Introducción
Las políticas de monitor definen qué supervisa Level en sus dispositivos y quién recibe notificaciones cuando algo va mal. Cada política agrupa uno o más monitores, un conjunto de etiquetas de destino y una lista de destinatarios de alertas, de modo que puede aplicar un conjunto coherente de comprobaciones a cualquier grupo de dispositivos simplemente etiquetándolos.
Este artículo explica cómo funcionan las políticas, cómo crearlas y configurarlas, y qué tipos de monitores están disponibles. Para ver los detalles de configuración de tipos de monitores específicos, consulte los artículos enlazados en cada sección a continuación.
🎬 VÍDEO
Políticas de Monitoreo
Una política de monitor tiene tres partes:
Destinos: Una o más etiquetas. Todos los dispositivos que lleven una etiqueta coincidente son observados por esta política.
Monitores: Las comprobaciones individuales. Uso de CPU, espacio en disco, estado de un servicio, resultado de un script, etc.
Destinatarios: Direcciones de correo electrónico que reciben notificaciones cuando los monitores de esta política generan alertas.
Cuando se supera el umbral de un monitor, Level abre una alerta y (si está configurado) envía un correo electrónico a los destinatarios. Si Resolución automática está habilitado en ese monitor, la alerta se cierra automáticamente una vez que la condición se despeja. Si está desactivado, un técnico debe resolverlo manualmente desde la Alertas vista.
Las etiquetas son el mecanismo que vincula las políticas a los dispositivos. Aplique una etiqueta a un dispositivo y Level comprueba inmediatamente si alguna política de monitor apunta a esa etiqueta, luego aplica esas políticas automáticamente. Retire la etiqueta y esas políticas dejan de monitorear ese dispositivo. La pestaña Monitores en la página de detalles de un dispositivo muestra todos los monitores activos actualmente en él, en todas las políticas y etiquetas, en una sola lista plana. Ver Detalles del dispositivo → Monitores para más información.
💡 CONSEJO: Diseñe políticas en torno a roles, no solo tipos de dispositivos. Una política llamada «Domain Controllers» que supervisa servicios específicos de AD se combina de forma natural con una etiqueta del mismo nombre, dejando claro qué dispositivos cubre y facilitando su asignación.
Vista de Políticas
Navegue a Monitores en la barra lateral. La Políticas de monitor página enumera todas las políticas de su organización.
Cada fila muestra:
Nombre: El nombre de la política, con un recuento de monitores y un enlace a los dispositivos a los que apunta actualmente
Creado / Creado por: Cuándo se creó la política y qué técnico la creó
Última edición / Última edición por: Cuándo y por quién fue modificada la política por última vez
Para personalizar qué columnas se muestran, haga clic en Columnas en la parte superior derecha. En el listado de políticas, puede alternar: Nombre, Creado, Creado por, Última edición y Última edición por.
Para eliminar una o más políticas, marque la casilla junto a cada fila y haga clic en Eliminar.
Creación de una política de monitor
Haga clic en + Crear política de monitor en la parte superior derecha.
Ingrese un nombre en el Nombre de la política de monitor campo. El texto de marcador de posición sugiere «ej. Política de portátiles» — elija algo que refleje el rol o grupo de dispositivos que cubre esta política.
Haga clic en Crear.
La nueva política se abre de inmediato. Accederá a la vista de detalles de la política, lista para agregar destinos y monitores.
Configuración de Destinos
El panel Destinos en el lado izquierdo de una política controla qué dispositivos monitorea. Los destinos se basan en etiquetas. Agregue una etiqueta aquí y cada dispositivo que lleve esa etiqueta será monitoreado por esta política.
Para agregar una etiqueta de destino:
Haga clic en + en el Destinos encabezado del panel.
Busque una etiqueta existente o haga clic en Crear nueva etiqueta para crear una en el momento.
Seleccione la etiqueta. Aparece en el panel con un recuento en tiempo real de los dispositivos que la llevan actualmente.
Para eliminar una etiqueta de destino:
Haga clic en el menú de tres puntos junto a una etiqueta en el Destinos panel y seleccione Eliminar destino.
ℹ️ NOTA: Los destinos se actualizan dinámicamente. Si agrega una etiqueta a un dispositivo después de que la política ya esté configurada, ese dispositivo comienza a ser monitoreado de inmediato. No se requieren cambios en la política.
Configuración de Destinatarios
El panel Destinatarios panel se encuentra debajo de Destinos en el lado izquierdo. Los destinatarios reciben notificaciones por correo electrónico cuando los monitores de esta política generan o resuelven alertas.
Para agregar destinatarios:
Haga clic en + en el Destinatarios encabezado del panel.
Ingrese una o más direcciones de correo electrónico en el Correo electrónico campo. Presione Tab o agregue una coma para introducir varias direcciones a la vez.
Haga clic en Agregar destinatarios.
Para eliminar un destinatario:
Haga clic en el menú de tres puntos junto al correo electrónico de un destinatario y seleccione Eliminar destinatario.
ℹ️ NOTA: Los destinatarios aquí reciben notificaciones de todos los monitores en esta política. Si un monitor específico realmente envía notificaciones al generar y al resolver una alerta se controla en cada monitor individual, pero la lista de destinatarios se comparte en toda la política.
Configuración de Monitores
El lado derecho de la política muestra todos los monitores asociados a ella. Aquí es donde puede ver qué está comprobando realmente la política.
Columnas predeterminadas visibles en la tabla:
Columna | Descripción |
Nombre | El nombre del monitor |
Tipo | El tipo de monitor (uso de CPU, uso de disco, registro de eventos, ejecutar script, etc.) |
Umbral/Duración | El valor de umbral configurado y la duración que debe persistir una condición antes de activarse |
Gravedad | Informativo, Advertencia, Crítico o Emergencia |
Hay tres columnas adicionales disponibles pero ocultas de forma predeterminada. Haga clic en Columnas para habilitarlas:
Automatizaciones de remediación: Cualquier automatización configurada para ejecutarse cuando se activa el monitor
Resolución automática: Si la alerta se cierra automáticamente cuando la condición se despeja
Enviar notificaciones: Si este monitor envía notificaciones por correo electrónico
Agregar un Monitor
Haga clic en + Agregar nuevo monitor en la parte superior derecha de la vista de política. Esto abre un panel de configuración del monitor donde elige el tipo de monitor y establece sus parámetros.
El Tipo menú desplegable organiza los monitores en seis categorías: Recursos, Disco, Red, Seguridad, Sistema, y Personalizado. Las colecciones de monitores en esta documentación reflejan las mismas categorías, por lo que lo que ve en el menú desplegable se corresponde directamente con donde encontrará el artículo de configuración.
ℹ️ NOTA: La mayoría de los tipos de monitores funcionan en Windows, macOS y Linux. Las dos excepciones, Antivirus y Registro de eventos, están etiquetadas como solo para Windows directamente en el menú desplegable.
Recursos
Métricas de cómputo principales. Ambas utilizan un umbral más una duración de superación, de modo que los picos breves no generan alertas.
Uso de CPU — Se activa cuando la CPU supera un umbral de porcentaje durante una duración sostenida. Ver Monitor de Uso de CPU.
Uso de memoria — Se activa cuando el uso de RAM supera un umbral de porcentaje durante una duración sostenida. Ver Monitor de Uso de Memoria.
Disco
Capacidad, rendimiento y salud del hardware. Los cuatro monitores de E/S (rendimiento, IOPS, latencia, tiempo activo) más la longitud de cola miden una dimensión diferente de la actividad del disco y, juntos, explican la mayoría de los tickets de «esta máquina va lenta» donde la CPU y la memoria parecen estar bien.
Uso de disco — Se activa cuando el espacio libre en cualquier unidad (o solo la unidad del sistema) cae por debajo de un umbral. Ver Monitor de Uso de Disco.
Rendimiento de disco — Se activa cuando la tasa combinada de lectura y escritura (MB/s) se mantiene por encima de un umbral. Detecta copias de seguridad descontroladas y procesos que saturan el disco. Ver Monitor de Rendimiento de Disco.
IOPS de disco — Se activa cuando las operaciones de lectura/escritura por segundo se mantienen por encima de un umbral. Ver Monitor de IOPS de Disco.
Latencia de disco — Se activa cuando las unidades responden lentamente durante una duración sostenida. Detecta discos en degradación antes de que fallen por completo. Ver Monitor de Latencia de Disco.
Tiempo activo de disco — Se activa cuando el porcentaje de tiempo que las unidades pasan ocupadas atendiendo E/S se mantiene por encima de un umbral. Ver Monitor de Tiempo Activo de Disco.
Longitud de cola de disco — Se activa cuando el número de operaciones de disco pendientes se mantiene por encima de un umbral, lo que significa que el almacenamiento no puede seguir el ritmo de la demanda. Ver Monitor de Longitud de Cola de Disco.
Estado SMART — Se activa en el momento en que cualquier unidad reporta una autoevaluación SMART fallida. No hay umbrales que configurar. Ver Monitor de Estado SMART de Disco.
Red
Conectividad y comportamiento del ancho de banda.
Conexión — Se activa cuando un dispositivo se desconecta (o vuelve a conectarse) durante más tiempo del que una duración configurada. Ver Monitor de Conexión.
Ping de red — Se activa cuando la latencia de ping desde el dispositivo a un host que usted especifica se mantiene por encima de un umbral. El ping se origina desde el dispositivo, no desde la infraestructura de Level. Ver Monitor de Ping de Red.
Saturación de red — Se activa cuando el uso del ancho de banda se mantiene por encima de un porcentaje de la velocidad de enlace del dispositivo. Ver Monitor de Saturación de Red.
Subida anormal de red — Se activa cuando el ancho de banda de subida se mantiene por encima de un umbral. Una señal temprana de exfiltración, copias de seguridad mal configuradas o malware que se comunica con su servidor. Ver Subida Anormal de Red.
Seguridad
Comprobaciones de protección de cuentas y endpoints.
Estado de cifrado — Se activa cuando la partición principal de un dispositivo no está cifrada o el cifrado se encuentra en un estado inesperado. Cubre BitLocker, FileVault y LUKS. Sin nada que configurar. Ver Estado de Cifrado de Disco.
Antivirus (solo Windows) — Se activa cuando el Centro de seguridad de Windows reporta que el antivirus está deshabilitado, desactualizado o ausente. Funciona con cualquier producto antivirus registrado en el Centro de seguridad. Ver Monitor de Antivirus.
Inicio de sesión fallido — Se activa cuando los intentos de inicio de sesión fallidos alcanzan su umbral dentro de una ventana de tiempo. Nativo en Windows, macOS y Linux, sin necesidad de IDs de evento ni análisis de registros. Ver Monitor de Inicio de Sesión Fallido.
Usuario — Se activa cuando las cuentas locales de un dispositivo difieren de su lista de usuarios conocidos: una cuenta que no autorizó o una cuenta requerida que ha desaparecido. Ver Monitor de Usuario.
Sistema
Inventario de software, procesos, servicios, registros e higiene de reinicios.
Aplicación — Se activa cuando una aplicación está instalada donde no debería estar, o falta donde debería estar. Ver Monitor de Aplicación.
Proceso — Se activa cuando un proceso nombrado comienza o deja de ejecutarse. Ver Monitor de Proceso.
Servicio — Se activa cuando un servicio nombrado se detiene (o se inicia), con una opción para reiniciarlo automáticamente. Ver Monitor de Servicio. Para los servicios de Linux, consulte Monitoreo de Archivos de Unidad systemd en Linux.
Registro de eventos (solo Windows) — Se activa cuando un ID de evento de Windows específico aparece un número determinado de veces dentro de una ventana de tiempo definida. Ver Monitor de Registro de Eventos.
Tiempo de actividad — Se activa cuando un dispositivo ha estado funcionando de forma continua más allá de su umbral. Detecta máquinas que omiten los reinicios que los parches pendientes y los controladores con fugas necesitan. Ver Monitor de Tiempo de Actividad.
Personalizado
Cuando ninguno de los tipos integrados lo cubre, escriba un script.
Ejecutar script — Ejecuta un script de PowerShell, Bash o Python en el dispositivo y evalúa la salida según una condición que usted define. Comprobaciones de licencias de software, salud de aplicaciones personalizadas, valores de registro, cualquier cosa que pueda escribir como script. Ver Monitor de Ejecución de Script para la configuración y los formatos de salida admitidos, y Ejemplos de Monitor de Script para patrones listos para adaptar.
ℹ️ NOTA: Una política puede contener múltiples monitores del mismo tipo. Si necesita umbrales separados para niveles de disco de Advertencia y Crítico, agregue dos monitores de uso de disco a la misma política con diferentes umbrales y gravedades.
Cómo Funcionan las Alertas
Cuando se supera el umbral de un monitor, Level abre una alerta y captura un payload que refleja el estado del dispositivo en el momento del disparo. Lo que contiene ese payload depende del tipo de monitor:
Los monitores de CPU muestran los principales procesos por uso de CPU en el momento en que se activó la alerta
Los monitores de memoria muestran los principales procesos por consumo de memoria
Los monitores de script muestran la salida sin procesar que devolvió el script
Los monitores de registro de eventos muestran los detalles del evento coincidente: ID de evento, origen y mensaje
El payload permanece activo y sincronizado mientras la alerta esté abierta. Una vez que la alerta se resuelve, Level lo congela, preservando el último estado defectuoso en el momento de la resolución. Esa instantánea congelada es lo que ve cuando expande una alerta resuelta.
Para ver y gestionar alertas de todos los dispositivos, vaya a la Alertas vista global. Para ver las alertas limitadas a un solo dispositivo, abra el dispositivo y haga clic en la pestaña Alertas pestaña. Ver Alertas y Detalles del dispositivo → Alertas para más detalles.
💡 CONSEJO: Si un monitor sigue reactivándose en un dispositivo específico pero no en otros, abra la pestaña Alertas de ese dispositivo y expanda el payload. Level captura los valores exactos en el momento del disparo, que generalmente es la forma más rápida de detectar qué es diferente en ese dispositivo.
Actividad de la Política
Cada política tiene una Actividad pestaña que registra los cambios en los monitores dentro de ella. Vaya a Monitores → [política] → Actividad.
Una entrada de cambio muestra un resumen como «guardados 3 cambios en Detect RAT». Expándala para ver el detalle a nivel de campo:
Un monitor nuevo muestra su configuración inicial, como «Gravedad establecida en crítico» o «application_names establecido en [...].»
Una edición muestra lo que cambió, como «instalado cambió a Activado» o «application_names actualizado: Agregado ....»
Para la función completa y la página global de Actividad, consulte Actividad.
Acciones a nivel de política
Haga clic en Acciones en la parte superior derecha de una política para acceder a:
Renombrar — Renombrar la política
Eliminar — Eliminar permanentemente la política
⚠️ ADVERTENCIA: Eliminar una política elimina todos sus monitores y detiene el monitoreo en todos los dispositivos de destino de inmediato. Las alertas que estaban abiertas en el momento de la eliminación permanecen visibles en la vista de Alertas, pero ya no se actualizarán ni se resolverán automáticamente.
Biblioteca de Recursos
La Biblioteca de Recursos tiene cientos de políticas de monitor y scripts listos para usar, creados por el equipo de Level y la comunidad. Cualquiera de ellos puede importarse directamente a su cuenta con un solo clic, sin necesidad de configuración para empezar.
💡 CONSEJOde Level: Antes de crear un monitor desde cero, consulte la Biblioteca de Recursos. Hay muchas posibilidades de que ya exista una política para lo que necesita: salud de controladores de dominio, estado del antivirus, verificación de copias de seguridad, comprobaciones de tiempo de actividad y más.
Mejores Prácticas
Algunos patrones que funcionan bien en la práctica:
Mantenga las políticas centradas en roles. Separe el monitoreo de recursos (CPU, memoria, disco) del monitoreo de aplicaciones (servicios, procesos). Una política de controlador de dominio solo debe supervisar funciones de controlador de dominio, no métricas genéricas de estaciones de trabajo.
Haga coincidir los nombres de las políticas con los nombres de las etiquetas. Si su etiqueta es «Exchange», nombre la política «Exchange Monitoring». La combinación es obvia y facilita las auditorías.
Elija un monitor de E/S de disco y ajústelo antes de agregar más. Los cinco monitores de rendimiento de disco se superponen en lo que detectan. Comience con Latencia de disco o Tiempo activo de disco, observe el volumen real de alertas durante una o dos semanas, y agregue otros solo si está perdiendo problemas.
Deshabilite la resolución automática de forma selectiva. Deje la resolución automática desactivada solo cuando desee que un técnico investigue la causa raíz. Si está desactivada en todas partes, las alertas sin resolver se acumulan y generan ruido.
No sobrecargue una sola política. Level admite múltiples políticas por dispositivo mediante la superposición de etiquetas. Un dispositivo puede recibir comprobaciones de una política «Estaciones de trabajo - Recursos» y una política «Huntress» simultáneamente. Aproveche esto.
Use la deshabilitación por dispositivo para excepciones permanentes, no para cambios de política. Si un dispositivo genera ruido para un monitor que es válido en todos los demás, deshabilite ese monitor específico en ese dispositivo desde Detalles del dispositivo → Monitores. No debilite la política para todos los demás. Para la supresión temporal durante trabajos planificados, use Modo de Mantenimiento en su lugar.
Preguntas Frecuentes
¿Quién puede crear y editar políticas de monitor? La gestión de políticas de monitor requiere los permisos adecuados para su organización. Los técnicos con acceso restringido pueden ver las políticas pero no crearlas ni modificarlas. Ver Espacio de trabajo → Permisos para más detalles.
¿Todos los tipos de monitores funcionan en Windows, macOS y Linux? La mayoría sí. Las dos excepciones son Antivirus y Registro de eventos, que son solo para Windows y están etiquetadas como tal en el menú desplegable Tipo. Algunos monitores multiplataforma tienen comportamiento específico de plataforma (Estado de cifrado comprueba BitLocker, FileVault o LUKS según el sistema operativo), por lo que revise el artículo del monitor individual si está apuntando a un entorno mixto.
Hay cinco monitores de rendimiento de disco. ¿Cuál necesito realmente? Miden diferentes dimensiones del mismo problema. La latencia es con qué lentitud responde la unidad, IOPS es cuántas operaciones está manejando, el rendimiento es cuántos datos se están moviendo, el tiempo activo es qué tan ocupada está la unidad y la longitud de cola es cuánto se está quedando atrás. Para una cobertura general de «¿está luchando este disco?», empiece con latencia o tiempo activo. El estado SMART es diferente: es un predictor de fallos de hardware y pertenece a casi todas las políticas.
¿Puede un dispositivo ser monitoreado por más de una política? Sí. Si un dispositivo tiene varias etiquetas y cada etiqueta es el objetivo de una política diferente, ese dispositivo recibe todas ellas. Cada política ejecuta sus monitores de forma independiente. Puede ver la lista completa en la pestaña Monitores pestaña, incluida la etiqueta que incorporó cada política.
¿Por qué no se activa un monitor aunque el umbral debería estar superado? Compruebe que la etiqueta del dispositivo aparece en el Destinos panel con un recuento de dispositivos distinto de cero. Compruebe también la configuración de Duración configuración; la mayoría de los monitores requieren que una condición persista durante un período definido antes de activarse. Si el dispositivo está en Modo de Mantenimiento, las alertas están suprimidas. Si el monitor ha sido deshabilitado manualmente en este dispositivo, no se activará independientemente de la configuración de la política. Compruebe Detalles del dispositivo → Monitores.
¿Puedo agregar un destinatario que no sea técnico de Level? Sí. Los destinatarios son direcciones de correo electrónico simples, no necesitan una cuenta de Level. Cualquier dirección que agregue recibirá notificaciones de las alertas de esta política.
¿Qué ocurre con las alertas abiertas si elimino una etiqueta de destino de una política? Las alertas abiertas existentes de esos dispositivos permanecen visibles en la Alertas vista. No se crearán nuevas alertas ya que los dispositivos ya no son el objetivo. Las alertas no se resolverán automáticamente a menos que la resolución automática del monitor ya estuviera habilitada.
Una alerta se resolvió y regresó. ¿Por qué muestra el tiempo de inicio original? Level reabre una alerta existente en lugar de crear una nueva si el mismo monitor se activa de nuevo dentro de las 24 horas. La marca de tiempo de inicio original se conserva. Si la alerta sigue ciclando, el tiempo de inicio refleja cuándo se abrió por primera vez, no su disparo más reciente. Después de 24 horas sin reactivarse, Level crea una alerta nueva con un nuevo tiempo de inicio.