Zum Hauptinhalt springen

Aktivität

See who did what across your Level organization. Activity records sign-ins, configuration changes, tag changes, and automation runs, with before-and-after detail and code diffs.

Einführung

Aktivität ist das Prüfprotokoll von Level. Es zeichnet auf, wer was wann getan hat und was sich geändert hat – in Ihrer gesamten Organisation: Anmeldungen, Konfigurationsänderungen, Tag-Änderungen, Automatisierungsläufe, Monitor- und Skriptänderungen, API-Schlüssel-Bearbeitungen und mehr.

Die globale Aktivität Seite in der Seitenleiste ist die vollständige Aufzeichnung. Die meisten Abschnitte in Level verfügen ebenfalls über eine eigene Aktivität Registerkarte, die dieselben Daten gefiltert auf das jeweilige Gerät, die Automatisierung, das Skript, die Monitor-Richtlinie oder den Einstellungsbereich anzeigt.

Immer wenn Sie die Frage beantworten mussten „Wer hat das geändert und wann?" oder „Was hat diese Automatisierung letzte Nacht tatsächlich gemacht?", schauen Sie unter Aktivität nach.

ℹ️ HINWEIS: Aktivität ist eine schreibgeschützte Aufzeichnung. Sie können Einträge suchen, filtern und erweitern, aber weder bearbeiten noch löschen. Das ist der Zweck eines Prüfprotokolls.

Die Aktivitätsseite

Klicken Sie auf Aktivität in der linken Seitenleiste, um die globale Aufzeichnung zu öffnen. Dies ist die einzige Aktivitätsansicht, die eine vollständige Tabelle verwendet; alle anderen Ansichten sind bereichsspezifische Zeitachsen (weiter unten beschrieben).

Global Activity

Spalten

Jede Zeile entspricht einem aufgezeichneten Ereignis. Die Tabelle hat fünf Spalten:

  • Zeit: das Datum und der Zeitstempel des Ereignisses. Die Tabelle wird standardmäßig nach Zeit sortiert, neueste zuerst.

  • Quelle: wer oder was das Ereignis ausgelöst hat, mit einer Unterbezeichnung. Ein Techniker zeigt seinen Namen und seine Rolle (z. B. „Level Team / Admin"). Ein Automatisierungsauslöser zeigt den Zeitplan und den Auslösertyp (z. B. „Stündlich: 1 Stunde / Stündlich"). Ein Monitor, der eine Behebung ausgelöst hat, zeigt den Monitornamen und „Behebung".

  • Aktivität: eine verständliche Beschreibung dessen, was passiert ist. Zum Beispiel: „Angemeldet über 2FA", „Aktion KEIN NEUSTART erstellt", „Tag RAT auf Avengers angewendet" oder „Aktiviert bei Uptime täglich prüfen von wahr auf falsch geändert".

  • Kontext: das Objekt, auf das das Ereignis wirkte, mit seinem Typ darunter. Typen umfassen Benutzer, Automatisierung und Gerät. „Tag RAT auf Avengers angewendet" zeigt Avengers als Gerätekontext.

  • Typ: die Ereigniskategorie. Werte umfassen Zugriff, Automatisierung, Automatisierungskonfiguration, Automatisierungslauf, Tag, API-Schlüssel und Benutzerdefinierte Felder, unter anderem. Die vollständige Liste wird im Kategorie Filter.

ℹ️ HINWEIS: Quelle und Kontext sind absichtlich unterschiedlich. Quelle ist, wer gehandelt hat; Kontext ist, worauf sie gehandelt haben. Eine Automatisierung kann die Quelle eines Laufs und der Kontext einer Konfigurationsänderung sein, sodass derselbe Automatisierungsname je nach Ereignis in beiden Spalten erscheinen kann.

Suchen und Filtern

Suche gleicht den Aktivitätstext ab, sodass Sie einen Tag-Namen, einen Aktionsnamen oder einen Gerätenamen eingeben können, um die Liste einzugrenzen.

Klicken Sie auf Filter um auszuwählen, welche Filtersteuerungen angewendet werden sollen. Das Bedienfeld listet drei auf: Kategorie, Quelle, und Datum. Aktivieren Sie eine Option, um sie als Chip oberhalb der Tabelle hinzuzufügen. Jeder Chip hat sein eigenes Dropdown-Menü und ein X zum Entfernen.

Kategorie filtert nach Ereigniskategorie, dieselben Werte wie in der Typ Spalte. Es handelt sich um eine Mehrfachauswahlliste mit einem Suchfeld und „Alle auswählen". Kategorien umfassen Zugriff, API-Schlüssel, Automatisierung, Automatisierungskonfiguration, Automatisierungslauf und Benutzerdefinierte Felder, unter anderem. Die Liste ist alphabetisch und scrollbar.

Quelle filtert nach dem Typ des Akteurs, der das Ereignis ausgelöst hat: Benutzer, API-Schlüssel, Gerät, Automatisierung oder Auslöser. Mehrfachauswahl mit Suchfeld.

Datum filtert nach Zeitraum. Wählen Sie eine Voreinstellung (Heute, Gestern, Letzte 7 Tage, Letzte 14 Tage, Letzte 30 Tage, Letzte 6 Monate) oder legen Sie einen benutzerdefinierten Zeitraum mit dem Start- und Endkalender fest, und klicken Sie dann auf Anwenden. Standard ist „Gesamter Zeitraum".

💡 TIPP: Fügen Sie den Kategorie Filter hinzufügen und „Zugriff" auswählen, um den Anmeldeverlauf zu überprüfen, oder „Automatisierungskonfiguration", um alle an Ihren Automatisierungen vorgenommenen Änderungen anzuzeigen. Kombinieren Sie diesen mit einem Datum Zeitraum, um eine Prüfung auf ein bestimmtes Fenster zu beschränken.

Spalten ein- und ausblenden

Klicken Sie auf Spalten um Tabellenspalten ein- oder auszublenden. Alle fünf sind standardmäßig aktiviert: Zeit, Quelle, Aktivität, Kontext und Typ. Klicken Sie auf Spalten zurücksetzen um zum Standardsatz zurückzukehren.

Aktivität in jedem Abschnitt

Die meisten Abschnitte in Level haben ihre eigene Aktivität Registerkarte. Sie zeigt dieselbe Art von Aufzeichnung wie die globale Seite, bereits auf das betrachtete Objekt gefiltert, sodass Sie nicht die gesamte Tabelle durchsuchen müssen.

Bereichsspezifische Aktivitätsregisterkarten verwenden eine nach Datum gruppierte Zeitachse (Heute, Gestern, dann einzelne Daten) anstelle der globalen Tabelle. Einträge mit einem Chevron lassen sich erweitern, um feldgenaue Details anzuzeigen.

Geräteaktivität

Öffnen Sie ein Gerät und wechseln Sie dann zur Aktivität Registerkarte in der Seitenleiste des Geräts (Geräte → [Gerät] → Aktivität). Hier wird die Aktivität für dieses eine Gerät angezeigt: die Automatisierungen und Monitore, die dagegen ausgeführt wurden, sowie Änderungen, die es betrafen.

Einträge benennen den Auslöser und den Zeitpunkt des Laufs, zum Beispiel:

  • „Täglich: 00:00 Uhr hat Test auf Agent Zero 1 ausgelöst"

  • „Freitag um 00:00 Uhr (Standard) hat Windows Updates auf Agent Zero 1 ausgelöst"

ℹ️ HINWEIS: Die Geräteaktivität zeigt, dass eine Automatisierung ausgeführt wurde. Um das vollständige Ergebnis eines Laufs zu sehen (Status, Ausgabe je Aktion, erneuter Lauf), verwenden Sie den Automatisierungslauf-Verlauf des Geräts. Siehe Geräteautomatisierungen.

Automatisierungsaktivität

Öffnen Sie eine Automatisierung und wechseln Sie dann zu Aktivität (Automatisierungen → [Automatisierung] → Aktivität). Hier werden sowohl die von der Automatisierung ausgelösten Läufe als auch die daran vorgenommenen Konfigurationsänderungen angezeigt.

Aktivität protokolliert zwei Arten von Einträgen:

  • Läufe: benennen den Auslöser und das Gerät. Zum Beispiel: „Monitor: Überwachung - Global / Windows-Betriebszeit überschreitet 30 Tage, ausgelöst auf odd-resolution."

  • Konfigurationsänderungen: zeichnen Bearbeitungen auf wie „Level Team hat den Auslöser Monitor: Jacob / Betriebszeit überschreitet 30 Tage erstellt", sowie zusammengefasste Aktionen wie „Level Team hat 3 Läufe ausgelöst" oder „Level Team hat auf DESKTOP-FD3ST4S abgebrochen".

Klicken Sie auf den Chevron eines Konfigurationseintrags, um ihn zu erweitern. Die erweiterte Ansicht zeigt den Zustand auf Feldebene, zum Beispiel „aktiviert war wahr" und „Monitor war Betriebszeit überschreitet 30 Tage".

💡 TIPP: Wenn ein Auslöser nicht mehr wie erwartet feuert, prüfen Sie die Automatisierungsaktivität auf einen Eintrag „Auslöser gelöscht" oder „Aktiviert ... von wahr auf falsch geändert". Das ist der schnellste Weg herauszufinden, ob jemand die Automatisierung geändert hat, anstatt dass die Automatisierung ausgefallen ist.

Skriptaktivität

Öffnen Sie ein Skript und wechseln Sie dann zu Aktivität (Skripte → [Skript] → Aktivität). Hier wird jede gespeicherte Änderung am Skript aufgezeichnet, einschließlich des Codes selbst.

Ein Änderungseintrag fasst zusammen, was gespeichert wurde, zum Beispiel „Level Team hat 2 Änderungen an Osquery Monitor - Betriebszeit gespeichert." Erweitern Sie ihn, um jede einzelne Änderung zu sehen.

Bei einer Codeänderung zeigt der Eintrag das Zeilenzahldelta (z. B. „+3 −1") und einen Änderungen anzeigen Link.

Klicken Sie auf Änderungen anzeigen um den Diff-Bereich zu öffnen. Er zeigt den bearbeiteten Code mit entfernten Zeilen in Rot und hinzugefügten Zeilen in Grün, Zeilennummern und einen Einheitlich / Geteilt Umschalter. Der Bereichskopf benennt das Skript, den Techniker und den Zeitstempel.

💡 TIPP: Der Diff-Bereich ist das Prüfprotokoll für Skriptänderungen. Verwenden Sie ihn, um genau zu bestätigen, was in einem Skript geändert wurde, bevor ein Monitor oder eine Automatisierung anfing, sich anders zu verhalten – ohne eine alte Version wiederherzustellen, um sie manuell zu vergleichen.

Monitor-Richtlinien-Aktivität

Öffnen Sie eine Monitor-Richtlinie und wechseln Sie dann zu Aktivität (Monitore → [Richtlinie] → Aktivität). Hier werden Änderungen an den Monitoren innerhalb dieser Richtlinie aufgezeichnet.

Ein Änderungseintrag zeigt eine Zusammenfassung wie „Level Team hat 3 Änderungen an RAT erkennen gespeichert." Erweitern Sie ihn, um zu sehen, was sich auf Feldebene geändert hat:

  • Ein neuer Monitor zeigt seine ursprünglichen Einstellungen, wie „Name auf Fernzugriffs-Tool erkannt gesetzt", „Schweregrad auf kritisch gesetzt", „Automatische Auflösung auf wahr gesetzt" und „Anwendungsnamen auf [...] gesetzt".

  • Eine spätere Bearbeitung zeigt, was sich geändert hat, wie „Installiert auf Ein geändert" und „Anwendungsnamen aktualisiert: Action1, Atera, Datto, N-able, Pulseway, Level, Syncro hinzugefügt".

ℹ️ HINWEIS: Die Monitor-Richtlinien-Aktivität verfolgt Änderungen an den Monitoren in der Richtlinie. Um die von diesen Monitoren erzeugten Warnmeldungen und deren Auflösung zu sehen, verwenden Sie Gerätewarnmeldungen oder der globalen Warnmeldungen Ansicht.

Arbeitsbereichsaktivität

Wechseln Sie zu Arbeitsbereich → Aktivität. Hier werden Ereignisse auf Arbeitsbereichsebene aufgezeichnet: Anmeldungen, Tag-Änderungen sowie Änderungen an benutzerdefinierten Feldern, Team und Berechtigungen.

Einträge lesen sich wie:

  • „Level Team hat sich über 2FA angemeldet"

  • „Level Team hat Tag RAT auf Avengers angewendet"

  • „Level Team hat Tag JACOB von Avengers entfernt"

  • „Level Team hat Tag KEIN NEUSTART erstellt"

Einstellungsaktivität

Wechseln Sie zu Einstellungen → Aktivität. Hier werden Änderungen an Ihren Einstellungen aufgezeichnet: API-Schlüssel, Webhooks, Integrationen und Organisationskonfiguration.

Einträge zeichnen das geänderte Feld und seine Vorher-Nachher-Werte auf, zum Beispiel „Level Team hat die Beschreibung des schreibgeschützten API-Schlüssels Test 1 geändert".

Ein gruppierter Eintrag lässt sich erweitern, um jede einzelne Änderung anzuzeigen. Zum Beispiel öffnet „Level Team hat 2 Änderungen an Level Development gespeichert" die beiden zugrunde liegenden Änderungen.

⚠️ WARNUNG: Die Einstellungsaktivität zeichnet auf, dass sich die Metadaten eines API-Schlüssels geändert haben (Name, Beschreibung). Sie zeigt nicht den geheimen Wert des Schlüssels an. Behandeln Sie API-Schlüssel wie Passwörter und rotieren Sie jeden Schlüssel, von dem Sie glauben, dass er kompromittiert wurde. Siehe Einstellungen für API-Schlüssel.

Wer kann Aktivität einsehen

Die globale Aktivität Seite ist nur für Administratoren zugänglich. Techniker ohne Adminrechte sehen sie in der Navigation überhaupt nicht.

Überall sonst folgt Aktivität der Leseberechtigung: dieselbe Berechtigungseinschränkung wie im restlichen Level. Techniker sehen die Aktivitätsregisterkarte auf jedem Gerät, jeder Automatisierung oder Richtlinie, auf die sie bereits Zugriff haben, beschränkt auf das, was ihre Berechtigungen abdecken. Ein Techniker mit eingeschränktem Gruppenzugriff sieht die ressourcenbezogene Aktivität für seine Gruppen. Sie erhalten keine gefilterte Version der globalen Seite, da sie die globale Seite ohnehin nicht öffnen können.

Der Zugriff auf Einstellungen- und Arbeitsbereichsaktivität hängt davon ab, ob der Techniker diese Abschnitte überhaupt erreichen kann.

ℹ️ HINWEIS: Die Aktivitätsbeschränkung folgt der Leseberechtigung, ist keine separate Berechtigung. Wenn ein Techniker ein Gerät, eine Automatisierung oder eine Richtlinie bereits sehen kann, kann er auch deren Aktivitätsregisterkarte sehen. Aktivität für Ressourcen, auf die er keinen Zugriff hat, kann er nicht sehen. Die einzige feste Hürde ist die globale Aktivitätsseite selbst, die unabhängig vom Lesezugriff nur für Administratoren zugänglich ist.

Häufig gestellte Fragen

  • Was ist der Unterschied zwischen Aktivität und Verlauf? Aktivität ist das Prüfprotokoll: wer was getan hat, welche Konfiguration sich geändert hat und eine Zusammenfassung der Läufe. Verlauf (und der Automatisierungslauf-Verlauf unter Geräteautomatisierungen) ist das Ausführungsprotokoll: das detaillierte Ergebnis jedes Laufs, einschließlich Status, Ausgabe je Aktion und der Option zum erneuten Ausführen. Verwenden Sie Aktivität, um „Wer hat das geändert?" zu beantworten, und Verlauf, um „Was hat dieser Lauf tatsächlich gemacht?" zu beantworten.

  • Kann ich einen Aktivitätseintrag bearbeiten oder löschen? Nein. Aktivität ist absichtlich schreibgeschützt. Sie können suchen, filtern, erweitern und Diffs anzeigen, aber Einträge können weder geändert noch entfernt werden.

  • Warum sehe ich weniger Einträge als ein Kollege? Aktivität ist auf Ihre Berechtigungen beschränkt. Sie sehen Aktivität für die Gerätegruppen und Ressourcen, auf die Sie Zugriff haben. Ein Kollege mit weiterem Zugriff sieht mehr. Siehe Arbeitsbereich → Berechtigungen.

  • Der Name einer Person wird als Quelle angezeigt, aber ich weiß, dass eine Automatisierung die Arbeit erledigt hat. Was stimmt? Beides, auf verschiedenen Ebenen. Wenn ein Techniker den Lauf manuell ausgelöst hat, ist er die Quelle. Wenn ein Zeitplan oder Monitor ihn ausgelöst hat, ist der Auslöser oder Monitor die Quelle. Prüfen Sie die Quellenunterbezeichnung (Rolle, „Stündlich", „Behebung"), um zu unterscheiden, welche zutrifft.

  • Die globale Aktivitätstabelle zeigt nicht die Details, die ich benötige. Wo finde ich die Änderung auf Feldebene? Die globale Tabelle ist eine flache Liste. Für Vorher-Nachher-Werte und Code-Diffs öffnen Sie die bereichsspezifische Aktivitätsregisterkarte der jeweiligen Automatisierung, des Skripts, der Monitor-Richtlinie oder des Einstellungselements und erweitern den Eintrag.

  • Legt die Einstellungsaktivität meine API-Schlüsselwerte offen? Nein. Es werden Metadatenänderungen wie Name und Beschreibung aufgezeichnet, nicht der geheime Wert. Der Schlüsselwert kann aus Einstellungen → API-Schlüssel jederzeit über die Option „Schlüssel kopieren".

  • Wer kann Aktivität einsehen? Jeder Techniker kann Aktivität einsehen, aber die Aufzeichnungen sind auf das beschränkt, was seine Berechtigungen ihm zu sehen erlauben. Einstellungs- und Arbeitsbereichsaktivität erfordern Zugriff auf diese Abschnitte. Siehe Arbeitsbereich → Berechtigungen dafür, wie der Zugriff konfiguriert ist.

Verwandte Artikel
Warnmeldungen
Geräte-Alarme
Einstellungen-Aktivität
Geräteaktivität
Arbeitsbereich-Aktivität
Hat dies deine Frage beantwortet?