Centos7安装moloch步骤

Centos7安装moloch步骤

Moloch 是一个由AOL开源的,能够大规模的捕获IPv4数据包(PCAP)、索引和数据库系统,由以下三个部分组成:

  • capture :绑定interface运行的单线程C语言应用
  • viewer :  运行在capture主机上的node.js web应用
  • elasticsearch : moloch的数据检索驱动

         Capture (绑定 interface 运行的单线程 C 语言应用 )用来抓取流量并以 pcap 的格式存储到硬盘上面,还会存一份对应关系到 elasticsearch (moloch 的数据检索驱动)中,Viewer(运行在 capture 主机上的 node.js web应用 ) 提供 web 界面,以下为 Moloch 的单个主机部署架构图。

Moloch优势:

  • 1 moloch 公开了API ,允许 pcap 数据和 json 格式的会话数据直接下载和使用。
  • 2 提供直观的Web界面,用于 PCAP 浏览、搜索、分析,Moloch 以标准 PCAP 格式存储和导出所有数据包。
  • 3 可扩展性:Moloch 旨在部署在多个集群系统中,提供扩展可以处理多个千兆位/秒的流量。PCAP保留基于可用的传感器磁盘空间,而元数据保留基于 Elasticsearch 集群的规模。 两种保留大小都可以随时增加。
  • 4 安全: 通过使用具有摘要密码的 HTTPS 或使用提供 Web 服务器代理的身份验证来保护对 Moloch 的访问。 PCAP 都存储在已安装的 Moloch 传感器上,只能通过 Moloch 接口或API访问。 Moloch 支持在静止时加密 PCAP 文件。
  • 简而言之: Moloch 可以保存所有原始数据流量,基于 elasticsearch 及 PCAP 的存储形式使它得以对通信数据流中的元数据进行快速检索。相对来说是一个比较好用的回溯分析系统。

Moloch官网      Moloch git地址 git主页上REDE有较为详细的安装说明。。。 以下是我的安装记录:

1.  系统要求和环境搭建

  • 存储数据包对机器的性能要求moloch提供了评估页面 Moloch Estimators
  • 本次搭建条件16G  内存,300GB HDD,所有组件都安装在了同一台机器。如果有条件的话,请把Capture MachinesElasticsearch Machines组件分开来安装。

可根据 PCAP 包的存储天数、TLS (加密数据包保存的百分比)、每台机器的处理能力;ES 日志的存储天数、机器节点等选择适合自己的硬件资源。Moloch 的每个节点需要 64GB - 128GB 内存:ES 为 30GB,OS 磁盘缓存为 34-96GB。对于大型计算机,计划为每个主机运行多个节点。

2.  安装步骤

2.1 安装依赖包

yum install -y wget curl perl-JSON  perl-libwww-perl libyaml-devel

2.2 关闭并禁止重启后启动防火墙

systemctl stop firewalld.service    ===>关闭防火墙
systemctl disable firewalld.service  ===>禁止重启后启动防火墙

2.3 下载及安装JDK

wget http://iso.epoint.com.cn/JDK/jdk-8u65-linux-x64.rpm
rpm -ivh jdk-8u65-linux-x64.rpm  ##安装jdk

2.4 下载及安装elasticsearch

2.4.1 安装elasticsearch

wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.6.6.rpm  ##下载elasticsearch
rpm -ivh elasticsearch-6.6.1.rpm  ##安装elasticsearch

2.4.2 修改配置文件/etc/elasticsearch/elasticsearch.yml 中的network.host:服务器的IP

 

2.4.3 启动elasticsearch 服务

systemctl daemon-reload     ##重载修改过的配置文件
systemctl enable elasticsearch.service    ##开机启动elasticsearch
systemctl start  elasticsearch.service    ##启动elasticsearch

2.4.4 监听服务端口是否已经启动  

netstat -nlp |grep LISTEN

 2.4.5 检查elasticsearch是否正常启动

在浏览器中测试,输入http://服务器IP:9200/_cat ,查看是否能正常看到类似如下页面即为正常。

 2.5 下载及安装Moloch

 2.5.1 https://molo.ch/#downloads官网下载rpm包

 2.5.2  安装moloch rpm包

rpm -ivh moloch-master.centos7.x86_64.rpm

2.5.3 配置初始化Moloch

/data/moloch/bin/Configure

2.5.4 初始化、升级 Elasticsearch Moloch配置

/data/moloch/db/db.pl  http://localhost:9200  init    ##第一次安装初始化、或者想删除所有数据
/data/moloch/db/db.pl  http://localhost:9200 upgrade  ##升级moloch 数据包

2.5.5 添加admin账户

/data/moloch/bin/moloch_add_user.sh admin "Admin User" moloch--admin  ##新增admin账户,密码是moloch

2.5.6 开启所有服务

systemctl enable molochcapture.service ##开机启动Capture
systemctl start molochcapture.service  ##启动Capture
systemctl enable molochviewer.service  ##开机启动Viewer
systemctl start molochviewer.service   ##启动Viewer

 2.5.7 登陆Moloch  http://172.18.20.223:8005

...

原文地址:https://www.cnblogs.com/yaoyaojcy/p/11727122.html

时间: 2024-11-02 15:22:29

Centos7安装moloch步骤的相关文章

centOS7安装docker步骤

首先准备一台linux系统, Docker需要一个64位系统的系统,内核的版本必须大于3.10,可以用命令来检查是否满足要求: 满足条件后,下面开始正式安装步骤: 1.更新yum: sudo yum update 更新过程中有提示,输入"y": 2.更新完成,执行docker安装脚本: curl -sSL https://get.docker.com/ | sh 3.启动docker服务: 4.测试docker安装是否完成: 5.查看docker版本: 亲测好使...

CENTOS7安装DOCKER步骤以及安装阿里镜像加速后无法正常启动服务的问题2018年1月

本文时间2017年12月7日,比较新,大家可以直接参考.有问题直接评论 我根据菜鸟教程通过yum install docker安装了docker,由于测试发现奇慢无比,所以就安装了阿里云的加速,随后也尝试了DaoCloud的镜像. 配置成功后一直报错 我尝试了各种原因,发现都不靠谱.因为阿里这样的公司是不会漏掉什么关键配置的.那么原因在哪里呢?就是安装过程不是标准做法,漏掉了某些配置.我才是可能配置数据仓库的问题.所以现在我更分一份最新的安装手册.大家可以重现安装一下Docker问题就解决了.

CentOS7/RHEL7安装Redis步骤详解

CentOS7/RHEL7安装Redis步骤详解 CentOS7/RHEL7安装Redis还是头一次测试安装了,因为centos7升级之后与centos6有比较大的区别了,下面我们就一起来看看CentOS7/RHEL7安装Redis步骤详解 方法一:使用命令安装(前提是已经安装了EPEL). 安装redis: yum -y install redis 启动/停止/重启 Redis启动服务:1systemctl start redis.service停止服务: systemctl stop red

CENTOS7 安装openstack mitaka版本(最新整理完整版附详细截图和操作步骤,添加了cinder和vxlan)

CENTOS7 安装openstack mitaka版本(最新整理完整版附详细截图和操作步骤,添加了cinder和vxlan,附上个节点的配置文件) 实验环境准备: 为了更好的实现分布式mitaka版本的效果.我才有的是VMware的workstations来安装三台虚拟机,分别来模拟openstack的controller节点 compute节点和cinder节点.(我的宿主机配置为 500g 硬盘 16g内存,i5cpu.强烈建议由条件的朋友将内存配置大一点,因为我之前分配的2g太卡.) 注

CentOS7安装步骤

本文基于vmware workstations进行CentOS7安装过程展示,关于vmware workstations安装配置本人这里不再介绍,基本过程相当于windows下安装个软件而已. 1.打开vmware workstations,文件->新建虚拟机,出现如下界面,选择“自定义(高级)”选项,下一步继续: 2.此步骤默认,下一步继续: 3.在出现下面界面,选中“稍后安装操作系统”选项,下一步继续: 4.在出现如下界面,客户机操作系统选择“linux”,版本选择“CentOS 64位”,

centos7 安装nginx和php7

centos7 安装nginx和php7 centos7系统安装php7会出现一些奇奇怪怪的问题,耽误时间,影响效率,这里推荐直接yum安装 1.在开始安装 Nginx 和 php7-fpm 之前,我们还学要先添加 EPEL 包的仓库源.使用如下命令:      yum -y install epel-release 然后我们还需要为 php7-fpm 添加另外一个仓库.互联网中有很个远程仓库提供了 PHP 7 系列包,我在这里使用的是 webtatic. 添加 PHP7-FPM webtati

CentOS7 安装的Nagios-4.2.x出现HTTP Warring/403 Forbiden 最终解决方法

背景: 最近,接触到新公司的Nagios-4.2.x监控平台,但有个小小问题:CentOS7安装的apache-2.4.7,在nagios监控界面出现HTTP Warring/403 Forbiden警告. 此监控平台已经正常运行了两年多,就是HTTP警告未能消除,又因不是本人配置的,故在不影响业务正常运行的情况下,自己线下搭建了类似的操作系统+监控平台开始测试,模拟,也是出现同样的问题. 方法: 通过分析/var/log/httpd/error.log可知在/var/www/html下未能找到

centos7安装中文输入法

注:所安装的centos7为桌面版 步骤1: yum install ibus-libpinyin 安装结束 步骤2:在桌面右上角找到如图所示标志 步骤3: 步骤4: 步骤5: 选择Add添加 步骤6: 选择Add添加 步骤7: 步骤8: 步骤9:

CentOS7安装Openvswitch 2.3.1 LTS

CentOS7安装Openvswitch 2.3.0 LTS,centos7openvswitch 一.环境: 宿主机:windows 8.1 update 3 虚拟机:vmware 11 虚拟机操作系统:CentOS7-1406 Openvswitch 2.3.1 二.安装 1.安装依赖包:yum -y install openssl-devel wget kernel-devel 2.安装开发工具:yum groupinstall "Development Tools" 3.添加用