優雅降級架構
Panguard 的 AI 分析遵循三層降級策略:雲端 AI(Claude/OpenAI)> 本地 LLM(Ollama)> 規則引擎(Sigma + YARA)。每一層都是獨立的,即使全部外部工具離線,3,760條 Sigma 規則和 5,961 條 YARA 規則仍然提供完整防護。
Ollama — 本地 AI 分析
安裝 Ollama 讓 Guard 在本地執行 AI 威脅分析,不需要雲端 API。適合離線環境或對資料隱私有要求的場景。
Terminal
# Install Ollama curl -fsSL https://ollama.ai/install.sh | sh # Pull a model ollama pull llama3 # Verify it's running curl http://localhost:11434/api/tags
Panguard 會自動偵測 Ollama(預設 http://localhost:11434)。安裝後不需要額外設定。
Falco — eBPF 核心層監控
Falco 提供 Linux 核心層級的 syscall 監控。安裝後 Guard 會自動整合,讀取 Falco 的 JSON 告警。適合需要深層行為偵測的環境。
Terminal (Linux)
# Ubuntu/Debian curl -fsSL https://falco.org/repo/falcosecurity-packages.asc | sudo gpg --dearmor -o /usr/share/keyrings/falco-archive-keyring.gpg sudo apt update && sudo apt install -y falco # Start Falco sudo systemctl enable falco && sudo systemctl start falco
僅限 Linux。Falco 需要 root 權限。Guard 會自動偵測 /var/log/falco/ 下的告警檔案。
Suricata — 網路流量分析
Suricata 是網路層 IDS/IPS,提供進階網路流量分析。安裝後 Guard 會自動讀取 Suricata 的 eve.json。
Terminal (Linux)
# Ubuntu/Debian sudo apt install -y suricata # Start Suricata sudo systemctl enable suricata && sudo systemctl start suricata
僅限 Linux。Suricata 需要 root 權限。Guard 會自動偵測 /var/log/suricata/eve.json。
環境變數一覽
以下環境變數可以自訂 Panguard 的行為。全部都是選配的。
| 變數 | 用途 |
|---|---|
| ANTHROPIC_API_KEY | 啟用 Claude AI 分析(雲端,最智慧) |
| OPENAI_API_KEY | 啟用 OpenAI GPT 分析(雲端備選) |
| PANGUARD_LLM_MODEL | 覆寫 Ollama 模型名稱(預設:llama3) |
| OLLAMA_API_ENDPOINT | 覆寫 Ollama API 位址(預設:http://localhost:11434) |