Passer au contenu principal

Premiers pas avec les moniteurs

Create and manage monitoring rules that watch your devices and trigger alerts when thresholds are exceeded.

Introduction

Les politiques de surveillance définissent ce que Level surveille sur vos appareils et qui est notifié en cas de problème. Chaque politique regroupe un ou plusieurs moniteurs, un ensemble de tags cibles et une liste de destinataires d'alertes — vous pouvez ainsi appliquer un ensemble cohérent de vérifications à n'importe quel groupe d'appareils en les taguant simplement.

Cet article explique le fonctionnement des politiques, comment les créer et les configurer, ainsi que les types de moniteurs disponibles. Pour les détails de configuration de types de moniteurs spécifiques, consultez les articles liés dans chaque section ci-dessous.

🎬 VIDÉO

Politiques de surveillance

Une politique de surveillance comporte trois parties :

  • Cibles: Un ou plusieurs tags. Chaque appareil portant un tag correspondant est observé par cette politique.

  • Moniteurs: Les vérifications individuelles — utilisation du CPU, espace disque, état d'un service, résultat d'un script, etc.

  • Destinataires: Adresses e-mail qui reçoivent des notifications lorsque les moniteurs de cette politique déclenchent des alertes.

Lorsque le seuil d'un moniteur est dépassé, Level ouvre une alerte et (si configuré) envoie un e-mail aux destinataires. Si Résolution automatique est activée sur ce moniteur, l'alerte se ferme automatiquement une fois la condition résolue. Si elle est désactivée, un technicien doit la résoudre manuellement depuis la Alertes vue.

Les tags sont le mécanisme qui relie les politiques aux appareils. Appliquez un tag à un appareil et Level vérifie immédiatement si des politiques de surveillance ciblent ce tag — puis applique automatiquement ces politiques. Retirez le tag et ces politiques cessent de surveiller cet appareil. L'onglet Moniteurs sur la page de détail d'un appareil affiche tous les moniteurs actuellement actifs sur celui-ci, toutes politiques et tags confondus, dans une liste unique. Voir Détails de l'appareil → Moniteurs pour en savoir plus.

💡 CONSEIL : Concevez les politiques autour des rôles, pas uniquement des types d'appareils. Une politique appelée «Contrôleurs de domaine» qui surveille les services spécifiques à AD s'associe naturellement à un tag du même nom — il est ainsi évident quels appareils elle couvre et facile de les assigner.

Vue des politiques

Accédez à Moniteurs dans la barre latérale. La page Politiques de surveillance répertorie toutes les politiques de votre organisation.

Monitoring Policies

Chaque ligne affiche :

  • Nom: Le nom de la politique, avec un nombre de moniteurs et un lien vers les appareils qu'elle cible actuellement

  • Créé / Créé par: La date de création de la politique et le technicien qui l'a créée

  • Dernière modification / Dernière modification par: La date et l'auteur de la dernière modification de la politique

Pour personnaliser les colonnes affichées, cliquez sur Colonnes en haut à droite. Dans la liste des politiques, vous pouvez activer/désactiver : Nom, Créé, Créé par, Dernière modification et Dernière modification par.

Pour supprimer une ou plusieurs politiques, cochez la case à côté de chaque ligne et cliquez sur Supprimer.

Créer une politique de surveillance

  1. Cliquez sur + Créer une politique de surveillance en haut à droite.

  2. Saisissez un nom dans le Nom de la politique de surveillance champ. Le texte indicatif suggère «ex. : Politique laptop» — choisissez quelque chose qui reflète le rôle ou le groupe d'appareils couvert par cette politique.

  3. Cliquez sur Créer.

La nouvelle politique s'ouvre immédiatement. Vous accédez à la vue de détail de la politique, prête à accueillir des cibles et des moniteurs.

Configurer les cibles

Le panneau Cibles sur le côté gauche d'une politique contrôle quels appareils elle surveille. Les cibles sont basées sur des tags — ajoutez un tag ici et chaque appareil portant ce tag est surveillé par cette politique.

Monitoring Policy Targets

Pour ajouter un tag cible :

  1. Cliquez sur + dans le Cibles en-tête du panneau.

  2. Recherchez un tag existant ou cliquez sur Créer un nouveau tag pour en créer un sur le champ.

  3. Sélectionnez le tag. Il apparaît dans le panneau avec un décompte en temps réel des appareils qui le portent actuellement.

Tag Selection

Pour supprimer un tag cible :

Cliquez sur le menu à trois points à côté d'un tag dans le Cibles panneau et sélectionnez Supprimer la cible.

ℹ️ REMARQUE : Les cibles se mettent à jour dynamiquement. Si vous ajoutez un tag à un appareil après que la politique est déjà configurée, cet appareil commence à être surveillé immédiatement — aucune modification de la politique n'est nécessaire.

Configurer les destinataires

Le panneau Destinataires se trouve sous Cibles sur le côté gauche. Les destinataires reçoivent des notifications par e-mail lorsque les moniteurs de cette politique déclenchent ou résolvent des alertes.

Configuring recipients

Pour ajouter des destinataires :

  1. Cliquez sur + dans le Destinataires en-tête du panneau.

  2. Saisissez une ou plusieurs adresses e-mail dans le E-mail champ. Appuyez sur Tab ou ajoutez une virgule pour saisir plusieurs adresses à la fois.

  3. Cliquez sur Ajouter des destinataires.

Add recipients

Pour supprimer un destinataire :

Cliquez sur le menu à trois points à côté de l'adresse e-mail d'un destinataire et sélectionnez Supprimer le destinataire.

ℹ️ REMARQUE : Les destinataires ici reçoivent des notifications pour tous les moniteurs de cette politique. La question de savoir si un moniteur spécifique envoie effectivement des notifications lors du déclenchement et de la résolution d'une alerte est contrôlée sur chaque moniteur individuellement — mais la liste des destinataires est partagée au sein de toute la politique.

Configuration des moniteurs

Le côté droit de la politique affiche tous les moniteurs qui lui sont associés. C'est ici que vous voyez ce que la politique vérifie réellement.

Monitor Configuration

Colonnes visibles par défaut dans le tableau :

Colonne

Description

Nom

Le nom du moniteur

Type

Le type de moniteur (utilisation CPU, utilisation disque, journal d'événements, exécuter un script, etc.)

Seuil/Durée

La valeur de seuil configurée et la durée pendant laquelle une condition doit persister avant de se déclencher

Sévérité

Information, Avertissement, Critique ou Urgence

Trois colonnes supplémentaires sont disponibles mais masquées par défaut. Cliquez sur Colonnes pour les activer :

  • Automatisations de remédiation: Toute automatisation configurée pour s'exécuter lorsque le moniteur se déclenche

  • Résolution automatique: Si l'alerte se ferme automatiquement lorsque la condition est résolue

  • Envoyer des notifications: Si ce moniteur envoie des notifications par e-mail

Ajouter un moniteur

Cliquez sur + Ajouter un nouveau moniteur en haut à droite de la vue de la politique. Cela ouvre un panneau de configuration du moniteur dans lequel vous choisissez le type de moniteur et définissez ses paramètres.

Les types de moniteurs disponibles se répartissent en deux catégories :

Moniteurs intégrés

Ceux-ci surveillent les métriques système standard sans nécessiter de script :

  • Utilisation CPU — Se déclenche lorsque le CPU dépasse un seuil en pourcentage pendant une durée soutenue. Voir Moniteur d'utilisation CPU.

  • Connexion — Se déclenche lorsqu'un appareil est hors ligne pendant plus d'un nombre de minutes configuré. Voir Moniteur de connexion.

  • Utilisation du disque — Se déclenche lorsque l'espace disque disponible sur un lecteur quelconque (ou uniquement le lecteur système) tombe en dessous d'un seuil. Voir Moniteur d'utilisation du disque.

  • Journal d'événements — Se déclenche lorsqu'un identifiant d'événement Windows spécifique apparaît un nombre défini de fois dans une fenêtre temporelle définie. Voir Moniteur de journal d'événements.

  • Utilisation de la mémoire — Se déclenche lorsque l'utilisation de la RAM dépasse un seuil en pourcentage pendant une durée soutenue. Voir Moniteur d'utilisation de la mémoire.

  • Processus — Se déclenche lorsqu'un processus spécifique démarre ou s'arrête. Voir Moniteur de processus.

  • Service — Se déclenche lorsqu'un service Windows spécifique s'arrête ou démarre. Voir Moniteur de service.

Moniteurs de script

Les moniteurs de script exécutent un script PowerShell, Bash ou Python sur l'appareil et évaluent la sortie par rapport à une condition configurée. Utilisez-les pour tout ce que les types intégrés ne couvrent pas — vérifications de licences logicielles, santé d'applications personnalisées, valeurs de registre, etc.

ℹ️ REMARQUE : Une politique peut contenir plusieurs moniteurs du même type. Si vous avez besoin de seuils distincts pour les niveaux de disque Avertissement et Critique, ajoutez deux moniteurs d'utilisation du disque à la même politique avec des seuils et des sévérités différents.

Fonctionnement des alertes

Lorsque le seuil d'un moniteur est franchi, Level ouvre une alerte et capture une charge utile reflétant l'état de l'appareil au moment du déclenchement. Le contenu de cette charge utile dépend du type de moniteur :

  • Les moniteurs CPU affichent les processus les plus gourmands en CPU au moment du déclenchement de l'alerte

  • Les moniteurs de mémoire affichent les processus les plus gourmands en mémoire

  • Les moniteurs de script affichent la sortie brute renvoyée par le script

  • Les moniteurs de journal d'événements affichent les détails de l'événement correspondant : identifiant d'événement, source et message

La charge utile reste active et synchronisée aussi longtemps que l'alerte est ouverte. Une fois l'alerte résolue, Level la fige — préservant le dernier état défaillant au moment de la résolution. Ce instantané figé est ce que vous voyez lorsque vous développez une alerte résolue.

Pour afficher et trier les alertes sur tous les appareils, accédez à la Alertes vue globale. Pour voir les alertes limitées à un seul appareil, ouvrez l'appareil et cliquez sur l'onglet Alertes onglet. Voir Alertes et Détails de l'appareil → Alertes pour plus de détails.

💡 CONSEIL : Si un moniteur se redéclenche continuellement sur un appareil spécifique mais pas sur les autres, ouvrez Alertes onglet et développez la charge utile. Level capture les valeurs exactes au moment du déclenchement, ce qui est généralement le moyen le plus rapide de repérer ce qui est différent sur cet appareil.

Actions au niveau de la politique

Cliquez sur Actions en haut à droite d'une politique pour accéder à :

  • Renommer — Renommer la politique

  • Supprimer — Supprimer définitivement la politique

⚠️ AVERTISSEMENT : La suppression d'une politique supprime tous ses moniteurs et arrête immédiatement la surveillance de tous les appareils ciblés. Les alertes qui étaient ouvertes au moment de la suppression restent visibles dans la vue Alertes, mais ne seront plus mises à jour ni résolues automatiquement.

Bibliothèque de ressources

La Bibliothèque de ressources contient des centaines de politiques de surveillance et de scripts prêts à l'emploi, créés par l'équipe Level et la communauté. Chacun d'eux peut être importé directement dans votre compte en un clic — aucune configuration requise pour commencer.

💡 CONSEILde Level : Avant de créer un moniteur de zéro, consultez la Bibliothèque de ressources. Il y a de bonnes chances qu'une politique existe déjà pour ce dont vous avez besoin — santé des contrôleurs de domaine, statut antivirus, vérification des sauvegardes, vérifications de disponibilité, et plus encore.

Bonnes pratiques

Quelques modèles qui font leurs preuves en pratique :

Gardez les politiques axées sur les rôles. Séparez la surveillance des ressources (CPU, mémoire, disque) de la surveillance des applications (services, processus). Une politique de contrôleur de domaine ne devrait surveiller que les fonctions propres au contrôleur de domaine — pas les métriques génériques de poste de travail.

Faites correspondre les noms de politique aux noms de tag. Si votre tag est «Exchange», nommez la politique «Surveillance Exchange». L'association est évidente et facilite l'audit.

Désactivez la résolution automatique de manière sélective. Désactivez la résolution automatique uniquement lorsque vous souhaitez qu'un technicien investigate la cause profonde. Si elle est désactivée partout, les alertes non résolues s'accumulent et créent du bruit.

Ne surchargez pas une seule politique. Level prend en charge plusieurs politiques par appareil via le chevauchement de tags. Un appareil peut recevoir des vérifications d'une politique «Postes de travail - Ressources» et d'une politique «Huntress» simultanément — tirez-en parti.

Utilisez la désactivation par appareil pour les exceptions permanentes, pas les modifications de politique. Si un appareil génère du bruit pour un moniteur valide partout ailleurs, désactivez ce moniteur spécifique sur cet appareil depuis Détails de l'appareil → Moniteurs. Ne fragilisez pas la politique pour tous les autres. Pour une suppression temporaire lors d'une maintenance planifiée, utilisez Mode de maintenance à la place.

FAQ

  • Qui peut créer et modifier des politiques de surveillance ? La gestion des politiques de surveillance nécessite des autorisations appropriées pour votre organisation. Les techniciens disposant d'un accès restreint peuvent être en mesure de consulter les politiques, mais pas de les créer ou de les modifier. Voir Espace de travail → Autorisations pour plus de détails.

  • Un appareil peut-il être surveillé par plus d'une politique ? Oui. Si un appareil porte plusieurs tags et que chaque tag est ciblé par une politique différente, cet appareil reçoit toutes ces politiques. Chaque politique exécute ses moniteurs indépendamment. Vous pouvez voir la liste complète dans l'onglet Moniteurs onglet, y compris quel tag a intégré chaque politique.

  • Pourquoi un moniteur ne se déclenche-t-il pas alors que le seuil devrait être dépassé ? Vérifiez que le tag de l'appareil apparaît dans le panneau Cibles panneau avec un nombre d'appareils non nul. Vérifiez également le paramètre Durée — la plupart des moniteurs exigent qu'une condition persiste pendant une période définie avant de se déclencher. Si l'appareil est en Mode de maintenance, les alertes sont supprimées. Si le moniteur a été manuellement désactivé sur cet appareil, il ne se déclenchera pas quels que soient les paramètres de la politique — vérifiez Détails de l'appareil → Moniteurs.

  • Puis-je ajouter un destinataire qui n'est pas un technicien Level ? Oui. Les destinataires sont de simples adresses e-mail — ils n'ont pas besoin d'un compte Level. Toute adresse que vous ajoutez recevra des notifications pour les alertes de cette politique.

  • Que se passe-t-il avec les alertes ouvertes si je supprime un tag cible d'une politique ? Les alertes ouvertes existantes de ces appareils restent visibles dans la Alertes vue. De nouvelles alertes ne seront pas créées puisque les appareils ne sont plus ciblés. Les alertes ne se résoudront pas automatiquement, sauf si la résolution automatique du moniteur était déjà activée.

  • Une alerte a été résolue et est revenue — pourquoi affiche-t-elle l'heure de début d'origine ? Level rouvre une alerte existante plutôt que d'en créer une nouvelle si le même moniteur se déclenche à nouveau dans les 24 heures. L'horodatage de début d'origine est conservé. Si l'alerte continue de se répéter, l'heure de début reflète le moment de son premier déclenchement, pas son déclenchement le plus récent. Après 24 heures sans nouveau déclenchement, Level crée une nouvelle alerte avec une nouvelle heure de début.

Articles connexes
Moniteur de script d'exécution
Moniteur d'utilisation du CPU
Surveillance de l'utilisation du disque
Moniteur d'utilisation de la mémoire
Moniteurs d'appareils
Avez-vous trouvé la réponse à votre question ?