agente desktop virtuale di Azure.

Soglie e monitoraggio delle prestazioni di archiviazione

È consigliabile monitorare la soluzione di archiviazione di Azure usata per ospitare profili FSLogix o condivisioni di collegamento app. È importante monitorare le posizioni di archiviazione del profilo per garantire che le soglie non vengano superate, che potrebbero avere un impatto negativo sull'esperienza utente. Per Archiviazione, è necessario monitorare la capacità della condivisione file per garantire che le quote di condivisione file non raggiungano la capacità massima. È anche consigliabile monitorare le transazioni di condivisione file per garantire che le transazioni siano all'interno di soglie definite.

Limiti del servizio

Desktop virtuale Azure presenta limiti di servizio da considerare durante la fase di progettazione della distribuzione. È necessario essere consapevoli di questi limiti di servizio anche negli ambienti di produzione e si dovrebbe segnalare in modo proattivo questi limiti. I limiti sono relativamente grandi. Ma nelle distribuzioni più grandi, dove è più facile raggiungere questi limiti, è essenziale monitorarli. Per altre informazioni, vedere Limitazioni di Desktop virtuale Azure.

Consigli

• Configurare i dati di diagnostica da inviare a Log Analytics.
• Selezionare da varie opzioni per la configurazione delle impostazioni di diagnostica, ad esempio una cartella di lavoro di configurazione di Azure Virtual Desktop Insights, Criteri di Azure, l'portale di Azure o un modello.
• Configurare i contatori delle prestazioni in modo da avere un record del modo in cui vengono usate le risorse di sistema.
• Usare le tabelle di diagnostica in Log Analytics per eseguire query e analizzare le informazioni di rete per le connessioni desktop virtuale di Azure.
• Monitorare i log eventi per i problemi di connessione con l'agente desktop virtuale di Azure.
• Monitorare la soluzione di archiviazione di Azure usata per ospitare profili FSLogix o condivisioni di collegamento app.
• Monitorare l'utilizzo del servizio per assicurarsi che il carico di lavoro non superi i limiti.

Monitoraggio della protezione

Impatto: Sicurezza

Le sezioni seguenti descrivono diverse misure di monitoraggio che è possibile adottare per migliorare la sicurezza nel carico di lavoro.

Microsoft Defender per Cloud e Microsoft Sentinel

Assicurarsi che Microsoft Defender per le funzionalità di sicurezza avanzata cloud siano abilitate nella sottoscrizione e negli host di sessione di Desktop virtuale Azure distribuiti. Defender for Cloud offre una piattaforma di protezione del carico di lavoro cloud e gestione del comportamento di sicurezza cloud. È possibile usare Defender per Cloud per gestire le vulnerabilità e valutare la conformità con framework comuni come l'industria delle carte di pagamento (PCI) e ISO27001. È anche possibile usare Defender per Cloud per rafforzare il comportamento complessivo di sicurezza dell'ambiente. Defender per Cloud usa l'agente di monitoraggio Microsoft o l'agente Di monitoraggio.

Microsoft Entra ID log di autenticazione e controllo

Microsoft Entra ID è la soluzione di autenticazione da prima riga per Desktop virtuale Azure indipendentemente dal metodo di connessione usato da un client. Di conseguenza, è importante raccogliere Microsoft Entra ID log di autenticazione e controllo. È possibile raccogliere questi log nei modi seguenti:

• Nelle impostazioni di diagnostica configurare i log di controllo e i log di accesso da inviare a Log Analytics, in cui i dati possono essere sottoposti a query e avvisi.
• Usare un connettore in Microsoft Sentinel per raccogliere dati da Microsoft Entra ID e trasmetterlo in Microsoft Sentinel.

Log di eventi di sicurezza

È necessario raccogliere i log eventi di sicurezza dagli host di sessione di Desktop virtuale di Azure. È consigliabile aggiungere questi log a un repository centralizzato per gli eventi di sicurezza che coinvolgono gli host di Desktop virtuale di Azure. È possibile usare il repository per archiviare ed eseguire query sui log. È possibile usare una delle opzioni seguenti per raccogliere i log:

• Usare una regola di raccolta dati dell'agente di monitoraggio per la raccolta dei log eventi di sicurezza. Questa opzione è consigliata.
• Usare un agente di monitoraggio Microsoft per raccogliere i log per Microsoft Sentinel o usare un connettore agente legacy per raccogliere gli eventi di sicurezza.
• Usare un agente di monitoraggio Microsoft per raccogliere gli eventi di sicurezza per Defender for Cloud.

Mantenere la conformità

Gli aggiornamenti della sicurezza mensili sono fondamentali per l'integrità e la sicurezza complessiva dell'ambiente Desktop virtuale di Azure. Assicurarsi di aggiornare regolarmente l'ambiente Desktop virtuale Azure installando nuove immagini o usando uno strumento di gestione degli aggiornamenti. È consigliabile eseguire report di conformità mensile e monitoraggio della conformità generale dell'ambiente. Questa procedura consente di garantire che gli amministratori di Desktop virtuale di Azure e il team di sicurezza siano consapevoli dello stato di conformità generale della sicurezza dell'ambiente.

Consigli

• Usare Defender per Cloud per gestire le vulnerabilità e valutare la conformità con i framework comuni.
• Usare Defender per Cloud per rafforzare il comportamento complessivo di sicurezza dell'ambiente.
• Raccogliere Microsoft Entra ID log di autenticazione e controllo.
• Archiviare i log eventi di sicurezza dagli host di sessione di Desktop virtuale di Azure in un repository.
• Aggiornare regolarmente l'ambiente Desktop virtuale Azure.
• Eseguire report di conformità mensile.

Report

Impatto: Eccellenza operativa

Per la creazione di report di Desktop virtuale Azure sono disponibili più opzioni:

• Azure Virtual Desktop Insights. Questo dashboard offre molte delle visualizzazioni e informazioni dettagliate necessarie necessarie per comprendere e monitorare l'ambiente Desktop virtuale di Azure.
• Cartelle di lavoro e strumenti di creazione di report esterni. In alcuni scenari, è utile avere una cartella di lavoro e un dashboard personalizzati. È possibile creare report o cartelle di lavoro personalizzati usando tabelle di Log Analytics e i risultati delle query di Azure Resource Graph come origini dati. Resource Graph è un servizio che è possibile usare per segnalare oggetti Desktop virtuale di Azure, ad esempio pool di host, aree di lavoro, componenti di calcolo e soluzioni di archiviazione. I dati vengono popolati solo nelle soluzioni personalizzate se si attiva la diagnostica per gli oggetti Desktop virtuale di Azure e se si usa un agente di monitoraggio supportato per raccogliere i dati relativi alle prestazioni e al log eventi. Le tabelle di Log Analytics seguenti sono disponibili come origini dati:
  • Tabelle di Log Analytics di Desktop virtuale di Azure
    • WVDAgentHealthStatus
    • WVDCheckpoints
    • WVDConnectionGraphicsDataPreview
    • WVDConnectionNetworkData
    • WVDConnections
    • WVDErrors
    • WVDFeeds
    • WVDHostRegistrations
    • WVDManagement
  • Tabella dei contatori delle prestazioni
    • Perf
    • InsightMetrics (solo se la funzionalità informazioni dettagliate macchina virtuale è abilitata)
  • Tabelle eventi
    • Event

Consigli

• Prendere in considerazione l'uso di Azure Virtual Desktop Insights per la creazione di report.
• Usare tabelle di Log Analytics e Resource Graph risultati delle query come origini dati quando si creano dashboard personalizzati.

Creazione di avvisi

Impatto: Efficienza delle prestazioni, Eccellenza operativa

Usare il framework di avvisi di monitoraggio o una soluzione di monitoraggio equivalente per rimanere informati sulle prestazioni e la sicurezza di Desktop virtuale di Azure. È possibile configurare avvisi personalizzati per i tipi seguenti di eventi, diagnostica e risorse di Desktop virtuale di Azure:

• Prestazioni della macchina virtuale
• Eventi critici, ad esempio eventi dell'applicazione con ID 3702 o 3703 per problemi di stato non disponibili sugli host di sessione
• Integrità del servizio
• Integrità delle risorse
• Dati di diagnostica di Desktop virtuale di Azure
• Pacchetti Profilo e Collegamento app
• Defender for Cloud

Consigli

• Usare avvisi per rimanere informati sulle prestazioni e sulla sicurezza di Desktop virtuale di Azure.
• Configurare gli avvisi per vari eventi, diagnostica e risorse di Desktop virtuale di Azure.

Passaggi successivi

Dopo aver esaminato le procedure consigliate per l'osservazione in Desktop virtuale Azure, esplorare meccanismi, strumenti e perimetrali che è possibile usare per proteggere ulteriormente i carichi di lavoro di Desktop virtuale Azure.

Usare lo strumento di valutazione per valutare le scelte di progettazione.