Introduction

Recevez des alertes lorsqu'une application est installée là où elle ne devrait pas l'être, ou absente là où elle devrait être présente. Le moniteur d'applications surveille l'inventaire des logiciels sur chaque appareil couvert et déclenche une alerte lorsque l'état d'installation d'une application correspond à la condition que vous avez définie.

Deux missions, un seul moniteur. Détectez les logiciels non autorisés dès leur installation, ou repérez les logiciels obligatoires qui ont disparu.

Moniteur d'applications

Le moniteur d'applications vérifie les applications installées sur chaque appareil couvert par la politique. Il lit le même inventaire affiché sur l'onglet Applications puis les compare aux noms d'applications et aux états d'installation que vous avez configurés. Lorsque la condition correspond, Level crée une alerte.

Vous choisissez entre deux conditions :

Est installée — alerte lorsque l'application nommée est présente. Utilisez ceci pour signaler les logiciels non autorisés ou indésirables (clients torrent, outils d'accès à distance non approuvés, une application qui enfreint la politique).
N'est pas installée — alerte lorsque l'application nommée est absente. Utilisez ceci pour vous assurer que les logiciels obligatoires restent en place (votre agent antivirus, un client VPN, une application métier obligatoire).

ℹ️ REMARQUE : Ce moniteur lit le même inventaire d'applications affiché sur Appareils → Détails de l'appareil → Applications. Cet inventaire couvre tout ce qui est installé par les canaux habituels (programmes d'installation, gestionnaires de paquets, registre).

Fonctionnement de la détection

Calendrier de détection

L'évaluation s'exécute sur l'agent, et non sur le serveur, selon une cadence fixe que vous ne pouvez pas modifier :

L'agent reconstruit son inventaire des applications installées environ toutes les 10 minutes.
Le moniteur revérifie vos noms configurés par rapport à cet inventaire en cache environ toutes les 1 minute.
Lorsque le résultat change, l'agent transmet immédiatement la modification à Level (sans attendre la prochaine synchronisation périodique).

Le rafraîchissement de l'inventaire toutes les 10 minutes est le vrai goulot d'étranglement, pas la vérification à la minute. Ainsi, une installation ou une désinstallation apparaît en environ 10 minutes au maximum (souvent moins), au pire ~10–11 minutes une fois le cycle d'évaluation ajouté.

ℹ️ REMARQUE : Contrairement aux moniteurs Exécuter un script, le moniteur d'applications ne dispose pas de paramètre de fréquence d'exécution ni de durée de violation. La cadence ci-dessus est fixée dans l'agent.

Les appareils hors ligne ne sont pas évalués. Ils se mettent à jour lors du prochain rafraîchissement de l'inventaire après leur reconnexion.

Résolution et ré-alerte

C'est la partie qui prête à confusion. Résoudre manuellement une alerte n'est pas une suppression durable tant que la condition persiste.

Tant qu'une application reste dans l'état déclencheur (installée, pour un moniteur «Est installée» ; absente, pour «N'est pas installée»), l'agent continue de réaffirmer cet état lors d'une synchronisation de réconciliation toutes les 5 minutes. Donc si vous résolvez l'alerte manuellement et que rien n'a changé sur l'appareil, le prochain rapport de l'agent rouvre la même alerte, généralement dans environ 5 minutes.

Ce qui se passe lors d'un nouveau rapport dépend du timing :

Résolue il y a moins de 24 heures : Level rouvre l'alerte d'origine (aucune nouvelle alerte n'est créée).
Résolue il y a plus de 24 heures : Level crée une toute nouvelle alerte.

💡 CONSEIL : La seule façon propre de fermer l'une de ces alertes est que la condition sous-jacente soit réellement levée. Installez l'application manquante (pour un moniteur «N'est pas installée») ou supprimez celle qui est indésirable (pour «Est installée»), et avec Résolution automatique activée, l'alerte se ferme d'elle-même lors du prochain rapport. Résoudre manuellement alors que l'application est inchangée ne vous donne que ~5 minutes de répit.

Configuration du moniteur d'applications

Ouvrez la politique de moniteur à laquelle vous souhaitez l'ajouter, puis cliquez sur + Ajouter un nouveau moniteur (ou ouvrez un moniteur d'applications existant pour le modifier). Le panneau Modifier le moniteur s'ouvre.

Nom et type

Saisissez un nom dans le champ Nom . Le nom apparaît dans l'alerte, alors rendez-le lisible en un coup d'œil. «Chrome non installé» ou «Non autorisé : BitTorrent» est bien mieux que «Moniteur d'applications 3.»
Définissez Type sur Application.

Gravité

Définissez la Gravité en fonction de la manière dont votre équipe doit traiter l'alerte. Quatre niveaux :

Information — priorité faible, à titre informatif
Avertissement — mérite attention mais sans urgence
Critique — nécessite une réponse rapide
Urgence — priorité absolue

💡 CONSEIL : Un agent antivirus manquant est généralement Critique ou Urgence. Une application non autorisée mais à faible risque pourrait être Information ou Avertissement, afin qu'elle soit journalisée sans alerter quelqu'un à 2h du matin.

Nom(s) de l'application

Saisissez le nom de l'application dans le champ Nom(s) de l'application . Saisissez un nom, puis appuyez sur Tabulation ou ajoutez une virgule pour le valider comme étiquette. Ajoutez autant de noms que nécessaire, chacun devient sa propre étiquette, et cliquez sur × sur une étiquette pour la supprimer.

La correspondance est une recherche de sous-chaîne correspondent au nom d'affichage de l'application tel que l'appareil le rapporte. Votre nom configuré est l'aiguille ; le nom installé est la botte de foin. «Chrome», «chrome» et «Google Chrome» correspondent tous à un «Google Chrome» installé. Si vous n'êtes pas sûr du nom, ouvrez un appareil cible, allez dans Appareils → Détails de l'appareil → Applications, et vérifiez la colonne Nom .

⚠️ AVERTISSEMENT : La correspondance par sous-chaîne fonctionne dans les deux sens. Un nom court correspond à trop d'éléments : «Chrome» correspond aussi à «Chrome Remote Desktop» et «Chromium». Et la direction a son importance : un nom configuré ne correspond que s'il est contenu dans le nom installé, donc «Google Chrome Stable» ne correspondra pas à une application qui se rapporte simplement comme «Chrome». Nommez les applications aussi précisément que possible sans dépasser la chaîne installée.

Vous pouvez également cliquer sur le bouton {x} pour insérer une variable à la place d'un nom littéral, de sorte que l'application surveillée peut varier selon l'appareil (par exemple, extraite d'un champ personnalisé). Lorsqu'une variable est résolue en une valeur, Level la divise selon les virgules et les sauts de ligne, supprime les espaces autour de chaque partie et ignore les parties vides. Ainsi, un seul champ personnalisé contenant Google Chrome, Firefox, 7-Zip se développe en trois noms d'applications, chacun étant mis en correspondance indépendamment.

🖥️ REMARQUE SUR LA PLATEFORME :

Windows : Lit les clés de registre Uninstall, la même source qu'Ajout/Suppression de programmes (vues HKLM 64 bits et 32 bits, ainsi que les ruches par utilisateur, y compris les profils hors ligne). Les installations par utilisateur qui enregistrent une entrée de désinstallation (Chrome, Slack, Zoom, Teams en portée utilisateur) sont détectées. Les applications portables qui déposent un .exe sans entrée de registre de désinstallation ne le sont pas.
macOS: Lit system_profiler ainsi que .app les bundles sous /Applications et le dossier ~/Applications. Tout ce qui n'est pas un bundle .app ne s'affichera pas.
Linux: Lit le gestionnaire de paquets système (apt/dpkg, yum/rpm ou pacman) ainsi que Snap et Flatpak. Les binaires installés manuellement et les AppImages ne sont pas suivis. Les noms de paquets diffèrent souvent de l'étiquette Windows ou macOS (par ex., google-chrome-stable), vérifiez donc l'onglet Applications de l'appareil pour obtenir la chaîne exacte.

État d'installation

Définissez État d'installation selon la condition qui doit déclencher l'alerte :

Est installée — l'alerte se déclenche lorsque l'application nommée est trouvée
N'est pas installée — l'alerte se déclenche lorsque l'application nommée est absente

💡 CONSEIL : Associez ce moniteur à une remédiation. Définissez N'est pas installée sur une application obligatoire et associez une action d'installation pour que Level la réinstalle automatiquement. Définissez Est installée sur une application indésirable et associez une action de désinstallation pour la supprimer. Voir la section Remédiation ci-dessous.

Remédiation

Associez éventuellement une automatisation à exécuter lorsque l'alerte se déclenche. C'est ainsi que vous pouvez installer automatiquement des logiciels manquants, supprimer automatiquement des logiciels non autorisés, ouvrir un ticket ou notifier un canal dès que la condition est détectée.

ℹ️ REMARQUE : Les remédiations s'exécutent lors de la création de l'alerte, pas lors de sa résolution.

Cliquez sur le champ Sélectionner une automatisation (facultatif) et sélectionnez une automatisation dans la liste.
Cliquez sur l'icône de lien pour ouvrir cette automatisation dans un nouvel onglet et la consulter ou la modifier.
Cliquez sur l'icône œil pour prévisualiser les actions de l'automatisation en ligne sans quitter le panneau.
Cliquez sur × pour effacer l'automatisation sélectionnée.

Destinataires des notifications

Deux cases à cocher contrôlent si les destinataires de la politique reçoivent un e-mail :

À la création de l'alerte — les destinataires reçoivent un e-mail lorsque l'alerte se déclenche
À la résolution de l'alerte — les destinataires reçoivent un e-mail lorsque l'alerte est résolue

Les destinataires sont définis au niveau de la politique de moniteur, et non sur le moniteur individuel. Ajoutez des adresses e-mail dans la section Destinataires de la politique.

ℹ️ REMARQUE : Si la politique n'a aucun destinataire, aucun e-mail de notification n'est envoyé, quelle que soit la configuration de ces cases à cocher.

Résolution automatique

Le bouton Résoudre automatiquement l'alerte lorsque les conditions sont levées (activé par défaut) ferme l'alerte automatiquement dès que la condition n'est plus remplie. Pour un moniteur N'est pas installée , cela signifie que l'alerte se ferme lorsque l'application est installée. Pour un moniteur Est installée se ferme lorsque l'application est supprimée.

Laissez-le activé, sauf si vous souhaitez que les alertes restent ouvertes pour un examen manuel même après que la condition sous-jacente a été levée.

FAQ

Contre quoi le moniteur effectue-t-il réellement ses vérifications ? L'inventaire des applications rapporté par l'appareil, la même liste que vous voyez sur Appareils → Détails de l'appareil → Applications. Si une application ne figure pas dans cette liste, le moniteur ne peut pas la détecter.
J'ai ajouté Chrome et Firefox à un seul moniteur. Comment les noms multiples sont-ils gérés ? Chaque nom est mis en correspondance indépendamment avec l'inventaire. Vous pouvez également alimenter un seul champ personnalisé contenant des noms séparés par des virgules ou des sauts de ligne (comme Chrome, Firefox, 7-Zip) via le sélecteur {x} et se développe automatiquement en noms séparés.
Dois-je saisir le nom exact de l'application ? Non. Il s'agit d'une correspondance par sous-chaîne insensible à la casse, donc «chrome» correspond à «Google Chrome». Mais votre nom doit être contenu dans le nom installé : «Google Chrome Stable» ne correspondra pas à une application qui se rapporte simplement comme «Chrome». Et les noms courts correspondent à trop d'éléments («Chrome» correspond aussi à «Chrome Remote Desktop»). En cas de doute, vérifiez l'onglet Applications de l'appareil et utilisez le nom le plus précis qui soit tout de même une sous-chaîne de ce qui est installé.
Y a-t-il une durée de violation comme sur les moniteurs CPU ou de connexion ? Non. Ce type de moniteur ne dispose pas de paramètre de durée de violation ni de fréquence. L'agent reconstruit son inventaire des applications environ toutes les 10 minutes et revérifie vos noms toutes les minutes environ, ces deux cadences étant fixes. Une nouvelle installation ou désinstallation apparaît en ~10 minutes au maximum.
J'ai résolu une alerte et elle est réapparue immédiatement. Pourquoi ? Parce que l'application est toujours dans l'état surveillé par le moniteur. L'agent réaffirme cet état toutes les ~5 minutes, donc résoudre manuellement rouvre la même alerte (si vous l'avez résolue dans les dernières 24 heures) ou en crée une nouvelle (si c'était il y a plus longtemps). Le seul correctif durable est la levée de la condition : installez l'application manquante, ou supprimez celle qui est indésirable. Avec Résolution automatique activée, cela ferme l'alerte lors du prochain rapport.
Puis-je demander à Level de réinstaller automatiquement les logiciels manquants ? Oui. Définissez le moniteur sur N'est pas installée et associez une action d'installation comme remédiation. Le même principe fonctionne en sens inverse : Est installée ainsi qu'une action de désinstallation pour supprimer les logiciels indésirables.
Fonctionne-t-il sur macOS et Linux ? Oui, les trois plateformes, sans sélecteur de système d'exploitation. Les sources diffèrent : Windows lit les clés de registre Uninstall (Ajout/Suppression de programmes), macOS lit system_profiler et .app les bundles, Linux lit les gestionnaires de paquets ainsi que Snap et Flatpak. Les applications portables Windows, les binaires Linux installés manuellement et les AppImages ne sont pas suivis car ils ne s'enregistrent pas auprès de ces sources.
Qui peut créer et modifier des moniteurs d'applications ? Les techniciens ayant accès à la politique de moniteur concernée. L'accès à la politique est contrôlé par vos paramètres d'autorisations. Voir Espace de travail → Autorisations.
Que se passe-t-il pour les alertes ouvertes si je supprime le moniteur ? Les alertes existantes restent en place. La suppression d'un moniteur ne ferme ni ne supprime les alertes qu'il a déjà créées ; résolvez-les manuellement.