Introducción
Actividad es el registro de auditoría de Level. Registra quién hizo qué, cuándo y qué cambió en toda su organización: inicios de sesión, ediciones de configuración, cambios de etiquetas, ejecuciones de automatizaciones, cambios de monitores y scripts, ediciones de claves de API y más.
La página global de Actividad en la barra lateral es el registro completo. La mayoría de las secciones de Level también tienen su propia pestaña Actividad que muestra los mismos datos filtrados a ese único dispositivo, automatización, script, política de monitor o área de configuración.
Si alguna vez ha necesitado responder «¿quién cambió esto y cuándo?» o «¿qué hizo exactamente esta automatización anoche?», en Actividad es donde debe buscar.
ℹ️ NOTA: Actividad es un registro de solo lectura. Puede buscar, filtrar y expandir entradas, pero no puede editarlas ni eliminarlas. Ese es el propósito de un registro de auditoría.
La página de Actividad
Haga clic en Actividad en la barra lateral izquierda para abrir el registro global. Esta es la única vista de Actividad que utiliza una tabla completa; todas las demás vistas son una línea de tiempo con alcance limitado (explicadas más adelante).
Columnas
Cada fila es un evento registrado. La tabla tiene cinco columnas:
Hora: la fecha y la marca de tiempo del evento. La tabla se ordena por Hora, del más reciente al más antiguo, de forma predeterminada.
Origen: quién o qué inició el evento, con una subetiqueta. Un técnico muestra su nombre y rol (por ejemplo, «Level Team / Admin»). Un disparador de automatización muestra la programación y el tipo de disparador (por ejemplo, «Cada hora: 1 hora / Cada hora»). Un monitor que activó la corrección muestra el nombre del monitor y «Corrección».
Actividad: una descripción en lenguaje natural de lo que ocurrió. Por ejemplo, «Inició sesión mediante 2FA», «Creó la acción SIN REINICIO», «Aplicó la etiqueta RAT a Avengers» o «Cambió habilitado en Verificar Tiempo de Actividad Diario de verdadero a falso».
Contexto: el objeto sobre el que actuó el evento, con su tipo debajo. Los tipos incluyen Usuario, Automatización y Dispositivo. «Aplicó la etiqueta RAT a Avengers» muestra Avengers como el contexto del dispositivo.
Tipo: la categoría del evento. Los valores incluyen Acceso, Automatización, Configuración de automatización, Ejecución de automatización, Etiqueta, Clave de API y Campos personalizados, entre otros. El conjunto completo es la lista que se muestra en el filtro Categoría filtro.
ℹ️ NOTA: Origen y Contexto son diferentes a propósito. Origen es quién actuó; Contexto es sobre qué actuó. Una automatización puede ser el Origen de una ejecución y el Contexto de un cambio de configuración, por lo que el mismo nombre de automatización puede aparecer en cualquiera de las dos columnas según el evento.
Búsqueda y filtrado
Buscar coincide con el texto de Actividad, de modo que puede escribir el nombre de una etiqueta, una acción o un dispositivo para reducir la lista.
Haga clic en Filtros para elegir qué controles de filtro aplicar. El panel muestra tres: Categoría, Origeny Fecha. Marque uno para añadirlo como chip encima de la tabla. Cada chip tiene su propio menú desplegable y una X para eliminarlo.
Categoría filtra por categoría de evento, los mismos valores que se muestran en la columna Tipo columna. Es una lista de selección múltiple con un cuadro de búsqueda y la opción Seleccionar todo. Las categorías incluyen Acceso, Clave de API, Automatización, Configuración de automatización, Ejecución de automatización y Campos personalizados, entre otros. La lista está en orden alfabético y se puede desplazar.
Origen filtra por el tipo de actor que inició el evento: Usuario, Clave de API, Dispositivo, Automatización o Disparador. Es de selección múltiple con un cuadro de búsqueda.
Fecha filtra por rango de tiempo. Elija un período predefinido (Hoy, Ayer, Últimos 7 días, Últimos 14 días, Últimos 30 días, Últimos 6 meses) o establezca un rango personalizado con los calendarios de inicio y fin, luego haga clic en Aplicar. El valor predeterminado es Todo el tiempo.
💡 CONSEJO: Agregue el filtro Categoría filtro y seleccione Acceso para revisar el historial de inicios de sesión, o Configuración de automatización para ver todos los cambios realizados en sus automatizaciones. Combínelo con un filtro de Fecha rango para acotar una auditoría a una ventana específica.
Mostrar y ocultar columnas
Haga clic en Columnas para mostrar u ocultar columnas de la tabla. Las cinco están activadas de forma predeterminada: Hora, Origen, Actividad, Contexto y Tipo. Haga clic en Restablecer columnas para volver al conjunto predeterminado.
Actividad en cada sección
La mayoría de las secciones de Level tienen su propia pestaña Actividad pestaña. Muestra el mismo tipo de registro que la página global, ya filtrado al elemento que está viendo, para que no tenga que buscar en la tabla completa.
Las pestañas de Actividad con alcance limitado utilizan una línea de tiempo agrupada por fecha (Hoy, Ayer y luego fechas individuales) en lugar de la tabla global. Las entradas con un chevron se pueden expandir para mostrar detalles a nivel de campo.
Actividad del dispositivo
Abra un dispositivo y luego vaya a la pestaña Actividad en la barra lateral del dispositivo (Dispositivos → [dispositivo] → Actividad). Esto muestra la actividad acotada a ese único dispositivo: las automatizaciones y monitores que se ejecutaron en él y los cambios que lo afectaron.
Las entradas nombran el disparador y cuándo se ejecutó, como:
«Diario: 12:00 AM activó prueba en Agent Zero 1»
«Viernes a las 12AM (Predeterminado) activó Windows Updates en Agent Zero 1»
ℹ️ NOTA: Actividad del dispositivo muestra que se ejecutó una automatización. Para ver el resultado completo de una ejecución (estado, salida por acción, nueva ejecución), use el historial de ejecuciones de automatización del dispositivo. Consulte Automatizaciones del dispositivo.
Actividad de automatización
Abra una automatización y luego vaya a Actividad (Automatizaciones → [automatización] → Actividad). Esto muestra tanto las ejecuciones que activó la automatización como los cambios de configuración realizados en ella.
Actividad registra dos tipos de entradas:
Ejecuciones: nombran el disparador y el dispositivo. Por ejemplo, «Monitor: Monitoreo - Global / Tiempo de actividad de Windows supera los 30 días activado en odd-resolution».
Cambios de configuración: registran ediciones como «Level Team creó el disparador Monitor: Jacob / Tiempo de actividad supera los 30 días», además de acciones agregadas como «Level Team activó 3 ejecuciones» o «Level Team canceló en DESKTOP-FD3ST4S».
Haga clic en el chevron de una entrada de configuración para expandirla. La vista expandida muestra el estado a nivel de campo, por ejemplo, «habilitado era verdadero» y «monitor era Tiempo de actividad supera los 30 días».
💡 CONSEJO: Cuando un disparador deja de activarse como se esperaba, compruebe la Actividad de automatización para ver si hay una entrada «eliminó el disparador» o «Cambió habilitado... de verdadero a falso». Es la forma más rápida de saber si alguien modificó la automatización en lugar de que la automatización haya fallado.
Actividad de script
Abra un script y luego vaya a Actividad (Scripts → [script] → Actividad). Esto registra cada cambio guardado en el script, incluido el código en sí.
Una entrada de cambio resume lo que se guardó, por ejemplo, «Level Team guardó 2 cambios en Osquery Monitor - Uptime». Expándala para ver cada cambio individual.
Para una edición de código, el cambio muestra el delta del número de líneas (por ejemplo, «+3 −1») y un enlace Ver cambios enlace.
Haga clic en Ver cambios para abrir el panel de diferencias. Muestra el código editado con las líneas eliminadas en rojo y las líneas añadidas en verde, números de línea y un botón Unificado / Dividido alternar. El encabezado del panel indica el script, el técnico y la marca de tiempo.
💡 CONSEJO: El panel de diferencias es el registro de auditoría para los cambios de scripts. Úselo para confirmar exactamente qué cambió en un script antes de que un monitor o una automatización comenzara a comportarse de manera diferente, sin necesidad de restaurar una versión anterior para comparar visualmente.
Actividad de política de monitor
Abra una política de monitor y luego vaya a Actividad (Monitores → [política] → Actividad). Esto registra los cambios en los monitores dentro de esa política.
Una entrada de cambio muestra un resumen como «Level Team guardó 3 cambios en Detect RAT». Expándala para ver qué cambió a nivel de campo:
Un nuevo monitor muestra su configuración inicial, como «Nombre establecido en Remote Access Tool Detected», «Gravedad establecida en crítica», «auto_resolve establecido en verdadero» y «application_names establecido en [...]».
Una edición posterior muestra qué cambió, como «instalado cambió a Activado» y «application_names actualizado: Se añadió Action1, Atera, Datto, N-able, Pulseway, Level, Syncro».
ℹ️ NOTA: La Actividad de política de monitor registra los cambios en los monitores de la política. Para ver las alertas que generaron esos monitores y cómo se resolvieron, use Alertas del dispositivo o la Alertas vista.
Actividad del espacio de trabajo
Vaya a Espacio de trabajo → Actividad. Esto registra eventos a nivel del espacio de trabajo: inicios de sesión, cambios de etiquetas y cambios en campos personalizados, equipo y permisos.
Las entradas tienen el siguiente formato:
«Level Team inició sesión mediante 2FA»
«Level Team aplicó la etiqueta RAT a Avengers»
«Level Team eliminó la etiqueta JACOB de Avengers»
«Level Team creó la etiqueta SIN REINICIO»
Actividad de configuración
Vaya a Configuración → Actividad. Esto registra los cambios en su configuración: claves de API, webhooks, integraciones y configuración de la organización.
Las entradas registran el campo que cambió y sus valores antes y después, por ejemplo, «Level Team cambió la descripción en la clave de API de solo lectura test 1».
Una entrada agrupada se expande para mostrar cada cambio individual. Por ejemplo, «Level Team guardó 2 cambios en Level Development» se abre en los dos cambios subyacentes.
⚠️ ADVERTENCIA: La Actividad de configuración registra que los metadatos de una clave de API cambiaron (nombre, descripción). No muestra el valor secreto de la clave. Trate las claves de API como contraseñas y rote cualquier clave que crea que ha sido expuesta. Consulte Configuración de claves de API.
Quién puede ver la Actividad
La página global de Actividad es solo para administradores. Los técnicos no administradores no la ven en la navegación en absoluto.
En el resto de los lugares, la Actividad sigue la alineación de lectura: el mismo alcance de permisos que el resto de Level. Los técnicos ven la pestaña Actividad en cualquier dispositivo, automatización o política a la que ya tienen acceso, acotada a lo que cubren sus permisos. Un técnico con acceso limitado a grupos ve la Actividad por recurso para sus grupos. No obtienen una versión filtrada de la página global, ya que no pueden abrir la página global en primer lugar.
El acceso a la actividad a nivel de configuración y a nivel del espacio de trabajo depende de si el técnico puede acceder a esas secciones en absoluto.
ℹ️ NOTA: El alcance de la Actividad es alineación de lectura, no un permiso separado. Si un técnico ya puede ver un dispositivo, una automatización o una política, puede ver su pestaña Actividad. No puede ver la actividad de los recursos a los que no tiene acceso. La única barrera estricta es la página global de Actividad en sí, que es exclusiva para administradores independientemente del acceso de lectura.
Preguntas frecuentes
¿Cuál es la diferencia entre Actividad e Historial? Actividad es el registro de auditoría: quién hizo qué, qué configuración cambió y un resumen de las ejecuciones. Historial (y el historial de ejecuciones de automatización en Automatizaciones del dispositivo) es el registro de ejecución: el resultado detallado de cada ejecución, incluido el estado, la salida por acción y la opción de volver a ejecutar. Use Actividad para responder «quién cambió esto» e Historial para responder «qué hizo exactamente esta ejecución».
¿Puedo editar o eliminar una entrada de Actividad? No. Actividad es de solo lectura por diseño. Puede buscar, filtrar, expandir y ver diferencias, pero las entradas no se pueden cambiar ni eliminar.
¿Por qué veo menos entradas que un colega? La Actividad está acotada a sus permisos. Usted ve la actividad de los grupos de dispositivos y recursos a los que tiene acceso. Un colega con un acceso más amplio ve más. Consulte Espacio de trabajo → Permisos.
El nombre de alguien aparece como Origen pero sé que la automatización hizo el trabajo. ¿Cuál es el correcto? Ambos, en diferentes niveles. Si un técnico activó manualmente la ejecución, él es el Origen. Si un horario o un monitor la activó, el disparador o monitor es el Origen. Compruebe la subetiqueta del Origen (rol, «Cada hora», «Corrección») para distinguirlos.
La tabla global de Actividad no muestra el detalle que necesito. ¿Dónde está el cambio a nivel de campo? La tabla global es una lista plana. Para ver valores antes y después y diferencias de código, abra la pestaña Actividad con alcance limitado en la automatización, script, política de monitor o elemento de configuración específico y expanda la entrada.
¿La Actividad de configuración expone los valores de mis claves de API? No. Registra cambios en los metadatos como el nombre y la descripción, no el valor secreto. El valor de la clave es recuperable desde Configuración → Claves de API en cualquier momento usando la opción Copiar clave.
¿Quién puede ver la Actividad? Cualquier técnico puede ver la Actividad, pero los registros están acotados a lo que sus permisos le permiten ver. La actividad de Configuración y del Espacio de trabajo requiere acceso a esas secciones. Consulte Espacio de trabajo → Permisos para saber cómo está configurado el acceso.