Guard 已經在跑了 Error: Panguard Guard is already running (PID: 12345)
另一個 Guard 實例已經在跑。先停掉:
# 停掉正在跑的 sudo panguard guard stop # stop 失敗的話,手動殺 cat ~/.panguard-guard/guard.pid sudo kill $( cat ~/.panguard-guard/guard.pid ) rm ~/.panguard-guard/guard.pid # 重新啟動 sudo panguard guard start
同一台機器不要跑多個 Guard 實例。它們會在 log 檔存取、防火牆規則、監控資源上打架。
如果 PID 檔指向一個已經不存在的 process(過期 PID):
# 確認 process 真的不在了 ps -p $( cat ~/.panguard-guard/guard.pid ) # 如果顯示 "no such process",放心刪 PID 檔 rm ~/.panguard-guard/guard.pid sudo panguard guard start
權限不夠 Error: EACCES: permission denied, open '/var/log/auth.log'
Guard 需要 root/admin 權限讀系統 log 跟管防火牆規則。
用 sudo 跑
裝成系統服務
macOS launchd
sudo panguard guard start
裝成帶適當權限的 systemd 服務: sudo panguard guard install-service sudo systemctl start panguard-guard sudo systemctl enable panguard-guard
看服務狀態: sudo systemctl status panguard-guard
sudo panguard guard install-service sudo launchctl load /Library/LaunchDaemons/com.panguard.guard.plist
記憶體吃太多 Guard 記憶體用量超出預期的話:
panguard status --verbose
正常範圍: 元件 一般記憶體用量 核心 agent 50—100 MB ATR 規則引擎(61 條規則) 約 20 MB AI 分析(本機) 100—500 MB 合計 170—620 MB
誤報太多 Guard 對正常活動發了一堆警示的話:
預設學習期 7 天。如果你的工作負載比較複雜,拉長一點: panguard config set learningDays 14
重設學習資料重來: sudo panguard guard stop panguard config set mode learning sudo panguard guard start
拉高特定威脅類型的門檻: # 暴力破解要更多事件才觸發 panguard config set response.minConfidence 0.90 # 拉高 SSH 失敗閾值 panguard config set rules.sshFailureThreshold 20
把信任的 IP 跟 process 加白名單: # IP 白名單 panguard config set response.whitelistedIps '["10.0.0.0/8", "192.168.1.100"]' # Process 白名單 panguard config set response.whitelistedProcesses '["backup-agent", "monitoring-daemon"]'
找出造成誤報的規則,關掉它: # 看最近的低嚴重性警示跟規則 ID panguard guard logs --severity low --limit 20 # 停用特定規則 panguard config set rules.excludeIds '["ATR-2025-0099"]'
自動回應沒動作 Guard 偵測到威脅但沒自動處理的話:
自動回應只在 AI 信心分數超過 minConfidence 時才觸發: # 看目前閾值 panguard config get response.minConfidence
偵測到的都低於閾值的話,小心地降一點: panguard config set response.minConfidence 0.80
minConfidence 設到 0.7 以下會大幅增加誤報風險(封到正常 IP 或殺到正常 process)。
panguard config get response.enabled panguard config get response.autoBlock
沒開的話打開: panguard config set response.enabled true panguard config set response.autoBlock true
learning 跟 detect 模式不會執行自動回應:切到 protect 模式: panguard config set mode protect sudo panguard guard restart
如果 requireApproval 是開的,Guard 會發核准請求而不是直接動手: panguard config get response.requireApproval # 是 true 的話看待處理的核准: panguard guard approvals
Guard 啟動就掛
cat ~/.panguard-guard/logs/guard.log | tail -50
或用 CLI: panguard guard logs --limit 50
會檢查 Node.js 版本、權限、磁碟空間、port 可用性、config 格式。
config 檔壞掉的話: # 先備份 cp ~/.panguard-guard/config.json ~/.panguard-guard/config.json.bak # 刪掉重來 rm ~/.panguard-guard/config.json sudo panguard guard start
