Einführung
Monitor-Richtlinien legen fest, was Level auf Ihren Geräten überwacht und wer benachrichtigt wird, wenn etwas schiefläuft. Jede Richtlinie bündelt einen oder mehrere Monitore, einen Satz von Ziel-Tags und eine Liste von Benachrichtigungsempfängern – so können Sie einer Gruppe von Geräten einen kohärenten Satz von Prüfungen zuweisen, indem Sie diese einfach taggen.
Dieser Artikel beschreibt, wie Richtlinien funktionieren, wie Sie diese erstellen und konfigurieren und welche Monitor-Typen verfügbar sind. Konfigurationsdetails zu bestimmten Monitor-Typen finden Sie in den verlinkten Artikeln in den jeweiligen Abschnitten unten.
🎬 VIDEO
Überwachungsrichtlinien
Eine Monitor-Richtlinie besteht aus drei Teilen:
Ziele: Einer oder mehrere Tags. Jedes Gerät mit einem übereinstimmenden Tag wird durch diese Richtlinie beobachtet.
Monitore: Die einzelnen Prüfungen – CPU-Auslastung, Speicherplatz, ein Dienststatus, ein Skriptergebnis usw.
Empfänger: E-Mail-Adressen, die Benachrichtigungen erhalten, wenn Monitore in dieser Richtlinie Alarme auslösen.
Wenn der Schwellenwert eines Monitors überschritten wird, öffnet Level einen Alarm und sendet (falls konfiguriert) E-Mails an die Empfänger. Wenn Auto-resolve für diesen Monitor aktiviert ist, schließt sich der Alarm automatisch, sobald die Bedingung behoben ist. Wenn er deaktiviert ist, muss ein Techniker ihn manuell über die Alarme Ansicht.
Tags sind der Mechanismus, der Richtlinien mit Geräten verknüpft. Fügen Sie einem Gerät ein Tag hinzu, und Level prüft sofort, ob Monitor-Richtlinien dieses Tag als Ziel haben – und wendet diese Richtlinien dann automatisch an. Entfernen Sie das Tag, und diese Richtlinien hören auf, das Gerät zu überwachen. Die Monitore Registerkarte auf der Detailseite eines Geräts zeigt alle aktuell aktiven Monitore – über alle Richtlinien und Tags hinweg – in einer einzigen flachen Liste. Siehe Gerätedetails → Monitore für weitere Informationen.
💡 TIPP: Gestalten Sie Richtlinien nach Rollen, nicht nur nach Gerätetypen. Eine Richtlinie namens „Domain Controllers", die AD-spezifische Dienste überwacht, passt gut zu einem Tag mit demselben Namen – so ist klar, welche Geräte sie abdeckt, und die Zuweisung ist einfach.
Richtlinienansicht
Navigieren Sie zu Monitore in der Seitenleiste. Die Monitor-Richtlinien Seite listet alle Richtlinien in Ihrer Organisation auf.
Jede Zeile zeigt:
Name: Den Namen der Richtlinie, mit einer Anzahl der Monitore und einem Link zu den Geräten, auf die sie aktuell abzielt
Erstellt / Erstellt von: Wann die Richtlinie erstellt wurde und welcher Techniker sie erstellt hat
Zuletzt bearbeitet / Zuletzt bearbeitet von: Wann und von wem die Richtlinie zuletzt geändert wurde
Um anzupassen, welche Spalten angezeigt werden, klicken Sie auf Spalten oben rechts. In der Richtlinienübersicht können Sie folgendes ein- und ausblenden: Name, Erstellt, Erstellt von, Zuletzt bearbeitet und Zuletzt bearbeitet von.
Um eine oder mehrere Richtlinien zu löschen, setzen Sie ein Häkchen neben jeder Zeile und klicken Sie auf Löschen.
Eine Monitor-Richtlinie erstellen
Klicken Sie auf + Monitor-Richtlinie erstellen oben rechts.
Geben Sie einen Namen in das Name der Monitor-Richtlinie Feld. Der Platzhaltertext schlägt „z. B. Laptop-Richtlinie" vor – wählen Sie etwas, das die Rolle oder Gerätegruppe widerspiegelt, für die diese Richtlinie gilt.
Klicken Sie auf Erstellen.
Die neue Richtlinie wird sofort geöffnet. Sie gelangen zur Richtliniendetailansicht und können direkt Ziele und Monitore hinzufügen.
Ziele konfigurieren
Der Ziele Bereich auf der linken Seite einer Richtlinie steuert, welche Geräte sie überwacht. Ziele sind tag-basiert – fügen Sie hier ein Tag hinzu und jedes Gerät mit diesem Tag wird durch diese Richtlinie überwacht.
So fügen Sie ein Ziel-Tag hinzu:
Klicken Sie auf + in der Ziele Bereichs-Kopfzeile.
Suchen Sie nach einem vorhandenen Tag oder klicken Sie auf Neues Tag erstellen um direkt ein neues zu erstellen.
Wählen Sie das Tag aus. Es erscheint im Bereich mit einer aktuellen Anzahl der Geräte, die es aktuell tragen.
So entfernen Sie ein Ziel-Tag:
Klicken Sie auf das Drei-Punkte-Menü neben einem Tag im Ziele Bereich und wählen Sie Ziel entfernen.
ℹ️ HINWEIS: Ziele werden dynamisch aktualisiert. Wenn Sie einem Gerät nach der Konfiguration der Richtlinie ein Tag hinzufügen, wird dieses Gerät sofort überwacht – ohne Änderungen an der Richtlinie.
Empfänger konfigurieren
Der Empfänger Bereich befindet sich unterhalb von Ziele auf der linken Seite. Empfänger erhalten E-Mail-Benachrichtigungen, wenn Monitore in dieser Richtlinie Alarme auslösen oder auflösen.
So fügen Sie Empfänger hinzu:
Klicken Sie auf + in der Empfänger Bereichs-Kopfzeile.
Geben Sie eine oder mehrere E-Mail-Adressen in das E-Mail Feld. Drücken Sie Tab oder fügen Sie ein Komma hinzu, um mehrere Adressen auf einmal einzugeben.
Klicken Sie auf Empfänger hinzufügen.
So entfernen Sie einen Empfänger:
Klicken Sie auf das Drei-Punkte-Menü neben der E-Mail-Adresse eines Empfängers und wählen Sie Empfänger entfernen.
ℹ️ HINWEIS: Empfänger hier erhalten Benachrichtigungen für alle Monitore in dieser Richtlinie. Ob ein bestimmter Monitor tatsächlich Benachrichtigungen bei Alarm und bei Auflösung sendet, wird für jeden einzelnen Monitor gesteuert – die Empfängerliste wird jedoch für die gesamte Richtlinie geteilt.
Monitor-Konfiguration
Die rechte Seite der Richtlinie zeigt alle ihr zugeordneten Monitore. Hier sehen Sie, was die Richtlinie tatsächlich prüft.
Standardmäßig sichtbare Spalten in der Tabelle:
Spalte | Beschreibung |
Name | Der Name des Monitors |
Typ | Der Monitor-Typ (CPU-Auslastung, Festplattenauslastung, Ereignisprotokoll, Skript ausführen usw.) |
Schwellenwert/Dauer | Der konfigurierte Schwellenwert und die Dauer, die eine Bedingung anhalten muss, bevor sie ausgelöst wird |
Schweregrad | Information, Warnung, Kritisch oder Notfall |
Drei weitere Spalten sind verfügbar, aber standardmäßig ausgeblendet. Klicken Sie auf Spalten um sie zu aktivieren:
Behebungsautomatisierungen: Jede Automatisierung, die ausgeführt wird, wenn der Monitor ausgelöst wird
Automatisch auflösen: Ob die Benachrichtigung automatisch geschlossen wird, wenn die Bedingung nicht mehr zutrifft
Benachrichtigungen senden: Ob dieser Monitor E-Mail-Benachrichtigungen sendet
Einen Monitor hinzufügen
Klicken Sie auf + Add new monitor oben rechts in der Richtlinienansicht. Dadurch öffnet sich ein Monitor-Konfigurationsbereich, in dem Sie den Monitortyp auswählen und dessen Parameter festlegen.
Die verfügbaren Monitortypen fallen in zwei Kategorien:
Integrierte Monitore
Diese überwachen Standard-Systemmetriken, ohne dass ein Skript erforderlich ist:
CPU-Auslastung — Wird ausgelöst, wenn die CPU einen prozentualen Schwellenwert über einen längeren Zeitraum überschreitet. Siehe CPU Usage Monitor.
Verbindung — Wird ausgelöst, wenn ein Gerät länger als eine konfigurierte Anzahl von Minuten offline ist. Siehe Connection Monitor.
Datenträgerauslastung — Wird ausgelöst, wenn der verfügbare Speicherplatz auf einem Laufwerk (oder nur dem Systemlaufwerk) unter einen Schwellenwert fällt. Siehe Disk Usage Monitor.
Ereignisprotokoll — Wird ausgelöst, wenn eine bestimmte Windows-Ereignis-ID innerhalb eines definierten Zeitfensters eine festgelegte Anzahl von Malen erscheint. Siehe Event Log Monitor.
Speicherauslastung — Wird ausgelöst, wenn die RAM-Auslastung einen prozentualen Schwellenwert über einen längeren Zeitraum überschreitet. Siehe Memory Usage Monitor.
Prozess — Wird ausgelöst, wenn ein bestimmter Prozess gestartet oder beendet wird. Siehe Process Monitor.
Dienst — Wird ausgelöst, wenn ein bestimmter Windows-Dienst gestoppt oder gestartet wird. Siehe Service Monitor.
Skript-Monitore
Skript-Monitore führen ein PowerShell-, Bash- oder Python-Skript auf dem Gerät aus und werten die Ausgabe anhand einer konfigurierten Bedingung aus. Verwenden Sie diese für alles, was die integrierten Typen nicht abdecken – Softwarelizenzprüfungen, benutzerdefinierte Anwendungsgesundheit, Registrierungswerte und mehr.
Skript ausführen — Siehe Run Script Monitor für vollständige Konfigurationsdetails und unterstützte Ausgabeformate.
Beispiele: Script Monitor Examples.
ℹ️ HINWEIS: Eine Richtlinie kann mehrere Monitore desselben Typs enthalten. Wenn Sie separate Schwellenwerte für Warnung und kritische Datenträgerauslastung benötigen, fügen Sie derselben Richtlinie zwei Datenträgerauslastungs-Monitore mit unterschiedlichen Schwellenwerten und Schweregraden hinzu.
Wie Benachrichtigungen funktionieren
Wenn der Schwellenwert eines Monitors überschritten wird, öffnet Level eine Benachrichtigung und erfasst eine Nutzlast die den Gerätezustand zum Zeitpunkt der Auslösung widerspiegelt. Was in dieser Nutzlast enthalten ist, hängt vom Monitortyp ab:
CPU-Monitore zeigen die wichtigsten Prozesse nach CPU-Auslastung zum Zeitpunkt der Benachrichtigungsauslösung
Speicher-Monitore zeigen die wichtigsten Prozesse nach Speicherverbrauch
Skript-Monitore zeigen die vom Skript zurückgegebene Rohausgabe
Ereignisprotokoll-Monitore zeigen die übereinstimmenden Ereignisdetails: Ereignis-ID, Quelle und Nachricht
Die Nutzlast bleibt aktiv und synchronisiert, solange die Benachrichtigung offen ist. Sobald die Benachrichtigung aufgelöst wird, friert Level diese ein – und bewahrt den letzten fehlerhaften Zustand zum Zeitpunkt der Auflösung. Dieser eingefrorene Snapshot ist das, was Sie sehen, wenn Sie eine aufgelöste Benachrichtigung aufklappen.
Um Benachrichtigungen geräteübergreifend anzuzeigen und zu bearbeiten, wechseln Sie zur Benachrichtigungen globale Ansicht. Um Benachrichtigungen für ein einzelnes Gerät anzuzeigen, öffnen Sie das Gerät und klicken Sie auf die Benachrichtigungen Registerkarte. Siehe Benachrichtigungen und Device Details → Alerts für Details.
💡 TIPP: Wenn ein Monitor auf einem bestimmten Gerät wiederholt ausgelöst wird, bei anderen jedoch nicht, öffnen Sie die Benachrichtigungen Registerkarte und klappen Sie die Nutzlast auf. Level erfasst die genauen Werte zum Auslösezeitpunkt, was in der Regel der schnellste Weg ist, um festzustellen, was an diesem Gerät anders ist.
Aktionen auf Richtlinienebene
Klicken Sie auf Aktionen oben rechts in einer Richtlinie, um Zugriff zu erhalten auf:
Umbenennen — Richtlinie umbenennen
Löschen — Richtlinie dauerhaft löschen
⚠️ WARNUNG: Das Löschen einer Richtlinie entfernt alle zugehörigen Monitore und stoppt die Überwachung auf allen betroffenen Geräten sofort. Benachrichtigungen, die zum Zeitpunkt der Löschung offen waren, verbleiben in der Benachrichtigungsansicht, werden jedoch nicht mehr aktualisiert oder automatisch aufgelöst.
Resource Library
Level's Resource Library enthält Hunderte von gebrauchsfertigen Monitor-Richtlinien und Skripten, die vom Level-Team und der Community erstellt wurden. Jede davon kann mit einem Klick direkt in Ihr Konto importiert werden – ohne Konfiguration für den Einstieg erforderlich.
💡 TIPP: Bevor Sie einen Monitor von Grund auf neu erstellen, prüfen Sie die Resource Library. Es besteht eine gute Chance, dass bereits eine Richtlinie für Ihren Bedarf existiert – Domain-Controller-Gesundheit, Antivirus-Status, Backup-Überprüfung, Verfügbarkeitsprüfungen und mehr.
Bewährte Methoden
Einige Muster, die sich in der Praxis bewährt haben:
Richtlinien auf Rollen ausrichten. Trennen Sie die Ressourcenüberwachung (CPU, Speicher, Datenträger) von der Anwendungsüberwachung (Dienste, Prozesse). Eine Domain-Controller-Richtlinie sollte nur Domain-Controller-Funktionen überwachen – keine allgemeinen Workstation-Metriken.
Richtliniennamen an Tag-Namen anpassen. Wenn Ihr Tag „Exchange" lautet, nennen Sie die Richtlinie „Exchange Monitoring". Die Zuordnung ist offensichtlich und erleichtert die Prüfung.
Automatische Auflösung gezielt deaktivieren. Deaktivieren Sie die automatische Auflösung nur, wenn ein Techniker die Grundursache untersuchen soll. Wenn sie überall deaktiviert ist, häufen sich ungelöste Benachrichtigungen an und erzeugen Lärm.
Eine einzelne Richtlinie nicht überladen. Level unterstützt mehrere Richtlinien pro Gerät durch Tag-Überschneidungen. Ein Gerät kann gleichzeitig Prüfungen aus einer Richtlinie „Workstations - Resources" und einer Richtlinie „Huntress" erhalten – nutzen Sie das.
Gerätespezifische Deaktivierung für dauerhafte Ausnahmen verwenden, keine Richtlinienänderungen. Wenn ein Gerät für einen Monitor Störmeldungen erzeugt, der überall sonst gültig ist, deaktivieren Sie diesen spezifischen Monitor auf diesem Gerät über Device Details → Monitors. Schwächen Sie die Richtlinie nicht für alle anderen. Für vorübergehende Unterdrückung während geplanter Arbeiten verwenden Sie Maintenance Mode stattdessen.
FAQ
Wer kann Monitor-Richtlinien erstellen und bearbeiten? Die Verwaltung von Monitor-Richtlinien erfordert entsprechende Berechtigungen für Ihre Organisation. Techniker mit eingeschränktem Zugriff können Richtlinien möglicherweise einsehen, aber nicht erstellen oder ändern. Siehe Workspace → Permissions für Details.
Can one device be monitored by more than one policy? Yes. If a device carries multiple tags and each tag is targeted by a different policy, that device receives all of them. Each policy runs its monitors independently. You can see the full list on the device's Monitors tab, including which tag pulled in each policy.
Why isn't a monitor triggering even though the threshold should be exceeded? Check that the device's tag appears in the policy's Targets panel with a non-zero device count. Also check the monitor's Duration setting — most monitors require a condition to persist for a defined period before firing. If the device is in Maintenance Mode, alerts are suppressed. If the monitor has been manually disabled on this device, it won't fire regardless of policy settings — check Device Details → Monitors.
Can I add a recipient who isn't a Level technician? Yes. Recipients are plain email addresses — they don't need a Level account. Any address you add will receive notifications for this policy's alerts.
What happens to open alerts if I remove a target tag from a policy? Existing open alerts from those devices remain visible in the Alerts view. New alerts won't be created since the devices are no longer targeted. Alerts won't auto-resolve unless the monitor's auto-resolve was already enabled.
An alert resolved and came back — why does it show the original start time? Level reopens an existing alert rather than creating a new one if the same monitor fires again within 24 hours. The original start timestamp is preserved. If the alert keeps cycling, the start time reflects when it first opened, not its most recent trigger. After 24 hours without re-triggering, Level creates a fresh alert with a new start time.