Introduction
Les politiques de moniteur définissent ce que Level surveille sur vos appareils et qui est notifié en cas de problème. Chaque politique regroupe un ou plusieurs moniteurs, un ensemble de balises cibles et une liste de destinataires d'alertes, ce qui vous permet d'appliquer un ensemble cohérent de vérifications à n'importe quel groupe d'appareils en les balisant simplement.
Cet article explique le fonctionnement des politiques, comment les créer et les configurer, et quels types de moniteurs sont disponibles. Pour les détails de configuration de types de moniteurs spécifiques, consultez les articles liés dans chaque section ci-dessous.
🎬 VIDÉO
Politiques de surveillance
Une politique de moniteur comporte trois parties :
Cibles: Une ou plusieurs balises. Chaque appareil portant une balise correspondante est observé par cette politique.
Moniteurs: Les vérifications individuelles. Utilisation du processeur, espace disque, état d'un service, résultat d'un script, etc.
Destinataires: Les adresses e-mail qui reçoivent des notifications lorsque les moniteurs de cette politique déclenchent des alertes.
Lorsque le seuil d'un moniteur est dépassé, Level ouvre une alerte et (si configuré) envoie un e-mail aux destinataires. Si Résolution automatique est activée sur ce moniteur, l'alerte se ferme automatiquement une fois la condition levée. Si elle est désactivée, un technicien doit la résoudre manuellement depuis la Alertes vue.
Les balises sont le mécanisme qui lie les politiques aux appareils. Appliquez une balise à un appareil et Level vérifie immédiatement si des politiques de moniteur ciblent cette balise, puis applique automatiquement ces politiques. Supprimez la balise et ces politiques cessent de surveiller cet appareil. L'onglet Moniteurs sur la page de détail d'un appareil affiche tous les moniteurs actuellement actifs sur celui-ci, toutes politiques et balises confondues, dans une liste plate unique. Voir Détails de l'appareil → Moniteurs pour en savoir plus.
💡 CONSEIL : Concevez des politiques autour des rôles, pas seulement des types d'appareils. Une politique appelée «Contrôleurs de domaine» qui surveille les services spécifiques à AD s'associe naturellement à une balise du même nom, rendant évident quels appareils elle couvre et facile à attribuer.
Vue des politiques
Accédez à Moniteurs dans la barre latérale. La Politiques de moniteur répertorie toutes les politiques de votre organisation.
Chaque ligne affiche :
Nom : Le nom de la politique, avec le nombre de moniteurs et un lien vers les appareils qu'elle cible actuellement
Créé / Créé par: La date de création de la politique et le technicien qui l'a créée
Dernière modification / Dernière modification par: La date et l'auteur de la dernière modification de la politique
Pour personnaliser les colonnes affichées, cliquez sur Colonnes en haut à droite. Dans la liste des politiques, vous pouvez activer ou désactiver : Nom, Créé, Créé par, Dernière modification et Dernière modification par.
Pour supprimer une ou plusieurs politiques, cochez la case à côté de chaque ligne et cliquez sur Supprimer.
Création d'une politique de moniteur
Cliquez sur + Créer une politique de moniteur en haut à droite.
Saisissez un nom dans le Nom de la politique de moniteur champ. Le texte indicatif suggère «ex. : Politique ordinateurs portables» — choisissez quelque chose qui reflète le rôle ou le groupe d'appareils couvert par cette politique.
Cliquez sur Créer.
La nouvelle politique s'ouvre immédiatement. Vous arriverez sur la vue de détail de la politique, prête à accueillir des cibles et des moniteurs.
Configuration des cibles
Le panneau Cibles sur le côté gauche d'une politique contrôle les appareils qu'elle surveille. Les cibles sont basées sur des balises. Ajoutez une balise ici et chaque appareil portant cette balise sera surveillé par cette politique.
Pour ajouter une balise cible :
Cliquez sur + dans le panneau Cibles dans l'en-tête du panneau.
Recherchez une balise existante ou cliquez sur Créer une nouvelle balise pour en créer une à la volée.
Sélectionnez la balise. Elle apparaît dans le panneau avec un compteur en temps réel des appareils qui la portent actuellement.
Pour supprimer une balise cible :
Cliquez sur le menu à trois points à côté d'une balise dans le panneau Cibles et sélectionnez Supprimer la cible.
ℹ️ REMARQUE : Les cibles se mettent à jour dynamiquement. Si vous ajoutez une balise à un appareil après que la politique est déjà configurée, cet appareil commence à être surveillé immédiatement. Aucune modification de la politique n'est nécessaire.
Configuration des destinataires
Le panneau Destinataires se trouve sous Cibles sur le côté gauche. Les destinataires reçoivent des notifications par e-mail lorsque les moniteurs de cette politique déclenchent ou résolvent des alertes.
Pour ajouter des destinataires :
Cliquez sur + dans le panneau Destinataires dans l'en-tête du panneau.
Saisissez une ou plusieurs adresses e-mail dans le E-mail champ. Appuyez sur Tab ou ajoutez une virgule pour saisir plusieurs adresses à la fois.
Cliquez sur Ajouter des destinataires.
Pour supprimer un destinataire :
Cliquez sur le menu à trois points à côté de l'adresse e-mail d'un destinataire et sélectionnez Supprimer le destinataire.
ℹ️ REMARQUE : Les destinataires ici reçoivent des notifications pour tous les moniteurs de cette politique. Le fait qu'un moniteur spécifique envoie ou non des notifications lors du déclenchement et de la résolution est contrôlé sur chaque moniteur individuel, mais la liste des destinataires est partagée entre toute la politique.
Configuration du moniteur
Le côté droit de la politique affiche tous les moniteurs qui lui sont associés. C'est ici que vous voyez ce que la politique vérifie réellement.
Colonnes visibles par défaut dans le tableau :
Colonne | Description |
Nom | Le nom du moniteur |
Type | Le type de moniteur (utilisation du processeur, utilisation du disque, journal d'événements, exécution de script, etc.) |
Seuil/Durée | La valeur de seuil configurée et la durée pendant laquelle une condition doit persister avant de se déclencher |
Gravité | Information, Avertissement, Critique ou Urgence |
Trois colonnes supplémentaires sont disponibles mais masquées par défaut. Cliquez sur Colonnes pour les activer :
Automatisations de remédiation: Toute automatisation configurée pour s'exécuter lorsque le moniteur se déclenche
Résolution automatique: Si l'alerte se ferme automatiquement lorsque la condition est levée
Envoyer des notifications: Si ce moniteur envoie des notifications par e-mail
Ajout d'un moniteur
Cliquez sur + Ajouter un nouveau moniteur en haut à droite de la vue de la politique. Cela ouvre un panneau de configuration du moniteur dans lequel vous choisissez le type de moniteur et définissez ses paramètres.
Le Type La liste déroulante organise les moniteurs en six catégories : Ressources, Disque, Réseau, Sécurité, Système, et Personnalisé. Les collections de moniteurs dans cette documentation reflètent les mêmes catégories, de sorte que ce que vous voyez dans la liste déroulante correspond directement à l'emplacement de l'article de configuration.
ℹ️ REMARQUE : La plupart des types de moniteurs fonctionnent sur Windows, macOS et Linux. Les deux exceptions, Antivirus et Journal d'événements, sont étiquetées Windows uniquement directement dans la liste déroulante.
Ressources
Métriques de calcul de base. Les deux utilisent un seuil et une durée de dépassement, de sorte que les pics brefs ne déclenchent pas d'alertes.
Utilisation du processeur — Se déclenche lorsque le processeur dépasse un seuil en pourcentage pendant une durée soutenue. Voir Moniteur d'utilisation du processeur.
Utilisation de la mémoire — Se déclenche lorsque l'utilisation de la mémoire vive dépasse un seuil en pourcentage pendant une durée soutenue. Voir Moniteur d'utilisation de la mémoire.
Disque
Capacité, performances et état matériel. Les quatre moniteurs d'E/S (débit, IOPS, latence, temps actif) ainsi que la longueur de file d'attente mesurent chacun une dimension différente de l'activité du disque, et ensemble ils expliquent la plupart des tickets «cette machine semble lente» lorsque le processeur et la mémoire semblent corrects.
Utilisation du disque — Se déclenche lorsque l'espace libre sur un lecteur quelconque (ou uniquement le lecteur système) descend en dessous d'un seuil. Voir Moniteur d'utilisation du disque.
Débit disque — Se déclenche lorsque le taux combiné de lecture et d'écriture (Mo/s) reste au-dessus d'un seuil. Détecte les sauvegardes incontrôlées et les processus sollicitant excessivement le disque. Voir Moniteur de débit disque.
IOPS disque — Se déclenche lorsque les opérations de lecture/écriture par seconde restent au-dessus d'un seuil. Voir Moniteur IOPS disque.
Latence disque — Se déclenche lorsque les lecteurs répondent lentement pendant une durée soutenue. Détecte les disques qui se dégradent avant qu'ils ne tombent complètement en panne. Voir Moniteur de latence disque.
Temps actif du disque — Se déclenche lorsque le pourcentage de temps que les lecteurs passent à traiter des E/S reste au-dessus d'un seuil. Voir Moniteur de temps actif du disque.
Longueur de file d'attente disque — Se déclenche lorsque le nombre d'opérations disque en attente reste au-dessus d'un seuil, ce qui signifie que le stockage ne peut pas répondre à la demande. Voir Moniteur de longueur de file d'attente disque.
État SMART — Se déclenche dès qu'un lecteur signale un échec à l'auto-évaluation SMART. Aucun seuil à configurer. Voir Moniteur d'état SMART du disque.
Réseau
Connectivité et comportement de la bande passante.
Connexion — Se déclenche lorsqu'un appareil se déconnecte (ou se reconnecte) pendant plus d'une durée configurée. Voir Moniteur de connexion.
Ping réseau — Se déclenche lorsque la latence de ping depuis l'appareil vers un hôte que vous spécifiez reste au-dessus d'un seuil. Le ping provient de l'appareil, et non de l'infrastructure de Level. Voir Moniteur de ping réseau.
Saturation réseau — Se déclenche lorsque l'utilisation de la bande passante reste au-dessus d'un pourcentage de la vitesse de liaison de l'appareil. Voir Moniteur de saturation réseau.
Upload réseau anormal — Se déclenche lorsque la bande passante en upload reste au-dessus d'un seuil. Signal précoce d'exfiltration de données, de sauvegardes mal configurées ou de logiciels malveillants communiquant avec l'extérieur. Voir Upload réseau anormal.
Sécurité
Vérifications de la protection des comptes et des postes de travail.
État du chiffrement — Se déclenche lorsque la partition principale d'un appareil n'est pas chiffrée ou que le chiffrement est dans un état inattendu. Prend en charge BitLocker, FileVault et LUKS. Rien à configurer. Voir État du chiffrement du disque.
Antivirus (Windows uniquement) — Se déclenche lorsque le Centre de sécurité Windows signale que l'antivirus est désactivé, obsolète ou absent. Fonctionne avec tout produit AV enregistré auprès du Centre de sécurité. Voir Moniteur antivirus.
Échec de connexion — Se déclenche lorsque les tentatives de connexion échouées atteignent votre seuil dans une fenêtre de temps. Natif sur Windows, macOS et Linux, sans identifiants d'événements ni analyse de journaux requise. Voir Moniteur d'échec de connexion.
Utilisateur — Se déclenche lorsque les comptes locaux d'un appareil diffèrent de votre liste d'utilisateurs connus : un compte que vous n'avez pas autorisé, ou un compte requis qui a disparu. Voir Moniteur utilisateur.
Système
Inventaire logiciel, processus, services, journaux et hygiène de redémarrage.
Application — Se déclenche lorsqu'une application est installée là où elle ne devrait pas l'être, ou absente là où elle devrait être présente. Voir Moniteur d'application.
Processus — Se déclenche lorsqu'un processus nommé démarre ou s'arrête. Voir Moniteur de processus.
Service — Se déclenche lorsqu'un service nommé s'arrête (ou démarre), avec une option pour le redémarrer automatiquement. Voir Moniteur de service. Pour les services Linux, voir Surveillance des fichiers d'unité systemd sous Linux.
Journal d'événements (Windows uniquement) — Se déclenche lorsqu'un identifiant d'événement Windows spécifique apparaît un nombre défini de fois dans une fenêtre de temps définie. Voir Moniteur de journal d'événements.
Durée de fonctionnement — Se déclenche lorsqu'un appareil a fonctionné en continu au-delà de votre seuil. Repère les machines qui sautent les redémarrages nécessaires aux correctifs en attente et aux pilotes qui fuient. Voir Moniteur de durée de fonctionnement.
Personnalisé
Lorsqu'aucun type intégré ne convient, écrivez un script.
Exécuter un script — Exécute un script PowerShell, Bash ou Python sur l'appareil et évalue la sortie par rapport à une condition que vous définissez. Vérifications de licences logicielles, état d'application personnalisé, valeurs de registre, tout ce que vous pouvez scripter. Voir Moniteur d'exécution de script pour la configuration et les formats de sortie pris en charge, et Exemples de moniteur de script pour des modèles prêts à adapter.
ℹ️ REMARQUE : Une politique peut contenir plusieurs moniteurs du même type. Si vous avez besoin de seuils distincts pour les niveaux de disque Avertissement et Critique, ajoutez deux moniteurs d'utilisation du disque à la même politique avec des seuils et des gravités différents.
Fonctionnement des alertes
Lorsque le seuil d'un moniteur est dépassé, Level ouvre une alerte et capture un payload reflétant l'état de l'appareil au moment du déclenchement. Le contenu de ce payload dépend du type de moniteur :
Les moniteurs du processeur affichent les principaux processus par utilisation du processeur au moment où l'alerte s'est déclenchée
Les moniteurs de mémoire affichent les principaux processus par consommation de mémoire
Les moniteurs de script affichent la sortie brute renvoyée par le script
Les moniteurs de journal d'événements affichent les détails de l'événement correspondant : identifiant d'événement, source et message
Le payload reste actif et synchronisé tant que l'alerte est ouverte. Une fois l'alerte résolue, Level le fige, préservant le dernier état défaillant au moment de la résolution. Cet instantané figé est ce que vous voyez lorsque vous développez une alerte résolue.
Pour afficher et trier les alertes sur tous les appareils, accédez à la Alertes vue globale. Pour voir les alertes limitées à un seul appareil, ouvrez l'appareil et cliquez sur l'onglet Alertes onglet. Voir Alertes et Détails de l'appareil → Alertes pour les détails.
💡 CONSEIL : Si un moniteur se redéclenche constamment sur un appareil spécifique mais pas sur les autres, ouvrez l'onglet Alertes de cet appareil et développez le payload. Level capture les valeurs exactes au moment du déclenchement, ce qui est généralement le moyen le plus rapide de repérer ce qui est différent sur cet appareil.
Activité de la politique
Chaque politique dispose d'un onglet Activité qui enregistre les modifications apportées aux moniteurs qu'elle contient. Accédez à Moniteurs → [politique] → Activité.
Une entrée de modification affiche un résumé tel que «3 modifications enregistrées sur Detect RAT.» Développez-la pour voir les détails au niveau du champ :
Un nouveau moniteur affiche ses paramètres initiaux, tels que «Gravité définie sur critique» ou «application_names défini sur [...].»
Une modification affiche ce qui a changé, comme «installé remplacé par Activé» ou «application_names mis à jour : Ajouté ....»
Pour la fonctionnalité complète et la page d'activité globale, voir Activité.
Actions au niveau de la politique
Cliquez sur Actions en haut à droite d'une politique pour accéder à :
Renommer — Renommer la politique
Supprimer — Supprimer définitivement la politique
⚠️ AVERTISSEMENT : La suppression d'une politique supprime tous ses moniteurs et arrête immédiatement la surveillance sur tous les appareils ciblés. Les alertes ouvertes au moment de la suppression restent visibles dans la vue Alertes mais ne seront plus mises à jour ni résolues automatiquement.
Bibliothèque de ressources
La Bibliothèque de ressources dispose de centaines de politiques de moniteur et de scripts prêts à l'emploi créés par l'équipe Level et la communauté. Chacun d'eux peut être importé directement dans votre compte en un seul clic — aucune configuration requise pour commencer.
💡 CONSEILde Level : Avant de créer un moniteur de zéro, consultez la Bibliothèque de ressources. Il y a de bonnes chances qu'une politique existe déjà pour ce dont vous avez besoin — état du contrôleur de domaine, état de l'antivirus, vérification des sauvegardes, contrôles de durée de fonctionnement, et bien plus.
Bonnes pratiques
Quelques modèles qui fonctionnent bien en pratique :
Gardez les politiques orientées rôle. Séparez la surveillance des ressources (processeur, mémoire, disque) de la surveillance des applications (services, processus). Une politique pour contrôleur de domaine ne doit surveiller que les fonctions du contrôleur de domaine, pas les métriques génériques des postes de travail.
Faites correspondre les noms de politique aux noms de balise. Si votre balise est «Exchange», nommez la politique «Surveillance Exchange». L'association est évidente et facilite les audits.
Choisissez un moniteur d'E/S disque et ajustez-le avant d'en ajouter d'autres. Les cinq moniteurs de performances disque se recoupent dans ce qu'ils détectent. Commencez par la latence disque ou le temps actif du disque, observez le volume réel d'alertes pendant une à deux semaines, et n'ajoutez les autres que si vous manquez des problèmes.
Désactivez la résolution automatique de manière sélective. Laissez la résolution automatique désactivée uniquement lorsque vous souhaitez qu'un technicien examine la cause profonde. Si elle est désactivée partout, les alertes non résolues s'accumulent et génèrent du bruit.
Ne surchargez pas une seule politique. Level prend en charge plusieurs politiques par appareil via le chevauchement de balises. Un appareil peut recevoir les vérifications d'une politique «Postes de travail - Ressources» et d'une politique «Huntress» simultanément. Utilisez cette fonctionnalité.
Utilisez la désactivation par appareil pour les exceptions permanentes, pas les modifications de politique. Si un appareil génère du bruit pour un moniteur valide partout ailleurs, désactivez ce moniteur spécifique sur cet appareil depuis Détails de l'appareil → Moniteurs. Ne fragilisez pas la politique pour tous les autres. Pour une suppression temporaire lors de travaux planifiés, utilisez Mode maintenance à la place.
FAQ
Qui peut créer et modifier des politiques de moniteur ? La gestion des politiques de moniteur nécessite des autorisations appropriées pour votre organisation. Les techniciens avec un accès restreint peuvent être en mesure de voir les politiques mais pas de les créer ou de les modifier. Voir Espace de travail → Autorisations pour les détails.
Tous les types de moniteurs fonctionnent-ils sur Windows, macOS et Linux ? La plupart le font. Les deux exceptions sont Antivirus et Journal d'événements, qui sont uniquement Windows et signalés comme tels dans la liste déroulante Type. Certains moniteurs multi-plateformes ont un comportement spécifique à chaque plateforme (la vérification de l'état du chiffrement utilise BitLocker, FileVault ou LUKS selon le système d'exploitation), vérifiez donc l'article du moniteur individuel si vous ciblez un environnement mixte.
Il y a cinq moniteurs de performances disque. Lequel me faut-il vraiment ? Ils mesurent différentes dimensions du même problème. La latence correspond à la lenteur de réponse du lecteur, les IOPS correspondent au nombre d'opérations traitées, le débit correspond à la quantité de données déplacées, le temps actif correspond à l'occupation du lecteur, et la longueur de file d'attente correspond à son retard. Pour une couverture générale «ce disque est-il en difficulté», commencez par la latence ou le temps actif. L'état SMART est différent : c'est un prédicteur de défaillance matérielle, et il doit figurer dans presque toutes les politiques.
Un appareil peut-il être surveillé par plus d'une politique ? Oui. Si un appareil porte plusieurs balises et que chaque balise est ciblée par une politique différente, cet appareil les reçoit toutes. Chaque politique exécute ses moniteurs indépendamment. Vous pouvez voir la liste complète dans l'onglet Moniteurs onglet, y compris la balise qui a inclus chaque politique.
Pourquoi un moniteur ne se déclenche-t-il pas alors que le seuil devrait être dépassé ? Vérifiez que la balise de l'appareil apparaît dans le panneau Cibles avec un nombre d'appareils non nul. Vérifiez également le paramètre Durée paramètre ; la plupart des moniteurs nécessitent qu'une condition persiste pendant une période définie avant de se déclencher. Si l'appareil est en mode maintenance, les alertes sont supprimées. Si le moniteur a été désactivé manuellement sur cet appareil, il ne se déclenchera pas indépendamment des paramètres de la politique. Vérifiez Détails de l'appareil → Moniteurs.
Puis-je ajouter un destinataire qui n'est pas un technicien Level ? Oui. Les destinataires sont de simples adresses e-mail, ils n'ont pas besoin d'un compte Level. Toute adresse que vous ajoutez recevra des notifications pour les alertes de cette politique.
Que se passe-t-il pour les alertes ouvertes si je supprime une balise cible d'une politique ? Les alertes ouvertes existantes de ces appareils restent visibles dans la Alertes vue. Aucune nouvelle alerte ne sera créée puisque les appareils ne sont plus ciblés. Les alertes ne se résoudront pas automatiquement sauf si la résolution automatique du moniteur était déjà activée.
Une alerte a été résolue et est revenue. Pourquoi affiche-t-elle l'heure de début d'origine ? Level rouvre une alerte existante plutôt qu'en créer une nouvelle si le même moniteur se déclenche à nouveau dans les 24 heures. L'horodatage de début d'origine est conservé. Si l'alerte continue de revenir, l'heure de début reflète la première ouverture, pas le déclenchement le plus récent. Après 24 heures sans redéclenchement, Level crée une nouvelle alerte avec un nouvel horodatage de début.