Alertar cuando un proceso específico se inicia o se detiene en un dispositivo. El monitor de procesos observa un proceso nombrado por nombre exacto y se activa cuando se cumple la condición que ha configurado — ya sea un proceso crítico que desaparece o un proceso no autorizado que aparece.
Monitor de procesos
Level verifica si el proceso nombrado se ejecuta en dispositivos cubiertos. Cuando se detecta y mantiene la condición que ha establecido (en ejecución o no) durante su duración de violación, se dispara una alerta.
Dos casos de uso impulsan la mayoría de las configuraciones: vigilar un proceso requerido que debería estar siempre en ejecución (antivirus, agente de respaldo, aplicación de línea de negocio) y vigilar un proceso que no debería estar en ejecución (software no autorizado, nombres de procesos de malware conocidos).
Configuración del monitor de procesos
Abra la política de monitor objetivo y agregue o edite un monitor de procesos. El panel Editar monitor se abre a la derecha.
Nombre y tipo
Ingrese un nombre en el campo Nombre. Incluir el nombre del proceso ayuda — « Agente CrowdStrike no en ejecución » es más útil en una lista de alertas que « Monitor de procesos ».
Establezca Tipo en Proceso.
Severidad
Establezca Severidad según lo crítico que sea la condición del proceso:
Información
Advertencia
Crítica
Emergencia
Sistema operativo
Seleccione el SO en el que se ejecuta el proceso objetivo: Windows, macOS o Linux. Los nombres de procesos varían según la plataforma — un ejecutable de Windows no coincidirá con un nombre de proceso de Linux, por lo que esto establece correctamente el alcance del monitor.
Nombre del proceso
Ingrese el nombre exacto del proceso en el campo Nombre del proceso. El nombre debe coincidir exactamente — Level utiliza una coincidencia de cadena exacta, no una búsqueda parcial o con caracteres comodín.
⚠️ ADVERTENCIA: El nombre del proceso debe ser exacto. En Windows, incluya la extensión .exe si así es como aparece el proceso en el Administrador de tareas (por ejemplo, notepad.exe). En Linux y macOS, use el nombre del proceso tal como aparece en su lista de procesos — sin extensión.
💡 CONSEJO: ¿No está seguro del nombre exacto del proceso? Abra el dispositivo en Level, vaya a Administrar → Procesos y encuentre el proceso en la lista. El nombre que se muestra en la columna Nombre del proceso es lo que debe ingresarse aquí.
Disparador
Disparador establece la condición que dispara la alerta:
No se está ejecutando — alerta cuando el proceso no se encuentra en el dispositivo
Se está ejecutando — alerta cuando se detecta el proceso en el dispositivo
Duración de la violación
La duración de la violación establece cuánto tiempo debe mantenerse la condición antes de que Level cree una alerta. Ajuste usando el control deslizante o los botones de arriba/abajo. El rango es 0–120 minutos.
💡 CONSEJO: Una duración de violación corta (1–2 minutos) funciona bien para monitores « No se está ejecutando » en procesos críticos — quiere saber rápidamente si desaparece un agente antivirus.
Resolución automática
Resolver la alerta automáticamente si ya no es aplicable está deshabilitada por defecto para los monitores de procesos. Habilítela si desea que las alertas se cierren automáticamente cuando se aclare la condición (por ejemplo, el proceso faltante vuelve a estar en línea). Déjela deshabilitada si desea que la alerta persista para revisión manual independientemente.
Remediación
Adjunte una o más automatizaciones para ejecutar cuando este monitor se active — reinicie un proceso detenido, elimine uno no autorizado o notifique a su equipo.
Haga clic en el campo Remediación y seleccione una automatización.
Para agregar más, haga clic en + Agregar otra remediación.
Para quitar una, haga clic en el × junto a ella.
ℹ️ NOTA: Las remediaciones se ejecutan cuando se crea la alerta, no cuando se resuelve.
Notificaciones
Enviar notificaciones cuando se crea la alerta — los destinatarios de la política reciben un correo electrónico cuando se activa la alerta
Enviar notificaciones cuando se resuelve la alerta — los destinatarios de la política reciben un correo electrónico cuando se resuelve la alerta
Ambos conmutadores están deshabilitados por defecto. Los destinatarios se administran en el nivel de política de monitor, en la sección Destinatarios.
Guardando el monitor
Haga clic en Agregar monitor para guardar un nuevo monitor, o Actualizar monitor para guardar cambios en uno existente.
Preguntas frecuentes
¿Quién puede crear y editar monitores? Los técnicos con acceso a la política de monitor relevante. La configuración de permisos se administra en Espacio de trabajo → Permisos.
¿Por qué mi monitor de procesos no se activa aunque el proceso no se está ejecutando? Verifique que el nombre del proceso esté ingresado exactamente como aparece en el dispositivo — incluido
.exeen Windows si es aplicable. Confirme también que el dispositivo esté cubierto por las etiquetas objetivo de la política y que haya transcurrido la duración de la violación.¿Debo usar el monitor de procesos o el monitor de servicio para tareas en segundo plano de Windows? Si la tarea en segundo plano se ejecuta como servicio de Windows, use el monitor de servicio — está diseñado para eso y tiene la opción adicional de reiniciar automáticamente servicios detenidos. Utilice el monitor de procesos para aplicaciones que no se ejecutan como servicio.
¿Puedo monitorear el mismo proceso en diferentes sistemas operativos? No en un solo monitor — cada monitor de procesos se limita a un SO. Cree un monitor separado por SO si necesita cobertura multiplataforma de la misma aplicación.
¿Qué sucede con las alertas abiertas de procesos si elimino el monitor? Las alertas existentes permanecen en su lugar. Eliminar un monitor no cierra las alertas que ya ha creado — resuélvalas manualmente.