实时安全监控指南
引导您如何通过 GIIP 代理 (Agent) 实时感知并应对服务器内部的安全威胁。
📋 概述
实时安全监控功能以秒级频率收集并分析整个基础设施中发生的各种安全事件。AI 代理根据收集到的日志,实时向管理员报告异常访问或恶意代码执行的征兆。
🛡️ 核心检测项
1. 异常进程识别 (Anomaly Detection)
检测 CPU/内存占用模式异常,或行为逻辑与已知恶意代码相似的进程。
2. 异常登录尝试
检测短时间内频繁的登录失败 (暴力破解) 或来自非授权 IP 段的访问尝试并触发警报。
3. 文件完整性监控
实时追踪
/etc/passwd 或系统执行文件等关键配置文件是否在未经授权的情况下被修改。
🔍 监控界面使用
- 威胁等级: 将发现的威胁分为
(严重)、Critical
(高)、High
(中)、Medium
(低) 四个等级显示。Low - 实时日志流: 实时查看当前服务器上发生的与安全相关的系统日志。
🛠️ 响应措施
- 进程隔离: 点击检测到威胁的进程,可立即将其结束或隔离。
- 报警设置: 支持通过邮件、Slack、网页推送等方式即时接收安全威胁通报。
💡 注意事项
- 为了确保实时安全功能的正常运作,各服务器必须安装最新版本的 [GIIP 代理]。
🔧 故障排除
| 症状 | 原因 | 解决方法 |
|---|---|---|
| 实时日志流中不显示任何数据 | 服务器未安装 GIIP 代理或版本过旧 | 在各服务器上安装最新版本的 GIIP 代理。 |
| 发生威胁时收不到报警 | 未配置报警渠道 | 检查并启用邮件、Slack 或网页推送报警设置。 |
| 正常进程被反复识别为异常进程 | 将异于平常的 CPU/内存占用模式判定为威胁 | 查看威胁等级 (Low/Medium) 以判断是否正常。 |
| 持续出现登录失败警报 | 短时间内频繁登录失败 (暴力破解) 或来自非授权 IP 的访问 | 核实访问来源 IP 段并阻断异常访问。 |
版本: 1.0 最后更新: 2026-03-19 源文件:
giipv3/public/help/real-time-security.zh-CN.md