Centos7安装moloch步骤
Centos7安装moloch步骤
Moloch 是一个由AOL开源的,能够大规模的捕获IPv4数据包(PCAP)、索引和数据库系统,由以下三个部分组成:
- capture :绑定interface运行的单线程C语言应用
- viewer : 运行在capture主机上的node.js web应用
- elasticsearch : moloch的数据检索驱动
Capture (绑定 interface 运行的单线程 C 语言应用 )用来抓取流量并以 pcap 的格式存储到硬盘上面,还会存一份对应关系到 elasticsearch (moloch 的数据检索驱动)中,Viewer(运行在 capture 主机上的 node.js web应用 ) 提供 web 界面,以下为 Moloch 的单个主机部署架构图。
Moloch优势:
- moloch 公开了API ,允许 pcap 数据和 json 格式的会话数据直接下载和使用。
- 提供直观的Web界面,用于 PCAP 浏览、搜索、分析,Moloch 以标准 PCAP 格式存储和导出所有数据包。
- 可扩展性:Moloch 旨在部署在多个集群系统中,提供扩展可以处理多个千兆位/秒的流量。PCAP保留基于可用的传感器磁盘空间,而元数据保留基于 Elasticsearch 集群的规模。 两种保留大小都可以随时增加。
- 安全: 通过使用具有摘要密码的 HTTPS 或使用提供 Web 服务器代理的身份验证来保护对 Moloch 的访问。 PCAP 都存储在已安装的 Moloch 传感器上,只能通过 Moloch 接口或API访问。 Moloch 支持在静止时加密 PCAP 文件。
- 简而言之: Moloch 可以保存所有原始数据流量,基于 elasticsearch 及 PCAP 的存储形式使它得以对通信数据流中的元数据进行快速检索。相对来说是一个比较好用的回溯分析系统。
Moloch官网 Moloch git地址 git主页上REDE有较为详细的安装说明。。。 以下是我的安装记录:
1. 系统要求和环境搭建
- 存储数据包对机器的性能要求moloch提供了评估页面 Moloch Estimators
- 本次搭建条件16G 内存,300GB HDD,所有组件都安装在了同一台机器。如果有条件的话,请把把Capture Machines和Elasticsearch Machines组件分开来安装。
可根据 PCAP 包的存储天数、TLS (加密数据包保存的百分比)、每台机器的处理能力;ES 日志的存储天数、机器节点等选择适合自己的硬件资源。Moloch 的每个节点需要 64GB - 128GB 内存:ES 为 30GB,OS 磁盘缓存为 34-96GB。对于大型计算机,计划为每个主机运行多个节点。
2. 安装步骤
2.1 安装依赖包
1 | yum install -y wget curl perl-JSON perl-libwww-perl libyaml-devel |
2.2 关闭并禁止重启后启动防火墙
1 2 | systemctl stop firewalld.service ===>关闭防火墙systemctl disable firewalld.service ===>禁止重启后启动防火墙 |
2.3 下载及安装JDK
1 2 | wget http://iso.epoint.com.cn/JDK/jdk-8u65-linux-x64.rpmrpm -ivh jdk-8u65-linux-x64.rpm ##安装jdk |
2.4 下载及安装elasticsearch
2.4.1 安装elasticsearch
1 2 | wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.6.6.rpm ##下载elasticsearchrpm -ivh elasticsearch-5.6.6.rpm ##安装elasticsearch |
2.4.2 修改配置文件/etc/elasticsearch/elasticsearch.yml 中的network.host:服务器的IP
2.4.3 启动elasticsearch 服务
1 2 3 | systemctl daemon-reload ##重载修改过的配置文件systemctl enable elasticsearch.service ##开机启动elasticsearchsystemctl start elasticsearch.service ##启动elasticsearch |
2.4.4 监听服务端口是否已经启动
1 | netstat -nlp |grep LISTEN |
2.4.5 检查elasticsearch是否正常启动
在浏览器中测试,输入http://服务器IP:9200/_cat ,查看是否能正常看到类似如下页面即为正常。
2.5 下载及安装Moloch
2.5.1 https://molo.ch/#downloads官网下载rpm包
2.5.2 安装moloch rpm包(采用U盘挂载方式)
1 | rpm -ivh moloch-1.8.0-1.x86_64.rpm |
2.5.3 配置初始化Moloch
1 | /data/moloch/bin/Configure |
2.5.4 初始化、升级 Elasticsearch Moloch配置
1 2 | /data/moloch/db/db.pl http://localhost:9200 init ##第一次安装初始化、或者想删除所有数据/data/moloch/db/db.pl http://localhost:9200 upgrade ##升级moloch 数据包 |
2.5.5 添加admin账户
1 | /data/moloch/bin/moloch_add_user.sh admin "Admin User" moloch --admin ##新增admin账户,密码是moloch |
2.5.6 开启所有服务
1 2 3 4 | systemctl enable molochcapture.service ##开机启动Capturesystemctl start molochcapture.service ##启动Capturesystemctl enable molochviewer.service ##开机启动Viewersystemctl start molochviewer.service ##启动Viewer |
2.5.7 登陆Moloch http://172.18.20.223:8005
作者:CARLOS_CHIANG
出处:http://www.cnblogs.com/yaoyaojcy/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文链接。
posted on 2019-10-24 12:30 CARLOS_KONG 阅读(3893) 评论(0) 编辑 收藏 举报
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· .NET Core 中如何实现缓存的预热?
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 基于Microsoft.Extensions.AI核心库实现RAG应用
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· 阿里巴巴 QwQ-32B真的超越了 DeepSeek R-1吗?
· 【译】Visual Studio 中新的强大生产力特性
· 【设计模式】告别冗长if-else语句:使用策略模式优化代码结构
· 10年+ .NET Coder 心语 ── 封装的思维:从隐藏、稳定开始理解其本质意义