Introducción
Las políticas de monitorización definen qué observa Level en sus dispositivos y quién recibe notificaciones cuando algo falla. Cada política agrupa uno o más monitores, un conjunto de etiquetas de destino y una lista de destinatarios de alertas, de modo que puede aplicar un conjunto coherente de comprobaciones a cualquier grupo de dispositivos simplemente etiquetándolos.
Este artículo explica cómo funcionan las políticas, cómo crearlas y configurarlas, y qué tipos de monitores están disponibles. Para obtener detalles de configuración sobre tipos de monitores específicos, consulte los artículos enlazados en cada sección a continuación.
🎬 VÍDEO
Políticas de monitorización
Una política de monitorización tiene tres partes:
Destinos: Una o más etiquetas. Cada dispositivo que lleva una etiqueta coincidente es observado por esta política.
Monitores: Las comprobaciones individuales. Uso de CPU, espacio en disco, estado de un servicio, resultado de un script, etc.
Destinatarios: Direcciones de correo electrónico que reciben notificaciones cuando los monitores de esta política generan alertas.
Cuando se supera el umbral de un monitor, Level abre una alerta y (si está configurado) envía un correo electrónico a los destinatarios. Si Resolución automática está habilitada en ese monitor, la alerta se cierra automáticamente una vez que la condición desaparece. Si está desactivada, un técnico debe resolverla manualmente desde la Alertas vista.
Las etiquetas son el mecanismo que vincula las políticas con los dispositivos. Aplique una etiqueta a un dispositivo y Level comprueba inmediatamente si alguna política de monitorización apunta a esa etiqueta, y luego aplica esas políticas automáticamente. Elimine la etiqueta y esas políticas dejarán de monitorizar ese dispositivo. La pestaña Monitores en la página de detalles de un dispositivo muestra todos los monitores actualmente activos en él, a través de todas las políticas y etiquetas, en una única lista plana. Consulte Detalles del dispositivo → Monitores para más información.
💡 CONSEJO: Diseñe políticas en función de roles, no solo del tipo de dispositivo. Una política llamada «Controladores de dominio» que monitoriza servicios específicos de AD se combina naturalmente con una etiqueta del mismo nombre, lo que deja claro qué dispositivos cubre y facilita su asignación.
Vista de políticas
Navegue a Monitores en la barra lateral. La Políticas de monitorización enumera todas las políticas de su organización.
Cada fila muestra:
Nombre: El nombre de la política, con un recuento de monitores y un enlace a los dispositivos a los que apunta actualmente
Creado / Creado por: Cuándo se creó la política y qué técnico la creó
Última edición / Última edición por: Cuándo y por quién fue modificada la política por última vez
Para personalizar qué columnas se muestran, haga clic en Columnas en la parte superior derecha. En el listado de políticas, puede activar o desactivar: Nombre, Creado, Creado por, Última edición y Última edición por.
Para eliminar una o más políticas, marque la casilla junto a cada fila y haga clic en Eliminar.
Crear una política de monitorización
Haga clic en + Crear política de monitorización en la parte superior derecha.
Introduzca un nombre en el Nombre de la política de monitorización campo. El texto de marcador de posición sugiere «p. ej., política de portátiles» — elija algo que refleje el rol o grupo de dispositivos que cubre esta política.
Haga clic en Crear.
La nueva política se abre inmediatamente. Accederá a la vista de detalles de la política, lista para agregar destinos y monitores.
Configuración de destinos
El panel Destinos en el lado izquierdo de una política controla qué dispositivos monitoriza. Los destinos están basados en etiquetas. Agregue una etiqueta aquí y cada dispositivo que lleve esa etiqueta será monitorizado por esta política.
Para agregar una etiqueta de destino:
Haga clic en + en el Destinos del encabezado del panel.
Busque una etiqueta existente o haga clic en Crear nueva etiqueta para crear una nueva.
Seleccione la etiqueta. Aparece en el panel con un recuento en tiempo real de los dispositivos que la llevan actualmente.
Para eliminar una etiqueta de destino:
Haga clic en el menú de tres puntos junto a una etiqueta en el panel Destinos panel y seleccione Eliminar destino.
ℹ️ NOTA: Los destinos se actualizan dinámicamente. Si agrega una etiqueta a un dispositivo después de que la política ya esté configurada, ese dispositivo comienza a ser monitorizado inmediatamente. No se requieren cambios en la política.
Configuración de destinatarios
El panel Destinatarios se encuentra debajo de Destinos en el lado izquierdo. Los destinatarios reciben notificaciones por correo electrónico cuando los monitores de esta política generan o resuelven alertas.
Para agregar destinatarios:
Haga clic en + en el Destinatarios del encabezado del panel.
Introduzca una o más direcciones de correo electrónico en el Correo electrónico campo. Pulse Tab o agregue una coma para introducir varias direcciones a la vez.
Haga clic en Agregar destinatarios.
Para eliminar un destinatario:
Haga clic en el menú de tres puntos junto al correo electrónico de un destinatario y seleccione Eliminar destinatario.
ℹ️ NOTA: Los destinatarios aquí reciben notificaciones de todos los monitores de esta política. Si un monitor específico envía o no notificaciones al generar y al resolver alertas se controla en cada monitor individual, pero la lista de destinatarios es compartida por toda la política.
Configuración del monitor
El lado derecho de la política muestra todos los monitores asociados a ella. Aquí puede ver qué está comprobando realmente la política.
Columnas visibles por defecto en la tabla:
Columna | Descripción |
Nombre | El nombre del monitor |
Tipo | El tipo de monitor (uso de CPU, uso de disco, registro de eventos, ejecutar script, etc.) |
Umbral/Duración | El valor de umbral configurado y la duración que debe persistir una condición antes de activarse |
Gravedad | Informativo, Advertencia, Crítico o Emergencia |
Hay tres columnas adicionales disponibles pero ocultas por defecto. Haga clic en Columnas para habilitarlas:
Automatizaciones de remediación: Cualquier automatización configurada para ejecutarse cuando se activa el monitor
Resolución automática: Si la alerta se cierra automáticamente cuando la condición desaparece
Enviar notificaciones: Si este monitor envía notificaciones por correo electrónico
Agregar un monitor
Haga clic en + Agregar nuevo monitor en la parte superior derecha de la vista de la política. Esto abre un panel de configuración del monitor donde puede elegir el tipo de monitor y establecer sus parámetros.
El Tipo El menú desplegable organiza los monitores en seis categorías: Recursos, Disco, Red, Seguridad, Sistema, y Personalizado. Las colecciones de monitores en esta documentación reflejan las mismas categorías, por lo que lo que ve en el menú desplegable corresponde directamente al lugar donde encontrará el artículo de configuración.
ℹ️ NOTA: La mayoría de los tipos de monitores funcionan en Windows, macOS y Linux. Las dos excepciones, Antivirus y Registro de eventos, están etiquetadas como solo para Windows directamente en el menú desplegable.
Recursos
Métricas de cómputo principales. Ambas utilizan un umbral más una duración de superación, para que los picos breves no generen alertas.
Uso de CPU — Se activa cuando la CPU supera un umbral de porcentaje durante una duración sostenida. Consulte Monitor de uso de CPU.
Uso de memoria — Se activa cuando el uso de RAM supera un umbral de porcentaje durante una duración sostenida. Consulte Monitor de uso de memoria.
Disco
Capacidad, rendimiento y estado del hardware. Los cuatro monitores de E/S (rendimiento, IOPS, latencia, tiempo activo) más la longitud de cola miden una dimensión diferente de la actividad del disco y, juntos, explican la mayoría de los tickets de «esta máquina se siente lenta» donde la CPU y la memoria parecen estar bien.
Uso de disco — Se activa cuando el espacio libre en cualquier unidad (o solo en la unidad del sistema) cae por debajo de un umbral. Consulte Monitor de uso de disco.
Rendimiento del disco — Se activa cuando la tasa combinada de lectura y escritura (MB/s) se mantiene por encima de un umbral. Detecta copias de seguridad descontroladas y procesos que sobrecargan el disco. Consulte Monitor de rendimiento del disco.
IOPS del disco — Se activa cuando las operaciones de lectura/escritura por segundo se mantienen por encima de un umbral. Consulte Monitor de IOPS del disco.
Latencia del disco — Se activa cuando las unidades responden lentamente durante una duración sostenida. Detecta discos que se degradan antes de que fallen por completo. Consulte Monitor de latencia del disco.
Tiempo activo del disco — Se activa cuando el porcentaje de tiempo que las unidades pasan atendiendo E/S se mantiene por encima de un umbral. Consulte Monitor de tiempo activo del disco.
Longitud de cola del disco — Se activa cuando el número de operaciones de disco pendientes se mantiene por encima de un umbral, lo que significa que el almacenamiento no puede satisfacer la demanda. Consulte Monitor de longitud de cola del disco.
Estado SMART — Se activa en el momento en que cualquier unidad reporta una autoevaluación SMART fallida. No hay umbrales que configurar. Consulte Monitor de estado SMART del disco.
Red
Conectividad y comportamiento del ancho de banda.
Conexión — Se activa cuando un dispositivo se desconecta (o vuelve a conectarse) durante más tiempo que una duración configurada. Consulte Monitor de conexión.
Ping de red — Se activa cuando la latencia de ping desde el dispositivo a un host que usted especifica se mantiene por encima de un umbral. El ping se origina desde el dispositivo, no desde la infraestructura de Level. Consulte Monitor de ping de red.
Saturación de red — Se activa cuando el uso del ancho de banda se mantiene por encima de un porcentaje de la velocidad de enlace del dispositivo. Consulte Monitor de saturación de red.
Carga de red anormal — Se activa cuando el ancho de banda de carga se mantiene por encima de un umbral. Una señal temprana de exfiltración, copias de seguridad mal configuradas o malware que se comunica con servidores externos. Consulte Monitor de carga de red anormal.
Seguridad
Comprobaciones de cuentas y protección de endpoints.
Estado de cifrado — Se activa cuando la partición principal de un dispositivo no está cifrada o el cifrado está en un estado inesperado. Cubre BitLocker, FileVault y LUKS. No hay nada que configurar. Consulte Estado de cifrado del disco.
Antivirus (solo Windows) — Se activa cuando el Centro de seguridad de Windows informa de que el antivirus está deshabilitado, desactualizado o ausente. Funciona con cualquier producto antivirus registrado en el Centro de seguridad. Consulte Monitor de antivirus.
Inicio de sesión fallido — Se activa cuando los intentos de inicio de sesión fallidos alcanzan su umbral dentro de una ventana de tiempo. Nativo en Windows, macOS y Linux, sin necesidad de IDs de eventos ni análisis de registros. Consulte Monitor de inicio de sesión fallido.
Usuario — Se activa cuando las cuentas locales de un dispositivo difieren de su lista de usuarios conocidos: una cuenta que no autorizó, o una cuenta requerida que ha desaparecido. Consulte Monitor de usuarios.
Sistema
Inventario de software, procesos, servicios, registros e higiene de reinicios.
Aplicación — Se activa cuando una aplicación está instalada donde no debería estarlo, o falta donde debería estar. Consulte Monitor de aplicaciones.
Proceso — Se activa cuando un proceso con nombre se inicia o se detiene. Consulte Monitor de procesos.
Servicio — Se activa cuando un servicio con nombre se detiene (o se inicia), con una opción para reiniciarlo automáticamente. Consulte Monitor de servicios. Para servicios de Linux, consulte Monitorización de archivos de unidad systemd en Linux.
Registro de eventos (solo Windows) — Se activa cuando un ID de evento de Windows específico aparece un número determinado de veces dentro de una ventana de tiempo definida. Consulte Monitor de registro de eventos.
Tiempo de actividad — Se activa cuando un dispositivo ha estado funcionando de manera continua más allá de su umbral. Detecta máquinas que omiten los reinicios que necesitan los parches pendientes y los controladores con pérdidas de memoria. Consulte Monitor de tiempo de actividad.
Personalizado
Cuando ninguno de los tipos integrados lo cubre, escriba un script.
Ejecutar script — Ejecuta un script de PowerShell, Bash o Python en el dispositivo y evalúa la salida según una condición que usted define. Comprobaciones de licencias de software, salud de aplicaciones personalizadas, valores de registro, cualquier cosa que pueda escribir en un script. Consulte Monitor de ejecución de scripts para la configuración y los formatos de salida compatibles, y Ejemplos de monitores de scripts para patrones listos para adaptar.
ℹ️ NOTA: Una política puede contener varios monitores del mismo tipo. Si necesita umbrales separados para niveles de disco de Advertencia y Crítico, agregue dos monitores de uso de disco a la misma política con diferentes umbrales y gravedades.
Cómo funcionan las alertas
Cuando se supera el umbral de un monitor, Level abre una alerta y captura un payload que refleja el estado del dispositivo en el momento de la activación. Lo que hay en ese payload depende del tipo de monitor:
Los monitores de CPU muestran los principales procesos por uso de CPU en el momento en que se activó la alerta
Los monitores de memoria muestran los principales procesos por consumo de memoria
Los monitores de scripts muestran la salida sin procesar que devolvió el script
Los monitores de registro de eventos muestran los detalles del evento coincidente: ID de evento, origen y mensaje
El payload permanece activo y sincronizado mientras la alerta está abierta. Una vez que la alerta se resuelve, Level lo congela, preservando el último estado incorrecto en el momento de la resolución. Esa instantánea congelada es lo que ve cuando expande una alerta resuelta.
Para ver y gestionar alertas de todos los dispositivos, vaya a la Alertas vista global. Para ver las alertas limitadas a un único dispositivo, abra el dispositivo y haga clic en la pestaña Alertas pestaña. Consulte Alertas y Detalles del dispositivo → Alertas para más detalles.
💡 CONSEJO: Si un monitor sigue activándose en un dispositivo específico pero no en otros, abra la pestaña Alertas de ese dispositivo y expanda el payload. Level captura los valores exactos en el momento de la activación, que normalmente es la forma más rápida de detectar qué es diferente en ese dispositivo.
Acciones a nivel de política
Haga clic en Acciones en la parte superior derecha de una política para acceder a:
Renombrar — Renombrar la política
Eliminar — Eliminar permanentemente la política
⚠️ ADVERTENCIA: Eliminar una política suprime todos sus monitores y detiene la monitorización en todos los dispositivos objetivo inmediatamente. Las alertas que estaban abiertas en el momento de la eliminación permanecen visibles en la vista de Alertas, pero ya no se actualizarán ni se resolverán automáticamente.
Biblioteca de recursos
La Biblioteca de recursos dispone de cientos de políticas de monitorización y scripts listos para usar, creados por el equipo de Level y la comunidad. Cualquiera de ellos puede importarse directamente a su cuenta con un solo clic, sin necesidad de configuración para empezar.
💡 CONSEJO: Antes de crear un monitor desde cero, consulte la Biblioteca de recursos. Es muy probable que ya exista una política para lo que necesita: estado del controlador de dominio, estado del antivirus, verificación de copias de seguridad, comprobaciones de tiempo de actividad y más.
Mejores prácticas
Algunos patrones que funcionan bien en la práctica:
Mantenga las políticas orientadas a roles. Separe la monitorización de recursos (CPU, memoria, disco) de la monitorización de aplicaciones (servicios, procesos). Una política de controladores de dominio solo debe monitorizar funciones de controladores de dominio, no métricas genéricas de estaciones de trabajo.
Haga coincidir los nombres de las políticas con los nombres de las etiquetas. Si su etiqueta es «Exchange», nombre la política «Monitorización de Exchange». La correspondencia es obvia y facilita las auditorías.
Elija un monitor de E/S de disco y ajústelo antes de agregar más. Los cinco monitores de rendimiento de disco se solapan en lo que detectan. Empiece con la latencia del disco o el tiempo activo del disco, observe el volumen de alertas real durante una o dos semanas, y agregue otros solo si está perdiendo problemas.
Deshabilite la resolución automática de forma selectiva. Deje la resolución automática desactivada solo cuando quiera que un técnico investigue la causa raíz. Si está desactivada en todas partes, las alertas sin resolver se acumulan y generan ruido.
No sobrecargue una única política. Level admite múltiples políticas por dispositivo mediante la superposición de etiquetas. Un dispositivo puede recibir comprobaciones de una política «Estaciones de trabajo - Recursos» y de una política «Huntress» simultáneamente. Aproveche eso.
Use la deshabilitación por dispositivo para excepciones permanentes, no para cambios de política. Si un dispositivo genera ruido para un monitor que es válido en todos los demás, deshabilite ese monitor específico en ese dispositivo desde Detalles del dispositivo → Monitores. No debilite la política para todos los demás. Para la supresión temporal durante trabajos planificados, use Modo de mantenimiento en su lugar.
Preguntas frecuentes
¿Quién puede crear y editar políticas de monitorización? La gestión de políticas de monitorización requiere los permisos adecuados para su organización. Los técnicos con acceso restringido pueden ver las políticas, pero no crearlas ni modificarlas. Consulte Área de trabajo → Permisos para más detalles.
¿Todos los tipos de monitores funcionan en Windows, macOS y Linux? La mayoría sí. Las dos excepciones son Antivirus y Registro de eventos, que son solo para Windows y están etiquetados como tal en el menú desplegable de Tipo. Algunos monitores multiplataforma tienen un comportamiento específico de la plataforma (el estado de cifrado comprueba BitLocker, FileVault o LUKS según el sistema operativo), por lo que consulte el artículo del monitor individual si apunta a un entorno mixto.
Hay cinco monitores de rendimiento de disco. ¿Cuál necesito realmente? Miden diferentes dimensiones del mismo problema. La latencia es la lentitud con que responde la unidad, los IOPS son el número de operaciones que gestiona, el rendimiento es la cantidad de datos que se mueven, el tiempo activo es cuán ocupada está la unidad, y la longitud de cola es cuánto se está quedando atrás. Para una cobertura general de «¿está sufriendo este disco?», empiece con la latencia o el tiempo activo. El estado SMART es diferente: es un predictor de fallo de hardware y pertenece a casi todas las políticas.
¿Puede un dispositivo ser monitorizado por más de una política? Sí. Si un dispositivo lleva varias etiquetas y cada etiqueta está apuntada por una política diferente, ese dispositivo recibe todas ellas. Cada política ejecuta sus monitores de forma independiente. Puede ver la lista completa en la pestaña Monitores pestaña, incluyendo qué etiqueta incorporó cada política.
¿Por qué no se activa un monitor aunque el umbral debería estar superado? Verifique que la etiqueta del dispositivo aparezca en el panel Destinos panel con un recuento de dispositivos distinto de cero. Compruebe también el Duración configuración; la mayoría de los monitores requieren que una condición persista durante un período definido antes de activarse. Si el dispositivo está en Modo de mantenimiento, las alertas están suprimidas. Si el monitor ha sido deshabilitado manualmente en este dispositivo, no se activará independientemente de la configuración de la política. Consulte Detalles del dispositivo → Monitores.
¿Puedo agregar un destinatario que no sea técnico de Level? Sí. Los destinatarios son simples direcciones de correo electrónico; no necesitan una cuenta de Level. Cualquier dirección que agregue recibirá notificaciones de las alertas de esta política.
¿Qué ocurre con las alertas abiertas si elimino una etiqueta de destino de una política? Las alertas abiertas existentes de esos dispositivos permanecen visibles en la Alertas vista. No se crearán nuevas alertas ya que los dispositivos ya no son objetivo. Las alertas no se resolverán automáticamente a menos que la resolución automática del monitor ya estuviera habilitada.
Una alerta se resolvió y volvió a aparecer. ¿Por qué muestra la hora de inicio original? Level reabre una alerta existente en lugar de crear una nueva si el mismo monitor se activa de nuevo en un plazo de 24 horas. La marca de tiempo de inicio original se conserva. Si la alerta sigue oscilando, la hora de inicio refleja cuándo se abrió por primera vez, no su activación más reciente. Después de 24 horas sin volver a activarse, Level crea una nueva alerta con una nueva hora de inicio.