Centos7安装moloch步骤

Centos7安装moloch步骤

Moloch 是一个由AOL开源的,能够大规模的捕获IPv4数据包(PCAP)、索引和数据库系统,由以下三个部分组成:

  • capture :绑定interface运行的单线程C语言应用
  • viewer :  运行在capture主机上的node.js web应用
  • elasticsearch : moloch的数据检索驱动

     Capture (绑定 interface 运行的单线程 C 语言应用 )用来抓取流量并以 pcap 的格式存储到硬盘上面,还会存一份对应关系到 elasticsearch (moloch 的数据检索驱动)中,Viewer(运行在 capture 主机上的 node.js web应用 ) 提供 web 界面,以下为 Moloch 的单个主机部署架构图。

 

 

 

 

 

 

 

 

 

 

 

Moloch优势:

  • moloch 公开了API ,允许 pcap 数据和 json 格式的会话数据直接下载和使用。
  • 提供直观的Web界面,用于 PCAP 浏览、搜索、分析,Moloch 以标准 PCAP 格式存储和导出所有数据包。
  • 可扩展性:Moloch 旨在部署在多个集群系统中,提供扩展可以处理多个千兆位/秒的流量。PCAP保留基于可用的传感器磁盘空间,而元数据保留基于 Elasticsearch 集群的规模。 两种保留大小都可以随时增加。
  • 安全: 通过使用具有摘要密码的 HTTPS 或使用提供 Web 服务器代理的身份验证来保护对 Moloch 的访问。 PCAP 都存储在已安装的 Moloch 传感器上,只能通过 Moloch 接口或API访问。 Moloch 支持在静止时加密 PCAP 文件。
  •  简而言之: Moloch 可以保存所有原始数据流量,基于 elasticsearch 及 PCAP 的存储形式使它得以对通信数据流中的元数据进行快速检索。相对来说是一个比较好用的回溯分析系统。

 Moloch官网     Moloch git地址 git主页上REDE有较为详细的安装说明。。。 以下是我的安装记录:

1.  系统要求和环境搭建

  • 存储数据包对机器的性能要求moloch提供了评估页面 Moloch Estimators
  • 本次搭建条件16G  内存,300GB HDD,所有组件都安装在了同一台机器。如果有条件的话,请把把Capture Machines和Elasticsearch Machines组件分开来安装。
 

可根据 PCAP 包的存储天数、TLS (加密数据包保存的百分比)、每台机器的处理能力;ES 日志的存储天数、机器节点等选择适合自己的硬件资源。Moloch 的每个节点需要 64GB - 128GB 内存:ES 为 30GB,OS 磁盘缓存为 34-96GB。对于大型计算机,计划为每个主机运行多个节点。

2.  安装步骤

2.1 安装依赖包

yum install -y wget curl perl-JSON  perl-libwww-perl libyaml-devel

2.2 关闭并禁止重启后启动防火墙

systemctl stop firewalld.service    ===>关闭防火墙
systemctl disable firewalld.service  ===>禁止重启后启动防火墙

2.3 下载及安装JDK

wget http://iso.epoint.com.cn/JDK/jdk-8u65-linux-x64.rpm
rpm -ivh jdk-8u65-linux-x64.rpm  ##安装jdk

2.4 下载及安装elasticsearch

2.4.1 安装elasticsearch

wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.6.6.rpm  ##下载elasticsearch
rpm -ivh elasticsearch-5.6.6.rpm  ##安装elasticsearch

2.4.2 修改配置文件/etc/elasticsearch/elasticsearch.yml 中的network.host:服务器的IP

 

2.4.3 启动elasticsearch 服务

systemctl daemon-reload     ##重载修改过的配置文件
systemctl enable elasticsearch.service    ##开机启动elasticsearch
systemctl start  elasticsearch.service    ##启动elasticsearch

2.4.4 监听服务端口是否已经启动  

netstat -nlp |grep LISTEN 

 2.4.5 检查elasticsearch是否正常启动

 在浏览器中测试,输入http://服务器IP:9200/_cat ,查看是否能正常看到类似如下页面即为正常。

 2.5 下载及安装Moloch

 2.5.1 https://molo.ch/#downloads官网下载rpm包

 2.5.2  安装moloch rpm包(采用U盘挂载方式)

rpm -ivh moloch-1.8.0-1.x86_64.rpm

 

 

2.5.3 配置初始化Moloch

/data/moloch/bin/Configure

2.5.4 初始化、升级 Elasticsearch Moloch配置

/data/moloch/db/db.pl  http://localhost:9200  init    ##第一次安装初始化、或者想删除所有数据
/data/moloch/db/db.pl  http://localhost:9200 upgrade  ##升级moloch 数据包

 

2.5.5 添加admin账户

/data/moloch/bin/moloch_add_user.sh admin "Admin User" moloch --admin  ##新增admin账户,密码是moloch

2.5.6 开启所有服务

systemctl enable molochcapture.service ##开机启动Capture
systemctl start molochcapture.service  ##启动Capture
systemctl enable molochviewer.service  ##开机启动Viewer
systemctl start molochviewer.service   ##启动Viewer

 2.5.7 登陆Moloch  http://172.18.20.223:8005

...

posted on 2019-10-24 12:30  CARLOS_KONG  阅读(3640)  评论(0编辑  收藏  举报

导航