Introducción

Si un dispositivo se muestra fuera de línea en Level pero en realidad está encendido y conectado, la causa es casi siempre interferencia de AV/EDR o un cortafuegos que bloquea las conexiones salientes del agente. Comience con el comando --check — identifica el punto de falla exacto sin adivinanzas.

ℹ️ NOTA: En la mayoría de los casos, Level funciona sin cambios en el cortafuegos. Los requisitos de red a continuación solo se aplican si está en una red restrictiva y experimenta activamente problemas de conectividad.

Solución de problemas sin conexión

Paso 1: Ejecutar verificación de diagnóstico

Ejecute --check en el dispositivo afectado mientras tenga acceso a la red. Prueba cada parte de la conectividad del agente a Level e informa exactamente dónde está la falla.

🖥️ NOTA DE PLATAFORMA:

Windows: & 'C:\Program Files\Level\level.exe' --check
macOS: sudo /usr/local/bin/level --check
Linux: sudo /usr/local/bin/level --check

Dos secciones en las que enfocarse:

Controles de Level — muestra si el servicio de agente y la tarea de watchdog están en el estado esperado (Running / Ready). Si cualquiera muestra un problema, AV/EDR muy probablemente ha puesto en cuarentena el binario del agente. El watchdog mantiene el servicio ejecutándose en condiciones normales — si no es así, algo externo lo detuvo.

Verificaciones de conexión — muestra el estado de online.level.io, agents.level.io, uptime monitor, y realtime client. Cualquier falla aquí apunta a una ruta de red bloqueada.

Paso 2: Interferencia de AV/EDR

Si --check muestra el servicio o watchdog no en el estado esperado, o si --check no se ejecuta en absoluto, verifique si el binario de Level aún está presente en el disco:

🖥️ NOTA DE PLATAFORMA:

Windows: busque level.exe en C:\Program Files\Level\
macOS: busque level en /Applications/Level.app/Contents/MacOS/level
Linux: busque level en /usr/local/bin/level

Si falta el binario, AV/EDR lo eliminó. Level no tiene mecanismo para eliminar su propio binario — un ejecutable faltante significa que su software de seguridad lo puso en cuarentena o lo eliminó.

Para investigar: Verifique el registro de cuarentena e historial de actividades de su software de seguridad alrededor del momento en que el dispositivo se desconectó. Busque cualquier acción tomada contra level.exe o procesos relacionados. Algunos productos — SentinelOne, ESET y ciertas configuraciones de Defender — lo hacen silenciosamente sin alerta visible.

Para corregir: Restaure el binario de la cuarentena si es posible, luego agregue las exclusiones apropiadas antes de reinstalar. Ver Detecciones falsas de AV/EDR para rutas de exclusión, detalles de certificado y una automatización de Windows Defender que puede implementar en dispositivos. Si el binario aún está presente pero el servicio está detenido, se aplican los mismos pasos de exclusión — AV probablemente está bloqueando la ejecución en lugar de eliminar el archivo.

⚠️ ADVERTENCIA: Si reinstala el agente sin agregar exclusiones primero, AV/EDR eliminará el binario nuevamente. Agregue exclusiones antes de reinstalar. También tenga en cuenta: Las detecciones de AV/EDR contra Level se basan en el comportamiento, no en firmas. Esto significa que el mismo software de seguridad puede ejecutarse en 50 dispositivos y solo marcar Level en algunos — depende de lo que estaba haciendo el agente cuando se activó la detección, no de una actualización de definición. No asuma que un dispositivo limpio significa que sus exclusiones funcionan correctamente.

Paso 3: Verificar acceso a la red

Si la sección Controles de Level parece saludable pero las Verificaciones de conexión muestran fallas, el agente se está ejecutando pero no puede alcanzar los servidores de Level. El problema es un cortafuegos o proxy que bloquea las conexiones salientes.

El agente necesita acceso saliente a estas URL:

URL	Propósito
`agents.level.io`	Comunicación del agente con Level
`online.level.io`	Comprobaciones de estado de conectividad
`builds.level.io`	Actualizaciones del agente
`downloads.level.io`	Instalación inicial del agente
`realtime.ably.io`	WebSocket en tiempo real para API de Level
`prd-level-storage.s3.wasabisys.com`	Almacenamiento de archivos para automatizaciones
`global.turn.twilio.com`	Relé TURN (se usa cuando P2P falla)
`global.stun.twilio.com`	STUN (se usa cuando P2P falla)
`logs.logdna.com`	Recopilación de registros para solución de problemas

💡 CONSEJO: Para cortafuegos que admiten reglas de comodín, *.level.io y *.twilio.com cubren las entradas de Level y Twilio anteriores.

Puertos requeridos (solo salientes):

Puerto	Protocolo	Propósito	Notas
80	TCP	HTTP	Conectividad básica
443	TCP	HTTPS	Tráfico de agente primario
3478	TCP y UDP	TURN	Se usa cuando P2P falla
5349	TCP	TURN TLS	Solo último recurso fallback
10.000–60.000	UDP	Puertos de relé TURN	Asignados por Twilio cuando se usa TURN

ℹ️ NOTA: Los puertos 3478, 5349 y el rango UDP solo se necesitan cuando las conexiones P2P no se pueden establecer. Comience con 80 y 443 — eso cubre la gran mayoría de escenarios. Ver Solución de problemas de relé/P2P si las conexiones remotas fallan específicamente.

Paso 4: Contactar al soporte

Si --check no indica una causa clara, contacte al soporte de Level con:

La salida completa de --check
Software AV/EDR utilizado (nombre y versión)
Cualquier software de cortafuegos o proxy entre el dispositivo e Internet

Preguntas frecuentes

El dispositivo estaba en línea ayer y ahora está fuera de línea. ¿Por dónde empiezo? Ejecute --check primero. Si no se ejecuta en absoluto, verifique si level.exe (Windows) o el binario level (macOS/Linux) aún está presente en el disco — si desapareció, AV/EDR lo eliminó. Si el binario está ahí pero --check muestra el servicio detenido o fallos de verificación de conexión, ver Detecciones falsas de AV/EDR para investigación del registro de cuarentena y pasos de exclusión.
No tengo forma de acceder al dispositivo de forma remota en este momento. ¿Qué puedo hacer? Si Level es su única herramienta de acceso remoto en el dispositivo, necesitará acceso físico u out-of-band (iDRAC, iLO, KVM, etc.) para investigar. Una vez que tenga acceso, ejecute --check para identificar la causa antes de hacer cualquier otra cosa.
¿Necesito abrir todos estos puertos en mi cortafuegos? No, a menos que esté experimentando problemas. La mayoría de las redes funcionan con solo 80 y 443 salientes. Los puertos TURN (3478, 5349) y el rango UDP solo son relevantes si las conexiones P2P están fallando — ver Solución de problemas de relé/P2P antes de abrir puertos adicionales.
La salida de --check se ve bien pero el dispositivo aún se muestra fuera de línea en Level. La consola puede retrasarse uno o dos minutos después de que se restaure la conectividad. Si no se actualiza, el problema puede ser intermitente — intente ejecutar --check nuevamente cuando recurra el estado fuera de línea para capturar la falla en acción.