Azure 虚拟桌面工作负荷的监视注意事项

本文讨论 Azure 虚拟桌面工作负荷的监视设计区域。 开始使用适用于 Azure 虚拟桌面的 Azure Monitor 之前，需要执行以下步骤：

• 配置至少一个 Log Analytics 工作区。 使用 Azure 虚拟桌面会话主机的指定 Log Analytics 工作区来帮助确保仅从 Azure 虚拟桌面部署中的会话主机收集性能计数器和事件。
• 为 Log Analytics 工作区的以下项启用数据收集：
  • 来自 Azure 虚拟桌面环境的诊断
  • 来自 Azure 虚拟桌面会话主机的推荐性能计数器
  • 推荐的来自 Azure 虚拟桌面会话主机的 Windows 事件日志

以下部分提供了监视 Azure 虚拟桌面环境并使其保持正常运行的注意事项。

运行状况和可用性监测

影响：卓越运营、可靠性

Azure 提供了多个服务，例如 Azure 服务运行状况和 Azure 资源运行状况，可让你了解云资源的运行状况。

服务运行状况

应使用服务运行状况来提供你使用的 Azure 服务和区域的运行状况视图。 "Service Health 是查找影响您服务的事件通知的最佳途径，例如故障和计划中的维护活动。" 服务健康状态还提供有关 Azure 虚拟桌面环境和相关订阅影响的其他健康公告。 最主动的方法是设置服务运行状况警报。 可以通过首选的通信渠道接收这些警报。 当服务问题、计划内维护或其他更改可能会影响 Azure 虚拟桌面资源时，警报会通知你。 有关详细信息，请参阅 “设置服务警报”。

资源运行状况

资源运行状况 (Resource Health) 帮助你诊断和支持解决影响 Azure 资源的服务问题。 资源运行状况中报告了有关资源的当前和过去运行状况的信息。 请务必设置主动告警，以便通知您任何不良的资源健康状态。 可以监视以下资源类型的资源健康状况：

• 适用于 Azure 虚拟桌面 FSLogix 和应用附加的 Azure 存储解决方案
• 会话主机或虚拟机（VM）

Recommendations

• 使用服务运行状况及时了解你使用的 Azure 服务和区域的健康状态。
• 设置服务运行状况警报，以便随时了解服务问题、计划内维护或其他可能影响 Azure 虚拟桌面资源的更改。
• 使用资源运行状况服务监视您的虚拟机和存储解决方案。
• 设置资源运行状况警报。

性能监视

影响：性能效率、卓越运营

若要获得可见性和监视性能，需要监视 Azure 虚拟桌面环境的关键组件。

配置建议

为了帮助确保从 Azure 虚拟桌面实体检索关键绩效指标和必要的日志，请配置以下诊断数据以发送到 Log Analytics：

• Azure 虚拟桌面主机池日志
• Azure 虚拟桌面工作区诊断
• Azure 虚拟桌面应用程序组诊断
• 存储诊断
• 有关 Monitor 代理或 Log Analytics 代理中的会话主机的数据
• 根据 Monitor 或 Log Analytics 代理数据收集规则收集的性能和事件日志数据
• Azure VM 洞察数据

配置选项

有多种选项可用于配置诊断设置：

• Azure 虚拟桌面分析配置工作簿。 Azure 虚拟桌面见解是一个基于 Monitor 工作簿构建的仪表板，可帮助你了解 Azure 虚拟桌面环境。 Azure 虚拟桌面监视功能提供一个配置工作簿，您可以用来：

  • 配置主机池和工作区诊断功能。
  • 在会话主机上启用监视代理。
  • 配置用于监视 Azure 虚拟桌面环境的建议性能计数器和事件日志。

  可以通过配置 Log Analytics 工作区的代理设置来收集其他关键绩效指标。

• Azure Policy。 可以使用 Azure Policy 来帮助确保监视代理安装在 VM 上。 Azure Policy 支持监视代理和Microsoft监视代理。

• 部署配置和模板。 可以使用 Azure 门户或声明性部署解决方案（例如 Azure 资源管理器模板（ARM 模板）、BICEP 或 Terraform 来部署 Azure 虚拟桌面。 确保诊断设置作为 Azure 虚拟桌面部署配置的一部分进行部署。 如果通过 Azure 门户部署 Azure 虚拟桌面，请确保启用诊断设置。 对于声明性部署模型，请确保在启用诊断设置的情况下部署主机池、工作区或应用程序组。 此外，请确保使用 Microsoft 监控代理或 Monitor 代理扩展部署 VM。

会话主机性能

性能计数器记录系统资源的使用方式。 性能计数器数据引入取决于环境大小和使用情况。 请务必了解每个性能计数器以特定频率发送数据。 在 Azure 虚拟桌面见解配置工作簿中，可以调整每分钟的默认采样率。 还可以在设置中编辑此速率。 应用于此速率的乘积因素取决于计数器。

以下列表显示了可在每个类别中配置的性能指标和性能计数器类别：

• 逻辑磁盘
  • Free Space
  • Avg. Disk Queue Length
  • Avg. Disk sec/Transfer
  • Current Disk Queue Length
• 记忆
  • % Committed Bytes in Use
  • Available Mbytes
  • Page Faults/sec
  • Pages/sec
• 物理磁盘
  • Avg. Disk Queue Length
  • Avg. Disk sec/Read
  • Avg. Disk sec/Transfer
  • Avg. Disk sec/Write
• 处理器信息
  • % Processor Time
  • RemoteFX network
  • Current TCP RTT
  • Current UDP Bandwidth
  • Terminal Services
  • Active Sessions
  • Inactive Sessions
  • Total Sessions
• 每个进程的用户输入延迟
  • Max Input Delay
• 每个会话的用户输入延迟
  • Max Input Delay

可以使用 Log Analytics 中的诊断表来查询和分析 Azure 虚拟桌面连接的网络信息。 数据包括一个关联 ID WVDConnectionNetworkData，用于映射到特定的 Azure 虚拟桌面连接。 对于每个会话，可以查看关键性能数据，例如估计往返时间（以毫秒为单位）和 KBps 中估计的可用带宽。

Windows 事件日志是 Log Analytics 代理在 Windows VM 上收集的数据源。 可以从标准日志（如系统和应用程序日志）收集事件。 还可以从需要监视的应用程序创建的自定义日志收集事件。 默认情况下，为 Monitor 中的 Azure 虚拟桌面收集以下类型的 Windows 事件的日志：

• Application
• Microsoft-Windows-TerminalServices-RemoteConnectionManager/Admin
• Microsoft-Windows-TerminalServices-LocalSessionManager/Operational
• System
• Microsoft-FSLogix-Apps/Operational
• Microsoft-FSLogix-Apps/Admin

当环境中符合事件条件时，会触发 Windows 事件。 处于正常状态的计算机发送的事件数少于处于不正常状态的计算机。

请务必监视事件日志，了解 Azure 虚拟桌面代理可能出现的连接问题。 有关详细信息，请参阅 排查常见的 Azure 虚拟桌面代理问题。

存储性能阈值和监视

应监视用于托管 FSLogix 配置文件或应用附加共享的 Azure 存储解决方案。 请务必监视配置文件存储位置，以帮助确保不会超过阈值，这可能会对用户体验产生负面影响。 对于存储，应监视文件共享容量，以帮助确保文件共享配额不会达到最大容量。 还应监视文件共享事务，以帮助确保事务在定义的阈值内。

服务限制

Azure 虚拟桌面具有在部署设计阶段应考虑的服务限制。 需要在生产环境中了解这些服务限制，并且应主动报告这些限制。 限制相对较大。 但在较大的部署中，在更容易达到这些限制的情况下，监视这些限制至关重要。 有关详细信息，请参阅 Azure 虚拟桌面限制。

Recommendations

• 将诊断数据配置为发送到 Log Analytics。
• 从各种选项中进行选择，以配置诊断设置，例如 Azure 虚拟桌面见解配置工作簿、Azure Policy、Azure 门户或模板。
• 配置性能计数器，以便记录系统资源的使用方式。
• 使用 Log Analytics 中的诊断表查询和分析 Azure 虚拟桌面连接的网络信息。
• 监视事件日志以查找 Azure 虚拟桌面代理的连接问题。
• 监视你用于托管 FSLogix 配置文件或应用程序附加共享的 Azure 存储解决方案。
• 监视服务使用情况，确保工作负荷不超过限制。

安全监视

影响：安全性

以下部分介绍为提高工作负荷安全性而采取的多项监视措施。

Microsoft Defender for Cloud 和 Microsoft Sentinel

确保在部署的订阅和 Azure 虚拟桌面会话主机上启用了 Microsoft Defender for Cloud 增强型安全功能。 Defender for Cloud 提供云工作负载保护平台和云安全状况管理。 可以使用 Defender for Cloud 管理漏洞，并评估与常见框架（如支付卡行业（PCI）和ISO27001的合规性。 还可以使用 Defender for Cloud 来增强环境的整体安全态势。 Defender for Cloud 使用Microsoft监视代理或 Monitor 代理。

Microsoft Entra ID 身份验证和审核日志

Microsoft Entra ID 是 Azure 虚拟桌面的第一行身份验证解决方案，无论客户端使用哪种连接方法。 因此，必须收集Microsoft Entra ID 身份验证和审核日志。 可通过以下方式收集这些日志：

• 在诊断设置中，配置审核日志和登录日志，将其发送到 Log Analytics，以便可以在其中对数据进行查询和警报设置。
• 使用 Microsoft Sentinel 中的连接器从 Microsoft Entra ID 收集数据，并将其流式传输到 Microsoft Sentinel。

安全事件日志

应从 Azure 虚拟桌面会话主机收集安全事件日志。 最好将这些日志添加到集中式存储库中，以处理涉及 Azure 虚拟桌面主机的安全事件。 可以使用存储库来存储和查询日志。 可以使用下列选项之一来收集日志：

• 使用 Monitor 代理数据收集规则收集安全事件日志。 建议使用此选项。
• 使用 Microsoft 监控代理 收集 Microsoft Sentinel 的日志，或使用 旧版代理连接器 收集安全事件。
• 使用Microsoft监视代理收集 Defender for Cloud 的安全事件。

维护合规性

每月安全更新对于 Azure 虚拟桌面环境的整体运行状况和安全性至关重要。 确保通过安装新映像或使用更新管理工具定期更新 Azure 虚拟桌面环境。 最好每月对环境的总体更新符合性进行报告和监视。 这种做法有助于确保 Azure 虚拟桌面管理员和安全团队随时了解环境的整体安全符合性状态。

Recommendations

• 使用 Defender for Cloud 管理漏洞并评估与常见框架的符合性。
• 使用 Defender for Cloud 增强环境的整体安全态势。
• 收集Microsoft Entra ID 身份验证和审核日志。
• 在存储库中存储来自 Azure 虚拟桌面会话主机的安全事件日志。
• 定期更新 Azure 虚拟桌面环境。
• 进行每月合规性报告。

报告

影响：卓越运营

多个选项可用于 Azure 虚拟桌面报告：

• Azure 虚拟桌面分析。 此仪表板提供了许多必要的见解和可视化效果，以便了解和监视 Azure Virtual Desktop 环境。
• 工作簿和外部报告工具。 在某些情况下，拥有自定义工作簿和仪表板会很有帮助。 可以使用 Log Analytics 表和 Azure Resource Graph 查询结果作为数据源创建自己的报表或工作簿。 Resource Graph 是一项服务，可用于报告 Azure 虚拟桌面对象，例如主机池、工作区、计算组件和存储解决方案。 仅当为 Azure 虚拟桌面对象启用诊断，并使用支持的监视代理收集性能和事件日志数据时，才会在自定义解决方案中填充数据。 以下 Log Analytics 表可用作数据源：
  • Azure 虚拟桌面日志分析表
    • WVDAgentHealthStatus
    • WVDCheckpoints
    • WVDConnectionGraphicsDataPreview
    • WVDConnectionNetworkData
    • WVDConnections
    • WVDErrors
    • WVDFeeds
    • WVDHostRegistrations
    • WVDManagement
  • 性能计数器表
    • Perf
    • InsightMetrics （仅当启用了 VM 见解功能时）
  • 事件表
    • Event

Recommendations

• 请考虑使用 Azure 虚拟桌面分析见解生成报告。
• 在创建自定义仪表板时，使用 Log Analytics 表和资源图查询结果作为数据源。

警报

影响：性能效率、卓越运营

使用监视器警报框架或等效的监视解决方案随时了解 Azure 虚拟桌面性能和安全性。 可以为以下类型的 Azure 虚拟桌面事件、诊断和资源配置自定义警报：

• VM 性能
• 关键事件，例如用于解决会话主机不可用状态问题的应用程序事件（ID 为 3702 或 3703）
• 服务运行状况
• 资源运行状况
• Azure 虚拟桌面诊断数据
• 配置文件和应用挂载包
• Defender for Cloud

Recommendations

• 使用警报随时了解 Azure 虚拟桌面的性能和安全性。
• 为各种 Azure 虚拟桌面事件、诊断和资源配置警报。

后续步骤

现在，你已了解 Azure 虚拟桌面中的可观测性最佳做法，请浏览可用于进一步保护 Azure 虚拟桌面工作负荷的机制、工具和外围。

使用评估工具评估设计选择。