Einführung
Aktivität ist das Prüfprotokoll von Level. Es erfasst, wer was wann getan hat und was sich geändert hat – in Ihrer gesamten Organisation: Anmeldungen, Konfigurationsänderungen, Tag-Änderungen, Automatisierungsläufe, Monitor- und Skriptänderungen, API-Schlüssel-Bearbeitungen und mehr.
Die globale Aktivität Seite in der Seitenleiste ist der vollständige Datensatz. Die meisten Bereiche in Level haben außerdem eine eigene Aktivität Registerkarte, die dieselben Daten gefiltert auf genau dieses Gerät, diese Automatisierung, dieses Skript, diese Monitor-Richtlinie oder diesen Einstellungsbereich anzeigt.
Wenn Sie jemals die Frage „Wer hat das wann geändert?" oder „Was hat diese Automatisierung letzte Nacht tatsächlich gemacht?" beantworten mussten, finden Sie die Antwort unter „Aktivität".
ℹ️ HINWEIS: Die Aktivität ist ein schreibgeschützter Datensatz. Sie können Einträge suchen, filtern und erweitern, aber nicht bearbeiten oder löschen. Das ist der Sinn eines Prüfprotokolls.
Die Aktivitätsseite
Klicken Sie auf Aktivität in der linken Seitenleiste, um den globalen Datensatz zu öffnen. Dies ist die einzige Aktivitätsansicht, die eine vollständige Tabelle verwendet; alle anderen Ansichten sind bereichsbezogene Zeitleisten (weiter unten beschrieben).
Spalten
Jede Zeile ist ein aufgezeichnetes Ereignis. Die Tabelle hat fünf Spalten:
Zeit: das Datum und der Zeitstempel des Ereignisses. Die Tabelle wird standardmäßig nach Zeit sortiert, neueste zuerst.
Quelle: wer oder was das Ereignis ausgelöst hat, mit einer Unterbezeichnung. Ein Techniker wird mit Name und Rolle angezeigt (z. B. „Level Team / Admin"). Ein Automatisierungsauslöser zeigt den Zeitplan und den Auslösertyp (z. B. „Stündlich: 1 Stunde / Stündlich"). Ein Monitor, der eine Behebung ausgelöst hat, zeigt den Monitornamen und „Behebung".
Aktivität: eine verständliche Beschreibung dessen, was passiert ist. Zum Beispiel „Angemeldet über 2FA", „Aktion KEIN NEUSTART erstellt", „Tag RAT auf Avengers angewendet" oder „'Aktiviert' bei 'Uptime täglich prüfen' von 'true' auf 'false' geändert".
Kontext: das Objekt, auf das das Ereignis eingewirkt hat, mit seinem Typ darunter. Typen umfassen Benutzer, Automatisierung und Gerät. „Tag RAT auf Avengers angewendet" zeigt Avengers als Gerätekontext.
Typ: die Ereigniskategorie. Werte umfassen Zugriff, Automatisierung, Automatisierungskonfiguration, Automatisierungslauf, Tag, API-Schlüssel und Benutzerdefinierte Felder, unter anderem. Den vollständigen Satz finden Sie in der Liste im Kategorie Filter.
ℹ️ HINWEIS: Quelle und Kontext sind absichtlich verschieden. Quelle ist, wer gehandelt hat; Kontext ist, worauf gehandelt wurde. Eine Automatisierung kann die Quelle eines Laufs und der Kontext einer Konfigurationsänderung sein, sodass derselbe Automatisierungsname je nach Ereignis in beiden Spalten erscheinen kann.
Suchen und Filtern
Suche gleicht mit dem Aktivitätstext ab, sodass Sie einen Tag-Namen, einen Aktionsnamen oder einen Gerätenamen eingeben können, um die Liste einzugrenzen.
Klicken Sie auf Filter um auszuwählen, welche Filtersteuerelemente angewendet werden sollen. Das Fenster listet drei auf: Kategorie, Quelleund Datum. Aktivieren Sie eine Option, um sie als Chip über der Tabelle hinzuzufügen. Jeder Chip hat sein eigenes Dropdown-Menü und ein X zum Entfernen.
Kategorie filtert nach Ereigniskategorie, denselben Werten wie in der Typ Spalte. Es ist eine Mehrfachauswahlliste mit einem Suchfeld und „Alle auswählen". Kategorien umfassen Zugriff, API-Schlüssel, Automatisierung, Automatisierungskonfiguration, Automatisierungslauf und Benutzerdefinierte Felder, unter anderem. Die Liste ist alphabetisch sortiert und scrollbar.
Quelle filtert nach dem Typ des Akteurs, der das Ereignis ausgelöst hat: Benutzer, API-Schlüssel, Gerät, Automatisierung oder Auslöser. Mehrfachauswahl mit einem Suchfeld.
Datum filtert nach Zeitraum. Wählen Sie eine Voreinstellung (Heute, Gestern, Letzte 7 Tage, Letzte 14 Tage, Letzte 30 Tage, Letzte 6 Monate) oder legen Sie einen benutzerdefinierten Bereich mit dem Start- und Endkalender fest, und klicken Sie dann auf Anwenden. Der Standard ist „Gesamter Zeitraum".
💡 TIPP: Fügen Sie den Kategorie Filter hinzu und wählen Sie „Zugriff", um den Anmeldeverlauf zu überprüfen, oder „Automatisierungskonfiguration", um alle Änderungen an Ihren Automatisierungen anzuzeigen. Kombinieren Sie ihn mit einem Datum Zeitraum, um eine Prüfung auf ein bestimmtes Fenster einzugrenzen.
Spalten ein- und ausblenden
Klicken Sie auf Spalten um Tabellenspalten ein- oder auszublenden. Alle fünf sind standardmäßig aktiviert: Zeit, Quelle, Aktivität, Kontext und Typ. Klicken Sie auf Spalten zurücksetzen um zum Standardsatz zurückzukehren.
Aktivität in jedem Bereich
Die meisten Bereiche in Level haben eine eigene Aktivität Registerkarte. Sie zeigt dieselbe Art von Datensatz wie die globale Seite, bereits gefiltert auf das Element, das Sie gerade betrachten, sodass Sie nicht die vollständige Tabelle durchsuchen müssen.
Bereichsbezogene Aktivitätsregisterkarten verwenden eine nach Datum gruppierte Zeitleiste (Heute, Gestern, dann einzelne Daten) anstelle der globalen Tabelle. Einträge mit einem Pfeilsymbol lassen sich erweitern, um Felddetails anzuzeigen.
Geräteaktivität
Öffnen Sie ein Gerät und wechseln Sie dann zur Aktivität Registerkarte in der Seitenleiste des Geräts (Geräte → [Gerät] → Aktivität). Dies zeigt die auf dieses eine Gerät beschränkte Aktivität: die Automatisierungen und Monitore, die darauf ausgeführt wurden, und die Änderungen, die es betrafen.
Einträge benennen den Auslöser und den Zeitpunkt der Ausführung, zum Beispiel:
„Täglich: 00:00 Uhr hat Test auf Agent Zero 1 ausgelöst"
„Freitag um 00:00 Uhr (Standard) hat Windows Updates auf Agent Zero 1 ausgelöst"
ℹ️ HINWEIS: Die Geräteaktivität zeigt, dass eine Automatisierung ausgeführt wurde. Um das vollständige Ergebnis eines Laufs anzuzeigen (Status, Ausgabe pro Aktion, erneut ausführen), verwenden Sie den Automatisierungsverlauf des Geräts. Siehe Geräteautomatisierungen.
Automatisierungsaktivität
Öffnen Sie eine Automatisierung und wechseln Sie dann zu Aktivität (Automatisierungen → [Automatisierung] → Aktivität). Dies zeigt sowohl die von der Automatisierung ausgelösten Läufe als auch die daran vorgenommenen Konfigurationsänderungen.
Aktivität protokolliert zwei Arten von Einträgen:
Läufe: benennen den Auslöser und das Gerät. Zum Beispiel: „Monitor: Überwachung - Global / Windows-Betriebszeit überschreitet 30 Tage wurde auf odd-resolution ausgelöst."
Konfigurationsänderungen: zeichnen Bearbeitungen auf wie „Level Team hat den Auslöser Monitor: Jacob / Betriebszeit überschreitet 30 Tage erstellt", sowie aggregierte Aktionen wie „Level Team hat 3 Läufe ausgelöst" oder „Level Team hat auf DESKTOP-FD3ST4S abgebrochen".
Klicken Sie auf das Pfeilsymbol bei einem Konfigurationseintrag, um ihn zu erweitern. Die erweiterte Ansicht zeigt den Feldstatus, zum Beispiel „'Aktiviert' war 'true'" und „'Monitor' war 'Betriebszeit überschreitet 30 Tage'".
💡 TIPP: Wenn ein Auslöser nicht mehr wie erwartet auslöst, überprüfen Sie die Automatisierungsaktivität auf einen Eintrag „Auslöser gelöscht" oder „'Aktiviert' von 'true' auf 'false' geändert". Das ist der schnellste Weg, um herauszufinden, ob jemand die Automatisierung geändert hat und nicht die Automatisierung selbst fehlerhaft ist.
Skriptaktivität
Öffnen Sie ein Skript und wechseln Sie dann zu Aktivität (Skripte → [Skript] → Aktivität). Dies zeichnet jede gespeicherte Änderung am Skript auf, einschließlich des Codes selbst.
Ein Änderungseintrag fasst zusammen, was gespeichert wurde, zum Beispiel „Level Team hat 2 Änderungen an 'Osquery Monitor - Uptime' gespeichert". Erweitern Sie ihn, um jede einzelne Änderung zu sehen.
Bei einer Code-Bearbeitung zeigt die Änderung das Zeilenzahl-Delta (z. B. „+3 −1") und einen Änderungen anzeigen Link.
Klicken Sie auf Änderungen anzeigen um das Diff-Fenster zu öffnen. Es zeigt den bearbeiteten Code mit entfernten Zeilen in Rot und hinzugefügten Zeilen in Grün, Zeilennummern und einen Zusammengefasst / Geteilt Umschalter. Der Bereichsheader benennt das Skript, den Techniker und den Zeitstempel.
💡 TIPP: Das Diff-Fenster ist das Prüfprotokoll für Skriptänderungen. Verwenden Sie es, um genau zu bestätigen, was in einem Skript geändert wurde, bevor ein Monitor oder eine Automatisierung ein anderes Verhalten zeigte – ohne eine alte Version wiederherstellen und manuell vergleichen zu müssen.
Monitor-Richtlinienaktivität
Öffnen Sie eine Monitor-Richtlinie und wechseln Sie dann zu Aktivität (Monitore → [Richtlinie] → Aktivität). Dies zeichnet Änderungen an den Monitoren innerhalb dieser Richtlinie auf.
Ein Änderungseintrag zeigt eine Zusammenfassung wie „Level Team hat 3 Änderungen an 'RAT erkennen' gespeichert". Erweitern Sie ihn, um zu sehen, was sich auf Feldebene geändert hat:
Ein neuer Monitor zeigt seine anfänglichen Einstellungen, wie „Name auf 'Fernzugriffswerkzeug erkannt' gesetzt", „Schweregrad auf 'kritisch' gesetzt", „'auto_resolve' auf 'true' gesetzt" und „'application_names' auf [...] gesetzt".
Eine spätere Bearbeitung zeigt, was sich geändert hat, wie „'Installiert' geändert zu 'Ein'" und „'application_names' aktualisiert: Action1, Atera, Datto, N-able, Pulseway, Level, Syncro hinzugefügt".
ℹ️ HINWEIS: Die Monitor-Richtlinienaktivität verfolgt Änderungen an den Monitoren in der Richtlinie. Um die von diesen Monitoren generierten Warnungen und deren Behebung einzusehen, verwenden Sie Gerätewarnungen oder der globalen Warnungen Ansicht.
Arbeitsbereich-Aktivität
Gehen Sie zu Arbeitsbereich → Aktivität. Dies zeichnet Ereignisse auf Arbeitsbereichsebene auf: Anmeldungen, Tag-Änderungen und Änderungen an benutzerdefinierten Feldern, Team und Berechtigungen.
Einträge lauten beispielsweise:
„Level Team hat sich über 2FA angemeldet"
„Level Team hat Tag RAT auf Avengers angewendet"
„Level Team hat Tag JACOB von Avengers entfernt"
„Level Team hat Tag KEIN NEUSTART erstellt"
Einstellungsaktivität
Gehen Sie zu Einstellungen → Aktivität. Dies zeichnet Änderungen an Ihren Einstellungen auf: API-Schlüssel, Webhooks, Integrationen und Organisationskonfiguration.
Einträge zeichnen das geänderte Feld und seine Vorher-Nachher-Werte auf, zum Beispiel „Level Team hat die Beschreibung des schreibgeschützten API-Schlüssels 'Test 1' geändert".
Ein gruppierter Eintrag lässt sich erweitern, um jede einzelne Änderung anzuzeigen. Zum Beispiel öffnet sich „Level Team hat 2 Änderungen an Level Development gespeichert" in die zwei zugrunde liegenden Änderungen.
⚠️ WARNUNG: Die Einstellungsaktivität zeichnet auf, dass die Metadaten eines API-Schlüssels geändert wurden (Name, Beschreibung). Der geheime Wert des Schlüssels wird nicht angezeigt. Behandeln Sie API-Schlüssel wie Passwörter und rotieren Sie jeden Schlüssel, von dem Sie glauben, dass er kompromittiert wurde. Siehe API-Schlüssel-Einstellungen.
Wer kann die Aktivität sehen
Die globale Aktivität Seite ist nur für Administratoren zugänglich. Nicht-Admin-Techniker sehen sie gar nicht in der Navigation.
Überall sonst folgt die Aktivität der Lesezuordnung: derselben Berechtigungsabgrenzung wie der Rest von Level. Techniker sehen die Aktivitätsregisterkarte bei jedem Gerät, jeder Automatisierung oder Richtlinie, auf die sie bereits Zugriff haben, begrenzt auf das, was ihre Berechtigungen abdecken. Ein Techniker mit eingeschränktem Gruppenzugriff sieht die ressourcenspezifische Aktivität für seine Gruppen. Sie erhalten keine gefilterte Version der globalen Seite, da sie die globale Seite ohnehin nicht öffnen können.
Der Zugriff auf Einstellungs- und Arbeitsbereichsaktivitäten hängt davon ab, ob der Techniker diese Bereiche überhaupt aufrufen kann.
ℹ️ HINWEIS: Die Aktivitätsabgrenzung ist Lesezuordnung, keine separate Berechtigung. Wenn ein Techniker bereits ein Gerät, eine Automatisierung oder eine Richtlinie sehen kann, kann er auch deren Aktivitätsregisterkarte sehen. Er kann keine Aktivitäten für Ressourcen sehen, auf die er keinen Zugriff hat. Die einzige harte Schranke ist die globale Aktivitätsseite selbst, die unabhängig vom Lesezugriff nur für Administratoren zugänglich ist.
Häufig gestellte Fragen
Was ist der Unterschied zwischen Aktivität und Verlauf? Aktivität ist das Prüfprotokoll: wer was getan hat, welche Konfiguration geändert wurde und eine Zusammenfassung der Läufe. Der Verlauf (und der Automatisierungsverlauf unter Geräteautomatisierungen) ist das Ausführungsprotokoll: das detaillierte Ergebnis jedes Laufs, einschließlich Status, Ausgabe pro Aktion und der Option zum erneuten Ausführen. Verwenden Sie Aktivität, um „wer hat das geändert?" zu beantworten, und den Verlauf, um „was hat dieser Lauf tatsächlich gemacht?" zu beantworten.
Kann ich einen Aktivitätseintrag bearbeiten oder löschen? Nein. Aktivität ist konzeptbedingt schreibgeschützt. Sie können suchen, filtern, erweitern und Diffs anzeigen, aber Einträge können weder geändert noch entfernt werden.
Warum sehe ich weniger Einträge als ein Kollege? Aktivität ist auf Ihre Berechtigungen beschränkt. Sie sehen Aktivitäten für die Gerätegruppen und Ressourcen, auf die Sie Zugriff haben. Ein Kollege mit umfassenderen Berechtigungen sieht mehr. Siehe Arbeitsbereich → Berechtigungen.
Der Name einer Person erscheint als Quelle, aber ich weiß, dass eine Automatisierung die Arbeit erledigt hat. Was stimmt? Beides, auf verschiedenen Ebenen. Wenn ein Techniker den Lauf manuell ausgelöst hat, ist er die Quelle. Wenn ein Zeitplan oder ein Monitor ihn ausgelöst hat, ist der Auslöser oder Monitor die Quelle. Überprüfen Sie die Quellenunterbezeichnung (Rolle, „Stündlich", „Behebung"), um festzustellen, welche es ist.
Die globale Aktivitätstabelle zeigt nicht die Details, die ich benötige. Wo finde ich die Änderung auf Feldebene? Die globale Tabelle ist eine einfache Liste. Für Vorher-Nachher-Werte und Code-Diffs öffnen Sie die bereichsbezogene Aktivitätsregisterkarte der spezifischen Automatisierung, des Skripts, der Monitor-Richtlinie oder des Einstellungselements und erweitern Sie den Eintrag.
Zeigt die Einstellungsaktivität meine API-Schlüsselwerte an? Nein. Es zeichnet Metadatenänderungen wie Name und Beschreibung auf, nicht den geheimen Wert. Der Schlüsselwert kann aus Einstellungen → API-Schlüssel jederzeit über die Option „Schlüssel kopieren".
Wer kann die Aktivität einsehen? Jeder Techniker kann die Aktivität einsehen, aber die Datensätze sind auf das begrenzt, was ihre Berechtigungen erlauben. Einstellungs- und Arbeitsbereichsaktivitäten erfordern Zugriff auf diese Bereiche. Siehe Arbeitsbereich → Berechtigungen für Informationen zur Konfiguration des Zugriffs.