Einführung
Erhalten Sie eine Benachrichtigung, wenn eine Anwendung installiert wird, wo sie es nicht sollte, oder fehlt, wo sie vorhanden sein sollte. Der Anwendungs-Monitor überwacht das Software-Inventar auf jedem erfassten Gerät und löst eine Warnung aus, wenn der Installationsstatus einer Anwendung mit der von Ihnen festgelegten Bedingung übereinstimmt.
Zwei Aufgaben, ein Monitor. Erkennen Sie nicht autorisierte Software im Moment ihrer Installation oder stellen Sie fest, wenn erforderliche Software fehlt.
Anwendungs-Monitor
Der Anwendungs-Monitor prüft die installierten Anwendungen auf jedem Gerät, das durch die Richtlinie abgedeckt wird. Er liest dasselbe Inventar, das auf der jeweiligen Geräteseite angezeigt wird: Anwendungen Registerkarte und vergleicht diese dann mit den von Ihnen konfigurierten Anwendungsnamen und Installationsstatus. Wenn die Bedingung zutrifft, erstellt Level eine Warnung.
Sie wählen zwischen zwei Bedingungen:
Ist installiert — Warnung, wenn die genannte Anwendung vorhanden ist. Verwenden Sie dies, um nicht autorisierte oder unerwünschte Software zu kennzeichnen (Torrent-Clients, nicht genehmigte Fernzugriffs-Tools, eine gegen die Richtlinien verstoßende App).
Ist nicht installiert — Warnung, wenn die genannte Anwendung fehlt. Verwenden Sie dies, um sicherzustellen, dass erforderliche Software vorhanden bleibt (Ihr AV-Agent, ein VPN-Client, eine obligatorische Geschäftsanwendung).
ℹ️ HINWEIS: Dieser Monitor liest dasselbe Anwendungsinventar, das angezeigt wird auf Geräte → Gerätedetails → Anwendungen. Dieses Inventar umfasst alles, was über normale Kanäle installiert wurde (Installationsprogramme, Paketmanager, die Registrierung).
Wie die Erkennung funktioniert
Erkennungszeitpunkt
Die Auswertung erfolgt auf dem Agenten, nicht im Backend, in einem festen Rhythmus, der nicht geändert werden kann:
Der Agent erstellt sein Inventar der installierten Anwendungen ungefähr alle 10 Minuten.
Der Monitor gleicht Ihre konfigurierten Namen ungefähr alle 1 Minute.
Wenn sich das Ergebnis ändert, sendet der Agent die Änderung sofort an Level (ohne auf den nächsten periodischen Abgleich zu warten).
Die 10-minütige Inventaraktualisierung ist der eigentliche Engpass, nicht die 1-Minuten-Prüfung. Eine Installation oder Deinstallation erscheint also in bis zu etwa 10 Minuten (oft weniger), im schlimmsten Fall ~10–11 Minuten, wenn der Auswertungstakt hinzugerechnet wird.
ℹ️ HINWEIS: Im Gegensatz zu Skript-Monitoren hat der Anwendungs-Monitor keine Einstellung für die Ausführungshäufigkeit oder Verletzungsdauer. Der oben genannte Rhythmus ist im Agenten festgelegt.
Offline-Geräte werden nicht ausgewertet. Sie holen dies bei der nächsten Inventaraktualisierung nach der Wiederverbindung nach.
Auflösen und erneutes Benachrichtigen
Dies ist der Teil, der zu Verwirrung führt. Das manuelle Auflösen einer Warnung ist nicht eine dauerhafte Schließung, solange die Bedingung noch zutrifft.
Solange eine App im auslösenden Zustand verbleibt (installiert, bei einem „Ist installiert"-Monitor; fehlend, bei „Ist nicht installiert"), bestätigt der Agent diesen Zustand in einem 5-minütigen Abgleich-Rhythmus erneut. Wenn Sie die Warnung manuell auflösen und sich am Gerät tatsächlich nichts geändert hat, öffnet der nächste Agentenbericht dieselbe Warnung wieder, normalerweise innerhalb von etwa 5 Minuten.
Was bei einer erneuten Meldung passiert, hängt vom Zeitpunkt ab:
Aufgelöst weniger als 24 Stunden vor: Level öffnet die ursprüngliche Warnung erneut (es wird keine neue Warnung erstellt).
Aufgelöst mehr als 24 Stunden vor: Level erstellt eine brandneue Warnung.
💡 TIPP: Die einzige saubere Möglichkeit, eine dieser Warnungen zu schließen, besteht darin, dass die zugrunde liegende Bedingung tatsächlich wegfällt. Installieren Sie die fehlende App (für einen „Ist nicht installiert"-Monitor) oder entfernen Sie die unerwünschte (für „Ist installiert"), und mit Automatisches Auflösen aktiv, schließt sich die Warnung beim nächsten Bericht automatisch. Das manuelle Auflösen, während die App unverändert ist, verschafft Ihnen nur ~5 Minuten.
Anwendungs-Monitor konfigurieren
Öffnen Sie die Monitor-Richtlinie, der Sie diesen hinzufügen möchten, und klicken Sie auf + Neuen Monitor hinzufügen (oder öffnen Sie einen vorhandenen Anwendungs-Monitor zur Bearbeitung). Der Monitor bearbeiten Bereich wird geöffnet.
Name und Typ
Geben Sie einen Namen in das Name Feld. Der Name wird in der Warnung angezeigt, daher sollte er auf einen Blick lesbar sein. „Chrome nicht installiert" oder „Nicht autorisiert: BitTorrent" ist besser als „Anwendungs-Monitor 3".
Setzen Sie Typ auf Anwendung.
Schweregrad
Setzen Sie Schweregrad entsprechend der Behandlung der Warnung durch Ihr Team. Vier Stufen:
Information — niedrige Priorität, nur zur Information
Warnung — Aufmerksamkeit empfehlenswert, aber nicht dringend
Kritisch — erfordert schnelle Reaktion
Notfall — alles stehen und liegen lassen
💡 TIPP: Ein fehlender AV-Agent ist in der Regel Kritisch oder Notfall. Eine nicht autorisierte, aber risikoarme App könnte Information oder Warnung sein, damit sie protokolliert wird, ohne jemanden um 2 Uhr morgens zu benachrichtigen.
Anwendungsname(n)
Geben Sie den Anwendungsnamen in das Anwendungsname(n) Feld. Geben Sie einen Namen ein und drücken Sie dann Tab oder fügen Sie ein Komma ein, um ihn als Chip zu bestätigen. Fügen Sie so viele hinzu wie nötig; jeder wird zu seinem eigenen Chip, und klicken Sie auf das × auf einem Chip, um ihn zu entfernen.
Der Abgleich ist ein Groß-/Kleinschreibung ignorierender Teilstring wird mit dem Anzeigenamen der Anwendung abgeglichen, wie ihn das Gerät meldet. Ihr konfigurierter Name ist die Nadel; der installierte Name ist der Heuhaufen. „Chrome", „chrome" und „Google Chrome" stimmen alle mit einem installierten „Google Chrome" überein. Wenn Sie sich über den Namen nicht sicher sind, öffnen Sie ein Zielgerät, gehen Sie zu Geräte → Gerätedetails → Anwendungen, und prüfen Sie die Name Spalte.
⚠️ WARNUNG: Teilstring-Abgleich ist ein zweischneidiges Schwert. Ein kurzer Name trifft zu viel: „Chrome" erfasst auch „Chrome Remote Desktop" und „Chromium". Und die Richtung ist entscheidend: Ein konfigurierter Name stimmt nur überein, wenn er enthalten in den installierten Namen enthält, sodass „Google Chrome Stable" nicht mit einer App übereinstimmt, die nur als „Chrome" gemeldet wird. Benennen Sie Apps so spezifisch wie möglich, ohne den installierten String zu übertreffen.
Sie können auch auf die {x} Schaltfläche, um eine Variable anstelle eines Literalnamens einzufügen, sodass die überwachte Anwendung pro Gerät variieren kann (z. B. aus einem benutzerdefinierten Feld gezogen). Wenn eine Variable zu einem Wert aufgelöst wird, teilt Level ihn an Kommas und Zeilenumbrüchen auf, trimmt jedes Element und verwirft leere Einträge. Ein benutzerdefiniertes Feld mit Google Chrome, Firefox, 7-Zip wird in drei Anwendungsnamen aufgeteilt, die jeweils unabhängig voneinander abgeglichen werden.
🖥️ PLATTFORMHINWEIS:
Windows: Liest die Registrierungsschlüssel für die Deinstallation, dieselbe Quelle wie Programme hinzufügen/entfernen (HKLM 64-Bit- und 32-Bit-Ansichten sowie benutzerspezifische Hives einschließlich Offline-Profile). Benutzerbezogene Installationen, die einen Deinstallationseintrag registrieren (benutzerspezifisch: Chrome, Slack, Zoom, Teams), werden erkannt. Portable Apps, die eine .exe ablegen, ohne einen Deinstallations-Registrierungseintrag, werden nicht erkannt.
macOS: Liest
system_profilersowie.appBundles unter /Applications und die ~/Applications. Alles, was kein.appBundle wird nicht angezeigt.Linux: Liest den Systempaketmanager (apt/dpkg, yum/rpm oder pacman) sowie Snap und Flatpak. Manuell installierte Binärdateien und AppImages werden nicht erfasst. Paketnamen unterscheiden sich oft von der Windows- oder macOS-Bezeichnung (z. B.
google-chrome-stable), daher prüfen Sie den Anwendungen-Tab des Geräts auf den genauen String).
Installationsstatus
Setzen Sie Installationsstatus auf die Bedingung, die die Warnung auslösen soll:
Ist installiert — Warnung wird ausgelöst, wenn die genannte Anwendung gefunden wird
Ist nicht installiert — Warnung wird ausgelöst, wenn die genannte Anwendung fehlt
💡 TIPP: Kombinieren Sie diesen Monitor mit einer Fehlerbehebung. Setzen Sie Ist nicht installiert für eine erforderliche App und verknüpfen Sie eine Installations-Aktion, damit Level sie automatisch neu installiert. Setzen Sie Ist installiert für eine unerwünschte App und verknüpfen Sie eine Deinstallations-Aktion, um sie zu entfernen. Siehe Fehlerbehebung weiter unten.
Fehlerbehebung
Optional können Sie eine Automatisierung verknüpfen, die ausgeführt wird, wenn die Warnung ausgelöst wird. So lässt sich fehlende Software automatisch installieren, nicht autorisierte Software automatisch entfernen, ein Ticket öffnen oder ein Kanal im Moment der Erkennung der Bedingung benachrichtigen.
ℹ️ HINWEIS: Fehlerbehebungen werden ausgeführt, wenn die Warnung erstellt wird, nicht wenn sie aufgelöst wird.
Klicken Sie auf das Automatisierung auswählen (optional) Feld und wählen Sie eine Automatisierung aus der Liste.
Klicken Sie auf das Link-Symbol um diese Automatisierung in einem neuen Tab zu öffnen und sie zu prüfen oder zu bearbeiten.
Klicken Sie auf das Auge-Symbol um die Aktionen der Automatisierung inline in der Vorschau anzuzeigen, ohne den Bereich zu verlassen.
Klicken Sie auf das × um die ausgewählte Automatisierung zu entfernen.
Empfänger benachrichtigen
Zwei Kontrollkästchen steuern, ob die Empfänger der Richtlinie eine E-Mail erhalten:
Bei Warnungserstellung — Empfänger erhalten eine E-Mail, wenn die Warnung ausgelöst wird
Bei Warnungsauflösung — Empfänger erhalten eine E-Mail, wenn die Warnung aufgelöst wird
Empfänger werden auf Ebene der Monitor-Richtlinie festgelegt, nicht für den einzelnen Monitor. Fügen Sie E-Mail-Adressen im Empfänger Abschnitt der Richtlinie.
ℹ️ HINWEIS: Wenn die Richtlinie keine Empfänger hat, wird unabhängig von diesen Kontrollkästchen keine Benachrichtigungs-E-Mail gesendet.
Automatisches Auflösen
Der Warnung automatisch auflösen, wenn Bedingungen wegfallen Umschalter (standardmäßig aktiviert) schließt die Warnung automatisch, sobald die Bedingung nicht mehr zutrifft. Bei einem Ist nicht installiert Monitor bedeutet das, dass die Warnung geschlossen wird, wenn die App installiert wird. Bei einem Ist installiert Monitor wird die Warnung geschlossen, wenn die App entfernt wird.
Lassen Sie es aktiviert, es sei denn, Sie möchten, dass Warnungen auch nach dem Wegfall der zugrunde liegenden Bedingung zur manuellen Überprüfung offen bleiben.
Häufig gestellte Fragen
Wogegen prüft der Monitor tatsächlich? Das gemeldete Anwendungsinventar des Geräts, dieselbe Liste, die Sie auf Geräte → Gerätedetails → Anwendungen. Wenn eine App nicht in dieser Liste steht, kann der Monitor sie nicht abgleichen.
Ich habe Chrome und Firefox zu einem Monitor hinzugefügt. Wie werden mehrere Namen behandelt? Jeder Name wird unabhängig voneinander mit dem Inventar abgeglichen. Sie können auch ein einzelnes benutzerdefiniertes Feld mit durch Komma oder Zeilenumbruch getrennten Namen eingeben (wie
Chrome, Firefox, 7-Zip) über die {x} Auswahl erweitert und automatisch in separate Namen aufgeteilt wird.Muss ich den genauen Anwendungsnamen eingeben? Nein. Es handelt sich um einen Groß-/Kleinschreibung ignorierenden Teilstring-Abgleich, sodass „chrome" mit „Google Chrome" übereinstimmt. Ihr Name muss jedoch im installierten Namen enthalten sein: „Google Chrome Stable" stimmt nicht mit einer App überein, die nur als „Chrome" gemeldet wird. Und kurze Namen treffen zu viel („Chrome" erfasst auch „Chrome Remote Desktop"). Prüfen Sie im Zweifelsfall den Anwendungen-Tab des Geräts und verwenden Sie den spezifischsten Namen, der noch ein Teilstring des installierten Namens ist.
Gibt es eine Verletzungsdauer wie bei den CPU- oder Verbindungs-Monitoren? Nein. Bei diesem Typ gibt es keine Einstellung für Verletzungsdauer oder Häufigkeit. Der Agent erstellt sein App-Inventar etwa alle 10 Minuten neu und gleicht Ihre Namen etwa jede Minute damit ab, beides fest vorgegeben. Eine neue Installation oder Deinstallation erscheint in bis zu ~10 Minuten.
Ich habe eine Warnung aufgelöst und sie kam sofort zurück. Warum? Weil die App noch in dem Zustand ist, den der Monitor überwacht. Der Agent bestätigt diesen Zustand alle ~5 Minuten erneut, sodass das manuelle Auflösen dieselbe Warnung erneut öffnet (wenn Sie sie innerhalb der letzten 24 Stunden aufgelöst haben) oder eine neue erstellt (wenn es länger her ist). Die einzige dauerhafte Lösung ist das Wegfallen der Bedingung: Installieren Sie die fehlende App oder entfernen Sie die unerwünschte. Mit Automatisches Auflösen aktiv, wird die Warnung beim nächsten Bericht geschlossen.
Kann ich Level veranlassen, fehlende Software automatisch neu zu installieren? Ja. Setzen Sie den Monitor auf Ist nicht installiert und verknüpfen Sie eine Installations-Aktion als Fehlerbehebung. Dasselbe Muster funktioniert umgekehrt: Ist installiert sowie eine Deinstallations-Aktion, um unerwünschte Software zu entfernen.
Funktioniert es auch auf macOS und Linux? Ja, alle drei Plattformen, kein Betriebssystem-Selektor. Die Quellen unterscheiden sich: Windows liest die Registrierungsschlüssel für die Deinstallation (Programme hinzufügen/entfernen), macOS liest
system_profilerund.appBundles, Linux liest die Paketmanager sowie Snap und Flatpak. Portable Windows-Apps, manuell installierte Linux-Binärdateien und AppImages werden nicht erfasst, da sie sich nicht bei diesen Quellen registrieren.Wer kann Anwendungs-Monitore erstellen und bearbeiten? Techniker mit Zugriff auf die entsprechende Monitor-Richtlinie. Der Richtlinienzugriff wird durch Ihre Berechtigungseinstellungen gesteuert. Siehe Arbeitsbereich → Berechtigungen.
Was passiert mit offenen Warnungen, wenn ich den Monitor lösche? Vorhandene Warnungen bleiben bestehen. Das Löschen eines Monitors schließt oder entfernt keine bereits erstellten Warnungen – lösen Sie diese manuell auf.