Conceptos básicos sobre Alertas

Para generar alertas para un dispositivo administrado, debe implementarse el agente de alertas de Endpoint Manager en ese dispositivo. Se pueden implementar agentes de alertas y conjuntos de reglas de alerta predeterminados en cada dispositivo administrado cuando se instala el agente estándar en el dispositivo. Ese agente sigue las reglas definidas en los reglamentos de alertas para ese dispositivo.

Cuando ha definido un reglamento personalizado, puede implementarlo en los dispositivos para supervisar elementos específicos para ese tipo de dispositivo. Puede implementar varios reglamentos en los dispositivos, si bien debe tener en cuenta que podrían surgir conflictos entre reglas similares de reglamentos distintos.

Eventos que pueden generar alertas

Este producto incluye una lista exhaustiva de los eventos que pueden generar alertas. Algunos eventos son problemas que necesitan atención inmediata, como la falla de componentes o el apagado del sistema. Otros eventos son los cambios de configuración, que proporcionan información útil al administrador del sistema, como los cambios que afectan el desempeño y la estabilidad de un dispositivo o que causan problemas con una instalación estándar.

Algunos ejemplos de los tipos de eventos que puede supervisar son:

  • Cambios de hardware: se ha agregado o quitado un componente, como un procesador, una memoria, una unidad de disco o una tarjeta de red.
  • Aplicaciones agregadas o quitadas: un usuario ha instalado o desinstalado una aplicación en un dispositivo. Esto resulta útil al hacer un seguimiento de las licencias o de la productividad de los empleados. Se supervisan las aplicaciones registradas en Agregar o quitar programas de Windows, y el nombre de la aplicación usado en Agregar o quitar programas es el nombre que aparece en la notificación.
  • Evento de servicio: se ha iniciado o detenido un servicio en el dispositivo.
  • Desempeño: se ha sobrepasado un umbral de desempeño, como la capacidad de una unidad, la memoria disponible, etc.
  • Evento IPMI: se ha producido un evento que puede detectarse en los dispositivos IPMI, lo cual incluye cambios en los controladores, los sensores, los registros, etc.
  • Uso del módem: se ha utilizado el módem del sistema o se ha agregado o quitado un módem.
  • Seguridad física: se ha detectado la intrusión del chasis, un ciclo de energía u otro cambio físico.
  • Instalación de paquete: se ha instalado un paquete en el equipo de destino.
  • Actividad de control remoto: se ha producido actividad de control remoto, lo cual incluye el inicio, la detención o los errores.

Para ver un registro de las alertas de cambios de configuración, consulte el registro de alertas de la consola del Monitor e inventario en tiempo real.

Las alertas solamente se generan si los dispositivos están equipados con el hardware debido. Por ejemplos, las alertas generadas a partir de lecturas de sensor sólo se aplican a los dispositivos equipados con los sensores correspondientes.

La monitorización del hardware depende también de la configuración correcta del hardware. Por ejemplo, si un disco duro con capacidades de monitoreo S.M.A.R.T. Por ejemplo, si un disco duro con capacidades de monitoreo S.M.A.R.T. la detección no está habilitada en los ajustes de la BIOS del dispositivo, o si la BIOS del dispositivo no es compatible con S.M.A.R.T. unidades, las alertas no se generarán desde S.M.A.R.T. Monitorización de unidades

Niveles de seguridad para los eventos

Los problemas o eventos del dispositivo pueden asociarse con algunos o con todos los niveles de gravedad mencionados a continuación. En algunos lugares de la interfaz del producto, estos estados se indican con un valor numérico y con un icono relacionado. Los valores numéricos están entre paréntesis.

  • Informativo (1): admite los cambios de configuración o los eventos que los fabricantes podrían incluir en sus sistemas. Este nivel de gravedad no afecta el mantenimiento del dispositivo.
  • Aceptable (2): indica que el estado se encuentra en un nivel aceptable.
  • Advertencia (3): brinda advertencia anticipada sobre un problema antes de que alcance un punto crítico.
  • Crítico (4): indica que el problema requiere atención inmediata.
  • Desconocido: el estado de alerta no se puede determinar o el agente de supervisión no se ha instalado en el dispositivo.

Según la naturaleza del evento, algunos niveles de gravedad no se aplican o no están disponibles. Por ejemplo, con el evento de detección de la intrusión, el chasis del dispositivo está abierto o cerrado. Si está abierto, puede activarse una acción de alerta, pero sólo con una severidad de Advertencia. Otros eventos, como el espacio en disco y la memoria virtual, presentan tres niveles de severidad (Aceptable, Advertencia y Crítico), ya que los distintos estados pueden indicarle al administrador distintos niveles de inquietud.

Puede elegir el nivel de gravedad o umbral que activará algunas alertas. Por ejemplo, puede seleccionar una acción para un estado de Advertencia y una acción distinta para un estado Crítico de alerta. El estado desconocido no se puede seleccionar como desencadenante de alertas, sino que simplemente indica que no se puede determinar el estado.

Acciones de alerta para efectuar notificaciones

Este producto puede notificarle la aparición de eventos supervisados de alguna de las siguientes formas:

  • La adición de información al registro
  • El envío de un aviso por correo electrónico o de un mensaje a un localizador
  • La ejecución de un programa en el servidor central o en un dispositivo individual
  • El envío de una captura SNMP a una consola de administración SNMP de la red
  • El reinicio o apagado de un dispositivo

Las acciones de alerta se configuran cuando se define el reglamento de alertas.

Control de tormentas de alertas

Algunas reglas de alerta asignadas a grupos de dispositivos pueden generar una gran cantidad de respuestas de forma simultánea. Por ejemplo, puede incluir una regla de alerta para los cambios de configuración del equipo y asociarla con una acción de correo electrónico. Si se aplica una revisión de distribución de software a muchos dispositivos con esta configuración de alerta, se genera una cantidad de mensajes de correo electrónico a partir del servidor central, la cual equivale a la cantidad de dispositivos en los que se aplicó la revisión, lo cual podría desbordar el servidor de correo electrónico con una "tormenta" de notificaciones de alerta.

La función de control de tormentas de alertas de este producto limita de forma automática la cantidad de veces que ocurre una acción de alerta para una alerta. Si una alerta acciona una acción 5 veces en 5 minutos se interrumpe la acción de alerta, pero las alertas siguen registrándose en el archivo de registro central. El administrador recibe una notificación de la tormenta de alertas mediante un correo electrónico automatizado. Cuando la alerta deja de suceder y no lo hace durante una hora, se restablece el control de tormentas de alertas para esa alerta. Si la alerta aparece nuevamente más tarde, las acciones de alerta volverán a accionarse.