Las políticas de monitoreo definen qué observa Level en sus dispositivos y quién recibe notificaciones cuando algo sale mal. Cada política agrupa uno o más monitores, un conjunto de etiquetas objetivo y una lista de destinatarios de alertas — para que pueda aplicar un conjunto coherente de verificaciones a cualquier grupo de dispositivos simplemente etiquetándolos.
Este artículo cubre cómo funcionan las políticas, cómo crearlas y configurarlas, y qué tipos de monitores están disponibles. Para detalles de configuración de tipos de monitores específicos, consulte los artículos vinculados en cada sección a continuación.
🎬 VÍDEO
Políticas de monitoreo
Una política de monitoreo tiene tres partes:
Objetivos: Una o más etiquetas. Cada dispositivo con una etiqueta coincidente es observado por esta política.
Monitores: Las verificaciones individuales — uso de CPU, espacio en disco, estado del servicio, resultado del script, etc.
Destinatarios: Direcciones de correo electrónico que reciben notificaciones cuando los monitores en esta política disparan alertas.
Cuando se excede el umbral de un monitor, Level abre una alerta y (si está configurado) envía correo electrónico a los destinatarios. Si la Autorresolución está habilitada en ese monitor, la alerta se cierra automáticamente una vez que la condición se borra. Si está deshabilitada, un técnico debe resolverla manualmente desde la vista Alertas.
Las etiquetas son el mecanismo que vincula las políticas a los dispositivos. Aplique una etiqueta a un dispositivo, y Level verifica inmediatamente si alguna política de monitoreo se dirige a esa etiqueta — luego aplica esas políticas automáticamente. Elimine la etiqueta y esas políticas dejan de monitorear ese dispositivo. La pestaña Monitores en la página de detalles de un dispositivo muestra cada monitor actualmente activo, en todas las políticas y etiquetas, en una única lista plana. Consulte Detalles del dispositivo → Monitores para más información.
💡 CONSEJO: Diseñe políticas alrededor de roles, no solo tipos de dispositivos. Una política llamada « Controladores de dominio » que monitorea servicios específicos de AD se empareja naturalmente con una etiqueta del mismo nombre — haciendo obvio qué dispositivos cubre y facilitando la asignación.
Vista de políticas
Navegue a Monitores en la barra lateral. La página Políticas de monitoreo enumera cada política en su organización.
Cada fila muestra:
Nombre: El nombre de la política, con un recuento de monitores y un enlace a los dispositivos que actualmente se dirige
Creado / Creado por: Cuándo se creó la política y qué técnico la creó
Última edición / Última edición por: Cuándo y por quién se modificó la política por última vez
Para personalizar qué columnas aparecen, haga clic en Columnas en la esquina superior derecha. En el listado de políticas, puede alternar: Nombre, Creado, Creado por, Última edición y Última edición por.
Para eliminar una o más políticas, marque la casilla junto a cada fila y haga clic en Eliminar.
Crear una política de monitoreo
Haga clic en + Crear política de monitoreo en la esquina superior derecha.
Ingrese un nombre en el campo Nombre de la política de monitoreo. El texto del marcador de posición sugiere « p. ej. política de portátiles » — elija algo que refleje el rol o grupo de dispositivos que cubre esta política.
Haga clic en Crear.
La nueva política se abre inmediatamente. Llegará a la vista de detalles de la política, lista para agregar objetivos y monitores.
Configurar objetivos
El panel Objetivos en el lado izquierdo de una política controla qué dispositivos monitorea. Los objetivos se basan en etiquetas — agregue una etiqueta aquí y cada dispositivo que lleve esa etiqueta será monitoreado por esta política.
Para agregar una etiqueta objetivo:
Haga clic en + en el encabezado del panel Objetivos.
Busque una etiqueta existente o haga clic en Crear nueva etiqueta para crear una sobre la marcha.
Seleccione la etiqueta. Aparece en el panel con un recuento en vivo de los dispositivos que actualmente llevan esa etiqueta.
Para eliminar una etiqueta objetivo:
Haga clic en el menú de tres puntos junto a una etiqueta en el panel Objetivos y seleccione Eliminar objetivo.
ℹ️ NOTA: Los objetivos se actualizan dinámicamente. Si agrega una etiqueta a un dispositivo después de que la política ya está configurada, ese dispositivo comienza a monitorearse inmediatamente — sin cambios de política requeridos.
Configurar destinatarios
El panel Destinatarios se encuentra debajo de Objetivos en el lado izquierdo. Los destinatarios reciben notificaciones por correo electrónico cuando los monitores en esta política disparan o resuelven alertas.
Para agregar destinatarios:
Haga clic en + en el encabezado del panel Destinatarios.
Ingrese una o más direcciones de correo electrónico en el campo Correo electrónico. Presione Tab o agregue una coma para ingresar múltiples direcciones a la vez.
Haga clic en Agregar destinatarios.
Para eliminar un destinatario:
Haga clic en el menú de tres puntos junto al correo electrónico de un destinatario y seleccione Eliminar destinatario.
ℹ️ NOTA: Los destinatarios aquí reciben notificaciones para todos los monitores en esta política. Si un monitor específico realmente envía notificaciones al dispararse y al resolverse se controla en cada monitor individual — pero la lista de destinatarios se comparte en toda la política.
Configuración del monitor
El lado derecho de la política muestra todos los monitores adjuntos a ella. Aquí es donde ve lo que la política está realmente verificando.
Columnas predeterminadas visibles en la tabla:
Columna | Descripción |
Nombre | El nombre del monitor |
Tipo | El tipo de monitor (uso de CPU, uso de disco, registro de eventos, ejecutar script, etc.) |
Umbral/Duración | El valor de umbral configurado y la duración que debe persistir una condición antes de dispararse |
Severidad | Información, Advertencia, Crítica o Urgencia |
Tres columnas adicionales están disponibles pero ocultas por defecto. Haga clic en Columnas para habilitarlas:
Automatizaciones de remediación: Cualquier automatización configurada para ejecutarse cuando se dispara el monitor
Autorresolución: Si la alerta se cierra automáticamente cuando se borra la condición
Enviar notificaciones: Si este monitor envía notificaciones por correo electrónico
Agregar un monitor
Haga clic en + Agregar nuevo monitor en la esquina superior derecha de la vista política. Esto abre un panel de configuración del monitor donde elige el tipo de monitor y establece sus parámetros.
Los tipos de monitores disponibles se dividen en dos categorías:
Monitores integrados
Estos observan métricas del sistema estándar sin requerir ningún script:
Uso de CPU — Se dispara cuando la CPU excede un umbral porcentual durante una duración sostenida. Consulte Monitor de uso de CPU.
Conexión — Se dispara cuando un dispositivo se desconecta más tiempo que un número configurado de minutos. Consulte Monitor de conexión.
Uso de disco — Se dispara cuando el espacio en disco disponible en cualquier unidad (o solo la unidad del sistema) cae por debajo de un umbral. Consulte Monitor de uso de disco.
Registro de eventos — Se dispara cuando un ID de evento de Windows específico aparece un número definido de veces dentro de una ventana de tiempo definida. Consulte Monitor de registro de eventos.
Uso de memoria — Se dispara cuando el uso de RAM excede un umbral porcentual durante una duración sostenida. Consulte Monitor de uso de memoria.
Proceso — Se dispara cuando inicia o deja de ejecutarse un proceso específico. Consulte Monitor de proceso.
Servicio — Se dispara cuando se detiene o inicia un servicio de Windows específico. Consulte Monitor de servicio.
Monitores de scripts
Los monitores de scripts ejecutan un script PowerShell, Bash o Python en el dispositivo y evalúan la salida contra una condición configurada. Úselos para cualquier cosa que los tipos integrados no cubran — comprobaciones de licencias de software, salud de aplicaciones personalizadas, valores del registro, etc.
Ejecutar script — Consulte Monitor de ejecución de scripts para detalles de configuración completos y formatos de salida compatibles.
Para ejemplos: Ejemplos de monitores de scripts.
ℹ️ NOTA: Una política puede contener múltiples monitores del mismo tipo. Si necesita umbrales separados para niveles de advertencia y crítica de disco, agregue dos monitores de uso de disco a la misma política con diferentes umbrales y severidades.
Cómo funcionan las alertas
Cuando se excede un umbral de monitor, Level abre una alerta y captura una carga útil que refleja el estado del dispositivo en el momento del disparo. Lo que hay en esa carga útil depende del tipo de monitor:
Monitores de CPU muestran los procesos principales por uso de CPU en el momento que se disparó la alerta
Monitores de memoria muestran los procesos principales por consumo de memoria
Monitores de scripts muestran la salida sin procesar que devolvió el script
Monitores de registro de eventos muestran los detalles de eventos coincidentes: ID de evento, origen y mensaje
La carga útil se mantiene en vivo y sincronizada mientras la alerta está abierta. Una vez que se resuelve la alerta, Level la congela — preservando el último estado malo en el momento de la resolución. Esa instantánea congelada es lo que ve cuando expande una alerta resuelta.
Para ver y priorizar alertas en todos los dispositivos, vaya a la vista global Alertas. Para ver alertas limitadas a un único dispositivo, abra el dispositivo y haga clic en la pestaña Alertas. Consulte Alertas y Detalles del dispositivo → Alertas para detalles.
💡 CONSEJO: Si un monitor se dispara continuamente en un dispositivo específico pero no en otros, abra la pestaña Alertas de ese dispositivo y expanda la carga útil. Level captura los valores exactos en el momento del disparo, que generalmente es la forma más rápida de identificar qué es diferente en ese dispositivo.
Acciones a nivel de política
Haga clic en Acciones en la esquina superior derecha de una política para acceder a:
Renombrar — Renombrar la política
Eliminar — Eliminar permanentemente la política
⚠️ ADVERTENCIA: Eliminar una política elimina todos sus monitores y detiene el monitoreo en todos los dispositivos objetivo inmediatamente. Las alertas que estaban abiertas en el momento de la eliminación permanecen en la vista Alertas pero ya no se actualizarán ni se autoresolverán.
Biblioteca de recursos
La Biblioteca de recursos de Level contiene cientos de políticas de monitoreo listas para usar y scripts creados por el equipo de Level y la comunidad. Cualquiera de ellas puede importarse directamente a su cuenta con un clic — sin configuración requerida para comenzar.
💡 CONSEJO: Antes de construir un monitor desde cero, verifique la Biblioteca de recursos. Existe una buena probabilidad de que ya exista una política para lo que necesita — salud de controladores de dominio, estado de antivirus, verificación de copias de seguridad, comprobaciones de tiempo de actividad y más.
Mejores prácticas
Algunos patrones que funcionan bien en la práctica:
Mantenga las políticas centradas en el rol. Divida la monitorización de recursos (CPU, memoria, disco) de la monitorización de aplicaciones (servicios, procesos). Una política de controlador de dominio solo debe monitorear funciones de controlador de dominio — no métricas genéricas de estación de trabajo.
Haga coincidir los nombres de las políticas con los nombres de las etiquetas. Si su etiqueta es « Exchange », nombre la política « Monitoreo de Exchange ». El emparejamiento es obvio y facilita la auditoría.
Deshabilite la autorresolución selectivamente. Dejar la autorresolución deshabilitada solo cuando desee que un técnico investigue la causa raíz. Si está deshabilitada en todas partes, las alertas no resueltas se acumulan y crean ruido.
No sobrecargue una única política. Level admite múltiples políticas por dispositivo a través de superposición de etiquetas. Un dispositivo puede recibir verificaciones de una política « Estaciones de trabajo - Recursos » y una política « Huntress » simultáneamente — use eso.
Use la deshabilitación por dispositivo para excepciones permanentes, no cambios de política. Si un dispositivo genera ruido para un monitor válido en todas partes, deshabilite ese monitor específico en ese dispositivo desde Detalles del dispositivo → Monitores. No debilite la política para todos los demás. Para supresión temporal durante el trabajo planificado, use Modo de mantenimiento en su lugar.
Preguntas frecuentes
¿Quién puede crear y editar políticas de monitoreo? La gestión de políticas de monitoreo requiere permisos apropiados para su organización. Los técnicos con acceso restringido pueden ver políticas pero no crearlas ni modificarlas. Consulte Espacio de trabajo → Permisos para detalles.
¿Un dispositivo puede ser monitoreado por más de una política? Sí. Si un dispositivo lleva múltiples etiquetas y cada etiqueta se dirige a una política diferente, ese dispositivo recibe todas. Cada política ejecuta sus monitores de forma independiente. Puede ver la lista completa en la pestaña Monitores del dispositivo, incluyendo qué etiqueta llevó cada política.
¿Por qué no se dispara un monitor aunque el umbral debería ser excedido? Verifique que la etiqueta del dispositivo aparezca en el panel Objetivos de la política con un recuento de dispositivos distinto de cero. También verifique la configuración Duración del monitor — la mayoría de monitores requieren que una condición persista durante un período definido antes de dispararse. Si el dispositivo está en Modo de mantenimiento, las alertas se suprimen. Si el monitor se ha deshabilitado manualmente en este dispositivo, no se disparará independientemente de la configuración de la política — verifique Detalles del dispositivo → Monitores.
¿Puedo agregar un destinatario que no sea un técnico de Level? Sí. Los destinatarios son direcciones de correo electrónico simples — no necesitan una cuenta de Level. Cualquier dirección que agregue recibirá notificaciones para las alertas de esta política.
¿Qué sucede con las alertas abiertas si elimino una etiqueta objetivo de una política? Las alertas abiertas existentes de esos dispositivos permanecen visibles en la vista Alertas. No se crearán nuevas alertas ya que los dispositivos ya no se dirigen. Las alertas no se autoresolverán a menos que la autorresolución del monitor ya esté habilitada.
Una alerta se resolvió y volvió — ¿por qué muestra la hora de inicio original? Level reabre una alerta existente en lugar de crear una nueva si el mismo monitor se dispara nuevamente dentro de 24 horas. La marca de tiempo de inicio original se preserva. Si la alerta sigue ciclando, la hora de inicio refleja cuándo se abrió por primera vez, no su disparo más reciente. Después de 24 horas sin redispararse, Level crea una alerta nueva con una nueva hora de inicio.