Introduction

Alerta cuando un proceso específico inicia o se detiene en un dispositivo. El monitor de proceso observa un proceso nombrado por nombre exacto y se dispara cuando se cumple la condición que ha configurado — ya sea que un proceso crítico desaparezca o aparezca un proceso no autorizado.

Monitor de Proceso

Level verifica si el proceso nombrado se está ejecutando en los dispositivos cubiertos. Cuando la condición que ha establecido (ejecutándose o no ejecutándose) se detecta y se sostiene durante su duración de incumplimiento, se dispara una alerta.

Dos casos de uso impulsan la mayoría de las configuraciones: observar un proceso requerido que siempre debe ejecutarse (antivirus, agente de copia de seguridad, aplicación de línea de negocio), y observar un proceso que no debe ejecutarse (software no autorizado, nombres de proceso de malware conocidos).

Configurar el monitor de proceso

Abra la política de monitor de destino y agregue o edite un monitor de proceso. ElEditar monitorse abre en el panel de la derecha.

Nombre y Tipo

Ingrese un nombre en elNamecampo. Incluir el nombre del proceso ayuda — "Agente CrowdStrike no se está ejecutando" es más útil en una lista de alertas que "Monitor de proceso".
Set Tipo to Process.

Gravedad

Set Gravedadsegún lo crítico de la condición del proceso:

Información
Advertencia
Crítico
Emergencia

Operating System

Seleccione el sistema operativo en el que se ejecuta el proceso de destino:Windows, macOS, or Linux. Los nombres de proceso varían según la plataforma — un ejecutable de Windows no coincidirá con un nombre de proceso de Linux, por lo que esto define correctamente el alcance del monitor.

Process Name

Ingrese el nombre exacto del proceso en elProcess namecampo. El nombre debe coincidir con precisión — Level utiliza una coincidencia de cadena exacta, no una búsqueda parcial o comodín.

⚠️ WARNING:El nombre del proceso debe ser exacto. En Windows, incluya la.exeextensión si es así como aparece el proceso en el Administrador de tareas (por ejemplo,notepad.exe). En Linux y macOS, use el nombre del proceso tal como aparece en su lista de procesos — sin extensión.

💡 TIP:¿No está seguro del nombre exacto del proceso? Abra el dispositivo en Level, vaya aAdministrar → Procesos, y encuentre el proceso en la lista. El nombre que se muestra en laProcess Namecolumna es lo que debe ingresarse aquí.

Trigger

Triggerestablece la condición que dispara la alerta:

Is not running— alerta cuando el proceso no se encuentra en el dispositivo
Is running— alerta cuando se detecta el proceso en el dispositivo

Breach Duration

Breach durationestablece cuánto tiempo debe sostenerse la condición antes de que Level cree una alerta. Ajuste usando el deslizador o las flechas hacia arriba/abajo. El rango es 0–120 minutos.

💡 TIP:Una duración de incumplimiento corta (1–2 minutos) funciona bien para monitores "No se está ejecutando" en procesos críticos — desea saber rápidamente si un agente antivirus desaparece.

Resolución Automática

Auto-resolve alert if it is no longer applicableestá deshabilitado de forma predeterminada para monitores de proceso. Habilítelo si desea que las alertas se cierren automáticamente cuando la condición se resuelve (por ejemplo, el proceso faltante vuelve a estar en línea). Déjelo deshabilitado si desea que la alerta persista para revisión manual.

Remediación

Adjunte una o más automatizaciones para ejecutar cuando este monitor se dispare — reinicie un proceso detenido, detenga uno no autorizado o notifique a su equipo.

Click in the Remediacióncampo y seleccione una automatización.
Para agregar más, haga clic+ Add another remediation.
Para eliminar uno, haga clic en el× next to it.

ℹ️ NOTE:Las remediaciones se ejecutan cuando se crea la alerta, no cuando se resuelve.

Notificaciones

Send notifications on alert creation— los destinatarios de la política reciben un correo electrónico cuando se dispara la alerta
Send notifications on alert resolution— los destinatarios de la política reciben un correo electrónico cuando se resuelve la alerta

Ambos interruptores están deshabilitados de forma predeterminada. Los destinatarios se administran a nivel de política de monitor, en elDestinatarios section.

Saving the Monitor

Click Add monitorpara guardar un nuevo monitor, oUpdate monitorpara guardar cambios en uno existente.

FAQ

Who can create and edit monitors?Técnicos con acceso a la política de monitor relevante. La configuración de permisos se administra enWorkspace → Permissions.
¿Por qué mi monitor de proceso no se dispara incluso aunque el proceso no se está ejecutando?Verifique que el nombre del proceso se ingrese exactamente como aparece en el dispositivo — incluyendo.exeen Windows si es aplicable. También confirme que el dispositivo está cubierto por las etiquetas de destino de la política y que la duración del incumplimiento ha transcurrido.
¿Debo usar el monitor de proceso o el monitor de servicio para tareas en segundo plano de Windows?Si la tarea en segundo plano se ejecuta como un servicio de Windows, use el monitor de servicio — está diseñado para eso y tiene la opción adicional de reiniciar automáticamente los servicios detenidos. Use el monitor de proceso para aplicaciones que no se ejecutan como un servicio.
¿Puedo supervisar el mismo proceso en diferentes sistemas operativos?No en un único monitor — cada monitor de proceso se limita a un sistema operativo. Cree un monitor separado por cada sistema operativo si necesita cobertura multiplataforma de la misma aplicación.
¿Qué sucede con las alertas de proceso abiertas si elimino el monitor?Las alertas existentes permanecen en su lugar. Eliminar un monitor no cierra las alertas que ya ha creado — resuelva las manualmente.