谁动了我的地盘软件安装配置全流程详解与操作步骤指南

系统环境准备

（1）操作系统要求

本软件支持Windows Server 2016/2019/2022、CentOS 7.6+、Ubuntu 20.04 LTS及以上版本的操作系统。建议使用物理服务器或独立虚拟机部署，避免与高负载应用共用环境。安装前需确保系统已更新至最新补丁版本，并关闭不必要的后台服务。

（2）硬件配置标准

监控对象在100节点以内时，建议配置4核CPU/8GB内存/200GB硬盘空间。对于大型网络环境（500节点以上），需采用分布式部署方案，配置不低于8核CPU/32GB内存/1TB RAID存储。特别注意保留至少20%的磁盘空间用于日志存储。

（3）依赖环境安装

Windows系统需预先安装.NET Framework 4.8及PowerShell 5.1+运行环境。Linux系统要求安装EPEL仓库，通过yum安装libpcap-devel、openssl-devel等开发库。所有平台均需配置NTP时间同步服务，确保系统时间误差在±1秒内。

软件安装部署

（1）安装包获取与验证

从官方网站下载最新稳定版安装包（whodidit-v3.2.1.zip），使用sha256校验工具核对文件完整性。解压后检查bin目录包含AgentService、MonitorCore、ConfigTool三个可执行文件，以及rules目录下的默认检测规则集。

（2）主程序安装流程

Windows环境以管理员身份运行install_windows.bat脚本，自动完成服务注册和运行时环境部署。Linux系统执行install.sh安装脚本时需附加--enable-iptables参数，自动配置防火墙例外规则。安装完成后检查/var/log/whodidit/install.log确认无ERROR级别日志。

（3）服务启动与验证

通过systemctl start whodidit-core启动主服务，使用systemctl status确认服务状态为active (running)。初次启动后访问）登录管理控制台，在系统信息页面核对版本号和授权状态。

核心功能配置

（1）监控范围设定

在管理界面"资产发现"模块中，通过CIDR格式（如192.168.1.0/24）指定监控网段，或导入CSV格式的IP地址清单。启用智能发现功能后，系统将自动识别网络中的活跃设备。建议设置排除列表过滤打印机、IoT设备等无需监控的终端。

（2）检测规则配置

根据业务需求在"策略管理"中启用文件完整性监控（FIM）、注册表变更检测、异常进程监控等功能。对于Web服务器类设备，建议启用WEB-ATTACK规则集并设置敏感文件（如*.php、web.config）的修改告警。自定义规则时需注意设置合理的检测频率（建议5-10分钟）以避免性能损耗。

（3）告警通知设置

在"通知配置"模块配置SMTP服务器信息，建议使用专用通知邮箱。设置多级告警阈值：低风险事件每日汇总报告，中风险事件即时邮件通知，高风险事件触发短信告警（需集成短信网关）。测试告警通道时，可使用模拟攻击工具生成测试事件验证通知链路。

系统联调测试

（1）基线扫描执行

通过控制台发起首次全盘扫描，生成系统基准快照。对Windows系统重点检查%SystemRoot%\\system32目录，Linux系统验证/bin、/usr/bin等关键路径的哈希值。扫描完成后导出基准报告（PDF格式）存档备查。

（2）入侵模拟测试

使用专用测试工具包（包含注册表修改、可疑进程创建、异常文件写入等测试用例）验证检测功能。观察控制台事件列表是否在设定时间阈值内（通常<2分钟）显示对应告警。特别注意验证跨午夜时段的事件时间戳准确性。

（3）压力性能测试

通过loadtest工具模拟并发事件，验证在每秒处理1000+事件时的CPU占用率（应<70%）和内存泄漏情况。持续运行72小时稳定性测试，检查是否存在服务异常重启或日志丢失情况。使用iftop监控网络带宽占用，确保单节点日流量不超过500MB。

运维管理规范

（1）日常维护要点

建立每周检查制度，重点查看存储空间使用率、规则库更新状态、授权剩余天数。每月执行一次完整基线扫描，对比初始快照分析系统变化。每季度审核检测规则有效性，根据新出现的威胁情报调整检测阈值。

（2）日志管理策略

配置日志自动归档策略，保留原始日志至少180天，摘要日志保留3年。对告警事件执行三级分类处理：已确认误报的加入白名单，待分析的标记为调查中，确认的入侵事件生成取证包。定期使用内置分析工具生成威胁态势报告。

（3）系统升级方案

小版本升级（v3.x.x）通过控制台在线更新完成，需提前创建系统还原点。大版本升级（v3.x→v4.0）要求停机维护，严格按照官方迁移指南操作。升级后必须重新验证所有检测规则和通知通道，建议保留旧版本虚拟机快照作为应急回退方案。

本指南涵盖从环境准备到持续运维的全生命周期管理要点，实施过程中需结合具体网络环境和安全策略进行调整。建议每半年执行一次全流程验证，确保系统始终处于最佳运行状态。